CN103890715B - 路由器和虚拟受信任运行时bios - Google Patents

路由器和虚拟受信任运行时bios Download PDF

Info

Publication number
CN103890715B
CN103890715B CN201180074226.0A CN201180074226A CN103890715B CN 103890715 B CN103890715 B CN 103890715B CN 201180074226 A CN201180074226 A CN 201180074226A CN 103890715 B CN103890715 B CN 103890715B
Authority
CN
China
Prior art keywords
bios
virtual
virtual trust
resource
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201180074226.0A
Other languages
English (en)
Other versions
CN103890715A (zh
Inventor
瓦柳丁·Y·阿里
约瑟·保罗·泽维尔·皮雷斯
詹姆斯·M·曼
波利斯·巴拉切夫
克里斯·I·道尔顿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/US2011/049677 external-priority patent/WO2013032442A1/en
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of CN103890715A publication Critical patent/CN103890715A/zh
Application granted granted Critical
Publication of CN103890715B publication Critical patent/CN103890715B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45541Bare-metal, i.e. hypervisor runs directly on hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一种实现方式可以包括由虚拟机监视器管理的虚拟受信任运行时BIOS。可以包括该虚拟受信任运行时BIOS的替换部分。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换指向该虚拟受信任运行时BIOS的资源的地址。

Description

路由器和虚拟受信任运行时BIOS
背景技术
像计算机或其它类型的设备这样的电子设备能够包括负责启动该电子设备的基本输入/输出系统(BIOS)。在启动期间,BIOS初始化并配置该电子设备的组件,并且加载该电子设备中的操作系统。此外,BIOS还能够提供其它服务,如电源管理服务、热管理服务、BIOS更新服务等等。
附图说明
一些实施例是关于下面的附图描述的:
图1是根据替换虚拟受信任运行时BIOS一部分的示例实现方式的计算系统的框图;
图2是根据替换虚拟受信任运行时BIOS一部分的示例实现方式的计算系统的框图;
图3是根据实现方式的替换虚拟受信任运行时BIOS一部分的方法的流程图;
图4是根据实现方式的替换虚拟受信任运行时BIOS一部分的方法的流程图;以及
图5是根据计算机可读介质的示例实现方式的计算系统的框图。
具体实施方式
基本输入/输出系统(BIOS)通常是在电子设备启动时由该电子设备运行的最初代码。电子设备的示例包括计算机(例如台式计算机、笔记本计算机、平板计算机、服务器计算机等)、手持设备(例如个人数字助理、智能电话等)、电子装置、游戏控制台或任何其它类型的电子设备。BIOS对该电子设备的各种硬件组件进行初始化和配置,并且加载和启动该电子设备的操作系统(OS)。用于BIOS的代码通常存储在非易失性存储器上,如闪存设备或其它类型的可编程只读存储器(ROM)。
尽管上面列出各种示例BIOS功能,但是注意到在其它实现方式中能够使用其它或可替代的BIOS功能。
根据一些实现方式,为了更强健的系统行为,能够在电子设备的虚拟受信任运行时BIOS中提供BIOS的功能,该虚拟受信任运行时BIOS可以位于特权域(privilegeddomain)中,其中特权域是电子设备的域,该域具有不可由电子设备中的其它实体利用的特定预限定的特权。“特权域”可以指具有预限定的特权的域,该预限定的特权允许该域内的实体执行电子设备中其它实体(例如OS、应用程序等)不被允许执行的功能。另外,特权域还具有保护该特权域不受未经授权的访问或攻击影响的安全机制。
与虚拟受信任运行时BIOS的通信可以通过基于网页(web)的协议。物理BIOS不能够实时地被替换,因为在替换BIOS时,操作系统不能够在没有BIOS的情况下继续操作。虚拟受信任运行时BIOS能够,至少部分地通过适当地经授权替换该虚拟运行时BIOS的一部分并且经由基于网页的协议将通信重定向至该虚拟受信任运行时BIOS的替换部分,被替换。
特权域的示例包括下面中的任一种或某一组合:域0,其经常是由执行管理任务的虚拟机监视器(还被称为管理程序(hypervisor))启动的第一域;该虚拟机监视器(或管理程序)的一部分;来宾虚拟机,该来宾虚拟机具有向该来宾虚拟机提供增强的特权和/或安全的预限定设置;或者电子设备中具有预限定的特殊特权和/或安全机制的另一类型的域。安全特权域能够包括虚拟受信任运行时BIOS,该虚拟受信任运行时BIOS能够包括用于安全地处理系统管理指令的虚拟高特权模式,而不必具有在与虚拟机监视器的对等层次上的组件(如系统管理模式转换监视器),以使虚拟高特权模式与其它域分离以及保护虚拟高特权模式不受其它域影响。
“虚拟机”(还被称为“虚拟装置”或“虚拟分割”)指为对物理机器进行虚拟化或仿真而提供的物理机器(电子设备)的某一部分或片段。从用户或应用的角度看,虚拟机看上去像物理机器。虚拟机包括操作系统(被称为来宾操作系统)以及至少一个应用程序。
还被称为管理程序的虚拟机监视器(VMM)管理电子设备的包括硬件组件在内的物理资源中由虚拟机进行的共享。VMM对物理资源进行虚拟化。每个虚拟机具有由VMM管理的关联的虚拟化物理资源。VMM处理对物理资源的请求。
在一个实现方式中,计算系统包括硬件和虚拟机监视器。该虚拟机监视器能够管理虚拟受信任运行时BIOS。该计算系统能够包括该虚拟受信任运行时BIOS的替换部分。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换指向该虚拟受信任运行时BIOS的资源的地址。
在另一实现方式中,替换计算系统中的虚拟受信任运行时BIOS的一部分的方法包括虚拟受信任运行时BIOS由虚拟机监视器管理并且该虚拟受信任运行时BIOS的替换部分由该虚拟机监视器管理。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向该虚拟受信任运行时BIOS的资源的第一地址。
参考附图,图1是根据替换虚拟受信任运行时BIOS的一部分的示例实现方式的计算系统的框图。计算系统100能够包括处理器110。处理器110是计算系统100的硬件105的一部分。处理器110可以是通用处理器或专用处理器。作为示例,硬件105还能够包括:I/O设备、易失性存储器、二级存储器、闪存、网络接口控制器、图形适配器等。该系统能够包括虚拟机监视器115,以管理硬件组件的物理资源并且虚拟化物理资源。计算系统包括附接至来宾域130的虚拟基本输入输出系统(vBIOS)135。来宾域130是可以运行诸如微软视窗、Linux、Unix或别的操作系统之类的操作系统的虚拟机。
在一些示例中,特权域120是域0,其是在系统启动时由VMM102启动的管理域并且具有增强的特权和安全机制。由域0执行的任务的示例包括创建和配置来宾域。域0和来宾域中的每个域均被认为是对应的虚拟机。特权域120能够与VMM115分离。在替代实现方式中,特权域120可以是VMM115的一部分。在这样的替代实现方式中,虚拟受信任运行时BIOS功能125是VMM115的一部分。特权域120在其由受信任的VMM115生成或管理时可以是受信任的域。
在特权域120中提供BIOS功能125实现“云中的BIOS”,该“云中的BIOS”还被称为“虚拟受信任运行时BIOS125或BIOS.v。“云”能够指特权域120(或某一其它受信任的域)。该云能够位于计算系统100内或计算系统100外。例如,包含虚拟受信任运行时BIOS125功能的云能够由计算系统100通过网络访问。网络可以是例如局域网、广域网或环球网。
在一些实现方式中,由基于网页的网络通信功能提供的基于网页的接口是服务请求者-服务提供者模型的一部分,该服务请求者-服务提供者模型允许请求者(例如,域)通过网络从提供者(例如,服务器计算机)请求服务(例如,BIOS服务)。作为示例,基于网页的接口可以是网页服务接口。网页服务指被设计来支持可互操作的机器对机器的机制,该可互操作的机器对机器可以是通过网络的虚拟机对虚拟机交互。网页服务接口可以根据由网页服务描述语言(WSDL)描述的格式,该网页服务描述语言(WSDL)由万维网联盟(W3C)定义。可替代地,网页服务接口能够根据(也由W3C定义的)简单对象访问协议(SOAP),该简单对象访问协议是用于通过网络在网页服务实现方式中交换结构化信息的协议。
作为另一替代,基于网页的接口能够根据表述性状态转移(REST)体系结构,该体系结构包括客户机和服务器,其中客户机能够向服务器提交请求且服务器能够向客户机提供响应。请求和响应是围绕资源的表述的转移建立的。资源可以是可以被寻址的任何连贯的且有意义的概念。资源的表述通常是捕获资源的当前状态或预期状态的文档。在REST体系结构中,由客户机(例如,电子设备)递交的请求能够在一些示例中是超文本传输协议(HTTP)获得(Get)请求。服务器(例如,服务器计算机)能够对该HTTP获得请求提供HTTP响应。
在基于网页的接口中,通过发出包含所请求的资源的地址的BIOS访问请求,能够访问资源(例如,内部的BIOS功能或外部的BIOS功能)。该地址可以是网页地址,如统一资源定位器(URL)、互联网协议(IP)地址、像电子邮件地址这样的简单邮件传输协议(SMTP)或能够唯一地识别所请求的资源的某一其它地址。
为了更新虚拟受信任运行时BIOS125,生成该虚拟受信任运行时BIOS的替换部分126。该虚拟受信任运行时BIOS的替换部分126可以位于与虚拟受信任运行时BIOS125不同的地址。例如,该虚拟受信任运行时BIOS可以具有处于第一URL、IP地址或SMTP地址处的请求资源,该虚拟受信任运行时BIOS的替换部分可以具有处于第二URL、IP地址或SMTP地址处的替换请求资源。该虚拟受信任运行时BIOS的替换部分126可以位于虚拟受信任运行时BIOS125的域(如特权域120)内,或者位于包括另一域的不同位置以及远离该计算系统的位置。
路由器190能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换该虚拟受信任运行时BIOS的资源的地址。路由器190可以是物理组件,如处理器110,可以是虚拟组件,可以是VMM的一部分,或者可以是另一组件。
该虚拟受信任运行时BIOS的替换部分可以从外部源(如计算系统制造者)接收。该虚拟受信任运行时BIOS的替换部分可以是设置,例如控制系统温度的风扇控制设置或算法。在实时设置中更新该虚拟受信任运行时BIOS可以防止重启计算系统来更新BIOS或该BIOS的任何部分。例如,如果使用该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分更新风扇控制设置。该虚拟受信任运行时BIOS的替换部分可以包括替换请求资源,如风扇控制设置。为了访问该替换请求资源,系统可以使用包括该替换请求资源的该虚拟受信任运行时BIOS的替换部分的URL、IP地址或SMTP地址。
为了重定向对资源的请求,像VMM这样的组件可以替换通信的URL、IP地址或SMTP地址。例如,VMM可以包括该虚拟受信任运行时BIOS的地址和虚拟受信任运行时BIOS的替换部分的对应地址的表格。如果将对资源的请求发送至该虚拟受信任运行时BIOS的地址,则像VMM这样的组件可以将对该虚拟受信任运行时BIOS的地址的请求重定向至该虚拟受信任运行时BIOS的替换部分的地址。
在替代实现方式中,如果虚拟受信任运行时BIOS的替换部分包括该替换资源,则组件可以向可能请求资源的域(如来宾域)通知资源的新地址。向该域通知资源的地址变化能够重定向对资源的请求。
响应于包含在基于网页的接口处接收的地址的虚拟受信任运行时BIOS访问请求,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能中合适的虚拟受信任运行时BIOS功能。在一些情况中,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能。
图2是根据虚拟高特权模式的示例实现方式的计算系统的框图。计算系统200能够包括处理器210。处理器210是计算系统200的硬件205的一部分。该硬件能够包括固件245,固件245可以包括基本输入/输出系统(BIOS)250以及可扩展固件接口(EFI)255。BIOS250可以被称为物理BIOS。“物理BIOS”指驻留在诸如闪存或其它可编程只读存储器之类的非易失性存储器内的并且应当在计算系统200启动时运行的BIOS代码。在一些实现方式中,物理BIOS可以是BIOS的精简(简化)版本,因为系统管理模式的至少一部分被移至虚拟受信任运行时BIOS225。如果实现了虚拟受信任运行时BIOS225,则由于与虚拟受信任运行时BIOS225关联的信任,物理BIOS250可以继续被解锁来允许变化。处理器210可以是通用处理器或专用处理器。该系统能够包括虚拟机监视器VMM215,以管理硬件组件的物理资源并且虚拟化物理资源。计算系统200包括附接至来宾域230的虚拟基本输入输出系统(vBIOS)235。来宾域230是可以运行诸如微软视窗、Linux、Unix或别的操作系统之类的操作系统的虚拟机。
在一些示例中,特权域220是域0,其是在系统启动时由VMM215启动的、具有增强的特权和安全机制的管理域。由域0执行的任务的示例包括创建和配置来宾域。域0和来宾域中的每个域均被认为是对应的虚拟机。特权域220能够与VMM215分离。在替代实现方式中,特权域220可以是VMM215的一部分。在这样的替代实现方式中,虚拟受信任运行时BIOS225是VMM215的一部分。
在一些实现方式中,云中的BIOS建立在基于VMM的体系结构基础上:物理BIOS知道并且信任该物理BIOS正在启动的主运行时实体(VMM215),并且BIOS信任的VMM有能力捕获并且关闭除来自特权域的那些I/O请求以外的所有I/O请求(访问BIOS功能)。在一些实现方式中,能够提供BIOS核验机制来验证要被计算系统启动的VMM的来源。这样的核验机制允许管理员或其它用户指定在计算系统中只能够启动经验证的VMM。核验机制确保计算系统内的VMM镜像未被恶意修改,并且该VMM能够被信任。物理BIOS能够可视地核验VMM镜像,并且确保用事先已经指定的已知一组受控操作设置启动该VMM。
在核验已经启动经验证的VMM以后,然后物理BIOS能够推迟或省略物理BIOS会正常执行的各种安全手段的运行,以防止被未经验证的或恶意的代码的破坏。例如,物理BIOS能够选择不锁定BIOS快闪寄存器和/或闪存的多个部分。
在虚拟受信任运行时BIOS225设置在计算系统200内部中的实现方式中。从希望访问BIOS服务的计算系统的来宾虚拟机或其它实体的角度,包括BIOS服务的云能够位于任何位置,该任何位置包括位于计算系统外的位置。
在具有虚拟受信任运行时BIOS的一个实现方式中,除特权域或另一受信任域以外的其它域将能够与BIOS通信。这可能是因为从来宾域至BIOS的所有通信被捕获并且被路由至特权域部分来由适当过滤器接收和处理。然后,特权域中的虚拟高特权模式能够处理该请求并且做出对闪存或BIOS的直接调用或间接调用。然后,该从特权域至BIOS的调用将由管理程序允许来经历,因为管理程序能够检测从特权域而非来宾域产生的调用。
为了更新虚拟受信任运行时BIOS225,生成该虚拟受信任运行时BIOS的替换部分226。该虚拟受信任运行时BIOS的替换部分226可以位于与虚拟受信任运行时BIOS225不同的地址。例如,该虚拟受信任运行时BIOS可以具有处于第一URL、IP地址或SMTP地址处的请求资源,并且该虚拟受信任运行时BIOS的替换部分可以具有处于第二URL、IP地址或SMTP地址处的替换请求资源。该虚拟受信任运行时BIOS的替换部分126可以位于虚拟受信任运行时225的域(如特权域220)内,或者位于包括另一域的不同位置以及远离该计算系统的位置。
路由器290能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换该虚拟受信任运行时BIOS的资源的地址。路由器290可以是物理组件,如处理器210,可以是虚拟组件,可以是VMM的一部分,或者可以是另一组件。
该虚拟受信任运行时BIOS的替换部分可以从外部源(如计算系统制造者)接收。该虚拟受信任运行时BIOS的替换部分可以是设置,例如控制系统温度的风扇控制设置或算法。在实时设置中更新该虚拟受信任运行时BIOS可以防止重启计算系统来更新BIOS或该BIOS的任何部分。例如,如果使用该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分更新风扇控制设置。该虚拟受信任运行时BIOS的替换部分可以包括替换请求资源,如风扇控制设置。为了访问该替换请求资源,系统可以使用包括该替换请求资源的该虚拟受信任运行时BIOS的替换部分的URL、IP地址或SMTP地址。
为了重定向对资源的请求,像VMM这样的组件可以替换通信的URL、IP地址或SMTP地址。例如,VMM可以包括该虚拟受信任运行时BIOS的地址和虚拟受信任运行时BIOS的替换部分的对应地址的表格。如果将对资源的请求发送至该虚拟受信任运行时BIOS的地址,则像VMM这样的组件可以将对该虚拟受信任运行时BIOS的地址的请求重定向至该虚拟受信任运行时BIOS的替换部分的地址。
在替代实现方式中,如果虚拟受信任运行时BIOS的替换部分包括该替换资源,则组件可以向可能请求资源的域(如来宾域)通知资源的新地址。向该域通知资源的地址变化能够重定向对资源的请求。
响应于包含在基于网页的接口处接收的地址的虚拟受信任运行时BIOS访问请求,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能中合适的虚拟受信任运行时BIOS功能。在一些情况中,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能。
虚拟受信任运行时BIOS一部分的替换应当是安全的,以防止该系统变得易受由虚拟受信任运行时BIOS的该部分的替换导致的攻击影响。在VMM215中示出的授权模块295可以位于域内或者例如虚拟装置可以授权该虚拟受信任运行时BIOS的替换。该授权模块可以授权虚拟受信任运行时BIOS的替换部分226的生成,此时路由器能够将请求路由至该虚拟受信任运行时BIOS的替换部分的地址。授权模块295可以授权该路由器用该虚拟受信任运行时BIOS的替换部分替换该虚拟受信任运行时BIOS的资源的地址。该授权模块可以读取数字签名、数字证书或者该虚拟受信任运行时BIOS的替换部分的另一组件。VMM215是受信任的组件,该授权模块可以依靠VMM215的信任组件来授权至该虚拟受信任运行时BIOS的替换部分的地址的请求的路由。
通信285能够被路由至虚拟受信任运行时BIOS225的资源的第一地址或者虚拟受信任运行时BIOS的替换部分226的第二地址。尽管仅示出一个替换部分,但是其可以代表该虚拟受信任运行时BIOS的多个替换部分。例如,可能存在该虚拟受信任运行时BIOS的第二替换部分。第二替换部分可以包括被该替换部分替换的资源,或者可以替换该虚拟受信任运行时BIOS的资源。该虚拟受信任运行时BIOS的替换部分还可以包括被该替换部分替换的多个资源。
在一个实现方式中,BIOS250和EFI255能够包括可由基于网页的协议使用该资源的地址访问的资源。例如,该虚拟受信任运行时BIOS225或者该虚拟受信任运行时BIOS的替换部分226可以能够控制该系统的硬件205的一部分。为了控制该硬件,虚拟受信任运行时BIOS225或者虚拟受信任运行时BIOS的替换部分226可以进行向BIOS250或EFI255的通信。
在一个实现方式中,硬件可以包括收发器265。该收发器能够将计算系统200连接至网络或另一计算系统。将计算系统200连接至具有其它计算系统的网络或者直接连接至另一计算系统能够允许虚拟受信任运行时BIOS225或该虚拟受信任运行时BIOS的替换部分驻留在远离计算系统的位置。在一个示例中,虚拟受信任运行时BIOS225在计算系统200中驻留在第一地址,该虚拟受信任运行时BIOS的替换部分驻留在远离该计算系统的第二地址。如果例如来宾域230向该虚拟受信任运行时BIOS发送对资源的请求,那么路由器290会使用第一地址,然而如果该替换部分包括请求资源的替换,则该地址会是该虚拟受信任运行时BIOS的替换部分处的资源的地址,该替换部分会被路由至收发器265,无论其位于哪里收发器265会基于第二地址被路由到该虚拟受信任运行时BIOS的替换部分。
图3是根据实现方式的替换虚拟受信任运行时BIOS一部分的方法的流程图。该替换计算系统100中的虚拟受信任运行时BIOS一部分的方法从305处管理虚拟受信任运行时BIOS开始。虚拟受信任运行时BIOS125的管理能够通过虚拟机监视器115进行。
该方法能够在310处管理该虚拟受信任运行时BIOS的替换部分。该虚拟受信任运行时BIOS的替换部分的管理可以通过VMM进行。VMM可以生成该虚拟受信任运行时BIOS的替换部分,或者可以从外部源(如计算系统的制造者)接收该虚拟受信任运行时BIOS的替换部分。虚拟受信任运行时BIOS上的替换部分的管理可以包括将该虚拟受信任运行时BIOS上的替换部分放置在主管该虚拟受信任运行时BIOS的域中或者放置在可以包括远离计算系统的域的另一域中。
在315处,路由器190能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向该虚拟受信任运行时BIOS的资源的第一地址。该路由器可以是例如物理控制器(如处理器110)、虚拟组件(如VMM或另一组件)。
图4是根据实现方式的替换虚拟受信任运行时BIOS一部分的方法的流程图。计算系统100中的替换虚拟受信任运行时BIOS一部分的该方法在405处从管理虚拟受信任运行时BIOS开始。虚拟受信任运行时BIOS125的管理能够通过虚拟机监视器115进行。
在407处,该虚拟受信任运行时BIOS的替换部分能够被授权。该虚拟受信任运行时BIOS的替换部分的授权可以通过授权模块,或者可以通过VMM以信任虚拟受信任运行时BIOS的相同方式进行。该授权可以审阅数字签名、数字证书或另一类型的安全授权。
在410处,该方法能够管理该虚拟受信任运行时BIOS的替换部分。该虚拟受信任运行时BIOS的替换部分的管理可以通过VMM进行。VMM可以生成该虚拟受信任运行时BIOS的替换部分,或者可以从外部源(如计算系统的制造者)接收该虚拟受信任运行时BIOS的替换部分。虚拟受信任运行时BIOS上的替换部分的管理可以包括将该虚拟受信任运行时BIOS上的替换部分放置在主管该虚拟受信任运行时BIOS的域中或者放置在可以包括远离计算系统的域的另一域中。
在414处,由路由器进行的指向该虚拟受信任运行时BIOS的资源的第一地址向指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址的替换可以被授权。第一地址向第二地址的替换的授权可以通过授权模块,或者可以通过VMM以与信任虚拟受信任运行时BIOS的方式相同的方式进行。授权可以审阅数字签名、数字证书或另一类型的安全授权。
在415处,路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换该虚拟受信任运行时BIOS的资源的第一地址。该路由器可以是例如物理控制器(如处理器110)、虚拟组件(如VMM或另一组件)。
虚拟受信任运行时BIOS的第二替换部分可以由VMM管理。在418处,通信可以被路由至该虚拟受信任运行时BIOS的第二替换部分。
在一个实现方式中,在420处,虚拟受信任运行时BIOS以及该虚拟受信任运行时BIOS的替换部分二者之一或二者都可以位于远离的位置并且进行通信。该通信可以是通过将该通信引导至所请求的资源的地址进行。该通信的地址可以是在网页通信协议中使用的地址,以将该通信路由至该地址。
所请求的资源可以由虚拟受信任运行时BIOS以及该虚拟受信任运行时BIOS的替换部分提供。为了确定是否替换该通信的地址,在412处可以考虑该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分被建立的时间。例如,如果该虚拟受信任运行时BIOS的替换部分被建立的时间按时间先后顺序在该虚拟受信任运行时BIOS被建立的时间以后,那么该虚拟受信任运行时BIOS的替换部分的更加新近的资源的地址可以用来将该通信路由至所请求的资源。
图5是根据计算机可读介质515-516的示例实现方式的计算系统500的框图。该计算系统可以包括控制器集线器510,该控制器集线器510可以连接至图形控制器520、显示器530、键盘535、鼠标540和传感器545。计算机可读介质515-516能够包括如果被处理器505运行就能够管理虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分的代码。该代码还能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换该虚拟受信任运行时BIOS的资源的第一地址。
各种模块,如在其它图中绘出的那些模块,能够被实现为能够在一个或多个处理器上运行的机器可读指令。处理器能够包括微处理器、微控制器、处理器模块或子系统、可编程集成电路、可编程门阵列或者别的控制设备或计算设备。
该机器可读指令能够存储在机器可读存储介质或计算机可读存储介质中,该机器可读存储介质或计算机可读存储介质能够被实现为一个或多个计算机可读存储介质或机器可读存储介质。存储介质能够包括不同形式的存储器,包括诸如动态随机存取存储器(DRAM)或静态随机存取存储器(SRAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)和闪存之类的半导体存储器设备,诸如硬盘、软盘和可换式磁盘之类的磁盘,包括磁带的其它磁性介质,诸如光盘(CD)或数字视频盘(DVD)之类的光学介质,或其它类型的存储设备。注意,上面论述的指令能够提供在一个计算机可读存储介质或机器可读存储媒介上,或者可替代地,能够提供在分布于可能具有多个节点的大型系统中的多个计算机可读存储介质或机器可读存储介质上。这种计算机可读存储媒介或介质,或机器可读存储媒介或介质被认为是物品(或制品)的一部分。物品或制品能够指任意被制造的单个组件或多个组件。存储媒介或存储介质能够位于运行该机器可读指令的机器内或者位于能够通过网络下载用于运行的机器可读指令的远程位置。
在前面的描述中,阐述许多细节,以提供对本文公开的主题的理解。然而,实现方式可以在没有这些细节中的一些细节或全部细节的条件下实践。其它实现方式可以包括上面介绍的细节的改变和变型。希望所附权利要求覆盖上述改变和变型。

Claims (12)

1.一种计算系统,包括:
硬件;
虚拟机监视器;
虚拟受信任运行时BIOS,由所述虚拟机监视器管理;
所述虚拟受信任运行时BIOS的替换部分,所述替换部分包括所述虚拟受信任运行时BIOS的第一资源的替换资源;以及
路由器,
其中所述虚拟机监视器用于接收包括指向所述虚拟受信任运行时BIOS的所述第一资源的第一地址的访问请求,并且确定是否将所述访问请求重定向至所述替换部分,其中所述路由器用于响应于将所述访问请求重定向至所述替换部分的确定而在所述访问请求中用指向所述虚拟受信任运行时BIOS的所述替换部分的所述替换资源的第二地址替换指向所述第一资源的所述第一地址。
2.根据权利要求1所述的系统,进一步包括所述虚拟受信任运行时BIOS的第二替换部分。
3.根据权利要求1所述的系统,进一步包括:授权模块,该授权模块对用指向所述虚拟受信任运行时BIOS的所述替换部分的所述替换资源的所述第二地址替换指向所述第一资源的所述第一地址进行授权。
4.根据权利要求3所述的系统,其中所述授权模块在对所述替换部分的数字签名进行授权以后对所述第一地址的替换进行授权。
5.根据权利要求1所述的系统,进一步包括特权域,该特权域主管所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分。
6.根据权利要求1所述的系统,进一步包括收发器,该收发器与远离所述硬件设置的所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分之一通信。
7.一种替换计算系统中的虚拟受信任运行时BIOS的一部分的方法,该方法包括:
管理所述虚拟受信任运行时BIOS;
管理所述虚拟受信任运行时BIOS的替换部分,所述替换部分包括所述虚拟受信任运行时BIOS的第一资源的替换资源;
接收对所述虚拟受信任运行时BIOS的所述第一资源的访问请求,所述访问请求包括指向所述第一资源的第一地址;
由虚拟机监视器确定是否将所述访问请求重定向至所述替换部分;以及响应于将所述访问请求重定向至所述替换部分的确定,通过路由器,在所述访问请求中用指向所述虚拟受信任运行时BIOS的所述替换部分的所述替换资源的第二地址替换指向所述第一资源的所述第一地址。
8.根据权利要求7所述的方法,进一步包括对所述虚拟受信任运行时BIOS的替换部分进行授权。
9.根据权利要求8所述的方法,进一步包括授权所述路由器用所述指向所述虚拟受信任运行时BIOS的所述替换部分的所述替换资源的所述第二地址替换所述指向所述第一资源的所述第一地址。
10.根据权利要求7所述的方法,进一步包括与远离所述计算系统设置的所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分之一通信。
11.根据权利要求7所述的方法,进一步包括:通过所述虚拟机监视器,基于所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分被建立的时间,确定是否将所述访问请求重定向至所述替换部分。
12.根据权利要求7所述的方法,进一步包括:
使用网页通信协议与所述虚拟受信任运行时BIOS或所述虚拟受信任运行时BIOS的替换部分通信。
CN201180074226.0A 2011-08-30 2011-10-19 路由器和虚拟受信任运行时bios Expired - Fee Related CN103890715B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
PCT/US2011/049677 WO2013032442A1 (en) 2011-08-30 2011-08-30 Virtual high privilege mode for a system management request
USPCT/US2011/049677 2011-08-30
USPCT/US2011/054045 2011-09-29
PCT/US2011/054045 WO2013032495A1 (en) 2011-08-30 2011-09-29 Communication with a virtual trusted runtime bios
PCT/US2011/056932 WO2013032508A1 (en) 2011-08-30 2011-10-19 A router and a virtual trusted runtime bios

Publications (2)

Publication Number Publication Date
CN103890715A CN103890715A (zh) 2014-06-25
CN103890715B true CN103890715B (zh) 2017-09-12

Family

ID=54328041

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201180072962.2A Expired - Fee Related CN103748556B (zh) 2011-08-30 2011-09-29 与虚拟受信任运行时bios通信
CN201180074226.0A Expired - Fee Related CN103890715B (zh) 2011-08-30 2011-10-19 路由器和虚拟受信任运行时bios

Family Applications Before (1)

Application Number Title Priority Date Filing Date
CN201180072962.2A Expired - Fee Related CN103748556B (zh) 2011-08-30 2011-09-29 与虚拟受信任运行时bios通信

Country Status (9)

Country Link
US (4) US9275230B2 (zh)
EP (1) EP2771783B1 (zh)
JP (1) JP5809362B2 (zh)
CN (2) CN103748556B (zh)
BR (1) BR112014003389B1 (zh)
DE (1) DE112011105568T5 (zh)
GB (1) GB2507015B (zh)
TW (1) TWI464680B (zh)
WO (2) WO2013032495A1 (zh)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9148428B1 (en) * 2011-05-25 2015-09-29 Bromium, Inc. Seamless management of untrusted data using virtual machines
JP6063941B2 (ja) 2011-08-30 2017-01-18 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. システム管理要求のための仮想高特権モード
WO2013032495A1 (en) * 2011-08-30 2013-03-07 Hewlett-Packard Development Company , L.P. Communication with a virtual trusted runtime bios
DE112011105752T5 (de) * 2011-10-21 2014-10-02 Hewlett-Packard Development Company, L.P. Webbasierte Schnittstelle zum Zugriff auf eine Funktion eines Basic Input/Output-Systems
IN2014DN03052A (zh) 2011-10-21 2015-05-08 Hewlett Packard Development Co
US9253185B2 (en) * 2012-12-12 2016-02-02 Nokia Technologies Oy Cloud centric application trust validation
US9497266B2 (en) * 2013-02-22 2016-11-15 International Business Machines Corporation Disk mirroring for personal storage
US10049217B2 (en) 2013-11-13 2018-08-14 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
US9547767B2 (en) 2013-11-13 2017-01-17 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
US9779242B2 (en) 2013-11-13 2017-10-03 Via Technologies, Inc. Programmable secure bios mechanism in a trusted computing system
US10055588B2 (en) 2013-11-13 2018-08-21 Via Technologies, Inc. Event-based apparatus and method for securing BIOS in a trusted computing system during execution
US9798880B2 (en) 2013-11-13 2017-10-24 Via Technologies, Inc. Fuse-enabled secure bios mechanism with override feature
US9367689B2 (en) 2013-11-13 2016-06-14 Via Technologies, Inc. Apparatus and method for securing BIOS in a trusted computing system
US9779243B2 (en) 2013-11-13 2017-10-03 Via Technologies, Inc. Fuse-enabled secure BIOS mechanism in a trusted computing system
US9767288B2 (en) 2013-11-13 2017-09-19 Via Technologies, Inc. JTAG-based secure BIOS mechanism in a trusted computing system
US9129113B2 (en) 2013-11-13 2015-09-08 Via Technologies, Inc. Partition-based apparatus and method for securing bios in a trusted computing system during execution
US10095868B2 (en) 2013-11-13 2018-10-09 Via Technologies, Inc. Event-based apparatus and method for securing bios in a trusted computing system during execution
US9183394B2 (en) 2013-11-13 2015-11-10 Via Technologies, Inc. Secure BIOS tamper protection mechanism
US9507942B2 (en) 2013-11-13 2016-11-29 Via Technologies, Inc. Secure BIOS mechanism in a trusted computing system
EP3085007B1 (en) 2013-12-20 2023-03-15 Nokia Technologies Oy Push-based trust model for public cloud applications
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US10121007B2 (en) 2014-02-21 2018-11-06 Intuit Inc. Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
US20150271195A1 (en) * 2014-03-18 2015-09-24 Intuit Inc. Method and system for providing temporary secure access enabled virtual assets
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
CN105988830B (zh) * 2015-02-04 2019-07-26 联想(北京)有限公司 信息处理方法及电子设备
US10375088B2 (en) 2015-06-04 2019-08-06 Vm-Robot, Inc. Routing systems and methods
US9749294B1 (en) * 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
US10740710B2 (en) 2016-03-25 2020-08-11 Nebbiolo Technologies, Inc. Fog computing facilitated flexible factory
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
US10798063B2 (en) * 2016-10-21 2020-10-06 Nebbiolo Technologies, Inc. Enterprise grade security for integrating multiple domains with a public cloud
US11231448B2 (en) 2017-07-20 2022-01-25 Targus International Llc Systems, methods and devices for remote power management and discovery
US10979368B2 (en) 2017-08-02 2021-04-13 Nebbiolo Technologies, Inc. Architecture for converged industrial control and real time applications
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
US10838707B2 (en) 2018-07-20 2020-11-17 Dell Products L.P. Runtime update of intel server platform services' node manager settings in bios EEPROM
EP3908948A4 (en) * 2019-04-18 2022-08-24 Hewlett-Packard Development Company, L.P. SERVICE TRUST STATE
CA3148974C (en) 2019-08-22 2024-06-25 Targus International Llc Systems and methods for participant-controlled video conferencing
WO2021150219A1 (en) 2020-01-22 2021-07-29 Hewlett-Packard Development Company, L.P. Customized thermal and power policies in computers
US20220156381A1 (en) * 2020-11-19 2022-05-19 Moxa Inc. Method of Handling Security of an Operating System
US12073205B2 (en) 2021-09-14 2024-08-27 Targus International Llc Independently upgradeable docking stations
US12105806B2 (en) * 2022-01-27 2024-10-01 Hewlett Packard Enterprise Development Lp Securing communications with security processors using platform keys
CN114244515B (zh) * 2022-02-25 2022-06-28 中瓴智行(成都)科技有限公司 基于Hypervisor的虚拟机通信方法、装置、可读存储介质及电子设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1154282C (zh) * 1996-09-30 2004-06-16 英特尔公司 安全bios
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5230052A (en) * 1990-10-01 1993-07-20 International Business Machines Corp. Apparatus and method for loading bios into a computer system from a remote storage location
US5574920A (en) 1994-10-25 1996-11-12 Microsoft Corporation Method for controlling power down of a hard disk drive in a computer
US5701477A (en) * 1995-03-30 1997-12-23 Cirrus Logic, Inc. Method and apparatus for master boot record shadowing
WO1998029807A1 (en) 1996-12-30 1998-07-09 Cirrus Logic, Inc. Real time services in backwardly compatible operating systems
US6003065A (en) 1997-04-24 1999-12-14 Sun Microsystems, Inc. Method and system for distributed processing of applications on host and peripheral devices
US20030229794A1 (en) 2002-06-07 2003-12-11 Sutton James A. System and method for protection against untrusted system management code by redirecting a system management interrupt and creating a virtual machine container
US7024550B2 (en) * 2002-06-28 2006-04-04 Hewlett-Packard Development Company, L.P. Method and apparatus for recovering from corrupted system firmware in a computer system
US7337309B2 (en) * 2003-03-24 2008-02-26 Intel Corporation Secure online BIOS update schemes
US7032108B2 (en) * 2003-05-02 2006-04-18 Egenera, Inc. System and method for virtualizing basic input/output system (BIOS) including BIOS run time services
US7380136B2 (en) * 2003-06-25 2008-05-27 Intel Corp. Methods and apparatus for secure collection and display of user interface information in a pre-boot environment
EP1530339B1 (en) * 2003-11-07 2008-03-05 Harman Becker Automotive Systems GmbH Method and apparatuses for access control to encrypted data services for a vehicle entertainment and information processing device
US7418584B1 (en) * 2004-05-11 2008-08-26 Advanced Micro Devices, Inc. Executing system management mode code as virtual machine guest
US8271976B2 (en) 2004-06-30 2012-09-18 Microsoft Corporation Systems and methods for initializing multiple virtual processors within a single virtual machine
US7757231B2 (en) * 2004-12-10 2010-07-13 Intel Corporation System and method to deprivilege components of a virtual machine monitor
US7334076B2 (en) 2005-03-08 2008-02-19 Microsoft Corporation Method and system for a guest physical address virtualization in a virtual machine environment
US7937701B2 (en) 2005-06-30 2011-05-03 Intel Corporation ACPI communication between virtual machine monitor and policy virtual machine via mailbox
US20070055968A1 (en) 2005-09-07 2007-03-08 Rader Shawn T Reliable BIOS updates
CN100437420C (zh) 2005-09-30 2008-11-26 联想(北京)有限公司 计算机系统及其安全加固方法
US7676666B2 (en) 2006-02-02 2010-03-09 Dell Products L.P. Virtual BIOS firmware hub
JP4542514B2 (ja) * 2006-02-13 2010-09-15 株式会社日立製作所 計算機の制御方法、プログラム及び仮想計算機システム
US7840398B2 (en) * 2006-03-28 2010-11-23 Intel Corporation Techniques for unified management communication for virtualization systems
US8341416B2 (en) 2006-05-21 2012-12-25 International Business Machines Corporation Assertion message signatures
US20080082976A1 (en) * 2006-09-29 2008-04-03 Matthias Steinwagner Usage of virtualization software for shipment of software products
US9280659B2 (en) * 2006-12-29 2016-03-08 Intel Corporation Methods and apparatus for remeasuring a virtual machine monitor
CN101241445B (zh) 2007-02-08 2011-07-27 联想(北京)有限公司 虚拟机系统及其访问显卡的方法
US8060876B2 (en) * 2007-08-10 2011-11-15 Intel Corporation Methods and apparatus for creating an isolated partition for a virtual trusted platform module
US8064605B2 (en) * 2007-09-27 2011-11-22 Intel Corporation Methods and apparatus for providing upgradeable key bindings for trusted platform modules
US20090125901A1 (en) 2007-11-13 2009-05-14 Swanson Robert C Providing virtualization of a server management controller
US20110040812A1 (en) 2007-12-20 2011-02-17 Virtual Computer, Inc. Layered Virtual File System
US8584229B2 (en) * 2007-12-21 2013-11-12 Intel Corporation Methods and apparatus supporting access to physical and virtual trusted platform modules
JP2009176213A (ja) * 2008-01-28 2009-08-06 Hitachi Software Eng Co Ltd ネットワークブート方式
US20090198988A1 (en) * 2008-01-31 2009-08-06 Inventec Corporation Method for verifying refreshed bios content
JP2009230433A (ja) * 2008-03-21 2009-10-08 Toshiba Corp ネットワークブート装置、プログラム及び方法
US8117435B2 (en) 2008-06-30 2012-02-14 Intel Corporation Method and system for secured dynamic bios update
TWI460657B (zh) 2008-09-05 2014-11-11 Asustek Comp Inc 更新與修復基本輸入輸出系統的方法
CN101739283B (zh) * 2008-11-20 2013-12-25 联想(北京)有限公司 一种计算机及虚拟系统直接访问计算机硬件的方法
US20110055299A1 (en) 2008-12-18 2011-03-03 Virtual Computer, Inc. Managing User Data in a Layered Virtual Workspace
US8799691B2 (en) 2009-01-07 2014-08-05 Hewlett-Packard Development Company, L.P. Hierarchical power management
US8166288B2 (en) 2009-01-30 2012-04-24 Hewlett-Packard Development Company, L.P. Managing requests of operating systems executing in virtual machines
US8918488B2 (en) 2009-02-04 2014-12-23 Citrix Systems, Inc. Methods and systems for automated management of virtual resources in a cloud computing environment
US8245086B2 (en) * 2009-06-26 2012-08-14 International Business Machines Corporation Visual feedback system for multiple partitions on a server
CN101599025B (zh) * 2009-07-07 2012-07-18 武汉大学 可信密码模块安全虚拟化方法
US8286164B2 (en) * 2009-08-07 2012-10-09 International Business Machines Corporation Secure recursive virtualization
US9069591B1 (en) * 2009-09-10 2015-06-30 Parallels IP Holding GmbH Patching host OS structures for hardware isolation of virtual machines
JP2011076505A (ja) 2009-09-30 2011-04-14 Brother Industries Ltd 情報処理システム及び情報処理方法
US20110126194A1 (en) * 2009-11-24 2011-05-26 International Business Machines Corporation Shared security device
US8661436B2 (en) 2009-12-14 2014-02-25 Citrix Systems, Inc. Dynamically controlling virtual machine access to optical disc drive by selective locking to a transacting virtual machine determined from a transaction stream of the drive
JP5458899B2 (ja) * 2010-01-12 2014-04-02 富士通株式会社 仮想計算機、遠隔起動プログラム、遠隔起動方法及び仮想計算機システム
US8473947B2 (en) * 2010-01-18 2013-06-25 Vmware, Inc. Method for configuring a physical adapter with virtual function (VF) and physical function (PF) for controlling address translation between virtual disks and physical storage regions
US8977842B1 (en) * 2010-02-05 2015-03-10 Symantec Corporation Hypervisor enabled secure inter-container communications
US8719817B2 (en) * 2010-03-25 2014-05-06 Vmware, Inc. Virtualization intermediary/virtual machine guest operating system collaborative SCSI path management
CN102971706B (zh) * 2010-05-10 2016-08-10 思杰系统有限公司 将信息从安全虚拟机重定向到不安全虚拟机
CN102262557B (zh) * 2010-05-25 2015-01-21 运软网络科技(上海)有限公司 通过总线架构构建虚拟机监控器的方法及性能服务框架
US8429276B1 (en) * 2010-10-25 2013-04-23 Juniper Networks, Inc. Dynamic resource allocation in virtual environments
CN101957900B (zh) * 2010-10-26 2012-02-15 中国航天科工集团第二研究院七○六所 一种可信虚拟机平台
US8839363B2 (en) * 2011-04-18 2014-09-16 Bank Of America Corporation Trusted hardware for attesting to authenticity in a cloud environment
EP2718785A4 (en) * 2011-06-13 2014-12-31 Lynux Works Inc SYSTEMS AND METHOD FOR SAFE DOMAIN INSULATION
WO2013032495A1 (en) * 2011-08-30 2013-03-07 Hewlett-Packard Development Company , L.P. Communication with a virtual trusted runtime bios

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1154282C (zh) * 1996-09-30 2004-06-16 英特尔公司 安全bios
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统

Also Published As

Publication number Publication date
US20160162299A1 (en) 2016-06-09
US10013559B2 (en) 2018-07-03
JP5809362B2 (ja) 2015-11-10
EP2771783B1 (en) 2020-08-05
CN103890715A (zh) 2014-06-25
GB2507015A (en) 2014-04-16
US9535710B2 (en) 2017-01-03
US20140359259A1 (en) 2014-12-04
EP2771783A4 (en) 2015-06-03
BR112014003389A2 (pt) 2017-02-21
JP2014529130A (ja) 2014-10-30
US20170068817A1 (en) 2017-03-09
TW201322128A (zh) 2013-06-01
EP2771783A1 (en) 2014-09-03
CN103748556A (zh) 2014-04-23
GB201401956D0 (en) 2014-03-19
GB2507015B (en) 2020-04-29
TWI464680B (zh) 2014-12-11
US20140250294A1 (en) 2014-09-04
CN103748556B (zh) 2018-02-02
US9275230B2 (en) 2016-03-01
BR112014003389B1 (pt) 2021-09-28
WO2013032508A1 (en) 2013-03-07
WO2013032495A1 (en) 2013-03-07
DE112011105568T5 (de) 2014-05-28
US9542197B2 (en) 2017-01-10

Similar Documents

Publication Publication Date Title
CN103890715B (zh) 路由器和虚拟受信任运行时bios
JP6591678B2 (ja) チェーン接続セキュリティシステム
CN104982005B (zh) 实施虚拟化环境中的特权加密服务的计算装置及方法
US11050844B2 (en) User controlled hardware validation
US10831889B2 (en) Secure memory implementation for secure execution of virtual machines
US9792143B1 (en) Platform secure execution modes
CN105659211B (zh) 虚拟机管理器促进的选择性代码完整性实施
EP2689324B1 (en) Strong rights management for computing application functionality
CN103890716B (zh) 用于访问基本输入/输出系统的功能的基于网页的接口
CN109478149A (zh) 混合云计算系统中的访问服务
US9866547B2 (en) Controlling a discovery component, within a virtual environment, that sends authenticated data to a discovery engine outside the virtual environment
CN107533608A (zh) 可信更新
CN109479062A (zh) 混合云计算系统中的使用跟踪
TWI737172B (zh) 用於安全作業系統映像之增量解密及完整度驗證之電腦系統、電腦程式產品及電腦實施方法
CN107980133A (zh) 暂时进程特权解除
US10691356B2 (en) Operating a secure storage device
Gjerdrum Diggi: A Distributed Serverless Runtime for Developing Trusted Cloud Services
Cheng et al. Analyzing the Chain of Trust Model Based on Entity Dependence
TWI603221B (zh) 路由器及虛擬受信賴運作時間基本輸入輸出系統

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170912