CN106855814B - 管理基本输入输出系统设定的系统和方法 - Google Patents
管理基本输入输出系统设定的系统和方法 Download PDFInfo
- Publication number
- CN106855814B CN106855814B CN201610272944.3A CN201610272944A CN106855814B CN 106855814 B CN106855814 B CN 106855814B CN 201610272944 A CN201610272944 A CN 201610272944A CN 106855814 B CN106855814 B CN 106855814B
- Authority
- CN
- China
- Prior art keywords
- bios
- state
- authentication information
- computer system
- settings
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4411—Configuring for operating with peripheral devices; Loading of device drivers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/442—Shutdown
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Stored Programmes (AREA)
Abstract
本发明涉及管理基本输入输出系统设定的系统和方法,尤其涉及一种BIOS设定配置可被储存在计算机系统的BIOS。预设BIOS状态可被设定为锁态。当认证要求被接收以及当该接收到的认证要求的认证信息匹配被储存在该BIOS的认证信息时,该BIOS状态可从该锁态被更改至解锁态。在一些实施例里,BIOS设定更改要求可被接收。该BIOS设定可基于该BIOS设定更改要求而被修改。于该BIOS设定修改完成之后,该BIOS状态可被更改回该锁态。
Description
技术领域
本发明涉及一种服务器装置,特别是有关于计算装置的管理基本输入输出系统(BIOS)设定配置的方法。
背景技术
许多技术已经发展到以提供易存取性、一致性、以及有效率的方式来远程管理计算机服务器的操作。远程管理允许移除该等服务器的输入/输出接口(例如,屏幕、键盘、以及鼠标)。举例来说,大型数据中心包含众多服务器,且使用各种远程管理工具,像是简单终端连接、远程桌面应用、以及其它软件工具,以配置、监控、和排解服务器硬件和软件的疑难而共同地管理该等服务器。
在典型的计算机系统中(例如,数据中心的机架式服务器),BIOS软件应用程序被储存在BIOS芯片上,该BIOS芯片位于该计算机系统的一主机板上。当该计算机系统随着一组指定用于该BIOS的设定而第一次被开机时,于加载该操作系统之前,藉由该计算机系统的中央处理器(CPU)而执行该BIOS储存的固件。该BIOS固件和BIOS设定通常被储存在一非挥发性内存,像是一非挥发性随机存取内存(NVRAM)或一只读存储器(ROM)。基于该BIOS,该CPU将基于该组设定接着执行一系列的工作去辨识、初始化、以及测试在该计算机系统中的硬件。然后该BIOS允许该计算机系统的该CPU去加载一操作系统(OS)。
该BIOS软件提供一接口,该接口允许各种不同的参数被设定。举例来说,该接口可被用来设定时钟和总线速度、设定依附该计算机系统的接口设备、设定健康监视(例如,风扇转速和CPU温度范围)、以及设定各种其它影响该计算机系统的整体性能和电源使用的参数。
服务器可被具有不同计算需求之不同数据中心所使用。然而,典型的服务器被预载单一BIOS预设配置,该单一BIOS预设配置对于该用户的不同需求可能不是最佳的选择。此外,针对服务器的BIOS配置往往复杂而且可能被紧紧连结到在各个机架式服务器中的硬件组合。传统上,该管理员需要一人机接口和一OS应用程序去改变针对机架式服务器的该BIOS配置,这会限制了该机架式服务器的该初始配置。
发明内容
为了提供对本技术一基本的理解,以下介绍的是一个或多个实施例的一简要概述。此概述不是本技术所有预期的实施例的广泛综述,并且既不旨在标示所有范例的关键或重要元素,也不描绘本技术的任何或全部特征的范围。其唯一的目的是用一简化的形式作为后面更多实施方式的前奏,呈现一个或多个范例的一些概念。
根据在此处所述范例的一个或多个特征,提供用来管理计算机系统的基本输入/输出系统(BIOS)设定的系统和方法。在一特征中,系提供用来管理计算机系统的BIOS设定的方法。该方法包括接收一更改要求而修改该BIOS的设定。该方法包括判定该BIOS状态是否是一解锁态,以及基于该判定、该更改要求而修改该BIOS。
在一相关特征中,该方法进一步包括判定该BIOS状态是否是一锁态。该方法进一步包括接收一认证要求而从该锁态更改至该解锁态,在此,接收到的该认证要求包括认证信息。该接收到的认证信息和储存在该BIOS之用于匹配的认证信息进行比对。根据判定该接受到的认证信息是否匹配该储存认证信息,该BIOS状态可被更改到该解锁态。该方法进一步包括基于该更改要求而修改该BIOS设定。该修改成功后,该BIOS设定可从该解锁态被更改回该锁态。
在另一个特征中,提供用来管理计算机系统的BIOS设定的装置。该装置包括至少一处理器用以接收一更改要求而修改该BIOS设定、判定一BIOS状态、接收一认证需求,该需求包括认证信息、判定该接收到的认证信息是否匹配储存在该BIOS的认证信息、以及将该BIOS状态从该锁态更改至该解锁态。
在另一个特征中,提供非瞬时计算机可读取媒体用来管理计算机系统的BIOS设定。该非瞬时计算机可读取媒体储存可执行指令,该可执行指令促使一数据处理装置接收一更改要求而修改该BIOS设定、判定一BIOS状态、接收该认证需求,该认证需求包括认证信息、判定该接受到的认证信息是否匹配储存在该BIOS的认证信息、以及将该BIOS状态从该锁态更改至该解锁态。
附图说明
本技术的这些和其它样本特征将在实施方式中以及随后所附请求项、和在随同的图式中被描述,其中:
第1A、1B和1C图显示一框图,该框图有益于对本技术各个特征的理解;
第2图显示在一计算机系统中,BIOS设定配置的认证程序之示范方法的流程图;
第3图显示用于一计算机系统中的BIOS管理设定之示范方案的框图;以及
第4图显示一示范计算机系统的框图。
附图标记说明
101~操作系统;
102~BIOS设定;
103~BIOS认证机制;
200、300~方法;
210-270~方法200的步骤;
301-309~方法300的步骤;
400~计算机系统;
410~BIOS;
412~NVRAM;
420~内存;
430~储存体;
440~处理器;
450~网络接口;
460~BMC;
470~总线。
具体实施方式
本技术的各种特征将参照附图进行说明。在以下的描述中,出于解释的目的,许多具体的细节被用来阐述对一个或多个特征有一透彻的理解。它可以是显而易见的,然而,本技术可以在没有这些具体细节的情况下被实施。在其它实例中,公知的结构和装置以框图的形式显示,使得描述这些特征更加容易。“示范”这个词在这里是指“用作一范例、实例、或说明”。在这里被描述为“示范”的任意实施例不一定作较优或者优于其它实施例之解释。
本揭露提供根据本技术之技巧用于管理BIOS设定配置。一计算机系统(例如,一机架式服务器)的一BIOS可被预载一BIOS预设配置。该计算机系统可使用一预设配置的BIOS来启动或可由使用者(例如,一管理员)特定的一客制BIOS设定配置来启动。
首先,该揭露参照第1A图,该第1A图显示一存取该BIOS设定的传统方法和随其连带的问题。特别是,第1A图显示一配置,该配置提供存取BIOS设定102给在该操作系统(OS)101下之目前正在运作的任意程序。通常情况下,一管理员或其它被授权的使用者可根据需求,经常存取该BIOS设定102做修改。然而,这种情况的问题是,恶意程序也可通过该操作系统101存取该BIOS设定102。本文所用的术语“恶意程序”指的是任何型式的恶意软件,像是病毒。因此,在第1A图中的该配置不仅可让该计算机系统中被授权的使用者(例如,管理员)存取该BIOS设定102,也可让该恶意程序存取该BIOS设定102。这可能导致对该计算机系统的伤害。
已被提出的解决方案只是防止存取该BIOS设定。这在第1B图显示。第1B图显示任何从操作系统101请求来存取的程序不会获得BIOS存取许可,以防止未经授权存取的情况。这些设定超越BIOS存取许可,不只防止该恶毒的恶意程序,但是也会使该计算机系统的合法使用者无法存取该BIOS设定102。因此,该管理员在需要时,像是经由一远程访问通过该操作系统101时,可能无法修改该BIOS设定102。当该管理员需要管理成千上万的计算机系统,像是在一数据中心,这可能是特别不方便的。此外,这可能也影响该计算机系统的安全性。举例来说,如果需要通过BIOS设定来修改该计算机系统的一些安全性功能,该限制存取的不便性可能延迟更新以及让该计算机系统易受到攻击。另外,如果需要通过BIOS设定来修改该计算机系统的一些其它功能用以支持新功能,该限制存取的不便性可能延迟更新和这些新功能的配置。
有鉴于上述的情况,本揭露针对管理BIOS更新提供一种新方法。这在第1C图显示。特别是,第1C图显示通过一BIOS认证机制103来存取该BIOS设定102的方法。亦即,当提供有效的认证信息时,该BIOS认证机制103被配置为允许在该操作系统101上的一程序(例如,一管理员控制程序)来修改该BIOS设定102。特别是,藉由“解锁”该BIOS设定102。因此,为了管理该BIOS设定,该管理员将需要有准确的认证信息,该准确的认证信息将与储存在该BIOS的内部认证信息或其它安全信息进行匹配。
本揭露设想,该BIOS认证机制103可以是任何授权机制,以确认可存取该BIOS设定的经授权使用者的凭证。这样的机制可到该操作系统101内部或外部操作。进一步,这样的机制可在该计算机系统的该CPU上操作或/和该计算机系统的其它控制器,像是一管理控制器。举例来说,在一些实施例里,该管理控制器(例如,基板管理控制器,BMC)被配置为与该中央处理器(CPU)一起工作,以提供该BIOS认证机制来允许在CPU的该操作系统101之该程序存取该BIOS。
本揭露还设想,一类似的程序可被用于管理和控制该BIOS设定102。在这样的配置下,该管理控制器可坐落在该CPU与该BIOS之间,以允许该BIOS一远程频外程序(remoteout-of-band process)来判定该接收到的认证信息是否正确。BIOS可从BMC收到该储存的认证信息。BMC可为该所有者以控制该正确认证信息的定义。在一些实施例里,BMC可控制和储存该BIOS设定(例如,锁态/解锁态),以及当从OS接收到BIOS设定更改要求时,BIOS可从BMC查验该当前状态。该BIOS认证机制103可被用以管理认证程序,该认证程序使用在不同型式的认证上。这样的信息可包括密码、生物特征信息、识别(ID)程序、加密方法、数字签章、远程控制、或它们的任意组合。这份针对BIOS认证机制103的认证程序窗体并非唯一的窗体,而且有其它认证的方式。应当理解的是所述范例并非详尽,而且并不限制该认证程序达到所揭露的精确形式。
根据在所述之实施例的一个或多个特征,第2图显示一针对在一计算机系统的该解锁BIOS设定之该认证程序的一示范方法之流程图。当该BIOS设定是在一锁态时,该方法200可在步骤210启动。本揭露设想的是该锁态可以是一预设BIOS状态以防止未经授权的实体存取该BIOS设定。这种预设BIOS设定可由一使用者(例如,管理员)来指定。在一些实施例里,这种状态指定可被储存在系统管理随机存取内存(SMRAM)上。
在步骤220中,该BIOS认证机制可接收一认证要求。该认证要求可以是一BIOS状态更改要求,以使该BIOS状态从该锁态更改至该解锁态来进行必要的BIOS设定修改。该认证要求可通过OS应用软件从该管理员接收。该认证要求可包括针对该状态更改要求的认证之认证信息。该认证信息包括任何认证程序,像是认证密码、生物特征信息、识别(ID)程序、加密方法、数字签章、远程控制等等。上述的BIOS认证程序窗体并非唯一的窗体,而且有其它认证的方式。
在一些实施例里,举例来说,该认证信息可以是藉由该计算机系统的该周边装置接收到的生物特征(biometric)信息。在一些实施例里,举例来说,该认证信息可以是藉由该计算机系统的各种感应器侦测到的视听内容信息。在一些实施例里,举例来说,该认证信息可以是藉由该计算机系统产生或客制之含有字符串变量的密码。
在步骤230中,该BIOS认证机制可捕获被储存的认证信息。在一些实施例里,举例来说,一认证密码可以被储存在系统管理随机存取内存(SMRAM),以及该BIOS认证机制可以从该SMRAM捕获该密码。然而,在其它实施例里,为了进一步使该密码安全,仅在一系统管理模式(SMM)运行的BIOS软件编码可被准许存取储存在SMRAM的该密码。因此,任何运行于在该操作系统上的一正常模式之其它软件可能无法存取在该SMRAM上的任何数据。因此,该密码可被安全的保护。
在步骤240中,该被储存的认证信息与从该管理员接收到的该认证信息可被比对来做一判定,判定该接收到的认证信息是否与被储存的认证信息匹配。
本揭露设想的是在步骤220中从该管理员接收到的该认证信息,或在步骤230中被捕获的该认证信息可被加密。如前所说,本揭露设想的是任何步骤220、230、以及240可包括加密程序。
在一些实施例里,该BIOS认证机制用以判定在步骤240中,该接收到的认证信息是否恰好匹配该被储存的认证信息。然而,在其它实施例里,BIOS认证机制用以判定在步骤240中,该接收到的认证信息和该被储存的认证信息之间相似性的层级。该相似性的层级说明该接收到的认证信息与该被储存的认证信息相似程度有多高。在这样配置下,若该相似性的层级高于相似性的一临界层级,该BIOS认证机制可判定该接收到的认证信息匹配该被储存的认证信息。该临界层级是以判定该接收到的认证信息匹配该被储存的认证信息为目的之相似性层级。
在一些实施例里,该相似性的临界层级可藉由该计算机系统而被判定。举例来说,该输入装置的型式可能限制该认证信息的再现性,因而临界可基于被侦测而得的该输入装置的型式而被调整。同样地,该认证信息的型式可要求一该临界的调整。举例来说,生物特征信息可要求一相较于一文字密码较低的临界。仍然在其它实施例里,该相似性的临界层级可由该使用者客制。
在步骤250中,紧接在判定该接收到的认证信息匹配该被储存的认证信息于步骤240后,该BIOS状态可从该锁态更改至该解锁态以允许任何必要的BIOS设定更改。二者择一地,在步骤260中,紧接在判定该接收到的认证信息不匹配该被储存的认证信息于步骤240后,该BIOS状态维持在该锁态。因而,存取该BIOS设定的路径被屏蔽。其后,该BIOS机制可在步骤270中恢复先前的处理,并包括重复方法200。
在一些实施例里,统一可延伸固件接口(UEFI)BIOS设定可被储存于一BIOS内存装置(例如,闪存)在NVRAM作为一可延伸固件接口(EFI)变量。在一些实施例里,举例来说,该认证密码可被储存在NVRAM作为一可延伸固件接口变量。该密码可在没有设定运行时,存取指示旗标下被储存于NVRAM,所以当该计算机系统被重新启动或关机时,该密码是可读的。
在一相关特征中,该BIOS认证机制使该BIOS设定在运行时被更改。举例来说,该EFI变数为运行时可存取。藉由执行该BIOS认证机制,一针对该EFI变数的运行时可存取指示旗标可被加入,以接受该BIOS设定更改要求于该正常OS下。此特征使该BIOS软件编码能够运行在SMM以存取该BIOS设定,以及防止操作于该OS的正常模式的该恶意程序存取该BIOS设定。
当该BIOS状态更改要求被接收,该BIOS将检查该BIOS状态以确认该BIOS状态更改要求是否可被接受。紧接着判定该BIOS状态需要被更改而接受该更改要求(例如,该BIOS状态是一锁态),该BIOS可在SMM修改设定变量“SetVariable()”服务执行。为了更改有关于该BIOS设定的该EFI变量,该BIOS可更改储存在NVRAM的该EFI变量。
在一些实施例里,举例来说,当此预先定义的EFI设定变量名称输入是一指定用于验证的EFI变量,该BIOS可呼叫EFI SetVariable()服务,以预先定义的名称输入。SetVariable()服务是BIOS可提供的一EFI规范定义的服务。该设定变量可被用于从该OS接收该认证信息。设定变量包括输入关于EFI变量的名称及其数据之参数。通常,BIOS将被标记为一预先定义名称的该EFI变量的数据储存进入NVRAM。在一些实施例里,SetVariable()服务可被修改以及储存进入NVRAM。该修改的SetVariable()服务的一呼叫功能可被视为发送该认证信息,如第2图所示之220。因此,在该输入参数上的该数据将被视为用于验证的该认证信息。
在一些实施例里,该BIOS设定配置可从任何储存装置取得,前述储存装置像是计算机系统可存取之一BMC、一硬盘驱动器、一电子式可抹除可程序只读存储器(EEPROM)、或一非挥发性随机存取内存(NVRAM)。在一相关的特征里,该BIOS任何的设定配置可被一使用者指定。
第3图显示一针对在一计算机系统中,用于管理BIOS设定配置之一示范方法300的步骤流程图。该方法300可从步骤301开始,一计算机系统被启动到该操作系统。与步骤301同时地,于步骤303该BIOS设定被配置在一锁态。如上所述,该BIOS设定可预设被锁定。二者择一地,该BIOS设定可在该启动程序中被锁定。从步骤303开始,该方法300可前往到步骤302、304、或306其中之一。
如上所述,本揭露设想的是为了授予存取该BIOS设定,正确的认证信息需被提供来让该BIOS认证机制可以解锁该BIOS设定,如上面关于第2图所讨论。因此,步骤302显示只要不正确的认证信息被提供给该BIOD认证机制,该BIOS设定将藉由该BIOS认证机制被维持在该锁态303。
步骤304和305显示在没有解锁该BIOS设定下,一计算机系统接收到一BIOS设定更改请求时的方案。举例来说,此一方案下可以被预期会有恶意程序试图使一BIOS设定更改,虽然该恶意程序能够解锁该BIOS设定将是不可能的。在此方案下,于步骤304接收到该BIOS设定更改请求时,该计算机系统将判定该BIOS态仍是在该锁态以及使该BIOS设定将不会在步骤305被更改。当该计算机系统被判定使该BIOS设定将不会被更改,该计算机系统恢复先前的处理,并且该BIOS设定于步骤303仍锁在该态上。
步骤306-309显示该方案是当该BIOS认证机制先于或在一更改请求期间,解锁该BIOS设定。首先,如第3图所示,该正确的认证信息于步骤306被接收。在判定该接收到认证信息与该被储存的认证信息相匹配下,该BIOS状态将被更改到该解锁态307。此程序可如上面关于第2图所述来执行。
如前面所讨论的,该认证信息可以是任意数据来认证如上面所述的一被授权使用者。该使用者可利用任何输入方法来输入该认证信息。该计算机系统的该BIOS认证机制将接着捕获被储存在该BIOS的该内部认证信息来做出一判定。在判定该接收到的认证信息匹配该被储存的认证信息,该BIOS状态可藉由该BIOS认证机制被更改到该解锁态。
与步骤306和307晚于或同时地,BIOS设定更改请求可被接收(步骤308)。其后,因为该BIOS设定是在一解锁态,该BIOS设定可基于该更改要求在步骤309而被更改。一旦该BIOS设定更改被完成,该BIOS状态可更改回到该锁态303来防止非授权程序随后地存取以及更改该BIOS设定。
第4图显示一示范计算机系统400的框图。该计算机系统400可包括一处理器440、一网络接口450、一基板管理控制器(BMC)460、一内存420、一储存体430、一BIOS 410、以及一总线470。
举例来说,该计算机系统400可以是一服务器(例如,在一数据中心的许多机架式服务器中的一个)或一个人计算机。该处理器(例如,中央处理器)440可捕获和执行被储存在该内存420(例如,随机存取内存)的程序指令。该处理器440可以是一具有单个处理核心的单一CPU、一具有多个处理核心的单一CPU、或多个CPU。该储存体430可包括数据储存体的任意非挥发性形式,像是一HDD或一闪存驱动器。该总线470可传输计算机组件之间的指令和应用数据,像是该处理器440、内存420、储存体430、以及网络接口450。
该BIOS 410可包括一基本输入/输出系统或其继承者或同等者,像是一可延伸固件接口(EFI)或统一可延伸固件接口(UEFI)。该BIOS 410可包括一BIOS芯片,该BIOS芯片位于该计算机系统400的一主机板上,用来储存一BIOS软件程序。当该计算机系统和指定用于该BIOS 410的一组设定第一次被开机,该BIOS 410可储存被执行的固件。该BIOS固件和BIOS设定可被储存在非挥发性内存(例如,NVRAM)412或一ROM。
每一次该计算机系统400被启动,该BIOS 410可作为一序列程序而被加载和执行。基于该组设定,该BIOS 410可辨识、初始化、以及测试一给定计算机系统中的硬件。该BIOS410可寻址和分配在该内存420的一区域,用来储存一操作系统(OS)。该BIOS 410可接着将该计算机系统的控制转移给该OS。
该计算机系统400的该BIOS 410可包括一BIOS配置,该BIOS配置定义该BIOS 410如何控制在该计算机系统400中的各种硬件。该BIOS设定可判定在该计算机系统400中的该等硬件被启动时的次序。该BIOS 410可提供一接口,该接口允许各种不同的参数被设定,该等参数不同于在一BIOS预设配置的参数。举例来说,一使用者(例如,一管理员)可使用该BIOS 410来特定时钟和总线速度、特定什么周边被装在该计算机系统400、特定健康监视(例如,风扇转速和CPU温度范围)、以及特定各种其它参数,该等其它参数影响该计算机系统400的整体性能和电源使用。
该BMC 460可以是一嵌入在一计算机的该主机板上之专门微控制器,例如一服务器。该BMC 460可管理系统管理软件和平台硬件之间的接口。内建在该计算机系统400上的不同类型的感应器可将像是温度、冷却风扇转速、电源状态、操作系统(OS)状态等的参数向该BMC 460反映。该BMC 460可监视该感应器以及如果任何该参数没有待在预设范围内,意味着该系统有一潜在性故障时,该BMC 460有能力经由该网络接口450传送警报给一管理员。该管理员也可与该BMC 460进行远程通信来采取一些正确的作为,像是重置或者或电源循环该系统来恢复功能。
机架式服务器可为基于不同计算需求的不同的数据中心所使用。然而,典型的机架式服务器被预载一单一BIOS预设配置,该单一BIOS预设配置对于不同用户的各种需求可能不是最佳的选择。此外,针对机架式服务器的BIOS配置往往复杂而且可能被紧紧连结到在各个机架式服务器中的硬件组合。传统上,该管理员需要一人机接口和一OS应用程序去选择针对机架式服务器的该BIOS配置,这会限制了该机架式服务器的该初始配置。
在一示例性实施方式中,该计算机系统400可写入复数个BIOS预设配置到该BIOS410。在一相关特征中,该BMC 460可不使用一OS来写入该等BIOS预设配置。在另一相关特征中,一运行在OS上的应用程序可写入该等BIOS预设配置。在一示例性实施方式中,该计算机系统400的该BIOS 410可选择特定的BIOS预设配置。在一示例性实施方式中,该BIOS 410可加载该特定的BIOS预设配置进入到该BIOS 410的该NVRAM 412。
在一些实施例里,在一数据中心的一服务器机架上,通常容纳大量的机架式服务器。该机架式服务器可具有不同的硬件配置或可针对不同的目的而被使用。举例来说,一些机架式服务器可具有比其它服务器更多的HDD、内存容量、或CPU核心。在另一范例中,某些机架式服务器可针对云端储存而被使用,因此需要较少的处理电源,而其它服务器可用以服务在线游戏,因此需要较多的处理电源。因而,该机架式服务器可能需要不同的BIOS预设配置,该BIOS预设配置是针对不同硬件配置以及针对该机架式服务器的不同功能之最佳选择。一使用者,例如一信息科技(IT)研发人员,可准备针对不同的机架式服务器而提供不同的固件设定(包括例如,BIOS预设配置)的脚本。通常,该固件设定经由一OS应用程序被安装。这意味着该OS必须在该固件设定能被安装之前,被加载到各个机架式服务器上。
针对本揭露所述的各种说明性逻辑区块、模块、以及电路,于此处可与被设计用来执行在此处所述的功能之一通用处理器、数字讯号处理器(DSP)、一特定应用整合式电路(ASIC)、一场效可程序化逻辑门阵列(FPGA)、或其它可程序化逻辑装置、离散门极或晶体管逻辑、离散硬件组件、或它们的任意组合一起被实施或执行。一通用处理器可以是一微处理器,但在替代方案中,该处理器可以是任意常规处理器、控制器、微控制器、或状态机。一处理器也可作为一计算装置的组合而被实施,例如一DSP和一微处理器的组合、复数个微处理器、一个或多个微处理器与一DSP核心连结、或其它这样的配置。
针对本揭露所述的一方法或算法的作业于此处可以直接在硬件、在藉由一处理器而被执行的一软件模块、或在上述两者的组合中被实施。一软件模块可驻留在RAM、闪存内存、ROM、EPROM、EEPROM、缓存器、硬盘、一可移动式硬盘、一CD-ROM、或在所属技术领域已习知的任何其它型式的储存媒体。一示范性储存媒体被耦接到该处理器,使得该处理器可读取信息型式,以及写入信息到该储存媒体。在替代方案中,该储存媒体可以是该处理器的部分组成。该处理器和该储存媒体可驻留在一ASIC。该ASIC可驻留在一使用者终端。在替代方案中,该处理器和该储存媒体可作为离散组成而驻留在一使用者终端。
在一个或多个示范性设计中,所述功能可以在硬件、软件、固件、或它们的任意组合中被实现。如果是在软件中被实现,该功能可以作为一个或多个指令或编码在一非瞬时计算机可读取媒体上被储存或传输。该非瞬时计算机可读取媒体包括计算机储存媒体和通信媒体两者,该通信媒体包括使一计算机程序容易从一位置传输到另一位置的媒体。一储存媒体可以是任何可用的媒体,该可用的媒体可以藉由一通用或特定计算机而被存取。以举例的方式,而且不设限,这样的计算机可读取媒体包括RAM、ROM、EEPROM、CD-ROM或其它光盘储存、磁盘储存或其它磁性储存装置、或任何其它媒体,该媒体可被以指令或数据结构的形式利用来传送或储存所需程序编码方法以及可藉由一通用或特定计算机、或一通用或特定处理器而被存取。在这里被使用的磁盘和光盘包括光盘片(CD)、雷射影碟、光盘、数字多功能光盘(DVD)、软盘以及蓝光光盘,其中磁盘通常磁性地再现数据,而光盘则以雷射光学地再现数据。上述的组合也应该被包括在该非瞬时计算机可读取媒体的范围之内。
本揭露先前的描述是提供给所属技术领域的专业人员来制造或使用本揭露。各种修改本揭露对所属技术领域的专业人员将是显而易见的,以及本文定义的一般原理可在不脱离本揭露的范围下被应用在其它变动。因此,本揭露没有打算被限制在本文范例和所述设计,但要与本揭露于本文所述的原理及新颖特征之最广范围是符合的。
Claims (10)
1.一种管理计算机系统之基本输入/输出系统(BIOS)设定的方法,该方法包括:
在启动所述计算机系统的操作系统时,将锁态作为预设BIOS状态,所述锁态用以防止存取BIOS设定;
通过所述计算机系统的管理控制器接收一认证要求,其中,所述认证要求包括被接收到的认证信息,并用于将该BIOS状态从预设的锁态更改至解锁态,该解锁态用以允许修改BIOS设定;
判定该被接收到的认证信息是否匹配被储存的认证信息,其中,仅当BIOS在系统管理模式下运行时准许存取所述被储存的认证信息;
接收一更改要求,该更改要求用于修改BIOS设定的至少之一;
判定该BIOS设定的BIOS状态是否为该解锁态;
若判定该BIOS状态是该解锁态则基于该更改要求修改该BIOS设定;
判定该BIOS状态是否为一锁态;以及
若判定该BIOS状态是该锁态,则忽略该更改要求,所述方法还包括:基于加入的运行时可存取指示旗标,允许在该计算机系统运行时接收该更改要求,以使得在该计算机系统运行时修改BIOS设定。
2.如权利要求1所述的管理计算机系统之基本输入/输出系统设定的方法,进一步包括:
若判定在该认证要求中的该被接收到的认证信息匹配该被储存的认证信息,则将该BIOS状态从该锁态更改到该解锁态;以及
若判定在该认证要求中的该被接收到的认证信息不匹配该被储存的认证信息,则维持该BIOS状态在该锁态。
3.如权利要求1所述的管理计算机系统之基本输入/输出系统设定的方法,进一步包括在基于该更改要求而修改该BIOS设定之后,将该BIOS状态从该解锁态更改到该锁态。
4.如权利要求2所述的管理计算机系统之基本输入/输出系统设定的方法,进一步包括:
侦测该计算机系统是否在一运行状态;以及
若侦测到该计算机系统是在该运行状态,则配置该BIOS设定而使该被储存的认证信息为不可存取。
5.一种管理基本输入/输出系统(BIOS)设定的系统,该系统包括:
一处理器;
一内存装置包括复数指令,当藉由该处理器而执行时,会使该处理器:在启动计算机系统的操作系统时,将锁态作为预设BIOS状态,所述锁态用以防止存取BIOS设定;
通过所述计算机系统的管理控制器接收一认证要求,其中,所述认证要求包括被接收到的认证信息,并用于将该BIOS状态从预设的锁态更改至解锁态,该解锁态用以允许修改BIOS设定;
判定该被接收到的认证信息是否匹配被储存的认证信息,其中,仅当BIOS在系统管理模式下运行时准许存取所述被储存的认证信息;
接收一更改要求,该更改要求用于修改BIOS设定的至少之一;
判定该BIOS设定的BIOS状态是否是在该解锁态;
若判定该BIOS状态是在该解锁态,则基于该更改要求而修改该BIOS设定;
判定该BIOS状态是否在一锁态;
若判定该BIOS状态是在该锁态,则忽略该更改要求;以及
基于加入的运行时可存取指示旗标,允许在该计算机系统运行时接收该更改要求,以使得在该计算机系统运行时修改BIOS设定。
6.如权利要求5所述的管理基本输入/输出系统设定的系统,其中当该指令被执行时,进一步使该处理器:
若判定在该认证要求中的该被接收到的认证信息匹配该被储存的认证信息,则将该BIOS状态从该锁态更改至该解锁态。
7.如权利要求6所述的管理基本输入/输出系统设定的系统,其中当该指令被执行时,进一步使该处理器:
若判定该被接收到的认证信息不匹配该被储存的认证信息,则维持该BIOS状态在该锁态。
8.如权利要求5所述的管理基本输入/输出系统设定的系统,其中当该等指令被执行时,进一步使该处理器在基于该更改要求而修改该BIOS状态之后,将该BIOS状态从该解锁态更改至该锁态。
9.一种非瞬时计算机可读取媒体,储存有用于管理基本输入/输出系统(BIOS)设定之可执行的复数指令,所述可执行指令使一数据处理装置:
在启动计算机系统的操作系统时,将锁态作为预设BIOS状态,所述锁态用以防止存取BIOS设定;
通过所述计算机系统的管理控制器接收一认证要求,其中,所述认证要求包括被接收到的认证信息,并用于将该BIOS状态从预设的锁态更改至解锁态,该解锁态用以允许修改BIOS设定;
判定该被接收到的认证信息是否匹配被储存的认证信息,其中,仅当BIOS在系统管理模式下运行时准许存取所述被储存的认证信息;
接收一更改要求,该更改要求用于修改BIOS设定的至少之一;
判定该BIOS设定的BIOS状态是否是在该解锁态;
若判定该BIOS状态是在该解锁态,则基于该更改要求而修改该BIOS设定;
判定该BIOS状态是否是在一锁态;
若判定该BIOS状态是在该锁态,则忽略该更改要求;以及
基于加入的运行时可存取指示旗标,允许在该计算机系统运行时接收该更改要求,以使得在该计算机系统运行时修改BIOS设定。
10.如权利要求9所述的非瞬时计算机可读取媒体,其中所述可执行指令进一步使该数据处理装置:
若判定在该认证要求中的该被接收到的认证信息匹配该被储存的认证信息,则将该BIOS状态从该锁态更改至该解锁态。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/963,875 | 2015-12-09 | ||
US14/963,875 US9875113B2 (en) | 2015-12-09 | 2015-12-09 | System and method for managing BIOS setting configurations |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106855814A CN106855814A (zh) | 2017-06-16 |
CN106855814B true CN106855814B (zh) | 2020-11-24 |
Family
ID=59020539
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610272944.3A Active CN106855814B (zh) | 2015-12-09 | 2016-04-28 | 管理基本输入输出系统设定的系统和方法 |
Country Status (3)
Country | Link |
---|---|
US (1) | US9875113B2 (zh) |
CN (1) | CN106855814B (zh) |
TW (1) | TW201721416A (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI607381B (zh) * | 2016-08-10 | 2017-12-01 | 神雲科技股份有限公司 | 用於電腦裝置的系統資訊存取方法 |
KR102494241B1 (ko) * | 2016-08-18 | 2023-02-03 | 에스케이하이닉스 주식회사 | 메모리 시스템 및 그의 동작 방법 |
US10374885B2 (en) | 2016-12-13 | 2019-08-06 | Amazon Technologies, Inc. | Reconfigurable server including a reconfigurable adapter device |
US10691803B2 (en) * | 2016-12-13 | 2020-06-23 | Amazon Technologies, Inc. | Secure execution environment on a server |
US10282549B2 (en) * | 2017-03-07 | 2019-05-07 | Hewlett Packard Enterprise Development Lp | Modifying service operating system of baseboard management controller |
US10831897B2 (en) * | 2017-07-14 | 2020-11-10 | Dell Products, L.P. | Selective enforcement of secure boot database entries in an information handling system |
US10635818B1 (en) * | 2017-08-25 | 2020-04-28 | American Megatrends International, Llc | Blocking runtime firmware variable access |
WO2019117920A1 (en) * | 2017-12-14 | 2019-06-20 | Hewlett-Packard Development Company, L.P. | Enabling access to capturing devices by basic input and output systems (bios) |
CN108932431A (zh) * | 2018-07-10 | 2018-12-04 | 联想(北京)有限公司 | 一种处理方法及系统 |
WO2020027791A1 (en) * | 2018-07-31 | 2020-02-06 | Hewlett-Packard Development Company, L.P. | Password updates |
US11221841B2 (en) | 2018-08-03 | 2022-01-11 | Hewlett-Packard Development Company, L.P. | BIOS personalities |
EP3891619B1 (en) * | 2019-02-28 | 2023-09-27 | Hewlett-Packard Development Company, L.P. | Access to firmware settings with asymmetric cryptography |
CN110287686B (zh) * | 2019-06-24 | 2021-06-15 | 深圳市同泰怡信息技术有限公司 | 一种基本输入输出系统的安全启动权限管理方法以及设备 |
US11188130B2 (en) * | 2019-11-19 | 2021-11-30 | Dell Products L.P. | Method and apparatus for thermal management using different customization modes |
CN111143826A (zh) * | 2019-12-26 | 2020-05-12 | 苏州浪潮智能科技有限公司 | 一种bios的用户账号密码设置方法、装置及相关设备 |
TWI738243B (zh) * | 2020-03-10 | 2021-09-01 | 神雲科技股份有限公司 | 伺服系統 |
EP3961387A1 (en) * | 2020-08-28 | 2022-03-02 | Omron Corporation | Boot device and method for booting a computer system |
CN113434202B (zh) * | 2020-09-18 | 2024-03-29 | 阿里巴巴集团控股有限公司 | 一种设备的启动方法、装置、电子设备及计算机存储介质 |
JP2022124165A (ja) * | 2021-02-15 | 2022-08-25 | キオクシア株式会社 | メモリシステム |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101432690A (zh) * | 2006-04-27 | 2009-05-13 | 微软公司 | Bios配置更新技术 |
TW201250592A (en) * | 2011-06-07 | 2012-12-16 | Insyde Software Corp | Method for verifying basic input output system update, computer-readable recording medium and computer program product thereof |
TWI436280B (zh) * | 2011-08-22 | 2014-05-01 | Acer Inc | 存取基本輸入輸出系統設定的認證方法 |
CN104424047A (zh) * | 2013-08-20 | 2015-03-18 | 研祥智能科技股份有限公司 | 一种nvram数据恢复方法和装置 |
Family Cites Families (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5586301A (en) | 1994-11-09 | 1996-12-17 | Ybm Technologies, Inc. | Personal computer hard disk protection system |
US6419960B1 (en) * | 1998-12-17 | 2002-07-16 | Euro-Celtique S.A. | Controlled release formulations having rapid onset and rapid decline of effective plasma drug concentrations |
US6594780B1 (en) | 1999-10-19 | 2003-07-15 | Inasoft, Inc. | Operating system and data protection |
US20050283599A1 (en) * | 2004-06-22 | 2005-12-22 | Zimmerman Toby S | Exposing BIOS information to an ACPI aware operating system |
US8533845B2 (en) * | 2005-02-15 | 2013-09-10 | Hewlett-Packard Development Company, L.P. | Method and apparatus for controlling operating system access to configuration settings |
US7734934B2 (en) * | 2005-12-20 | 2010-06-08 | Intel Corporation | Seamless data migration |
US9047452B2 (en) * | 2006-07-06 | 2015-06-02 | Dell Products L.P. | Multi-user BIOS authentication |
US8909940B2 (en) * | 2008-06-23 | 2014-12-09 | Intel Corporation | Extensible pre-boot authentication |
US8856512B2 (en) * | 2008-12-30 | 2014-10-07 | Intel Corporation | Method and system for enterprise network single-sign-on by a manageability engine |
US8103883B2 (en) * | 2008-12-31 | 2012-01-24 | Intel Corporation | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption |
US8296579B2 (en) * | 2009-11-06 | 2012-10-23 | Hewlett-Packard Development Company, L.P. | System and method for updating a basic input/output system (BIOS) |
WO2012105031A1 (ja) * | 2011-02-04 | 2012-08-09 | 富士通株式会社 | 情報処理装置及び設定情報管理方法 |
US20130019281A1 (en) * | 2011-07-11 | 2013-01-17 | Cisco Technology, Inc. | Server Based Remote Authentication for BIOS |
GB2509424B (en) * | 2011-09-30 | 2020-04-15 | Hewlett Packard Development Co | Managing basic input/output system (BIOS) access |
CN103186748A (zh) * | 2011-12-29 | 2013-07-03 | 鸿富锦精密工业(深圳)有限公司 | 电子装置及其密码保护方法 |
DE102012101876A1 (de) * | 2012-03-06 | 2013-09-12 | Wincor Nixdorf International Gmbh | PC Absicherung durch BIOS/(U) EFI Erweiterungen |
JP2015072451A (ja) * | 2013-09-06 | 2015-04-16 | 株式会社リコー | 冷却装置、及び画像形成装置 |
US9792437B2 (en) * | 2014-04-22 | 2017-10-17 | Dell Products, Lp | System and method for securing embedded controller communications by providing a security handshake |
US20160036628A1 (en) * | 2014-08-01 | 2016-02-04 | Vineet Gupta | Method and system for performing out-of-band management of computing devices over a wireless wide-area network |
CN106662994B (zh) * | 2014-09-23 | 2020-01-03 | 惠普发展公司有限责任合伙企业 | 检测系统管理模式bios代码的改变 |
US9519785B2 (en) * | 2014-12-08 | 2016-12-13 | Dell Products L.P. | Basic input/output system (BIOS) security display |
-
2015
- 2015-12-09 US US14/963,875 patent/US9875113B2/en active Active
-
2016
- 2016-04-08 TW TW105111017A patent/TW201721416A/zh unknown
- 2016-04-28 CN CN201610272944.3A patent/CN106855814B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101432690A (zh) * | 2006-04-27 | 2009-05-13 | 微软公司 | Bios配置更新技术 |
TW201250592A (en) * | 2011-06-07 | 2012-12-16 | Insyde Software Corp | Method for verifying basic input output system update, computer-readable recording medium and computer program product thereof |
TWI436280B (zh) * | 2011-08-22 | 2014-05-01 | Acer Inc | 存取基本輸入輸出系統設定的認證方法 |
CN104424047A (zh) * | 2013-08-20 | 2015-03-18 | 研祥智能科技股份有限公司 | 一种nvram数据恢复方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
US20170168851A1 (en) | 2017-06-15 |
US9875113B2 (en) | 2018-01-23 |
TW201721416A (zh) | 2017-06-16 |
CN106855814A (zh) | 2017-06-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106855814B (zh) | 管理基本输入输出系统设定的系统和方法 | |
EP3125149B1 (en) | Systems and methods for securely booting a computer with a trusted processing module | |
JP3863447B2 (ja) | 認証システム、ファームウェア装置、電気機器、及び認証方法 | |
US7917741B2 (en) | Enhancing security of a system via access by an embedded controller to a secure storage device | |
KR101775800B1 (ko) | 펌웨어의 도난 방지 | |
EP2798559B1 (en) | Methods and apparatus for trusted boot optimization | |
US20180096154A1 (en) | Multiple roots of trust to verify integrity | |
JP5565040B2 (ja) | 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム | |
US8769228B2 (en) | Storage drive based antimalware methods and apparatuses | |
TWI494785B (zh) | 用以提供系統管理命令之系統與方法 | |
CN107292176B (zh) | 用于访问计算设备的可信平台模块的方法和系统 | |
US8499345B2 (en) | Blocking computer system ports on per user basis | |
US20130305028A1 (en) | Method and apparatus for authorizing host to access portable storage device | |
US11354417B2 (en) | Enhanced secure boot | |
US7890756B2 (en) | Verification system and method for accessing resources in a computing environment | |
JP2024050647A (ja) | ファームウェアのセキュアな検証 | |
US9830457B2 (en) | Unified extensible firmware interface (UEFI) credential-based access of hardware resources | |
US10776493B2 (en) | Secure management and execution of computing code including firmware | |
US10742412B2 (en) | Separate cryptographic keys for multiple modes | |
US11575664B2 (en) | Information handling systems and methods to manage tickets based on user presence, system state and ticket management policy | |
WO2016024967A1 (en) | Secure non-volatile random access memory | |
RU2748575C1 (ru) | Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов | |
US11921858B2 (en) | System and method for protecting against alterations in chain of trust sequences | |
WO2023200487A1 (en) | Firmware controlled secrets | |
CN113703856A (zh) | 一种安全开机的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |