CN110569633B - 固件中的防盗 - Google Patents
固件中的防盗 Download PDFInfo
- Publication number
- CN110569633B CN110569633B CN201910662250.4A CN201910662250A CN110569633B CN 110569633 B CN110569633 B CN 110569633B CN 201910662250 A CN201910662250 A CN 201910662250A CN 110569633 B CN110569633 B CN 110569633B
- Authority
- CN
- China
- Prior art keywords
- biometric
- instructions
- user
- boot sequence
- firmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于在将引导代码加载到系统存储器之前基于用户的生物统计信息认证引导代码的增强系统引导处理的方法、系统和存储介质。对于至少一些实施例,生物统计认证增加了基于唯一平台标识符的引导代码认证。增强引导代码认证发生在操作系统加载之前,并且可在统一可扩展固件接口(UEFI)引导序列期间执行。描述了其它实施例,并对其要求保护。
Description
背景技术
相对便携的计算系统,诸如平板计算机、笔记本计算机、膝上型计算机、上网本、超级本、蜂窝电话、智能电话以及其它手持装置经常容易被盗。在一些情况下,盗窃的目的可能是获取装置的所有权以便窃贼使用,或者将该装置卖给其他人。为了阻止窃贼想要对所偷装置重新进行使用的情形,阻止由除了原始所有者的任何人引导该装置将是符合需要的。
附图说明
图1是说明UEFI引导序列的阶段图。
图2是说明用于用生物统计信息加密固件的方法的至少一个实施例的流程图。
图3是说明图2方法在UEFI引导期间的至少一个实施例的阶段图.
图4是说明使用固件的基于生物统计的认证的增强引导过程的至少一个实施例的流程图。
图5是说明图4方法在UEFI引导期间的至少一个实施例的阶段图.
图6是说明用于执行在引导期间固件的生物统计认证的至少一个实施例的固件模块的框图。
图7是说明在UEFI引导期间执行固件的生物统计加密和解密的功能固件和软件模块的阶段图。
图8是说明根据本发明至少一个实施例的第一和第二系统的框图。
图9是根据本发明至少一个其它实施例的系统的框图。
图10是根据本发明至少一个其它实施例的系统的框图。
具体实施方式
所描述的实施例提供了计算装置固件的防盗能力。更确切地说,使用用户的生物统计信息加密引导处理系统的操作系统(OS)所必需的固件。在随后引导时,在引导期间使用生物统计信息解密固件,使得仅该用户可引导该系统。用此方式,可阻碍对被偷装置被重新使用。
在当前防盗技术中间,它们中的许多技术都在OS环境下作为软件驱动运行。在被偷机器上,通过卸载它们,重新安装OS或者将硬盘用新的替换,都可阻碍这些技术。其它当前的防盗技术是固件特征。这些动作类似于上电密码保护,并且可通过改变固件代码的几个字节以跳到绕过认证处理,或者通过从相同类型的另一装置向被偷计算装置烧录固件的新拷贝进行阻碍。
本文所描述的实施例提供了优于几个已知安全技术的优点,因为实施例提供了是计算系统的预OS固件的固有特征并且用可绕过某些其它安全机制的方式不可能被绕过的安全机制。
为了避免对计算装置进行未授权的重新使用,本文描述的实施例从而解决了几个安全漏洞技术。例如,一个此类技术是入侵被偷计算装置的ROM(只读存储器)以重新安装不同的操作系统(“OS”)。在没有本文描述的实施例的计算系统中,这例如可通过重新刷写BIOS映像以改变引导加载程序代码使得在引导期间加载不同的OS来达成。用此方式,可绕过原始所有者的OS上电密码。本文描述的实施例通过在执行引导加载程序代码之前在引导序列中执行生物统计认证检查,解决了这种类型的漏洞。
在不包含本文描述的任何实施例的计算系统中,重新刷写BIOS(基本输入输出系统)映像还可用于绕过由系统的单独组件而不是由CPU自身提供的安全特征。例如,可重新刷写计算装置的BIOS映像,以便禁用带外安全特征。此类带外安全特征例如可包含由可管理引擎、可信平台模块(“TPM”)或与CPU分开的其它独立安全组件提供的安全特征。作为对此类带外安全特征的增强,本文描述的实施例提供了在认证故障的情况下阻止装置引导的加密固件组件。
由本文描述的实施例解决的另一安全漏洞技术是计算系统中的存储器的互换。换句话说,为了绕过计算装置上存储装置的加密,未授权用户可改变或关上计算装置上的用户可替换存储硬件。在一些情况下,存储装置可被刷写,但刷写的备选(或除此之外)的是,替换的存储硬件可以是计算系统的内部硬盘驱动器或其它存储介质。本文描述的实施例通过在执行引导加载程序代码之前在引导序列中执行生物统计认证检查,解决了这种类型的漏洞。
由本文描述的实施例解决的另一安全漏洞技术是,禁用实施为可选ROM中代理的安全特征。例如参见Ortega等人的“De-Activate the RootKit: Attacks on BIOS Anti-theft Technologies”(Black Hat Briefings 2009 USA. Las Vegas, NE. July 30,2009)。这些特征不作为与计算系统的BIOS关联的安全预OS处理中的可信计算基础的一部分运行,而是在由第三方提供的可选ROM的后期引导处理期间加载。作为对此类基于ROM的安全特征的增强,所描述的实施例提供了在认证故障的情况下阻止装置引导的加密固件组件。因而,阻止了对可选ROM的未授权访问。
现在参考图1,示出了用于引导计算系统OS的方法100的全面描绘。图1示出的方法100的至少一个实施例对应于统一可扩展固件接口(UEFI)规范,诸如 UEFI 2.3.1c,其可在***.uefi.org (“www”用星号替换以避免活动超链接)找到。图1说明了方法100开始于块110。在块110,接收平台重置事件的通知。对于至少一个实施例,平台重置事件可以是上电事件或者热启动事件(例如,诸如从低功率状态(诸如S3和/或S4低功率状态)重新开始)。块110的处理一般可对应于UEFI引导序列的安全(SEC)阶段111。对于此类实施例,块110不仅包含接收重置事件已经发生的通知,而且包含执行某种初步初始化处理。例如,对于至少一个实施例,在块110,可响应于重置事件通知而执行如下初步处理:预RAM代码(诸如,例如适当执行非易失性存储器中的 (XIP)代码)处置初始CPU初始化以在CPU高速缓存中创建瞬态堆栈。
图1说明了在初始安全阶段111期间在重置处理110之后,处理继续进行块120。在块120,初始化平台硬件,诸如CPU和其它系统组件。对于一些实施例,此类其它组件的示例可包含如下任何一项或多项:存储器控制器硬件、I/O控制器硬件、芯片集硬件(如果芯片集存在的话)和/或母板硬件(如果母板存在的话)。对于至少一个实施例,在块120的平台初始化可对应于UEFI引导序列的预EFI初始化(“PEI”)阶段121。对于至少一个此类实施例,在块120的处理包含完成CPU初始化的动作,并且还可包含发现DRAM,并且发现在块110接收的重置事件是冷启动事件还是热启动事件(诸如从低功率模式(例如S3/S4睡眠或休眠模式)重新开始)。如果事件是冷启动事件,则处理从块120继续进行到块130。对于一些实施例,如果事件是某种类型的热启动事件(诸如从低功率模式(诸如S3功率状态)重新开始),则处理从120跳过在块130、140、150和160的处理,并且代替其而继续进行OS重新开始/向量处理(未示出)。
在驱动执行阶段(DXE) 131,对于至少一个实施例,方法100解密(见块130)并加载(见块140)用于初始化剩余系统硬件的驱动。执行在块130的解密,因为加密了与DXE阶段关联的UEFI驱动,以促进确保安全引导的目标。在块130,使用基于平台标识符的密钥(例如参见图2的平台ID密钥180),解密DXE级固件。对于至少一个实施例,平台标识符是与计算平台关联的唯一标识符,诸如产品序列号、以太网装置的MAC地址、TPM (可信计算模块)密钥等。对于至少一个实施例,制造商已经使用平台标识符生成了平台密钥,并且制造商已经使用平台密钥加密了在DXE阶段131期间要调度的固件。在块130,在引导处理100期间使用这个相同的平台标识符生成平台ID密钥(例如参见图2的平台ID密钥180)。对于至少一个实施例,通过形成平台标识符的散列,从平台标识符中生成平台ID密钥。
在块130,使用平台ID密钥解密可执行DXE固件。处理然后继续进行块140。在块140,适当解密的驱动被加载到系统存储器中并调度。处理然后分别对于UEFI阶段BDS(引导装置选择)141、TSE(瞬时系统加载)151和RT(运行时间)161继续进行块150、 160和170。在这些阶段141、151、 161中的一个或多个期间,将操作系统代码从非易失性存储装置加载到易失性系统存储器。对于一个实施例,在块160,OS代码的此类加载发生在TSE阶段151期间。
图2是说明修改的引导方法200的至少一个实施例的流程图。方法200包含用生物统计信息加密引导固件指令。用此方式,随后引导序列可包含用户认证,之后将引导指令(诸如驱动)加载到存储器(例如加载到易失性系统存储器)中以便执行。
图2的方法200例如可在用户第一次引导新购买的系统时发起。对于此类情形,计算系统的制造商在制造期间可能已经安装了刷写管理器,其被设置成知道下一上电事件应该调用图2的方法200,以初始化生物统计认证。
备选地,图2的方法200可在初始第一次引导之后由用户发起。此类备选情形例如可经由用户控制的选择机制(例如计算装置上的控制面板或设置选项)通过用户选择生物统计认证初始化来调用。
对于至少一个此类实施例,用户控制的机制可用于发起生物统计认证,如果它尚未启用的话(例如,制造商未实现默认处理,以迫使在第一次引导时执行方法200)。否则,用户可能希望改变之前初始化的认证信息。对于此类情形,用户必须首先提供老的生物统计信息(处理未示出),之后被授权以继续进行图2中说明的方法200的块222(下面讨论)。换句话说,系统的窃贼不能通过尝试将生物统计信息改变成他/她自己的信息而绕过本文描述的认证。
图2说明方法200开始于重置210和平台初始化220处理,分别按照上面结合图1讨论的处理110和120的图线。
从块220,方法200的处理继续进行块222。在块222,初始化一个或多个生物统计输入装置(例如参见图6和7的602)。在块222初始化的装置可包含如下装置中的一个或多个:相机或其它面部识别装置、指纹扫描仪、视网膜扫描仪、虹膜扫描仪、麦克风或其它语音扫描仪、脑波扫描仪、DNA分析仪、手纹分析仪或任何其它生物统计输入装置。从块222,处理继续进行块224。
在块224,从一个或多个生物统计输入装置接收来自用户的输入。应该指出,可从单个装置接收多个样本,诸如,脸的多个视图,或来自多个手指的指纹,或来自 两个眼睛的扫描。用此方式,对于固件加密,可支持多因素认证,包含相同类型的多个读数(上面紧接着描述的)和/或来自多个装置的单个读数(诸如,例如用于加密的视网膜扫描和语音数据的组合)。所接收的信息可存储在数字化各种中。从块224,处理继续进行块230。
在块230,数字化生物统计信息被用于生成对应于用户的生物统计数据的个人密钥。在块230,例如可通过基于在块224收集的用户的数字化生物统计信息而生成散列值,来生成个人密钥。从块230,处理然后继续进行块250。
在块250,加密可执行固件指令。对于至少一个实施例,这通过加密DXE阶段指令驻留在其上的固件卷来达成。使用在块230生成的个人密钥,连同上面讨论的从平台标识符生成的平台ID密钥180,执行在块250的加密。加密的指令可被加载到装置固件中,以改写固件卷上的任何现有指令。从块250,处理然后结束在块280。对于至少一个备选实施例,处理可从块250继续进行可选块255。在图2中用虚线标示了块255的可选性质。
在块255,确定用户是否希望继续引导过程。如果否,则处理结束在块180。此类处理例如可发生在用户仅希望执行初始加密处理,但当前不希望实际引导和使用计算装置时。在块255,可凭借任何已知方法,包含键盘输入、用户屏幕输入、语音输入等,弄清用户的希望。
如果用户希望继续引导过程,则处理从块255继续进行以引导处理块260、270和275,以便加载并开始执行OS。
对于至少一个实施例,图2中说明的方法200的处理可实现为UEFI引导过程的一部分。转到图3,示出了适用于UEFI引导序列的阶段311、321、331、341、351、361的图2的方法200。图3说明了在DXE阶段331期间执行方法200的大部分。
具体地说,图3说明了在SEC阶段311期间执行方法200的块210,以及在PEI阶段321期间执行块220。从块220,处理继续进行块222。
图3说明了在DXE阶段331期间执行块222、224、230、250和255。也就是说,是在DXE阶段331期间,用基于用户的生物统计信息(连同平台标识符)的个人密钥加密UEFI固件。然后如果在块255的确定求值为“真”值,则分别在BDS阶段341、TSE阶段351和RT阶段361期间执行处理块260、270和275。否则,处理结束在块280。
图4是说明使用固件的基于生物统计的解密的增强引导过程的至少一个实施例的流程图。对于至少一个实施例,假定在已经执行了图2的方法200的计算系统上执行图4的方法400。也就是说,图4说明了在已经在系统上执行了图2中说明的方法200以使用用户的生物统计信息加密固件之后使用用户的生物统计信息解密固件的方法。用此类方式,方法400可用于认证引导指令,诸如驱动,之后将此类驱动加载到存储器中(例如加载到易失性系统存储器中),以便在引导序列期间执行。
图4说明了方法400包含几个处理块410、420、430、440、450、460、470,它们按照上面结合图1的方法100描述的那些(分别是110、120、130、140、150、160、170)图线继续进行。然而,图4说明了正常引导序列100已经被增强到将生物统计解密考虑进去。从而,图4在块425说明了确定对于该装置是否启用了增强的生物统计认证。也就是说,对于一些实施例,用户可能之前已经选择成放弃即时系统上的此类加密。类似地,制造商可能已经选择成禁用该特征。在此类情况下,处理继续进行块430。应该指出,如果在块430的求值求值成“假”值,则对于图4中示出的方法400执行的处理块对应于图1中说明的正常引导序列(例如110、120、130、140、150、160、170)。另一方面,如果在块425的求值求值成“真”值,则处理块继续进行块432,以便开始生物统计解密处理。
在块432,初始化生物统计输入装置。对于至少一个实施例,块432的处理按照上面结合图2描述的块222的处理的图线继续进行。处理然后从块432继续进行块434。在块434,收集用户的生物统计信息。对于至少一个实施例,块434的处理按照上面结合图2讨论的块224的处理继续进行。处理然后继续进行块436。
在块436,基于在块434收集的生物统计信息生成个人密钥。块436的至少一个实施例的处理 按照上面结合图2讨论的块230的处理的图线继续进行。处理然后从块436继续进行块438。
在块438,使用在块436生成的个人密钥解密之前加密的固件卷(见图2)。对于至少一个实施例,解密基于平台ID密钥180以及个人密钥。对于至少一个其它实施例,加密可基于附加信息。此类附加信息可包含其它因素,诸如密码或口令(“你知道什么”)、令牌(诸如USB软件狗)、智能卡或其它装置(“你有什么”)和/或位置信息诸如GPS数据或地理防护数据(“你在哪里”)。对于至少一个实施例,可捕获任何此类附加信息,作为连同(或代替)生物统计个人密钥用于解密的附加密钥。对于至少一个其它实施例,附加信息可包含在个人密钥中。对于这些实施例中的任何实施例,要理解到,在块438用于加密的基于用户的信息(包含生物统计数据,以及可选的“你知道什么”、“你有什么”以及“你在哪里”数据)之前也用于在图2的块250执行的加密。
图4说明了,由于在块432、434、436和438的处理,在没有用户身体在场的情况下,在引导过程期间不能解密固件卷。用此方式,没有用户的身体在场,计算系统不能引导OS,使装置如果被偷了也无法用。此外,因为在块250(图2)和438(图4)说明的加密/解密也使用平台ID密钥,因此保持了附加安全性。也就是说,第一计算系统的用户不能将固件的拷贝从第二计算系统烧录到第一计算系统,即便用户拥有这两个系统。这是由于平台标识符在计算机系统之间是唯一的事实引起的。
如果在块438的解密操作成功了,则在块440、450、460和470执行正常引导处理。
然而,如果解密操作不成功,则处理结束在块458。然而,在结束之前,可执行可选块456。在块456,确定是否应该重新尝试解密。此类确定可基于默认设置,或者可基于向用户征求的选择输入。在任何事件中,如果要执行重试,则处理继续进行块434,使得对于附加解密尝试可收集生物统计信息。
对于至少一个实施例,图4中说明的方法400的处理可实现为UEFI引导过程的一部分。转到图5,示出了适用于UEFI引导序列的阶段311、321、331、341、351、361的图4的方法400。图5说明了在DXE阶段331期间执行方法400的大部分。
具体地说, 图5说明了在SEC阶段311期间执行方法400的块410,以及在PEI阶段321期间执行块420。从块420,处理继续进行块425。
图5说明了在DXE阶段331期间执行块425、430、432、434、436、438和440以及可选的块456。也就是说,是在DXE阶段331期间,使用用户的生物统计信息(连同平台标识符)解密UEFI固件。然后如果在块456的确定求值为“真”值,则分别在BDS阶段341、TSE阶段351和RT阶段361期间执行处理块450、460和470。否则,处理结束在块458。
图6是说明用于执行在引导期间 固件的生物统计认证的至少一个实施例的模块630以及其它系统元件的框图。例如,模块630可包含执行在图2和3中说明的加密块222、224、230、250的实施例的指令,并且还可包含执行在图4和5中说明的解密块430、432、434、436、438的实施例的指令。
因而,本发明的实施例包含含有用于执行本文讨论的操作的指令的机器可存取存储介质。此类实施例也可称为计算机程序产品。
图6说明了模块630包含如下至少一项或多项:装置初始化器604、输入收集器606、密钥生成器608、加密器模块612和解密器模块614。对于至少一个实施例,此类模块630是存储在计算装置的只读存储器(ROM)中并且在引导过程期间在加载OS之前执行的固件模块。例如,装置分析器604的一个或多个指令可在引导期间执行,以执行在图2和3中示出的块222的处理,并且执行在图4和5中示出的块432的处理。可执行输入收集器606的一个或多个指令,以执行在图1和3中示出的块224的处理,并且执行在图4和5中示出的块434的处理。可执行密钥生成器608的一个或多个指令,以执行生成个人密钥610的处理,如在图2和3的块230以及在图4和5中示出的块436所示的。
可执行加密器模块612的一个或多个指令,以加密结合在图2和3中示出的块250所描述的引导指令。对于至少一个实施例,由加密器模块612执行的加密处理250可适用于含有UEFI驱动指令的固件卷。
可执行解密器模块614的一个或多个指令,以解密结合在图4和5中示出的块438所描述的引导指令。对于至少一个实施例,由解密器模块614执行的加密处理438可适用于含有UEFI驱动指令的固件卷。
图6进一步说明了模块630可适用于输入执行本文描述的功能的数据,并生成输出信息。因而,其中一个或多个模块630可从计算系统的其它组件接收输入。例如,图6说明了加密器模块612和解密器模块614都可从计算系统接收平台ID 680。
输入收集器606可从一个或多个生物统计装置620接收生物统计信息。在图6中用虚线标示了附加生物统计装置的可选性质。对于至少一个实施例,生物统计装置可包含如下任何或所有装置中的一个或多个:相机或其它面部识别装置、指纹扫描仪、视网膜扫描仪、虹膜扫描仪、麦克风或其它语音扫描仪、脑波扫描仪、DNA分析仪、手纹分析仪或任何其它生物统计输入装置 。
其中一个或多个模块630可向计算系统的其它组件提供输出数据或信号。例如,图6说明了装置初始化器604可向一个或多个生物统计装置602提供初始化信号和/或数据。再者,密钥生成器模块608可至少部分基于用户的生物统计数据生成密钥610,并且可将此类密钥610提供给其它模块,诸如加密器模块612和解密器模块614 。
尽管本文首要作为ROM固件指令进行讨论,但本文公开的模块630的实施例可用硬件、软件、固件或此类实现方法的组合实现。实施例可实现为在可编程系统上执行的计算机指令,可编程系统包括至少一个处理器、数据存储系统(包含易失性和/或非易失性存储器和/或存储元件)、至少一个输入装置(诸如键盘、触摸屏等)以及至少一个输出装置(诸如集成的显示屏或外围的显示装置,诸如监视器)。
此类机器可存取存储介质可包含,但不限于,由机器或装置制造或形成的粒子的有形非易失性布置,包含存储介质诸如硬盘、任何其它类型盘,包含软盘、光盘、压缩盘只读存储器(CD-ROM)、压缩盘可重写(CD-RW)以及磁光盘、半导体器件诸如只读存储器(ROM)、随机存取存储器(RAM)诸如动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、可擦除可编程只读存储器(EPROM)、闪存、电可擦除可编程只读存储器(EEPROM)、磁卡或光卡或适合于存储电子指令的任何其它类型介质。
对于至少一个实施例,图6中说明的模块630可作为UEFI引导过程的一部分执行。转到图7,示出了说明在UEFI引导期间执行固件的基于生物统计的认证的功能固件和软件模块的阶段图。图7说明了启动模块710和PEI核心模块720。对于至少一个实施例,可执行启动模块710,以执行上面分别结合图1、2和3以及4和5 讨论的块110、210和410的处理。此类处理可在UEFI引导序列的SEC阶段311期间执行。
类似地,对于至少一个实施例,可执行PEI核心模块720,以执行上面分别结合图1、2和3以及4和5讨论的块120、220和420的处理。此类处理可在UEFI引导序列的PEI阶段321期间执行。
图7还说明了认证模块630。认证模块630可接收各种输入,包含来自一个或多个生物统计装置620的生物统计数据,还有平台标识符。如上面结合图6所讨论的,可执行认证模块630,以执行在引导过程期间要执行的固件驱动的生物统计认证。此类处理可在UEFI引导序列的DXE阶段331期间执行。
图7还说明了分别在OS引导过程的阶段331、341、351和361期间执行的附加模块740、750、760、770。此类模块可包含固件模块,而且可包含软件程序。例如,OS 770可实现为软件程序,而不是固件指令。
实现为软件程序(例如770)的任何模块都可用高级面向过程或面向对象的编程语言实现,以与处理系统通信。如果期望的话,程序也可用汇编语言或机器语言实现。实际上,本文描述的机制在范围上不限于任何具体编程语言。在任何情况下,语言都可以是编译语言或翻译语言。
现在参考图8,示出了第一系统800a和第二系统800b的框图,它们中的每个都可执行上面描述的 增强引导处理的实施例。为了本申请的目的,处理系统包含具有处理器(诸如例如数字信号处理器(DSP)、微控制器、专用集成电路(ASIC)、图形处理单元或微处理器)的任何系统。
如图8所示,第一系统800a可包含一个或多个处理元件810、815,它们耦合到图形存储器控制器逻辑(GMC) 820。在图8中用虚线标示了附加处理元件815的可选性质。
每个处理元件810、815可以是单核,或者备选地可包含多核。处理元件810、815可选地可包含除处理核之外的其它晶片上元件,诸如集成存储器控制器和/或集成I/O控制逻辑。再者,对于第一系统800a的至少一个实施例,处理元件810、815的核可以是多线程的,因为它们每个核可包含多于一个的硬件线程上下文。
图8说明了GMC 820可耦合到存储器830,存储器830例如可以是动态随机存取存储器(DRAM)。对于至少一些实施例,GMC 820可以是芯片集,或者芯片集的一部分。备选地,GMC的控制器逻辑诸如例如可与系统的其它组件集成在片上系统(SOC)配置中。GMC 820可与处理器810、815通信,并控制处理器810、815与存储器830之间的交互作用。
GMC 820也可充当处理器810、815与系统800a其它元件之间的加速总线接口。对于至少一个实施例,GMC 820经由 多点总线(诸如前侧总线(FSB) 895)与处理器810、815通信。对于其它实施例(参见图9和10),GMC 820经由点对点互连与处理器810、815通信。
更进一步说,GMC 820耦合到显示器840(诸如例如,平板显示器或触敏显示器)。GMC 820可包含集成图形加速器。GMC 820进一步耦合到输入/输出(I/O)控制器逻辑(IC)850,其可用于将各种外围装置耦合到系统800a。例如示出的是外部图形装置860,其可以是分立图形装置,与其它外围装置870(诸如一个或多个键盘、鼠标或数字键区)一起耦合到IC850。
备选地,在第一系统800a中也可存在附加的或不同的处理元件。例如,在第一系统800a中也可包含紧接在下面结合第二系统实施例800b讨论的任何特征。再者,附加处理元件815可包含与处理器810相同的附加处理器、与处理器810异构或不对称的附加处理器、加速器(诸如例如,图形加速器或数字信号处理(DSP)单元)、现场可编程门阵列或任何其它处理元件。依据品质度量谱,在物理资源810、815之间可能存在各种差异,包含架构、微架构、热、功耗特性等。这些差异可在处理元件810、815之间有效地将它们自己表明为不对称并且异构。对于至少一个实施例,各种处理元件810、815可驻留在同一晶片封装中。
图8还说明了第二系统800b可包含一个或多个处理元件811。与图8中说明的第一系统800a一样,系统800b是电子装置,其可使用任何适合的硬件和/或软件实现以根据需要配置电子装置800b。图8说明了,对于一个实施例,示例系统800b包含触敏显示装置802以及耦合到系统控制逻辑804的一个或多个处理器811。示例系统800b还可包含耦合到系统控制逻辑804的系统存储器830。系统控制逻辑804还可耦合到非易失性存储器和/或存储装置835,并且还可耦合到一个或多个通信接口806。
触敏显示装置802(在本文也称为“触摸屏”)可使用任何适合的触敏技术(诸如,例如而非限制,电容性、电阻性、表面声波(SAW)、红外和光学成像)实现。用于一个实施例的触敏显示装置802的触敏技术可能不需要在其表面上的实际触摸,而是可感测靠近该表面的物体的存在。然而,此类技术可被视为触敏的,因为此类技术将类似地感测实际在显示装置802表面上触摸的物体,并且因为当使用电子装置800b时,此类表面有可能被实际触摸。一个实施例的触敏显示装置802可使用任何适合的多点触摸技术实现。触敏显示装置802包含可使用任何适合的显示技术(诸如例如用于液晶显示器(LCD)的技术)实现的显示器。至少一个实施例的系统控制逻辑804可包含一个或多个图形控制器,以向触敏显示装置802提供一个或多个显示接口。
至少一个实施例的系统控制逻辑804可包含任何适合的接口控制器,以提供到至少一个处理器811和/或到与系统控制逻辑804通信的任何适合的装置或组件的任何适合的接口。
至少一个实施例的系统控制逻辑804可包含一个或多个存储器控制器以提供到系统存储器830的接口。系统存储器830可用于例如在系统800b的操作期间加载和存储数据和/或指令。对于至少一个实施例,系统存储器830可用于存储任何适合的软件832,诸如任何适合的驱动软件、应用软件和/或操作系统软件(例如参见图7的操作系统770)。一个实施例的系统存储器830可包含任何适合的易失性存储器,诸如例如适合的动态随机存取存储器(DRAM)。
至少一个实施例的系统控制逻辑804可包含一个或多个输入/输出(I/O)控制器,以提供到触敏显示 装置802、非易失性存储器和/或存储装置835和/或通信接口806 的接口。
非易失性存储器和/或存储装置835可用于存储数据和/或指令837。例如,非易失性存储器和/或存储装置835可按照在图6中说明的模块604、606、608、612、614存储固件模块。对于此类实施例,指令837可对应于在图6和7中说明的认证模块630。
非易失性存储器和/或存储装置835可包含任何适合的非易失性存储器,诸如例如闪存,和/或可包含任何适合的非易失性存储装置,诸如例如一个或多个硬盘 驱动器(HDD)、一个或多个压缩盘(CD)驱动器和/或一个或多个数字多功能盘(DVD)驱动器。对于至少一个实施例,非易失性存储器和/或存储装置835可包含存储用于引导处理(例如参见图6的模块630以及图1、2、3、4和5的引导处理)的指令的非易失性只读存储器(ROM)。
通信接口806可提供系统800b的接口,以通过一个或多个网络通信,和/或与任何其它适合的装置通信。通信接口806可包含任何适合的硬件和/或固件。一个实施例的通信接口806例如可包含网络适配器、无线网络适配器、电话调制解调器和/或无线调制解调器。对于无线通信,一个实施例的通信接口806可使用一个或多个天线808。
至少一个实施例的系统逻辑804可包含一个或多个输入/输出(I/O)控制器,以提供到任何适合的输入/输出装置(诸如例如帮助将声音转换成对应的数字信号和/或帮助将数字信号转换成对应的声音的音频装置、相机、摄像机、打印机和/或扫描仪)的接口。
对于至少一个实施例,至少一个处理器811可与用于系统控制逻辑804的一个或多个控制器的逻辑封装在一起。对于一个实施例,至少一个处理器811可与系统控制逻辑804的一个或多个控制器的逻辑封装在一起以形成封装中系统(SiP)。对于一个实施例,至少一个处理器811可与系统控制逻辑804的一个或多个控制器的逻辑集成在同一晶片上。对于一个实施例 ,至少一个处理器811可与系统控制逻辑804的一个或多个控制的逻辑集成在同一晶片上以形成片上系统(SoC)。
尽管对于一个实施例描述为用在系统800b中,但其它实施例的触敏显示装置802可用在其它系统配置中。
现在参考图9,示出了根据本发明实施例的第三系统实施例900的框图。如图9所示,多处理器系统900是点对点互连系统,并且包含经由点对点互连950耦合的第一处理元件970和第二处理元件980。如图9所示,处理元件970和980中的每个都可以是多核处理器,包含第一和第二处理器核(即,处理器核974a和974b以及处理器核984a和984b)。
备选地,处理元件970、980中的一个或多个可以是不同于处理器的元件,诸如加速器或现场可编程门阵列。
虽然示出仅具有两个处理元件970、980,但要理解到,所附权利要求书的范围不限于此。在其它实施例中,在给定处理器中可存在一个或多个附加处理元件。
第一处理元件970可进一步包含存储器控制器逻辑(MC)972和点对点(P-P)接口976和978。类似地,第二处理元件980可包含MCH 982和P-P接口986和988。如图9所示,存储器控制器逻辑 972和982将处理器耦合到相应存储器,即存储器932和存储器934,它们可以是局部附连到相应处理器的部分主存储器。
第一处理元件970和第二处理元件980可分别经由P-P互连952和954耦合到I/O控制逻辑990。如图9中所示,I/O控制逻辑990可包含P-P接口994和998。更进一步说,I/O控制逻辑990包含接口992以耦合I/O控制逻辑990与高性能图形引擎938。在一个实施例中,总线939可用于将图形引擎938耦合到I/O控制逻辑990。备选地,点对点互连939可耦合这些组件。
I/O控制逻辑990又可经由接口996耦合到第一总线916。在一个实施例中,第一总线916可以是外围组件互连(PCI)总线,或诸如PCI快速总线的总线,或另一第三代I/O互连总线,不过所附权利要求书的范围不限于此。
如图9所示,各种I/O装置914可耦合到第一总线916,连同将第一总线916耦合到第二总线910的总线桥918。在一个实施例中,第二总线910可以是低管脚计数(LPC)总线。在一个实施例中,各种装置可耦合到第二总线910,例如包含键盘和/或鼠标912、通信装置916和数据存储单元918,诸如盘驱动器或可包含代码930的其它大容量存储装置。代码930可包含用于执行上面描述的其中一个或多个方法的实施例的指令。进一步说,音频I/O 914可耦合到第二总线910。要指出,其它架构是可能的。例如,代替图9的点对点架构,系统可实现多点总线(multi-drop bus)或另一此类架构。
现在参考图10,示出了根据本发明实施例的第四系统实施例1000的框图。图9和图10中相似元件带有相似的附图标记,并且已经从图10中省略了图9的某些方面,以便避免使图10的其它方面模糊不清。
图10说明了处理元件970、980可分别包含集成存储器和I/O控制逻辑(“CL”) 1072和1082。对于至少一个实施例,CL 1072、1082可包含存储器控制器逻辑。此外, CL 1072、1082还可包含I/O控制逻辑。图10不仅说明了存储器932、934耦合到CL 1072、1082,而且说明了I/O装置1044也可耦合到控制逻辑1072、1082。传统I/O装置1015可耦合到I/O子系统990或芯片集,如果存在的话。
本文给出了用于更快启动OS的增强系统引导处理的方法和系统的实施例,因为它对于可能的中断不询问I/O装置,而且可修改成基于用户选择机制询问此类装置。虽然已经示出和描述了本发明的具体实施例,但对本领域技术人员将显然的是,在不脱离所附权利要求书范围的情况下,可进行众多改变、变化和修改。
因而,本领域技术人员将认识到,在其更广泛方面不脱离本发明的情况下,可进行改变和修改。所附权利要求书在它们的范围内涵盖了落入本发明真实范围和精神内的所有此类改变、变化和修改。
如下示例涉及根据此说明书的实施例。一个或多个实施例可提供一种用于在计算系统的操作系统引导期间执行引导模块的生物统计认证的方法。所述方法可包含:响应于接收到重置事件的通知而在计算系统中执行引导序列的初始操作;使用多个密钥解密引导序列代码,其中所述多个密钥包含从所述计算系统的用户的生物统计信息中生成的至少一个密钥;响应于所述解密,执行所述引导序列的附加操作,其中所述附加操作包含将操作系统代码加载到所述计算系统的系统存储器中;以及如果解密不成功,则终止所述引导序列,无需加载所述操作系统代码。
在一个或多个实施例的示例中,引导序列可以是UEFI引导序列。对于此类实施例,所述解密在UEFI引导序列的驱动执行环境阶段期间执行。此类实施例的解密可进一步包括解密UEFI驱动代码.
在一个或多个实施例的示例中,引导序列的初始操作包含初始化计算系统的处理器的一个或多个操作。
在一个或多个实施例的示例中,所述方法可进一步包含初始化一个或多个生物统计装置。所述方法可进一步包含从一个或多个生物统计装置收集生物统计信息。
在一个或多个实施例的示例中,多个密钥进一步包含从对计算系统唯一的信息中生成的至少一个密钥。
一个或多个实施例可提供包括一个或多个指令的至少一个机器可存取存储介质,所述指令当由处理器执行时使计算装置:接收重置事件的通知;从一个或多个生物统计装置接收与用户关联的生物统计信息;基于所述生物统计信息加密在引导序列期间要执行的指令;以及执行附加处理以加载所述操作系统;其中所述加密进一步基于与所述计算装置关联的唯一标识符,并且在加载操作系统之前执行。
对于至少一个此类实施例,所述加密要在UEFI引导序列的驱动执行环境阶段期间执行。
对于至少一个此类实施例,加密进一步基于与用户关联的一个或多个附加数据。一个或多个附加数据进一步包括如下一项或多项:(a)令牌的拥有、(b)密码、(c)口令以及(d)所述用户的位置。
在至少一个计算机可读介质的一个或多个实施例的另一示例中,一个或多个附加指令当执行时使计算装置:执行一个或多个平台初始化指令;以及初始化所述一个或多个生物统计装置。
一个或多个实施例可提供包括一个或多个指令的至少一个其它机器可存取存储介质,所述指令当由处理器执行时使计算装置:接收重置事件的通知;从一个或多个生物统计装置接收与用户关联的生物统计信息;基于所述生物统计信息解密在引导序列期间要执行的指令;以及执行附加处理以加载所述操作系统;其中所述解密进一步基于与计算装置关联的唯一标识符 ,并且在加载操作系统之前执行。
在至少一个其它计算机可读介质的一个或多个实施例的另一示例中,一个或多个附加指令当执行时使计算装置:执行一个或多个平台初始化指令,并且初始化一个或多个生物统计装置。
对于至少一个此类实施例,所述加密要在UEFI引导序列的驱动执行环境阶段期间执行。
对于至少一个此类实施例,加密进一步基于与用户关联的一个或多个附加数据。一个或多个附加数据进一步包括如下一项或多项:(a)令牌的拥有、(b)密码、(c)口令以及(d)所述用户的位置。
一个或多个实施例可提供执行引导模块的生物统计认证的系统。此类实施例的示例包含:处理器;耦合到处理器的非易失性存储器;以及耦合到处理器的系统存储器;其中所述非易失性存储器包含一个或多个指令,用于:基于用户的生物统计信息生成第一密钥;认证存储在所述非易失性存储器中的指令;以及将认证的指令从所述非易失性存储器加载到所述易失性存储器;其中所述认证基于第一密钥以及与所述系统关联的唯一标识符。
对于至少一个此类示例系统实施例,所述认证的指令是在将操作系统代码加载到系统存储器中之前要执行的指令。
对于至少一个其它此类示例系统实施例,所述唯一标识符是与系统关联的序列号。
对于至少一个其它此类示例系统实施例,所述唯一标识符是可信平台模块密钥。
对于至少一个其它此类示例系统实施例,所述生物统计信息是指纹。
对于至少一个其它此类示例系统实施例,所述生物统计信息用户的脸的图像。
对于至少一个其它此类示例系统实施例,所述认证的指令进一步包括与一个或多个驱动关联的指令。对于至少一个此类实施例,存储在非易失性存储器中的所述指令进一步包括与一个或多个UEFI驱动关联的指令。
对于至少一个其它此类示例系统实施例,所述非易失性存储器包含用于基于 唯一标识符生成第二密钥的一个或多个指令。
对于至少一个其它此类示例系统实施例,权利要求11的系统,其中所述解密进一步基于与用户关联的附加数据。对于至少一个其它此类实施例,与用户关联的所述附加数据进一步包括密码 。 对于至少一个此类实施例,与用户关联的所述附加数据进一步包括口令。对于至少一个此类实施例,与用户关联的所述附加数据进一步包括用户位置信息。
Claims (37)
1.至少一个非暂时性机器可访问存储介质,包含一个或多个指令序列,所述指令序列包含指令,这些指令在被执行时导致计算装置:
接收重置事件的通知;
执行生物统计装置固件指令以初始化一个或多个生物统计装置;
从所述一个或多个生物统计装置接收与用户关联的生物统计信息,其中,所述生物统计信息包括来自所述一个或多个生物统计装置的多个读数;
在执行所述生物统计装置固件指令之后,加密在引导序列期间要执行的附加固件指令,其中,加密是基于包括与所述计算装置关联的唯一标识符、所述生物统计信息以及基于用户的信息在内的至少三个凭证,其中,在所述引导序列期间使用以下各项来执行加密:(a)所述唯一标识符,(b)来自所述一个或多个生物统计装置的所述多个读数,以及(c)所述基于用户的信息,其中,所述附加固件指令与所述生物统计装置固件指令不同;以及
执行附加处理以加载操作系统。
2.根据权利要求1所述的存储介质,其中,所述基于用户的信息包括令牌的拥有。
3.根据权利要求1所述的存储介质,其中,所述基于用户的信息包括密码。
4.根据权利要求1所述的存储介质,其中,所述基于用户的信息包括口令。
5.根据权利要求1所述的存储介质,其中,所述基于用户的信息包括所述用户的位置。
6.根据权利要求1所述的存储介质,其中,所述唯一标识符包括产品序列号。
7.根据权利要求1所述的存储介质,其中,所述唯一标识符包括以太网装置的媒体访问控制(MAC)地址。
8.根据权利要求1所述的存储介质,其中,所述唯一标识符包括可信平台模块(TPM)密钥。
9.根据权利要求1所述的存储介质,其中,要在加载操作系统之前执行加密。
10.根据权利要求1所述的存储介质,其中,要在所述引导序列的驱动程序执行环境阶段期间执行加密。
11.根据权利要求1所述的存储介质,所述指令还包括在被执行时导致所述计算装置执行以下操作的指令:
执行一个或多个平台初始化指令;以及
初始化所述一个或多个生物统计装置。
12.至少一个非暂时性机器可访问存储介质,包含一个或多个指令序列,所述指令序列包含指令,这些指令在被执行时导致计算装置:
接收重置事件的通知;
执行生物统计装置固件指令以初始化一个或多个生物统计装置;
从所述一个或多个生物统计装置接收与用户关联的生物统计信息,其中,所述生物统计信息包括来自所述一个或多个生物统计装置的多个读数;
在执行所述生物统计装置固件指令之后,解密在引导序列期间要执行的附加固件指令,所述解密是基于包括与所述计算装置关联的唯一标识符、所述生物统计信息以及基于用户的信息在内的至少三个凭证,其中,在所述引导序列期间使用以下各项来执行解密:(a)唯一标识符,(b)来自所述一个或多个生物统计装置的多个读数,以及(c)所述基于用户的信息,其中,所述附加固件指令与所述生物统计装置固件指令不同;以及
执行附加处理以加载操作系统。
13.根据权利要求12所述的存储介质,所述指令还包括在被执行时导致所述计算装置执行以下操作的指令:
执行一个或多个平台初始化指令;以及
初始化所述一个或多个生物统计装置。
14.根据权利要求13所述的存储介质,其中,所述基于用户的信息包括以下的一项或多项:(a)令牌的拥有、(b)密码、(c)口令以及(d)所述用户的位置。
15.一种用于引导计算系统的方法,包括:
响应于接收到重置事件的通知,在计算系统中执行引导序列的初始操作;
执行生物统计装置固件代码以初始化一个或多个生物统计装置;
从所述一个或多个生物统计装置接收与用户关联的生物统计信息,其中,所述生物统计信息包括来自所述一个或多个生物统计装置的多个读数;
在执行所述生物统计装置固件代码之后,在所述引导序列的驱动程序执行环境阶段期间,使用至少三个凭证来解密引导序列固件代码,所述至少三个凭证包括与计算装置关联的唯一标识符、所述生物统计信息以及与用户关联的数据,其中,所述引导序列固件代码与所述生物统计装置固件指令生物统计装置固件代码不同;
响应于所述解密,执行所述引导序列的附加操作,其中,所述附加操作包括将操作系统代码加载到所述计算系统的系统存储器中;以及
如果所述解密失败,则终止所述引导序列而不加载所述操作系统代码。
16.根据权利要求15所述的方法,其中,所述引导序列是UEFI引导序列。
17.根据权利要求15所述的方法,其中,解密引导序列固件代码还包括:解密UEFI驱动程序代码。
18.根据权利要求15所述的方法,其中,所述引导序列的所述初始操作包括用于初始化所述计算系统的处理器的一个或多个操作。
19.根据权利要求15所述的方法,还包括:
初始化一个或多个生物统计装置。
20.根据权利要求15所述的方法,还包括:
从一个或多个生物统计装置收集所述生物统计信息。
21.一种计算系统,包括:
处理器;
与所述处理器耦合的非易失性存储器;以及
与所述处理器耦合的系统存储器;
其中,所述非易失性存储器包含一个或多个指令,用于:
确定在UEFI引导序列的驱动程序执行环境阶段(DXE)期间是否已启用增强的生物统计认证;
基于在所述DXE期间从生物统计装置收集的用户的生物统计信息,在所述DXE期间生成第一密钥;
在所述DXE期间认证所述用户和存储在所述非易失性存储器中的固件代码;以及
在所述DXE阶段,将已认证的固件代码从所述非易失性存储器加载到易失性存储器中,其中,所述固件代码在从所述非易失性存储器加载到所述易失性存储器中之前经过认证;
其中,所述认证包括:通过在将所述固件代码从所述非易失性存储器加载到所述易失性存储器中之前,基于所述用户的所述生物统计信息、与所述系统关联的唯一标识符以及(a)令牌的拥有、(b)密码、(c)口令以及(d)所述用户的位置中的一项或多项,使用所述第一密钥解密所述固件代码,来确定所述用户被授权,以及其中,所述解密要在将所述固件代码加载到所述易失性存储器中之前在所述DXE期间加载操作系统之前执行。
22.根据权利要求21所述的系统,其中,所述认证的固件代码包括在将操作系统代码加载到所述系统存储器中之前要执行的指令。
23.根据权利要求21所述的系统,其中,所述唯一标识符是与所述系统关联的序列号。
24.根据权利要求21所述的系统,其中,所述唯一标识符是可信平台模块密钥。
25.根据权利要求21所述的系统,其中,所述生物统计信息是指纹。
26.根据权利要求21所述的系统,其中,所述生物统计信息是用户的脸的图像。
27.根据权利要求21所述的系统,其中,所述认证的固件代码包括与一个或多个驱动程序关联的指令。
28.根据权利要求27所述的系统,其中,存储在非易失性存储器中的所述指令还包括与一个或多个UEFI驱动程序关联的指令。
29.根据权利要求21所述的系统,其中:
所述非易失性存储器包括用于基于所述唯一标识符来生成第二密钥的一个或多个指令。
30.根据权利要求29所述的系统,其中,所述非易失性存储器包含用于基于以下的一项或多项来生成第三密钥的一个或多个指令:(a)所述令牌、(b)所述密码、(c)所述口令以及(d)所述用户的位置,以及
其中,使用所述第一密钥、所述第二密钥和所述第三密钥对所述固件代码进行解密。
31.一种机器可读介质,其上面存储指令,所述指令在被执行时导致所述机器执行如权利要求15-20中任一项所述的方法。
32.一种用于引导计算系统的设备,包括:
用于响应于接收到重置事件的通知,在计算系统中执行引导序列的初始操作的部件;
用于执行生物统计装置固件代码以初始化一个或多个生物统计装置的部件;
用于从所述一个或多个生物统计装置接收与用户关联的生物统计信息的部件,其中,所述生物统计信息包括来自所述一个或多个生物统计装置的多个读数;
用于在执行所述生物统计装置固件代码之后,在所述引导序列的驱动程序执行环境阶段期间,使用至少三个凭证来解密引导序列固件代码的部件,所述至少三个凭证包括与计算装置关联的唯一标识符、所述生物统计信息以及与用户关联的数据,其中,所述引导序列固件代码与所述生物统计装置固件指令生物统计装置固件代码不同;
用于响应于所述解密,执行所述引导序列的附加操作的部件,其中,所述附加操作包括将操作系统代码加载到所述计算系统的系统存储器中;以及
用于如果所述解密失败,则终止所述引导序列而不加载所述操作系统代码的部件。
33.根据权利要求32所述的设备,其中,所述引导序列是UEFI引导序列。
34.根据权利要求32所述的设备,其中,用于解密引导序列固件代码的部件还包括:用于解密UEFI驱动程序代码的部件。
35.根据权利要求32所述的设备,其中,所述引导序列的所述初始操作包括用于初始化所述计算系统的处理器的一个或多个操作。
36.根据权利要求32所述的设备,还包括:
用于初始化一个或多个生物统计装置的部件。
37.根据权利要求32所述的设备,还包括:
用于从一个或多个生物统计装置收集所述生物统计信息的部件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910662250.4A CN110569633B (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910662250.4A CN110569633B (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
| PCT/CN2012/083498 WO2014063330A1 (en) | 2012-10-25 | 2012-10-25 | Anti-theft in firmware |
| CN201280076013.6A CN104871167A (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076013.6A Division CN104871167A (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110569633A CN110569633A (zh) | 2019-12-13 |
| CN110569633B true CN110569633B (zh) | 2023-04-18 |
Family
ID=50543884
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076013.6A Pending CN104871167A (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
| CN201910662250.4A Active CN110569633B (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280076013.6A Pending CN104871167A (zh) | 2012-10-25 | 2012-10-25 | 固件中的防盗 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US9824226B2 (zh) |
| EP (1) | EP2912588A4 (zh) |
| JP (1) | JP6096301B2 (zh) |
| KR (1) | KR101775800B1 (zh) |
| CN (2) | CN104871167A (zh) |
| WO (1) | WO2014063330A1 (zh) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2912588A4 (en) * | 2012-10-25 | 2016-06-29 | Intel Corp | ANTI-THEFT IN A MICROLOGICIEL |
| US10079019B2 (en) | 2013-11-12 | 2018-09-18 | Apple Inc. | Always-on audio control for mobile device |
| US9778728B2 (en) | 2014-05-29 | 2017-10-03 | Apple Inc. | System on a chip with fast wake from sleep |
| US10031000B2 (en) | 2014-05-29 | 2018-07-24 | Apple Inc. | System on a chip with always-on processor |
| CN106462548B (zh) * | 2014-06-24 | 2020-06-16 | 英特尔公司 | 固件传感器层 |
| US10019351B2 (en) | 2014-06-30 | 2018-07-10 | Cypress Semiconductor Corporation | Booting an application from multiple memories |
| WO2016024967A1 (en) * | 2014-08-13 | 2016-02-18 | Hewlett Packard Enterprise Development Lp | Secure non-volatile random access memory |
| US9734311B1 (en) * | 2015-03-17 | 2017-08-15 | American Megatrends, Inc. | Secure authentication of firmware configuration updates |
| US9565169B2 (en) | 2015-03-30 | 2017-02-07 | Microsoft Technology Licensing, Llc | Device theft protection associating a device identifier and a user identifier |
| WO2017166264A1 (en) * | 2016-04-01 | 2017-10-05 | Intel Corporation | Apparatuses and methods for preboot voice authentication |
| EP3264816A1 (en) * | 2016-06-30 | 2018-01-03 | Sequans Communications S.A. | Secure boot and software upgrade of a device |
| US10521216B2 (en) | 2017-01-17 | 2019-12-31 | Oracle International Corporation | Unified extensible firmware interface updates |
| US11238185B2 (en) * | 2017-03-07 | 2022-02-01 | Sennco Solutions, Inc. | Integrated, persistent security monitoring of electronic merchandise |
| US11036408B2 (en) | 2017-03-26 | 2021-06-15 | Oracle International Corporation | Rule-based modifications in a data storage appliance monitor |
| US10839080B2 (en) * | 2017-09-01 | 2020-11-17 | Microsoft Technology Licensing, Llc | Hardware-enforced firmware security |
| US11503015B2 (en) * | 2017-10-12 | 2022-11-15 | Mx Technologies, Inc. | Aggregation platform portal for displaying and updating data for third-party service providers |
| US10063542B1 (en) * | 2018-03-16 | 2018-08-28 | Fmr Llc | Systems and methods for simultaneous voice and sound multifactor authentication |
| CN110324138B (zh) * | 2018-03-29 | 2022-05-24 | 阿里巴巴集团控股有限公司 | 数据加密、解密方法及装置 |
| US10936722B2 (en) * | 2018-04-18 | 2021-03-02 | Nuvoton Technology Corporation | Binding of TPM and root device |
| US10855674B1 (en) * | 2018-05-10 | 2020-12-01 | Microstrategy Incorporated | Pre-boot network-based authentication |
| US11150911B2 (en) | 2018-06-15 | 2021-10-19 | Dell Products, L.P. | System and method for managing UEFI boot device path based on custom selection |
| CN109376550A (zh) * | 2018-11-01 | 2019-02-22 | 郑州云海信息技术有限公司 | 一种目标部件的启动控制方法、装置及设备 |
| US11204986B1 (en) * | 2018-11-28 | 2021-12-21 | American Megatrends International, Llc | Control of a prompt for a credential to unlock a storage device |
| WO2020185388A1 (en) * | 2019-03-08 | 2020-09-17 | Master Lock Company Llc | Locking device biometric access |
| US11775647B2 (en) * | 2020-06-25 | 2023-10-03 | Microsoft Technology Licensing, Llc | Secure user assigned device from manufacturer |
| GB2598130A (en) * | 2020-08-19 | 2022-02-23 | Issured Ltd | Controlled data access |
| US11429396B1 (en) * | 2021-05-19 | 2022-08-30 | Dell Products L.P. | Validating and enumerating device partitions in a computing environment |
| CN113326512A (zh) * | 2021-05-21 | 2021-08-31 | 深圳矽递科技股份有限公司 | 电子设备及其mcu固件保护方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1451234A (zh) * | 1999-09-20 | 2003-10-22 | 提维股份有限公司 | 闭式字幕添加标签的系统 |
| TW200506634A (en) * | 2003-04-10 | 2005-02-16 | Ibm | Physical presence determination in a trusted platform |
| CN1848288A (zh) * | 1999-03-30 | 2006-10-18 | 提维股份有限公司 | 多媒体可视的播放进度指示系统 |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1208302A (zh) * | 1997-08-08 | 1999-02-17 | 罗仁 | 一种综合通讯系统及其应用 |
| US6151678A (en) * | 1997-09-09 | 2000-11-21 | Intel Corporation | Anti-theft mechanism for mobile computers |
| US6363485B1 (en) | 1998-09-09 | 2002-03-26 | Entrust Technologies Limited | Multi-factor biometric authenticating device and method |
| US6694025B1 (en) * | 1999-06-02 | 2004-02-17 | Koninklijke Philips Electronics N.V. | Method and apparatus for secure distribution of public/private key pairs |
| US6687375B1 (en) * | 1999-06-02 | 2004-02-03 | International Business Machines Corporation | Generating user-dependent keys and random numbers |
| GB9923802D0 (en) * | 1999-10-08 | 1999-12-08 | Hewlett Packard Co | User authentication |
| JP2001144743A (ja) * | 1999-11-11 | 2001-05-25 | Sony Corp | 暗号鍵生成装置、暗号化・復号化装置および暗号鍵生成方法、暗号化・復号化方法、並びにプログラム提供媒体 |
| US7073064B1 (en) * | 2000-03-31 | 2006-07-04 | Hewlett-Packard Development Company, L.P. | Method and apparatus to provide enhanced computer protection |
| US7117376B2 (en) | 2000-12-28 | 2006-10-03 | Intel Corporation | Platform and method of creating a secure boot that enforces proper user authentication and enforces hardware configurations |
| JP2003032243A (ja) | 2001-07-11 | 2003-01-31 | Yokohama Rubber Co Ltd:The | 動的暗号鍵の生成方法並びに暗号化通信方法及びその装置並びに暗号化通信プログラム及びその記録媒体 |
| JP2003032224A (ja) * | 2001-07-12 | 2003-01-31 | Toshiba Corp | 識別値選定装置および通信装置 |
| US7174463B2 (en) * | 2001-10-04 | 2007-02-06 | Lenovo (Singapore) Pte. Ltd. | Method and system for preboot user authentication |
| US7212806B2 (en) * | 2002-09-12 | 2007-05-01 | Broadcom Corporation | Location-based transaction authentication of wireless terminal |
| CA2561130C (en) | 2004-03-26 | 2018-01-30 | Absolute Software Corporation | Persistent servicing agent |
| US7299347B1 (en) * | 2004-04-02 | 2007-11-20 | Super Talent Electronics, Inc. | Boot management in computer systems assisted by an endpoint with PCI-XP or USB-V2 interface |
| US8239673B2 (en) * | 2004-04-08 | 2012-08-07 | Texas Instruments Incorporated | Methods, apparatus and systems with loadable kernel architecture for processors |
| US7272245B1 (en) * | 2004-05-13 | 2007-09-18 | The United States Of America As Represented By The National Security Agency | Method of biometric authentication |
| JP2005346523A (ja) * | 2004-06-04 | 2005-12-15 | Sony Corp | 著作権保護方法、著作権保護システム |
| TWI264672B (en) * | 2004-09-21 | 2006-10-21 | Aimgene Technology Co Ltd | BIOS locking device, computer system with a BIOS locking device and control method thereof |
| US7779268B2 (en) * | 2004-12-07 | 2010-08-17 | Mitsubishi Electric Research Laboratories, Inc. | Biometric based user authentication and data encryption |
| CN101124767A (zh) * | 2004-12-22 | 2008-02-13 | 皇家飞利浦电子股份有限公司 | 密钥生成以及证明真实性的方法和设备 |
| ATE432513T1 (de) * | 2005-01-11 | 2009-06-15 | Swisscom Schweiz Ag | Verfahren und ein system, um zugang zu einem objekt oder zu einer dienstleistung zu erlangen |
| JP4489030B2 (ja) * | 2005-02-07 | 2010-06-23 | 株式会社ソニー・コンピュータエンタテインメント | プロセッサ内にセキュアな起動シーケンスを提供する方法および装置 |
| WO2006091997A1 (en) | 2005-03-01 | 2006-09-08 | Evatayhow Holdings Pty Ltd | Security system for computers |
| JP2007018050A (ja) * | 2005-07-05 | 2007-01-25 | Sony Ericsson Mobilecommunications Japan Inc | 携帯端末装置、暗証番号認証プログラム、及び暗証番号認証方法 |
| US20070033414A1 (en) * | 2005-08-02 | 2007-02-08 | Sony Ericsson Mobile Communications Ab | Methods, systems, and computer program products for sharing digital rights management-protected multimedia content using biometric data |
| CN1731408A (zh) * | 2005-08-17 | 2006-02-08 | 杭州海康威视数字技术有限公司 | 一种嵌入式安防设备管理员密码遗失的恢复方法 |
| US20080052530A1 (en) * | 2006-02-16 | 2008-02-28 | International Business Machines Corporation | System and method to provide CPU smoothing of cryptographic function timings |
| US20090249079A1 (en) * | 2006-09-20 | 2009-10-01 | Fujitsu Limited | Information processing apparatus and start-up method |
| EP2122900A4 (en) * | 2007-01-22 | 2014-07-23 | Spyrus Inc | PORTABLE DATA ENCRYPTION DEVICE WITH CONFIGURABLE SAFETY FUNCTIONS AND METHOD FOR FILING ENCRYPTION |
| US9158920B2 (en) * | 2007-06-28 | 2015-10-13 | Intel Corporation | System and method for out-of-band assisted biometric secure boot |
| JP5132222B2 (ja) * | 2007-08-13 | 2013-01-30 | 株式会社東芝 | クライアント装置、サーバ装置及びプログラム |
| CN101123507A (zh) * | 2007-10-08 | 2008-02-13 | 杭州华三通信技术有限公司 | 一种存储装置上数据信息的保护方法和存储装置 |
| US7865712B2 (en) * | 2007-12-26 | 2011-01-04 | Intel Corporation | Method and apparatus for booting a processing system |
| US8522236B2 (en) * | 2007-12-28 | 2013-08-27 | Intel Corporation | Method and system for establishing a robust virtualized environment |
| US9613215B2 (en) * | 2008-04-10 | 2017-04-04 | Nvidia Corporation | Method and system for implementing a secure chain of trust |
| US8041960B2 (en) | 2008-04-24 | 2011-10-18 | Aruba Networks, Inc. | Secure creation and management of device ownership keys |
| US8543799B2 (en) * | 2008-05-02 | 2013-09-24 | Microsoft Corporation | Client authentication during network boot |
| CN101321069A (zh) * | 2008-06-23 | 2008-12-10 | 刘洪利 | 手机生物身份证明制作、认证方法及其认证系统 |
| US8201239B2 (en) * | 2008-06-23 | 2012-06-12 | Intel Corporation | Extensible pre-boot authentication |
| CN101359991A (zh) * | 2008-09-12 | 2009-02-04 | 湖北电力信息通信中心 | 基于标识的公钥密码体制私钥托管系统 |
| US8443181B2 (en) * | 2008-09-30 | 2013-05-14 | Qualcomm Incorporated | Processor boot security device and methods thereof |
| US8086839B2 (en) * | 2008-12-30 | 2011-12-27 | Intel Corporation | Authentication for resume boot path |
| US8694761B2 (en) * | 2008-12-31 | 2014-04-08 | Vincent Zimmer | System and method to secure boot both UEFI and legacy option ROM's with common policy engine |
| CN102110195A (zh) * | 2009-12-25 | 2011-06-29 | 中国长城计算机深圳股份有限公司 | 一种计算机系统及其用户的身份识别方法和装置 |
| GB201000288D0 (en) | 2010-01-11 | 2010-02-24 | Scentrics Information Security | System and method of enforcing a computer policy |
| JP5589608B2 (ja) | 2010-06-28 | 2014-09-17 | 富士通株式会社 | 生体認証装置および生体認証プログラム |
| US8204480B1 (en) * | 2010-10-01 | 2012-06-19 | Viasat, Inc. | Method and apparatus for secured access |
| US8560845B2 (en) | 2011-01-14 | 2013-10-15 | Apple Inc. | System and method for tamper-resistant booting |
| US8473747B2 (en) * | 2011-03-16 | 2013-06-25 | Lenovo (Singapore) Pte. Ltd. | Secure boot with minimum number of re-boots |
| WO2013013192A2 (en) * | 2011-07-20 | 2013-01-24 | Visa International Service Association | Cryptographic expansion device and related protocols |
| WO2013067486A1 (en) * | 2011-11-04 | 2013-05-10 | Insyde Software Corp. | Secure boot administration in a unified extensible firmware interface (uefi)- compliant computing device |
| US8775784B2 (en) | 2011-11-11 | 2014-07-08 | International Business Machines Corporation | Secure boot up of a computer based on a hardware based root of trust |
| EP2912588A4 (en) | 2012-10-25 | 2016-06-29 | Intel Corp | ANTI-THEFT IN A MICROLOGICIEL |
| US9525675B2 (en) * | 2014-12-26 | 2016-12-20 | Mcafee, Inc. | Encryption key retrieval |
| US10198274B2 (en) * | 2015-03-27 | 2019-02-05 | Intel Corporation | Technologies for improved hybrid sleep power management |
| US10079684B2 (en) | 2015-10-09 | 2018-09-18 | Intel Corporation | Technologies for end-to-end biometric-based authentication and platform locality assertion |
| US10423425B2 (en) * | 2016-06-13 | 2019-09-24 | Dell Products, Lp | System and method for runtime update of ESRT table for hot-pluggable disks |
| US10534620B2 (en) * | 2017-11-30 | 2020-01-14 | Dell Products, L.P. | Systems and methods for establishing core root of trust measurement (CRTM) for basic input/output (BIOS) image recovery |
-
2012
- 2012-10-25 EP EP12887009.4A patent/EP2912588A4/en not_active Withdrawn
- 2012-10-25 CN CN201280076013.6A patent/CN104871167A/zh active Pending
- 2012-10-25 JP JP2015532271A patent/JP6096301B2/ja not_active Expired - Fee Related
- 2012-10-25 KR KR1020157007488A patent/KR101775800B1/ko active Search and Examination
- 2012-10-25 CN CN201910662250.4A patent/CN110569633B/zh active Active
- 2012-10-25 WO PCT/CN2012/083498 patent/WO2014063330A1/en active Application Filing
- 2012-10-25 US US13/997,369 patent/US9824226B2/en not_active Expired - Fee Related
-
2017
- 2017-10-20 US US15/789,607 patent/US10762216B2/en active Active
- 2017-11-10 US US15/809,785 patent/US20180157849A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1848288A (zh) * | 1999-03-30 | 2006-10-18 | 提维股份有限公司 | 多媒体可视的播放进度指示系统 |
| CN1451234A (zh) * | 1999-09-20 | 2003-10-22 | 提维股份有限公司 | 闭式字幕添加标签的系统 |
| TW200506634A (en) * | 2003-04-10 | 2005-02-16 | Ibm | Physical presence determination in a trusted platform |
Also Published As
| Publication number | Publication date |
|---|---|
| US10762216B2 (en) | 2020-09-01 |
| US20180039782A1 (en) | 2018-02-08 |
| US20150220742A1 (en) | 2015-08-06 |
| CN104871167A (zh) | 2015-08-26 |
| KR101775800B1 (ko) | 2017-09-06 |
| JP6096301B2 (ja) | 2017-03-15 |
| EP2912588A1 (en) | 2015-09-02 |
| KR20150048810A (ko) | 2015-05-07 |
| US20180157849A1 (en) | 2018-06-07 |
| US9824226B2 (en) | 2017-11-21 |
| EP2912588A4 (en) | 2016-06-29 |
| JP2015532987A (ja) | 2015-11-16 |
| WO2014063330A1 (en) | 2014-05-01 |
| CN110569633A (zh) | 2019-12-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10762216B2 (en) | Anti-theft in firmware | |
| JP5519712B2 (ja) | コンピュータをブートする方法およびコンピュータ | |
| US8335931B2 (en) | Interconnectable personal computer architectures that provide secure, portable, and persistent computing environments | |
| US20080052777A1 (en) | Method and Apparatus for Managing Shared Passwords on a Multi-User Computer | |
| US8949586B2 (en) | System and method for authenticating computer system boot instructions during booting by using a public key associated with a processor and a monitoring device | |
| WO2013067486A1 (en) | Secure boot administration in a unified extensible firmware interface (uefi)- compliant computing device | |
| US20170277916A1 (en) | Secure control of self-encrypting storage devices | |
| US10853086B2 (en) | Information handling systems and related methods for establishing trust between boot firmware and applications based on user physical presence verification | |
| US8539246B2 (en) | Secure resume for encrypted drives | |
| US10783088B2 (en) | Systems and methods for providing connected anti-malware backup storage | |
| US11200065B2 (en) | Boot authentication | |
| WO2018026628A1 (en) | Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor | |
| EP3757838B1 (en) | Warm boot attack mitigations for non-volatile memory modules | |
| US8473747B2 (en) | Secure boot with minimum number of re-boots | |
| US8702812B2 (en) | Remote disablement of a computer system | |
| US20220043915A1 (en) | Storage of network credentials |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |