CN111435311B - 固件安全防护方法与使用此方法的电子系统 - Google Patents
固件安全防护方法与使用此方法的电子系统 Download PDFInfo
- Publication number
- CN111435311B CN111435311B CN201910144988.1A CN201910144988A CN111435311B CN 111435311 B CN111435311 B CN 111435311B CN 201910144988 A CN201910144988 A CN 201910144988A CN 111435311 B CN111435311 B CN 111435311B
- Authority
- CN
- China
- Prior art keywords
- behavior
- electronic system
- bios
- reference file
- monitoring item
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000012544 monitoring process Methods 0.000 claims abstract description 51
- 230000002159 abnormal effect Effects 0.000 claims abstract description 30
- 230000003542 behavioural effect Effects 0.000 claims abstract description 7
- 230000006399 behavior Effects 0.000 claims description 94
- 230000015654 memory Effects 0.000 claims description 39
- 230000008859 change Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000002093 peripheral effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000001052 transient effect Effects 0.000 description 2
- 108010028984 3-isopropylmalate dehydratase Proteins 0.000 description 1
- 241001290266 Sciaenops ocellatus Species 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3051—Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3055—Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3476—Data logging
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Stored Programmes (AREA)
Abstract
本发明提出一种固件安全防护方法与使用此方法的电子系统。所述固件安全防护方法包括以下步骤:设定至少一个监控项目,其中每一个监控项目对应于电子系统的存储器装置中的至少一个行为参考文件中的一个;在电子系统开机时从存储器装置载入监控项目所对应的行为参考文件;以及根据所载入的行为参考文件检查电子系统的基本输入输出系统开机行为是否包括异常事件。
Description
技术领域
本发明是有关于一种系统安全防护技术,且特别是有关于一种固件安全防护方法与使用此方法的电子系统。
背景技术
基本输入输出系统(Basic Input/Output System,BIOS)是一种业界标准的固件介面。BIOS用于电脑启动时执行系统各部分的自我检测(power on self test),并载入启动程式(Initial Program Loader,IPL)或载入存储在主存储器的作业系统。在今天,统一可延伸固件介面(Unified Extensible Firmware Interface,UEFI)BIOS具有容错能力、纠错能力、寻址能力更强等特点,因此成为了当今系统的主流。
目前的BIOS或UEFI BIOS具有许多安全性相关的技术,例如包括开机防护(BootGuard,BG)、UEFI安全开机(UEFI secure boot)、测量开机(measured boot)以及可信任平台模组(Trusted Platform Module,TPM)等等。这些防护技术都能够防止BIOS或UEFI BIOS被恶意修改所造成的安全性问题。
但是,若BIOS或UEFI BIOS本身固件就存在程式的安全性漏洞,攻击者就可以利用这样的安全性漏洞而无需修改程式本身,而现有的安全性相关技术并无法防护到这样的情形。因此,如何改善固件的安全性是目前亟需解决的问题。
发明内容
有鉴于此,本发明实施例提供一种固件安全防护方法与使用此方法的电子系统,能够提升系统的安全性。
本发明实施例的固件安全防护方法适用于电子系统,并且包括以下步骤:设定至少一个监控项目,其中每一个监控项目对应于电子系统的存储器装置中的至少一个行为参考文件中的一个;在电子系统开机时从存储器装置载入监控项目所对应的行为参考文件;以及根据所载入的行为参考文件检查电子系统的基本输入输出系统(Basic Input/OutputSystem,BIOS)开机行为是否包括异常事件。
本发明实施例的电子系统包括存储器装置以及控制装置。存储器装置用以记录至少一个行为参考文件。控制装置耦接于存储器装置,并且用以:设定至少一个监控项目,其中每一个监控项目对应于电子系统的存储器装置中的至少一个行为参考文件中的一个;在电子系统开机时从存储器装置载入监控项目所对应的行为参考文件;以及根据所载入的行为参考文件检查电子系统的BIOS开机行为是否包括异常事件。
为让本发明的上述特征和优点能更明显易懂,下文特举实施例,并配合所附图式作详细说明如下。
附图说明
图1A示出了本发明一实施例的电子系统的示意图。
图1B示出了本发明另一实施例的电子系统的示意图。
图2示出了本发明一实施例的UEFI BIOS开机流程的示意图。
图3示出了本发明一实施例的固件安全防护方法的流程图。
具体实施方式
图1本发明的部份实施例接下来将会配合附图来详细描述,以下的描述所引用的元件符号,当不同附图出现相同的元件符号将视为相同或相似的元件。这些实施例只是本发明的一部份,并未揭示所有本发明的可实施方式。更确切的说,这些实施例只是本发明的专利申请范围中方法与电子系统的范例。
在本文中,基本输入输出系统(Basic Input/Output System,BIOS)一词将用以同时表示传统的BIOS(legacy BIOS)、统一可延伸固件介面(Unified Extensible FirmwareInterface,UEFI)BIOS,或其他在作业系统与系统固件之间的BIOS介面。
图1A示出了本发明一实施例的电子系统的示意图。
请先参照图1A,电子系统100a包括控制装置110以及存储器装置120,其中控制装置110例如包括处理器111,存储器装置例如包括第一存储器121,其中处理器111耦接于第一存储器121。举例来说,电子系统100a可以是个人电脑(Personal Computer,PC)、笔记型电脑(notebook)、平板电脑(tablet PC)或智能型手机(smart phone)等等,本发明并不在此设限。
在本实施例中,处理器111用以负责电子系统100a的整体运作,包括执行固件安全防护方法等。处理器111例如包括中央处理单元(Central Processing Unit,CPU),或是其他可程式化之一般用途或特殊用途的微处理器(Microprocessor)、数字信号处理器(Digital Signal Processor,DSP)、可程式化控制器、特定应用集成电路(ApplicationSpecific Integrated Circuits,ASIC)、可程式化逻辑装置(Programmable LogicDevice,PLD)或其他类似装置或这些装置的组合等,本发明并不在此设限。
在本实施例中,第一存储器121用以存储资料,例如包括执行固件安全防护方法时所需的行为参考文件等。第一存储器121例如是随机存取存储器(Random Access Memory;RAM)、只读存储器(Read-Only Memory;ROM)、快闪存储器(Flash memory)、硬盘或其他类似装置或这些装置的组合等,本发明不在此设限。在一些实施例中,第一存储器121也可以是用来存放BIOS程式码的存储器,但本发明并不在此限。
值得一提的是,电子系统100a的处理器111还可连接于图1A中未示出的一或多个周边硬件装置,所属领域具备通常知识者当可依需求来实作,故本文不在此赘述。
图1B示出了本发明另一实施例的电子系统的示意图。
请参照图1B,电子系统100b包括控制装置110以及存储器装置120,其中控制装置例如包括处理器111以及基板管理控制器(Baseboard Management Controller,BMC)113,存储器装置120例如包括第一存储器121以及第二存储器123,其中处理器111耦接于第一存储器121以及BMC 113,并且BMC113耦接于第二存储器123。举例来说,电子系统100b可以是资料中心的伺服器等,本发明并不在此设限。处理器111与第一存储器121已于前述段落介绍,故在此不再赘述。
在本实施例中,BMC 113用以收集电子系统100b的运作情况与系统状态,例如系统电压、温度与风扇速度等等。在一些实施例中,BMC 113也可整合电子系统100b中许多监控电压用的类比与数字资料转换器、监测风扇速度用的计数器、驱动风扇的脉冲宽度调整(Pulse Width Modulation,PWM),或类比与数字资料输出,以及和外部感应器与扩展元件介面沟通的通用输入输出、串列端口和总线等等。所属领域具备通常知识者应当对于BMC113有充分的理解,因此可依据需求来实现BMC 113,因此,有关BMC 113更多的细节不在本文中进一步描述。
特别是,在本实施例中,BMC 113可用以与处理器111沟通协作,在BMC 113的能力范围内来与处理器111共同进行固件安全防护方法。如此一来,可以大幅提升固件安全防护方法的便利性。具体的细节将于以下段落详述之。
在本实施例中,BMC 113会利用第二存储器123来存储资料,例如包括执行固件安全防护方法时所生成的系统事件记录文件(System Event Log,SEL)等。第二存储器123例如是随机存取存储器(Random Access Memory;RAM)、只读存储器(Read-Only Memory;ROM)、快闪存储器(Flash memory)、硬盘或其他类似装置或这些装置的组合等,本发明不在此设限。
值得一提的是,电子系统100b的处理器111以及BMC 113分别还可连接于图1B中未示出的一或多个周边硬件装置,所属领域具备通常知识者当可依需求来实作,故本文不在此赘述。
值得一提的是,在本文的说明当中,当提及的电子系统并未附加对应的标号时,所指的可以是电子系统100a、电子系统100b或其他包括控制装置110以及存储器装置120的电子系统。
在电子系统开机时,处理器111会载入BIOS,并且执行固件安全防护方法,以在进入作业系统前的BIOS开机阶段就开始保护固件安全。以下以UEFI BIOS的开机为例来进行说明。
图2示出了本发明一实施例的UEFI BIOS开机流程的示意图。请参照图2,UEFIBIOS的开机流程200例如可以分成五个阶段S1至S5。
阶段S1为安全性(Security,SEC)阶段,从时间点t0持续到时间点t1。在阶段S1中,主存储器尚未被初始化,因此处理器111的快取(cache)会在主存储器被初始化之前被用来进行预先验证处理器111、晶片组与主机板等。
阶段S2为可延伸固件介面前初始化(Pre-EFI Initialization,PEI)阶段,从时间点t1持续到时间点t2。在阶段S2中,处理器111、主存储器、晶片组与主机板开始初始化,且EFI驱动程式存储器会被载入。
阶段S3为驱动程式执行环境(Driver Execution Environment,DXE)阶段,从时间点t2持续到时间点t3。在阶段S3中,所有的周边硬件装置(例如包括PCI、USB与SATA等周边装置)都会被初始化。
阶段S4为开机设备选择(Boot Device Select,BDS)阶段,从时间点t3持续到时间点t4。在阶段S4中,BIOS会选择要从哪个侦测到的开机设备来启动作业系统等。
阶段S5为短暂系统载入(Transient System Load,TSL)阶段,从时间点t4持续到时间点t5。若在阶段S4中BIOS选择进入作业系统,则在阶段S5中BIOS就会将控制权交给作业系统。
在本实施例中,时间点t5之后可以称作作业系统阶段,而从时间点t0到时间点t5之间可以称作BIOS开机阶段,且在BIOS开机阶段之间系统的开机行为可以称为BIOS开机行为。电子系统的控制装置110会执行固件安全防护方法,在时间点t0到时间点t5之间的BIOS开机阶段监控BIOS开机行为,以在BIOS开机阶段就对固件进行保护。必须说明的是,图2实施例仅为示例性说明固件安全防护方法的执行与保护时机,并非用以限制本发明。
图3示出了本发明一实施例的固件安全防护方法的流程图。
请参照图3,首先在步骤S302中,控制装置110会建立行为参考文件。具体来说,行为参考文件是用来作为BIOS开机行为样板的文件,其中例如是记录标准或预期的BIOS开机行为。藉由比对所建立的行为参考文件与实际的BIOS开机行为,便能够找出实际的BIOS开机行为是否发生异常或出现非预期中的运作。在本实施例中,行为参考文件是在电子系统某一次成功的开机完成后,由控制装置110的处理器111所建立并记录在存储器装置120中。在其他实施例中,行为参考文件也可以是由使用者自行编辑而成,本发明并不在此设限。
在一些实施例中,行为参考文件例如包括开机记录文件,其中包括有BIOS开机阶段的多个流程中的多个动作的记录。在电子系统某一次的BIOS开机成功后,使用者可以自行决定是否将此次成功的BIOS开机的详细开机流程制作成行为参考文件中的开机记录文件,并且在制作完成后将开机记录文件存储在第一存储器121当中。
在一些实施例中,行为参考文件例如包括硬件架构文件,其中包括有连接于电子系统的多个硬件的记录,例如存储器的数量与容量、周边硬件装置的数量与型号等等。在电子系统某一次的BIOS开机成功后,使用者可以自行决定是否将此次成功的BIOS开机所读到的所有硬件作成行为参考文件中的硬件架构文件,并且在制作完成后将硬件架构文件存储在第一存储器121当中。
在一些实施例中,行为参考文件例如包括设定值记录文件,其中包括有BIOS设定值与UEFI非挥发性存储器随机存取存储器(Non-Volatile Random Access Memory,NVRAM)变数的至少其中之一。在电子系统某一次的BIOS开机成功后,使用者可以自行决定是否将此次BIOS开机成功时的BIOS设定值与UEFI NVRAM变数的至少其中之一制作为行为参考文件中的设定值记录文件,并且在制作完成后将设定值记录文件存储在第一存储器121当中。
在步骤S304中,控制装置110会设定监控项目。具体来说,监控项目可以根据需求来进行设定,而本发明并不在此限制所设定的监控项目的具体数量与内容。举例而言,在一些硬件时常会发生变动(例如,时常有USB装置的插拔需求等)的电子系统当中,可以选择不对硬件架构进行监控;反之,当电子系统的硬件较少或几乎不会发生变动的时候,可以选择监控硬件架构。
在本实施例中,监控项目的选择包括BIOS开机流程、BIOS开机时间、硬件架构变化(硬件新增、减少或修改)、BIOS设定值以及UEFI NVRAM变数等等,但本发明并不限于此。特别是,每一个监控项目都会对应到一个行为参考文件。举例来说,BIOS开机流程以及BIOS开机时间皆对应到开机记录文件;硬件架构变化对应到硬件架构文件;而BIOS设定值与UEFINVRAM变数则例如是对应到行为参考文件中的设定值记录文件。
在一些实施例中,使用者例如可以通过BIOS设定介面来下达设定指令给控制装置110的处理器111,以通过处理器111设定监控项目以及对应的行为参考文件。
在一些实施例中,使用者例如可以通过智能平台管理介面指令(IntelligentPlatform Management Interface,IPMI),或是通过Redfish应用程式介面(ApplicationProgramming Interface,API)来通过BMC 113设定监控项目以及对应的行为参考文件。据此,在电子系统100b关机时也能够通过BMC 113来设定监控项目。
在一些实施例中,控制装置110在设定监控项目的同时,也会设定监控项目发生异常事件时所对应的操作。
在步骤S306中,控制装置110在电子系统开机时会从存储器装置120载入步骤S304中所设定的监控项目所对应的行为参考文件。
在一些实施例中,监控项目是通过处理器111来进行设定,而控制装置110的处理器111会在电子系统开机时从第一存储器121载入所设定的监控项目所对应的行为参考文件。
在一些实施例中,监控项目是通过BMC 113来进行设定,而在电子系统100b开机时,处理器111会与BMC 113进行沟通,使处理器111能够从第一存储器121载入所设定的监控项目所对应的行为参考文件。
在步骤S308中,控制装置110会根据所载入的行为参考文件检查电子系统的BIOS开机行为;在步骤S310中,控制装置110会判断BIOS开机行为是否包括异常事件。具体来说,控制装置110会根据所设定的监控项目,将此次BIOS开机行为与所载入的行为参考文件进行比对,以判断此次BIOS开机行为是否符合行为参考文件中的记录。若此次BIOS开机行为与行为参考文件不符合,则表示此次BIOS开机行为包括异常事件;反之,则表示此次BIOS开机行为不包括异常事件。
在一些实施例中,所设定的监控项目包括BIOS开机流程与BIOS开机时间。控制装置110例如会将此次BIOS开机的BIOS开机流程与BIOS开机时间与开机记录文件中的记录进行比对,以判断此次BIOS开机流程是否发生变化或开机时间是否正常(例如,与开机记录文件中的开机时间的时间差不大于预设阀值)。若BIOS开机流程发生了变化或开机时间不正常,则表示此次BIOS开机行为包括异常事件。
在一些实施例中,所设定的监控项目包括硬件架构变化。控制装置110例如会将此次BIOS开机时所读到的硬件与硬件架构文件进行比对,以判断此次BIOS开机时所读到的硬件与硬件架构文件是否相符(例如,是否发生硬件新增、减少或改变)。若此次BIOS开机时所读到的硬件与硬件架构文件不相符,则表示此次BIOS开机行为包括异常事件。
在一些实施例中,所设定的监控项目包括BIOS设定值以及UEFI NVRAM变数。控制装置110例如会将此次BIOS开机所使用的BIOS设定值与UEFI NVRAM变数与设定值记录文件中的记录进行比对,以判断此次BIOS设定值与UEFI NVRAM变数是否发生变化。若BIOS设定值或UEFI NVRAM变数发生了变化,则表示此次BIOS开机行为包括异常事件。
在一些例子中,上述所有比对都必须由处理器111来进行。然而,在一些例子中,在处理器111与BMC 113沟通后,部分的比对(例如,周边硬件装置的比对或部分设定值的比对)可以由BMC 113来与处理器111协作进行。
若在步骤S310中控制装置110判断此次BIOS开机行为不包括异常事件,则进入步骤S312来继续进行开机,例如将控制权交给作业系统以继续进入作业系统阶段。
若在步骤S310中控制装置110判断此次BIOS开机行为包括异常事件,则进入步骤S314,控制装置110会执行对应于异常事件的操作,例如停止开机,或是发出警报声响、通过短信或电子邮件等方式通知电子系统的管理者等提示操作等等。
在一些实施例中,只要控制装置110判断BIOS开机行为出现异常,便会将此异常事件记录到BMC 113的第二存储器123当中。上述的异常事件例如是记录为系统事件记录文件,但本发明并不限于此。
如此一来,即使有骇客通过BIOS本身的程式漏洞来进行攻击,例如跳过特定的开机步骤或修改特定的设定值或参数等等,也能够被控制装置110所侦测出来。
综上所述,本发明实施例所提出的固件安全防护系统与使用此方法的电子系统,利用预先建立并记录在存储器中的行为参考文件来检查BIOS开机行为,能够将固件的防护提高到一开机就开始保护,并且在BIOS开机阶段侦测出非预期的BIOS开机行为,提升电子系统的安全性。
虽然本发明已以实施例揭露如上,然其并非用以限定本发明,任何所属技术领域中具有通常知识者,在不脱离本发明的精神和范围内,当可作些许的更动与润饰,故本发明的保护范围当视后附的申请专利范围所界定者为准。
[符号说明]
100a、100b:电子系统
110:控制装置
111:处理器
113:基板管理控制器(BMC)
120:存储器装置
121:第一存储器
123:第二存储器
200:开机流程
S1、S2、S3、S4、S5:阶段
S302、S304、S306、S308、S310、S312、S314:固件安全防护方法的步骤
t0、t1、t2、t3、t4、t5:时间点
Claims (22)
1.一种固件安全防护方法,适用于一电子系统,所述电子系统包括一控制装置,所述固件安全防护方法包括:
设定至少一监控项目,其中该至少一监控项目的每一个分别对应于该电子系统的一存储器装置中的至少一行为参考文件中的一个;
在该电子系统的开机阶段中,通过所述控制装置从该存储器装置载入该至少一行为参考文件;以及
根据该至少一监控项目所对应的该至少一行为参考文件,通过所述控制装置检查该电子系统的一基本输入输出系统(Basic Input/Output System,
BIOS)开机行为是否包括异常事件,
且其中,所述控制装置被配置为:在所述基本输入输出系统本身存在程式漏洞的情况下,仍能够侦测相应的异常事件。
2.如权利要求1所述的固件安全防护方法,其中,所述控制装置包括处理器,所述存储器装置包括第一存储器;且其中,在开机阶段中,所述处理器被配置为与基板管理控制器相通信,使所述处理器从所述第一存储器载入所设定的监控项目所对应的行为参考文件。
3.如权利要求1所述的固件安全防护方法,其中在设定该至少一监控项目的步骤之前,更包括:
根据该电子系统的另一BIOS开机行为建立该至少一行为参考文件;以及
将所建立的该至少一行为参考文件写入该存储器装置。
4.如权利要求1所述的固件安全防护方法,其中该行为参考文件是用来作为该BIOS开机行为之样板。
5.如权利要求1所述的固件安全防护方法,其中该至少一监控项目包括BIOS开机流程、BIOS开机时间、硬件架构变化、BIOS设定值以及UEFI NVRAM变数的至少其中之一。
6.如权利要求1所述的固件安全防护方法,其中该至少一行为参考文件包括一开机记录文件。
7.如权利要求6所述的固件安全防护方法,其中根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件的步骤包括:
根据该开机记录文件判断该BIOS开机行为的一BIOS开机流程是否发生变化。
8.如权利要求6所述的固件安全防护方法,其中根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件的步骤包括:
根据该开机记录文件判断该BIOS开机行为的一开机时间是否正常。
9.如权利要求1所述的固件安全防护方法,其中该至少一行为参考文件包括一硬件架构文件,其中根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件的步骤包括:
根据该硬件架构文件判断该BIOS开机行为是否包括硬件架构变化。
10.如权利要求1所述的固件安全防护方法,其中在根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件的步骤之后,更包括:
执行对应该异常事件的一操作。
11.如权利要求10所述的固件安全防护方法,其中该操作包括停止开机、发出警报声响、建立对应该异常事件的一记录文件以及通知该电子系统的一管理者的至少其中之一。
12.一种电子系统,包括:
一存储器装置,用以记录至少一行为参考文件;以及
一控制装置,耦接于该存储器装置,并且用以:
设定至少一监控项目,其中该至少一监控项目的每一个分别对应于该至少一行为参考文件中的一个;
在该电子系统开机时从该存储器装置载入该至少一行为参考文件;以及
根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的一基本输入输出系统(Basic Input/Output System,BIOS)开机行为是否包括异常事件,
且其中,所述控制装置被配置为:在所述基本输入输出系统本身存在程式漏洞的情况下,仍能够侦测相应的异常事件。
13.如权利要求12所述的电子系统,其中,所述控制装置包括处理器,所述存储器装置包括第一存储器;且其中,在开机阶段中,所述处理器被配置为与基板管理控制器相通信,使所述处理器从所述第一存储器载入所设定的监控项目所对应的行为参考文件。
14.如权利要求12所述的电子系统,其中该控制装置在设定该至少一监控项目之前,更用以:
根据该电子系统的另一BIOS开机行为建立该至少一行为参考文件;以及
将所建立的该至少一行为参考文件写入该存储器装置。
15.如权利要求14所述的电子系统,其中该行为参考文件是用来作为该BIOS开机行为之样板。
16.如权利要求14所述的电子系统,其中该至少一监控项目包括BIOS开机流程、BIOS开机时间、硬件架构变化、BIOS设定值以及UEFI NVRAM变数的至少其中之一。
17.如权利要求12所述的电子系统,其中该至少一行为参考文件包括一开机记录文件。
18.如权利要求17所述的电子系统,其中该控制装置根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件时,包括:
根据该开机记录文件,判断该BIOS开机行为的一BIOS开机流程是否发生变化。
19.如权利要求17所述的电子系统,其中该控制装置根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件时,包括:
根据该开机记录文件,判断该BIOS开机行为的一开机时间是否正常。
20.如权利要求12所述的电子系统,其中该至少一行为参考文件包括一硬件架构文件,其中该控制装置根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件时,包括:
根据该硬件架构文件,判断该BIOS开机行为是否包括一硬件变化事件。
21.如权利要求12所述的电子系统,其中该控制装置在根据该至少一监控项目所对应的该至少一行为参考文件检查该电子系统的该BIOS开机行为是否包括该异常事件之后,更用以:
执行对应该异常事件的一操作。
22.如权利要求21所述的电子系统,其中该操作包括停止开机、发出警报声响、建立对应该异常事件的一记录文件以及通知该电子系统的一管理者的至少其中之一。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108101443 | 2019-01-15 | ||
TW108101443A TWI750442B (zh) | 2019-01-15 | 2019-01-15 | 韌體安全防護方法與使用此方法的電子系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111435311A CN111435311A (zh) | 2020-07-21 |
CN111435311B true CN111435311B (zh) | 2024-02-06 |
Family
ID=71516364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910144988.1A Active CN111435311B (zh) | 2019-01-15 | 2019-02-27 | 固件安全防护方法与使用此方法的电子系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11341249B2 (zh) |
CN (1) | CN111435311B (zh) |
TW (1) | TWI750442B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11861011B2 (en) * | 2019-06-25 | 2024-01-02 | ZPE Systems, Inc. | Secure boot process |
TWI761027B (zh) * | 2021-01-08 | 2022-04-11 | 瑞昱半導體股份有限公司 | 可應用於透過動態電壓改變來進行系統保護之積體電路 |
CN114815952B (zh) * | 2021-01-18 | 2024-03-01 | 瑞昱半导体股份有限公司 | 能应用于通过动态电压改变来进行系统保护的集成电路 |
TWI804879B (zh) * | 2021-05-31 | 2023-06-11 | 華邦電子股份有限公司 | 記憶體儲存裝置及其操作方法 |
US11501807B1 (en) | 2021-06-08 | 2022-11-15 | Winbond Electronics Corp. | Memory storage apparatus and operating method thereof |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201143322A (en) * | 2010-05-20 | 2011-12-01 | Hon Hai Prec Ind Co Ltd | Contacts client server and method for monitoring function test of the client server |
TW201617870A (zh) * | 2014-11-13 | 2016-05-16 | 神達電腦股份有限公司 | 開機方法 |
CN108897575A (zh) * | 2018-06-11 | 2018-11-27 | 联想(北京)有限公司 | 电子设备的配置方法以及配置系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050132177A1 (en) | 2003-12-12 | 2005-06-16 | International Business Machines Corporation | Detecting modifications made to code placed in memory by the POST BIOS |
TWI470420B (zh) * | 2011-04-27 | 2015-01-21 | Wistron Corp | 除錯方法及電腦系統 |
EP3198399B1 (en) | 2014-09-23 | 2019-04-03 | Hewlett-Packard Development Company, L.P. | Detecting a change to system management mode bios code |
TW201712543A (zh) * | 2015-09-29 | 2017-04-01 | 鴻海精密工業股份有限公司 | 伺服器故障檢測裝置及方法 |
CN106250725A (zh) | 2016-08-02 | 2016-12-21 | 浪潮电子信息产业股份有限公司 | 一种arm平台防止uefi程序被非法移植的方法 |
US10599521B2 (en) * | 2017-04-13 | 2020-03-24 | Dell Products, L.P. | System and method for information handling system boot status and error data capture and analysis |
US10733077B2 (en) * | 2017-12-28 | 2020-08-04 | Intel Corporation | Techniques for monitoring errors and system performance using debug trace information |
-
2019
- 2019-01-15 TW TW108101443A patent/TWI750442B/zh active
- 2019-02-27 CN CN201910144988.1A patent/CN111435311B/zh active Active
- 2019-04-02 US US16/372,441 patent/US11341249B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201143322A (en) * | 2010-05-20 | 2011-12-01 | Hon Hai Prec Ind Co Ltd | Contacts client server and method for monitoring function test of the client server |
TW201617870A (zh) * | 2014-11-13 | 2016-05-16 | 神達電腦股份有限公司 | 開機方法 |
CN108897575A (zh) * | 2018-06-11 | 2018-11-27 | 联想(北京)有限公司 | 电子设备的配置方法以及配置系统 |
Also Published As
Publication number | Publication date |
---|---|
US20200226262A1 (en) | 2020-07-16 |
US11341249B2 (en) | 2022-05-24 |
TW202029039A (zh) | 2020-08-01 |
TWI750442B (zh) | 2021-12-21 |
CN111435311A (zh) | 2020-07-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111435311B (zh) | 固件安全防护方法与使用此方法的电子系统 | |
US11520894B2 (en) | Verifying controller code | |
US9785596B2 (en) | Redundant system boot code in a secondary non-volatile memory | |
JP3539907B2 (ja) | ブート可能プログラムを備えたコンピュータ | |
JP5540155B2 (ja) | プラットフォーム独立メモリ論理の提供 | |
EP3522059B1 (en) | Perform security action based on inventory comparison | |
JP5889933B2 (ja) | コンピュータの動作不良を防止する方法、コンピュータ・プログラムおよびコンピュータ | |
US9703635B2 (en) | Method, computer program, and computer for restoring set of variables | |
US9852298B2 (en) | Configuring a system | |
TW201506788A (zh) | 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全啓動覆蓋技術 | |
US20150082013A1 (en) | Bootstrap os protection and recovery | |
US20050132177A1 (en) | Detecting modifications made to code placed in memory by the POST BIOS | |
US9286468B2 (en) | Option read-only memory use | |
TW202011214A (zh) | 可配置伺服器及配置伺服器之功能的方法 | |
JP5665923B2 (ja) | 基本入出力システムがアップデート可能な電子装置及びアップデート方法 | |
US9348603B2 (en) | Electronic apparatus and booting method | |
US10198270B2 (en) | Dynamic hardware configuration via firmware interface at computing device boot | |
CN113901473A (zh) | 一种服务器安全启动的方法、装置、设备及可读介质 | |
US20060168440A1 (en) | OS selection methods and computer systems utilizing the same | |
US11755404B2 (en) | Custom baseboard management controller (BMC) firmware stack monitoring system and method | |
US11669336B2 (en) | Out-of-band custom baseboard management controller (BMC) firmware stack monitoring system and method | |
US20220398103A1 (en) | Multi-boot system and method for a baseboard management controller (bmc) | |
CN113051576A (zh) | 控制方法和电子设备 | |
CN113742737B (zh) | 计算机主板芯片安全管理方法、装置、计算机设备 | |
KR100621613B1 (ko) | 보안 기능을 갖는 컴퓨터 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |