CN115136114A - 固件更新补丁 - Google Patents
固件更新补丁 Download PDFInfo
- Publication number
- CN115136114A CN115136114A CN202180012645.5A CN202180012645A CN115136114A CN 115136114 A CN115136114 A CN 115136114A CN 202180012645 A CN202180012645 A CN 202180012645A CN 115136114 A CN115136114 A CN 115136114A
- Authority
- CN
- China
- Prior art keywords
- firmware
- patch
- firmware update
- copy
- buffer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000000872 buffer Substances 0.000 claims abstract description 116
- 238000012795 verification Methods 0.000 claims abstract description 115
- 238000000034 method Methods 0.000 claims description 80
- 238000010200 validation analysis Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 description 19
- 238000005538 encapsulation Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 238000001994 activation Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 241000721047 Danaus plexippus Species 0.000 description 4
- 238000009434 installation Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 101000822695 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C1 Proteins 0.000 description 1
- 101000655262 Clostridium perfringens (strain 13 / Type A) Small, acid-soluble spore protein C2 Proteins 0.000 description 1
- 101000655256 Paraclostridium bifermentans Small, acid-soluble spore protein alpha Proteins 0.000 description 1
- 101000655264 Paraclostridium bifermentans Small, acid-soluble spore protein beta Proteins 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000007177 brain activity Effects 0.000 description 1
- 239000002775 capsule Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004883 computer application Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000005684 electric field Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
- G06F8/654—Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4411—Configuring for operating with peripheral devices; Loading of device drivers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/54—Interprogram communication
- G06F9/544—Buffers; Shared memory; Pipes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Stored Programmes (AREA)
Abstract
提供了一种计算系统,该计算系统包括处理器和存储有指令的存储器,该指令在被执行时使处理器将固件更新补丁存储在存储器中包括的运行时缓冲中。运行时缓冲可以是计算系统的固件和操作系统能够访问的。处理器可以对固件更新补丁执行第一验证检查。当固件更新补丁通过第一验证检查时,处理器可以将固件更新补丁复制到存储器中包括的系统管理随机存取存储器(SMRAM)缓冲。SMRAM缓冲可以是固件能够访问并且操作系统无法访问的。处理器可以对固件更新补丁的副本执行第二验证检查。当固件更新补丁的副本通过第二验证检查时,处理器可以执行固件更新补丁的副本。
Description
背景技术
计算设备的固件管理被包括在计算设备中的硬件组件的功能。例如,固件可以是基本输入/输出系统(BIOS)。计算设备的固件有时可能会被更新以进行更改,例如修复安全漏洞、调整硬件设置、修复固件功能中的错误、增强可靠性和可维护性特征,或者启用或禁用硬件组件。在该处执行固件更新的计算设备可以是被包括在数据中心中的服务器计算设备。
发明内容
根据本公开的一个方面,提供了一种计算系统,该计算系统包括处理器和存储有指令的存储器,该指令在被执行时使处理器将固件更新补丁存储在存储器中包括的运行时缓冲中。运行时缓冲可以是计算系统的固件和操作系统能够访问的。该指令还可以使处理器对运行时缓冲中存储的固件更新补丁执行第一验证检查。当固件更新补丁通过第一验证检查时,指令还可以使处理器将固件更新补丁复制到存储器中包括的系统管理随机存取存储器(SMRAM)缓冲。SMRAM缓冲可以是固件能够访问并且操作系统无法访问的。该指令还可使处理器对SMRAM缓冲中存储的固件更新补丁的副本执行第二验证检查。当固件更新补丁的副本通过第二验证检查时,指令还可以使处理器执行固件更新补丁的副本。
提供本发明内容来以简化形式介绍概念的选择,这些概念将在下面的详细描述中进一步描述。本发明内容并非旨在标识所要求保护的主题的关键特征或基本特征,也不旨在用于限制所要求保护的主题的范围。此外,要求保护的主题不限于解决在本公开的任何部分中指出的任何或所有缺点的实施方式。
附图说明
图1示意性地示出了根据一个示例实施例的在该处执行操作系统和固件的示例计算系统。
图2示出了根据图1的实施例的包括固件卷的示例统一可扩展框架接口(UEFI)运行时补丁(URP)封装(capsule)。
图3示出了根据图1的实施例的可以对固件更新补丁执行的示例验证过程。
图4示出了根据图1的实施例的在其中检查时间-使用时间(TOC-TOU)攻击被阻止的示例流程图。
图5示出了根据图1的实施例的可以在URPUtil.exe命令行实用程序处执行的命令的示例流程图。
图6示出了根据图1的实施例的可以在处理器处执行的示例更新过程。
图7示出了根据图1的实施例的操作系统、BIOS运行时系统管理模式(SMM)层和BIOS协议接口SMM层。
图8示出了根据图1的实施例的示例SMM驱动。
图9示出了根据图1的实施例的示例版本感知更新序列。
图10A示出了根据图1的实施例的示例UrpSmmCore驱动。
图10B示出了根据图10的实施例的示例UrpSmmHelper驱动。
图11示出了根据图1的实施例的可以在处理器处执行的示例激活过程。
图12A示出了根据图1的实施例的与计算系统一起使用的方法的流程图。
图12B至图12E示出了可以在一些实施例中执行的、图12A的方法的附加步骤。
图13示出可在其中实现图1的计算系统的示例计算环境的示意图。
具体实施方式
当在位于数据中心的服务器计算设备处执行固件更新时,通常希望避免与将进程转移到其他服务器计算设备相关联的服务器停机时间和开销。然而,更新计算设备的固件的现有方法通常包括重新引导服务器计算设备。此外,此类现有方法通常用BIOS的更新版本替换整个BIOS。由于BIOS的文件大小可能很大,因此在执行对固件的更新时重新安装BIOS可能会很耗时。在一些情况下,固件更新可以应用于数据中心中的每个服务器计算设备,诸如当固件更新修复主要安全漏洞时。在这种情况下,使用现有方法更新服务器计算设备的固件可能是成本高昂的过程,会显着中断服务器的可用性。
现有的BIOS更新通常只运行一次,并且不会被重放。BIOS供应方通常将BIOS的多个不同特征的更改打包到单个更新中,该单个更新在安装时替换整个BIOS。这些打包的BIOS更新也不支持版本感知,也不支持卸载或模块化更新。因此,使用现有更新技术进行的封装BIOS更新不利于低影响更新,在低影响更新中服务器计算设备在更新其固件的同时保持运行。
此外,当根据现有技术执行固件更新时,服务器计算设备的BIOS可能容易受到经由检查时间-使用时间(TOC-TOU)攻击插入的恶意代码。在TOC-TOU攻击中,恶意代码最初可能正在服务器计算设备的处理器的核上运行。当执行固件更新时,处理器的一个核(被称为君主(monarch)核)可以被用于服务中断,而处理器的其他核被停止。在中断期间,处理器的核在不同的时间被停止。因此,可能会出现一种竞争条件,在该竞争条件中在一个或多个其他核被停止之前,君主核开始服务于系统管理中断。在所有核已经停止之前的时间窗口内,操作系统中运行的恶意代码可能会编辑固件更新的代码。
TOC-TOU攻击也可以在固件更新期间使用附接到服务器计算设备的恶意硬件进行尝试。当使用恶意硬件进行TOC-TOU攻击时,恶意硬件设备可能会执行直接存储器访问(DMA)传输以修改固件更新的代码,同时处理器的君主核正在为更新提供服务。
为了克服现有固件更新技术的上述缺点,提供了一种计算系统10,如图1的示例所示。计算系统10可以包括处理器12。处理器12可以包括多个处理器核,一个或多个处理器线程可以在这些处理器核上执行。计算系统10还可以包括存储器14,其可操作地耦合到处理器12,使得处理器12可以将数据存储在存储器14中并且从存储器14取回数据。存储器14可以包括随机存取存储器(RAM)20并且还可以包括非易失性存储设备22。非易失性存储设备22可以存储被配置为由处理器12执行的指令。
在一些实施例中,处理器12和存储器14的功能可以跨多个可操作地耦合的计算设备来实例化。例如,计算系统10可以是可操作地耦合到数据中心中的一个或多个其他计算设备的服务器计算设备。可操作地耦合的计算设备中的每个可操作地耦合的计算设备可以执行下面讨论的处理器12或者存储器14的一些或所有功能。
处理器12可以被配置为执行操作系统50,在操作系统50中可以执行一个或多个应用程序。处理器12还可以被配置为执行固件52,例如基本输入/输出系统(BIOS)或者统一可扩展框架接口(UEFI)。如上所述,固件52可以被配置为管理计算系统10中包括的硬件设备的功能和它们之间的交互,计算系统10可以包括处理器12和/或存储器14。固件52还可以包括对可操作地耦合到计算系统10的处理器12和/或存储器14的一个或多个附加硬件设备的设置,一个或多个附加硬件设备诸如一个或多个输入设备、一个或多个输出设备、或者一个或多个网络设备。用于执行操作系统50和/或固件52的指令可以被存储在非易失性存储设备22中。
存储器14可以存储有指令,这些指令在被执行时使处理器12将固件更新补丁40存储在被包括在存储器14中的运行时缓冲30中。指令可以被包括在非易失性存储设备22中。运行时缓冲30可以被包括在UEFI运行时存储器24中,该UEFI运行时存储器可以被包括在RAM 20中并且被配置为由操作系统50和固件52两者读取和/或写入。因此,运行时缓冲30可以被计算系统10的固件52和操作系统50两者访问。
固件更新补丁40可以包括用于修改计算系统10的固件52的多个代码指令。固件更新补丁40可以例如从另一服务器计算设备被接收。在一些实施例中,固件更新补丁40可以是UEFI运行时补丁(URP)封装,该URP封装包括固件卷42、URP封装清单头44、平台公钥46和补丁签名48。固件卷42可以包括用于修改固件52的代码指令,并且可以被存储为具有预定大小的存储器块。例如,固件卷42可以具有在64KB与2MB之间的大小。URP封装清单头44可以例如被附加在固件卷42的末尾并且可以包括诸如封装类型、签名密钥长度、基本BIOS版本和URP封装的URP封装版本号的元数据。在该示例中,平台公钥46可以被附加在URP封装清单头44之后。补丁签名48可以是URP封装签名并且可以被附加在平台公钥46之后。在一些实施例中,补丁签名48可以由另一服务器计算设备分配给URP封装。在其他实施例中,固件卷42、URP封装清单头44、平台公钥46和/或补丁签名48可以以某种其他顺序被包括在固件更新补丁40中。附加地或备选地,固件更新补丁40中可以进一步包括其他数据。
图2显示了根据图1的实施例的URP固件卷100和由URP固件卷100形成的URP封装110的示例。图2所示的URP固件卷100包括固件卷头和多个.efi文件,这些多个.efi文件包括UrpSmmPatch.efi、UrpSmmHelperPatch.efi、SMM Driver l.efi和SMM_Driver_2.efi。除了包括在URP固件卷100中的数据之外,图2中所示的URP封装110还包括URP封装清单头44、平台公钥46和被附加在URP固件卷100末尾的URP封装签名(其可以是补丁签名48)。
下面提供了可用于URP封装清单头44的示例数据结构:
备选地,可以使用一些其他数据结构来定义URP封装清单头44。
返回图1,指令还可以使处理器12对存储在运行时缓冲30中的固件更新补丁40执行第一验证检查70。处理器12可以执行第一验证检查70以确定固件更新补丁40是否被授权以对固件52进行修改。在一些实施例中,可以至少对包括在固件更新补丁40中的平台公钥46执行第一验证检查70。附加地或备选地,可以对至少固件更新补丁40的补丁签名48执行第一验证检查70。
在一些实施例中,存储器14还存储有指令,该指令在被执行时使处理器12将固件补丁版本指示符45存储在存储器14中。固件补丁版本指示符45可以(例如,利用版本号)标识固件更新补丁40被配置为要将固件52更新到的版本。在固件更新补丁40是URP封装的实施例中,固件补丁版本指示符45可以包括在URP封装清单头44中。因此,固件补丁版本指示符45可以存储在运行时缓冲30中。在固件补丁版本指示符45存储在存储器14中的实施例中,可以进一步对固件补丁版本指示符45执行第一验证检查70。
在作为第一验证检查70的一部分检查固件补丁版本指示符45的实施例中,处理器12可以至少部分地通过确定固件补丁版本指示符45所指示的固件版本新于当前安装的固件版本53,来确定固件更新补丁40通过了第一验证检查70。因此,通过检查固件补丁版本指示符45,处理器12可以被配置为确定固件更新补丁40是否与当前安装的固件版本53兼容。
计算系统10的存储器14还可以包括系统管理随机存取存储器(SMRAM)26,该系统管理随机存取存储器(SMRAM)26被配置为由固件52而不是操作系统50来读写。SMRAM 26可以包括SMRAM缓冲32,固件更新指令被配置为被载入该缓冲32。SMRAM缓冲32可以被固件52访问并且不能被计算系统10的操作系统50访问。
在一些实施例中,第一验证检查70可以包括确定SMRAM缓冲32的可用容量34。处理器12可以被配置为至少部分地通过确定SMRAM缓冲32的可用容量34大于固件更新补丁40的文件大小74,来确定固件更新补丁40通过了第一验证检查70。因此,处理器12可以确定固件更新补丁40是否适合SMRAM缓冲32以防止SMRAM缓冲32溢出。
在执行第一验证检查70之后,当固件更新补丁40通过了第一验证检查70时,指令可以进一步使处理器12将固件更新补丁40复制到SMRAM缓冲32。因此,处理器12可以被配置为生成固件更新补丁副本60。固件更新补丁副本60可以包括固件卷副本62、平台公钥副本66和补丁签名副本68。在固件更新补丁副本60是URP封装的实施例中,固件更新补丁副本60还可以包括URP封装清单头副本64,在一些实施例中,封装清单头副本64可以包括固件补丁版本指示符副本65。固件更新补丁副本60可以在固件52处生成。
指令还可以使处理器12对存储在SMRAM缓冲32中的固件更新补丁副本60执行第二验证检查72。当处理器12执行第二验证检查72时,处理器12可以被配置为检查在第一验证检查70期间检查的一个或多个属性,但是针对固件更新补丁副本60而不是固件更新补丁40。在一些实施例中,可以至少对平台公钥副本66执行第二验证检查72。附加地或备选地,可以至少对补丁签名副本68执行第二验证检查72。
在固件补丁版本指示符副本65被包括在固件更新补丁副本60中的实施例中,可以至少对固件补丁版本指示符副本65执行第二验证检查72。在这样的实施例中,指令可以使处理器12至少部分地通过确定固件补丁版本指示符副本65所指示的固件版本新于当前安装的固件版本53,来确定固件更新补丁副本60通过了第二验证检查72。
在一些实施例中,执行第二验证检查72可以包括确定SMRAM缓冲32的可用容量34。在这样的实施例中,指令可以使处理器12至少部分地通过确定SMRAM缓冲32的可用容量34大于固件更新补丁副本60的文件大小,来确定固件更新补丁副本60通过了第二验证检查72。
当固件更新补丁副本60通过了第二验证检查72时,该指令还可以使处理器12执行固件更新补丁副本60。当处理器12执行固件更新补丁副本60时,固件卷副本62中包含的代码可以修改和/或替换固件52中包括的一个或多个系统管理模式(SMM)驱动,如下文进一步详细描述的。在一些实施例中,固件更新补丁副本60可以在运行时SMM中被执行而不重新引导计算系统10。SMM可以是针对计算系统10的最高级别的管理特权。
图3示出了根据图1的实施例的可以在处理器12处对固件更新补丁40执行的示例验证过程200。在图3的示例中,固件更新补丁40是URP封装。当处理器12在被包括在操作系统50中的命令行实用程序URPUtil.exe处接收到/验证(verify)命令时,可以执行图3的过程200。当处理器12接收到/verify命令时,处理器12可以进一步被配置为发送对URPDrv.sys内核模式驱动的IOCTL_URP_VERIFY请求,该URPDrv.sys内核模式驱动可以被包括在操作系统50中。URPUtil.exe/verify命令可以包括将URP封装文件读取到运行时缓冲30的命令。
在URPDrv.sys内核模式驱动中,验证过程200还可以包括触发GtRt缓冲(GetRtBuffer)系统管理中断(SMI)。GetRtBuffer SMI可以被发送到固件52中包括的UrpSmm核(UrpSmmCore)驱动。UrpSmmCore驱动可以响应GetRtBuffer SMI向URPDrv.sys内核模式驱动返回BIOS URP封装缓冲地址。BIOS URP封装缓冲地址可以是运行时缓冲30在UEFI运行时存储器24中的位置。在接收到BIOS URP封装缓冲地址之后,URPDrv.sys内核模式驱动还可以被配置为将URP封装复制到BIOS URP封装缓冲,其在图3的示例中作为操作系统50和固件52都可访问的运行时缓冲30被使用。URPDrv.sys内核模式驱动可以进一步被配置为触发发送到UrpSmmCore驱动的Urp验证(UrpVerify)SMI。
UrpSmmCore驱动然后可以被配置为执行第一验证检查70。如图3中的示例所示,UrpSmmCore驱动可以被配置为验证固件卷42和URP封装的文件大小74。UrpSmmCore驱动可以进一步配置为检查SMRAM 26的可用容量34是否足以部署URP封装。UrpSmmCore驱动可以进一步配置为验证URP封装的签名密钥和签名,并且验证URP封装的封装版本新于当前安装的固件版本53。
当UrpSmmCore驱动确定URP封装通过了第一验证检查70时,UrpSmmCore可以将URP封装复制到SMRAM缓冲32。SMRAM缓冲32可以由UrpSmmCore驱动用作URP封装可以从其将URP封装安装到固件52中的暂存(staging)缓冲。将URP封装复制到SMRAM缓冲32中可以称为暂存URP封装。在将URP封装复制到SMRAM缓冲32之后,UrpSmmCore驱动可以进一步配置为对已复制到SMRAM缓冲32的URP封装重复作为第一验证检查70的一部分已被执行的验证步骤中的部分或全部。因此,UrpSmmCore驱动可以对URP封装执行第二验证检查72。在一些实施例中,可以在执行第二验证检查72时检查包括在第一验证检查70中的每个属性。在其他实施例中,可以省略第一验证检查70的一个或多个步骤。附加地或备选地,当执行第二验证检查72时,可以添加未在第一验证检查70中执行的一个或多个附加检查。
在执行第二验证检查72之后,UrpSmmCore驱动还可以用于向URPDrv.sys内核模式驱动返回状态码(图3中示出为UrpStatus)和返回消息(图3中示出为UrpSmiLog缓冲地址)。状态码可以指示相应SMI中断的当前状态。例如,状态码可以是URP封装通过了第一验证检查70和第二验证检查72并且被成功复制到SMRAM缓冲32的指示。如图3的示例中所示,返回消息中指示的UrpSmiLog缓冲地址可以是状态码所在的运行时缓冲30中的缓冲地址。UrpSmiLog缓冲地址还可以存储与固件更新补丁40相关的其他信息,例如固件补丁版本指示符45。UrpDrv.sys内核模式驱动还可以被配置为完成IOCTL_URP_VERIFY的执行并切返回命令行实用程序URPUtil.exe。处理器12可以被配置为在命令行实用程序URPUtil.exe处输出URPUtil.exe/verify命令已经完成的通知。
如图4的示例流程图210所示,执行第一验证检查70和第二验证检查72两者可以保护计算系统10免受上述类型的攻击,在这些攻击中当固件更新补丁40被复制到SMRAM缓冲32中时恶意代码被插入。在此示例中,在步骤212处对运行时缓冲30处的URP封装进行第一验证检查70。当第一验证检查70成功时,可以在步骤214处将URP封装复制到SMRAM。当第一验证检查70失败时,则在步骤213处可以防止安装URP封装。如果在将URP封装复制到SMRAM时执行修改URP封装的攻击215,则在步骤216处在第二验证检查72在SMRAM缓冲32中的URP封装的副本上执行时可以检测到对URP封装的修改。在攻击215期间所做的修改可能导致URP封装无法通过第二验证检查72。当URP封装未通过第二验证检查72,在步骤217处可以防止安装URP封装。因此,可以避免安装受损的URP封装。当URP封装通过第二验证检查72时,URP封装的安装可以在步骤218处进行。
图5示出了可以在URPUtil.exe命令行实用程序处执行的命令的示例流程图300。在步骤302处,处理器12可以被配置为执行/verify命令,如上面参考图3所讨论的。在步骤304处,处理器12可以进一步被配置为执行/更新(/update)命令,如下文进一步详细讨论的。在已经执行/update命令之后,处理器12可以进一步被配置为在步骤306处执行/激活(/activate)命令。/activate命令可以使暂存SMM驱动器替代固件52中包括的现有SMM驱动器。备选地,用户可以在步骤308处输入/去暂存(/unstage)命令。/unstage命令可以取消暂存的SMM驱动而不改变任何现有的SMM驱动。在步骤310处,处理器12还可以被配置为执行/list命令。/列表(/list)命令可以将当前暂存的SMM驱动的列表和/或当前活动的SMM驱动的列表输出到命令行实用程序。
图6示出了可以在处理器12处执行的示例更新过程220。在图6的示例中,固件更新补丁40是URP封装。当处理器12在被包括在操作系统50中的命令行实用程序URPUtil.exe处接收到/update命令时,可以执行图6的更新过程220。当处理器12接收到/update命令时,处理器12可以进一步配置为向URPDrv.sys内核模式驱动发送IOCTL_URP_UPDATE请求。IOCTL_URP_UPDATE请求可以包括将URP封装文件读取到运行时缓冲30的指令。
在URPDrv.sys内核模式驱动中,更新过程220还可以包括触发GetRtBuffer SMI。GetRtBuffer SMI可以被发送到固件52中包括的UrpSmmCore驱动。UrpSmmCore驱动可以响应GetRtBuffer SMI而向URPDrv.sys内核模式驱动返回BIOS URP封装缓冲地址。BIOS URP封装缓冲地址可以是运行时缓冲30在UEFI运行时存储器24中的位置。在接收到BIOS URP封装缓冲地址之后,URPDrv.sys内核模式驱动还可以被配置为将URP封装复制到BIOS URP封装缓冲。URPDrv.sys内核模式驱动可以进一步配置为触发被发送到UrpSmmCore驱动的UrpUpdate SMI。
在UrpSmmCore驱动处,处理器12可以进一步被配置为运行URP验证序列,该URP验证序列包括在第一验证检查70和第二验证检查72中包括的一个或多个检查。在一些实施例中,被包括在第一验证检查70和第二验证检查72中的每个属性可以在执行更新过程220时被检查。在其他实施例中,可以省略第一验证检查70或第二验证检查72的一个或多个步骤。附加地或备选地,可以添加未在第一验证检查70或第二验证检查72中执行的一个或多个附加检查。在运行验证序列之后,UrpSmmCore驱动可以进一步配置为循环通过固件卷42并且运行固件卷42的封装的SMM.efi文件的_ModuleEntryPoint方法。_ModuleEntryPoint方法可以利用暂存的全局唯一标识符(GUID)初始化EFI_STAGED_DRIVER_ENTRY,如下面进一步详细描述的。_ModuleEntryPoint方法可以进一步配置为将暂存的GUID传递给UrpSmmCore驱动的StageUrpDriver方法。
在运行_ModuleEntryPoint方法后,UrpSmmCore驱动还可以被配置为向URPDrv.sys内核模式驱动返回状态码(图6中示出为UrpStatus)和返回消息(图6中示出为UrpSmiLog缓冲地址)。UrpStatus可以是执行被更新的指示。UrpSmiLog缓冲地址可以是运行时缓冲30中的缓冲地址,其存储包括以下的信息:新安装的URP封装的固件补丁版本指示符45、先前安装的SMM驱动版本的版本指示符或其他版本控制信息。UrpDrv.sys内核模式驱动可以进一步配置为完成IOCTL_URP_UPDATE的执行并且返回到命令行实用程序URPUtil.exe。处理器12还可被配置为在命令行实用程序处输出URPUtil.exe/update命令已完成的通知。
图7更详细地示出了根据一个示例实施例的由处理器12执行的操作系统50和固件52的层。在图7的示例中,固件52包括BIOS运行时SMM层54和BIOS协议接口SMM层56。如上所述,操作系统80可以包括URPUtil.exe命令行实用程序80。在URPUtil.exe命令行实用程序80处,处理器12可以被配置为处理URP补丁更新命令,验证固件更新补丁40的补丁签名48,和/或查询当前安装的URP补丁。URPUtil.exe命令行实用程序80还可以被配置为将URP命令82传送至URPDrv.sys内核模式驱动84。例如,URP命令82可以是图5所示的命令中的一个命令。URPDrv.sys内核模式驱动84可以被配置为代表URPUtil.exe命令行实用程序80向固件52提供SMI传输。URPDrv.sys内核模式驱动84可以进一步被配置为向BIOS运行时SMM层54提供SMI传输缓冲。
在BIOS运行时SMM层54处,处理器12可以被进一步配置为执行到UrpSmmCore驱动88的SMI传输86。UrpSmmCore驱动88可以被配置为处理从URPDrv.sys内核模式驱动84接收的/verify、/update、/activate、/unstage和/list命令。UrpSmmCore驱动88可以被进一步配置为从操作系统50接收URP封装并且将URP封装复制到SMRAM 26。此外,UrpSmmCore驱动88可以被进一步配置为对URP封装执行第一验证检查70和第二验证检查72,并且执行固件卷副本62中包括的补丁映像。UrpSmmCore驱动88可以被进一步配置为暂存、激活和去激活UrpSmmDrivers,例如下面参考图8讨论的示例SMM驱动400。
在BIOS协议接口SMM层56处,处理器12可以被进一步配置为执行PiSmmCore驱动94。PiSmmCore驱动94可以被配置为从UrpSmmCore驱动88接收一个或多个SMM调用92。PiSmmCore驱动94可以被进一步配置为安装或卸载Smm协议接口(SmmProtocolInterface),如下所述。此外,PiSmmCore驱动94还可以被配置为注册和注销SMI处理程序(handler)、在SMRAM 26中分配和释放位置、验证SMRAM 26、内存映射输入/输出(MMIO)和内存缓冲以及处理SMI调度。
固件更新补丁40可以是对一个或多个SMM驱动的更新。图8中描绘了当被加载到SMRAM 26中时的示例SMM驱动器400。存储在SMRAM 402中的处理程序402可以指示SMRAM 26中存储SMM驱动400的映像的位置。此外,SMM驱动400可以具有指示协议接口406在SMRAM 26中的位置的主GUID 404。协议接口406可以包括一个或多个函数指针,它们分别指向一个或多个方法,例如获取驱动上下文(GetDrvContext)、获取上下文(GetContext)、获取处理程序(GetHandles)、注册处理程序(RegisterHandles)、注销处理程序(UnregisterHandles)、激活暂存(ActivateStaged)和去激活暂存(DeactivateStaged)。在协议接口406中可以附加地或备选地包括其他方法。SMM驱动400还可以包括私有数据408,例如签名、修订、校验和、m主要版本(mMajorVersion)以及m最小版本(mMinorVersion)。其他私有数据408可以附加地或备选地包括在SMM驱动400中。
当处理器12执行如图6所示的UrpUpdate SMI时,处理器12可以被配置为在执行_模块入口点(_ModuleEntryPoint)时在SMM驱动400的暂存GUID 412下将SMM驱动400加载到SMRAM 26。当处理器12执行UrpActivate SMI时,如下文进一步详细讨论的,处理器12可以被配置为利用在暂存GUID 412下安装的驱动接口替换安装在主GUID 404下的驱动接口。
在一些实施例中,如图3、图6和图7所示,第一验证检查70、将固件更新补丁40复制到SMRAM缓冲32、以及第二验证检查72可以在SMM核处执行。SMM核例如可以是UrpSmmCore驱动88或者PiSmmCore驱动94。另外,SMM驱动400在图8的示例中是SMM核。存储器14可以进一步存储有指令,当指令被执行时,使处理器12执行SMM助手(helper)90,该SMM助手90被配置为将固件更新补丁副本60应用到SMM核以获得更新的SMM核410。如图7中的示例所示,被配置为将固件更新补丁副本60应用到SMM核的SMM助手90可以在BIOS运行时SMM层54中执行。SMM助手90可以被进一步被配置为暂存、激活或停用UrpSmmCore驱动88。
当固件更新补丁副本60被用于更新SMM核时,SMM助手90可以被配置为向存储在SMRAM缓冲32中的固件更新补丁副本60分配暂存GUID 412。当暂存GUID 412被分配给固件更新补丁副本60,SMM助手90可以进一步被配置为将暂存GUID 412添加到包括在UrpSmmCore驱动88中的暂存驱动列表中。在将固件更新补丁副本60应用到SMM核之后,SMM助手90可以将主要GUID 404重新分配给更新的SMM核410。SMM助手90可以被进一步配置为从UrpSmmCore驱动88的暂存驱动列表中删除暂存GUID 412。因此,通过其主要GUID 404标识SMM核的过程可以将更新的SMM核410视为SMM核的先前版本。
现在转到图9,其示出了示例版本-感知更新序列500。在图9的示例中,将启用硬件错误记录的BIOS更新传输到包括位于数据中心中的多个服务器计算设备的集群。图9的示例中的BIOS更新包括具有固件卷的URP封装FVURP_V2.CAP,该固件卷包括whealog.efi SMM驱动。示例版本-感知更新序列500的第一更新阶段510包括暂存和激活whealog.efi SMM驱动的步骤。在第一更新阶段510中,UrpSmmCore驱动88可以被配置为执行针对whealog.efiSMM驱动的_ModuleEntryPoint方法以便执行该更新。当第一更新阶段510被执行时,UrpSmmCore驱动88还被配置为将服务器节点补丁版本更新为V2。
在第一更新阶段510之后,服务器计算设备集群进一步接收UrpSmmCmdlet.efiSMM驱动,该驱动被配置为添加HelloWorld SMM处理程序以供内部团队使用。与使用UrpSmmCmdlet.efi SMM驱动为新接收到的URP封装创建新的固件卷(这会增加BIOS代码存储库的复杂性)不同,而是可以将UrpSmmCmdlet.efi SMM驱动打包到与whealog.efi SMM驱动相同的固件卷中。图9还示出了第二更新阶段520,其中UrpSmmCmdlet.efi SMM驱动被暂存和激活。在第二更新阶段520,处理器12被配置为生成包括whealog.efi SMM驱动和UrpSmmCmdlet.efi SMM驱动的URP封装FVURP V3.CAP。UrpSmmCore驱动88可以被进一步被配置为执行针对whealog.efi SMM驱动和UrpSmmCmdlet.efi SMM驱动两者的相应_ModuleEntryPoint方法。
为了避免不必要地重复whealog.efi SMM驱动的暂存和激活,UrpSmmCore驱动88可以被配置为检查固件卷中whealog.efi SMM驱动的版本号是否比已安装的whealog.efiSMM驱动的版本号更加新。由于URP封装FVURP_V3.CAP中包括的whealog.efi SMM驱动与已安装的whealog.efi SMM驱动具有相同的版本号,因此UrpSmmCore驱动88不会暂存whealog.efi SMM驱动。此外,针对whealog.efi SMM驱动的_ModuleEntryPoint方法可能会返回错误通知并且释放为暂存whealog.efi SMM驱动分配的内存。当执行第二更新阶段520时,UrpSmmCore驱动88还被配置为将服务器节点补丁版本更新为V3。
在示例版本-感知更新序列500的第三更新阶段530中,执行对UrpSmmCmdlet.efiSMM驱动的更新。在第三更新阶段530中,UrpSmmCmdlet.efi SMM驱动的更新版本与whealog.efi SMM驱动和UrpSmmCmdlet.efi SMM驱动的先前版本一起被包括在URP封装中。UrpSmmCore驱动88可以被配置为对URP封装中包括的每个.efi模块执行相应的_ModuleEntryPoint方法。如在第二更新阶段520中,whealog.efi SMM驱动暂存失败,而UrpSmmCmdlet.efi SMM驱动成功暂存。UrpSmmCmdlet.efi SMM驱动后,服务器节点补丁版本更新为V4。
图10A-10B分别示出了UrpSmmCore驱动88和UrpSmmHelper驱动90的示例,包括它们各自的驱动条目列表。UrpSmmCore驱动88包括第一mStagedUrpDriverList 540,其指示当前在UrpSmmCore驱动88上暂存的每个SMM驱动和每个暂存的SMM驱动的相应版本号。在图10A的示例中,第一mStagedUrpDriverList 540包括三个暂存的SMM驱程序,其各自都具有版本号1.1。在第一mStagedUrpDriverList 540中列出的暂存的SMM驱动中的每个暂存的SMM驱动可以是通过_ModuleEntryPoint方法被添加到第一mStagedUrpDriverList 540的EFI暂存URP驱动条目(EFI_STAGED_URP_DRIVER_ENTRY)。
UrpSmmCore驱动88还可以包括第一mActivatedUrpDriverList 542,其指示在UrpSmmCore驱动88处的每个当前激活的SMM驱动和那些SMM驱动的相应版本号。在图10A的示例中,第一mActivatedUrpDriverList 542包括三个激活的SMM驱动,其各自具有版本号1.0。
图10B示出了被包括在UrpSmmHelper驱动90中的第二mStagedUrpDriverList550。第二mStagedUrpDriverList 550指示当前在UrpSmmHelper驱动90上暂存的UrpSmmCore驱动和UrpSmmCore驱动的相应版本号。在图10B的示例中,第二mStagedUrpDriverList 550指示一个具有版本号1.4的UrpSmmCore驱动88。UrpSmmHelper驱动90还可以包括第二mActivatedUrpDriverList 552,其指示在UrpSmmHelper核90处的每个当前激活的UrpSmmCore驱动88,以及每个先前激活的UrpSmmCore驱动88的相应版本号。在图10B的示例中,第二mActivatedUrpDriverList 552指示三个先前激活的UrpSmmCore驱动88,它们具有各自的版本号1.0、1.1和1.2。
图11示出了可以在处理器12处对固件更新补丁40执行的示例激活过程230。在图11的示例中,固件更新补丁40是URP封装。当处理器12在被包括在操作系统50中的命令行实用程序URPUtil.exe处接收到/activate命令时,可以执行图11的激活过程230。当接收到/activate命令时,处理器12还可以被配置为向URPDrv.sys内核模式驱动发送IOCTL_URP_ACTIVATE请求。在URPDrv.sys内核模式驱动处,激活过程230还可以包括触发UrpActivateSMI,该UrpActivate SMI可以被发送给UrpSmmCore驱动88。
在UrpSmmCore驱动88处,响应于接收到UrpActivate SMI,处理器12可以进一步被配置为循环通过第一mStagedUrpDriverList 540中的每个暂存的驱动条目。对于每个暂存的驱动条目,处理器12可以被配置为针对基于暂存的驱动条目的StagedDriverGUID的暂存的驱动条目定位暂存驱动协议。StagedDriverGUID可以是针对该暂存驱动条目的暂存GUID412。
处理器12还可以被配置为调用由pUrpSmmDriverStaged指针指向的暂存驱动条目的激活暂存(ActivateStaged)方法。ActivateStaged方法可以检索主驱动400的上下文数据并且将该上下文数据迁移到暂存驱动。主驱动可以是已经安装在固件52中的SMM驱动400。检索上下文数据可以包括基于其主驱动DGUID(PrimaryDriverGUID)定位主驱动,该主驱动可以是包括在图8所示的SMM驱动400中的主GUID 404。ActivateStaged方法然后可以卸载主驱动的协议接口406并且利用上下文数据生成新的主驱动协议接口406。处理器12还可以被配置为调用由pUrpSmmDriver指针指向的去激活暂存(DeactivateStaged)方法。DeactivateStaged方法可以去激活暂存驱动。
处理器12还可以被配置为从第一mStagedUrpDriverList 540中移除暂存的驱动条目,并且将暂存的驱动条目添加到第一mActiveUrpDriverList 542。处理器12还可以被配置为将URP封装的UrpStatus和UrpSmiLog缓冲地址返回给URPDrv.sys内核模式驱动。处理器12还可以被配置为完成IOCTL_URP_ACTIVATE的执行并且返回到URPUtil.exe命令行实用程序。
现在转到图12A,其描绘了用于与计算系统一起使用的方法600的流程图。方法600可以与图1的计算系统10或者一些其他的计算设备一起使用。在步骤602处,方法600可以包括将固件更新补丁存储在存储器中包括的运行时缓冲中。运行时缓冲可以被包括在RAM中并且可以被固件和计算系统的操作系统访问。在一些实施例中,固件更新补丁可以是包括固件卷、URP封装清单头、平台公钥和补丁签名的URP封装。
在步骤604处,方法600还可以包括对存储在运行时缓冲中的固件更新补丁执行第一验证检查。在固件更新补丁是URP封装的实施例中,可以至少对平台公钥执行第一验证检查。附加地或备选地,可以至少对补丁签名执行第一验证检查。当固件更新补丁通过第一验证检查时,方法600还可以包括,在步骤606处,将固件更新补丁复制到存储器中包括的SMRAM缓冲。SMRAM缓冲可以被固件访问SMRAM缓冲,而无法被操作系统访问。
在步骤608处,方法600还可以包括对存储在SMRAM缓冲中的固件更新补丁的副本执行第二验证检查。在第一验证检查之后,可以执行第二验证检查以检查固件更新补丁是否已被修改(例如,在TOC-TOU攻击中)。在固件更新补丁是URP封装的实施例中,可以至少对被包括在固件更新补丁的副本中的平台公钥的副本执行第二验证检查。备选地,可以至少对固件更新补丁的副本中包括的补丁签名的副本执行第二验证检查。当固件更新补丁的副本通过第二验证检查时,方法600还可以包括,在步骤610处,执行固件更新补丁的副本。
图12B示出了可以在一些实施例中执行的方法600的附加步骤。在步骤612处,方法600还可以包括将固件补丁版本指示符存储在存储器中。在固件更新补丁是URP封装的实施例中,固件补丁版本可以被包括在URP封装清单头中。在一些实施例中,可以至少对固件补丁版本指示符执行第一验证检查或第二验证检查。在固件更新补丁版本指示符在第一验证检查期间被检查的实施例中,固件更新补丁版本指示符可以存储在运行时缓冲中。在固件更新补丁版本指示符在第二验证检查期间被检查的实施例中,固件补丁版本指示符副本可以存储在SMRAM缓冲中。确定固件更新补丁通过第一验证检查或第二验证检查可以包括,在步骤614处,确定固件补丁版本指示符所指示的固件版本新于当前安装的固件版本。因此,当固件更新补丁除了包括在相同固件卷中的新修改之外还包括对已经进行的固件的修改时,可以避免重复更新。
图12C还示出了可以在一些实施例中执行的方法600的附加步骤。在步骤616处,方法600还可以包括确定SMRAM缓冲的可用容量。在执行步骤616的实施例中,方法600还可包括在步骤618处确定SMRAM缓冲的可用容量大于固件更新补丁的文件大小。步骤618可以作为第一验证检查或第二验证检查的一部分来执行。
图12D还示出了可以在一些实施例中执行的方法600的附加步骤。图12D中所示出的步骤可以在固件更新补丁是对具有主全局唯一标识符(GUID)的SMM驱动的更新的实施例中执行。在这样的实施例中,如步骤604、606和608中所示的第一验证检查、将固件更新补丁复制到SMRAM缓冲以及第二验证检查可以在SMM核处执行。在步骤620处,方法600还可以包括执行被配置为将固件更新补丁的副本应用到SMM核以获得更新的SMM核的SMM助手。步骤620可以包括,在步骤622,将升级GUID分配给存储在SMRAM缓冲中的固件更新补丁的副本。步骤620还可以包括,在步骤624处,在将固件更新补丁的副本应用到SMM核之后,将主GUID重新分配给更新的SMM核。因此,暂存的GUID可以在更新期间用作临时GUID,并且主GUID可以在SMM核被更新后替换暂存的GUID。
如图12E所示的,当SMM核之外的SMM驱动被更新时,类似于图12D的附加步骤可以作为方法600的一部分来执行。在步骤626处,方法600还可以包括执行被配置为将固件更新补丁的副本应用到SMM驱动以获得更新的SMM驱动的SMM核。步骤626可以包括,在步骤628处,将暂存的GUID分配给存储在SMRAM缓冲中的固件更新补丁的副本。步骤626还可以包括,在步骤630处,在将固件更新补丁的副本应用到SMM驱动之后,将主GUID重新分配给更新的SMM驱动。如在图12D中所示的步骤620,暂存的GUID可以在更新期间用作临时GUID,并且主GUID可以在SMM驱动更新后替换暂存的GUID。
使用上述系统和方法,可以在计算系统处执行不需要重新引导的低影响的固件更新。这些固件更新可以是仅替换计算系统的BIOS的一部分BIO而不是整个BIOS的模块化更新。此外,上述固件更新过程可以是版本-感知的,以防止冗余或不兼容的更新。上面讨论的系统和方法还可以通过执行第一验证检查和第二验证检查来防止恶意代码在固件更新期间被插入到固件中。
在一些实施例中,本文描述的方法和过程可以被绑定到一个或多个计算设备的计算系统。特别地,这样的方法和过程可以实现为计算机应用程序或服务、应用编程接口(API)、库和/或其他计算机程序产品。
图13示意性地示出了计算系统700的非限制性实施例,其可以实施上述方法和过程中的一个或多个。计算系统700以简化形式示出。计算系统700可以体现为上述以及和图1所示的计算系统10。计算系统700可以采用一台或多台个人计算机、服务器计算机、平板计算机、家庭娱乐计算机、网络计算设备、游戏设备、移动计算设备、移动通信设备(例如,智能电话)和/或其他计算设备,以及可穿戴计算设备,例如智能手表和头戴式增强现实设备。
计算系统700包括逻辑处理器702、易失性存储器704和非易失性存储设备706。计算系统700可以可选地包括显示子系统708、输入子系统710、通信子系统712和/或图13中未示出的其他组件。
逻辑处理器702包括被配置为执行指令的一个或多个物理设备。例如,逻辑处理器可以被配置为执行作为一个或多个应用程序、程序、例程、库、对象、组件、数据结构或其他逻辑构造的一部分的指令。此类指令可以被实施以执行任务、实现数据类型、转换一个或多个组件的状态、实现技术效果或以其他方式达到期望的结果。
逻辑处理器可以包括被配置为执行软件指令的一个或多个物理处理器(硬件)。附加地或备选地,逻辑处理器可以包括一个或多个硬件逻辑电路或固件设备,其被配置为执行硬件实现的逻辑或固件指令。逻辑处理器702的处理器可以是单核或多核,并且在其上执行的指令可以被配置用于顺序、并行和/或分布式处理。逻辑处理器的各个组件可选地可以分布在两个或更多个单独的设备之间,这些设备可以远程定位和/或配置用于协调处理。逻辑处理器的各方面可以由云计算配置中被配置的远程可访问的联网计算设备虚拟化和执行。在这种情况下,这些虚拟化方面运行在各种不同机器的不同物理逻辑处理器上,这是可以理解的。
非易失性存储设备706包括一个或多个物理设备,这些物理设备被配置为保存由逻辑处理器可执行以实现本文所述的方法和过程的指令。当实现这样的方法和过程时,可以转换非易失性存储设备706的状态——例如,以保存不同的数据。
非易失性存储设备706可以包括可移动和/或内置的物理设备。非易失性存储设备706可以包括光学存储器(例如CD、DVD、HD-DVD、蓝光光盘等)、半导体存储器(例如ROM、EPROM、EEPROM、闪存等)、和/或磁存储器(例如,硬盘驱动器、软盘驱动器、磁带驱动器、MRAM等)或者其他大容量存储技术。非易失性存储设备706可以包括非易失性、动态、静态、读/写、只读、顺序访问、位置可寻址、文件可寻址和/或内容可寻址设备。应当理解,非易失性存储设备706被配置为即使在非易失性存储设备706的电源被切断时也保存指令。
易失性存储器704可以包括包括随机存取存储器的物理设备。易失性存储器704通常被逻辑处理器702用于在处理软件指令期间临时存储信息。应当理解,当对易失性存储器704断电时,易失性存储器704通常不继续存储指令。
逻辑处理器702、易失性存储器704和非易失性存储设备706的方面可以一起集成到一个或多个硬件逻辑组件中。此类硬件逻辑组件可以包括例如现场可编程门阵列(FPGA)程序和应用专用集成电路(PASIC/ASIC)、程序和应用专用标准产品)(PSSP/ASSP)、系统上芯片(SOC)和复杂可编程逻辑器件(CPLD)。
术语“模块”、“程序”和“引擎”可以被用于描述计算系统700的方面,该计算系统700通常由处理器在软件中实现,以使用易失性存储器的部分执行特定功能,该功能涉及转换处理,该转换处理特别地配置处理器以执行该功能。因此,模块、程序或引擎可以通过逻辑处理器702使用易失性存储器704的部分执行由非易失性存储设备706保存的指令来实例化。应当理解,不同的模块、程序和/或引擎可以是从相同的应用程序、服务、代码块、对象、库、例程、API、函数等实例化。同样,相同的模块、程序和/或引擎可以由不同的应用程序、服务、代码块、对象、例程、API、函数等实例化。术语“模块”、“程序”和“引擎”可以包含单个或一组可执行文件、数据文件、库、驱动、脚本、数据库记录等。
当被包括时,显示子系统708可以被用于呈现由非易失性存储设备706保存的数据的视觉表示。视觉表示可以采用图形用户界面(GUI)的形式。由于这里描述的方法和过程改变了非易失性存储设备所保存的数据,并且因此转换了非易失性存储设备的状态,所以显示子系统708的状态同样可以被转换以在视觉上表示底层数据的变化。显示子系统708可以包括使用实际上任何类型的技术的一个或多个显示设备。这样的显示设备可以与共享外壳中的逻辑处理器702、易失性存储器704和/或非易失性存储设备706组合,或者这样的显示设备可以是外围显示设备。
当被包括时,输入子系统710可以包括一个或多个用户输入设备或者与一个或多个用户输入设备接口,一个或多个用户输入设备例如键盘、鼠标、触摸屏或游戏控制器。在一些实施例中,输入子系统可以包括选定的自然用户输入(NUI)组件或者与选定的自然用户输入(NUI)组件接口。这样的组件可以是集成的或外围的,并且输入动作的转换和/或处理可以在板上或板外处理。示例NUI组件可以包括用于语音和/或语音识别的麦克风,用于机器视觉和/或手势识别的红外、彩色、立体和/或深度相机,用于运动检测和/或意图识别的头部跟踪器、眼球跟踪器、加速度计和/或陀螺仪,以及用于评估大脑活动的电场感应组件,和/或任何其他合适的传感器。
当被包括时,通信子系统712可以被配置为将本文描述的各种计算设备彼此通信耦合,并且与其他设备通信耦合。通信子系统712可以包括与一种或多种不同通信协议兼容的有线和/或无线通信设备。作为非限制性示例,通信子系统可以被配置用于经由无线电话网络或者有线或无线局域网或广域网(诸如Wi-Fi连接上的HDMI)进行通信。在一些实施例中,通信子系统可以允许计算系统700经由诸如互联网的网络向其他设备发送和/或接收消息。
根据本公开的一个方面,提供了一种计算系统,该计算系统包括处理器和存储器。存储器可以存储有指令,这些指令在被执行时使处理器将固件更新补丁存储在存储器中包括的运行时缓冲中。运行时缓冲可以是计算系统的固件和操作系统能够访问的。该指令还可以使处理器对运行时缓冲中存储的固件更新补丁执行第一验证检查。当固件更新补丁通过第一验证检查时,指令还可以使处理器将固件更新补丁复制到存储器中包括的SMRAM缓冲。SMRAM缓冲可以是固件能够访问而操作系统无法访问的。该指令还可以使处理器对SMRAM缓冲中存储的固件更新补丁的副本执行第二验证检查。当固件更新补丁的副本通过第二验证检查时,指令还可以使处理器执行固件更新补丁的副本。
根据该方面,固件更新补丁可以是包括固件卷、URP封装清单标头、平台公钥和补丁签名的URP封装。
根据该方面,第一验证检查可以至少对平台公钥执行。第二验证检查可以至少对固件更新补丁的副本中包括的平台公钥的副本执行。
根据该方面,第一验证检查可以至少对补丁签名执行。第二验证检查可以至少对固件更新补丁的副本中包括的补丁签名的副本执行。
根据该方面,存储器还可以存储有指令,当执行这些指令时,使处理器将固件补丁版本指示符存储在存储器中。
根据该方面,还可以对固件补丁版本指示符进行第一验证检查。指令在被执行时可以使处理器至少部分地通过确定固件补丁版本指示符所指示的固件版本新于当前安装的固件版本,来确定固件更新补丁通过了第一验证检查。
根据该方面,第一验证检查和第二验证检查中的至少一个验证检查可以包括确定SMRAM缓冲的可用容量。指令在被执行时可以使处理器至少部分地通过确定SMRAM缓冲的可用容量大于固件更新补丁的文件大小,来确定固件更新补丁通过了第一验证检查和第二验证检查中的至少一个验证检查。
根据该方面,固件更新补丁可以是对具有主GUID的SMM驱动的更新。
根据该方面,第一验证检查、将固件更新补丁复制到SMRAM缓冲以及第二验证检查可以在SMM核处被执行。存储器还可以存储有指令,该指令当被执行时,使处理器执行SMM助手,该SMM助手被配置为将固件更新补丁的副本应用到SMM核以获得更新的SMM核。
根据该方面,SMM助手可以被配置为将暂存GUID分配给被存储在SMRAM缓冲中的固件更新补丁的副本。SMM助手可以进一步被配置为在将固件更新补丁的副本应用到SMM核之后将主GUID重新分配给更新的SMM核。
根据该方面,固件更新补丁的副本可以在运行时SMM中执行,而不重新引导计算系统。
根据本公开的另一方面,提供了一种与计算系统一起使用的方法。该方法可以包括将固件更新补丁存储存储器中包括的运行时缓冲中。运行时缓冲可以是计算系统的固件和操作系统能够访问的。该方法还可以包括对运行时缓冲中存储的固件更新补丁执行第一验证检查。当固件更新补丁通过第一验证检查时,该方法还可以包括将固件更新补丁复制到存储器中包括的系统管理随机存取存储器(SMRAM)缓冲。固件可以访问SMRAM缓冲,而操作系统则无法访问。该方法还可以包括对SMRAM缓冲中存储的固件更新补丁的副本执行第二验证检查。当固件更新补丁的副本通过第二验证检查时,该方法还可以包括执行固件更新补丁的副本。
根据该方面,固件更新补丁可以是包括固件卷、URP封装清单标头、平台公钥和补丁签名的URP封装。
根据该方面,可以至少对平台公钥执行第一验证检查。可以至少对包括在固件更新补丁的副本中的平台公钥的副本执行第二验证检查。
根据该方面,可以至少对补丁签名执行第一验证检查。可以至少对包括在固件更新补丁的副本中的补丁签名的副本执行第二验证检查。
根据该方面,该方法还可以包括将固件补丁版本指示符存储在存储器中。还可以对固件补丁版本指示符进行第一验证检查。确定固件更新补丁通过第一验证检查可以包括确定由固件补丁版本指示符指示的固件版本比当前安装的固件版本更加新。
根据该方面,固件更新补丁可以是对具有主GUID的SMM驱动的更新。
根据该方面,第一验证检查、将固件更新补丁复制到SMRAM缓冲以及第二验证检查可以在SMM核处被执行。该方法还可以包括执行被配置为将固件更新补丁的副本应用到SMM核以获得更新的SMM核的SMM助手。
根据该方面,执行SMM助手可以包括将暂存GUID分配给存储在SMRAM缓冲中的固件更新补丁的副本。该方法还可以包括在将固件更新补丁的副本应用到SMM核之后,将主GUID重新分配给更新的SMM核。
根据本公开的另一方面,提供了一种计算系统,该计算系统包括处理器和存储器。存储器可以存储有指令,这些指令在被执行时使处理器将固件更新补丁存储在存储器中包括的运行时缓冲中。运行时缓冲可以是计算系统的固件和操作系统能够访问的。在具有主GUID的SMM核处,指令还可以使处理器将固件更新补丁复制到存储器中包括的SMRAM缓冲。固件可以访问SMRAM缓冲,而操作系统则无法访问SMRAM缓冲。该指令还可以使处理器执行固件更新补丁的副本,其中执行固件更新补丁的副本包括在SMM助手处将暂存GUID分配给存储在SMRAM缓冲中的固件更新补丁的副本。执行固件更新补丁的副本还可以包括将固件更新补丁的副本应用到SMM核以获得更新的SMM核。执行固件更新补丁的副本还可以包括将主GUID重新分配给更新的SMM核。
应当理解,这里描述的配置和/或方法本质上是示例性的,并且这些特定实施例或示例不应被认为具有限制意义,因为许多变化是可能的。本文描述的特定例程或方法可以代表任意数量的处理策略中的一个或多个。这样,所示和/或描述的各种动作可以以所示和/或描述的顺序、以其他顺序、并行或省略来执行。同样,可以改变上述处理的顺序。
本公开的主题包括本文所公开的各种过程、系统和配置以及其他特征、功能、动作和/或属性的所有新颖和非明显的组合和子组合,以及它们的任何和所有的等价物。
Claims (15)
1.一种计算系统,包括:
处理器;和
存储有指令的存储器,所述指令当被执行时使所述处理器:
将固件更新补丁存储在所述存储器中包括的运行时缓冲中,其中所述运行时缓冲是所述计算系统的固件和操作系统能够访问的;
对所述运行时缓冲中存储的所述固件更新补丁执行第一验证检查;
当所述固件更新补丁通过所述第一验证检查时,将所述固件更新补丁复制到所述存储器中包括的系统管理随机存取存储器(SMRAM)缓冲,其中所述SMRAM缓冲是所述固件能够访问并且所述操作系统无法访问的。
对所述SMRAM缓冲中存储的所述固件更新补丁的副本执行第二验证检查;以及
当所述固件更新补丁的所述副本通过所述第二验证检查时,执行所述固件更新补丁的所述副本。
2.根据权利要求1所述的计算系统,其中所述固件更新补丁是统一可扩展框架接口(UEFI)运行时补丁(URP)封装,其包括固件卷、URP封装清单头、平台公钥和补丁签名。
3.根据权利要求2所述的计算系统,其中:
所述第一验证检查至少对所述平台公钥执行;并且
所述第二验证检查至少对所述固件更新补丁的所述副本中包括的所述平台公钥的副本执行。
4.根据权利要求2所述的计算系统,其中:
所述第一验证检查至少对所述补丁签名执行;并且
所述第二验证检查至少对所述固件更新补丁的所述副本中包括的所述补丁签名的副本执行。
5.根据权利要求1所述的计算系统,其中所述存储器还存储有指令,所述指令当被执行时使所述处理器将固件补丁版本指示符存储在所述存储器中。
6.根据权利要求5所述的计算系统,其中:
所述第一验证检查还对所述固件补丁版本指示符执行;并且
所述指令当被执行时使所述处理器至少部分地通过确定所述固件补丁版本指示符所指示的固件版本新于当前安装的固件版本,来确定所述固件更新补丁通过了所述第一验证检查。
7.根据权利要求1所述的计算系统,其中:
所述第一验证检查和所述第二验证检查中的至少一个验证检查包括确定所述SMRAM缓冲的可用容量;并且
所述指令当被执行时使所述处理器至少部分地通过确定所述SMRAM缓冲的所述可用容量大于所述固件更新补丁的文件大小,来确定所述固件更新补丁通过了所述第一验证检查和所述第二验证检查中的所述至少一个验证检查。
8.根据权利要求1所述的计算系统,其中所述固件更新补丁是对具有主全局唯一标识符(GUID)的系统管理模式(SMM)驱动的更新。
9.根据权利要求8所述的计算系统,其中:
所述第一验证检查、将所述固件更新补丁复制到所述SMRAM缓冲、以及所述第二验证检查在SMM核处被执行;并且
所述存储器还存储有指令,所述指令当被执行时使所述处理器执行SMM助手,所述SMM助手被配置为将所述固件更新补丁的所述副本应用到所述SMM核以获得更新的SMM核。
10.根据权利要求9所述的计算系统,其中所述SMM助手被配置为:
将暂存的GUID分配给所述SMRAM缓冲中存储的所述固件更新补丁的所述副本;
在将所述固件更新补丁的所述副本应用到所述SMM核之后,将所述主GUID重新分配给所述更新的SMM核。
11.根据权利要求1所述的计算系统,其中所述固件更新补丁的所述副本在运行时系统管理模式(SMM)中被执行,而不重新引导所述计算系统。
12.一种用于与计算系统一起使用的方法,所述方法包括:
将固件更新补丁存储在存储器中包括的运行时缓冲中,其中所述运行时缓冲是所述计算系统的固件和操作系统能够访问的;
对所述运行时缓冲中存储的所述固件更新补丁执行第一验证检查;
当所述固件更新补丁通过所述第一验证检查时,将所述固件更新补丁复制到所述存储器中包括的系统管理随机存取存储器(SMRAM)缓冲,其中所述SMRAM缓冲是所述固件能够访问并且所述操作系统无法访问的;
对所述SMRAM缓冲中存储的所述固件更新补丁的所述副本执行第二验证检查;以及
当所述固件更新补丁的所述副本通过所述第二验证检查时,执行所述固件更新补丁的所述副本。
13.根据权利要求12所述的方法,其中所述固件更新补丁是统一可扩展框架接口(UEFI)运行时补丁(URP)封装,其包括:固件卷、URP封装清单头、平台公钥和补丁签名。
14.根据权利要求12所述的方法,还包括将固件补丁版本指示符存储在所述存储器中,其中:
所述第一验证检查还对所述固件补丁版本指示符执行;并且
确定所述固件更新补丁通过所述第一验证检查包括:确定所述固件补丁版本指示符所指示的固件版本新于当前安装的固件版本。
15.根据权利要求12所述的方法,其中所述固件更新补丁是对具有主全局唯一标识符(GUID)的系统管理模式(SMM)驱动的更新。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202062970030P | 2020-02-04 | 2020-02-04 | |
| US62/970,030 | 2020-02-04 | ||
| US16/874,276 | 2020-05-14 | ||
| US16/874,276 US11385903B2 (en) | 2020-02-04 | 2020-05-14 | Firmware update patch |
| PCT/US2021/014029 WO2021158359A1 (en) | 2020-02-04 | 2021-01-19 | Firmware update patch |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115136114A true CN115136114A (zh) | 2022-09-30 |
Family
ID=77063659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180012645.5A Pending CN115136114A (zh) | 2020-02-04 | 2021-01-19 | 固件更新补丁 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11385903B2 (zh) |
| EP (1) | EP4100829A1 (zh) |
| CN (1) | CN115136114A (zh) |
| WO (1) | WO2021158359A1 (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11481206B2 (en) | 2019-05-16 | 2022-10-25 | Microsoft Technology Licensing, Llc | Code update in system management mode |
| FR3099607B1 (fr) * | 2019-07-30 | 2021-11-05 | Stmicroelectronics Grand Ouest Sas | Composant électronique à micrologiciel |
| US12008359B2 (en) * | 2020-02-13 | 2024-06-11 | Intel Corporation | Update of boot code handlers |
| US11921904B1 (en) * | 2020-04-08 | 2024-03-05 | Marvell Asia Pte Ltd | System and methods for firmware security mechanism |
| US11321077B1 (en) * | 2020-06-05 | 2022-05-03 | Amazon Technologies, Inc. | Live updating of firmware behavior |
| US11340937B2 (en) | 2020-06-24 | 2022-05-24 | Dell Products L.P. | System and method of utilizing platform applications with information handling systems |
| US20210365559A1 (en) * | 2020-09-24 | 2021-11-25 | Intel Corporation | Seamless system management mode code injection |
| US11640290B2 (en) * | 2020-10-27 | 2023-05-02 | Microsoft Technology Licensing, Llc | Pushing a firmware update patch to a computing device via an out-of-band path |
| US11741232B2 (en) * | 2021-02-01 | 2023-08-29 | Mellanox Technologies, Ltd. | Secure in-service firmware update |
| US20210208869A1 (en) * | 2021-03-23 | 2021-07-08 | Intel Corporation | System and method to provide smm runtime telemetry support |
| US11995743B2 (en) | 2021-09-21 | 2024-05-28 | Samsung Electronics Co., Ltd. | Skin tone protection using a dual-core geometric skin tone model built in device-independent space |
| CN113900723B (zh) * | 2021-12-08 | 2022-04-08 | 深圳市明源云科技有限公司 | 公共平台更新方法、网络设备及计算机可读存储介质 |
| US20230418937A1 (en) * | 2022-06-27 | 2023-12-28 | Samsung Electronics Co., Ltd. | Privileged Firmware Mode Protection |
| US11977638B2 (en) * | 2022-06-29 | 2024-05-07 | Ampere Computing Llc | Low-impact firmware update |
| US20240020395A1 (en) * | 2022-07-12 | 2024-01-18 | Lenovo (Singapore) Pte. Ltd. | Methods, systems, and program products for securely blocking access to system operations and data |
Family Cites Families (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6418498B1 (en) | 1999-12-30 | 2002-07-09 | Intel Corporation | Integrated system management memory for system management interrupt handler independent of BIOS and operating system |
| US6615365B1 (en) * | 2000-03-11 | 2003-09-02 | Powerquest Corporation | Storing a computer disk image within an imaged partition |
| US20030196096A1 (en) * | 2002-04-12 | 2003-10-16 | Sutton James A. | Microcode patch authentication |
| US20040098715A1 (en) * | 2002-08-30 | 2004-05-20 | Parixit Aghera | Over the air mobile device software management |
| TW200421172A (en) * | 2003-04-04 | 2004-10-16 | Incomm Technologies Co Ltd | Drive codes upgrading method of portable memory device and device thereof |
| US7805401B2 (en) * | 2003-04-14 | 2010-09-28 | Novell, Inc. | Method and apparatus for splitting a replicated volume |
| PL363945A1 (en) * | 2003-12-08 | 2005-06-13 | Advanced Digital Broadcast Polska Spółka z o.o. | Software method for eeprom memory emulation |
| US20060075001A1 (en) * | 2004-09-30 | 2006-04-06 | Canning Jeffrey C | System, method and program to distribute program updates |
| GB0702599D0 (en) * | 2006-05-05 | 2007-03-21 | Omnifone Ltd | Data synchronization |
| US7454547B1 (en) * | 2006-05-16 | 2008-11-18 | American Megatrends, Inc. | Data exchange between a runtime environment and a computer firmware in a multi-processor computing system |
| US7596648B2 (en) | 2007-03-08 | 2009-09-29 | Dell Products L.P. | System and method for information handling system error recovery |
| US20090144538A1 (en) * | 2007-11-05 | 2009-06-04 | Duda Kenneth J | Patch installation at boot time for dynamically installable, piecemeal revertible patches |
| US7725637B2 (en) | 2007-12-31 | 2010-05-25 | Intel Corporation | Methods and apparatus for generating system management interrupts |
| WO2010073444A1 (ja) * | 2008-12-24 | 2010-07-01 | パナソニック株式会社 | バスコントローラ及び初期ブートプログラムのパッチ方法 |
| US8578138B2 (en) | 2009-08-31 | 2013-11-05 | Intel Corporation | Enabling storage of active state in internal storage of processor rather than in SMRAM upon entry to system management mode |
| CN102236621B (zh) * | 2010-04-28 | 2014-12-24 | 国网浙江富阳市供电公司 | 计算机接口信息配置系统及方法 |
| US8863109B2 (en) * | 2011-07-28 | 2014-10-14 | International Business Machines Corporation | Updating secure pre-boot firmware in a computing system in real-time |
| US9176752B1 (en) | 2012-12-04 | 2015-11-03 | Amazon Technologies, Inc. | Hardware-based mechanisms for updating computer systems |
| US9275248B1 (en) | 2013-02-13 | 2016-03-01 | Amazon Technologies, Inc. | Updating processor microcode |
| US10104185B1 (en) * | 2015-08-10 | 2018-10-16 | Amazon Technologies, Inc. | Policy-based container cotenancy |
| US20170090909A1 (en) * | 2015-09-25 | 2017-03-30 | Qualcomm Incorporated | Secure patch updates for programmable memories |
| US10101928B2 (en) | 2016-02-19 | 2018-10-16 | Dell Products L.P. | System and method for enhanced security and update of SMM to prevent malware injection |
| US10452404B2 (en) * | 2016-07-28 | 2019-10-22 | Microsoft Technology Licensing, Llc. | Optimized UEFI reboot process |
| US10871955B2 (en) | 2018-02-08 | 2020-12-22 | Insyde Software Corp. | System and method for providing firmware data updates |
| US20200082088A1 (en) * | 2018-09-11 | 2020-03-12 | Qualcomm Incorporated | User/Enterprise Data Protection Preventing Non-Authorized Firmware Modification |
| US10922413B2 (en) * | 2018-09-27 | 2021-02-16 | Intel Corporation | Methods and apparatus to apply a firmware update to a host processor |
| US11481206B2 (en) | 2019-05-16 | 2022-10-25 | Microsoft Technology Licensing, Llc | Code update in system management mode |
| US12008359B2 (en) * | 2020-02-13 | 2024-06-11 | Intel Corporation | Update of boot code handlers |
-
2020
- 2020-05-14 US US16/874,276 patent/US11385903B2/en active Active
-
2021
- 2021-01-19 WO PCT/US2021/014029 patent/WO2021158359A1/en unknown
- 2021-01-19 EP EP21705342.0A patent/EP4100829A1/en active Pending
- 2021-01-19 CN CN202180012645.5A patent/CN115136114A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4100829A1 (en) | 2022-12-14 |
| US11385903B2 (en) | 2022-07-12 |
| WO2021158359A1 (en) | 2021-08-12 |
| US20210240489A1 (en) | 2021-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115136114A (zh) | 固件更新补丁 | |
| JP6761476B2 (ja) | 仮想マシンを監査するためのシステムおよび方法 | |
| US9760408B2 (en) | Distributed I/O operations performed in a continuous computing fabric environment | |
| US9384060B2 (en) | Dynamic allocation and assignment of virtual functions within fabric | |
| US10592434B2 (en) | Hypervisor-enforced self encrypting memory in computing fabric | |
| US20140358972A1 (en) | Interconnect partition binding api, allocation and management of application-specific partitions | |
| US8843926B2 (en) | Guest operating system using virtualized network communication | |
| US8006254B2 (en) | Bequeathing privilege to a dynamically loaded module | |
| US11163597B2 (en) | Persistent guest and software-defined storage in computing fabric | |
| US20170277573A1 (en) | Multifunction option virtualization for single root i/o virtualization | |
| US20180046809A1 (en) | Secure host operating system running a virtual guest operating system | |
| CN113826072B (zh) | 系统管理模式中的代码更新 | |
| US9804877B2 (en) | Reset of single root PCI manager and physical functions within a fabric | |
| US20160077847A1 (en) | Synchronization of physical functions and virtual functions within a fabric | |
| US11928214B2 (en) | Enabling SPI firmware updates at runtime | |
| US12001870B2 (en) | Injection and execution of workloads into virtual machines | |
| JP7522775B2 (ja) | 不揮発性記憶区画識別子 | |
| US20240184612A1 (en) | Virtual machine live migration with direct-attached non-volatile memory express device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |