CN116415248A - 在一开盖窜改事件中使一安全启动失败的计算机系统 - Google Patents
在一开盖窜改事件中使一安全启动失败的计算机系统 Download PDFInfo
- Publication number
- CN116415248A CN116415248A CN202210207676.2A CN202210207676A CN116415248A CN 116415248 A CN116415248 A CN 116415248A CN 202210207676 A CN202210207676 A CN 202210207676A CN 116415248 A CN116415248 A CN 116415248A
- Authority
- CN
- China
- Prior art keywords
- computer system
- random bytes
- secure boot
- microcontroller unit
- hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012217 deletion Methods 0.000 claims abstract description 7
- 230000037430 deletion Effects 0.000 claims abstract description 7
- 230000004044 response Effects 0.000 claims abstract description 7
- 238000000034 method Methods 0.000 claims description 15
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000003752 polymerase chain reaction Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F7/00—Methods or arrangements for processing data by operating upon the order or content of the data handled
- G06F7/58—Random or pseudo-random number generators
- G06F7/588—Random number generators, i.e. based on natural stochastic processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computational Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Pure & Applied Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
一种计算机系统,包含有一微控制器单元;一信赖平台模块,用来产生用于所述计算机系统的一安全启动的复数个随机字节;一启动加载器,用来存储信息,以及执行所述安全启动,其中所述信息包含有所述复数个随机字节;一作业系统,用来执行所述安全启动;以及至少一侦测器,用来侦测所述计算机系统中的一开盖窜改事件,以及传送用来触发所述复数个随机字节的一删除的一信号。根据一电源供应,所述微控制器单元删除被存储在所述微控制器单元及所述至少一硬件中的所述复数个随机字节,使所述安全启动失败,以回应被所述至少一侦测器传送的所述信号。
Description
技术领域
本发明涉及一种计算机系统,尤其涉及一种在一开盖窜改事件(case tamperingevent)中使一安全启动(secure boot)失败的计算机系统。
背景技术
当包覆一计算机系统的外壳被侦测到窜改(tamper)时,计算机系统的开盖窜改的机制被应用,以保护计算机系统的资料不被窜改。然而,当计算机系统被断电时,计算机系统如何在一开盖窜改事件中使一安全启动失败仍然未知。因此,如何在计算机系统断电时的开盖窜改事件中使安全启动失败是亟待解决的问题。
发明内容
因此,本发明提供一种在计算机系统的开盖窜改事件中使安全启动失败的方法,以解决上述问题。
本发明公开了一种用在一开盖窜改事件中使一安全启动失败的计算机系统,包含有一微控制器单元(microcontrollerunit,MCU);一信赖平台模块(trustedplatformmodule,TPM),若所述微控制器单元未包含有复数个随机字节(randombyte),用来产生用于所述计算机系统的一安全启动的所述复数个随机字节;一启动加载器(bootloader),用来在所述微控制器单元及所述计算机系统的至少一硬件中,存储信息,以及执行所述安全启动,其中所述信息包含有所述复数个随机字节,以及所述信赖平台模块被包含在所述启动加载器中;一作业系统(operating system,OS),用来执行所述安全启动;以及至少一侦测器(sensor),耦接到所述微控制器单元,用来侦测所述计算机系统中的一开盖窜改事件,以及若在所述计算机系统中,所述开盖窜改事件发生,传送用来触发所述复数个随机字节的一删除(deletion)的一信号。根据一电源供应(power supply),所述微控制器单元删除被存储在所述微控制器单元及所述至少一硬件中的所述复数个随机字节,使所述安全启动失败,以回应被所述至少一侦测器传送的所述信号。
本发明另公开一种在计算机系统的开盖窜改事件中使安全启动失败的方法,包含有执行所述计算机系统的一安全启动;若一微控制器单元不包含有复数个随机字节,产生用于所述安全启动的所述复数个随机字节;在所述微控制器单元及所述计算机系统的至少一硬件中,存储信息,其中所述信息包含有所述复数个随机字节;在所述计算机系统中,侦测一开盖窜改事件;若在所述计算机系统中,所述开盖窜改事件发生,传送用来触发所述复数个随机字节的一删除的一信号;以及根据一电源供应,删除被存储在所述微控制器单元及所述至少一硬件中的所述复数个随机字节,使所述安全启动失败,以回应被所述至少一侦测器传送的所述信号。
附图说明
图1为本发明实施例一信赖平台模块的示意图。
图2为本发明实施例一计算机系统的示意图。
图3为本发明实施例一流程的流程图。
图4为本发明实施例一计算机系统的一安全模式及一非安全模式的示意图。
附图标号说明:
10,202:信赖平台模块
100:密码处理器
102:随机字节产生器
104:密钥产生器
106:哈希产生器
108:加密-解密-签章引擎
110:存储装置
112:平台配置缓存器
20:计算机系统
200:启动加载器
210:作业系统
220:至少一侦测器
230:微控制器单元
30:流程
300,302,304,306,308,310,312,314:步骤
具体实施方式
图1为本发明实施例一信赖平台模块(trustedplatform module,TPM)10的示意图。信赖平台模块10可为提升一计算机系统的安全(security)的一被动硬件元件(passivehardware element),以及被用来维持计算机系统顺利地运作。如图1所示,信赖平台模块10包含有一密码处理器(cryptographic processor)100及一存储装置110。密码处理器100包含有一随机字节产生器(random byte generator)102、一密钥产生器(key generator)104、一哈希产生器(hash generator)106及一加密-解密-签章引擎(encryption-decryption-signature engine)108。随机字节产生器102可产生用于一安全启动(secureboot)的随机字节(random byte)。随机字节可包含有数字、字母或标点符号。密钥产生器104可产生用于加密(encryption)的公开密钥(public key)及用于解密(decryption)的私有密钥(private key)。根据被随机字节产生器102产生的随机字节,哈希产生器106可产生哈希(hash)。加密-解密-签章引擎108可管理用于签署(signing)及验证(verification)的公开密钥及私有密钥。存储装置110可被用来存储一背书密钥(endorsement key,EK)、一存储根密钥(storage root key,SRK)、确认识别密钥(attestation identity keys,AIKs)及存储密钥(storage keys)。此外,存储装置110包含有平台配置缓存器(platformconfiguration registers,PCRs)112。平台配置缓存器112存储被随机字节产生器102产生的随机字节,以及根据一密码哈希函数(cryptographic hash function)及随机字节,产生哈希。即使随机字节(即平台配置缓存器112的输入)相似,根据密码哈希函数而产生的哈希截然不同。
根据不同的哈希,平台配置缓存器112可初始化信赖平台模块10的不同函数,以及可建立用于信赖平台模块10的一平台配置缓存器方针(PCR policy)。在一启动流程(bootprocess)中,信赖平台模块10可在平台配置缓存器112中存储信息(例如中央处理单元识别(central processing unit identity,CPU ID)、媒体存取控制位址(media accesscontrol address,MAC address))、序列编号(serial number)、产品识别(product ID)、…等信息)。根据上述信息,平台配置缓存器112产生哈希。当哈希正确(即被平台配置缓存器112产生的哈希与哈希产生器106产生的哈希相同,以及根据哈希,信赖平台模块10可运作)时,被存储在平台配置缓存器112中的随机字节可被取得。
图2为本发明实施例一计算机系统20的示意图。计算机系统20包含有一启动加载器(bootloader)200、一作业系统(operating system,OS)210、至少一侦测器(sensor)220及一微控制器单元(microcontrollerunit,MCU)230。启动加载器200也可被称为一基本输入/输出系统(basic input/output system,BIOS)。在计算机系统20的通电阶段(power-onstage)中,启动加载器200执行硬件初始化(hardware initialization)。启动加载器200包含有一信赖平台模块202。信赖平台模块202可为前述的信赖平台模块10,在此不赘述。作业系统210管理计算机系统20的硬件资源及软件资源,以及提供用于计算机系统20的服务。作业系统210可为一Windows作业系统(Windows OS)或一Linux作业系统(Linux OS),但不限于此。启动加载器200及作业系统210可应用非对称/对称密钥(asymmetric/symmetrickeys)到计算机系统20。该非对称/对称密钥可用于加密(例如使用公开密钥)及解密(例如使用私有密钥)。至少一侦测器220可被设定用来侦测事件(例如开盖窜改事件(casetampering event)),以及通知计算机系统20的启动加载器200和/或作业系统210。
微控制器单元230可耦接到至少一侦测器220,以及可配备有一电源供应(powersupply)。当在计算机系统20的电源故障(power failure)期间有事件(例如开盖窜改事件(case tampering event))发生时,该电源供应使至少一侦测器220可侦测事件。即使计算机系统20在被断电,从至少一侦测器220,微控制器单元230可接收一信号,以及执行对应的运作。此外,在微控制器单元230中,启动加载器200可存储被信赖平台模块202的一随机字节产生器产生的随机字节。
图3为本发明实施例一流程30的流程图,用于计算机系统20中,用来侦测一开盖窜改事件。流程30可被编译成程序代码,其包含以下步骤:
步骤300:开始。
步骤302:启动加载器200及作业系统210执行计算机系统20的一安全启动。
步骤304:若微控制器单元230不包含有复数个随机字节,信赖平台模块202产生用于该安全启动的该复数个随机字节。
步骤306:在微控制器单元230及计算机系统20的至少一硬件中,存储信息,其中该信息包含有该复数个随机字节。
步骤308:在计算机系统20中,至少一侦测器220侦测一开盖窜改事件。
步骤310:若在计算机系统20中,该开盖窜改事件发生,至少一侦测器220传送用来触发该复数个随机字节的一删除(deletion)的一信号。
步骤312:根据一电源供应,微控制器单元230删除被存储在微控制器单元230及该至少一硬件中的该复数个随机字节,使该安全启动失败,以回应被至少一侦测器220传送的该信号。
步骤314:结束。
根据流程30,当安全启动被执行时,微控制器单元230是否包含有复数个随机字节被(例如启动加载器200)检查。若微控制器单元230不包含有复数个随机字节,信赖平台模块202产生复数个随机字节。在微控制器单元230及至少一硬件中,启动加载器200存储包含有复数个随机字节的信息。至少一侦测器220侦测计算机系统20中的开盖窜改事件。若开盖窜改事件在计算机系统20中发生,至少一侦测器220传送用来触发删除复数个随机字节的信号。在计算机系统20断电(或者计算机系统20遭遇电源故障)的情形下,启动加载器200及作业系统210无法如常执行运作。因此,根据(例如通过使用)电源供应,微控制器单元230可删除被存储在微控制器单元230及至少一硬件中的复数个随机字节,以回应被至少一侦测器220传送的信号。换言之,若开盖窜改事件发生以及计算机系统20被断电,配备有电源供应的微控制器单元230可取代启动加载器200及作业系统210。为了计算机系统20的安全,被存储在微控制器单元230及至少一硬件中的复数个随机字节被微控制器单元230删除。
需注意的是,被信赖平台模块202产生的复数个随机字节不被计算机系统20的外部用户知道(例如获得)。除此之外,即使是计算机系统20的内部开发者也不会知道(例如获得)复数个随机字节。换言之,复数个随机字节不会被计算机系统20的外部用户获得,也不会被计算机系统20的内部开发者获得。此机制可防止计算机系统20被窜改。此外,当开盖窜改事件发生时,微控制器单元230可仅删除被存储在微控制器单元230及至少一硬件中的复数个随机字节。复数个随机字节以外的信息未被涉及,以及可被保留。
在一实施例中,根据被存储在微控制器单元230及至少一硬件中的信息,启动加载器200及作业系统210执行安全启动。也就是说,若在执行安全启动期间,开盖窜改事件未发生,计算机系统20如一般安全启动完成该安全启动。
在一实施例中,若在计算机系统20中,开盖窜改事件未发生,微控制器单元230打乱(scramble)被存储在至少一硬件中的复数个随机字节。也就是说,若在计算机系统20中,开盖窜改事件未发生,安全启动被完成,以及被存储在至少一硬件中的复数个随机字节被微控制器单元230打乱,以防止作业系统210取得复数个随机字节。
在一实施例中,计算机系统20的至少一硬件包含有一平台配置缓存器。平台配置缓存器被包含在信赖平台模块202中。根据复数个随机字节,平台配置缓存器产生第一复数个哈希。在一实施例中,若第一复数个哈希正确,计算机系统20的安全启动被完成。也就是说,若复数个随机字节未被删除(即开盖窜改事件未发生),表示第一复数个哈希为正确的(即信赖平台模块202可根据第一复数个哈希来运作)。因此,信赖平台模块202可运作,使得安全启动可被完成。需注意的是,在安全启动被完成之后,作业系统210可提供服务给计算机系统20的一用户。在一实施例中,若第一复数个哈希不正确,计算机系统20的安全启动失败。也就是说,若复数个随机字节被删除(例如已被窜改),表示第一复数个哈希为不正确的(即信赖平台模块202无法根据第一复数个哈希来运作)。因此,信赖平台模块202无法运作,以及计算机系统20无法运作到作业系统210,导致安全启动失败。
在一实施例中,在使安全启动失败后,根据计算机系统20的一密码(password)及第一复数个哈希,启动加载器200获得用于安全启动的复数个随机字节。在微控制器单元230及至少一硬件中,启动加载器200存储复数个随机字节,以及根据复数个随机字节,恢复安全启动。也就是说,为了恢复因开盖窜改事件而失败的安全启动,若被平台配置缓存器产生的第一复数个哈希正确,从信赖平台模块202,复数个随机字节可被获得。计算机系统20辨识该密码(例如一基本输入/输出系统密码(BIOS password))是从启动加载器200被传送到被包含在信赖平台模块202中的平台配置缓存器,以及允许启动加载器200从信赖平台模块202获得用于安全启动的复数个字节。若计算机系统20辨识该密码不是从启动加载器200被传送(例如从作业系统210被传送),或者若该密码对平台配置缓存器不正确,计算机系统20不允许复数个随机字节被取得,以及安全启动不会被恢复。
在一实施例中,根据复数个随机字节及第二复数个哈希,微控制器单元230与(计算机系统20的)启动加载器200通讯。也就是说,当计算机系统20执行安全启动时,作业系统210未被允许获得复数个随机字节。为了防止作业系统210通过暴力破解(brute-forceattack)取得复数个随机字节,当与启动加载器200建立通讯协定(communicationprotocol)时,微控制器单元230可使用(例如部分的)复数个随机字节及第二复数个哈希。换言之,根据第二复数个哈希的一存在(existence),微控制器单元230可分辨启动加载器200及作业系统210。在一实施例中,第二复数个哈希可与第一复数个哈希相同,以及可包含有复数个SHA-1数值。复数个SHA-1数值可被包含在信赖平台模块202中的平台组态站存器产生,或者可被一软件产生。复数个SHA-1数值可为用于启动加载器200及微控制器单元230互相通讯的信息。在一实施例中,仅通过将一随机字节分为两半,复数个SHA-1数值可被产生,以及根据复数个SHA-1数值的每个SHA-1数值,启动加载器200及微控制器单元230互相确认对方身分。
图4为本发明实施例计算机系统20的安全模式(secure mode)及非安全模式(non-secure mode)的示意图。在一实施例中,启动加载器200传送指令及哈希(例如第二复数个哈希)到微控制器单元230。由于哈希(例如第二复数个哈希)的存在,微控制器单元230可辨识该指令是从启动加载器200被传送。计算机系统20进入一安全模式,以及所有来自启动加载器200的指令(例如包含有取得复数个随机字节)为可用的。在一实施例中,作业系统210传送指令到微控制器单元230。由于缺少哈希,微控制起单元230可辨识该指令是从作业系统210被传送。计算机系统20进入一非安全模式,以及仅有来自作业系统210的特定指令(例如不包含有取得复数个随机字节)为可用的。
本领域的普通技术人员当可依本发明的精神加以结合、修饰或变化以上所述的实施例,而不限于此。前述的陈述、步骤和/或流程(包含建议步骤)可透过模块实现,模块可为硬件、软件、韧体(为硬件装置与计算机指令与资料的结合,且计算机指令与资料属于硬件装置上的只读软件)、电子系统、或上述装置的组合。该装置的一实例可为计算机系统20。
硬件可为类比电路、数位电路和/或混合式电路。例如,硬件可为特定应用集成电路、现场可编程门阵列(FieldProgrammable GateArray,FPGA)、可编程逻辑元件(programmable logic device)、耦接的硬件元件,或上述硬件的组合。在其他实施例中,硬件可为通用处理器(general-purpose processor)、微处理器、控制器、数位信号处理器(digital signal processor,DSP),或上述硬件的组合。
软件可为程序代码的组合、指令的组合和/或函数(功能)的组合,其存储于一存储单元中,例如一计算机可读取介质(computer-readable medium)。举例来说,计算机可读取介质可为用户识别模块、唯读式存储器、快闪存储器、随机存取存储器、光盘只读存储器(CD-ROM/DVD-ROM/BD-ROM)、磁带、硬盘、光学资料存储装置、非易失性存储单元(non-volatile storage unit),或上述元件的组合。计算机可读取介质(如存储单元)可以内建地方式耦接于至少一处理器(如与计算机可读取介质整合的处理器)或以外接地方式耦接于至少一处理器(如与计算机可读取介质独立的处理器)。上述至少一处理器可包含有一或多个模块,以执行计算机可读取介质所存储的软件。程序代码的组合、指令的组合和/或函数(功能)的组合可使至少一处理器、一或多个模块、硬件和/或电子系统执行相关的步骤。
电子系统可为单芯片系统(system on chip,SoC)、系统级封装(systeminpackage,SiP)、嵌入式计算机(computer on module,CoM)、计算机可编程产品、装置、移动电话、笔记型计算机、平板计算机、电子书、便携式计算机系统,以及计算机系统20。
综上所述,本发明提供用在一开盖窜改事件中使一安全启动失败的计算机系统。当在计算机系统的电源故障期间,开盖窜改事件发生时,根据电源供应,微控制器单元删除被存储在微控制器单元及硬件中的随机字节。因此,本领域的问题可被解决。
以上所述仅为本发明的优选实施例,凡依本发明权利要求所做的同等变化与修饰,皆应属于本发明的保护范围。
Claims (18)
1.一种计算机系统,其特征在于,用在一开盖窜改事件中使一安全启动失败,包含有:
一微控制器单元;
一信赖平台模块,若所述微控制器单元未包含有复数个随机字节,用来产生用于所述计算机系统的一安全启动的所述复数个随机字节;
一启动加载器,用来在所述微控制器单元及所述计算机系统的至少一硬件中,存储信息,以及执行所述安全启动,其中所述信息包含有所述复数个随机字节,以及所述信赖平台模块被包含在所述启动加载器中;
一作业系统,用来执行所述安全启动;以及
至少一侦测器,耦接到所述微控制器单元,用来侦测所述计算机系统中的一开盖窜改事件,以及若在所述计算机系统中,所述开盖窜改事件发生,传送用来触发所述复数个随机字节的一删除的一信号;
其中所述微控制器单元执行以下运作:
根据一电源供应,删除被存储在所述微控制器单元及所述至少一硬件中的所述复数个随机字节,使所述安全启动失败,以回应被所述至少一侦测器传送的所述信号。
2.如权利要求1所述的计算机系统,其特征在于,根据被存储在所述微控制器单元及所述至少一硬件中的所述信息,所述启动加载器及所述作业系统执行所述安全启动。
3.如权利要求1所述的计算机系统,其特征在于,所述微控制器单元另执行以下运作:
若在所述计算机系统中,所述开盖窜改事件未发生,打乱被存储在所述至少一硬件中的所述复数个随机字节。
4.如权利要求1所述的计算机系统,其特征在于,所述计算机系统的所述至少一硬件包含有一平台配置缓存器。
5.如权利要求4所述的计算机系统,其特征在于,根据所述复数个随机字节,所述平台配置缓存器产生第一复数个哈希。
6.如权利要求5所述的计算机系统,其特征在于,若所述第一复数个哈希正确,所述计算机系统的所述安全启动被完成,以及若所述第一复数个哈希不正确,所述计算机系统的所述安全启动失败。
7.如权利要求6所述的计算机系统,其特征在于,所述启动加载器另执行以下运作:
在所述开盖窜改事件发生后,根据所述计算机系统的一密码及所述第一复数个哈希,获得用于所述安全启动的所述复数个随机字节;
在所述微控制器单元及所述至少一硬件中,存储所述复数个随机字节;以及
根据所述复数个随机字节,恢复所述安全启动。
8.如权利要求5所述的计算机系统,其特征在于,根据所述复数个随机字节及第二复数个哈希,所述微控制器单元与所述启动加载器通讯。
9.如权利要求8所述的计算机系统,其特征在于,所述第二复数个哈希包含有至少一SHA-1数值。
10.一种在一计算机系统的一开盖窜改事件中使一安全启动失败的方法,其特征在于,包含有:
执行所述计算机系统的一安全启动;
若一微控制器单元不包含有复数个随机字节,产生用于所述安全启动的所述复数个随机字节;
在所述微控制器单元及所述计算机系统的至少一硬件中,存储信息,其中所述信息包含有所述复数个随机字节;
在所述计算机系统中,侦测一开盖窜改事件;
若在所述计算机系统中,所述开盖窜改事件发生,传送用来触发所述复数个随机字节的一删除的一信号;以及
根据一电源供应,删除被存储在所述微控制器单元及所述至少一硬件中的所述复数个随机字节,使所述安全启动失败,以回应被所述至少一侦测器传送的所述信号。
11.如权利要求10所述的方法,其特征在于,根据被存储在所述微控制器单元及所述至少一硬件中的所述信息,所述安全启动被执行。
12.如权利要求10所述的方法,其特征在于,所述方法另包含有:
若在所述计算机系统中,所述开盖窜改事件未发生,所述微控制器单元打乱被存储在所述至少一硬件中的所述复数个随机字节。
13.如权利要求10所述的方法,其特征在于,所述计算机系统的所述至少一硬件包含有一平台配置缓存器。
14.如权利要求13所述的方法,其特征在于,所述方法另包含有:
根据被存储在所述至少一硬件中的所述信息,所述平台配置缓存器产生第一复数个哈希。
15.如权利要求14所述的方法,其特征在于,若所述第一复数个哈希正确,所述计算机系统的所述安全启动被完成,以及若所述第一复数个哈希不正确,所述计算机系统的所述安全启动失败。
16.如权利要求15所述的方法,其特征在于,所述方法另包含有:
在所述开盖窜改事件发生后,根据所述计算机系统的一密码及所述第一复数个哈希,获得用于所述安全启动的所述复数个随机字节;
在所述微控制器单元及所述至少一硬件中,存储所述复数个随机字节;以及
根据所述复数个随机字节,恢复所述安全启动。
17.如权利要求14所述的方法,其特征在于,所述方法另包含有:
根据所述复数个随机字节及第二复数个哈希,与所述计算机系统通讯。
18.如权利要求17所述的方法,其特征在于,所述第二复数个哈希包含有至少一SHA-1数值。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/565,458 | 2021-12-30 | ||
US17/565,458 US20230214492A1 (en) | 2021-12-30 | 2021-12-30 | Computer System for Failing a Secure Boot in a Case Tampering Event |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116415248A true CN116415248A (zh) | 2023-07-11 |
Family
ID=79731026
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210207676.2A Pending CN116415248A (zh) | 2021-12-30 | 2022-03-03 | 在一开盖窜改事件中使一安全启动失败的计算机系统 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20230214492A1 (zh) |
EP (1) | EP4206966A1 (zh) |
CN (1) | CN116415248A (zh) |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030120923A1 (en) * | 2001-12-21 | 2003-06-26 | Avaya Technology Corp. | Secure data authentication apparatus |
US9245113B2 (en) * | 2010-10-22 | 2016-01-26 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Out of band vital product data collection |
WO2013009619A2 (en) * | 2011-07-08 | 2013-01-17 | Openkeak Inc. | System and method for validating components during a booting process |
US8782387B2 (en) * | 2011-12-31 | 2014-07-15 | International Business Machines Corporation | Secure boot of a data breakout appliance with multiple subsystems at the edge of a mobile data network |
US9262342B2 (en) * | 2012-12-20 | 2016-02-16 | Rambus Inc. | Process authenticated memory page encryption |
US20150365227A1 (en) * | 2014-06-11 | 2015-12-17 | International Business Machines Corporation | Shared security utility appliance for secure application and data processing |
-
2021
- 2021-12-30 US US17/565,458 patent/US20230214492A1/en active Pending
-
2022
- 2022-01-18 EP EP22151945.7A patent/EP4206966A1/en active Pending
- 2022-03-03 CN CN202210207676.2A patent/CN116415248A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
TW202326482A (zh) | 2023-07-01 |
US20230214492A1 (en) | 2023-07-06 |
EP4206966A1 (en) | 2023-07-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10516533B2 (en) | Password triggered trusted encryption key deletion | |
CN103718165B (zh) | Bios闪存攻击保护和通知 | |
KR101066727B1 (ko) | 컴퓨팅 장치의 보안 부팅 | |
TWI238357B (en) | Providing a secure execution mode in a pre-boot environment | |
KR101662618B1 (ko) | 단일 신뢰 플랫폼 모듈을 가진 플랫폼 컴포넌트의 측정 | |
US8694763B2 (en) | Method and system for secure software provisioning | |
TW201500960A (zh) | 在配有適用統一可延伸韌體介面(uefi)之韌體之計算裝置中的安全性變數變化檢測技術 | |
EP2727040B1 (en) | A secure hosted execution architecture | |
EP3458999A1 (en) | Self-contained cryptographic boot policy validation | |
JP2009521020A (ja) | 高リスクアプリケーション用の実用的プラットフォーム | |
CN107679425B (zh) | 一种基于固件和USBkey的联合全盘加密的可信启动方法 | |
Ruan et al. | Boot with integrity, or don’t boot | |
JP4724107B2 (ja) | リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ | |
Safford et al. | Take control of TCPA | |
US11960737B2 (en) | Self-deploying encrypted hard disk, deployment method thereof, self-deploying encrypted hard disk system and boot method thereof | |
CN116415248A (zh) | 在一开盖窜改事件中使一安全启动失败的计算机系统 | |
TWI844823B (zh) | 在一開蓋竄改事件中使一安全啟動失敗的電腦系統和方法 | |
TWI841919B (zh) | 在一開蓋竄改事件中使一安全啟動失敗的電腦系統 | |
CN116415249A (zh) | 在一开盖窜改事件中使一安全启动失败的计算机系统 | |
Muramoto et al. | Improving Hardware Security on Talos II Architecture Through Boot Image Encryption | |
CN111357003A (zh) | 预操作系统环境中的数据保护 | |
CN116089967B (zh) | 数据防回滚方法和电子设备 | |
Holoubková | Rešerše a ukázka zabezpečení platformy (TPM) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |