CN116679967B - 一种基本输入输出系统固件升级方法和装置 - Google Patents

一种基本输入输出系统固件升级方法和装置 Download PDF

Info

Publication number
CN116679967B
CN116679967B CN202310943199.0A CN202310943199A CN116679967B CN 116679967 B CN116679967 B CN 116679967B CN 202310943199 A CN202310943199 A CN 202310943199A CN 116679967 B CN116679967 B CN 116679967B
Authority
CN
China
Prior art keywords
output system
basic input
reference value
firmware
file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310943199.0A
Other languages
English (en)
Other versions
CN116679967A (zh
Inventor
谭钰琦
王淑贤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN202310943199.0A priority Critical patent/CN116679967B/zh
Publication of CN116679967A publication Critical patent/CN116679967A/zh
Application granted granted Critical
Publication of CN116679967B publication Critical patent/CN116679967B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)

Abstract

本发明实施例提供了一种基本输入输出系统固件升级方法和装置,涉及基本输入输出系统固件升级技术领域,通过获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;基于所述基准值文件升级所述基本输入输出系统固件,从而实现了提高针对基本输入输出系统固件升级的安全性和可靠性。

Description

一种基本输入输出系统固件升级方法和装置
技术领域
本发明涉及基本输入输出系统固件升级技术领域,特别是涉及一种基本输入输出系统固件升级方法、一种基本输入输出系统固件升级装置、一种电子设备以及一种计算机可读存储介质。
背景技术
随着服务器技术的快速发展,服务器的易用性、性能及功能都在不断增强。而随着服务器起到越来越重要的作用,服务器的安全性也成为了不可忽视的一部分。
在实际应用中,BIOS是英文“Basic Input Output System”的缩略词,直译过来后中文名称就是“基本输入输出系统”,是一种业界标准的固件接口,BIOS是一组固化到计算机内主板上一个ROM芯片上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,
CMOS是Complementary Metal Oxide Semiconductor(互补金属氧化物半导体)的缩写,它是指制造大规模集成电路芯片用的一种技术或用这种技术制造出来的芯片,是电脑主板上的一块可读写的RAM芯片。
BIOS可从CMOS中读写系统设置的具体信息。BIOS主要功能是为计算机提供最底层的、最直接的硬件设置和控制。此外,BIOS还向作业系统提供一些系统参数。系统硬件的变化是由BIOS隐藏,程序使用BIOS功能而不是直接控制硬件。现代作业系统会忽略BIOS提供的抽象层并直接控制硬件组件。当今,此系统已成为一些病毒木马的目标。一旦此系统被破坏,其后果不堪设想。
所以,如何提升BIOS固件在升级过程中的安全性成为了本领域技术人员需要克服的技术问题。
发明内容
本发明实施例是提供一种基本输入输出系统固件升级方法、装置、电子设备以及计算机可读存储介质,以解决如何提升BIOS固件在升级过程中的安全性的问题。
本发明实施例公开了一种基本输入输出系统固件升级方法,所述方法应用于搭载有基本输入输出系统的电子设备,所述电子设备配置有对应的安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,可以包括:
获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;
将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;
基于所述基准值文件升级所述基本输入输出系统固件。
可选地,所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件。
可选地,所述安全管理平台还用于生成针对所述基准值文件的更新证书。
可选地,所述电子设备配置有受信任平台模块,所述基于所述基准值文件升级所述基本输入输出系统固件的步骤包括:
控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;
当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件。
可选地,所述电子设备配置有基板管理控制器,所述电子设备搭载有基本输入输出系统,所述控制所述安全管理平台向所述受信任平台模块导入所述基准值文件的步骤包括:
控制所述安全管理平台向所述基板管理控制器发送所述基准值文件;所述基板管理控制器用于将所述基准值文件导入所述基本输入输出系统;所述基本输入输出系统用于将所述基准值文件转发至所述受信任平台模块。
可选地,还包括:
控制所述安全管理平台向所述基板管理控制器导入所述更新证书。
可选地,还包括:
调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;
当所述校验结果符合预设校验标准时,执行所述升级所述基本输入输出系统固件的步骤。
可选地,还包括:
当所述校验结果不符合预设校验标准时,调用所述受信任平台模块将所述校验结果发送至所述基板管理控制器。
可选地,所述基本输入输出系统固件包括多个固件卷,所述升级所述基本输入输出系统固件的步骤包括:
生成针对所述固件卷的度量结果;
生成针对所述度量结果和所述基准值的比对结果;
当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统。
可选地,还包括:
向所述基板管理控制器发送确认字符。
可选地,还包括:
当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息。
可选地,所述电子设备为服务器。
本发明实施例还公开了一种基本输入输出系统固件升级方法,所述方法应用于安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,所述安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,所述电子设备用于获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台,包括:
通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
可选地,所述通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件的步骤包括:
采用预设算法对所述二进制文件bin和所述只读储存器布局信息度量,生成针对所述基本输入输出系统固件的基准值文件。
本发明实施例还公开了一种基本输入输出系统固件升级装置,所述装置应用于搭载有基本输入输出系统的电子设备,所述电子设备配置有对应的安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,包括:
初始文件获取模块, 用于获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;
初始文件发送模块, 用于将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;
固件升级模块, 用于基于所述基准值文件升级所述基本输入输出系统固件。
可选地,所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件。
可选地,所述安全管理平台还用于生成针对所述基准值文件的更新证书。
可选地,所述固件升级模块包括:
基准值导入子模块,用于控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;
固件升级子模块,用于当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件。
可选地,所述电子设备搭载有基本输入输出系统,所述电子设备配置有基板管理控制器,所述基准值导入子模块包括:
基准值导入单元,用于控制所述安全管理平台向所述基板管理控制器发送所述基准值文件;所述基板管理控制器用于将所述基准值文件导入所述基本输入输出系统;所述基本输入输出系统用于将所述基准值文件转发至所述受信任平台模块。
可选地,还包括:
更新证书导入单元,用于控制所述安全管理平台向所述基板管理控制器导入所述更新证书。
可选地,还包括:
证书验证模块,用于调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;
基准值导入单元调用模块,用于当所述校验结果符合预设校验标准时,调用所述固件升级子模块。
可选地,还包括:
校验结果发送模块,用于当所述校验结果不符合预设校验标准时,调用所述受信任平台模块将所述校验结果发送至所述基板管理控制器。
可选地,所述基本输入输出系统固件包括多个固件卷,所述固件升级子模块包括:
度量结果生成单元,用于生成针对所述固件卷的度量结果;
比对结果生成单元,用于生成针对所述度量结果和所述基准值的比对结果;
固件升级单元,用于当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统。
可选地,还包括:
确认字符发送单元,用于向所述基板管理控制器发送确认字符。
可选地,还包括:
告警信息发送单元,用于当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息。
可选地,所述电子设备为服务器。
本发明实施例还公开了一种基本输入输出系统固件升级装置,所述装置应用于安全管理平台,所述安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,所述电子设备用于获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台,包括:
基准值文件生成模块,用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
本发明实施例还公开了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行存储器上所存放的程序时,实现如本发明实施例所述的方法。
本发明实施例还公开了一种计算机可读存储介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如本发明实施例所述的方法。
本发明实施例包括以下优点:
本发明实施例,通过获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;基于所述基准值文件升级所述基本输入输出系统固件,从而实现了提高针对基本输入输出系统固件升级的安全性和可靠性。
附图说明
图1是本发明实施例一中提供的一种基本输入输出系统固件升级方法的步骤流程图;
图2是本发明实施例一中提供的一种基本输入输出系统固件升级方法的数据交互时序示意图;
图3是本发明实施例一中提供的一种基本输入输出系统更新流程图;
图4是本发明实施例一中提供的一种基本输入输出系统开机流程图;
图5是本发明实施例二中提供的一种基本输入输出系统固件升级方法的步骤流程图;
图6是本发明实施例三中提供的一种基本输入输出系统固件升级装置的结构框图;
图7是本发明实施例四中提供的一种基本输入输出系统固件升级装置的结构框图;
图8是本发明实施例中提供的一种电子设备的硬件结构框图;
图9是本发明实施例中提供的一种计算机可读介质的示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
当前已有一些技术对服务器引导的OS(Operating System,又称操作系统,是一组主管并控制计算机操作、运用和运行硬件、软件资源和提供公共服务来组织用户交互的相互关联的系统软件程序)、BIOS刷新时进行校验,但仅在刷新时校验无法对烧录BIOS进行防范,由于BIOS并非完全是一个整体,内部还分布了很多的FV(firmware volume,又称固件卷,指在固件设备上的一个连续部分)用来存放BIOS执行的代码和Key(又称密钥),如果仅对部分FV进行攻击而保留了Key的部分,BIOS就可能被恶意篡改,本发明提供了一种基本输入输出系统固件升级方法,通过生成基准值文件,从而使针对基本输入输出系统固件升级的安全性得到提升。
为使本领域技术人员更好地理解本发明实施例,以下对本发明实施例所涉及的部分技术名词进行说明。
TPM(Trusted Platform Module)又称受信任平台模块,是一种植于计算机内部为计算机提供可信根的芯片;
BIOS: Basic Input Output System 基本输入输出系统;
BMC: Baseboard Management Controller 基板管理控制器。
实施例一
参照图1,示出了本发明实施例一中提供的一种基本输入输出系统固件升级方法的步骤流程图,具体可以包括如下步骤:
步骤101,获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;
步骤102,将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;
步骤103,基于所述基准值文件升级所述基本输入输出系统固件。
在实际应用中,本发明实施例可以应用于搭载有基本输入输出系统的电子设备,本发明实施例中的电子设备可以配置有对应的安全管理平台,示例性地,基本输入输出系统可以为BIOS,电子设备可以为搭载有BIOS的电子设备,包括但不限于计算机或服务器等,为进一步保证BIOS固件升级时的安全性,安全管理平台可以为与电子设备对应的一套系统,该系统可以搭载于电子设备以外的其他设备中。
在具体实现中,本发明实施例可以获取针对基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将二进制文件bin和只读储存器布局信息发送至安全管理平台;安全管理平台用于通过二进制文件bin和只读储存器布局信息生成针对基本输入输出系统固件的基准值文件;基于基准值文件升级基本输入输出系统固件,示例性地,当电子设备为搭载有BIOS的电子设备,可以获取BIOS固件的二进制bin和只读储存器布局信息,其中,二进制bin可以为BIOS固件对应的bin文件(binary,又称二进制文件,是一种文件格式,常用于虚拟光盘文件),只读储存器布局信息可以为针对BIOS的Rom Layout信息,其中,RomLayout(read-only memory layout)又称只读储存器布局,表示只读储存器内部的区域分配情况,例如FV的名称、地址和占用空间大小等,当获取到针对BIOS固件对应的bin文件和Rom Layout信息,则可以将BIOS固件对应的bin文件和Rom Layout信息发送至安全管理平台,安全管理平台可以用于基于Rom Layout信息对bin文件进行拆解和度量,生成针对BIOS固件的基准值文件,然后,可以BIOS可以接收基准值文件,并基于基准值文件对BIOS固件进行升级。
在实际应用中,基准值是充当度量值的一个一致认可的基准,是具有代表性和参照价值的数值,基准值文件通常作为比较或衡量其他相关数据的标准,帮助分析和评估不同情况,基于基准值文件升级基本输入输出系统固件,可以有效的验证基本输入输出系统固件的安全性,示例性地,可以通过TPM基于基准值文件对BIOS的各个FV进行度量和校验,实现对BIOS的保护。
本发明实施例,通过获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;基于所述基准值文件升级所述基本输入输出系统固件,从而实现了提高针对基本输入输出系统固件升级的安全性和可靠性。
在上述实施例的基础上,提出了上述实施例的变型实施例,在此需要说明的是,为了使描述简要,在变型实施例中仅描述与上述实施例的不同之处。
在本发明的一个可选地实施例中,所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件。
在实际应用中,BIOS的储存机制为分区块存储,所以,为保证BIOS在启动时能够读取基准值文件,在具体实现中,本发明实施例中的安全管理平台可以基于只读储存器布局信息Rom Layout拆解二进制文件bin,并采用预设算法对二进制文件bin布局信息度量,生成针对基本输入输出系统固件的基准值文件,示例性地,当基本输入输出系统为BIOS,二进制文件bin为BIOS固件对应的bin文件,只读储存器布局信息为BIOS固件对应的Rom Layout信息时,其中,Rom Layout信息可以包括BIOS中FV的名称、地址和占用空间大小等信息,安全管理平台可以基于只读储存器布局信息拆解二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对BIOS固件的基准值文件,其中,预设算法可以包括SHA256(Secure Hash Algorithm 256,又称安全散列算法256,一种使用的哈希值长度为256位的算法,美国国家标准与技术研究院(NIST) 发布的一种密码散列函数)、SHA512(SecureHash Algorithm 512,又称安全散列算法512,美国国家标准与技术研究院(NIST) 发布的一种密码散列函数)、SM3算法(又称密码杂凑算法,一种密码散列函数标准,也是一种哈希算法,由国家密码管理局于2010年12月17日发布),当然,上述仅作为示例,本领域技术人员可以采用其他算法作为预设算法对二进制文件bin和只读储存器布局信息度量,包括但不限于其他密码算法,对此,本发明实施例不作限制。
在实际应用中,哈希算法是一种高效的算法,采用哈希算法进行度量查找,具有时间复杂度低的优点,即查找时间受数据规模影响不大,且效率高,易于实现操作,因此,采用哈希算法作为预设算法对二进制文件bin和只读储存器布局信息度量,可以有效提高度量的效率,确保了后续生成的基准值文件高效可靠。
本发明实施例,通过令所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件,从而实现了提高基准值文件的可靠性,同时也提升了度量过程的效率。
在本发明的一个可选地实施例中,所述安全管理平台还用于生成针对所述基准值文件的更新证书。
在具体实现中,本发明实施例中安全管理平台还可以用于生成针对基准值文件的更新证书,并储存该更新证书,示例性地,当电子设备为搭载有BIOS的电子设备,可以获取BIOS固件的二进制bin和只读储存器布局信息,其中,二进制bin可以为BIOS固件对应的bin文件(binary,又称二进制文件,是一种文件格式,常用于虚拟光盘文件),只读储存器布局信息可以为针对BIOS的Rom Layout信息,其中,Rom Layout(read-only memory layout)又称只读储存器布局,表示只读储存器内部的区域分配情况,例如FV的名称、地址和占用空间大小等,当获取到针对BIOS固件对应的bin文件和Rom Layout信息,则可以将BIOS固件对应的bin文件和Rom Layout信息发送至安全管理平台,安全管理平台可以用于通过BIOS固件对应的bin文件和Rom Layout信息生成针对BIOS固件的基准值文件,然后,可以采用安全管理平台生成针对基准值文件的更新证书,更新证书后续可以用于对基准值文件进行数字签名校验。
在实际应用中,借助数字签名可以保证基本输入输出系统升级的安全性。
本发明实施例,通过令所述安全管理平台还用于生成针对所述基准值文件的更新证书,从而进一步地提高了针对基本输入输出系统固件升级的安全性。
在本发明的一个可选地实施例中,所述基于所述基准值文件升级所述基本输入输出系统固件的步骤包括:
控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;
当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件。
在具体实现中,本发明实施例可以为电子设备配置受信任平台模块TPM,TPM(Trusted Platform Module)又称受信任平台模块,是一种植于计算机内部为计算机提供可信根的芯片,并控制安全管理平台向受信任平台模块TPM导入基准值文件,以使TPM可以基于基准值文件获取基准值;当检测到受信任平台模块存在基准值后,则可以基于该基准值升级所述基本输入输出系统固件,示例性地,当电子设备为搭载有BIOS的电子设备时,可以获取BIOS固件的二进制bin和只读储存器布局信息,其中,二进制bin可以为BIOS固件对应的bin文件(binary,又称二进制文件,是一种文件格式,常用于虚拟光盘文件),只读储存器布局信息可以为针对BIOS的Rom Layout信息,其中,Rom Layout(read-only memorylayout)又称只读储存器布局,表示只读储存器内部的区域分配情况,例如FV的名称、地址和占用空间大小等,当获取到针对BIOS固件对应的bin文件和Rom Layout信息,则可以将BIOS固件对应的bin文件和Rom Layout信息发送至安全管理平台,安全管理平台可以用于通过BIOS固件对应的bin文件和Rom Layout信息生成针对BIOS固件的基准值文件,然后,安全管理平台可以将基准值文件导入TPM,BIOS在检测到TPM存在基准值时,则可以生成针对基准值的校验结果,校验结果可以用于判断BIOS固件的升级是否符合预设规定。
本发明实施例,基于控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件,从而实现了在对升级基本输入输出系统固件之后进行验证,提高了针对基本输入输出系统固件升级的安全性。
在本发明的一个可选地实施例中,所述电子设备搭载有基本输入输出系统,所述电子设备配置有基板管理控制器,所述控制所述安全管理平台向所述受信任平台模块导入所述基准值文件的步骤包括:
控制所述安全管理平台向所述基板管理控制器发送所述基准值文件;所述基板管理控制器用于将所述基准值文件导入所述基本输入输出系统;所述基本输入输出系统用于将所述基准值文件转发至所述受信任平台模块。
在实际应用中,本发明实施例中的电子设备可以配置有基板管理控制器,基板管理控制器可以为BMC(Baseboard Management Controller,又称基板管理控制器)BMC作为“管家”角色,监控整个服务器的工作状态。其在服务器AC上电起即开始运行,由于运行在服务器一款单独的芯片上,其运行状态独立于服务器主系统。可管理服务器的上、下电,并在任何部件出现异常时做相应的调节工作并进行告警,BMC是嵌入在计算机,通常是服务器主板上的专用微控制器,BMC负责管理系统管理软件和平台硬件之间的接口,简而言之,BMC就是嵌入到服务器主板上的一块独立处理器,通过等各种接口收集与主机内部的其他软硬件组件进行通信,并通过接口向本地主机/远程服务器提供查询和控制功能,BMC是一个独立的系统,不依赖于系统上的其他硬件,如内存和CPU(Central Processing Unit,又称中央处理器),也不依赖于BIOS,但可以和BIOS进行交互,起到更好的平台管理作用。
参考图2,图2是本发明实施例一中提供的一种基本输入输出系统固件升级方法的数据交互时序示意图;
在具体实现中,本发明实施例可以控制安全管理平台向基板管理控制器发送基准值文件,基板管理控制器BMC可以将基准值文件导入基本输入输出系统BIOS,基本输入输出系统BIOS可以将基准值文件转发至受信任平台模块,从而实现自动将基准值文件自动导入TPM,进而提升了BIOS固件的升级效率。
在本发明的一个可选实施例中,本发明实施例可以控制所述安全管理平台向所述基板管理控制器导入所述更新证书,示例性地,安全管理平台可以将更新证书发送至BMC,BMC可以将更新证书存储于基板管理控制器的BMC EEPROM (Electrically ErasableProgrammable read only memory)是指带电可擦可编程只读存储器中。
本发明实施例,通过控制所述安全管理平台向所述基板管理控制器导入所述更新证书,从而为后续自动基于更新证书执行签名认证提供了先决条件。
在本发明的一个可选地实施例中,还包括:
调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;
当所述校验结果符合预设校验标准时,执行所述升级所述基本输入输出系统固件的步骤。
示例性地,当基本输入输出系统为BIOS,电子设备为搭载有BIOS的电子设备,基板管理控制器为电子设备所配置的BMC时,预设校验证书可以是TPM中预存放的证书,BIOS可以从BMC EEPROM中获取更新证书,同时,可以从TPM中获取预存于TPM的预设校验证书,BIOS可以采用预设校验证书校验更新证书,并生成校验结果,并在校验结果符合预设校验标准时,升级BIOS固件。
本发明实施例,通过调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;当所述校验结果符合预设校验标准时,执行所述升级所述基本输入输出系统固件的步骤,从而实现了在导入基准之前先行验证证书,从而进一步加强了基本输入输出系统固件升级的安全性。
在本发明的一个可选地实施例中,还包括:
当所述校验结果不符合预设校验标准时,调用所述受信任平台模块将所述校验结果发送至所述基板管理控制器。
在具体实现中,本发明实施例可以在当校验结果不符合预设校验标准时,调用受信任平台模块将校验结果发送至基板管理控制器,示例性地,当基本输入输出系统为BIOS,电子设备为搭载有BIOS的电子设备,基板管理控制器为电子设备所配置的BMC时,预设校验标准可以是TPM中存放的证书,可以将更新证书和TPM中存放的证书进行验证,并生成校验结果,若校验结果不符合预设校验标准,则可以调用TMP将校验结果发送至BMC。
本发明实施例,通过在当所述校验结果不符合预设校验标准时,调用所述安全管理平台将所述校验结果发送至所述基板管理控制器,实现了将不符合预设校验标准的校验结果在不依赖BIOS的情况下进行管理交互,从而进一步加强了基本输入输出系统固件升级的安全性。
在本发明的一个可选地实施例中,所述升级所述基本输入输出系统固件的步骤包括:
生成针对所述固件卷的度量结果;
生成针对所述度量结果和所述基准值的比对结果;
当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统。
在实际应用中,本发明实施例中的基本输入输出系统固件BIOS可以包括多个固件卷,固件卷可以是FV。
参考图2,示例性地,当基本输入输出系统为BIOS,电子设备为搭载有BIOS的电子设备,基板管理控制器为电子设备所配置的BMC,时,可以在BIOS启动时,采用TPM对固件卷FV进行度量,生成针对固件卷FV的度量结果,BIOS可以将度量结果和基准值进行对比,生成比对结果,若比对结果符合预设标准,则可以完成对BIOS固件升级,并启动BIOS,优选地,在对FV进行度量的过程中,除了对重要FV进行度量,也可以通过客户证书对客户定制的FV进行度量,以保护客户重要信息。
本发明实施例,通过生成针对所述固件卷的度量结果;生成针对所述度量结果和所述基准值的比对结果;当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统,从而实现了对固件卷的度量结果进行比对,提高了对信息的保护,使基本输入输出系统固件升级可靠性得到提升。
在本发明的一个可选地实施例中,还包括:
向所述基板管理控制器发送确认字符。
在具体实现中,本发明实施例可以向基板管理控制器发送确认字符,示例性地,当基本输入输出系统为BIOS,电子设备为搭载有BIOS的电子设备,基板管理控制器为电子设备所配置的BMC时,可以在BIOS启动时,采用TPM对固件卷FV进行度量,生成针对固件卷FV的度量结果,BIOS可以将度量结果和基准值进行对比,生成比对结果,若比对结果符合预设标准,则可以向BMC发送确认字符,确认字符可以为ACK信息,可以用于通知BMC校验通过,其中,ACK(Acknowledge character,又称确认字符)是指在数据通信中,接收站发给发送站的一种传输类控制字符,可以实现在验证通过的情况下及时进行反馈,可以保证数据的可靠传输,避免数据丢失或重复传输的情况发生。
本发明实施例,通过向所述基板管理控制器发送确认字符,从而实现了针对验证通过的情况进行及时反馈,保证数据可靠传输,避免数据丢失或者重复传输,提高了基本输入输出系统固件升级可靠性和效率。
在本发明的一个可选地实施例中,还包括:
当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息。
在具体实现中,本发明实施例中当比对结果不符合预设标准时,可以向基板管理控制器发送告警信息,示例性地,当基本输入输出系统为BIOS,电子设备为搭载有BIOS的电子设备,基板管理控制器为电子设备所配置的BMC时,可以在BIOS启动时,采用TPM对固件卷FV进行度量,生成针对固件卷FV的度量结果,BIOS可以将度量结果和基准值进行对比,生成比对结果,若比对结果不符合预设标准,则可以向BMC发送告警信息,进一步地,可以基于告警信息采取相应预设行为对服务器进行保护。
本发明实施例,通过当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息,从而实现了在检验到系统有可能被攻击时及时告警,缩短了采取保护措施的响应时间,进一步地提高了基本输入输出系统固件升级的安全性。
可选地,电子设备可以为服务器。
为使本领域技术人员更好地理解本发明实施例,以下用一完整示例对本发明实施例进行说明。
随着服务器技术的快速发展,易用性,性能及功能都在不断增强。而随着服务器起到越来越重要的作用,以及一些严重安全漏洞事件的发生,服务器安全也成为不可忽视的一部分。当前已有一些技术对服务器引导的OS、BIOS刷新时进行校验,但仅在刷新时校验无法对烧录BIOS进行防范。由于BIOS并非完全是一个整体,内部还分布了很多的FV用来存放BIOS执行的代码和Key,如果仅对部分FV进行攻击而保留了Key的部分,BIOS就可能被恶意篡改。
参照图3,图3示出了本发明实施例一中提供的一种基本输入输出系统更新流程图;
提前将BIOS bin和Rom Layout发送给安全管理平台进行FV拆分,拆分后使用SHA256、SHA512、SM3等算法对FV进行度量,并将度量值文件使用证书进行签名。该度量值和证书由BMC导入,存放在BMC EEPROM中。在下次BIOS启动时,BIOS从BMC获取出证书和度量值信息,经过校验后存放入TPM中。并在后面的启动过程中通过TPM对BIOS各个FV进行度量,并将度量值与TPM中存放的信息进行对比校验。若校验不通过则发送告警信息给BMC,并将执行相应的处理措施。若校验通过则发送ACK信息通知BMC校验通过。
参考图4,图4示出了本发明实施例一中提供的一种基本输入输出系统开机流程图;
具体流程如下:
BIOS提供Bin与Rom Layout给安全管理平台;
安全管理平台对BIOS Bin进行拆解,度量,生成基准值文件,并通过证书进行签名;
通过BMC在刷新BIOS时同时导入基准值,若证书有更新也同步进行更新;
服务器开机时BIOS检测BMC是否有更新证书和基准值;
若有更新,则使用TPM中的证书对导入证书和基准值进行验证,若没有则跳转至将各FV度量结果与TPM存放基准值对比,若通过则正常启动,若不通过则向BMC发送告警信息,且采取相应预设行为对服务器进行保护;
若验证通过则由BIOS将更新的证书和基准值导入TPM,若失败则将验证结果告知BMC,不导入文件;
BIOS启动时将各FV通过TPM进行度量;
然后,将各FV度量结果与TPM存放基准值对比,若通过则正常启动,若不通过则向BMC发送告警信息,且采取相应预设行为对服务器进行保护;
具体地,将BIOS bin和Rom Layout发送给安全管理平台进行FV拆分,拆分后使用SHA256、SHA512、SM3等算法对FV进行度量,并将度量值文件使用证书进行签名。该度量值和证书由BMC导入,存放在BMC EEPROM中。在下次BIOS启动时,BIOS从BMC获取出证书和度量值信息,经过校验后存放入TPM中。并在后面的启动过程中通过TPM对BIOS各个FV进行度量,并将度量值与TPM中存放的信息进行对比校验。若校验不通过则发送告警信息给BMC,并将执行相应的处理措施。若校验通过则发送ACK信息通知BMC校验通过。
本发明实施例,可以令客户仅需要在更新BIOS时增加更新度量值文件给BMC,操作简单,并且除BIOS必须度量的重要FV外,也可以使用客户证书对客户定制FV内容进行度量,保护客户重要信息,同时,由于BIOS Flash中某些如NVram(Non-Volatile Random AccessMemory,又称不易丢失数据存储器)信息随着代码执行会发生改变,无法每次开机时对整个BIOS Rom进行整体度量。每次开机时对各FV进行度量可以最大程度上保证BIOS的安全性,相较于部分仅在BIOS刷新时设计的安全功能,在BIOS执行时每次进行安全度量可以保证即使使用非常规手段刷新BIOS Flash(BIOS闪存)也可以有效地对BIOS进行保护,基于目前服务器已有设备增添功能,无需额外硬件设备支持,方便部署使用。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
实施例二
参照图5,示出了本发明实施例二中提供的一种基本输入输出系统固件升级方法的步骤流程图,具体可以包括如下步骤:
步骤401,通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
在具体实现中,本发明实施例可以应用于安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,电子设备用于获取针对基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将二进制文件bin和只读储存器布局信息发送至安全管理平台。
对于实施例二而言,由于其与实施例一基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
实施例三
参照图6,示出了本发明实施例三中提供的一种基本输入输出系统固件升级装置的结构框图,具体可以包括如下模块:
初始文件获取模块501, 用于获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;
初始文件发送模块502, 用于将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;
固件升级模块503, 用于基于所述基准值文件升级所述基本输入输出系统固件。
可选地,所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件。
可选地,所述安全管理平台还用于生成针对所述基准值文件的更新证书。
可选地,所述固件升级模块包括:
基准值导入子模块,用于控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;
固件升级子模块,用于当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件。
可选地,所述电子设备配置有基板管理控制器,所述基准值导入子模块包括:
基准值导入单元,用于控制所述安全管理平台向所述基板管理控制器发送所述基准值文件;所述基板管理控制器用于将所述基准值文件导入基本输入输出系统;所述基本输入输出系统用于将所述基准值文件转发至所述受信任平台模块。
可选地,还包括:
更新证书导入单元,用于控制所述安全管理平台向所述基板管理控制器导入所述更新证书。
可选地,还包括:
证书验证模块,用于调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;
基准值导入单元调用模块,用于当所述校验结果符合预设校验标准时,调用所述基准值导入单元。
可选地,还包括:
校验结果发送模块,用于当所述校验结果不符合预设校验标准时,调用所述安全管理平台将所述校验结果发送至所述基板管理控制器。
可选地,所述基本输入输出系统固件包括多个固件卷,所述固件升级子模块包括:
度量结果生成单元,用于生成针对所述固件卷的度量结果;
比对结果生成单元,用于生成针对所述度量结果和所述基准值的比对结果;
固件升级单元,用于当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统。
可选地,还包括:
确认字符发送单元,用于向所述基板管理控制器发送确认字符。
可选地,还包括:
告警信息发送单元,用于当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息。
可选地,所述电子设备为服务器。
在具体实现中,本发明实施例可以应用于搭载有基本输入输出系统的电子设备,所述电子设备配置有对应的安全管理平台。
实施例四
参照图7,示出了本发明实施例四中提供的一种基本输入输出系统固件升级装置的结构框图,具体可以包括如下模块:
基准值文件生成模块601,用于通过所述二进制文件bin和所述只读储存器布局信息生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
在具体实现中,本发明实施例可以应用于安全管理平台,所述安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,所述电子设备用于获取针对所述基本输入输出系统固件的二进制文件bin和只读储存器布局信息;将所述二进制文件bin和所述只读储存器布局信息发送至所述安全管理平台。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
另外,本发明实施例还提供了一种电子设备,包括:处理器,存储器,存储在存储器上并可在处理器上运行的计算机程序,该计算机程序被处理器执行时实现上述基本输入输出系统固件升级方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述基本输入输出系统固件升级方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(RandomAccess Memory,简称RAM)、磁碟或者光盘等。
图8为实现本发明各个实施例的一种电子设备的硬件结构示意图。
该电子设备700包括但不限于:射频单元701、网络模块702、音频输出单元703、输入单元704、传感器705、显示单元706、用户输入单元707、接口单元708、存储器709、处理器710、以及电源711等部件。本领域技术人员可以理解,图7中示出的电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。在本发明实施例中,电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载终端、可穿戴设备、以及计步器等。
应理解的是,本发明实施例中,射频单元701可用于收发信息或通话过程中,信号的接收和发送,具体的,将来自基站的下行数据接收后,给处理器710处理;另外,将上行的数据发送给基站。通常,射频单元701包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元701还可以通过无线通信系统与网络和其他设备通信。
电子设备通过网络模块702为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元703可以将射频单元701或网络模块702接收的或者在存储器709中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元703还可以提供与电子设备700执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元703包括扬声器、蜂鸣器以及受话器等。
输入单元704用于接收音频或视频信号。输入单元704可以包括图形处理器(Graphics Processing Unit,GPU)7041和麦克风7042,图形处理器7041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元706上。经图形处理器7041处理后的图像帧可以存储在存储器709(或其它存储介质)中或者经由射频单元701或网络模块702进行发送。麦克风7042可以接收声音,并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元701发送到移动通信基站的格式输出。
电子设备700还包括至少一种传感器705,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板7061的亮度,接近传感器可在电子设备700移动到耳边时,关闭显示面板7061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器705还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元706用于显示由用户输入的信息或提供给用户的信息。显示单元706可包括显示面板7061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode, OLED)等形式来配置显示面板7061。
用户输入单元707可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元707包括触控面板7071以及其他输入设备7072。触控面板7071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板7071上或在触控面板7071附近的操作)。触控面板7071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器710,接收处理器710发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板7071。除了触控面板7071,用户输入单元707还可以包括其他输入设备7072。具体地,其他输入设备7072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
进一步的,触控面板7071可覆盖在显示面板7061上,当触控面板7071检测到在其上或附近的触摸操作后,传送给处理器710以确定触摸事件的类型,随后处理器710根据触摸事件的类型在显示面板7061上提供相应的视觉输出。虽然在图7中,触控面板7071与显示面板7061是作为两个独立的部件来实现电子设备的输入和输出功能,但是在某些实施例中,可以将触控面板7071与显示面板7061集成而实现电子设备的输入和输出功能,具体此处不做限定。
接口单元708为外部装置与电子设备700连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元708可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到电子设备700内的一个或多个元件或者可以用于在电子设备700和外部装置之间传输数据。
存储器709可用于存储软件程序以及各种数据。存储器709可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器709可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器710是电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器709内的软件程序和/或模块,以及调用存储在存储器709内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。处理器710可包括一个或多个处理单元;优选的,处理器710可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器710中。
电子设备700还可以包括给各个部件供电的电源711(比如电池),优选的,电源711可以通过电源管理系统与处理器710逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
另外,电子设备700包括一些未示出的功能模块,在此不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
如图9所示,在本发明提供的又一实施例中,还提供了一种计算机可读存储介质801,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中所述的基本输入输出系统固件升级方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
本领域普通技术人员可以意识到,结合本发明实施例中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (18)

1.一种基本输入输出系统固件升级方法,其特征在于,所述方法应用于搭载有基本输入输出系统的电子设备,所述电子设备配置有对应的安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,包括:
获取针对所述基本输入输出系统固件的二进制文件和只读储存器布局信息;
将所述二进制文件和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件;
基于所述基准值文件升级所述基本输入输出系统固件。
2.根据权利要求1所述的方法,其特征在于,所述安全管理平台还用于生成针对所述基准值文件的更新证书。
3.根据权利要求2所述的方法,其特征在于,所述电子设备配置有受信任平台模块,所述基于所述基准值文件升级所述基本输入输出系统固件的步骤包括:
控制所述安全管理平台向所述受信任平台模块导入所述基准值文件;所述受信任平台模块用于基于所述基准值文件获取基准值;
当检测到所述受信任平台模块存在所述基准值时,升级所述基本输入输出系统固件。
4.根据权利要求3所述的方法,其特征在于,所述电子设备搭载有基本输入输出系统,所述电子设备配置有基板管理控制器,所述控制所述安全管理平台向所述受信任平台模块导入所述基准值文件的步骤包括:
控制所述安全管理平台向所述基板管理控制器发送所述基准值文件;所述基板管理控制器用于将所述基准值文件导入所述基本输入输出系统;所述基本输入输出系统用于将所述基准值文件转发至所述受信任平台模块。
5.根据权利要求4所述的方法,其特征在于,还包括:
控制所述安全管理平台向所述基板管理控制器导入所述更新证书。
6.根据权利要求5所述的方法,其特征在于,还包括:
调用预存于所述受信任平台模块的预设校验证书验证所述更新证书,并生成校验结果;
当所述校验结果符合预设校验标准时,执行所述升级所述基本输入输出系统固件的步骤。
7.根据权利要求6所述的方法,其特征在于,还包括:
当所述校验结果不符合预设校验标准时,调用所述受信任平台模块将所述校验结果发送至所述基板管理控制器。
8.根据权利要求7所述的方法,其特征在于,所述基本输入输出系统固件包括多个固件卷,所述升级所述基本输入输出系统固件的步骤包括:
生成针对所述固件卷的度量结果;
生成针对所述度量结果和所述基准值的比对结果;
当所述比对结果符合预设标准时,完成对所述基本输入输出系统固件升级,并启动基本输入输出系统。
9.根据权利要求8所述的方法,其特征在于,还包括:
向所述基板管理控制器发送确认字符。
10.根据权利要求8所述的方法,其特征在于,还包括:
当所述比对结果不符合预设标准时,向所述基板管理控制器发送告警信息。
11.根据权利要求1所述的方法,其特征在于,所述电子设备为服务器。
12.根据权利要求1所述的方法,其特征在于,所述预设算法包括长度为256的哈希算法。
13.根据权利要求1所述的方法,其特征在于,所述预设算法为长度为256的哈希算法,和,长度为512的哈希算法,和,密码杂凑算法。
14.一种基本输入输出系统固件升级方法,其特征在于,所述方法应用于安全管理平台,所述安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,所述安全管理平台搭载于所述电子设备以外的其他设备中,所述电子设备用于获取针对所述基本输入输出系统固件的二进制文件和只读储存器布局信息;将所述二进制文件和所述只读储存器布局信息发送至所述安全管理平台,包括:
基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
15.一种基本输入输出系统固件升级装置,其特征在于,所述装置应用于搭载有基本输入输出系统的电子设备,所述电子设备配置有对应的安全管理平台,所述安全管理平台搭载于所述电子设备以外的其他设备中,包括:
初始文件获取模块,用于获取针对所述基本输入输出系统固件的二进制文件和只读储存器布局信息;
初始文件发送模块, 用于将所述二进制文件和所述只读储存器布局信息发送至所述安全管理平台;所述安全管理平台用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件;
固件升级模块,用于基于所述基准值文件升级所述基本输入输出系统固件。
16.一种基本输入输出系统固件升级装置,其特征在于,所述装置应用于安全管理平台,所述安全管理平台配置有对应的搭载有基本输入输出系统的电子设备,所述安全管理平台搭载于所述电子设备以外的其他设备中,所述电子设备用于获取针对所述基本输入输出系统固件的二进制文件和只读储存器布局信息;将所述二进制文件和所述只读储存器布局信息发送至所述安全管理平台,包括:
基准值文件生成模块,用于基于所述只读储存器布局信息拆解所述二进制文件,并对经拆解的二进制文件基于预设算法进行度量,以生成针对所述基本输入输出系统固件的基准值文件;所述电子设备用于基于所述基准值文件升级所述基本输入输出系统固件。
17.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,所述处理器、所述通信接口以及所述存储器通过所述通信总线完成相互间的通信;
所述存储器,用于存放计算机程序;
所述处理器,用于执行存储器上所存放的程序时,实现如权利要求1-13或14任一项所述的方法。
18.一种计算机可读存储介质,其上存储有指令,当由一个或多个处理器执行时,使得所述处理器执行如权利要求1-13或14任一项所述的方法。
CN202310943199.0A 2023-07-28 2023-07-28 一种基本输入输出系统固件升级方法和装置 Active CN116679967B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310943199.0A CN116679967B (zh) 2023-07-28 2023-07-28 一种基本输入输出系统固件升级方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310943199.0A CN116679967B (zh) 2023-07-28 2023-07-28 一种基本输入输出系统固件升级方法和装置

Publications (2)

Publication Number Publication Date
CN116679967A CN116679967A (zh) 2023-09-01
CN116679967B true CN116679967B (zh) 2023-11-03

Family

ID=87782229

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310943199.0A Active CN116679967B (zh) 2023-07-28 2023-07-28 一种基本输入输出系统固件升级方法和装置

Country Status (1)

Country Link
CN (1) CN116679967B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117648685B (zh) * 2024-01-24 2024-04-12 苏州元脑智能科技有限公司 服务器更新过程的校验方法、装置、设备及可读存储介质
CN118394368B (zh) * 2024-06-27 2024-10-01 苏州元脑智能科技有限公司 基本输入输出系统布局信息生成方法、更新方法和产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114692160A (zh) * 2020-12-29 2022-07-01 华为技术有限公司 计算机安全可信启动的处理方法及装置
CN115062307A (zh) * 2022-07-30 2022-09-16 苏州浪潮智能科技有限公司 基于Open POWER的程序完整性校验方法、系统、终端及存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114692160A (zh) * 2020-12-29 2022-07-01 华为技术有限公司 计算机安全可信启动的处理方法及装置
CN115062307A (zh) * 2022-07-30 2022-09-16 苏州浪潮智能科技有限公司 基于Open POWER的程序完整性校验方法、系统、终端及存储介质

Also Published As

Publication number Publication date
CN116679967A (zh) 2023-09-01

Similar Documents

Publication Publication Date Title
US20210336780A1 (en) Key updating method, apparatus, and system
US10708065B2 (en) Service processing method, device and system
CN116679967B (zh) 一种基本输入输出系统固件升级方法和装置
US10659886B2 (en) Electronic device and sound output method thereof
CN109558734B (zh) 一种堆栈安全性的检测方法及装置、移动设备
US20190349202A1 (en) Protection method and protection system of system partition key data and terminal
CN107766747B (zh) 校验应用程序安装包完整性的方法、移动终端及服务器
US10242167B2 (en) Method for user authentication and electronic device implementing the same
WO2017211205A1 (zh) 一种白名单更新方法和装置
WO2018161540A1 (zh) 指纹注册方法及相关产品
US10242170B2 (en) Method and apparatus for obtaining sensing data
CN109413256B (zh) 联系人信息处理方法、装置、存储介质及电子设备
CN111598573A (zh) 一种设备指纹验证方法及装置
US10430174B2 (en) Terminal device and charge control method
CN110213313B (zh) 一种文件上传的方法、相关装置及系统
CN107844318B (zh) 一种操作系统的升级方法及移动终端和服务器
CN106528231B (zh) 一种启动应用程序的方法和装置
MX2014009372A (es) Metodo, dispositivo y terminal para proteger un programa de aplicacion.
CN115794524A (zh) 一种校验方法、装置、电子设备及可读存储介质
CN105791253B (zh) 一种获取网站的认证信息的方法和装置
CN104679785B (zh) 一种区分软件类型的方法和装置
CN109151809B (zh) 一种移动终端检测方法及移动终端
CN111050309A (zh) 移动终端及其网络注册方法和存储介质
CN110515630B (zh) 一种应用安装方法及终端
CN118312949B (zh) 堆栈监测方法、装置、电子设备及可读存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant