JP4793733B2 - 高インテグリティファームウェア - Google Patents
高インテグリティファームウェア Download PDFInfo
- Publication number
- JP4793733B2 JP4793733B2 JP2007245614A JP2007245614A JP4793733B2 JP 4793733 B2 JP4793733 B2 JP 4793733B2 JP 2007245614 A JP2007245614 A JP 2007245614A JP 2007245614 A JP2007245614 A JP 2007245614A JP 4793733 B2 JP4793733 B2 JP 4793733B2
- Authority
- JP
- Japan
- Prior art keywords
- tagged memory
- access
- memory
- tagged
- firmware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 claims description 27
- 230000000903 blocking effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 15
- 238000012545 processing Methods 0.000 description 12
- 239000003795 chemical substances by application Substances 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 9
- 238000000926 separation method Methods 0.000 description 5
- 238000002955 isolation Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000026676 system process Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 239000000872 buffer Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 230000000368 destabilizing effect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008450 motivation Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
Description
オペレーティングシステムは、リソースに対する様々なアクセスレベルを供給する。アクセスレベルは、「リング」に関連付けられうる。たとえば、リング0は、一般的に、最も多くの特権を有するアクセスレベルである。他のリングには、リング1、リング2、およびリング3が含まれる。動作時に、たとえば、高い番号の付いたリング(例、リング3)で実行されるプログラムは、一般的に、低い番号の付いたリング(例、リング0)に制限されるリソースであるネットワークへのアクセスをリクエストするとする。リングの使用は、リング1において実行される、誤ったまたは悪意のあるソフトウェア(例、スパイウェア)が、デバイスドライバ用に用意されるリング0機能により実行されうる、損害を与えるようなオペレーション(例、コンピュータ上のパスワードにアクセスする)を実行することを阻止することを目的とする。
拡張可能ファームウェアインタフェース(EFI)システムは、パワーオンセルフテスト(POST)プロセス、オペレーティングシステムのブートストラッピング、およびオペレーティングシステムと物理ハードウェア間にインタフェースを供給することに対して責任のあるシステムとして説明しうる。
図1は、EFIランタイムメモリの脆弱性を示す従来技術のシナリオを示す。オペレーティングシステム100(例、Windows(登録商標)NT3.1からWindows(登録商標)Vista(登録商標)オペレーティングシステムを含むマイクロソフト社のWindows(登録商標)オペレーティングシステム)は、リング0 110のアクセスレベルを含む。オペレーティングシステム(OS)カーネル120、ハードウェアアブストラクションレイヤ122(すなわち、HAL.DLL)、およびサービス呼び出し124は、リング0 110のアクセスレベルを有する。さらに、実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ126(例、EFIランタイムコードおよびデータ)は、オペレーティングシステム100の最も特権のあるオペレーティングモードであるリング0に、ともに置かれる。
特に、プラットフォームファームウェア150は、EFIランタイムドライバ1 160、EFIランタイムドライバ2 162、EFIランタイムドライバ3 164を含む。EFIラインタイムドライバ160、162、および164のイメージは、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス170からのデータ180も、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。EFIランタイムドライバイメージ126は、EFIブートサービスおよびランタイムコンポーネントを含み、また、オプションの読み出し専用メモリ(ROM)を有しうる。読み出し専用データはROM内にあるので、ROMは、ROMにおけるコードの破損を阻止するのに有用である。ROMは、ROM内のコードの長期インテグリティを保つのに有用であるが、一旦コードがROMからメモリ内にロードされると、メモリに移されたイメージのインテグリティは疑わしくなる。
OSカーネル120とともに、EFIランタイムドライバイメージ126をリング0 110アクセスレベルに有することによって、OSカーネル120からのEFIランタイムコードの効率のよい起動を可能にするが、これは、EFIランタイムドライバイメージ126を、OSカーネル120内の誤ったまたは悪意のあるコンポーネントにさらすことになる。つまり、OSカーネル120内の誤ったまたは悪意のあるコンポーネントが、EFIランタイムドライバイメージ126にアクセスして破損してしまいうる。したがって、図1は、任意のリング0エージェントがEFIランタイムコードおよびデータを破損してしまう方法を示す。
これは、出版業において最近多発している「ルートキット」によって注目されてきている懸案事項である。ルートキットは、コンピュータへの管理者レベルのアクセスを可能にする1つ以上のプログラムとして説明しうる。一般的に、無許可のユーザ(例、「攻撃者」)が、最初にユーザレベルのアクセスを取得後、ルートキットをコンピュータにインストールする。一旦ルートキットがインストールされると、ルートキットによって、攻撃者は命令をマスクし、コンピュータに対して特権的アクセスを得ることができるようになる。たとえば、ルートキットは、メモリ内のコードおよびデータを破損することのできるカーネルモードウィルスでありうる。
ランタイム「ルートキット」問題に関する実際のデータがあり、これは、単にセキュリティ/コンテンツ保護/デジタル権利管理(DRM)問題だけではない。つまり、ルートキットは、セキュリティ/コンテンツ保護/デジタル権利管理(DRM)に関して懸念事項のあるシステムだけでなくどのシステムにも悪影響を及ぼすことができるのである。ルートキット使用人口は増加している。一部では、これは、ルートキットに含まれうるアドウェアおよびスパイウェアをサポートする経済的動機があることによる。ルートキットは、社会における技術的な課題である。特に、ルーツキットは、現在のスパイウェア防止プロダクトを打破してしまうからである。ルートキットを削除し、コンピュータを回復するために顧客を案内するには数時間かかる場合がある。たとえば、ルートキットのセーフモード削除には12を越える作業がある場合がある。さらに、ドライバをブートするよう動作する新たな悪意のあるドライバがある。つまり、オペレーティングシステム起動の最も初期の段階が影響を受けている。一方で多くのアンチウイルスおよび他の保護ソフトウェアは、オペレーティングシステム処理のもっと後において起動する。
今日において、ランタイムファームウェアは、システム管理モード(SMM)により保護されうる。SMMは、特定のIntel(登録商標)マイクロプロセッサの1つのモードとして説明しうるが、このモードでは、コード(例、オペレーティングシステム)の正常実行はサスペンドされ、特別な別個のソフトウェア(例、ファームウェア)は高特権モードで実行される。
したがって、当該技術において、改善された高インテグリティファームウェアが必要である。
同様の参照番号は対応する部分を示す図面を参照する。
以下の説明において、本願の一部を形成し、且つ、幾つかの実施形態を説明する添付図面を参照する。他の実施形態を使用してもよく、また構造的および動作的な変更を加えてもよい。
図2は、特定の実施形態によるコンピュータデバイス200の細部を示す。コンピュータデバイス200(例、ホストコンピュータ)は、1つ以上の中央演算処理ユニット(CPU)204(すなわち、プロセッサ)、揮発性メモリ206、不揮発性ストレージ208(例、磁気ディスクドライブ、光ディスクドライブ、テープドライブなど)、および1つ以上のネットワークアダプタ240を含む。1つ以上のネットワークアダプタ240は、通信路270(例、ネットワーク)に結合されるとも言える。
メモリ206は、OSカーネル212を含むオペレーティングシステム210を格納する。メモリ206はさらに、EFIランタイムコンポーネント230を格納する。特定の実施形態では、EFIランタイムコンポーネント230は、ファームウェアとして実装される。特定の他の実施形態では、EFIランタイムコンポーネント230は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの一部の組み合わせとして実施されうる。メモリ206の一部は、タグ付きメモリ232である。タグ付きメモリ232は、プレOSファームウェアによりポピュレートされ、EFIランタイムドライバのタイプであるドライバイメージを含むメモリとして説明しうる。タグ付きメモリ232は、オブジェクト記述子233を含む。オブジェクト記述子233は、オペレーション(例、非ファームウェアエージェントがタグ付きメモリにアクセスすることを阻止する)を実行することのできる「スマート」メモリとして説明しうる。メモリ206の一部は非タグ付きメモリ(例、オペレーティングシステム210およびOSカーネル212は非タグ付きメモリ内にある)である。メモリ206はさらに、キャッシュアズRAM(Cache-as-RAM)234を含む。1つ以上のドライバ220(例、ストレージドライバまたはネットワークドライバ)と、1つ以上のアプリケーションプログラム224がメモリ206に格納されてもよく、また、ネットワーク270を介してリモートコンピュータデバイス(例、ホストコンピュータまたはストレージシステム)に対してパケットを伝送または取り出しすることができる。
コンピュータデバイス200は、メインフレーム、サーバー、パーソナルコンピュータ、ワークステーション、ラップトップ、ハンドヘルドコンピュータ、電話機デバイス、ネットワークアプライアンス、仮想化デバイス、ストレージコントローラなどといった任意の好適なコンピュータデバイスを含みうる。任意の好適なCPU204およびオペレーティングシステム210を使用しうる。メモリ206内のプログラムおよびデータは、メモリ管理オペレーションの一部としてストレージ208内にスワップされうる。
ネットワーク270は、たとえば、ストレージエリアネットワーク(SAN)、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、およびイントラネットなどといった任意のタイプのネットワークでありうる。
各ネットワークアダプタ240は、ネットワークアダプタ240のハードウェアとして実装される様々なコンポーネントを含む。各ネットワークアダプタ240は、ネットワーク270を介してデータパケットを送受信することができる。
各ドライバ220は、メモリ206内で実行し、また、各ネットワークアダプタ240と通信し、オペレーティングシステム210と各ネットワークアダプタ240との間をインタフェースするためのネットワークアダプタ240固有コマンドを含む。各ネットワークアダプタ240またはドライバ220は、伝送制御プロトコル(TCP)および/またはインターネットプロトコル(IP)、インターネットスモールコンピュータシステムインタフェース(iSCSI)(IETF RFC2347、2003年2月)、ファイバーチャネル(米国規格協会(ANSI)X3.269−199X、改訂012版、2995年12月4月)、または任意の他の好適なトランスポート層プロトコルといった、トランスポート層内にラップされるパケットに含まれるメッセージコンテンツを処理するトランスポートプロトコル層といった、パケットを処理する論理を実装する。
ストレージ208は、内部ストレージデバイス、または、付属或いはネットワークアクセス可能なストレージを含みうる。ストレージ208内のプログラムは、メモリ206内にロードされ、CPU204により実行されうる。入力装置250は、CPU204にユーザ入力を供給するよう使用され、キーボード、マウス、ペン−スタイラス、マイクロホン、タッチディスプレイスクリーン、または任意の好適な作動または入力メカニズムを含みうる。出力装置252は、ディスプレイモニタ、プリンタ、ストレージなどのように、CPU204、または他のコンポーネントから転送された情報をレンダリングすることができる。
様々な構造および/またはバッファ(図示せず)は、メモリ206内に存在するか、または、特定の実施形態では、メモリ206とは別個のストレージユニット内に位置付けられうる。
特定の実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータデバイス200のシステムボード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、システムボードに結合されるとも言える。代替実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータシステム200のシステムボード上の拡張カードスロットに挿入されうる拡張カード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、拡張ボードに結合されるとも言える。
図3は、特定の実施形態による、EFIランタイムドライバイメージが保護される方法を示す。図3では、オペレーティングシステム210は、リング0 310のアクセスレベルを含む。オペレーティングシステム(OS)カーネル320、ハードウェアアブストラクションレイヤ322(すなわち、HAL.DLL)、およびサービス呼び出し324は、リング0 310のアクセスレベルを有する。さらに、タグ付きメモリ326内の実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ(EFIランタイムコードおよびデータを含む)は、オペレーティングシステム300の最も特権のあるオペレーティングモードであるリング0において、ともに置かれる。
特に、プラットフォームファームウェア350は、EFIランタイムドライバ3 360、EFIランタイムドライバ2 362、EFIランタイムドライバ3 364を含む。EFIラインタイムドライバ360、362、および364のイメージは、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス370からのデータ380も、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。
図3では、EFIランタイムドライバイメージがリング0 310のアクセスレベルにあるタグ付きメモリ326に格納されているので、OSカーネル320における誤ったまたは悪意のあるコンポーネント(例、オペレーティングシステムにおけるバグ)は、EFIランタイムドライバ360、362、364、または、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージ内の他のコードおよびデータを破損することはできない。しかし、OSカーネル320からのEFIランタイムコードの有効な起動が行われうる。したがって、図3は、実施形態が、EFIランタイムコードおよびデータを破損しないよう保護する方法を示す。
図4−7は、特定の実施形態による新たなCPU機能を示す。
図4は、特定の実施形態によるタグ付きメモリの使用の一例を示す。凡例490は、サンプルタグとその意味を示す。4つのタグを示すが、他のタグも実施形態の範囲内である。中央演算処理ユニット(CPU)400は、制御ユニット410と、算術論理演算ユニット(ALU)412を含む。特殊レジスタ420は、オブジェクト記述子であることを示すタグ423を有するスタック記述子レジスタ422と、スタックポインタ(SP)レジスタ424と、オブジェクト記述子であることを示すタグ427を有するデータ記述子レジスタ426と、オブジェクト記述子であることを示すタグ429を有するコード記述子レジスタ428と、命令ポインタ430を含む。汎用レジスタ440は、オブジェクト記述子であることを示すタグ443を有するオブジェクト記述子442と、初期化されていないレジスタまたはメモリワードであることを示すタグ445を有する非初期化要素444と、初期化されたレジスタまたはメモリワードであることを示すタグ447を有するデータ446を含む。メモリ470は、スタック472、データ474、およびコード476を含む。メモリ470はさらにタグ480を含む。タグ480は、特殊レジスタ420および汎用レジスタ440に関連付けられるタグに対応する。
図5は、特定の実施形態によるオブジェクト記述子500とタグ付きメモリ570を示す。オブジェクト記述子500は、タグ付きメモリ570内、任意のCPUのレジスタ上、および仮想メモリ(VM)内のどこにおかれてもよい。オブジェクト記述子500は、タグ510(例、タグビット)を含み、アクセス権512、オブジェクトサイズ514、およびメモリ570へのポインタ516を供給することにより、1つのオブジェクトの記述をメモリに入れる。タグ510は、記述子500がオブジェクト記述子であることを示す。オブジェクト記述子500は、(任意のサイズチェックなしのVMのページごとのコントロールに比べて)高級言語セマンティクスに近い、読み出し(「R」)、書き込み(「W」)、実行(「X」)に対しファイングレインアクセスコントロールを供給する。特定の実施形態では、トラステッド・コンピューティング・ベース(TCB)(ハードウェアおよびソフトウェアコンポーネントの両方を有する)だけが、オブジェクト記述子500の内容を初期化し、変更しうる。トラステッド・コンピューティング・ベースは、信頼されるべき最小量のコードとして説明しうる(例、これらの初期のオブジェクト記述子を設定する場合、TCBは初期化ブートファームウェアを含みうる)。
アプリケーションは、(たとえば、ロード、ストア、ジャンプ、および呼び出しなどのために)そのアプリケーションが利用可能なオブジェクト記述子を介してメモリ570に(直接的および間接的に)アクセスしうる。特定の実施形態においてハードウェアは各アクセスを制御し、アクセス権またはオブジェクトサイズ違反がある場合にはインタラプトを生成する。
図6は、特定の実施形態による、メモリ570内に格納されるEFIイメージ600を示す。特定の実施形態では、EFIイメージは、ポータブルエグゼクタブルおよびオブジェクトの共通ファイル形式(Portable Executable and Common Object File Format:PE/COFF)実行ファイルである。様々なオブジェクト記述子をEFIイメージの様々な部分に割り当てしうる。一例として、EFIイメージ600は、プレOS、EFIのブートサービスフェーズの間に起動され、OSカーネル212と同格に存在し続けるRuntimeServices.efi実行ファイルでありうる。
図7は、特定の実施形態によるタグ付きメモリの使用のもう1つの例を示す。図7では、中央演算処理ユニット(CPU)700は、制御ユニット710と、算術論理演算ユニット(ALU)712を含む。汎用レジスタ740は、オブジェクト記述子であることを示すタグ743を有するオブジェクト記述子742と、初期化されていないレジスタまたはメモリワードであることを示すタグ745を有する非初期化要素744と、初期化されたレジスタまたはメモリワードであることを示すタグ747を有するデータ746を含む。メモリ770は、コード、データ、オブジェクト記述子、および非初期化部分を含む。メモリ770はさらに、タグ780を含む。
図8は、特定の実施形態による、EFIランタイムコードおよびデータを保護するようEFIランタイムコンポーネント230により実行される論理を示す。制御は、工程800において、(例、電源スイッチがオンの状態であったため)システムが再起動することにより開始する。「システム」とは、コンピューティングプラットフォームを指す。工程802では、システムは初期化される。工程804では、EFIランタイムコンポーネント230は、タグ付きメモリ232が利用可能であるか否かを判断する。利用可能である場合は、処理は工程806に進み、利用可能ではない場合は、処理は工程812に進む。
工程806では、EFIランタイムコンポーネント230は、EFIシステムが実装されているか否かを判断する。実装されている場合は、処理は工程808に進み、実装されていない場合は、処理は工程812に進む。工程808では、EFIランタイムコンポーネント230は、EFIランタイムコードおよびデータに対するオブジェクト記述子を割り当てる。各オブジェクト記述子は、それがオブジェクト記述子であることを示すタグを含む。工程808の処理には、EFIランタイムコンポーネント230が各レジスタを初期化して、そのレジスタが初期化されたか、初期化されていないかを示すか、またはオブジェクト記述子を格納するタグを含むことが含まれる。工程810では、EFIランタイムコンポーネント230は、ランタイム時に使用するために、非タグ付きメモリからの1つ以上の呼び出しポイントをタグ付きメモリに供給する。たとえば、図3では、ハードウェアアブストラクションレイヤ322は、非タグ付きメモリ内にあるが、実行可能EFIランタイムドライバイメージ326は、タグ付きメモリ内にあるので、サービス呼び出し324は、非タグ付きメモリからタグ付きメモリへの呼び出しポイントとして説明しうる。呼び出しポイントは、EFIランタイムサービス呼び出しといったようにパブリックに記述される関数呼び出しとして説明しうる。
工程812では、EFIランタイムコンポーネント230は、プレオペレーティングシステム処理またはブートシステム処理を完了する。したがって、工程800−812は、ブートフェーズを表し、一方、工程814−822は、ランタイムフェーズを表す。
工程814では、1つ以上のオブジェクト記述子233は、非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みているか否かを判断する。非ファームウェアエージェントは、プラットフォームファームウェア/プラットフォームROMからロードされていないコードとして説明しうる。非ファームウェアエージェントは、以下に限定されないが、OSエグゼクティブまたはカーネルモードドライバ/サービスの一コンポーネントを含みうる。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みている場合は、処理は工程816に進む。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みていない場合は、処理は工程822に進む。工程816では、1つ以上のオブジェクト記述子233が、アクセスされるタグ付きメモリ232に関連付けられるオブジェクト記述子内のアクセス権に基づいて非ファームウェアエージェントがタグ付きメモリ232にアクセスすることができるか否かを判断する(すなわち、タグ付きメモリ232が、EFIランタイムドライバイメージの正当なメモリロケーションであるか否かを判断する)。アクセスすることができる場合は、処理は工程818に進み、アクセスすることができない場合は、処理は工程820に進む。工程818では、EFIランタイムコンポーネント230は、タグ付きメモリ232に対する非ファームウェアエージェントからのアクセスオペレーションを処理し、結果を受信し、また、その結果を戻す。特定の実施形態では、これは、EFIランタイムコンポーネント230と非タグ付きOSカーネル212間の仲介として動作するスタブ(すなわち、(EFIランタイムコンポーネント230の一部である)EFIランタイムコードの特定の非タグ付き部分がある)を介して発生する。工程820では、1つ以上のオブジェクト記述子233は、誤ったまたは悪意のある呼び出しをするコーラー(caller)でありうる非ファームウェアエージェントによるタグ付きメモリ232へのアクセスを阻止する。工程822では、処理は続けられ、非ファームウェアがEFIランタイムタグ付きメモリ232へのアクセスを試みようとする場合に、処理を工程814に戻す。
図9は、特定の実施形態による、EFIコンポーネントを保護する方法の一例を示す。この例では、悪意のあるドライバ3を含むスモールコンピュータシステムインタフェース(SCSI)カード900が、コンピュータシステムに差し込まれる可能性がある。図9の例では、EFIを実装するフレームワークは、2つの主なフェーズを含む。1つは、プレEFI初期化(PEI)フェーズであり、もう1つはドライバ実行環境(DXE)フェーズである。プレEFI初期化フェーズは、複数のPEIモジュールA、B、およびCにより行われる。ドライバ実行環境フェーズは、複数のドライバ、すなわち、DXEドライバ1およびDXEドライバ2により行われる。メモリ910のプラットフォーム初期化部は、PEIモジュールおよびDXEドライバとは別個にタグ付きメモリ内に格納されるEFIコアフレームワークを含む。EFIコアフレームワークは、EFIフレームワーク、DXEフレームワーク、およびPEIフレームワークを含む。
図10は、特定の実施形態による、PEI、DXE、およびEFI実行のフェーズ1000を示す。実施形態では、PEIフレームワーク、DXEフレームワーク、およびEFIフレームワークは、タグ付きメモリ内に置かれ、一方、PEIモジュール、DXEドライバ、およびEFIアプリケーションおよびライブラリは、非タグ付き(「通常」)メモリ内に置かれる。特定の実施形態では、「信頼」され、TCBの一部であるプラットフォームファームウェアからのコードは、EFIランタイムタグ付きメモリ内に入れられる。これは、システムボードベンダからのコードが、第三者のアダプタカードなどからロードされるドライバから分離されることを可能にする。この同様の分離は、EFIランタイムコードがシステムボードから分離され、続けて起動される任意のEFI認識オペレーティングシステムから分離されることが可能であるようランタイムにおいても存在する。したがって、実施形態は、相手先ブランド製造者(OEM)といったシステムボードを供給する当事者が、ボード上のROMに入れられて出荷される当事者のコードが他のプレOSコードまたはOSにより破損/影響を受けないことを確実にすることができる。
したがって、図9および10は、実施形態を、オペレーティングシステムの起動の前にファームウェアコンポーネントのフローに適用しうる方法を示す。図9では、ROM内にコアフレームワークを有し、これは、次にEFIランタイムタグ付きメモリにロードされる。図10では、フローの下半分は、タグ付き及び保護されたプレOSフレームワークコードを示す。
図11は、特定の実施例による、プレブートのためのタグ付きメモリの使用を示す。制御は、システムがリセットされる工程1100において開始する。ここでは、オペレーティングモードはフラットモード(すなわち、0−4GBマッピングのためのデータ/コードセットを有する保護モード)に設定され、制御は、PEIフレームワークを開始するよう渡される。工程1102では、マシーンコードが実行されてキャッシュアズRAM234が有効にされる。工程1104では、一時的なページ表がキャッシュアズRAM内に作成される。工程1106では、PEIコアと、PEI TCBの一部であり、タグ付きメモリ内にある、認証の実行を支援する任意のPEIモジュール(「PEIコンポーネント」)は、各PEIモジュールを試験し、また、デジタル署名により各PEIモジュールを認証する。工程1108では、PEIコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1110に進み、有効なデジタル署名ではない場合は、処理は工程1112に進む。工程1110では、PEIコンポーネントは、各PEIモジュールに対してタグ付きメモリを割り当てする。工程1112では、PEIコンポーネントは、各PEIモジュールイメージハンドラを安全ではないとマークする。工程1114では、各PEIモジュールは、メインメモリを初期化するよう実行される。
図12は、特定の実施例によるプレブート処理の論理を示す。特定の実施形態では、1つ以上のDXEドライバは、EFIランタイムドライバとしてロードされうる。したがって、DXEにおける認証/タグ付けは、OSの存在する実施形態をもたらす。工程1200では、DXEコア/ファウンデーションと、DXE TCBの一部であり、タグ付きメモリ内にある任意のDXE認証ドライバ(「DXEコンポーネント」)は、各DXEドライバを試験し、また、デジタル署名により各DXEドライバを認証する。工程1202では、DXEコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1204に進み、有効なデジタル署名ではない場合は、処理は工程1206に進む。工程1204では、DXEコンポーネントは、各DXEドライバに対してタグ付きメモリを割り当てする。工程1206では、DXEコンポーネントは、DXEドライバイメージハンドラを安全ではないとマークする。工程1208では、オペレーティングシステムブート処理が続行する。
実施形態は、プレブートおよびランタイムの両方で高いインテグリティのファームウェアを供給する。実施形態は、コードおよびデータを、同一の特権レベルで動作する他のコードから分離させるよう「機能(capabilities)」または「タグ付きメモリ」を使用する。
実施形態は、ROMからロードされたメモリ内イメージのインテグリティを保つのに役立つ。
実施形態は、相手先ブランド製造者(OEM)のブートサービスコードが、誤ったプレOSアプリケーションおよびOSローダにより破損されないようにすることを可能にする。本質的に異なる要素が同じロケーションにあることは、いずれは信用および信頼性の問題につながる。特定の実施形態では、オブジェクト記述子を設定するために、図8の工程800−810の論理は、ブートフローの非常に初期、好適には、SECまたはPEIフェーズといった測定のための信頼のコアルート(Core-Root of Trust for Measurement:CRTM)において実行される。CRTMは、トラステッドプラットフォームモジュール(TPM)を開始し、トラステッドコンピューティングプラットフォームのためのトラステッドビルディングブロック(TBB)の一部であるコードとして説明しうる。SECは、次のように説明しうる。すなわち、システム再起動時に実行され、「保護モード」/キャッシュアズRAM初期化を行う非常に初期のコードとして説明しうる。
EFIプレブートコアおよびランタイムを対象とするオブジェクト記述子が信頼できないコードにより不安定にされないことを確実にするようフラッシュブロックロックを使用してもよい。つまり、フラッシュメモリは、TCBが制御を他のエージェントに送るときにフラッシュは読み出し専用にされる(すなわち、誰もフラッシュのコンテンツを改ざんすることができない)ことを確実にするようNORフラッシュのハードウェア機能を使用してロックされる。あるいは、ファームウェアに保存されたメモリ、または、初期ブートファームウェアにより供給される他の読み出し専用リソースを使用してもよい。上述したいずれの場合においても、EFIファームウェアは、オブジェクト記述子のストレージのためにファームウェアにより使用されるメモリを、(オペレーティングシステムにメモリマップをリポートするよう基本入力/出力システム(BIOS)でのInt 15h E820呼び出し(詳細設定と電力のインタフェース(Advanced Configuration and Power Interface)(ACPI)仕様、改訂3.0、2004年9月2日)を有する)ACPIメモリマップと、((オペレーティングシステムが不注意にまたは悪意を持ってストアを破損することを回避するための)GetMemoryMap呼び出しを有する)EFIメモリマップの両方において「ファームウェア予約済み(firmware reserved)」としてマークをつける。
実施形態は、プラットフォーム展開のブートサービス、プレブートフェーズの間に使用することができる。特に、信用できない、おそらく誤ったオプションROMと、プレブートアプリケーションがありえ、これらに対してプラットフォームファームウェアは保護される。オプションROMは、ホストバスアダプタ(HBA)上のBIOS拡張またはEFIドライバ(すなわち、システムに差し込まれるカード)として説明しうる。それにより、独立ハードウェアベンダは、システムのブートに役立つよう使用することのできるHBAとともにコードを発送しうる。プラットフォームファームウェア/EFIはドライバをロードし、ドライバがドライバサービスをインストールすることを許可する。HBA上のドライバは、場合により信頼できない第三者からくるので、タグ付きメモリ分離を使用して、低インテグリティドライバがプレOS TCBを不安定にさせないようにすることが重要である。
実施形態は、拡張性ファームウェアインタフェース(「フレームワーク」)またはフレームワーク標準に準拠して構築される任意の他のファームウェアのためにインテル(登録商標)プラットフォームイノベーションフレームワークのブートサービスPEIおよびDXEファウンデーションを強化する。
さらに、実施形態は、以下に限定されないが、符号付フラッシュアップデート、未知のソースからのコードを実行する前のSMRAMおよびフラッシュのロック、信頼のおけるコードが起動の前にプラットフォーム権限者/所有者に既知のソースにより署名されていることの確認、トラステッドプラットフォームモジュール(TPM)を有するコンポーネント/トラステッドブートの測定、および任意の設定更新または変更の前のオペレータの認証を含むファームウェアデプロイメントにおける他のプラクティスとともに使用してもよい。タグ付きメモリは、独立して使用しても、または、ロバストで高いインテグリティのプラットフォームファームウェア構成の1つ以上のこれらの他のアスペクトを補完するよう使用してもよい。
実施形態は、OSデータ構造を保護するよう設計されるタグ付きメモリを供給する。さらに、実施形態は、プレOSおよびランタイムファームウェア/OSランタイム分離を取り扱う。実施形態は、オペレーティングシステムにおける「安全なファイルシステムまたは安全なiノード」といったオペレーティングシステムコンポーネントにおける保護および分離を与える。実施形態は、この機能をプラットフォームファームウェアに活用することを可能にする。
実施形態は、読み出し−書き込みデータおよびメモリ内のコードを保護するのに有用である。
実施形態は、機能が、下位互換性があるように追加されることを可能にする。したがって、業界標準ファームウェアであるブートサービスおよびランタイムはともに、業界標準ファームウェアがタグ付きメモリを使用することによって有利となるよう再コンパイルされうる。実施形態は、コードのタイプ−セーフティは、分離に使用され、ソフトウェア要素はリング保護を必要としない管理ランタイム環境(MRTE´s)への適用性により「タイプ−セーフ」なCPUを供給する。分離のための、ソフトウェアおよび高度に定型化されたソフトウェアインタフェースに対して「リング保護がないこと」は、EFIおよびフレームワークに基づく仕様を含む統一EFIフォーラム下の技術にも適用することができる。つまり、現在、UEFIでは、ドライバとコアプラットフォームファームウェアとは分離されない。これは、インテグリティに関する問題がある。なぜなら、システムボード上のプラットフォームファームウェアは、HBAまたはディスクからロードされたファームウェアよりも信頼され、かつ、より高いインテグリティを有するべきだからである。ハードウェア分離は、このインテグリティを保証するために必要である。OSランタイムにおいて、ページ表および他の保護ハードウェアは、OSカーネルが所有する。したがって、プラットフォームファームウェアランタイムによる使用にとっておかれる新しいタグ付きハードウェアは、より高いインテグリティEFIランタイムコードが悪意のあるまたは誤ったOSランタイムコードにより破損されないことを確実にするよう使用される。
実施形態は、タグメモリ以外のリング0のコロケーションが適宜続行することを可能にする。実施形態では、リング0 OSローダでさえもEFIコアを破損することができない。
ランタイム時、EFIファームウェアは、ファームウェアランタイムコードおよびデータの保護をOSカーネルに委任する。実施形態では、EFIファームウェアランタイムは、プレOS処理において委任される適切なオブジェクト記述子を介して保護されることが可能である。
実施形態は、EFIランタイムのタグ付きメモリの変形が、OSと共存し、OEMに対して多くのシナリオを実行することを可能にする。これらのシナリオは、今日、コードインテグリティを妥協することなくSMMにおいて実施される。
実施形態は、ルートキット/OSカーネルモードマルウェアからEFIランタイムを保護する。
信用とは、信頼性、安全性、機密性、インテグリティ、および可用性を含むものとする。安全性は、機密性、インテグリティ、および可用性を含むものとする。実施形態は、インテグリティに関して取り組む。したがって、信用および安全性の両方に関して取り組む。実施形態は、企業に適用することができる。企業は、マーケットセグメント(例、コンピュータを購入して使用するビジネス)として説明しうる。マーケ
ットセグメントは、信用および安全性の「信頼性」のアスペクトによってホームユーザとは区別される。
ットセグメントは、信用および安全性の「信頼性」のアスペクトによってホームユーザとは区別される。
実施形態は、メニーコアおよびマルチコアプロセッサに基づいたプラットフォームが、プラットフォームファームウェアから高インテグリティコードフローを展開する方法を有することを確実にするよう使用されうる。
実施形態は、現在のソフトウェアエコシステムに影響を与えることなく悪いオプションROM、ルートキット、カーネルに対する防護を供給するために、OSコンポーネント分離のためのハードウェア機能を使用する。つまり、プラットフォームファームウェアは、これらのタグを使用しうるが、OSカーネルは、実施形態と動作するよう再コンパイル/更新される必要はない。新規のシステムボードおよびファームウェアは、旧型のOSカーネル(例、Windows(登録商標)XPまたはWindows(登録商標)サーバー2003オペレーティングシステム)とともに動作することができる。実施形態は、旧型および新型のオペレーティングシステムに対してファームウェア分離を供給する。これは、OEMにとっては好都合である。なぜなら各システムボードは一般的にさまざまな新旧型のオペレーティングシステムロードをサポートするからである。
Intel(登録商標)は、米国および/または諸外国におけるインテル社の登録商標またはコモンローマークである。Windows(登録商標)およびVista(登録商標)は、米国および/または諸外国におけるマイクロソフト社の登録商標またはコモンローマークである。
[追加の実施形態の詳細]
[追加の実施形態の詳細]
上述したオペレーションは、ソフトウェア、ファームウェア、ハードウェア、あるいはそれらの任意の組み合わせを生成するよう標準プログラミングおよび/またはエンジニアリング技法を使用する、方法、装置、または、製品として実施されうる。上述したオペレーションは、「コンピュータ可読媒体」内に維持されるコードとして実施されうる。プロセッサは、コンピュータ可読媒体からコードを読み出ししかつ実行しうる。コンピュータ可読媒体は、磁気記憶媒体(例、ハードディスクドライブ、フロッピー(登録商標)ディスク、テープなど)、光学記憶装置(CD−ROM、DVD、光ディスクなど)、揮発性および不揮発性メモリ装置(例、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュメモリ、ファームウェア、プログラマブル論理など)といった媒体を含みうる。上述したオペレーションを実施するコードは、さらにハードウェア論理(例、集積回路チップ、プログラマブルゲートアレイ(PGA)、特殊用途向け集積回路(ASIC)など)に実施されうる。さらに、上述したオペレーションを実施するコードは、「伝送信号」で実施されうる。伝送信号は、空間、または、光ファイバ、銅線などといった伝送媒体を通り伝播しうる。その中にコードまたは論理が符号化される伝送信号はさらに、無線信号、衛星伝送、無線波、赤外線信号、ブルートゥース(登録商標)などを含みうる。その中にコードまたは論理が符号化される伝送信号は、送信局により送信され、受信局により受信されることが可能であり、伝送信号内に符号化されるコードまたは論理は、受信および送信局または装置において、ハードウェアまたはコンピュータ可読媒体において復号化され格納されうる。「機械可読媒体」は、その中にコードが実装されうるコンピュータ可読媒体、ハードウェア論理、および/または伝送信号を含む。上述したオペレーションの実施形態を実施するコードがその中に符号化された装置は、コンピュータ可読媒体またはハードウェア論理を含みうる。当然ながら、当業者は、本発明の範囲から逸脱することなく多くの変更をこの構成に加え、また、製品は当該技術において周知である情報担持媒体を含みうることを認識するであろう。
図8、11、および12に示すオペレーションは、特定の順序で発生する特定のイベントを示す。代替実施形態では、特定のオペレーションは、異なる順序で、変更されて、または削除されて行われうる。さらに、オペレーションが上述した論理に追加され、依然として上述した実施形態と一致しうる。さらに、本願に説明したオペレーションは、逐次的に発生しても、または、特定のオペレーションは、並列で処理されてもよい。さらに、オペレーションは、単一の処理ユニットまたは分散型処理ユニットによって処理されうる。
上述したさまざまな実施形態は、例示および説明のために提示された。これは、網羅的でも限定的でもない。多くの変更および変形が上述の技術の教示内容を鑑みて可能である。
100 オペレーティングシステム
110 リング0
120 オペレーティングシステムカーネル
122 ハードウェアアブストラクションレイヤ
124 サービス呼び出し
126 実行可能EFIランタイムドライバイメージ
150 プラットフォームファームウェア
160、162、164 EFIランタイムドライバ
170 ハードウェアデバイス
180 データ180
200 コンピュータデバイス
204 CPU
206 メモリ
208 ストレージ
210 オペレーティングシステム
212 OSカーネル
220 ドライバ
224 アプリケーションプログラム
230 EFIランタイムコンポーネント
232 タグ付きメモリ
233 オブジェクト記述子
234 キャッシュアズRAM
240 ネットワークアダプタ
250 入力装置
252 出力装置
260 バス
270 通信路
310 リング0
320 オペレーティングシステムカーネル
322 ハードウェアアブストラクションレイヤ
324 サービス呼び出し
326 タグ付きメモリ内の実行可能EFIランタイムドライバイメージ
350 プラットフォームファームウェア
360、362、364 EFIランタイムドライバ
370 ハードウェアデバイス
380 データ
400 CPU
410 制御ユニット
412 ALU
420 特殊レジスタ
422 スタック記述子レジスタ
424 スタックポインタレジスタ
426 データ記述子レジスタ
428 コード記述子レジスタ
430 命令ポインタ
440 汎用レジスタ
442 オブジェクト記述子
444 非初期化
446 データ
500 オブジェクト記述子
570 タグ付きメモリ
600 EFIイメージ
700 CPU
710 制御ユニット
712 ALU
740 汎用レジスタ
742 オブジェクト記述子
744 非初期化
746 データ
780 タグ
770 メモリ
110 リング0
120 オペレーティングシステムカーネル
122 ハードウェアアブストラクションレイヤ
124 サービス呼び出し
126 実行可能EFIランタイムドライバイメージ
150 プラットフォームファームウェア
160、162、164 EFIランタイムドライバ
170 ハードウェアデバイス
180 データ180
200 コンピュータデバイス
204 CPU
206 メモリ
208 ストレージ
210 オペレーティングシステム
212 OSカーネル
220 ドライバ
224 アプリケーションプログラム
230 EFIランタイムコンポーネント
232 タグ付きメモリ
233 オブジェクト記述子
234 キャッシュアズRAM
240 ネットワークアダプタ
250 入力装置
252 出力装置
260 バス
270 通信路
310 リング0
320 オペレーティングシステムカーネル
322 ハードウェアアブストラクションレイヤ
324 サービス呼び出し
326 タグ付きメモリ内の実行可能EFIランタイムドライバイメージ
350 プラットフォームファームウェア
360、362、364 EFIランタイムドライバ
370 ハードウェアデバイス
380 データ
400 CPU
410 制御ユニット
412 ALU
420 特殊レジスタ
422 スタック記述子レジスタ
424 スタックポインタレジスタ
426 データ記述子レジスタ
428 コード記述子レジスタ
430 命令ポインタ
440 汎用レジスタ
442 オブジェクト記述子
444 非初期化
446 データ
500 オブジェクト記述子
570 タグ付きメモリ
600 EFIイメージ
700 CPU
710 制御ユニット
712 ALU
740 汎用レジスタ
742 オブジェクト記述子
744 非初期化
746 データ
780 タグ
770 メモリ
Claims (18)
- 拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納する工程と、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断する工程と
を備え、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止する方法。 - 前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラー
のうちの1つを含む請求項1に記載の方法。 - 前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項1または2に記載の方法。
- 前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項1から3のいずれか一項に記載の方法。
- 前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する工程をさらに備える請求項1から4のいずれか一項に記載の方法。
- 前記複数のオブジェクト記述子を前記タグ付きメモリに格納する工程の前に、タグ付きメモリが利用可能であるか否かを判断する工程と、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断する工程とをさらに備え、
前記タグ付きメモリにアクセスできるか否かを判断する工程の前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給する工程をさらに備え、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項1から5のいずれか一項に記載の方法。 - 複数のオブジェクト記述子を含み、システムボードに結合されるタグ付きメモリと、
ハードウェア論理と、
を含むシステムであって、
前記ハードウェア論理は、
非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納し、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断した場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断した場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止するシステム。 - 前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項7に記載のシステム。
- 前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項7または8に記載のシステム。
- 前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項7から9のいずれか一項に記載のシステム。
- 前記ハードウェア論理は、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する請求項7から10のいずれか一項に記載のシステム。
- 前記ハードウェア論理は、前記タグ付きメモリが利用可能であるか否かを判断し、前記タグ付きメモリが利用可能である場合に、EFIシステムが実装されているか否かを判断し、1つ以上の呼び出しポイントを非タグ付きメモリからタグ付きメモリに供給し、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項7から11のいずれか一項に記載のシステム。 - 複数の命令が格納される機械可読媒体であって、
前記複数の命令は実行されると前記機械に、
拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納するオペレーションと、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記タグ付きメモリに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断するオペレーションと
を行わせ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理させ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止させる機械可読媒体。 - 前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項13に記載の機械可読媒体。
- 前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項13または14に記載の機械可読媒体。
- 前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項13から15のいずれか一項に記載の機械可読媒体。
- 前記非ファームウェアエージェントがアクセスを試みている場合に前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成するオペレーションをさらに行わせる請求項13から16のいずれか一項に記載の機械可読媒体。
- 前記複数のオブジェクト記述子を前記タグ付きメモリに格納するオペレーションの前に、タグ付きメモリが利用可能であるか否かを判断するオペレーションと、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断するオペレーションとをさらに行わせ、
前記タグ付きメモリにアクセスできるか否かを判断するオペレーションの前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給するオペレーションをさらに行わせ、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項13から17のいずれか一項に記載の機械可読媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/534,109 US8312509B2 (en) | 2006-09-21 | 2006-09-21 | High integrity firmware |
| US11/534,109 | 2006-09-21 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011159843A Division JP5512610B2 (ja) | 2006-09-21 | 2011-07-21 | 非ファームウェアエージェントからメモリへのアクセスを許可または阻止する方法、システム、および機械可読記憶媒体 |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008097597A JP2008097597A (ja) | 2008-04-24 |
| JP2008097597A5 JP2008097597A5 (ja) | 2010-09-30 |
| JP4793733B2 true JP4793733B2 (ja) | 2011-10-12 |
Family
ID=39204749
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007245614A Expired - Fee Related JP4793733B2 (ja) | 2006-09-21 | 2007-09-21 | 高インテグリティファームウェア |
| JP2011159843A Expired - Fee Related JP5512610B2 (ja) | 2006-09-21 | 2011-07-21 | 非ファームウェアエージェントからメモリへのアクセスを許可または阻止する方法、システム、および機械可読記憶媒体 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2011159843A Expired - Fee Related JP5512610B2 (ja) | 2006-09-21 | 2011-07-21 | 非ファームウェアエージェントからメモリへのアクセスを許可または阻止する方法、システム、および機械可読記憶媒体 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8312509B2 (ja) |
| EP (1) | EP1918815B1 (ja) |
| JP (2) | JP4793733B2 (ja) |
| KR (1) | KR100938305B1 (ja) |
| CN (1) | CN101201749B (ja) |
Families Citing this family (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8368915B1 (en) * | 2006-06-23 | 2013-02-05 | Open Invention Network, Llc | System and method for printer driver management in an enterprise network |
| US7617374B2 (en) * | 2007-02-26 | 2009-11-10 | Inventec Corporation | Hard disk testing method under extensible firmware interface |
| US9069990B2 (en) * | 2007-11-28 | 2015-06-30 | Nvidia Corporation | Secure information storage system and method |
| US9069706B2 (en) * | 2008-02-11 | 2015-06-30 | Nvidia Corporation | Confidential information protection system and method |
| US20090204801A1 (en) * | 2008-02-11 | 2009-08-13 | Nvidia Corporation | Mechanism for secure download of code to a locked system |
| US8719585B2 (en) * | 2008-02-11 | 2014-05-06 | Nvidia Corporation | Secure update of boot image without knowledge of secure key |
| US20090204803A1 (en) * | 2008-02-11 | 2009-08-13 | Nvidia Corporation | Handling of secure storage key in always on domain |
| US9158896B2 (en) * | 2008-02-11 | 2015-10-13 | Nvidia Corporation | Method and system for generating a secure key |
| US9613215B2 (en) * | 2008-04-10 | 2017-04-04 | Nvidia Corporation | Method and system for implementing a secure chain of trust |
| US8943491B2 (en) * | 2008-06-26 | 2015-01-27 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Systems and methods for maintaining CRTM code |
| EP2513781A4 (en) * | 2009-12-18 | 2013-11-20 | Hewlett Packard Development Co | METHODS AND APPARATUS FOR UPDATING A COMPONENT FIRMWARE USING A FIRMWARE UPDATE APPLICATION |
| US9465657B2 (en) | 2011-07-19 | 2016-10-11 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US9098608B2 (en) | 2011-10-28 | 2015-08-04 | Elwha Llc | Processor configured to allocate resources using an entitlement vector |
| US9443085B2 (en) | 2011-07-19 | 2016-09-13 | Elwha Llc | Intrusion detection using taint accumulation |
| US9558034B2 (en) | 2011-07-19 | 2017-01-31 | Elwha Llc | Entitlement vector for managing resource allocation |
| US9575903B2 (en) | 2011-08-04 | 2017-02-21 | Elwha Llc | Security perimeter |
| US9298918B2 (en) | 2011-11-30 | 2016-03-29 | Elwha Llc | Taint injection and tracking |
| US9170843B2 (en) | 2011-09-24 | 2015-10-27 | Elwha Llc | Data handling apparatus adapted for scheduling operations according to resource allocation based on entitlement |
| US8943313B2 (en) * | 2011-07-19 | 2015-01-27 | Elwha Llc | Fine-grained security in federated data sets |
| US9460290B2 (en) | 2011-07-19 | 2016-10-04 | Elwha Llc | Conditional security response using taint vector monitoring |
| US9798873B2 (en) | 2011-08-04 | 2017-10-24 | Elwha Llc | Processor operable to ensure code integrity |
| US8955111B2 (en) | 2011-09-24 | 2015-02-10 | Elwha Llc | Instruction set adapted for security risk monitoring |
| US9471373B2 (en) | 2011-09-24 | 2016-10-18 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US8813085B2 (en) | 2011-07-19 | 2014-08-19 | Elwha Llc | Scheduling threads based on priority utilizing entitlement vectors, weight and usage level |
| US8788904B2 (en) * | 2011-10-31 | 2014-07-22 | Hewlett-Packard Development Company, L.P. | Methods and apparatus to perform error detection and correction |
| KR101643072B1 (ko) * | 2012-03-30 | 2016-08-10 | 인텔 코포레이션 | 인터넷 이용 가능 컴퓨팅 노드에 대한 불변 안티바이러스 페이로드의 제공 |
| US9489924B2 (en) | 2012-04-19 | 2016-11-08 | Nvidia Corporation | Boot display device detection and selection techniques in multi-GPU devices |
| US9075751B2 (en) | 2012-08-09 | 2015-07-07 | Intel Corporation | Secure data protection with improved read-only memory locking during system pre-boot |
| US9576153B2 (en) * | 2013-08-23 | 2017-02-21 | Cellco Partnership | Device and method for providing information from a backend component to a frontend component by a secure device management abstraction and unification module |
| CN104573500A (zh) * | 2014-09-10 | 2015-04-29 | 中电科技(北京)有限公司 | 一种基于uefi的软件实时保护系统和方法 |
| US10929149B2 (en) | 2014-11-11 | 2021-02-23 | Red Hat, Inc. | Method and system for updating firmware |
| US10268822B2 (en) | 2014-12-01 | 2019-04-23 | Hewlett-Packard Development Company, L.P. | Firmware module execution privilege |
| CN104573529B (zh) * | 2015-01-28 | 2018-04-17 | 加弘科技咨询(上海)有限公司 | 一种bios固件的划分、更新方法和系统 |
| US9880833B2 (en) | 2015-06-30 | 2018-01-30 | International Business Machines Corporation | Initialization status of a register employed as a pointer |
| CN108292342B (zh) * | 2016-01-25 | 2022-09-06 | 惠普发展公司,有限责任合伙企业 | 向固件中的侵入的通知 |
| US10042752B2 (en) * | 2016-05-27 | 2018-08-07 | Hewlett Packard Enterprise Development Lp | Object descriptors |
| JP6736456B2 (ja) * | 2016-11-17 | 2020-08-05 | キオクシア株式会社 | 情報処理装置およびプログラム |
| US11163885B2 (en) * | 2017-04-21 | 2021-11-02 | Hewlett-Packard Development Company, L.P. | Firmware outputted keyboard code to enter operating system state |
| US10831897B2 (en) * | 2017-07-14 | 2020-11-10 | Dell Products, L.P. | Selective enforcement of secure boot database entries in an information handling system |
| US11797684B2 (en) | 2018-08-28 | 2023-10-24 | Eclypsium, Inc. | Methods and systems for hardware and firmware security monitoring |
| US11106471B2 (en) | 2019-03-29 | 2021-08-31 | Dell Products L.P. | System and method to securely map UEFI ISCSI target for OS boot using secure M-Search command option in UEFI discover protocol |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5075845A (en) | 1989-12-22 | 1991-12-24 | Intel Corporation | Type management and control in an object oriented memory protection mechanism |
| US5075842A (en) * | 1989-12-22 | 1991-12-24 | Intel Corporation | Disabling tag bit recognition and allowing privileged operations to occur in an object-oriented memory protection mechanism |
| JPH06282431A (ja) * | 1993-03-29 | 1994-10-07 | Hitachi Ltd | マイクロプロセッサ |
| DE69533587T2 (de) | 1994-05-26 | 2006-02-23 | The Commonwealth Of Australia | Gesicherte rechnerarchitektur |
| JP3225455B2 (ja) | 1994-10-05 | 2001-11-05 | 清水建設株式会社 | 建屋の構築方法 |
| US6175626B1 (en) * | 1995-09-29 | 2001-01-16 | Intel Corporation | Digital certificates containing multimedia data extensions |
| US5712914A (en) * | 1995-09-29 | 1998-01-27 | Intel Corporation | Digital certificates containing multimedia data extensions |
| US5710814A (en) * | 1996-07-23 | 1998-01-20 | Cheyenne Property Trust | Cryptographic unit touch point logic |
| US5857144A (en) * | 1996-08-09 | 1999-01-05 | Ericsson, Inc. | In-band vehicular repeater for trunked radio system |
| JP3220647B2 (ja) | 1996-09-20 | 2001-10-22 | 日興電機工業株式会社 | 油圧パワーユニット装置 |
| US6253323B1 (en) * | 1996-11-01 | 2001-06-26 | Intel Corporation | Object-based digital signatures |
| US6978018B2 (en) * | 2001-09-28 | 2005-12-20 | Intel Corporation | Technique to support co-location and certification of executable content from a pre-boot space into an operating system runtime environment |
| US7127579B2 (en) * | 2002-03-26 | 2006-10-24 | Intel Corporation | Hardened extended firmware interface framework |
| US6971003B1 (en) * | 2002-04-02 | 2005-11-29 | Adaptec, Inc. | Method and apparatus for minimizing option ROM BIOS code |
| US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
| US7509644B2 (en) * | 2003-03-04 | 2009-03-24 | Secure 64 Software Corp. | Operating system capable of supporting a customized execution environment |
| US20050204357A1 (en) | 2004-03-15 | 2005-09-15 | Ajay Garg | Mechanism to protect extensible firmware interface runtime services utilizing virtualization technology |
| KR100746025B1 (ko) * | 2006-01-12 | 2007-08-06 | 삼성전자주식회사 | 운영체제 스위칭 장치 및 방법 |
-
2006
- 2006-09-21 US US11/534,109 patent/US8312509B2/en active Active
-
2007
- 2007-09-21 EP EP07253752.5A patent/EP1918815B1/en not_active Not-in-force
- 2007-09-21 JP JP2007245614A patent/JP4793733B2/ja not_active Expired - Fee Related
- 2007-09-21 CN CN2007101701649A patent/CN101201749B/zh not_active Expired - Fee Related
- 2007-09-21 KR KR1020070096853A patent/KR100938305B1/ko not_active IP Right Cessation
-
2011
- 2011-07-21 JP JP2011159843A patent/JP5512610B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| KR20080027207A (ko) | 2008-03-26 |
| EP1918815B1 (en) | 2013-11-13 |
| JP2008097597A (ja) | 2008-04-24 |
| JP2011238277A (ja) | 2011-11-24 |
| JP5512610B2 (ja) | 2014-06-04 |
| EP1918815A3 (en) | 2008-12-24 |
| US20080077973A1 (en) | 2008-03-27 |
| US8312509B2 (en) | 2012-11-13 |
| KR100938305B1 (ko) | 2010-01-22 |
| EP1918815A2 (en) | 2008-05-07 |
| CN101201749A (zh) | 2008-06-18 |
| CN101201749B (zh) | 2011-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4793733B2 (ja) | 高インテグリティファームウェア | |
| KR100692346B1 (ko) | 시스템 완전성 및 레거시 환경 에뮬레이션을 제공하기위한 방법 | |
| US7127579B2 (en) | Hardened extended firmware interface framework | |
| US8321931B2 (en) | Method and apparatus for sequential hypervisor invocation | |
| US7191464B2 (en) | Method and system for tracking a secure boot in a trusted computing environment | |
| US7827371B2 (en) | Method for isolating third party pre-boot firmware from trusted pre-boot firmware | |
| US9319380B2 (en) | Below-OS security solution for distributed network endpoints | |
| US8327415B2 (en) | Enabling byte-code based image isolation | |
| US7974416B2 (en) | Providing a secure execution mode in a pre-boot environment | |
| Heasman | Implementing and detecting a pci rootkit | |
| Han et al. | A bad dream: Subverting trusted platform module while you are sleeping | |
| KR101306395B1 (ko) | 시스템용 실리콘 통합 코드 제공 | |
| Regenscheid | Platform firmware resiliency guidelines | |
| US10430589B2 (en) | Dynamic firmware module loader in a trusted execution environment container | |
| US11500787B2 (en) | Enforcing code integrity using a trusted computing base | |
| US20090300307A1 (en) | Protection and security provisioning using on-the-fly virtualization | |
| Bashun et al. | Too young to be secure: Analysis of UEFI threats and vulnerabilities | |
| KR101013419B1 (ko) | 시스템 보호 장치 및 방법 | |
| CN108595981B (zh) | 加密安卓系统的方法 | |
| CN113448682A (zh) | 一种虚拟机监控器加载方法、装置及电子设备 | |
| Yao et al. | Firmware Resiliency: Detection | |
| Yadav | SECURE BOOTLOADER IN EMBEDDED SYSTEM USING MISRA-C | |
| Zimmer | System Isolation Beyond BIOS using the Unified Extensible Firmware Interface. | |
| Parno et al. | How Do We Make Sense of Platform State? |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100518 |
|
| A524 | Written submission of copy of amendment under article 19 pct |
Free format text: JAPANESE INTERMEDIATE CODE: A524 Effective date: 20100816 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101012 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110107 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110628 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110715 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140805 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |