TW201337736A

TW201337736A - 用以取用基本輸入輸出系統的功能之以網路為基礎的介面

Info

Publication number: TW201337736A
Application number: TW101138707A
Authority: TW
Inventors: Valiuddin Y Ali; Jose Paulo Xavier Pires; James M Mann; Boris Balacheff; Chris I Dalton
Original assignee: Hewlett Packard Development Co
Priority date: 2011-10-21
Filing date: 2012-10-19
Publication date: 2013-09-16
Also published as: JP5881835B2; WO2013058768A1; CN103890716A; IN2014DN03053A; CN103890716B; US9753742B2; GB201406796D0; BR112014009356A2; US9448810B2; GB2510736A; US20140298003A1; US20170003980A1; JP2014531084A; DE112011105752T5; GB2510736B; TWI601064B

Abstract

在一電子裝置中的一個網路為基介面可接收欲取用一基本輸入輸出系統的一功能之一請求。

Description

用以取用基本輸入輸出系統的功能之以網路為基礎的介面

本發明係有關用以取用基本輸入輸出系統的功能之以網路為基礎的介面。

一電子裝置，像是電腦或其他類型的裝置，可能包括負責啟動此電子裝置的基本輸入輸出系統(BIOS)。在啟動期間，此基本輸入輸出系統初始化及組配電子裝置之組件，並且在該電子裝置載入作業系統。此外，基本輸入輸出系統也可以提供其他服務，像是電源管理服務、熱管理服務、基本輸入輸出系統更新服務、諸如此類。

依據本發明之一可行實施例，係特地提出一種用於電子裝置之方法，其包含：接收存取一基本輸入輸出系統(BIOS)之一功能的一請求；以及經由一網路為基介面依路由傳送該請求至包括該BIOS的該功能之一領域。

100、300、500、600‧‧‧電子裝置

102‧‧‧請求實體

104‧‧‧BIOS存取請求

106、611‧‧‧網路為基介面

108、306、612、614‧‧‧BIOS功能

110‧‧‧雲端

302、604‧‧‧VMM

304、520、608‧‧‧特權領域

308‧‧‧實體

310、502A、502B、602‧‧‧客端虛擬機器

312、314‧‧‧請求

316、514‧‧‧路徑

202、204、402、404、406‧‧‧步驟

316、606‧‧‧硬體資源

504A、504B‧‧‧客端作業系統(OS)

506A、506B‧‧‧應用程式

508A、508B‧‧‧虛擬BIOS

510‧‧‧韌體層

512‧‧‧實體BIOS

516‧‧‧服務領域虛擬機器(VM)

518‧‧‧使用者介面(UI)程式碼

524‧‧‧實體/伺服器

526‧‧‧安全連接

610‧‧‧網路通訊功能

616‧‧‧網路

618‧‧‧受信任環境

620‧‧‧伺服器電腦

622‧‧‧處理器

624‧‧‧儲存媒體

626‧‧‧網路介面

有些實施例係針對下列圖式來描述：圖1、3、5和6係依據不同實施態樣之配置的方塊圖。

圖2和4係依據不同實施態樣之程序的流程圖。

基本輸入輸出系統(BIOS)通常是在電子裝置啟動時被電子裝置執行的第一個程式碼。電子裝置的例子包括電腦(例如桌上型電腦、筆記型電腦、平板電腦、及伺服器電腦等)、手持裝置(例如個人數位助理及智慧型手機等)、電子設備、電玩遊樂器或任何其他類型的電子裝置。BIOS初始化並組配電子裝置的各種硬體組件，並載入跟啟動該電子裝置之作業系統(OS)。BIOS之程式碼通常儲存在像是快閃記憶體裝置或其他類型的可規劃唯讀記憶體(ROM)之非依電性記憶體上。

BIOS也提供可在電子裝置中被引動的其他功能。BIOS的許多此類其他功能常藉由進入系統管理模式(SMM)在電子裝置中執行，系統管理模式是OS執行被中止的一種操作模式。還有，在具有多個處理器或處理器核心之電子裝置中，除了一個之外的其他所有處理器或處理器核心可能在SMM模式下被去能。要進入SMM模式，系統管理中斷(SMI)被主張，與一SMI處置器(其是BIOS的一部分)通常在一相對高權限模式被執行，來履行各自的功能。

進入SMM模式來履行BIOS功能可能存在個幾個問題。第一，因為OS執行被中止，一般的電子裝置運作即不能進行。還有，在有處理器或處理器核心於SMM模式期間被去能的電子裝置中，該電子裝置的處理容量的一部分暫時地被解除致動，這意味著該處理容量的這部分無法用來履行其他任務。此外，預測SMM處理所會花的時間可能有困難，其可能造成電子裝置運作上的不確定性。再者，因為某些BIOS功能可能會花上相當長時間來完成(例如達幾分鐘)，該電子裝置的使用者可能沒法取得狀態訊息，這樣對使用者可能會造成困窘的經驗，因為該使用者並不能確定該電子裝置是否有正常作用。

安全性也可能是個問題，因為惡意程式可能在SMM運作期間攻擊，其可會導致系統訛誤。避免任何這樣對SMM運作攻擊所用的安全措施可能造成電子裝置設計上的複雜度增加。這類安全措施的例子包括鎖定某些儲存區域，包括暫存器和/或像是快閃記憶體裝置或是其他類型可規劃唯讀記憶體之非依電性記憶體的一部分，這樣作可提供防止對BIOS不要的或未授權的修改之保護。然而，這些安全措施可能對諸如BIOS程式碼更新之某些BIOS功能的執行施加限制，其可能迫使此等BIOS功能僅在某些時機執行，像在系統重啟時。

通常在SMM執行的各種功能的例子可包括下列的任一個或一組合：更新BIOS程式碼的服務；取用或修改BIOS設定的服務；執行熱管理的熱管理服務(例如控制電子裝置中諸如風扇的冷卻裝置)；電力管理服務(移除或復原供給特定硬體組件的電力)；在不同電力狀態(例如休眠狀態、睡眠狀態、全開狀態、諸如此類)間切換電子裝置的服務；處理電子裝置的一按鈕或按鈕序列(例如用來開/關無線介面組件的一按鈕、用來執行某預定任務的一熱鍵序列、諸如此類)的致動(其包括多個按鈕之某一組合的致動)之服務；與電子裝置的周圍光線感測器(用來偵測電子裝置周遭的周圍光線)相關聯的服務；修改BIOS設定的服務；修改電子裝置中硬體組件的設定的服務；變更電子裝置之可啟動裝置之啟動次序的服務；用來處置OS與BIOS間的某類型呼叫(例如一中斷15呼叫)的服務；執行嵌入式控制器的命令的服務；與在某些情況下支援舊有周邊裝置(例如通用串列匯流排裝置)的服務。

雖然各種範例的BIOS功能在上文列出，要注意的是其他或替代的BIOS功能也可以在其他實施態樣中使用。

依據一些實施態樣，為有更堅固的系統運作，BIOS的功能可在允許BIOS功能在電子裝置不需進入SMM模式時即可存取的一領域被提供。此領域可被安置在電子裝置之外，或該領域可被安置在電子裝置之內。大體上，BIOS可被認為是「雲端中的BIOS」，也稱作為「BIOS.v.」。該雲端可被安置在電子裝置內或電子裝置外部。

為存取「雲端中的BIOS」，以網路為基礎的介面被提供。大體上，「以網路為基礎的介面」(簡稱“網路為基介面”)可表示允許請求者使用經由像是網際網路或其他類型網路的一網路發送之傳訊技術來取用資源的介面。網路為基介面提供用以存取BIOS的一種現代介面，其中該介面可獨立於或以較低程度依附於其下的平台，平台包括作業系統跟晶片組(於下文進一步討論)。圖1是依據一些實施態樣的一電子裝置100之簡化方塊圖。電子裝置100包括一請求實體102(例如虛擬機器監視器、客端虛擬機器、或一些其他實體)，其能夠提交BIOS存取請求104。BIOS存取請求104被提交至一網路為基介面106。提供此網路為基介面106的功能接著能夠引導BIOS存取請求104至一雲端110中的相對應BIOS功能108，其中雲端110可在電子裝置100的內部，或是在可經由網路存取之外部地點。雖然接下來的討論係以單數的意念來稱呼此「BIOS功能」，應注意此「BIOS功能」可能表示一個單一的BIOS功能或多個BIOS功能。

又稱作超管理器的虛擬機器監視器(VMM)，管理虛擬機器對電子裝置之實體資源的分享，此等資源包括電子裝置之硬體組件。VMM會將此等實體資源虛擬化。每個虛擬機器都有由VMM管理的相關聯虛擬化實體資源。VMM處理針對實體資源的請求。

「虛擬機器」(也稱作「虛擬設備」或「虛擬分區」)表示一實體機器(電子裝置)中被提供來虛擬化或模擬一實體機器的某些分區或部段。從使用者或應用程式的觀點來看，虛擬機器看起來就像是實體機器。虛擬機器包括有作業系統(稱為客端作業系統)及至少一應用程式。而「客端虛擬機器」可以表示包括客端作業系統與應用程式的虛擬機器。客端虛擬機器與領域0不同，後者通常是虛擬機器監視器所啟動的第一個領域(或虛擬機器)。

作為例子，網路為基介面106可以是網路服務介面。網路服務涉及設計來支援能交互操作的經由網路之機器對機器互動的機制。應知在一些實施樣態中，網路服務介面也可以允許電子裝置100中的實體之間的互動。網路服務介面可以依據如同全球資訊網協會(W3C)所定義的網路服務描述語言(WSDL)所描述的格式。或者，此網路服務介面可以依據簡單物件存取協定(SOAP)(也由W3C定義)，其是個用以於經由網路進行之網路服務的實施態樣中交換結構化訊息的協定。

作為另一個選擇，網路為基介面106可以依據包括客戶機和伺服器的表徵狀態傳送(Representational State Transfer；REST)架構，其中客戶機可以向伺服器提出請求，而伺服器可以提供回應給客戶機。請求與回應係環繞資源表徵之傳送而生成。資源可以是任何可被定址之同調性且有意義的概念。資源表徵典型地是捕捉資源之現在或意圖的狀態的文件。於REST架構下，在某些例子中，客戶機提出的請求可以是超文本傳輸協定(HTTP)Get請求。伺服器可以對此HTTP Get請求提供HTTP回應。應知，客戶機與伺服器可以經由網路耦接，或是客戶機與伺服器可在電子裝置100內。

於網路為基介面106中，藉由發出包含所請求資源之位址之BIOS存取請求，一資源(例如一內部BIOS功能或外部BIOS功能)即可被存取。該位址可以是網路位址，諸如統一資源定位符(URL)、網際網路協定(IP)位址、或可以獨特地識別所請求資源之一些其他位址。

回應於含有於網路為基介面106所接收之位址的此BIOS存取請求，該請求可以被引導至一適當的內部和外部BIOS功能之一。在某些情況下，該請求可以被引導至內部和外部的BIOS功能兩者。

於外部位置提供BIOS功能，可以提供某些效益。舉例來說，與外部伺服器電腦相關聯的服務提供者可以執行BIOS更新之自動檢查，而不需涉及像是電子裝置100的客戶裝置。像在檢知故障或訛誤時，服務提供者也可以控制BIOS回轉到前一個版本。對於BIOS來說，尚可有更多其他的服務，可以在外部伺服器電腦上較有效率與較有效地被執行。

設置網路為基介面的另個效益是，對於存取BIOS功能性時涉及之通訊，可以降低對特定晶片組或作業系統架構的依賴。例如，在一些使用Microsoft WINDOWS^®作業系統之系統中，屬於WBEM(網頁式企業管理)之實施態樣的一個WMI(視窗管理工具提供)機制，可以用以從作業系統來存取BIOS功能。然而，在其他作業環境，像是使用Linux或其他作業系統的環境，對於WMI的支援可能會不可得或很少。作為進一步例子，像是int15或int1A的特定中斷機制可以配合特定類型晶片組來運用。使用更開放的介面，像是依據一些實施態樣的網路為基介面，可降低對特定晶片組和作業系統架構之依賴。此外，用於利用上述的WMI或其他體系來存取BIOS功能的命令格式，可能會過時跟欠缺靈活性。網路為基介面允許使用依據諸如XML(可延伸標記語言)或其他標準之較廣泛使用標準之命令，以便進行通訊來召用BIOS功能性，其可以允許較開放跟可延伸的命令格式，並且其允許基於標準之驗證機制(例如基於XML之驗證機制)被使用。

圖2係依據一些實施態樣之程序的流程圖。此程序可以由電子裝置100執行。此程序接收(於步驟202)存取BIOS功能之一請求。此請求可由一網路為基介面(例如介面106)接收。此程序接著經由網路為基介面106依路由發送此請求至包括BIOS功能108的雲端110。

在一些實施樣態中，提供有BIOS功能108的雲端110是電子裝置100的一個特權領域，其中此特權領域是電子裝置中相對地安全且有該電子裝置的其他實體並不可得之某種預定特權的一個領域。大體上，「特權領域」係指擁有允許該領域中的實體於電子裝置中執行其他實體(例如OS、應用程式等等)不被允許執行之功能的預定特權之領域。還有，特權領域也有保護此特權領域免於未授權的存取或攻擊之安全機構。

藉由把BIOS之功能移至特權領域，電子裝置100可能不需進入SMM模式來執行已被移至特權領域之此等BIOS功能。在一些實施態樣中，SMM作業可以整個被消除。在其他實施態樣中，SMM作業還是可以被賦能來執行某些BIOS功能，而剩餘的BIOS功能則經由特權領域執行。在後者的情況，此觀念是SMM只有針對一小群組之BIOS功能被賦能，使得可以採取有效措施來提供安全及/或增進效率。

特權領域的例子包括下述項目任一者或某些組合：領域0，其通常是虛擬機器監視器(也稱為超管理器)起動來執行管理工作之第一領域；虛擬機器監視器(或超管理器)之一部分；一個客端虛擬機器，其具有預定之設定來提供增強的特權及/或安全給客端虛擬機器；或電子裝置中具有預定之特殊特權及/或安全機構的另一種類型之領域。

圖3係依據某些實施態樣的電子裝置300範例之方塊圖。電子裝置300包括VMM 302，其建立包括至少一BIOS功能306(上面所列BIOS功能之任何一個或組合，或其他BIOS功能)的一個特權領域304。特權領域304也包括圖1之網路為基介面106。特權領域304中之BIOS功能306可以經由網路為基介面106來取用。

在某些例子中，特權領域304是領域0，其是系統啟動時由VMM 302啟動之行政管理領域，並且具有增強的特權和安全機構。由領域0所執行之工作的範例包括建立和組配客端領域。領域0和客端領域各被視為是一對應虛擬機器。

在其他實施樣態中，特權領域304可以是另一類型的虛擬機器，像是客端虛擬機器。諸如依據圖3之配置，特權領域304可以和VMM 302分離。在替代實施樣態中，特權領域304可以是VMM 302的一部分。在這樣的替代實施樣態中，BIOS功能306和網路為基介面106是VMM 302的一部分。

BIOS功能306可由電子裝置300中之一實體308存取。在某些例子中，能夠取用特權領域304中之BIOS功能306的實體308，是客端虛擬機器310之一部分。例如，這樣的實體308可以是客端作業系統或是客端虛擬機器310中另一類型的實體。在其他例子中，實體308可以在任何客端虛擬機器310之外部，像在主作業系統(圖3未示出)或應用程式期望存取BIOS功能306的情況。「主作業系統」與「客端作業系統」不同，客端作業系統是虛擬機器的一部分，而主作業系統不是虛擬機器的一部分。

有兩個替代機制的存在用以讓實體308存取特權領域304中的BIOS功能306。第一種機制涉及實體308直接地發送請求(312)至網路為基介面106來存取特權領域304中的BIOS功能306。如同以下進一步討論地，這可以在客端虛擬機器310中藉由虛擬BIOS的出現而予以賦能。

依據第二種機制，存取BIOS功能306的請求(314)被VMM 302攔截，並且被VMM 302(沿著路徑316)依路由發送至特權領域304中的網路為基介面106。在某些實施樣態中，VMM 302能夠攔截並依路由發送存取BIOS功能306(由實體308)之一個請求至特權領域304，而不需要用虛擬BIOS來組配VMM 302。這降低了VMM 302設計上的複雜度。

圖3也顯示電子裝置300中之硬體資源316。作為例子，硬體資源316包括一處理器(或多個處理器)、輸出入裝置、依電性記憶體、次要儲存器、快閃記憶體、網路介面控制器、圖形適配器等等。硬體資源316受客端虛擬機器(像是310)的存取係由VMM 302管理。

圖4係依據一些實施態樣之一程序的流程圖。例如，圖4之程序可由圖3所描示之實體執行。該程序接收(於步驟402)一請求來引動BIOS之功能(例如圖1或圖3中之BIOS功能306)。例如，該請求可以從實體308被VMM 302接收。

該程序安排路由發送(於步驟404)此請求至特權領域304。VMM 302可以執行這樣的路由安排，或替代地，可由客端虛擬機器310中之虛擬BIOS執行該路由安排。於有虛擬BIOS之實施樣態中，客端虛擬機器310中希望存取BIOS(像是BIOS功能306)的一實體(例如308)，可為客端作業系統，發出存取請求至客端虛擬機器310中的虛擬BIOS。該虛擬BIOS接著依路由發送該存取請求至特權領域304。

BIOS功能306接著基於識別請求之來源、或識別請求之情境、或識別請求之來源與情境，來判定是否執行所請求之BIOS功能(步驟406)。在特權領域基於識別請求之來源而做決定(步驟406)的實施樣態中，接著如果特權領域304判定該請求之來源有被授權來存取所請求BIOS功能，則所請求之BIOS功能即被執行。反之，在這樣的實施樣態中，如果特權領域304判定該請求之來源沒被授權來存取所請求BIOS功能(諸如惡意軟體已發出此請求的情形)，那麼特權領域304可以拒絕所請求BIOS功能之存取。如此，特權領域304即能夠安全地執行BIOS功能。

替代地或額外地，特權領域304基於識別請求之情境來作判定(步驟406)。請求之「情境」意指當請求要被處理時電子裝置(或電子裝置的一部分)之當前環境或狀態。特權領域304基於請求是否在情境上正確(換言之，基於該電子裝置[或電子裝置的部分]的目前狀態或環境是否滿足用以執行該請求的一規則或多個規則)，來判定該請求是否可被執行。例如，假設電子裝置可以合法地進行，依序從狀態S1，到狀態S2，到狀態S3，並到狀態S4。也假設所請求的BIOS功能的執行會把該電子裝置置於狀態S4。在這樣的例子中，特權領域304只有在該電子裝置在狀態S3中(換句話說，該請求之情境正確)時，才會允許執行BIOS功能的該請求。反之，如果電子裝置是在狀態S2，那麼特權領域304不會允許該請求執行，因為那會是個非法變遷(情境不正確)。

執行BIOS功能的請求之情境的正確與否之另一例子如下。假設系統提供執行一動作的一命令涉及以下命令序列：(1)鎖定系統，(2)執行動作，和(3)解鎖系統。如果執行BIOS功能的請求在鎖定該系統之一命令後才被接收到要執行，則該請求即會在情境上正確。然而，如果該請求在鎖定該系統之一命令之前接收到，則此請求即是在情境上不正確，並且該請求不可以被特權領域執行。

依據某些實施態樣，不需進入SMM，請求的BIOS功能便被執行。換言之，SMM可以被略過來執行傳統上於SMM中由SMI BIOS處理器執行的某些BIOS功能。藉由使用依據一些實施態樣的技術與機構，傳統上地會在SMM被執行的BIOS功能可以改為在一特權領域提供的受信賴運作時間環境執行。

加之，因為傳統上使用的安全機制，諸如暫存器或部分的非依電性記憶體的鎖定，可以被省略，故電子裝置之整體設計可以被簡化；此乃因為現在是由特權領域控制針對BIOS功能的請求是否被允許進行。

除了執行請求之BIOS功能之外，特權領域304也能在BIOS功能執行之前執行某些任務。作為例子，特權領域304可以判定要存取或執行BIOS功能的請求是否是適當地被形成，或者欲寫入的資料(像是BIOS程式碼更新的情況)又或BIOS政策之設定是否正確(例如正確的大小、正確的驗證碼、諸如此類)。這可以對於在惡意軟體可能使用惡意形式的請求來存取BIOS功能，試圖藉由處理惡意形式命令請求來造成BIOS失靈的情況，提供防護。特權領域304也可以在執行BIOS功能前判定要被修改之資料(例如BIOS程式碼)的備份是否可以執行。特權領域304更可以判定是否有足夠的電池電力來完成請求的BIOS功能。大體上，在特權領域開始實際地處理或安排路由來傳送該請求至實際的實體BIOS供進一步處理之前，特權領域可以先驗證召用BIOS功能之一請求、與該請求相關聯的輸入、和請求的情境跟其輸入。

在更新BIOS程式碼的情況下，特權領域304也能夠處置與BIOS更新相關聯的元資料及/或元代碼。元資料可以提供關於哪部分的BIOS程式碼要被更新的政策或描述，和與執行更新相關聯的狀況(諸如關於確保用來更新BIOS程式碼的更新程式碼圖像有正確的簽章之狀況、關於在更新失敗的情況回轉至較早的BIOS程式碼版本之狀況、等等)。元代碼可以定義有關BIOS之變數和設定如何被更新的程序。特權領域304可以實施一編譯器來處置元資料及/或元代碼。

圖5是依據替代實施樣態的電子裝置500之方塊圖。電子裝置500包括數個客端虛擬機器502A與502B-雖然有兩個虛擬機器502A與502B示於圖5，應知在替代實施樣態中，可以只有一個客端虛擬機器或有多於二個的客端虛擬機器存在。

每個客端虛擬機器502A或502B包括個別的客端作業系統504A或504B，與個別的應用程式506A或506B。在某些實施樣態中，每個客端虛擬機器502A或502B更包括虛擬BIOS 508A或508B。設計來存取BIOS服務之客端作業系統504A或504B會呼叫個別的虛擬BIOS508A或508B(而不是實際的BIOS)。在某些實施樣態中，虛擬BIOS 508A或508B可以接著直接地安排路由傳送此請求至特權領域520，其包括BIOS功能306。至於依據圖3之實施樣態，特權領域520可以用領域0或另一個虛擬機器來實施，或可以於VMM 302實施。

在替代實施例中，虛擬BIOS 508A或508B可以替代地安排路由傳送存取BIOS功能之該請求經過VMM 302。而在更進一步的替代實施例中，此虛擬BIOS 508A或508B可以於客端虛擬機器502A或502B中被省略-在這樣的實施樣態中，存取BIOS功能的請求可以被VMM 302攔截。

電子裝置500更包括硬體資源316和韌體層510，韌體層510具有包括實際的BIOS 512(於以下的討論稱作「實體BIOS」)的機器可讀指令。「實體BIOS」或「實際BIOS」指的是常駐於諸如快閃記憶體或其他可規劃唯讀記憶體的非依電性記憶體中，並且要在電子裝置500啟動時被執行的BIOS碼。實體BIOS 512可以是典型實體BIOS之簡縮(簡化)版，因為BIOS的一或多個功能可能已被移至特權領域520，以致這些功能係從特權領域520被執行，所以即不需要執行實體BIOS 512的存取。然而，仍有著實體BIOS 512的某些功能保留於實體BIOS 512-這樣BIOS功能的存取便會涉及召用實體BIOS 512。這樣的召用可以經由VMM 302從特權領域520實現，如圖5的路徑514所示。

也應知傳統上，於作業系統與BIOS之間交換的資料是未受保護的，因此，有些系統可能使用各種的專屬方案來對作業系統與BIOS間交換的資料提供某種程度的保護。此類保護之執行是因為作業系統與BIOS之間傳送的資料可能包括像是使用者名字、密碼、鑑別散列(hash)、及/或鑑別政策的敏感資訊。一個普遍所使用的保護方案範例是把作業系統與BIOS間交換的資訊加密。因為使用加密方式的保護會涉及於BIOS(和作業系統)使用與儲存金鑰，並且因為通常對此種金鑰僅有不充分的保護，提供給作業系統與BIOS間交換之資訊的保護可能是薄弱的。而因為與實體BIOS 512之通訊是經由特權領域520執行，用來保護與實體BIOS 512通訊傳送之資料的機密性及/或完整性(像是藉由將資料予以加密)的傳統機制，即不需要實施。這提供了解決方案上的簡約跟效能之增強，同時為傳送到實體BIOS之資料提供更高的保護效果，而實際上不必提供特定的專屬保護機制。

除了客端虛擬機器502A與502B和特權領域520，電子裝置500也可以包括服務領域虛擬機器516，其包括可執行來提供使用者介面(UI)的使用者介面程式碼518。由服務領域虛擬機器516中的UI程式碼518提供的使用者介面可以被使用者用來監視特權領域520之狀態，所以在BIOS功能306執行期間可以提供回饋給使用者。還有，此使用者介面可以被用來組配特權領域520之設定。

如圖5進一步描繪地，特權領域520也包括有網路為基介面106來允許存取特權領域520中的BIOS功能306。BIOS功能306的存取可以來自於電子裝置500中之一實體。在更進一步之例子中，網路為基介面106允許從位於電子裝置500外部之一實體524經由一安全連接526進行網路存取。「安全連接」指的是一種網路連接，其應用安全機制(像是資料加密、建立安全通道、諸如此類)來避免經由此網路連接來傳送之資料遭到未經授權之存取。例如，在一企業環境(其中企業可能是商業、教育組織、或政府機構)中，安全連接526允許電子裝置500來與像是組配來提供預設服務的伺服器之受信任伺服器(524)建立通訊。可由伺服器524提供的預設服務之範例可能包括更新實體BIOS 512或BIOS功能306之服務。在其他例子中，其他服務可以被伺服器524提供。受信任的特權領域520之使用允許BIOS功能之呼叫能發自電子裝置500之外。

於某些實施態樣中，雲端中BIOS是基於以下以VMM為基礎之架構的前提：實體BIOS知道並信賴其正在啟動之主運作時間實體(圖3或圖5中之VMM 302)，並且BIOS信任的VMM有能力來捕捉並關閉除了那些來自特權領域者以外的所有I/O請求(企圖存取BIOS功能性者)。於某些實施態樣中，一種BIOS驗證機制可以被提供來鑑別電子裝置所欲啟動的VMM之來源。美國專利申請案第PCT/US2011/022814號即描述了此類驗證機制之幾個例子。此類驗證機制允許系統管理員或其他使用者來指定只有授權的VMM可以於電子裝置100或300中啟動。此驗證機制確保電子裝置中的VMM影像並未被惡意地修改，並且該VMM是可以信任的。實體BIOS可以在視覺上地驗證VMM影像，並且確保該VMM是以一組先前被指定的已知受控制運作設定來啟動。

在驗證獲授權的VMM已被啟動後，實體BIOS可以接著延緩或省略實體BIOS通常會執行來避免未授權或惡意程式碼造成的訛誤之各種安全措施的執行。例如，實體BIOS可以選擇不鎖定BIOS快閃暫存器及/或部分的快閃記憶體。

圖3或圖5描繪電子裝置(300或500)內部提供雲端中BIOS(例如BIOS功能306)的實施態樣。然而應知，從客端虛擬機器或希望存取BIOS服務之電子裝置之其他實體來看，包括BIOS服務的此雲端可以位在任何地方，包括在電子裝置外部之位置。

圖6顯示了如此安排之例子。圖6描繪有客端虛擬機器602、VMM 604、與硬體資源606之電子裝置600。電子裝置600更包括具有網路為基網路通訊功能610的特權領域608。網路為基網路通訊功能610提供了一網路為基介面611，其能夠路由一個BIOS存取請求至內部BIOS功能612(可以是特權領域608的一部分)或外部BIOS功能614(其可經由網路616存取)。請求實體(例如VMM 604或客端虛擬機器602)可以提出BIOS存取請求至由網路為基網路通訊功能610所提供的網路為基介面611。

於某些實施態樣中，網路616是個用安全機制實施的安全網路，用來避免網路元件之間經由網路616傳送之資訊遭未授權之存取。

外部BIOS功能614可以是伺服器電腦620中的一受信任環境618之一部分。於某些實施態樣中，受信任環境618也可以於伺服器電腦620中於一特權領域(例如領域0、安全客端虛擬機器、虛擬機器監視器、諸如此類)內實現。伺服器電腦620具有一或多個處理器622、儲存媒體624、與網路介面626，以和電子裝置600經由網路616通訊。

諸如圖1、3、5、與6中所描繪者的各種模組，可以當作可於一或多個處理器上執行的機器可讀指令來實行。處理器可以包括微處理器、微控制器、處理器模組或次系統、可規劃積體電路、可規劃閘陣列、或另一控制或運算裝置。

機器可讀指令可以儲存在機器可讀或電腦可讀儲存媒體中，此等媒體可以以一或多個電腦可讀或機器可讀儲存媒體實施。此等儲存媒體可以包括不同型式之記憶體，其包括：諸如動態或靜態隨機存取記憶體(DRAM或SRAM)、可抹除可規劃唯讀記憶體(EPROM)、電氣可抹除可規劃唯讀記憶體(EEPROM)和快閃記憶體的半導體記憶裝置；諸如固定的、軟式、和可移除碟片的磁碟；包括磁帶的其他磁性媒體；諸如實密碟片(CD)或數位視訊碟片(DVD)的光學媒體；或其他類型的儲存裝置。應知，以上所討論之指令可以於一電腦可讀或機器可讀儲存媒體上提供，或替代地，可以於分散於可能具有數個節點之一大型系統中的多個電腦可讀或機器可讀儲存媒體上提供。此(等)電腦可讀或機器可讀儲存媒體係被為是一物件(或製品)的一部分。所謂的物件或製品可指任何製造的單一組件或多個組件。儲存媒體(一或多個)可以被安置於運行機器可讀指令之機器中，或安置於一遠程地點，而機器可讀指令可以從此遠程地點經由網路下載以供執行。

於前文之描述中，陳述了諸多細節來提供對本文所揭露主體之了解。然而，仍有多種實施態樣可能不涉某些或全部的這些細節即可實踐。其他的實施態樣可能包括對以上所討論細節的修改和變化。後附申請專利範圍意圖涵蓋這樣的修改和變化。

100‧‧‧電子裝置

102‧‧‧請求實體

104‧‧‧BIOS存取請求

106‧‧‧網路為基介面

108‧‧‧BIOS功能

110‧‧‧雲端

Claims

一種用於電子裝置之方法，其包含：接收存取一基本輸入輸出系統(BIOS)之一功能的一請求；以及經由一網路為基介面依路由傳送該請求至包括該BIOS的該功能之一領域。
如請求項1所述之方法，其中依路由傳送該請求至該領域，包含依路由傳送該請求至該電子裝置內之一領域。
如請求項1所述之方法，其中依路由傳送該請求至電子裝置內之領域，包含依路由傳送該請求至該電子裝置中之一特權領域。
如請求項1所述之方法，其中依路由傳送該請求至該領域，包含依路由傳送該請求至該電子裝置外之一領域，其中該領域可由該電子裝置經由一網路存取。
如請求項4所述之方法，其中依路由傳送該請求至該電子裝置外之該領域，包含依路由傳送該請求至可經由該網路存取之一伺服器電腦中之該領域。
如請求項1所述之方法，其中接收該請求，包含根據與從網路服務描述語言(WSDL)與表徵狀態傳送(REST)架構所選擇之一個架構相符的一格式接收該請求。
如請求項1所述之方法，其中接收該請求，包含接收含有欲存取之一資源之一位址之該請求。
如請求項1所述之方法，進一步包含由該領域基於辨識從該請求之一來源與該請求之一情境之中所選擇的至少一者來判定是否執行該功能。
如請求項1所述之方法，其中接收調用該BIOS之該功能的該請求，包含接收調用從以下項目組成之組群中選出的一服務之請求：更新該BIOS之程式碼的服務；更新該BIOS之設定的服務；執行該電子裝置中之熱管理的熱管理服務；使該電子裝置在不同電力狀態之間變遷的服務；控制該電子裝置中的一組件之電力的電力管理服務；處理該電子裝置的一按鈕或按鈕序列之致動的服務；與該電子裝置之周圍光線感測器相關聯的服務；修改該BIOS之設定的服務；修改該電子裝置中之一硬體組件之設定的服務；變更該電子裝置之可啟動裝置的啟動順序的服務；處置一作業系統與該BIOS之間的呼叫的服務；執行一嵌入式控制器的命令的服務；以及支援舊有周邊裝置之服務。
一種電子裝置，其包含：一網路為基介面；至少一個處理器；以及一實體，其可於該至少一處理器上執行來提交一請求至該網路為基介面，用來存取一基本輸入輸出系統 (BIOS)之一功能。