TW201721416A - 管理基本輸入輸出系統設定的系統和方法以及非暫態電腦可讀取媒體 - Google Patents

管理基本輸入輸出系統設定的系統和方法以及非暫態電腦可讀取媒體 Download PDF

Info

Publication number
TW201721416A
TW201721416A TW105111017A TW105111017A TW201721416A TW 201721416 A TW201721416 A TW 201721416A TW 105111017 A TW105111017 A TW 105111017A TW 105111017 A TW105111017 A TW 105111017A TW 201721416 A TW201721416 A TW 201721416A
Authority
TW
Taiwan
Prior art keywords
bios
state
authentication information
settings
request
Prior art date
Application number
TW105111017A
Other languages
English (en)
Inventor
林友涵
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Publication of TW201721416A publication Critical patent/TW201721416A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4411Configuring for operating with peripheral devices; Loading of device drivers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/654Updates using techniques specially adapted for alterable solid state memories, e.g. for EEPROM or flash memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/442Shutdown

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Stored Programmes (AREA)

Abstract

BIOS設定配置可被儲存在電腦系統的BIOS。預設BIOS狀態可被設定為鎖態。當認證要求被接收以及當該接收到的認證要求的認證資訊匹配被儲存在該BIOS的認證資訊時,該BIOS狀態可從該鎖態被更改至解鎖態。在一些實施例裡,BIOS設定更改要求可被接收。該BIOS設定可基於該BIOS設定更改要求而被修改。於該BIOS設定修改完成之後,該BIOS狀態可被更改回該鎖態。

Description

管理基本輸入輸出系統設定的系統和方法以及非暫態電腦可讀取媒體
本揭露係有關於一種伺服器裝置,特別是有關於計算裝置的管理基本輸入輸出系統(BIOS)設定配置的方法。
許多技術已經發展到以提供易存取性、一致性、以及有效率的方式來遠端管理電腦伺服器的操作。遠端管理允許移除該等伺服器的輸入/輸出介面(例如,螢幕、鍵盤、以及滑鼠)。舉例來說,大型數據中心包含眾多伺服器,且使用各種遠端管理工具,像是簡單終端連接、遠端桌面應用、以及其他軟體工具,以配置、監控、和排解伺服器硬體和軟體的疑難而共同地管理該等伺服器。
在典型的電腦系統中(例如,數據中心的機架式伺服器),BIOS軟體應用程式被儲存在BIOS晶片上,該BIOS晶片位於該電腦系統的一主機板上。當該電腦系統隨著一組指定用於該BIOS的設定而第一次被開機時,於載入該作業系統之前,藉由該電腦系統的中央處理器(CPU)而執行該BIOS儲存的韌體。該BIOS韌體和BIOS設定通常被儲存在一非揮發性記憶 體,像是一非揮發性隨機存取記憶體(NVRAM)或一唯讀記憶體(ROM)。基於該BIOS,該CPU將基於該組設定接著執行一系列的工作去辨識、初始化、以及測試在該電腦系統中的硬體。然後該BIOS允許該電腦系統的該CPU去載入一作業系統(OS)。
該BIOS軟體提供一介面,該介面允許各種不同的參數被設定。舉例來說,該介面可被用來設定時鐘和匯流排速度、設定依附該電腦系統的周邊設備、設定健康監視(例如,風扇轉速和CPU溫度範圍)、以及設定各種其他影響該電腦系統的整體性能和電源使用的參數。
伺服器可被具有不同計算需求之不同數據中心所使用。然而,典型的伺服器被預載單一BIOS預設配置,該單一BIOS預設配置對於該用戶的不同需求可能不是最佳的選擇。此外,針對伺服器的BIOS配置往往複雜而且可能被緊緊連結到在各個機架式伺服器中的硬體組合。傳統上,該管理員需要一人機介面和一OS應用程式去改變針對機架式伺服器的該BIOS配置,這會限制了該機架式伺服器的該初始配置。
為了提供對本技術一基本的理解,以下介紹的是一個或多個實施例的一簡要概述。此概述不是本技術所有預期的實施例的廣泛綜述,並且既不旨在標示所有範例的關鍵或重要元素,也不描繪本技術的任何或全部特徵的範圍。其唯一的目的是用一簡化的形式作為後面更多實施方式的前奏,呈現一個或多個範例的一些概念。
根據在此處所述範例的一個或多個特徵,提供用 來管理電腦系統的基本輸入/輸出系統(BIOS)設定的系統和方法。在一特徵中,係提供用來管理電腦系統的BIOS設定的方法。該方法包括接收一更改要求而修改該BIOS的設定。該方法包括判定該BIOS狀態是否是一解鎖態,以及基於該判定、該更改要求而修改該BIOS。
在一相關特徵中,該方法進一步包括判定該BIOS狀態是否是一鎖態。該方法進一步包括接收一認證要求而從該鎖態更改至該解鎖態,在此,接收到的該認證要求包括認證資訊。該接收到的認證資訊和儲存在該BIOS之用於匹配的認證資訊進行比對。根據判定該接受到的認證資訊是否匹配該儲存認證資訊,該BIOS狀態可被更改到該解鎖態。該方法進一步包括基於該更改要求而修改該BIOS設定。該修改成功後,該BIOS設定可從該解鎖態被更改回該鎖態。
在另一個特徵中,提供用來管理電腦系統的BIOS設定的裝置。該裝置包括至少一處理器用以接收一更改要求而修改該BIOS設定、判定一BIOS狀態、接收一認證需求,該需求包括認證資訊、判定該接收到的認證資訊是否匹配儲存在該BIOS的認證資訊、以及將該BIOS狀態從該鎖態更改至該解鎖態。
在另一個特徵中,提供非暫態電腦可讀取媒體用來管理電腦系統的BIOS設定。該非暫態電腦可讀取媒體儲存可執行指令,該可執行指令促使一數據處理裝置接收一更改要求而修改該BIOS設定、判定一BIOS狀態、接收該認證需求,該認證需求包括認證資訊、判定該接受到的認證資訊是否匹配儲 存在該BIOS的認證資訊、以及將該BIOS狀態從該鎖態更改至該解鎖態。
101‧‧‧作業系統
102‧‧‧BIOS設定
103‧‧‧BIOS認證機制
200、300‧‧‧方法
210-270‧‧‧方法200的步驟
301-309‧‧‧方法300的步驟
400‧‧‧電腦系統
410‧‧‧BIOS
412‧‧‧NVRAM
420‧‧‧記憶體
430‧‧‧儲存體
440‧‧‧處理器
450‧‧‧網路介面
460‧‧‧BMC
470‧‧‧匯流排
本技術的這些和其他樣本特徵將在實施方式中以及隨後所附請求項、和在隨同的圖式中被描述,其中:第1A、1B和1C圖顯示一框圖,該框圖有益於對本技術各個特徵的理解;第2圖顯示在一電腦系統中,BIOS設定配置的認證程序之示範方法的流程圖;第3圖顯示用於一電腦系統中的BIOS管理設定之示範方案的框圖;以及第4圖顯示一示範電腦系統的框圖。
本技術的各種特徵將參照附圖進行說明。在以下的描述中,出於解釋的目的,許多具體的細節被用來闡述對一個或多個特徵有一透徹的理解。它可以是顯而易見的,然而,本技術可以在沒有這些具體細節的情況下被實施。在其它實例中,公知的結構和裝置以框圖的形式顯示,使得描述這些特徵更加容易。“示範”這個詞在這裡是指“用作一範例、實例、或說明”。在這裡被描述為“示範”的任意實施例不一定作較優或者優於其他實施例之解釋。
本揭露提供根據本技術之技巧用於管理BIOS設定配置。一電腦系統(例如,一機架式伺服器)的一BIOS可被預載 一BIOS預設配置。該電腦系統可使用一預設配置的BIOS來啟動或可由使用者(例如,一管理員)特定的一客製BIOS設定配置來啟動。
首先,該揭露參照第1A圖,該第1A圖顯示一存取該BIOS設定的傳統方法和隨其連帶的問題。特別是,第1A圖顯示一配置,該配置提供存取BIOS設定102給在該作業系統(OS)101下之目前正在運作的任意程序。通常情況下,一管理員或其他被授權的使用者可根據需求,經常存取該BIOS設定102做修改。然而,這種情況的問題是,惡意程式也可通過該作業系統101存取該BIOS設定102。本文所用的術語“惡意程式”指的是任何型式的惡意軟體,像是病毒。因此,在第1A圖中的該配置不僅可讓該電腦系統中被授權的使用者(例如,管理員)存取該BIOS設定102,也可讓該惡意程式存取該BIOS設定102。這可能導致對該電腦系統的傷害。
已被提出的解決方案只是防止存取該BIOS設定。這在第1B圖顯示。第1B圖顯示任何從作業系統101請求來存取的程序不會獲得BIOS存取許可,以防止未經授權存取的情況。這些設定超越BIOS存取許可,不只防止該惡毒的惡意程式,但是也會使該電腦系統的合法使用者無法存取該BIOS設定102。因此,該管理員在需要時,像是經由一遠端存取通過該作業系統101時,可能無法修改該BIOS設定102。當該管理員需要管理成千上萬的電腦系統,像是在一數據中心,這可能是特別不方便的。此外,這可能也影響該電腦系統的安全性。舉例來說,如果需要通過BIOS設定來修改該電腦系統的一些安全性功 能,該限制存取的不便性可能延遲更新以及讓該電腦系統易受到攻擊。另外,如果需要通過BIOS設定來修改該電腦系統的一些其它功能用以支援新功能,該限制存取的不便性可能延遲更新和這些新功能的配置。
有鑑於上述的情況,本揭露針對管理BIOS更新提供一種新方法。這在第1C圖顯示。特別是,第1C圖顯示通過一BIOS認證機制103來存取該BIOS設定102的方法。亦即,當提供有效的認證資訊時,該BIOS認證機制103被配置為允許在該作業系統101上的一程序(例如,一管理員控制程序)來修改該BIOS設定102。特別是,藉由“解鎖”該BIOS設定102。因此,為了管理該BIOS設定,該管理員將需要有準確的認證資訊,該準確的認證資訊將與儲存在該BIOS的內部認證資訊或其他安全資訊進行匹配。
本揭露設想,該BIOS認證機制103可以是任何授權機制,以確認可存取該BIOS設定的經授權使用者的憑證。這樣的機制可到該作業系統101內部或外部操作。進一步,這樣的機制可在該電腦系統的該CPU上操作或/和該電腦系統的其它控制器,像是一管理控制器。舉例來說,在一些實施例裡,該管理控制器(例如,基板管理控制器,BMC)被配置為與該中央處理器(CPU)一起工作,以提供該BIOS認證機制來允許在CPU的該作業系統101之該程序存取該BIOS。
本揭露還設想,一類似的程序可被用於管理和控制該BIOS設定102。在這樣的配置下,該管理控制器可坐落在該CPU與該BIOS之間,以允許該BIOS一遠端頻外程序(remote out-of-band process)來判定該接收到的認證資訊是否正確。BIOS可從BMC收到該儲存的認證資訊。BMC可為該所有者以控制該正確認證資訊的定義。在一些實施例裡,BMC可控制和儲存該BIOS設定(例如,鎖態/解鎖態),以及當從OS接收到BIOS設定更改要求時,BIOS可從BMC查驗該當前狀態。該BIOS認證機制103可被用以管理認證程序,該認證程序使用在不同型式的認證上。這樣的資訊可包括密碼、生物特徵資訊、識別(ID)程序、加密方法、數位簽章、遠端控制、或它們的任意組合。這份針對BIOS認證機制103的認證程序表單並非唯一的表單,而且有其它認證的方式。應當理解的是所述範例並非詳盡,而且並不限制該認證程序達到所揭露的精確形式。
根據在所述之實施例的一個或多個特徵,第2圖顯示一針對在一電腦系統的該解鎖BIOS設定之該認證程序的一示範方法之流程圖。當該BIOS設定是在一鎖態時,該方法200可在步驟210啟動。本揭露設想的是該鎖態可以是一預設BIOS狀態以防止未經授權的實體存取該BIOS設定。這種預設BIOS設定可由一使用者(例如,管理員)來指定。在一些實施例裡,這種狀態指定可被儲存在系統管理隨機存取記憶體(SMRAM)上。
在步驟220中,該BIOS認證機制可接收一認證要求。該認證要求可以是一BIOS狀態更改要求,以使該BIOS狀態從該鎖態更改至該解鎖態來進行必要的BIOS設定修改。該認證要求可通過OS應用軟體從該管理員接收。該認證要求可包括針對該狀態更改要求的認證之認證資訊。該認證資訊包括任何 認證程序,像是認證密碼、生物特徵資訊、識別(ID)程序、加密方法、數位簽章、遠端控制等等。上述的BIOS認證程序表單並非唯一的表單,而且有其它認證的方式。
在一些實施例裡,舉例來說,該認證資訊可以是藉由該電腦系統的該周邊裝置接收到的生物特徵(biometric)資訊。在一些實施例裡,舉例來說,該認證資訊可以是藉由該電腦系統的各種感應器偵測到的視聽內容資訊。在一些實施例裡,舉例來說,該認證資訊可以是藉由該電腦系統產生或客製之含有字串變數的密碼。
在步驟230中,該BIOS認證機制可擷取被儲存的認證資訊。在一些實施例裡,舉例來說,一認證密碼可以被儲存在系統管理隨機存取記憶體(SMRAM),以及該BIOS認證機制可以從該SMRAM擷取該密碼。然而,在其它實施例裡,為了進一步使該密碼安全,僅在一系統管理模式(SMM)運行的BIOS軟體編碼可被准許存取儲存在SMRAM的該密碼。因此,任何運行於在該作業系統上的一正常模式之其它軟體可能無法存取在該SMRAM上的任何數據。因此,該密碼可被安全的保護。
在步驟240中,該被儲存的認證資訊與從該管理員接收到的該認證資訊可被比對來做一判定,判定該接收到的認證資訊是否與被儲存的認證資訊匹配。
本揭露設想的是在步驟220中從該管理員接收到的該認證資訊,或在步驟230中被擷取的該認證資訊可被加密。如前所說,本揭露設想的是任何步驟220、230、以及240可包括加密程序。
在一些實施例裡,該BIOS認證機制用以判定在步驟240中,該接收到的認證資訊是否恰好匹配該被儲存的認證資訊。然而,在其它實施例裡,BIOS認證機制用以判定在步驟240中,該接收到的認證資訊和該被儲存的認證資訊之間相似性的層級。該相似性的層級說明該接收到的認證資訊與該被儲存的認證資訊相似程度有多高。在這樣配置下,若該相似性的層級高於相似性的一臨界層級,該BIOS認證機制可判定該接收到的認證資訊匹配該被儲存的認證資訊。該臨界層級是以判定該接收到的認證資訊匹配該被儲存的認證資訊為目的之相似性層級。
在一些實施例裡,該相似性的臨界層級可藉由該電腦系統而被判定。舉例來說,該輸入裝置的型式可能限制該認證資訊的再現性,因而臨界可基於被偵測而得的該輸入裝置的型式而被調整。同樣地,該認證資訊的型式可要求一該臨界的調整。舉例來說,生物特徵資訊可要求一相較於一文字密碼較低的臨界。仍然在其它實施例裡,該相似性的臨界層級可由該使用者客製。
在步驟250中,緊接在判定該接收到的認證資訊匹配該被儲存的認證資訊於步驟240後,該BIOS狀態可從該鎖態更改至該解鎖態以允許任何必要的BIOS設定更改。二者擇一地,在步驟260中,緊接在判定該接收到的認證資訊不匹配該被儲存的認證資訊於步驟240後,該BIOS狀態維持在該鎖態。因而,存取該BIOS設定的路徑被屏蔽。其後,該BIOS機制可在步驟270中恢復先前的處理,並包括重複方法200。
在一些實施例裡,統一可延伸韌體介面(UEFI)BIOS設定可被儲存於一BIOS記憶體裝置(例如,快閃記憶體)在NVRAM作為一可延伸韌體介面(EFI)變數。在一些實施例裡,舉例來說,該認證密碼可被儲存在NVRAM作為一可延伸韌體介面變數。該密碼可在沒有設定運行時,存取指示旗標下被儲存於NVRAM,所以當該電腦系統被重新啟動或關機時,該密碼是可讀的。
在一相關特徵中,該BIOS認證機制使該BIOS設定在運行時被更改。舉例來說,該EFI變數為運行時可存取。藉由執行該BIOS認證機制,一針對該EFI變數的運行時可存取指示旗標可被加入,以接受該BIOS設定更改要求於該正常OS下。此特徵使該BIOS軟體編碼能夠運行在SMM以存取該BIOS設定,以及防止操作於該OS的正常模式的該惡意程式存取該BIOS設定。
當該BIOS狀態更改要求被接收,該BIOS將檢查該BIOS狀態以確認該BIOS狀態更改要求是否可被接受。緊接著判定該BIOS狀態需要被更改而接受該更改要求(例如,該BIOS狀態是一鎖態),該BIOS可在SMM修改設定變數“SetVariable()”服務執行。為了更改有關於該BIOS設定的該EFI變數,該BIOS可更改儲存在NVRAM的該EFI變數。
在一些實施例裡,舉例來說,當此預先定義的EFI設定變數名稱輸入是一指定用於驗證的EFI變數,該BIOS可呼叫EFI SetVariable()服務,以預先定義的名稱輸入。SetVariable()服務是BIOS可提供的一EFI規範定義的服務。該設定變數可被 用於從該OS接收該認證資訊。設定變數包括輸入關於EFI變數的名稱及其數據之參數。通常,BIOS將被標記為一預先定義名稱的該EFI變數的數據儲存進入NVRAM。在一些實施例裡,SetVariable()服務可被修改以及儲存進入NVRAM。該修改的SetVariable()服務的一呼叫功能可被視為發送該認證資訊,如第2圖所示之220。因此,在該輸入參數上的該數據將被視為用於驗證的該認證資訊。
在一些實施例裡,該BIOS設定配置可從任何儲存裝置取得,前述儲存裝置像是電腦系統可存取之一BMC、一硬碟驅動器、一電子式可抹除可程式唯讀記憶體(EEPROM)、或一非揮發性隨機存取記憶體(NVRAM)。在一相關的特徵裡,該BIOS任何的設定配置可被一使用者指定。
第3圖顯示一針對在一電腦系統中,用於管理BIOS設定配置之一示範方法300的步驟流程圖。該方法300可從步驟301開始,一電腦系統被啟動到該作業系統。與步驟301同時地,於步驟303該BIOS設定被配置在一鎖態。如上所述,該BIOS設定可預設被鎖定。二者擇一地,該BIOS設定可在該啟動程序中被鎖定。從步驟303開始,該方法300可前往到步驟302、304、或306其中之一。
如上所述,本揭露設想的是為了授予存取該BIOS設定,正確的認證資訊需被提供來讓該BIOS認證機制可以解鎖該BIOS設定,如上面關於第2圖所討論。因此,步驟302顯示只要不正確的認證資訊被提供給該BIOD認證機制,該BIOS設定將藉由該BIOS認證機制被維持在該鎖態303。
步驟304和305顯示在沒有解鎖該BIOS設定下,一電腦系統接收到一BIOS設定更改請求時的方案。舉例來說,此一方案下可以被預期會有惡意程式試圖使一BIOS設定更改,雖然該惡意程式能夠解鎖該BIOS設定將是不可能的。在此方案下,於步驟304接收到該BIOS設定更改請求時,該電腦系統將判定該BIOS態仍是在該鎖態以及使該BIOS設定將不會在步驟305被更改。當該電腦系統被判定使該BIOS設定將不會被更改,該電腦系統恢復先前的處理,並且該BIOS設定於步驟303仍鎖在該態上。
步驟306-309顯示該方案是當該BIOS認證機制先於或在一更改請求期間,解鎖該BIOS設定。首先,如第3圖所示,該正確的認證資訊於步驟306被接收。在判定該接收到認證資訊與該被儲存的認證資訊相匹配下,該BIOS狀態將被更改到該解鎖態307。此程序可如上面關於第2圖所述來執行。
如前面所討論的,該認證資訊可以是任意數據來認證如上面所述的一被授權使用者。該使用者可利用任何輸入方法來輸入該認證資訊。該電腦系統的該BIOS認證機制將接著擷取被儲存在該BIOS的該內部認證資訊來做出一判定。在判定該接收到的認證資訊匹配該被儲存的認證資訊,該BIOS狀態可藉由該BIOS認證機制被更改到該解鎖態。
與步驟306和307晚於或同時地,BIOS設定更改請求可被接收(步驟308)。其後,因為該BIOS設定是在一解鎖態,該BIOS設定可基於該更改要求在步驟309而被更改。一旦該BIOS設定更改被完成,該BIOS狀態可更改回到該鎖態303來防 止非授權程序隨後地存取以及更改該BIOS設定。
第4圖顯示一示範電腦系統400的框圖。該電腦系統400可包括一處理器440、一網路介面450、一基板管理控制器(BMC)460、一記憶體420、一儲存體430、一BIOS 410、以及一匯流排470。
舉例來說,該電腦系統400可以是一伺服器(例如,在一數據中心的許多機架式伺服器中的一個)或一個人電腦。該處理器(例如,中央處理器)440可擷取和執行被儲存在該記憶體420(例如,隨機存取記憶體)的程式指令。該處理器440可以是一具有單個處理核心的單一CPU、一具有多個處理核心的單一CPU、或多個CPU。該儲存體430可包括數據儲存體的任意非揮發性形式,像是一HDD或一閃存驅動器。該匯流排470可傳輸電腦組件之間的指令和應用數據,像是該處理器440、記憶體420、儲存體430、以及網路介面450。
該BIOS 410可包括一基本輸入/輸出系統或其繼承者或同等者,像是一可延伸韌體介面(EFI)或統一可延伸韌體介面(UEFI)。該BIOS 410可包括一BIOS晶片,該BIOS晶片位於該電腦系統400的一主機板上,用來儲存一BIOS軟體程式。當該電腦系統和指定用於該BIOS 410的一組設定第一次被開機,該BIOS 410可儲存被執行的韌體。該BIOS韌體和BIOS設定可被儲存在非揮發性記憶體(例如,NVRAM)412或一ROM。
每一次該電腦系統400被啟動,該BIOS 410可作為一序列程式而被載入和執行。基於該組設定,該BIOS 410可辨識、初始化、以及測試一給定電腦系統中的硬體。該BIOS 410 可定址和分配在該記憶體420的一區域,用來儲存一作業系統(OS)。該BIOS 410可接著將該電腦系統的控制轉移給該OS。
該電腦系統400的該BIOS 410可包括一BIOS配置,該BIOS配置定義該BIOS 410如何控制在該電腦系統400中的各種硬體。該BIOS設定可判定在該電腦系統400中的該等硬體被啟動時的次序。該BIOS 410可提供一介面,該介面允許各種不同的參數被設定,該等參數不同於在一BIOS預設配置的參數。舉例來說,一使用者(例如,一管理員)可使用該BIOS 410來特定時鐘和匯流排速度、特定什麼周邊被裝在該電腦系統400、特定健康監視(例如,風扇轉速和CPU溫度範圍)、以及特定各種其他參數,該等其他參數影響該電腦系統400的整體性能和電源使用。
該BMC 460可以是一嵌入在一電腦的該主機板上之專門微控制器,例如一伺服器。該BMC 460可管理系統管理軟體和平台硬體之間的介面。內建在該電腦系統400上的不同類型的感應器可將像是溫度、冷卻風扇轉速、電源狀態、作業系統(OS)狀態等的參數向該BMC 460反映。該BMC 460可監視該感應器以及如果任何該參數沒有待在預設範圍內,意味著該系統有一潛在性故障時,該BMC 460有能力經由該網路介面450傳送警報給一管理員。該管理員也可與該BMC 460進行遠端通信來採取一些正確的作為,像是重置或者或電源循環該系統來恢復功能。
機架式伺服器可為基於不同計算需求的不同的數據中心所使用。然而,典型的機架式伺服器被預載一單一BIOS 預設配置,該單一BIOS預設配置對於不同用戶的各種需求可能不是最佳的選擇。此外,針對機架式伺服器的BIOS配置往往複雜而且可能被緊緊連結到在各個機架式伺服器中的硬體組合。傳統上,該管理員需要一人機介面和一OS應用程式去選擇針對機架式伺服器的該BIOS配置,這會限制了該機架式伺服器的該初始配置。
在一示例性實施方式中,該電腦系統400可寫入複數個BIOS預設配置到該BIOS 410。在一相關特徵中,該BMC 460可不使用一OS來寫入該等BIOS預設配置。在另一相關特徵中,一運行在OS上的應用程式可寫入該等BIOS預設配置。在一示例性實施方式中,該電腦系統400的該BIOS 410可選擇特定的BIOS預設配置。在一示例性實施方式中,該BIOS 410可載入該特定的BIOS預設配置進入到該BIOS 410的該NVRAM 412。
在一些實施例裡,在一數據中心的一伺服器機架上,通常容納大量的機架式伺服器。該機架式伺服器可具有不同的硬體配置或可針對不同的目的而被使用。舉例來說,一些機架式伺服器可具有比其它伺服器更多的HDD、記憶體容量、或CPU核心。在另一範例中,某些機架式伺服器可針對雲端儲存而被使用,因此需要較少的處理電源,而其它伺服器可用以服務線上遊戲,因此需要較多的處理電源。因而,該機架式伺服器可能需要不同的BIOS預設配置,該BIOS預設配置是針對不同硬體配置以及針對該機架式伺服器的不同功能之最佳選擇。一使用者,例如一資訊科技(IT)研發人員,可準備針對不 同的機架式伺服器而提供不同的韌體設定(包括例如,BIOS預設配置)的腳本。通常,該韌體設定經由一OS應用程式被安裝。這意味著該OS必須在該韌體設定能被安裝之前,被載入到各個機架式伺服器上。
針對本揭露所述的各種說明性邏輯區塊、模組、以及電路,於此處可與被設計用來執行在此處所述的功能之一通用處理器、數位訊號處理器(DSP)、一特定應用整合式電路(ASIC)、一場效可程式化邏輯閘陣列(FPGA)、或其它可程式化邏輯裝置、離散閘極或電晶體邏輯、離散硬體組件、或它們的任意組合一起被實施或執行。一通用處理器可以是一微處理器,但在替代方案中,該處理器可以是任意常規處理器、控制器、微控制器、或狀態機。一處理器也可作為一計算裝置的組合而被實施,例如一DSP和一微處理器的組合、一複數個微處理器、一個或多個微處理器與一DSP核心連結、或其它這樣的配置。
針對本揭露所述的一方法或演算法的作業於此處可以直接在硬體、在藉由一處理器而被執行的一軟體模組、或在上述兩者的組合中被實施。一軟體模組可駐留在RAM、閃存記憶體、ROM、EPROM、EEPROM、暫存器、硬碟、一可移動式硬碟、一CD-ROM、或在所屬技術領域已習知的任何其它型式的儲存媒體。一示範性儲存媒體被耦接到該處理器,使得該處理器可讀取資訊型式,以及寫入資訊到該儲存媒體。在替代方案中,該儲存媒體可以是該處理器的部分組成。該處理器和該儲存媒體可駐留在一ASIC。該ASIC可駐留在一使用者終 端。在替代方案中,該處理器和該儲存媒體可作為離散組成而駐留在一使用者終端。
在一個或多個示範性設計中,所述功能可以在硬體、軟體、韌體、或它們的任意組合中被實現。如果是在軟體中被實現,該功能可以作為一個或多個指令或編碼在一非暫態電腦可讀取媒體上被儲存或傳輸。該非暫態電腦可讀取媒體包括電腦儲存媒體和通信媒體兩者,該通信媒體包括使一電腦程式容易從一位置傳輸到另一位置的媒體。一儲存媒體可以是任何可用的媒體,該可用的媒體可以藉由一通用或特定電腦而被存取。以舉例的方式,而且不設限,這樣的電腦可讀取媒體包括RAM、ROM、EEPROM、CD-ROM或其它光碟儲存、磁碟儲存或其它磁性儲存裝置、或任何其它媒體,該媒體可被以指令或數據結構的形式利用來傳送或儲存所需程式編碼方法以及可藉由一通用或特定電腦、或一通用或特定處理器而被存取。在這裡被使用的磁碟和光碟包括光碟片(CD)、雷射影碟、光碟、數位多功能光碟(DVD)、軟碟以及藍光光碟,其中磁碟通常磁性地再現數據,而光碟則以雷射光學地再現數據。上述的組合也應該被包括在該非暫態電腦可讀取媒體的範圍之內。
本揭露先前的描述是提供給所屬技術領域的專業人員來製造或使用本揭露。各種修改本揭露對所屬技術領域的專業人員將是顯而易見的,以及本文定義的一般原理可在不脫離本揭露的範圍下被應用在其它變動。因此,本揭露沒有打算被限制在本文範例和所述設計,但要與本揭露於本文所述的原理及新穎特徵之最廣範圍是符合的。
200‧‧‧方法
210-270‧‧‧方法200的步驟

Claims (10)

  1. 一種管理電腦系統之基本輸入/輸出系統(BIOS)設定的方法,該方法包括:接收一更改要求,以修改複數BIOS設定的至少之一;判定該等BIOS設定的一BIOS狀態是否為一解鎖態;若判定該BIOS狀態是該解鎖態則基於該更改要求修改該等BIOS設定;判定該BIOS狀態是否為一鎖態;以及若判定該BIOS狀態是該鎖態,則忽略該更改要求。
  2. 如申請專利範圍第1項所述的管理電腦系統之基本輸入/輸出系統設定的方法,進一步包括:接收一認證要求以更改該BIOS狀態到該解鎖態,該認證要求包括被接收到的認證資訊;判定該接收到的認證資訊是否匹配被儲存的認證資訊;若判定在該認證要求中的該接收到的認證資訊匹配該被儲存的認證資訊,則將該BIOS狀態從該鎖態更改到該解鎖態;以及若判定在該認證要求中的該接收到的認證資訊不匹配該被儲存的認證資訊,則維持該BIOS狀態在該鎖態。
  3. 如申請專利範圍第1項所述的管理電腦系統之基本輸入/輸出系統設定的方法,進一步包括在基於該更改要求而修改該等BIOS設定之後,將該BIOS狀態從該解鎖態更改到該鎖態。
  4. 如申請專利範圍第2項所述的管理電腦系統之基本輸入/ 輸出系統設定的方法,進一步包括:偵測該電腦系統是否在一運行狀態;以及若偵測到該電腦系統是在該運行狀態,則配置該等BIOS設定而使該被儲存的認證資訊為不可存取。
  5. 一種管理基本輸入/輸出系統(BIOS)設定的系統,該系統包括:一處理器;一記憶體裝置包括複數指令,當藉由該處理器而執行時,會使該處理器:接收一更改要求以修改複數BIOS設定的至少之一;判定該等BIOS設定的一BIOS狀態是否是在一解鎖態;若判定該BIOS狀態是在該解鎖態,則基於該更改要求而修改該BIOS設定;判定該BIOS狀態是否在一鎖態;以及若判定該BIOS狀態是在該鎖態,則忽略該更改要求。
  6. 如申請專利範圍第5項所述的管理基本輸入/輸出系統設定的系統,其中當該指令被執行時,進一步使該處理器:接收一認證要求以更改該BIOS狀態至該解鎖態,該認證要求包括被接收到的認證資訊;判定該接收到的認證資訊是否匹配被儲存的認證資訊;以及 若判定在該認證要求中的該接收到的認證資訊匹配該被儲存的認證資訊,則將該BIOS狀態從該鎖態更改至該解鎖態。
  7. 如申請專利範圍第6項所述的管理基本輸入/輸出系統設定的系統,其中當該指令被執行時,進一步使該處理器:若判定該接收到的認證資訊不匹配該被儲存的認證資訊,則維持該BIOS狀態在該鎖態。
  8. 如申請專利範圍第5項所述的管理基本輸入/輸出系統設定的系統,其中當該等指令被執行時,進一步使該處理器在基於該更改要求而修改該BIOS狀態之後,將該BIOS狀態從該解鎖態更改至該鎖態。
  9. 一種非暫態電腦可讀取媒體,儲存有用於管理基本輸入/輸出系統(BIOS)設定之可執行的複數指令,該等可執行指令使一數據處理裝置:接收一更改要求以修改複數BIOS設定的至少之一;判定該BIOS設定的一BIOS狀態是否是在一解鎖態;若判定該BIOS狀態是在該解鎖態,則基於該更改要求而修改該BIOS設定;判定該BIOS狀態是否是在一鎖態;以及若判定該BIOS狀態是在該鎖態,則忽略該更改要求。
  10. 如申請專利範圍第9項所述的非暫態電腦可讀取媒體,其中該等可執行指令進一步使該數據處理裝置: 接收一認證要求而更改該BIOS狀態至該解鎖態,該認證要求包括接收到的認證資訊;判定該接收到的認證資訊是否匹配被儲存的認證資訊;以及若判定在該認證要求中的該接收到的認證資訊匹配該被儲存的認證資訊,則將該BIOS狀態從該鎖態更改至該解鎖態。
TW105111017A 2015-12-09 2016-04-08 管理基本輸入輸出系統設定的系統和方法以及非暫態電腦可讀取媒體 TW201721416A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US14/963,875 US9875113B2 (en) 2015-12-09 2015-12-09 System and method for managing BIOS setting configurations

Publications (1)

Publication Number Publication Date
TW201721416A true TW201721416A (zh) 2017-06-16

Family

ID=59020539

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105111017A TW201721416A (zh) 2015-12-09 2016-04-08 管理基本輸入輸出系統設定的系統和方法以及非暫態電腦可讀取媒體

Country Status (3)

Country Link
US (1) US9875113B2 (zh)
CN (1) CN106855814B (zh)
TW (1) TW201721416A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI738243B (zh) * 2020-03-10 2021-09-01 神雲科技股份有限公司 伺服系統

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI607381B (zh) * 2016-08-10 2017-12-01 神雲科技股份有限公司 用於電腦裝置的系統資訊存取方法
KR102494241B1 (ko) * 2016-08-18 2023-02-03 에스케이하이닉스 주식회사 메모리 시스템 및 그의 동작 방법
US10374885B2 (en) 2016-12-13 2019-08-06 Amazon Technologies, Inc. Reconfigurable server including a reconfigurable adapter device
US10691803B2 (en) * 2016-12-13 2020-06-23 Amazon Technologies, Inc. Secure execution environment on a server
US10282549B2 (en) * 2017-03-07 2019-05-07 Hewlett Packard Enterprise Development Lp Modifying service operating system of baseboard management controller
US10831897B2 (en) * 2017-07-14 2020-11-10 Dell Products, L.P. Selective enforcement of secure boot database entries in an information handling system
US10635818B1 (en) * 2017-08-25 2020-04-28 American Megatrends International, Llc Blocking runtime firmware variable access
US20200302060A1 (en) * 2017-12-14 2020-09-24 Hewlett-Packard Development Company, L.P. Enabling access to capturing devices by basic input and output systems (bios)
CN108932431A (zh) * 2018-07-10 2018-12-04 联想(北京)有限公司 一种处理方法及系统
US11500978B2 (en) 2018-07-31 2022-11-15 Hewlett-Packard Development Company, L.P. Password updates
WO2020027851A1 (en) * 2018-08-03 2020-02-06 Hewlett-Packard Development Company, L.P. Bios personalities
EP3891619B1 (en) * 2019-02-28 2023-09-27 Hewlett-Packard Development Company, L.P. Access to firmware settings with asymmetric cryptography
CN110287686B (zh) * 2019-06-24 2021-06-15 深圳市同泰怡信息技术有限公司 一种基本输入输出系统的安全启动权限管理方法以及设备
US11188130B2 (en) * 2019-11-19 2021-11-30 Dell Products L.P. Method and apparatus for thermal management using different customization modes
CN111143826A (zh) * 2019-12-26 2020-05-12 苏州浪潮智能科技有限公司 一种bios的用户账号密码设置方法、装置及相关设备
EP3961387A1 (en) * 2020-08-28 2022-03-02 Omron Corporation Boot device and method for booting a computer system
CN113434202B (zh) * 2020-09-18 2024-03-29 阿里巴巴集团控股有限公司 一种设备的启动方法、装置、电子设备及计算机存储介质
JP2022124165A (ja) * 2021-02-15 2022-08-25 キオクシア株式会社 メモリシステム

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5586301A (en) 1994-11-09 1996-12-17 Ybm Technologies, Inc. Personal computer hard disk protection system
US6419960B1 (en) * 1998-12-17 2002-07-16 Euro-Celtique S.A. Controlled release formulations having rapid onset and rapid decline of effective plasma drug concentrations
US6594780B1 (en) 1999-10-19 2003-07-15 Inasoft, Inc. Operating system and data protection
US20050283599A1 (en) * 2004-06-22 2005-12-22 Zimmerman Toby S Exposing BIOS information to an ACPI aware operating system
US8533845B2 (en) * 2005-02-15 2013-09-10 Hewlett-Packard Development Company, L.P. Method and apparatus for controlling operating system access to configuration settings
US7734934B2 (en) * 2005-12-20 2010-06-08 Intel Corporation Seamless data migration
US7698546B2 (en) * 2006-04-27 2010-04-13 Microsoft Corporation BIOS configuration update technique
US9047452B2 (en) * 2006-07-06 2015-06-02 Dell Products L.P. Multi-user BIOS authentication
US8909940B2 (en) * 2008-06-23 2014-12-09 Intel Corporation Extensible pre-boot authentication
US8856512B2 (en) * 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
US8103883B2 (en) * 2008-12-31 2012-01-24 Intel Corporation Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption
US8296579B2 (en) * 2009-11-06 2012-10-23 Hewlett-Packard Development Company, L.P. System and method for updating a basic input/output system (BIOS)
WO2012105031A1 (ja) * 2011-02-04 2012-08-09 富士通株式会社 情報処理装置及び設定情報管理方法
TWI467485B (zh) 2011-06-07 2015-01-01 Insyde Software Corp Verification of the basic input and output system update method, the computer can read the recording media and computer program products
US20130019281A1 (en) * 2011-07-11 2013-01-17 Cisco Technology, Inc. Server Based Remote Authentication for BIOS
TWI436280B (zh) 2011-08-22 2014-05-01 Acer Inc 存取基本輸入輸出系統設定的認證方法
WO2013048439A1 (en) * 2011-09-30 2013-04-04 Hewlett-Packard Development Company, L.P. Managing basic input/output system (bios) access
CN103186748A (zh) * 2011-12-29 2013-07-03 鸿富锦精密工业(深圳)有限公司 电子装置及其密码保护方法
DE102012101876A1 (de) * 2012-03-06 2013-09-12 Wincor Nixdorf International Gmbh PC Absicherung durch BIOS/(U) EFI Erweiterungen
CN104424047A (zh) * 2013-08-20 2015-03-18 研祥智能科技股份有限公司 一种nvram数据恢复方法和装置
JP2015072451A (ja) * 2013-09-06 2015-04-16 株式会社リコー 冷却装置、及び画像形成装置
US9792437B2 (en) * 2014-04-22 2017-10-17 Dell Products, Lp System and method for securing embedded controller communications by providing a security handshake
US20160036628A1 (en) * 2014-08-01 2016-02-04 Vineet Gupta Method and system for performing out-of-band management of computing devices over a wireless wide-area network
US10387651B2 (en) * 2014-09-23 2019-08-20 Hewlett-Packard Development Company, L.P. Detecting a change to system management mode bios code
US9519785B2 (en) * 2014-12-08 2016-12-13 Dell Products L.P. Basic input/output system (BIOS) security display

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI738243B (zh) * 2020-03-10 2021-09-01 神雲科技股份有限公司 伺服系統

Also Published As

Publication number Publication date
US9875113B2 (en) 2018-01-23
US20170168851A1 (en) 2017-06-15
CN106855814A (zh) 2017-06-16
CN106855814B (zh) 2020-11-24

Similar Documents

Publication Publication Date Title
CN106855814B (zh) 管理基本输入输出系统设定的系统和方法
US10740468B2 (en) Multiple roots of trust to verify integrity
US10762216B2 (en) Anti-theft in firmware
US7900252B2 (en) Method and apparatus for managing shared passwords on a multi-user computer
EP3125149B1 (en) Systems and methods for securely booting a computer with a trusted processing module
JP5565040B2 (ja) 記憶装置、データ処理装置、登録方法、及びコンピュータプログラム
US8769228B2 (en) Storage drive based antimalware methods and apparatuses
JP5373062B2 (ja) システム管理コマンドを提供するシステム及び方法
CN107292176B (zh) 用于访问计算设备的可信平台模块的方法和系统
KR102513435B1 (ko) 펌웨어의 보안 검증
US20170277916A1 (en) Secure control of self-encrypting storage devices
US11354417B2 (en) Enhanced secure boot
US7890756B2 (en) Verification system and method for accessing resources in a computing environment
US20160328564A1 (en) Unified extensible firmware interface (uefi) credential- based access of hardware resources
US10776493B2 (en) Secure management and execution of computing code including firmware
US10482278B2 (en) Remote provisioning and authenticated writes to secure storage devices
US10742412B2 (en) Separate cryptographic keys for multiple modes
US20210126909A1 (en) Information Handling Systems And Methods To Manage Tickets Based On User Presence, System State And Ticket Management Policy
US20200285731A1 (en) Measured execution of trusted agents in a resource constrained environment with proof of work
US11921858B2 (en) System and method for protecting against alterations in chain of trust sequences
US20220121748A1 (en) Modifications to firmware functionality
CN118094604A (zh) 支持自加密驱动器热插的系统和方法