TW201935234A - Bios刷寫方法及bios鏡像檔案的處理方法 - Google Patents

Bios刷寫方法及bios鏡像檔案的處理方法 Download PDF

Info

Publication number
TW201935234A
TW201935234A TW107129278A TW107129278A TW201935234A TW 201935234 A TW201935234 A TW 201935234A TW 107129278 A TW107129278 A TW 107129278A TW 107129278 A TW107129278 A TW 107129278A TW 201935234 A TW201935234 A TW 201935234A
Authority
TW
Taiwan
Prior art keywords
bios
image file
file
parameter
bios image
Prior art date
Application number
TW107129278A
Other languages
English (en)
Inventor
付穎芳
肖鵬
Original Assignee
香港商阿里巴巴集團服務有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 香港商阿里巴巴集團服務有限公司 filed Critical 香港商阿里巴巴集團服務有限公司
Publication of TW201935234A publication Critical patent/TW201935234A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • G06F8/63Image based installation; Cloning; Build to order
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

本發明實施例提供了一種BIOS(Basic Input Output System,基本輸入輸出系統)刷寫方法及BIOS鏡像檔案的處理方法,涉及電腦技術領域。所述方法包括:獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數,驗證所述第一校驗參數具有合法性,根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性,採用所述BIOS鏡像檔案進行BIOS刷寫。本發明能夠提高資料伺服器的安全性和可靠性。

Description

BIOS刷寫方法及BIOS鏡像檔案的處理方法
本發明涉及電腦技術領域,特别是涉及一種BIOS (Basic Input Output System,基本輸入輸出系統)刷寫方法及BIOS鏡像檔案的處理方法。
隨著電腦技術的發展,各種各樣的計算設備的應用越來越廣泛。計算設備通常包括硬體系統、BIOS和操作系統。   BIOS為一組固化在ROM(Read Only Memory,唯讀記憶體)晶片的程式,能夠為操作系統提供最底層、最直接的硬體設置或控制介面,操作系統可以通過BIOS對硬體系統進行控制,從而實現計算設備的各項功能。也即是,BIOS是計算設備中溝通硬體系統的操作系統的重要橋樑,該BIOS的安全性和可靠性會直接影響到該計算設備的安全性和可靠性,因此,BIOS刷寫以及BIOS鏡像檔案的處理也越來越受重視。   現有技術中,計算設備可以從BIOS管理伺服器獲取BIOS鏡像檔案,該BIOS管理伺服器能夠產生BIOS鏡像檔案或獲取BIOS提供的鏡像檔案,並將該BIOS鏡像檔案發送給計算設備,計算設備在接收到該BIOS鏡像檔案後可以根據該BIOS鏡像檔案進行BIOS刷寫,之後該計算設備可以啟動BIOS進而加載上層的操作系統,使該計算設備正常運行。   但在上述在獲取以及刷寫BIOS鏡像檔案的過程中,BIOS鏡像檔案均有可能被篡改或者損壞,比如被植入病毒木馬,從而嚴重威脅到計算設備的安全性和可靠性。
鑒於上述問題,提出了本發明以便提供一種克服上述問題或者至少部分地解決上述問題的BIOS刷寫方法及BIOS鏡像檔案的處理方法。   根據本發明的第一方面,提供了一種BIOS刷寫方法,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   驗證所述第一校驗參數具有合法性;   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性;   採用所述BIOS鏡像檔案進行BIOS刷寫。   可選的,所述第一檔案參數根據所述BIOS鏡像檔案產生。   可選的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的私鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案具有合法性。   可選的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的安全證書,所述方法還包括:   驗證所述BIOS管理伺服器的安全證書具有合法性。   可選的,所述根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性包括:   根據所述BIOS鏡像檔案產生第二檔案參數;   驗證所述第二檔案參數與所述第一檔案參數是否一致,若一致,則所述BIOS鏡像檔案具有完整性。   可選的,所述BIOS鏡像檔案還攜帶檔案參數演算法標識,所述根據所述BIOS鏡像檔案產生第二檔案參數包括:   根據所述檔案參數演算法標識和所述BIOS鏡像檔案產生所述第二檔案參數。   可選的,所述獲取BIOS鏡像檔案包括:   向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數和BIOS鏡像檔案版本資訊,所述第一校驗參數根據所述第二校驗參數產生;   所述驗證所述第一校驗參數具有合法性包括:   根據所述第二校驗參數驗證所述第一校驗參數具有合法性。   可選的,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之後,所述方法還包括:   根據資料伺服器的私鑰對所述第一檔案參數進行簽名;   將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   可選的,所述方法還包括:   根據所述第一校驗參數產生第三校驗參數;   在所述根據資料伺服器的私鑰對所述第一檔案參數進行簽名之後,所述方法還包括:   將所述第三校驗參數和攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給BIOS管理伺服器,以使所述BIOS管理伺服器根據所述第三校驗參數驗證所述第一校驗參數具有合法性,並將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   可選的,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   檢測到flash寫信號。   可選的,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   驗證BIOS刷寫程式具有合法性和完整性。   根據本發明的第二方面,提供了一種BIOS鏡像檔案的處理方法,包括:   接收BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數;   獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數;   根據所述第二校驗參數產生第一校驗參數;   將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至資料伺服器,以供所述資料伺服器驗證所述第一校驗參數具有合法性,以及根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   可選的,所述BIOS鏡像檔案獲取請求還攜帶所述資料伺服器的安全證書,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之前,所述方法還包括:   驗證所述資料伺服器的安全證書具有合法性。   可選的,所述BIOS鏡像檔案獲取請求還攜帶BIOS鏡像檔案版本資訊,所述獲取BIOS鏡像檔案包括:   根據所述BIOS鏡像檔案版本資訊獲取所述BIOS鏡像檔案。   可選的,所述BIOS鏡像檔案版本資訊和所述第二校驗參數攜帶BIOS管理伺服器的公鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的私鑰簽名,驗證所述BIOS鏡像檔案版本資訊和所述第二校驗參數具有合法性。   可選的,在所述獲取BIOS鏡像檔案之前,所述方法還包括:   獲取BIOS供應伺服器提供的BIOS相關資訊,所述BIOS相關資訊包括供應伺服器資訊和BIOS鏡像檔案版本資訊中至少一種;   在所述獲取BIOS鏡像檔案之後,所述方法還包括:   根據所述BIOS相關資訊從所述BIOS供應伺服器的多種公鑰中獲取所需的公鑰,所述BIOS鏡像檔案攜帶所來源的BIOS供應伺服器對應的私鑰產生的簽名;   採用所獲取的公鑰對所述BIOS鏡像檔案進行簽名驗證。   可選的,所述BIOS相關資訊還包括所述BIOS鏡像檔案的第一檔案參數,所述方法還包括:   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   可選的,所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數包括:   產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數。   可選的,在所述產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數之前,所述方法還包括:   驗證BIOS產生程式具有合法性和完整性。   可選的,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之後,所述方法包括:   根據BIOS管理伺服器的私鑰對所述BIOS鏡像檔案和所述第一檔案參數進行簽名,以供所述資料伺服器根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案和所述第一檔案參數具有合法性。   根據本發明的第三方面,提供了一種資料處理方法,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   確定所述第一校驗參數符合預設規則;   根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改。   可選的,在所述根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改之後,所述方法還包括:   採用所述BIOS鏡像檔案進行BIOS刷寫。   根據本發明的第四方面,提供了一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,所述處理器執行所述電腦程式時實現如前述一個或多個的方法。   根據本發明的第五方面,提供了一種電腦可讀儲存媒體,其上儲存有電腦程式,所述電腦程式被處理器執行時實現如前述一個或多個的方法。   在本發明實施例中,能夠獲取BIOS鏡像檔案,且該BIOS鏡像檔案攜帶有第一校驗參數以及第一檔案參數,因此,能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,所以採用通過驗證的BIOS鏡像檔案進行刷寫,即能夠減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,提高了該資料伺服器的安全性和可靠性。   上述說明僅是本發明技術方案的概述,為了能夠更清楚瞭解本發明的技術手段,而可依照說明書的內容予以實施,並且為了讓本發明的上述和其它目的、特徵和優點能夠更明顯易懂,以下特舉本發明的具體實施方式。
下面將參照附圖更詳細地描述本發明示例性實施例。雖然附圖中顯示了本發明示例性實施例,然而應當理解,可以以各種形式實現本發明而不應被這裡闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本發明,並且能夠將本發明的範圍完整的傳達給本領域的技術人員。   為了便於本領域技術人員深入理解本發明實施例,以下將首先介紹本發明實施例中所涉及的專業術語的定義。   BIOS鏡像檔案被刷寫至計算設備的ROM晶片,從而當該計算設備啟動該BIOS鏡像檔案時,為操作系統提供最底層、最直接的硬體設置或控制介面,以便於通過操作系統控制硬體設備運行。   第一校驗參數用於說明獲取BIOS鏡像檔案的過程是否安全可靠,即說明該BIOS鏡像檔案是否安全可靠。   第一檔案參數用於說明BIOS鏡像檔案的整體內容,以便於說明BIOS鏡像檔案是否完整。   計算設備可以包括能夠獲取、刷寫BIOS鏡像檔案以及能夠根據該BIOS鏡像檔案其它處理(比如啟動該BIOS鏡像檔案)的設備,比如手機、個人電腦、平板電腦、可穿戴設備、智慧電視機、資料伺服器等。該計算設備能夠與BIOS管理伺服器進行互動,獲取用戶端、插件、BIOS刷寫服務、BIOS鏡像檔案的處理服務,且包括下圖9、11-12的裝置,實施下圖1、3-5、7-8的方法流程中關於資料伺服器的方法步驟,從而進行刷寫BIOS鏡像檔案以及基於BIOS鏡像檔案進行其它處理。在以下實施例中,僅以計算設備為資料伺服器為例,說明本發明所提供的BIOS刷寫方法或BIOS鏡像檔案的處理方法。其中,計算設備可以包括TPM(Trusted Platform Module,可信平臺模組),並通過該TPM對BIOS鏡像檔案進行驗證。   BIOS管理伺服器可以包括一個伺服器或者一個伺服器集群,從而為計算設備提供上述的用戶端、插件或者基於BIOS鏡像檔案的各種服務。BIOS管理伺服器可以下圖10或12的裝置,實施下圖2、3、5、6、8的方法流程中關於BIOS管理伺服器的方法步驟。   用戶端可以包括至少一個應用程式。該用戶端能夠運行在計算設備中,從而實現本發明實施例提供的BIOS刷寫方法或BIOS鏡像檔案的處理方法。   插件可以包括在上述運行於計算設備的應用程式中,從而實現本發明實施例提供的BIOS刷寫方法或BIOS鏡像檔案的處理方法。   本發明實施例可以應用於計算設備刷寫BIOS的場景中。由於在獲取或刷寫BIOS鏡像檔案的過程中,BIOS鏡像檔案均有可能被篡改或損壞,威脅計算設備的安全性和可靠性,因此,為了減少由上述原因可能導致的計算設備的安全性和可靠性降低的問題,可以在刷新BIOS鏡像檔案時,對獲取到的BIOS鏡像檔案進行驗證,包括驗證該BIOS鏡像檔案所攜帶的第一校驗參數具有合法性,以確定獲取該BIOS鏡像檔案的過程安全和可靠,以及根據該BIOS鏡像檔案所攜帶的第一檔案參數,驗證該BIOS鏡像檔案具有完整性,以確定所獲取的BIOS鏡像檔案完整。如果驗證通過,則可以確定所獲取到的BIOS鏡像檔案安全可靠,因此,以該BIOS鏡像檔案進行刷寫或進行其它處理也是安全可靠的,也即是,確保了該計算設備的安全性和可靠性。 實施例一   參照圖1,示出了根據本發明一個實施例的一種BIOS刷寫方法流程圖,具體步驟包括:   步驟101,獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數。   為了在資料伺服器中刷寫BIOS鏡像檔案,該資料伺服器可以獲取所要刷寫的BIOS鏡像檔案,而為了後續對獲取的BIOS鏡像檔案進行驗證,以減少刷寫、啟動了被篡改或損壞的BIOS鏡像檔案的可能,從而提高該資料伺服器的安全性和可靠性,該BIOS鏡像檔案中可以攜帶第一校驗參數以及第一檔案參數。   資料伺服器可以向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,從而從該BIOS管理伺服器獲取BIOS鏡像檔案。   BIOS鏡像檔案獲取請求用於請求BIOS管理伺服器向資料伺服器發送BIOS鏡像檔案。   第一校驗參數可以由資料伺服器和BIOS管理伺服器事先約定,或者,根據該資料伺服器和BIOS管理伺服器事先約定的生產方式產生,從而使該資料伺服器能夠根據該第一校驗參數的合法性,確定獲取BIOS鏡像檔案安全可靠。   第一檔案參數可以根據該BIOS鏡像檔案的整體內容產生,比如,可以包括根據該BIOS鏡像檔案產生的哈希值,或者,由該BIOS鏡像檔案中至少一部分資料組成的摘要。   步驟102,驗證所述第一校驗參數具有合法性。   當第一校驗參數為資料伺服器和BIOS管理伺服器事先約定時,則該資料伺服器可以將第一校驗參數與預先儲存的校驗參數進行比較,如果一致則確定第一校驗參數合法,否則,確定第一校驗參數非法。   當第一校驗參數為根據該資料伺服器和BIOS管理伺服器事先約定的生產方式產生時,該資料伺服器可以按照事先約定的方式產生校驗參數,並將以第一校驗參數與產生的校驗參數進行比較,如果一致則確定第一校驗參數合法,否則確定第一校驗參數非法。   其中,若驗證第一校驗參數具有合法性可以繼續執行後續步驟以進行BIOS刷寫,若驗證失敗,即第一校驗參數不具有合法性,則可以停止BIOS刷寫流程,並通過語音、文字或圖像等方式展示該驗證結果,當然,為了確保該BIOS鏡像檔案不會資料伺服器造成損壞,還可以將該BIOS鏡像檔案進行隔離或刪除。   步驟103,根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   資料伺服器可以根據獲取到的BIOS鏡像檔案產生檔案參數,並將產生的檔案參數與第一檔案參數進行比較,如果一致則確定該BIOS檔案完整,否則確定BIOS鏡像檔案不完整。   例如,當第一檔案參數為BIOS鏡像檔案的哈希值時,資料伺服器可以根據獲取到BIOS的鏡像檔案產生該BIOS鏡像檔案的哈希值,並將產生的哈希值與該BIOS鏡像檔案所攜帶的哈希值進行比較,如果一致則確定所獲取的BIOS鏡像檔案是完整的,否則確定所獲取的BIOS鏡像檔案不完整。   其中,若驗證BIOS鏡像檔案具有完整性可以繼續執行後續步驟以進行BIOS刷寫,若驗證失敗,即該BIOS鏡像檔案不具有完整性,則可以停止BIOS刷寫流程,並通過語音、文字或圖像等方式展示該驗證結果,當然,為了確保該BIOS鏡像檔案不會資料伺服器造成損壞,還可以將該BIOS鏡像檔案進行隔離或刪除。   步驟104,採用所述BIOS鏡像檔案進行BIOS刷寫。   由於已經驗證了獲取的BIOS鏡像過程安全可靠,所獲取的BIOS鏡像檔案也是安全可靠的,所以可以採用該BIOS鏡像檔案進行刷寫。   資料伺服器可以通過BIOS刷寫程式,將該BIOS鏡像檔案刷寫至該資料伺服器的ROM中,以便於後續從ROM中啟動該BIOS鏡像檔案,確保該資料器的正常運行。   在本發明實施例中,能夠獲取BIOS鏡像檔案,且該BIOS鏡像檔案攜帶有第一校驗參數以及第一檔案參數,因此,能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,所以採用通過驗證的BIOS鏡像檔案進行刷寫,即能夠減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,提高了該資料伺服器的安全性和可靠性。 實施例二   參照圖2,示出了根據本發明一個實施例的一種BIOS鏡像檔案的處理方法流程圖,具體步驟包括:   步驟201,接收BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數。   為了確保資料伺服器能夠獲取到BIOS鏡像檔案,BIOS管理伺服器可以接收來自該資料伺服器的的BIOS鏡像檔案獲取請求,而為了後續BIOS伺服器根據第二校驗參數產生第一校驗參數,以便於資料伺服器驗證獲取BIOS鏡像檔案的過程安全可靠,該鏡像檔案可以攜帶的第二校驗參數。   其中,第二校驗參數可以由資料伺服器產生,並用於後續BIOS管理伺服器產生第一校驗參數。   例如,第二校驗參數可以為由資料伺服器通過事先與BIOS管理伺服器約定的隨機數產生演算法產生的第一隨機數。   步驟202,獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數。   為了便於後續資料伺服器驗證所獲取的BIOS鏡像檔案是否安全可靠,BIOS管理伺服器可以獲取BIOS鏡像檔案,並產生該BIOS鏡像檔案的第一檔案參數。   BIOS管理伺服器可以從本地儲存中獲取BIOS鏡像檔案、產生BIOS鏡像檔案,或者,從其它來源(比如BIOS供應商的BIOS供應伺服器)獲取BIOS檔案。   其中,BIOS供應伺服器可以包括不同BIOS供應商的伺服器,該BIOS供應伺服器能夠為BIOS管理伺服器提供BIOS鏡像檔案。   產生BIOS鏡像檔案的第一檔案參數的方式可以參見前述中的相關描述,此處不再一一贅述。   步驟203,根據所述第二校驗參數產生第一校驗參數。   BIOS管理伺服器產生第一校驗參數的方式,可以與產生資料伺服器產生第二校驗參數的方式相同,此處不再一一贅述。   例如,BIOS管理伺服器可以根據前述中的隨機數產生演算法,根據第一隨機數產生第二隨機數。   另外,在實際應用中,BIOS管理伺服器可以先執行根據第二校驗參數產生第一校驗參數的步驟,在執行獲取BIOS鏡像檔案並產生BIOS鏡像檔案的第一檔案參數的步驟。   步驟204,將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至資料伺服器,以供所述資料伺服器驗證所述第一校驗參數具有合法性,以及根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   由於BIOS管理伺服器將第一檔案參數、第一校驗參數以及BIOS鏡像檔案均發送至資料伺服器,因此便於資料伺服器確定獲取BIOS鏡像檔案的過程安全可靠,以及所獲取的BIOS鏡像檔案安全可靠,減少了資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因而也減少了該資料伺服器刷寫、啟動被篡改或損壞的BIOS鏡像檔案可能,從而提高該資料伺服器的安全性和可靠性。   BIOS管理伺服器可以將第一檔案參數以及第一校驗攜帶在該BIOS鏡像檔案中,並將該BIOS鏡像檔案發送給資料伺服器。   在本發明實施例中,能夠接收BIOS鏡像檔案獲取請求,從而根據該BIOS鏡像檔案獲取請求攜帶的第二校驗參數產生第一校驗參數,獲取BIOS鏡像檔案並產生該BIOS鏡像檔案的第一檔案參數,因此確保了獲取到該BIOS鏡像檔案的資料伺服器能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,減少了資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因而也減少了該資料伺服器刷寫、啟動被篡改或損壞的BIOS鏡像檔案可能,從而提高該資料伺服器的安全性和可靠性。 實施例三   參照圖3,示出了根據本發明一個實施例的一種BIOS刷寫以及BIOS鏡像檔案的處理方法流程圖,應用於資料伺服器與BIOS管理伺服器之間的互動中,具體步驟包括:   步驟301,資料伺服器向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數。   其中,資料伺服器向BIOS管理伺服器發送BIOS鏡像檔案獲取請求的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,由於技術更新等原因,BIOS鏡像檔案也可能會有多個版本,所以為了提高獲取到BIOS鏡像檔案的可靠性,比如避免獲取到低版本的BIOS鏡像檔案造成刷寫BIOS鏡像檔案版本回滾的問題,所述BIOS鏡像檔案獲取請求還攜帶BIOS鏡像檔案版本資訊。   鏡像檔案版本資訊用於說明BIOS鏡像檔案的版本,比如該鏡像檔案版本資訊可以包括多個數字組成的序列。   資料伺服器可以獲取BIOS管理伺服器發送的版本更新資訊,從而獲取到新版本的BIOS鏡像檔案的版本資訊,當然,在實際應用中,該資料伺服器也可以通過其它方式來獲取所需刷寫的BIOS鏡像檔案的版本資訊。   在本發明實施例中,可選的,為了確保獲取BIOS鏡像檔案的過程安全可靠,避免從不安全的來源獲取BIOS鏡像檔案,所述BIOS鏡像檔案版本資訊和所述第二校驗參數攜帶BIOS管理伺服器的公鑰簽名。   其中,BIOS管理伺服器的公鑰簽名由可以通過BIOS管理伺服器的私鑰對資料進行簽名得到,對資料進行簽名也即是對該資料進行加密。通過該BIOS管理伺服器的公鑰簽名加密後的資料,可以通過該BIOS伺服器的私鑰進行解密。當然,也可以通過該BIOS管理伺服器的私鑰對資料進行加密,並通過該BIOS管理伺服器的公鑰對加密後的資料進行解密。   資料伺服器可以事先從可信的第三方設備(比如該資料伺服器和該BIOS伺服器所在伺服器集群的PCA(Platform Certification Authority,平臺認證機構))獲取相應的公鑰和密鑰,以及該BIOS伺服器的公鑰,相應的,BIOS伺服器也可以通過相同的方式獲取相應的公鑰和密鑰,以及該資料伺服器的公鑰。   其中,該第三方設備可以儲存有該第三方設備的公鑰和密鑰。   在本發明實施例中,可選的,為了進一步確保獲取BIOS鏡像檔案的過程安全可靠,減少從不安全的來源獲取到BIOS鏡像檔案的可能,提高獲取BIOS鏡像檔案的安全性和可靠性,所述BIOS鏡像檔案獲取請求還攜帶所述資料伺服器的安全證書。   其中,安全證書用於說明具有該安全證書的設備安全可信。資料伺服器或BIOS管理伺服器可以從前述中的第三方設備中獲取相應的安全證書。當然,第三方設備可以儲存有第三方設備的安全證書。   當然,在實際應用中,BIOS鏡像檔案獲取請求還可以包括其它資訊,比如資料伺服器的設備標識。   其中,設備標識用於唯一說明一個設備,該設備標識可以包括該設備的出廠序列號或名稱等。   例如,資料伺服器C向BIOS管理伺服器S發送鏡像檔案獲取請求1,鏡像檔案獲取請求1包括:C,Cert_AIKc,{BIOS_Version,n}AIKpk_s。其中,C為設備標識,Cert_AIKc為安全證書,BIOS_Version為鏡像檔案版本資訊,n為作為第二校驗參數的隨機數,AIKpk_s為BIOS管理伺服器的公鑰,{BIOS_Version,n}AIKpk_s為通過BIOS管理伺服器的公鑰簽名後的鏡像檔案版本資訊和的第二校驗參數。   步驟302,所述BIOS伺服器接收所述BIOS鏡像檔案獲取請求,獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數。   其中,BIOS管理伺服器獲取BIOS鏡像檔案以及產生第一檔案參數的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,為了確保獲取BIOS鏡像檔案過程的安全性和可靠性,減少向不可信的設備提供BIOS鏡像檔案的可能,所述BIOS管理伺服器驗證所述資料伺服器的安全證書具有合法性。   其中,若驗證資料伺服器的安全證書具有合法性,BIOS管理伺服器可以繼續執行後續步驟以向該資料伺服器提供BIOS鏡像檔案。若驗證失敗,即資料伺服器的安全證書不具有合法性,該BIOS管理伺服器可以不繼續執行後續步驟,從而不向該資料伺服器提供BIOS鏡像檔案,當然,該BIOS管理伺服器還可以向該資料伺服器發送BIOS鏡像檔案獲取失敗資訊,通過該BIOS鏡像檔案獲取失敗資訊說明不能向該資料伺服器提供BIOS鏡像檔案的原因。   在本發明實施例中,可選的,為了確保獲取BIOS鏡像檔案過程的安全性和可靠性,減少向不可信的設備提供BIOS鏡像檔案的可能,所述BIOS管理伺服器根據所述BIOS管理伺服器的私鑰簽名,驗證所述BIOS鏡像檔案版本資訊和所述第二校驗參數具有合法性。   其中,BIOS管理伺服器可以根據該BIOS管理伺服器的私鑰,對攜帶該BIOS管理伺服器的公鑰簽名的BIOS鏡像檔案版本資訊和第二校驗參數進行解密,如果成功則確定該BIOS鏡像檔案版本資訊和該第二校驗參數合法,否則,確定BIOS鏡像檔案版本資訊和第二校驗參數不合法。   若驗證BIOS鏡像檔案版本資訊和第二校驗參數具有合法性具有合法性,BIOS管理伺服器可以繼續執行後續步驟以向該資料伺服器提供BIOS鏡像檔案;若對BIOS鏡像檔案版本資訊和第二校驗參數其中任一個驗證失敗,即BIOS鏡像檔案版本資訊和第二校驗參數其中任一個不具有合法性,該BIOS管理伺服器可以不繼續執行後續步驟,從而不向該資料伺服器提供BIOS鏡像檔案,當然,該BIOS管理伺服器還可以向該資料伺服器發送BIOS鏡像檔案獲取失敗資訊,通過該BIOS鏡像檔案獲取失敗資訊說明不能向該資料伺服器提供BIOS鏡像檔案的原因。   在本發明實施例中,可選的,為了確保能夠準確地為資料伺服器提供該資料伺服器或請求的BIOS鏡像檔案,獲取BIOS鏡像檔案的可靠性以及資料伺服器的可靠性,所述BIOS管理伺服器根據所述BIOS鏡像檔案版本資訊獲取所述BIOS鏡像檔案。   其中,BIOS管理伺服器可以根據BIOS鏡像檔案版本資訊,從BIOS配置檔案資料庫中查找是否存在的對應的BIOS鏡像檔案,如果是則獲取該BIOS鏡像檔案,否則產生對應的BIOS鏡像檔案。   BIOS配置檔案資料庫可以由BIOS管理伺服器事先儲存得到,該BIOS配置檔案資料庫可以包括資料伺服器的設備標識、該資料伺服器對應的BIOS鏡像檔案、該BIOS鏡像檔案的鏡像檔案版本資訊、攜帶該資料服務該鏡像檔案的第一檔案參數等。   在本發明實施例中,可選的,由BIOS管理伺服器可以BIOS供應商獲取BIOS鏡像檔案,即從BIOS供應伺服器獲取BIOS鏡像檔案,因此,為了確保獲取BIOS鏡像檔案的安全性和可靠性,所述BIOS管理伺服器可以獲取BIOS供應伺服器提供的BIOS相關資訊,所述BIOS相關資訊包括供應伺服器資訊和BIOS鏡像檔案版本資訊中至少一種。相應的,在所述獲取BIOS鏡像檔案之後,所述BIOS管理伺服器可以根據所述BIOS相關資訊從所述BIOS供應伺服器的多種公鑰中獲取所需的公鑰,所述BIOS鏡像檔案攜帶所來源的BIOS供應伺服器對應的私鑰產生的簽名,採用所獲取的公鑰對所述BIOS鏡像檔案進行簽名驗證。   其中,採用所獲取的公鑰對BIOS鏡像檔案進行簽名驗證,也即是驗證該BIOS鏡像檔案具有合法性,如果該BIOS鏡像檔案具有合法性,則可以繼續執行後續步驟以將該BIOS鏡像檔案提供給資料伺服器。如果驗證失敗,即該BIOS鏡像檔案不具有合法性,則可以確定獲取BIOS鏡像檔案失敗,向該資料伺服器發送BIOS鏡像檔案獲取失敗資訊,當然,BIOS管理伺服器還可以將該BIOS鏡像檔案獲取失敗資訊發送給BIOS供應伺服器,以使該BIOS供應伺服器確定未能成功向該BIOS鏡像伺服器提供該BIOS鏡像檔案;或者,該BIOS管理伺服器可以將BIOS鏡像檔案進行隔離或刪除。   在本發明實施例中,可選的,由BIOS管理伺服器可以從BIOS供應商獲取BIOS鏡像檔案,即從BIOS供應伺服器獲取BIOS鏡像檔案,因此,為了減少獲取到被篡改或損壞的BIOS鏡像檔案的可能,從而確保獲取到的BIOS鏡像檔案的安全性和可靠性,所述BIOS相關資訊還包括所述BIOS鏡像檔案的第一檔案參數,相應的,所述BIOS管理伺服器可以根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   其中,根據第一檔案參數驗證BIOS鏡像檔案具有完整性的方式,可以參前述中的相關描述,此處不再一一贅述。   另外,對從BIOS供應伺服器獲取的BIOS鏡像檔案進行完整性驗證成功或失敗之後的處理方式,可以與從BIOS供應伺服器獲取的BIOS鏡像檔案進行合法性驗證成功或失敗之後的處理方式相同,此處不再一一贅述。   在本發明實施例中,可選的,為了準確地根據第一檔案參數對BIOS鏡像檔案進行完整性驗證,即提高對BIOS鏡像檔案進行完整性驗證的可靠性,所述BIOS相關資訊還包括檔案參數演算法標識,相應的,該BIOS管理伺服器可以根據該檔案參數演算法標識計算得到所獲取的BIOS鏡像檔案的檔案參數,從而將計算得到的檔案與第一檔案參數進行比較,以驗證該BIOS鏡像檔案的完整性。   其中,檔案參數演算法標識用於說明根據BIOS鏡像檔案的檔案參數的方式,比如,當檔案參數為哈希值時,檔案參數演算法標識可以包括哈希值計算類型,包括sha-1,sha-256或sha-3等。   在本發明實施例中,可選的,為了確保能夠可靠地獲取並向資料伺服器提供BIOS鏡像檔案,以確保獲取BIOS鏡像檔案的可靠性,BIOS管理伺服器可以產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數。   BIOS管理伺服器可以通過BIOS產生程式編譯產生BIOS鏡像檔案。   其中,BIOS產生程式用於產生BIOS鏡像檔案,該BIOS產生程式可以由該BIOS管理伺服器事先獲取得到。   根據BIOS鏡像檔案產生第一檔案參數的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,由於BIOS管理伺服器可以產生BIOS鏡像檔案,所以為了確保產生BIOS鏡像檔案的安全性和可靠性,在產生BIOS鏡像檔案之前,該BIOS管理伺服器可以驗證BIOS產生程式具有合法性和完整性。   其中,驗證獲取的BIOS產生程式具有合法性和完整性的方式、以及驗證成功或失敗之後的處理方式,可以與驗證獲取到的BIOS鏡像文具有合法性和完整性的方式、以及驗證成功或失敗之後的處理方式相同,此處不再一一贅述。   在本發明實施例中,可選的,由於BIOS鏡像檔案可能會來自多個BIOS供應商,所以為了避免BIOS管理伺服器難以對其它BIOS供應商提供的BIOS鏡像檔案進行簽名驗證的問題,提高後續運行維護的安全性並降低成本,BIOS管理伺服器可以根據BIOS管理伺服器的私鑰對所述BIOS鏡像檔案和所述第一檔案參數進行簽名。   其中,BIOS管理伺服器可以通過該BIOS管理伺服器中的TPM對BIOS鏡像檔案和第一檔案參數進行簽名。   BIOS管理伺服器事先獲取多個安全證書以及多組公鑰和私鑰,從而能夠根據BIOS供應商、BIOS鏡像檔案的版本、當前所處時間或安全級別等的至少一個,選擇相應的私鑰對BIOS鏡像檔案進行簽名。   安全級別可以包括資料伺服器的安全級別、BIOS鏡像檔案的安全級別或者BIOS供應商的安全級別。   另外,在實際應用中,為了便於後續對刷寫的BIOS鏡像檔案進行運行維護,提高資料伺服器的安全性和可靠性,BIOS管理伺服器可以將該BIOS管理伺服器的公鑰添加至該BIOS鏡像檔案中。   步驟303,所述BIOS管理伺服器根據所述第二校驗參數產生第一校驗參數。   其中,BIOS管理伺服器根據第二校驗參數產生第一校驗參數的方式,可以參見前述中的相關描述,此處不再一一贅述。   步驟304,所述BIOS管理伺服器將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至所述資料伺服器。   其中,BIOS管理伺服器將第一檔案參數、第一校驗參數以及BIOS鏡像檔案發送給資料伺服器的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,為了便於資料伺服器對獲取BIOS鏡像檔案的合法性進行驗證,以確保該BIOS鏡像檔案的來源安全可靠,以提高獲取BIOS鏡像檔案以及資料伺服器的安全性和可靠性,BIOS管理伺服器可以通過該BIOS管理伺服器的私鑰對該BIOS進行檔案進行簽名,相應的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的私鑰簽名。   其中,BIOS管理伺服器通過BIOS管理伺服器的私鑰對該BIOS進行檔案進行簽名,也即是對該BIOS鏡像檔案檔案進行加密。   另外,BIOS管理伺服器還可以通過BIOS管理伺服器的私鑰對第一檔案參數進行簽名。   在本發明實施例中,可選的,為了便於資料伺服器對獲取BIOS鏡像檔案進行驗證,以確保該BIOS鏡像檔案的來源安全可靠,以提高獲取BIOS鏡像檔案以及資料伺服器的安全性和可靠性,BIOS管理伺服器還可以將該BIOS管理伺服器的安全證書發送給資料伺服器,相應的的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的安全證書。   當然,在實際應用中,BIOS也可以不將該BIOS管理伺服器的安全證書攜帶在BIOS鏡像檔案中,而是直接將該BIOS管理伺服器的安全證書發送給資料伺服器。   在本發明實施例中,可選的,為了確保資料伺服器後續在獲取到BIOS鏡像檔案後,能夠準確計算出檔案參數,並將計算的檔案參數與第一檔案參數進行比較,從而提高對BIOS進行完整性驗證的可靠性,BIOS管理伺服器可以將檔案參數演算法標識發送給該資料伺服器,相應的,所述BIOS鏡像檔案還攜帶檔案參數演算法標識。   其中,BIOS管理伺服器可以通過資料伺服器的公鑰對該檔案參數演算法標識進行簽名,從而將攜帶該資料伺服器的公鑰簽名的該檔案參數演算法標識發送給該資料伺服器。   另外,BIOS管理伺服器還可以通過資料伺服器的公鑰對第一校驗參數進行簽名,從而將攜帶該資料伺服器的公鑰簽名的第一校驗參數發送給該資料伺服器。   例如,BIOS管理伺服器向資料發送:S,Cert_AIKs,hash(BIOS.ISO),{BIOS.ISO}AIKpriv_s,{n-2,hash_type}AIKpk_c。其中,S為BIOS管理伺服器的設備標識,Cert_AIKs為BIOS管理伺服器的安全證書,hash(BIOS.ISO)為BIOS鏡像檔案的哈希值,AIKpriv_s為BIOS管理伺服器的私鑰,BIOS.ISO為BIOS鏡像檔案,{BIOS.ISO}AIKpriv_s即為攜帶BIOS管理伺服器的私鑰簽名的BIOS鏡像檔案,AIKpk_c為資料伺服器的公鑰,n-2為作為第一校驗參數的隨機數,由根據前述中作為第二校驗參數的隨機數n計算得到,hash_type為檔案參數演算法標識,{n-2,hash_type}AIKpk_c即為攜帶資料伺服器的公鑰簽名的第一校驗參數和檔案參數演算法標識。   步驟305,所述資料伺服器接收所述BIOS鏡像檔案。   為了在資料伺服器中刷寫BIOS鏡像檔案,以確保資料伺服器的正常運行,資料伺服器可以接收BIOS鏡像檔案。   步驟306,所述資料伺服器驗證所述第一校驗參數具有合法性。   其中,資料伺服器驗證第一校驗參數具有合法性的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,為了提高對第一校驗參數進行合法性驗證的可靠性,確保獲取BIOS鏡像檔案的過程安全可靠,從而減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,以提高資料伺服器的安全性和可靠性,該資料伺服器可以根據所述第二校驗參數驗證所述第一校驗參數具有合法性。   資料伺服器可以根據第二校驗參數重新計算一個校驗參數,並將計算的校驗參數與第一校驗參數進行比較,如果一致則確定第一校驗參數合法,否則確定第一校驗參數不合法。   其中,資料伺服器可以按照事先與BIOS管理伺服器約定的校驗參數產生演算法(比如隨機數產生演算法),根據第二校驗參數重新產生校驗參數,當然,資料伺服器也可以事先儲存第二校驗參數與第一校驗參數之間的對應關係,並通過第二校驗資料,從該第二校驗參數與第一校驗參數之間的對應關係獲取新的校驗參數。   當然,如果第一校驗參數攜帶有資料伺服器的公鑰簽名,在驗證第一校驗參數具有合法性之前,該資料伺服器可以通過該資料伺服器私鑰對該攜帶該資料伺服器的公鑰簽名的第一校驗參數進行合法性驗證,即通過該資料伺服器私鑰對該攜帶該資料伺服器的公鑰簽名的第一校驗參數進行解密,如果解密成功則繼續通過前述步驟對第一校驗參數進行進一步的合法性驗證,否則確定第一校驗參數非法,則停止繼續通過前述步驟對第一校驗參數進行進一步的合法性驗證。   在本發明實施例中,可選的,為了便於資料伺服器對獲取BIOS鏡像檔案進行驗證,以確保該BIOS鏡像檔案的來源安全可靠,以提高獲取BIOS鏡像檔案以及資料伺服器的安全性和可靠性,資料伺服器可以驗證所述BIOS管理伺服器的安全證書具有合法性。   其中,對BIOS管理伺服器的安全證書進行合法性成功或失敗之後的處理方式,可以與前述中對第一校驗參數進行合法性成功或失敗之後的處理方式相同,此處不再一一贅述。   在本發明實施例中,可選的,為了便於資料伺服器對獲取BIOS鏡像檔案進行驗證,以確保該BIOS鏡像檔案的來源安全可靠,以提高獲取BIOS鏡像檔案以及資料伺服器的安全性和可靠性,資料伺服器可以根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案具有合法性。   其中,資料伺服器可以根據BIOS管理伺服器的公鑰,驗證BIOS鏡像檔案的合法性,也即是,根據BIOS管理伺服器的私鑰,對攜帶BIOS管理伺服器的公鑰簽名的BIOS鏡像檔案進行解密,如果解密成功則確定該BIOS鏡像檔案合法,如果不成功則確定該BIOS鏡像檔案不合法。   對BIOS鏡像檔案進行合法性驗證成功或失敗之後的處理方式,可以與前述中對BIOS鏡像檔案進行完整性驗證成功或失敗之後的處理方式相同,此處不再一一贅述。   步驟307,所述資料伺服器根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   其中,資料伺服器根據第一檔案參數驗證BIOS鏡像檔案完整性的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,可選的,由於檔案參數能夠說明BIOS鏡像檔案的整體內容,而第一檔案參數由BIOS管理伺服器產生得到,因此,為了準確驗證獲取到的BIOS鏡像檔案是否與該BIOS管理伺服器發送的BIOS鏡像檔案完全一致,即提高驗證BIOS鏡像檔案完整性的準確性,資料伺服器可以根據所述BIOS鏡像檔案產生第二檔案參數,驗證所述第二檔案參數與所述第一檔案參數是否一致,若一致,則所述BIOS鏡像檔案具有完整性。   其中,根據BIOS鏡像檔案產生第二檔案參數的方式,與根據BIOS鏡像檔案產生第一檔案參數的方式相同,此處不再一一贅述。   在本發明實施例中,可選的,由於當產生第一檔案參數和第二檔案參數的方式不同時,可能會導致對BIOS鏡像檔案完整性驗證出現失誤的問題,所以為了進一步提高驗證BIOS鏡像檔案完整性的準確性,資料伺服器可以根據所述檔案參數演算法標識和所述BIOS鏡像檔案產生所述第二檔案參數。   步驟308,所述資料伺服器檢測到flash寫信號。   為了準確地在資料伺服器中刷寫BIOS鏡像檔案,減少誤刷寫的可能,該資料伺服器可以在檢測到flash寫信號時,執行下述步驟以在該資料伺服器中刷寫BIOS鏡像檔案。   flash寫信號用於指資料伺服器刷寫BIOS鏡像檔案。   在本發明實施例中,可選的,由於資料伺服器的硬體平臺通常對被flash晶片部分儲存區域進行保護,該保護可以通過硬體主板上的跳線選擇是能或禁止,所以為了避免上述對BIOS鏡像檔案的驗證過程被跳過,即度量過程不被繞過,進一步減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,資料伺服器也可以先檢測到flash寫信號,再開始執行向BIOS管理伺服器發送BIOS鏡像檔案獲取請求以獲取BIOS鏡像檔案的步驟。   其中,資料伺服器可以通過flash寫信號與特權中斷源連接,並通過該特權中斷源控制產生flash寫信號,以使CPU(Central Processing Unit,中央處理器)執行特定的中斷處理流程,從而確保上述對BIOS鏡像檔案的驗證過程不會被跳過。   步驟309,所述資料伺服器驗證BIOS刷寫程式具有合法性和完整性。   由於資料伺服器通常需要通過BIOS刷寫程式進行BIOS鏡像檔案的刷寫,如果該刷寫程式被篡改或損壞(比如被植入木馬),即可能會造成刷寫失敗或者破壞BIOS鏡像檔案的完整性,因此,為了提高刷寫BIOS鏡像檔案的安全性和可靠性,進而提高資料伺服器的安全性和可靠性,該資料伺服器可以對BIOS刷寫程式的合法性和完整性進行驗證。   BIOS刷寫程式用於將BIOS鏡像檔案刷寫至資料伺服器的ROM中。   資料伺服器可以事先從BIOS管理伺服器或者其它設備中獲取BIOS刷寫程式。   其中,資料伺服器獲取BIOS刷寫程式的方式,可以該資料伺服器獲取BIOS鏡像檔案的方式相同。比如,該資料伺服器可以向BIOS管理伺服器獲取BIOS刷寫程式的獲取請求,該BIOS刷寫程式的獲取請求可以攜帶資料伺服器的設備標識、資料伺服器的安全證書、刷寫程式版本資訊以及第二校驗參數,且刷寫程式版本資訊以及第二校驗參數可以攜帶BIOS管理伺服器的公鑰簽名;BIOS管理伺服器接收到該BIOS刷寫程式的獲取請求,對資料伺服器的安全證書進行驗證,並根據BIOS管理伺服器的私鑰對刷寫程式版本資訊以及第一校驗參數的合法性進行驗證,驗證通過後,獲取BIOS刷寫程式,根據第二校驗參數產生第一校驗參數,根據BIOS刷寫程式產生對應該BIOS程式的第一檔案參數,將BIOS管理伺服器的設備標識、BIOS管理伺服器的安全證書、該BIOS刷寫程式、第一檔案參數、第一校驗參數、檔案參數演算法標識發送給資料伺服器,其中,該BIOS刷寫程式可以攜帶BIOS伺服器的私鑰簽名,且第一校驗參數和檔案參數演算法標識可以攜帶資料伺服器的公鑰簽名。   資料伺服器對BIOS刷寫程式進行合法性和完整性驗證的方式、以及驗證成功或失敗之後的處理方式,可以與該資料伺服器對BIOS鏡像檔案進行合法性和完整性驗證的方式、以及驗證成功或失敗之後的處理方式相同,此處不再一一贅述。   在本發明實施例中,通過前述中對BIOS鏡像檔案以及BIOS刷寫程式的進行驗證,以確保該BIOS鏡像檔案以及該BIOS刷寫程式均是安全可靠的,從而可以通過下述步驟進行刷寫,而如果對該BIOS鏡像檔案或該BIOS刷寫程式的任一項驗證失敗,即說明該BIOS鏡像檔案或該BIOS刷寫程式不安全可靠,即可以停止執行本發明實施例中所驗證項目之後的步驟,以確保資料伺服器的安全性和可靠性。   步驟310,所述資料伺服器採用所述BIOS鏡像檔案進行BIOS刷寫。   由於通過驗證後的BIOS鏡像檔案以及BIOS刷寫程式均具有完整性和合法性,因此,BIOS鏡像檔案以及BIOS刷寫程式被篡改或損壞的可能性很低,所以可以採用BIOS刷寫程式,將該BIOS鏡像檔案刷寫至資料伺服器的ROM中。   另外,由前述可知,所刷寫的該BIOS鏡像檔案中攜帶有BIOS管理伺服器的私鑰簽名,因此便於後續根據BIOS管理伺服器的私鑰簽名對該資料伺服器進行運行維護,進一步提高了資料伺服器的安全性和可靠性。   步驟311,所述資料伺服器根據所述資料伺服器的私鑰對所述第一檔案參數進行簽名,將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存,及/或,將攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給所述BIOS管理伺服器。   由於資料伺服器刷寫BIOS鏡像檔案後,ROM中的BIOS鏡像檔案也可能會被篡改或損壞,所以,為便於後續對該資料伺服器運行維護,進一步提高資料伺服器的可靠性和安全性,該資料伺服器可以在刷寫成功之後,通過該資料伺服器的私鑰對BIOS鏡像檔案的第一檔案參數進行簽名,並將攜帶該資料伺服器的私鑰簽名的第一檔案參數儲存至本地或發送給BIOS管理伺服器。   例如,資料伺服器刷寫的BIOS鏡像檔案的第一檔案參數為hash(BIOS.ISO),通過該資料伺服器的私鑰對第一檔案參數進行簽名,即{hash(BIOS.ISO)}AIKpriv_c,令hash_c={hash(BIOS.ISO)}AIKpriv_c,將令hash_c儲存至資料伺服器的TPM中NV(Non Volatile,非揮發)空間中。   在本發明實施例中,為了確保將攜帶資料伺服器的私鑰簽名的第一檔案參數發送至BIOS管理伺服器的過程安全可靠,該資料伺服器可以根據所述第一校驗參數產生第三校驗參數,將所述第三校驗參數和攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給BIOS管理伺服器,以使所述BIOS管理伺服器根據所述第三校驗參數驗證所述第一校驗參數具有合法性,並將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存,相應的,若BIOS管理伺服器對驗證第一校驗參數具有合法性失敗,可以不儲存攜帶所述資料伺服器的私鑰簽名的第一檔案參數。   其中,根據第一校驗參數產生第三校驗參數的方式,與根據第二校驗參數產生第三校驗參數的方式相同,此處不再一一贅述。   當然,在實際應用中,為了進一步確保向BIOS管理伺服器傳輸發送資料的安全性和可靠性,資料伺服器可以根據BIOS管理伺服器的公鑰,對第三校驗參數和攜帶資料伺服器的私鑰簽名的第一檔案參數進行簽名。BIOS管理伺服器在接收到上述資料後,可以根據該BIOS管理伺服器的私鑰對上述資料進行合法性驗證,即對上述資料進行解密,從而獲取得到第三校驗參數和攜帶資料伺服器的私鑰簽名的第一檔案參數。   另外,為了進一步確保向BIOS管理伺服器傳輸發送資料的安全性和可靠性,資料伺服器還可以將其它資料與第三校驗參數和第一檔案參數同時發送給該BIOS管理伺服器,比如資料伺服器的設備標識或者資料伺服器的安全證書等資料。   例如,資料伺服器可以將{C,n-3,hash_c}AIKpk_s發送給BIOS管理伺服器,其中,n-3為第三校驗參數,由該資料伺服器根據n或n-2產生。   BIOS管理伺服器可以將攜帶資料伺服器的私鑰簽名的第一檔案參數儲存至前述中的BIOS配置檔案資料庫中。   例如,BIOS管理伺服器將資料伺服器C發送的hash_c,儲存至如下表1所示的BIOS配置檔案資料庫。其中,第一列為資料伺服器的設備名稱、第二列為資料伺服器的設備序列號,第三列為該資料伺服器所刷寫的BIOS鏡像檔案版本資訊,第四列為該資料伺服器所刷寫的BIOS鏡像檔案,第五列攜帶該資料伺服器的私鑰簽名的第一檔案參數。在本發明實施例中,首先,資料伺服器能夠向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,且該BIOS鏡像檔案獲取請求攜帶第二校驗參數,BIOS管理伺服器能夠根據該該BIOS鏡像檔案獲取請求向該資料伺服器提供BIOS鏡像檔案、根據第二校驗參數產生的第一校驗參數以及該BIOS鏡像檔案的第一檔案參數,從而使資料伺服器能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,減少了該資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因此,該資料伺服器採用通過驗證的BIOS鏡像檔案進行刷寫,即能夠減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,提高了該資料伺服器的安全性和可靠性。   其次,BIOS管理伺服器能夠通過該BIOS管理伺服器的私鑰對BIOS鏡像檔案進行簽名,從而使資料伺服器能夠根據該BIOS管理伺服器的公鑰對該BIOS鏡像檔案進行合法性驗證,減少了資料伺服器從有風險的來源獲取BIOS鏡像檔案的可能,確保了獲取該BIOS鏡像檔案的過程安全可靠,減少了該資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因此減少了該資料伺服器刷寫被篡改或損壞的BIOS鏡像檔案的可能,進一步提高了該資料伺服器的安全性和可靠性。   另外,BIOS管理伺服器可以向資料伺服器提供該BIOS管理伺服器的安全證書,而該安全證書通常來源於PCA等可靠性的設備,因此能夠使資料伺服器能夠通過驗證安全證書的合法性,減少了資料伺服器從有風險的來源獲取BIOS鏡像檔案的可能,確保了獲取該BIOS鏡像檔案的過程安全可靠,減少了該資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因此減少了該資料伺服器刷寫被篡改或損壞的BIOS鏡像檔案的可能,進一步提高了該資料伺服器的安全性和可靠性。   另外,BIOS管理伺服器可以將檔案參數演算法標識提供給資料伺服器,從而資料伺服器能夠根據該檔案參數演算法標識,準確計算BIOS的的第二檔案參數,確保了該資料服務能夠準確地根據產生的第二檔案參數與該BIOS管理伺服器提供的第一檔案參數進行比較,提高了資料資料伺服器對BIOS鏡像檔案進行完整性驗證的準確性,進而也提高了獲取到BIOS鏡像檔案的安全性和可靠性。   另外,BIOS管理伺服器可以通過該BIOS管理伺服器的私鑰對提供給資料伺服器的BIOS鏡像檔案進行簽名,從而便於後續對刷寫有該BIOS鏡像檔案的資料伺服器進行運行維護,進一步提高了資料伺服器的安全性和可靠性。   另外,資料伺服器在刷寫BIOS鏡像檔案後,能夠將所刷寫的BIOS鏡像檔案的第一檔案參數進行儲存或發送給BIOS管理伺服器,且該第一檔案參數中可以攜帶資料伺服器的私鑰簽名,便於後續對刷寫的BIOS鏡像檔案進行運行維護,進一步提高了資料伺服器的安全性和可靠性。 實施例四   參照圖4,示出了根據本發明一個實施例的一種資料處理方法流程圖,具體步驟包括:   步驟401,獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數。   由於計算設備通常需要從其它設備獲取資料,比如資料伺服器需要從BIOS管理伺服器獲取BIOS鏡像檔案、BIOS管理伺服器需要從BIOS供應伺服器獲取BIOS鏡像檔案,而不安全的資料(包括來源不安全或者被篡改損壞的資料)可能會給該計算設備造成安全隱患,所以提高該計算設備的安全性和可靠性,該計算設備可以獲取資料,且該資料中攜帶第一校驗參數和第一檔案參數。   在本發明實施例中,以BIOS鏡像檔案為例,說明計算設備獲取資料並按照下述步驟對獲取的資料進行處理,而在實際應用中,對於獲取到的任何資料,該計算設備都可以按照相同的方式進行處理。   其中,第一校驗參數和第一檔案參數可以參見前述中的相關描述,此處不再一一贅述。   步驟402,確定所述第一校驗參數符合預設規則。   可以通過驗證第一校驗參數是否符合預設規則來確定第一校驗參數具有合法性,進而確定前述獲取到的BIOS鏡像檔案的來源或過程安全可靠。   預設規則用於對第一校驗參數是否合法進行判斷,該預設規則可以由計算設備事先得到,比如從其它設備獲取得到或者接收使用者提交的規則得到。當第一校驗參數符合該預設規則時,即可確定第一校驗參數合法。   例如,以計算設備為資料伺服器為例,當第一校驗參數為資料伺服器和BIOS管理伺服器事先約定時,該預設規則可以為:與事先約定的校驗參數一致;當第一校驗參數為根據該資料伺服器和BIOS管理伺服器事先約定的生產方式產生時,該預設規則可以為:與按照事先約定的方式產生的校驗參數一致。   當然,若確定第一校驗參數不符合預設規則,則可以說明第一校驗參數不合法,進而可以確定獲取到的BIOS鏡像檔案的來源或過程不安全,此時,該計算設備可以停止後續的處理流程,並通過聲音、文字或圖像等方式,提示使用者該BIOS鏡像檔案可能存在風險。   步驟403,根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改。   如果BIOS鏡像檔案未被修改,則可以說明BIOS鏡像檔案的整體內容是完整的,其中包括木馬病毒等不安全因素的可能很低,也即是,該BIOS鏡像檔案是安全可靠的,從而便於計算設備對該BIOS鏡像檔案進行其它處理,比如儲存或者轉發給其它設備等。   計算設備可以產生該BIOS鏡像檔案的第二檔案參數,將第一檔案參數與第二檔案參數進行比較,如果一致,則可以確定該BIOS鏡像檔案未被修改。   在本發明實施例中,可選的,為了使計算設備能夠正常運行,提高該計算設備的安全性和可靠性,該計算設備可以採用所述BIOS鏡像檔案進行BIOS刷寫,即減少了該計算設備刷寫到被篡改或損壞的BIOS鏡像檔案的可能。   其中,計算設備採用BIOS鏡像檔案進行BIOS刷寫的方式,可以參見前述中的相關描述,此處不再一一贅述。   在本發明實施例中,由於獲取到的BIOS鏡像檔案中攜帶有第一校驗參數和第一檔案參數,因此,可以確定第一校驗參數符合預設規則,從而確定獲取該BIOS鏡像檔案的來源或過程安全可靠,以及根據第一檔案參數確定BIOS鏡像檔案未被修改,從而確定該BIOS鏡像檔案安全可靠,減少了計算設備獲取到不安全的資料的可能,提高了該計算設備的安全性和可靠性。   其次,對於已確定安全的BIOS鏡像檔案,計算設備可以採用該BIOS鏡像檔案進行BIOS刷寫,從而減少了該計算設備刷寫到被篡改或損壞的BIOS鏡像檔案的可能,提高了該計算設備的安全性和可靠性。   本領域的技術人員應可理解,上述實施例中的方法步驟並非每一個都必不可少,在具體狀況下,可以省略其中的一個或多個步驟,只要能夠實現刷寫BIOS或處理BIOS鏡像檔案的技術目的。本發明並不限定的實施例中步驟的數量及其順序,本發明的保護範圍當以申請專利範圍的限定為准。   為了便於本領域技術人員更好地理解本發明,以下通過幾個具體的示例對本發明實施例的BIOS刷寫方法及BIOS鏡像檔案的處理方法進行說明: 示例一   參照圖5,提供了一種BIOS刷寫方法的時序圖,該方法可以用於資料伺服器C和BIOS管理伺服器S之間的互動,具體包括以下步驟:   步驟501,C向S發送[C,Cert_AIKc,{BIOS_Version,n}AIKpk_s]。   步驟502,S接收C發送的資訊,驗證Cert_AIKc的合法性;如果合法則根據AIKpriv_s對{BIOS_Version,n}AIKpk_s進行解密,得到BIOS_Version,n;根據BIOS_Version獲取BIOS.ISO。   步驟503,S向C發送[S,Cert_AIKs,hash(BIOS.ISO),{BIOS.ISO}AIKpriv_s,{n-2,hash_type}AIKpk_c]。   步驟504,C接收S發送的資訊,驗證Cert_AIKs的合法性,若驗證通過則根據AIKpriv_c對{n-2,hash_type}AIKpk_c進行解密,得到n-2,hash_type;驗證n-2的合法性,若驗證通過則根據AIKpk_s對{BIOS.ISO}AIKpriv_s進行解密,如果成果則確定BIOS.ISO具有合法性;根據hash_type計算BIOS.ISO的哈希值,如果該哈希值與hash(BIOS.ISO)一致則確定對BIOS.ISO的完整性驗證通過;刷寫BIOS.ISO;產生hash_c={hash(BIOS.ISO)}AIKpriv_c,將hash_c儲存至TPM的NV空間。   其中,在進行刷寫BIOS.ISO之前可以驗證BIOS刷寫程式的完整性和合法性。   步驟505,C將{C,n-3,hash_c}AIKpk_s發送給S。   步驟506,S接收C的資訊,根據AIKpriv_s對{C,n-3,hash_c}AIKpk_s進行解密,得到n-3,hash_c;驗證n-3的合法性,若驗證通過則將hash_c儲存至BIOS配置檔案資料庫。 示例二   參照圖6,提供了一種BIOS鏡像檔案的處理方法流程圖,該方法可以用於BIOS管理伺服器S,具體包括以下步驟:   步驟601,S驗證BIOS產生程式具有合法性和完整性。   步驟602,S通過BIOS產生程式產生BIOS鏡像檔案。   另外,如果S是從BIOS供應伺服器獲取由BIOS提供的BIOS鏡像檔案,可以不執行前述產生BIOS鏡像檔案的步驟,從而根據從BIOS供應伺服器獲取的BIOS鏡像檔案直接執行步驟503。   步驟603,S對BIOS鏡像檔案進行簽名,包括通過S的私鑰對該BIOS鏡像檔案進行簽名,將S的公鑰嵌入該BIOS中,以及S的私鑰保存在S的TPM中。   其中,如果BIOS鏡像檔案是由BIOS供應商提供,BIOS供應伺服器可以用該BIOS供應伺服器的私鑰對BIOS鏡像檔案進行簽名,即{BIOS.ISO}AIKpriv_oem,並提供該BIOS鏡像檔案的鏡像版本資訊、哈希值以及哈希值的演算法類型等。因此,S可以根據BIOS供應伺服器的公鑰AIKpk_oem對{BIOS.ISO}AIKpriv_oem進行解密,得到BIOS.ISO,即確定該BIOS.ISO是合法的,根據提供的哈希值的演算法類型,計算BIOS.ISO的哈希值,將計算的哈希值與提供的哈希值進行比較,如果一致說明BIOS.ISO具有完整性。驗證通過後可以執行步驟603,以達到後續對該BIOS自主可控的目的。   通過上述示例一和示例二,說明了C從S獲取BIOS鏡像檔案並進行刷寫,以及S向C提供BIOS鏡像檔案的過程,接下來,通過示例三和示例四,以BIOS啟動為例,說明後續運維過程中,對C已刷寫的BIOS鏡像檔案進行完整性驗證和合法性驗證的過程。 示例三   參照圖7,提供了一種BIOS啟動方法流程圖,該方法可以用於資料伺服器C,具體包括以下步驟:   步驟701,C通過TPM的度量根對BIOS鏡像檔案進行度量,得到即將啟動的BIOS鏡像檔案檔案的哈希值,即hash(BIOS.ISO),通過AIKpriv_c對hash(BIOS.ISO)進行簽名得到{hash(BIOS.ISO)}AIKpriv_c。   步驟702,C通過TPM對BIOS鏡像檔案進行完整性和合法性驗證。如果合法則執行步驟703,否則執行步驟704。   其中,C可以將前述中計算得到的哈希值,與事先儲存的攜帶有C的私鑰簽名的BIOS鏡像檔案的哈希值進行比較。如果一致則確定驗證結果為合法,否則確定驗證結果為不合法。   步驟703,正常啟動。   步驟704,禁止啟動。 示例四   參照圖8,提供了一種BIOS啟動方法流程圖,該方法可以用於資料伺服器C和BIOS管理伺服器的互動中,具體包括以下步驟:   步驟801,C通過TPM的度量根對BIOS鏡像檔案進行度量,得到即將啟動的BIOS鏡像檔案檔案的哈希值,通過AIKpriv_c對hash(BIOS.ISO)進行簽名得到{hash(BIOS.ISO)}AIKpriv_c,得到度量結果即hash_c。   步驟802,C向S發送{C,hash_c}AIKpk_s。   步驟803,S根據接收到的資訊確定驗證結果,將驗證結果反饋給C。   其中,S接收到C發送的{C,hash_c}AIKpk_s後,根據AIKpriv_s對{C,hash_c}AIKpk_s進行解密,得到C,hash_c,hash_C於BIOS配置檔案資料庫中的hash_C進行比較,如果一致則確定驗證通過,如果不一致則確定驗證失敗。   步驟804,如果驗證通過執行步驟805,如果驗證失敗執行步驟806。   步驟805,正常啟動。   步驟806,禁止啟動。 實施例五   參照圖9,示出了根據本發明一個實施例的一種BIOS刷寫裝置,具體包括:   鏡像檔案獲取模組901,用於獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   第一合法性驗證模組902,用於驗證所述第一校驗參數具有合法性;   完整性驗證模組903,用於根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性;   刷寫模組904,用於採用所述BIOS鏡像檔案進行BIOS刷寫。   可選的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的私鑰簽名,所述裝置還包括:   第二合法性驗證模組,用於根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案具有合法性。   可選的,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的安全證書,所述裝置還包括:   第三合法性驗證模組,用於驗證所述BIOS管理伺服器的安全證書具有合法性。   可選的,所述完整性驗證模組包括:   檔案參數產生子模組,用於根據所述BIOS鏡像檔案產生第二檔案參數;   完整性驗證子模組,用於驗證所述第二檔案參數與所述第一檔案參數是否一致,若一致,則所述BIOS鏡像檔案具有完整性。   可選的,所述BIOS鏡像檔案還攜帶檔案參數演算法標識,所述檔案參數產生子模組還用於:   根據所述檔案參數演算法標識和所述BIOS鏡像檔案產生所述第二檔案參數。   可選的,所述鏡像檔案獲取模組包括:   鏡像檔案獲取請求發送子模組,用於向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數和BIOS鏡像檔案版本資訊,所述第一校驗參數根據所述第二校驗參數產生;   所述第一合法性驗證模組包括:   合法性驗證子模組,用於根據所述第二校驗參數驗證所述第一校驗參數具有合法性。   可選的,所述裝置還包括:   簽名模組,用於根據資料伺服器的私鑰對所述第一檔案參數進行簽名;   儲存模組,用於將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   可選的,所述裝置還包括:   校驗參數產生模組,用於根據所述第一校驗參數產生第三校驗參數;   發送模組,用於將所述第三校驗參數和攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給BIOS管理伺服器,以使所述BIOS管理伺服器根據所述第三校驗參數驗證所述第一校驗參數具有合法性,並將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   可選的,所述裝置還包括:   寫信號檢測模組,用於檢測到flash寫信號。   可選的,所述裝置還包括:   合法性和完整性驗證模組,用於驗證BIOS刷寫程式具有合法性和完整性。   在本發明實施例中,能夠獲取BIOS鏡像檔案,且該BIOS鏡像檔案攜帶有第一校驗參數以及根據該BIOS鏡像檔案產生的第一檔案參數,因此,能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,所以採用通過驗證的BIOS鏡像檔案進行刷寫,即能夠減少刷寫被篡改或損壞的BIOS鏡像檔案的可能,提高了該資料伺服器的安全性和可靠性。 實施例六   參照圖10,示出了根據本發明一個實施例的一種BIOS鏡像檔案的處理裝置,具體包括:   鏡像檔案獲取請求接收模組1001,用於接收BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數;   鏡像檔案獲取模組1002,用於獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數;   校驗參數產生模組1003,用於根據所述第二校驗參數產生第一校驗參數;   發送模組1004,用於將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至資料伺服器,以供所述資料伺服器驗證所述第一校驗參數具有合法性,以及根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   可選的,所述BIOS鏡像檔案獲取請求還攜帶所述資料伺服器的安全證書,所述裝置還包括:   第一合法性驗證模組,用於驗證所述資料伺服器的安全證書具有合法性。   可選的,所述BIOS鏡像檔案獲取請求還攜帶BIOS鏡像檔案版本資訊,所述鏡像檔案獲取模組包括:   鏡像檔案獲取子模組,用於根據所述BIOS鏡像檔案版本資訊獲取所述BIOS鏡像檔案。   可選的,所述BIOS鏡像檔案版本資訊和所述第二校驗參數攜帶BIOS管理伺服器的公鑰簽名,所述裝置還包括:   第二合法性驗證模組,用於根據所述BIOS管理伺服器的私鑰簽名,驗證所述BIOS鏡像檔案版本資訊和所述第二校驗參數具有合法性。   可選的,所述裝置還包括:   資訊獲取模組,用於獲取BIOS供應伺服器提供的BIOS相關資訊,所述BIOS相關資訊包括供應伺服器資訊和BIOS鏡像檔案版本資訊中至少一種;   公鑰獲取模組,用於根據所述BIOS相關資訊從所述BIOS供應伺服器的多種公鑰中獲取所需的公鑰,所述BIOS鏡像檔案攜帶所來源的BIOS供應伺服器對應的私鑰產生的簽名;   簽名驗證模組,用於採用所獲取的公鑰對所述BIOS鏡像檔案進行簽名驗證。   可選的,所述BIOS相關資訊還包括所述BIOS鏡像檔案的第一檔案參數,所述裝置還包括:   完整性驗證模組,用於根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   可選的,所述鏡像檔案獲取模組包括:   鏡像檔案產生子模組,用於產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數。   可選的,所述鏡像檔案獲取模組還包括:   合法性和完整性驗證子模組,用於驗證BIOS產生程式具有合法性和完整性。   可選的,所述裝置包括:   簽名模組,用於根據BIOS管理伺服器的私鑰對所述BIOS鏡像檔案和所述第一檔案參數進行簽名,以供所述資料伺服器根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案和所述第一檔案參數具有合法性。   在本發明實施例中,能夠接收BIOS鏡像檔案獲取請求,從而根據該BIOS鏡像檔案獲取請求攜帶的第二校驗參數產生第一校驗參數,獲取BIOS鏡像檔案並產生該BIOS鏡像檔案的第一檔案參數,因此確保了獲取到該BIOS鏡像檔案的資料伺服器能夠通過驗證第一校驗參數具有合法性,從而確定獲取該BIOS鏡像檔案的過程安全可靠,以及通過根據第一檔案參數驗證BIOS鏡像檔案具有完整性,從而確定所獲取的BIOS鏡像檔案是完整的,減少了資料伺服器獲取到被篡改或損壞的BIOS鏡像檔案的可能,因而也減少了該資料伺服器刷寫、啟動被篡改或損壞的BIOS鏡像檔案可能,從而提高該資料伺服器的安全性和可靠性。 實施例七   參照圖11,示出了根據本發明一個實施例的一種BIOS鏡像檔案的處理裝置,具體包括:   鏡像檔案獲取模組1101,用於獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   第一確定模組1102,用於確定所述第一校驗參數符合預設規則;   第二確定模組1103,用於根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改。   可選的,所述裝置還包括:   刷寫模組,用於採用所述BIOS鏡像檔案進行BIOS刷寫。   在本發明實施例中,由於獲取到的BIOS鏡像檔案中攜帶有第一校驗參數和第一檔案參數,因此,可以確定第一校驗參數符合預設規則,從而確定獲取該BIOS鏡像檔案的來源或過程安全可靠,以及根據第一檔案參數確定BIOS鏡像檔案未被修改,從而確定該BIOS鏡像檔案安全可靠,減少了計算設備獲取到不安全的資料的可能,提高了該計算設備的安全性和可靠性。   對於裝置實施例而言,由於其與方法實施例基本相似,所以描述的比較簡單,相關之處參見方法實施例的部分說明即可。   本發明實施例可被實現為使用任意適當的硬體,韌體,軟體,或及其任意組合進行想要的配置的系統。圖12示意性地示出了可被用於實現本發明中所述的各個實施例的示例性系統(或裝置)1200。   對於一個實施例,圖12示出了示例性系統1200,該系統具有一個或多個處理器1202、被耦合到(一個或多個)處理器1202中的至少一個的系統控制模組(晶片組)1204、被耦合到系統控制模組1204的系統記憶體1206、被耦合到系統控制模組1204的非揮發性記憶體(NVM)/儲存設備1208、被耦合到系統控制模組1204的一個或多個輸入/輸出設備1210,以及被耦合到系統控制模組1206的網路介面1210。   處理器1202可包括一個或多個單核或多核處理器,處理器1202可包括通用處理器或專用處理器(例如圖形處理器、應用處理器、基頻處理器等)的任意組合。在一些實施例中,系統1200能夠作為本發明實施例中所述的資料伺服器或BIOS管理伺服器。   在一些實施例中,系統1200可包括具有指令的一個或多個電腦可讀媒體(例如,系統記憶體1206或NVM/儲存設備1208)以及與該一個或多個電腦可讀媒體相合併被配置為執行指令以實現模組從而執行本發明中所述的動作的一個或多個處理器1202。   對於一個實施例,系統控制模組1204可包括任意適當的介面控制器,以向(一個或多個)處理器1202中的至少一個及/或與系統控制模組1204通信的任意適當的設備或組件提供任意適當的介面。   系統控制模組1204可包括記憶體控制器模組,以向系統記憶體1206提供介面。記憶體控制器模組可以是硬體模組、軟體模組及/或韌體模組。   系統記憶體1206可被用於例如為系統1200加載和儲存資料及/或指令。對於一個實施例,系統記憶體1206可包括任意適當的揮發性記憶體,例如,適當的DRAM。在一些實施例中,系統記憶體1206可包括雙倍資料速率類型四同步動態隨機存取記憶體(DDR4SDRAM)。   對於一個實施例,系統控制模組1204可包括一個或多個輸入/輸出控制器,以向NVM/儲存設備1208及(一個或多個)輸入/輸出設備1210提供介面。   例如,NVM/儲存設備1208可被用於儲存資料及/或指令。NVM/儲存設備1208可包括任意適當的非揮發性記憶體(例如,閃存)及/或可包括任意適當的(一個或多個)非揮發性儲存設備(例如,一個或多個硬碟驅動器(HDD)、一個或多個光碟(CD)驅動器及/或一個或多個數位通用光碟(DVD)驅動器)。   NVM/儲存設備1208可包括在物理上作為系統1200被安裝在其上的設備的一部分的儲存資源,或者其可被該設備存取而不必作為該設備的一部分。例如,NVM/儲存設備1208可通過網路經由(一個或多個)輸入/輸出設備1210進行存取。   (一個或多個)輸入/輸出設備1210可為系統1200提供介面以與任意其他適當的設備通信,輸入/輸出設備1210可以包括通信組件、音頻組件、感測器組件等。網路介面1210可為系統1200提供介面以通過一個或多個網路通信,系統1200可根據一個或多個無線網路標準及/或協議中的任意標準及/或協議來與無線網路的一個或多個組件進行無線通信,例如接入基於通信標準的無線網路,如WiFi,2G或3G,或它們的組合進行無線通信。   對於一個實施例,(一個或多個)處理器1202中的至少一個可與系統控制模組1204的一個或多個控制器(例如,記憶體控制器模組)的邏輯封裝在一起。對於一個實施例,(一個或多個)處理器1202中的至少一個可與系統控制模組1204的一個或多個控制器的邏輯封裝在一起以形成系統級封裝(SiP)。對於一個實施例,(一個或多個)處理器1202中的至少一個可與系統控制模組1204的一個或多個控制器的邏輯整合在同一模具上。對於一個實施例,(一個或多個)處理器1202中的至少一個可與系統控制模組1204的一個或多個控制器的邏輯整合在同一模具上以形成系統單晶片(SoC)。   在各個實施例中,系統1200可以但不限於是:工作站、臺式計算設備或移動計算設備(例如,膝上型計算設備、手持計算設備、平板電腦、上網本等)。在各個實施例中,系統1200可具有更多或更少的組件及/或不同的架構。例如,在一些實施例中,系統1200包括一個或多個攝像機、鍵盤、液晶顯示器(LCD)螢幕(包括觸控螢幕控顯示器)、非揮發性記憶體端口、多個天線、圖形晶片、特殊應用積體電路(ASIC)和揚聲器。   其中,如果顯示器包括觸控面板,顯示屏可以被實現為觸控螢幕顯示器,以接收來自使用者的輸入信號。觸控面板包括一個或多個觸控感測器以感測觸控、滑動和觸控面板上的手勢。所述觸控感測器可以不僅感測觸控或滑動動作的邊界,而且還檢測與所述觸控或滑動操作相關的持續時間和壓力。   本發明實施例還提供了一種非揮發性可讀儲存媒體,該儲存媒體中儲存有一個或多個模組(programs),該一個或多個模組被應用在終端設備時,可以使得該終端設備執行本發明實施例中各方法步驟的指令(instructions)。   在一個示例中提供了一種裝置,包括:一個或多個處理器;和,其上儲存的有指令的一個或多個機器可讀媒體,當由所述一個或多個處理器執行時,使得所述裝置執行如本發明實施例中資料伺服器或BIOS管理伺服器執行的方法。   在一個示例中還提供了一個或多個機器可讀媒體,其上儲存有指令,當由一個或多個處理器執行時,使得裝置執行如本發明實施例中資料伺服器或BIOS管理伺服器執行的方法。   本發明實施例公開了一種BIOS刷寫方法、BIOS鏡像檔案的處理方法以及BIOS啟動方法。   示例1、一種BIOS刷寫方法,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   驗證所述第一校驗參數具有合法性;   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性;   採用所述BIOS鏡像檔案進行BIOS刷寫。   示例2可包括示例1所述的方法,所述第一檔案參數根據所述BIOS鏡像檔案產生。   示例3可包括示例1所述的方法,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的私鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案具有合法性。   示例4可包括示例1所述的方法,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的安全證書,所述方法還包括:   驗證所述BIOS管理伺服器的安全證書具有合法性。   示例5可包括示例1所述的方法,所述根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性包括:   根據所述BIOS鏡像檔案產生第二檔案參數;   驗證所述第二檔案參數與所述第一檔案參數是否一致,若一致,則所述BIOS鏡像檔案具有完整性。   示例6可包括示例5所述的方法,所述BIOS鏡像檔案還攜帶檔案參數演算法標識,所述根據所述BIOS鏡像檔案產生第二檔案參數包括:   根據所述檔案參數演算法標識和所述BIOS鏡像檔案產生所述第二檔案參數。   示例7可包括示例1所述的方法,所述獲取BIOS鏡像檔案包括:   向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數和BIOS鏡像檔案版本資訊,所述第一校驗參數根據所述第二校驗參數產生;   所述驗證所述第一校驗參數具有合法性包括:   根據所述第二校驗參數驗證所述第一校驗參數具有合法性。   示例8可包括示例1所述的方法,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之後,所述方法還包括:   根據資料伺服器的私鑰對所述第一檔案參數進行簽名;   將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   示例9可包括示例8所述的方法,所述方法還包括:   根據所述第一校驗參數產生第三校驗參數;   在所述根據資料伺服器的私鑰對所述第一檔案參數進行簽名之後,所述方法還包括:   將所述第三校驗參數和攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給BIOS管理伺服器,以使所述BIOS管理伺服器根據所述第三校驗參數驗證所述第一校驗參數具有合法性,並將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。   示例10可包括示例1所述的方法,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   檢測到flash寫信號。   示例11可包括示例1所述的方法,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   驗證BIOS刷寫程式具有合法性和完整性。   示例12、一種BIOS鏡像檔案的處理方法,包括:   接收BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數;   獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數;   根據所述第二校驗參數產生第一校驗參數;   將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至資料伺服器,以供所述資料伺服器驗證所述第一校驗參數具有合法性,以及根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   示例13可包括示例12所述的方法,所述BIOS鏡像檔案獲取請求還攜帶所述資料伺服器的安全證書,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之前,所述方法還包括:   驗證所述資料伺服器的安全證書具有合法性。   示例14可包括示例12所述的方法,所述BIOS鏡像檔案獲取請求還攜帶BIOS鏡像檔案版本資訊,所述獲取BIOS鏡像檔案包括:   根據所述BIOS鏡像檔案版本資訊獲取所述BIOS鏡像檔案。   示例15可包括示例14所述的方法,所述BIOS鏡像檔案版本資訊和所述第二校驗參數攜帶BIOS管理伺服器的公鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的私鑰簽名,驗證所述BIOS鏡像檔案版本資訊和所述第二校驗參數具有合法性。   示例16可包括示例12所述的方法,在所述獲取BIOS鏡像檔案之前,所述方法還包括:   獲取BIOS供應伺服器提供的BIOS相關資訊,所述BIOS相關資訊包括供應伺服器資訊和BIOS鏡像檔案版本資訊中至少一種;   在所述獲取BIOS鏡像檔案之後,所述方法還包括:   根據所述BIOS相關資訊從所述BIOS供應伺服器的多種公鑰中獲取所需的公鑰,所述BIOS鏡像檔案攜帶所來源的BIOS供應伺服器對應的私鑰產生的簽名;   採用所獲取的公鑰對所述BIOS鏡像檔案進行簽名驗證。   示例17可包括示例16所述的方法,所述BIOS相關資訊還包括所述BIOS鏡像檔案的第一檔案參數,所述方法還包括:   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。   示例18可包括示例12所述的方法,所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數包括:   產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數。   示例19可包括示例18所述的方法,在所述產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數之前,所述方法還包括:   驗證BIOS產生程式具有合法性和完整性。   示例20可包括示例12所述的方法,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之後,所述方法包括:   根據BIOS管理伺服器的私鑰對所述BIOS鏡像檔案和所述第一檔案參數進行簽名,以供所述資料伺服器根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案和所述第一檔案參數具有合法性。   示例21、一種資料處理方法,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   確定所述第一校驗參數符合預設規則;   根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改。   示例22可包括示例21所述的方法,在所述根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改之後,所述方法還包括:   採用所述BIOS鏡像檔案進行BIOS刷寫。   示例23、一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,其特徵在於,所述處理器執行所述電腦程式時實現如示例1-22一個或多個的方法。   示例24、一種電腦可讀儲存媒體,其上儲存有電腦程式,其特徵在於,所述電腦程式被處理器執行時實現如示例1-22一個或多個的方法。   雖然某些實施例是以說明和描述為目的的,各種各樣的替代、及/或、等效的實施方案、或計算來達到同樣的目的實施例示出和描述的實現,不脫離本發明的實施範圍。本發明旨在覆蓋本文討論的實施例的任何修改或變化。因此,顯然本文描述的實施例僅由權利要求和它們的等同物來限定。
101‧‧‧步驟
102‧‧‧步驟
103‧‧‧步驟
104‧‧‧步驟
201‧‧‧步驟
202‧‧‧步驟
203‧‧‧步驟
204‧‧‧步驟
301‧‧‧步驟
302‧‧‧步驟
303‧‧‧步驟
304‧‧‧步驟
305‧‧‧步驟
306‧‧‧步驟
307‧‧‧步驟
308‧‧‧步驟
309‧‧‧步驟
310‧‧‧步驟
311‧‧‧步驟
401‧‧‧步驟
402‧‧‧步驟
403‧‧‧步驟
501‧‧‧步驟
502‧‧‧步驟
503‧‧‧步驟
504‧‧‧步驟
505‧‧‧步驟
506‧‧‧步驟
601‧‧‧步驟
602‧‧‧步驟
603‧‧‧步驟
701‧‧‧步驟
702‧‧‧步驟
703‧‧‧步驟
704‧‧‧步驟
801‧‧‧步驟
802‧‧‧步驟
803‧‧‧步驟
804‧‧‧步驟
805‧‧‧步驟
806‧‧‧步驟
901‧‧‧鏡像檔案獲取模組
902‧‧‧第一合法性驗證模組
903‧‧‧完整性驗證模組
904‧‧‧刷寫模組
1001‧‧‧鏡像檔案獲取請求接收模組
1002‧‧‧鏡像檔案獲取模組
1003‧‧‧校驗參數產生模組
1004‧‧‧發送模組
1101‧‧‧鏡像檔案獲取模組
1102‧‧‧第一確定模組
1103‧‧‧第二確定模組
1200‧‧‧系統
1202‧‧‧處理器
1204‧‧‧系統控制模組
1206‧‧‧系統記憶體
1208‧‧‧NVM/儲存設備
1210‧‧‧輸入/輸出設備
1212‧‧‧網路介面
通過閱讀下文優選實施方式的詳細描述,各種其它的優點和益處對於本領域普通技術人員將變得清楚明瞭。附圖僅用於示出優選實施方式的目的,而並不認為是對本發明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:   圖1示出了根據本發明一個實施例一的一種BIOS刷寫方法流程圖;   圖2示出了根據本發明一個實施例二的一種BIOS鏡像檔案的處理方法流程圖;   圖3示出了根據本發明一個實施例三的一種BIOS刷寫以及BIOS鏡像檔案的處理方法流程圖;   圖4示出了根據本發明一個實施例四的一種資料處理方法流程圖;   圖5示出了根據本發明一個實施例的一種BIOS刷寫方法的時序圖;   圖6示出了根據本發明一個實施例的一種BIOS鏡像檔案的處理方法流程圖;   圖7示出了根據本發明一個實施例的一種BIOS啟動方法流程圖;   圖8示出了根據本發明一個實施例的另一種BIOS啟動方法流程圖;   圖9示出了根據本發明一個實施例五的一種BIOS刷寫裝置的結構方塊圖;   圖10示出了根據本發明一個實施例六的一種BIOS鏡像檔案的處理裝置的結構方塊圖;   圖11示出了根據本發明一個實施例七的一種資料處理裝置的結構方塊圖;   圖12示出了根據本發明一個實施例的一種示例性系統的結構方塊圖。

Claims (24)

  1. 一種BIOS刷寫方法,其特徵在於,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   驗證所述第一校驗參數具有合法性;   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性;   採用所述BIOS鏡像檔案進行BIOS刷寫。
  2. 根據請求項1所述的方法,其中,所述第一檔案參數根據所述BIOS鏡像檔案產生。
  3. 根據請求項1所述的方法,其中,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的私鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案具有合法性。
  4. 根據請求項1所述的方法,其中,所述BIOS鏡像檔案還攜帶BIOS管理伺服器的安全證書,所述方法還包括:   驗證所述BIOS管理伺服器的安全證書具有合法性。
  5. 根據請求項1所述的方法,其中,所述根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性包括:   根據所述BIOS鏡像檔案產生第二檔案參數;   驗證所述第二檔案參數與所述第一檔案參數是否一致,若一致,則所述BIOS鏡像檔案具有完整性。
  6. 根據請求項5所述的方法,其中,所述BIOS鏡像檔案還攜帶檔案參數演算法標識,所述根據所述BIOS鏡像檔案產生第二檔案參數包括:   根據所述檔案參數演算法標識和所述BIOS鏡像檔案產生所述第二檔案參數。
  7. 根據請求項1所述的方法,其中,所述獲取BIOS鏡像檔案包括:   向BIOS管理伺服器發送BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數和BIOS鏡像檔案版本資訊,所述第一校驗參數根據所述第二校驗參數產生;   所述驗證所述第一校驗參數具有合法性包括:   根據所述第二校驗參數驗證所述第一校驗參數具有合法性。
  8. 根據請求項1所述的方法,其中,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之後,所述方法還包括:   根據資料伺服器的私鑰對所述第一檔案參數進行簽名;   將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。
  9. 根據請求項8所述的方法,其中,所述方法還包括:   根據所述第一校驗參數產生第三校驗參數;   在所述根據資料伺服器的私鑰對所述第一檔案參數進行簽名之後,所述方法還包括:   將所述第三校驗參數和攜帶所述資料伺服器的私鑰簽名的第一檔案參數發送給BIOS管理伺服器,以使所述BIOS管理伺服器根據所述第三校驗參數驗證所述第一校驗參數具有合法性,並將攜帶所述資料伺服器的私鑰簽名的第一檔案參數進行儲存。
  10. 根據請求項1所述的方法,其中,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   檢測到flash寫信號。
  11. 根據請求項1所述的方法,其中,在所述採用所述BIOS鏡像檔案進行BIOS刷寫之前,所述方法還包括:   驗證BIOS刷寫程式具有合法性和完整性。
  12. 一種BIOS鏡像檔案的處理方法,其特徵在於,包括:   接收BIOS鏡像檔案獲取請求,所述BIOS鏡像檔案獲取請求攜帶第二校驗參數;   獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數;   根據所述第二校驗參數產生第一校驗參數;   將所述第一檔案參數、所述第一校驗參數以及所述BIOS鏡像檔案一同發送至資料伺服器,以供所述資料伺服器驗證所述第一校驗參數具有合法性,以及根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。
  13. 根據請求項12所述的方法,其中,所述BIOS鏡像檔案獲取請求還攜帶所述資料伺服器的安全證書,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之前,所述方法還包括:   驗證所述資料伺服器的安全證書具有合法性。
  14. 根據請求項12所述的方法,其中,所述BIOS鏡像檔案獲取請求還攜帶BIOS鏡像檔案版本資訊,所述獲取BIOS鏡像檔案包括:   根據所述BIOS鏡像檔案版本資訊獲取所述BIOS鏡像檔案。
  15. 根據請求項14所述的方法,其中,所述BIOS鏡像檔案版本資訊和所述第二校驗參數攜帶BIOS管理伺服器的公鑰簽名,所述方法還包括:   根據所述BIOS管理伺服器的私鑰簽名,驗證所述BIOS鏡像檔案版本資訊和所述第二校驗參數具有合法性。
  16. 根據請求項12所述的方法,其中,在所述獲取BIOS鏡像檔案之前,所述方法還包括:   獲取BIOS供應伺服器提供的BIOS相關資訊,所述BIOS相關資訊包括供應伺服器資訊和BIOS鏡像檔案版本資訊中至少一種;   在所述獲取BIOS鏡像檔案之後,所述方法還包括:   根據所述BIOS相關資訊從所述BIOS供應伺服器的多種公鑰中獲取所需的公鑰,所述BIOS鏡像檔案攜帶所來源的BIOS供應伺服器對應的私鑰產生的簽名;   採用所獲取的公鑰對所述BIOS鏡像檔案進行簽名驗證。
  17. 根據請求項16所述的方法,其中,所述BIOS相關資訊還包括所述BIOS鏡像檔案的第一檔案參數,所述方法還包括:   根據所述第一檔案參數驗證所述BIOS鏡像檔案具有完整性。
  18. 根據請求項12所述的方法,其中,所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數包括:   產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數。
  19. 根據請求項18所述的方法,其中,在所述產生所述BIOS鏡像檔案,並根據產生的BIOS鏡像檔案產生對應的第一檔案參數之前,所述方法還包括:   驗證BIOS產生程式具有合法性和完整性。
  20. 根據請求項12所述的方法,其中,在所述獲取BIOS鏡像檔案並產生所述BIOS鏡像檔案的第一檔案參數之後,所述方法包括:   根據BIOS管理伺服器的私鑰對所述BIOS鏡像檔案和所述第一檔案參數進行簽名,以供所述資料伺服器根據所述BIOS管理伺服器的公鑰,驗證所述BIOS鏡像檔案和所述第一檔案參數具有合法性。
  21. 一種資料處理方法,其特徵在於,包括:   獲取BIOS鏡像檔案,所述BIOS鏡像檔案攜帶第一校驗參數以及第一檔案參數;   確定所述第一校驗參數符合預設規則;   根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改。
  22. 根據請求項21所述的方法,其中,在所述根據所述第一檔案參數確定所述BIOS鏡像檔案未被修改之後,所述方法還包括:   採用所述BIOS鏡像檔案進行BIOS刷寫。
  23. 一種電腦設備,包括記憶體、處理器及儲存在記憶體上並可在處理器上運行的電腦程式,其特徵在於,所述處理器執行所述電腦程式時實現如請求項1-22一個或多個的方法。
  24. 一種電腦可讀儲存媒體,其上儲存有電腦程式,其特徵在於,所述電腦程式被處理器執行時實現如請求項1-22一個或多個的方法。
TW107129278A 2017-10-25 2018-08-22 Bios刷寫方法及bios鏡像檔案的處理方法 TW201935234A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN201711009667.8A CN109710315B (zh) 2017-10-25 2017-10-25 Bios刷写方法及bios镜像文件的处理方法
??201711009667.8 2017-10-25

Publications (1)

Publication Number Publication Date
TW201935234A true TW201935234A (zh) 2019-09-01

Family

ID=66246694

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107129278A TW201935234A (zh) 2017-10-25 2018-08-22 Bios刷寫方法及bios鏡像檔案的處理方法

Country Status (4)

Country Link
US (1) US10878097B2 (zh)
CN (1) CN109710315B (zh)
TW (1) TW201935234A (zh)
WO (1) WO2019084577A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI796082B (zh) * 2022-01-10 2023-03-11 神雲科技股份有限公司 基本輸入輸出系統設定資料保存及沿用方法
TWI815607B (zh) * 2022-08-12 2023-09-11 神雲科技股份有限公司 基本輸入輸出系統更新方法

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112000537A (zh) * 2019-05-27 2020-11-27 英业达科技有限公司 计算机装置的内建内存检测方法
CN110163012A (zh) * 2019-05-30 2019-08-23 苏州浪潮智能科技有限公司 基于可编程器件的主板上电方法、装置及系统
CN110362427A (zh) * 2019-06-26 2019-10-22 苏州浪潮智能科技有限公司 一种镜像文件的处理方法、系统、bmc及可读存储介质
CN111125725A (zh) * 2019-11-22 2020-05-08 苏州浪潮智能科技有限公司 一种镜像校验的加解密方法、设备及介质
CN111475176B (zh) * 2020-04-10 2021-08-13 腾讯科技(深圳)有限公司 一种数据读写的方法、相关装置、系统以及存储介质
CN112115481B (zh) * 2020-09-11 2022-07-08 苏州浪潮智能科技有限公司 Bios刷新方法、装置、设备及可读存储介质
CN112507343A (zh) * 2020-12-11 2021-03-16 浪潮电子信息产业股份有限公司 一种bios更新方法、装置、设备及介质
CN113127015B (zh) * 2021-04-25 2024-06-18 联想(北京)有限公司 一种安装方法、装置以及电子设备
US11663344B2 (en) * 2021-05-27 2023-05-30 Dell Products L.P. System and method for binding applications to a root of trust
CN113591141B (zh) * 2021-05-28 2023-09-26 山东英信计算机技术有限公司 基于模糊测试的固件镜像文件刷写校验方法、系统及终端
CN114444083B (zh) * 2022-01-07 2023-12-22 苏州浪潮智能科技有限公司 一种基于bmc的服务器bios全生命周期安全保护系统
CN117076002B (zh) * 2023-09-28 2024-01-02 飞腾信息技术有限公司 一种安全启动方法及相关装置

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6715074B1 (en) 1999-07-27 2004-03-30 Hewlett-Packard Development Company, L.P. Virus resistant and hardware independent method of flashing system bios
US6976163B1 (en) * 2000-07-12 2005-12-13 International Business Machines Corporation Methods, systems and computer program products for rule based firmware updates utilizing certificate extensions and certificates for use therein
US7577848B2 (en) * 2005-01-18 2009-08-18 Microsoft Corporation Systems and methods for validating executable file integrity using partial image hashes
US20080034350A1 (en) 2006-04-05 2008-02-07 Conti Gregory R System and Method for Checking the Integrity of Computer Program Code
US9053323B2 (en) 2007-04-13 2015-06-09 Hewlett-Packard Development Company, L.P. Trusted component update system and method
DE102008011925B4 (de) 2008-02-29 2018-03-15 Globalfoundries Inc. Sicheres Initialisieren von Computersystemen
US9720782B2 (en) * 2008-12-08 2017-08-01 Microsoft Technology Licensing, Llc Authenticating a backup image with bifurcated storage
US8869138B2 (en) * 2011-11-11 2014-10-21 Wyse Technology L.L.C. Robust firmware update with recovery logic
JP5582909B2 (ja) 2010-07-29 2014-09-03 キヤノン株式会社 プラットフォーム完全性検証システム
CN102103509A (zh) * 2010-11-23 2011-06-22 Tcl集团股份有限公司 一种互联网电视远程自动升级方法
CN103186434A (zh) * 2011-12-31 2013-07-03 国民技术股份有限公司 恢复基本输入输出系统的方法及系统
CN105144185B (zh) 2013-04-23 2018-06-05 惠普发展公司,有限责任合伙企业 验证控制器代码和系统启动代码
US9183394B2 (en) 2013-11-13 2015-11-10 Via Technologies, Inc. Secure BIOS tamper protection mechanism
US20150220736A1 (en) 2014-02-04 2015-08-06 Dell Products, Lp Continuous Memory Tamper Detection Through System Management Mode Integrity Verification
CN104035806A (zh) * 2014-06-30 2014-09-10 普联技术有限公司 一种基于多重镜像的系统启动方法及装置
US9742568B2 (en) 2015-09-23 2017-08-22 Dell Products, L.P. Trusted support processor authentication of host BIOS/UEFI
US10296353B2 (en) 2016-01-25 2019-05-21 Hewlett-Packard Development Company, L.P. Protecting basic input/output (BIOS) code

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI796082B (zh) * 2022-01-10 2023-03-11 神雲科技股份有限公司 基本輸入輸出系統設定資料保存及沿用方法
TWI815607B (zh) * 2022-08-12 2023-09-11 神雲科技股份有限公司 基本輸入輸出系統更新方法

Also Published As

Publication number Publication date
CN109710315A (zh) 2019-05-03
US20190188387A1 (en) 2019-06-20
CN109710315B (zh) 2022-05-10
US10878097B2 (en) 2020-12-29
WO2019084577A1 (en) 2019-05-02

Similar Documents

Publication Publication Date Title
TW201935234A (zh) Bios刷寫方法及bios鏡像檔案的處理方法
US10878096B2 (en) BIOS startup method and data processing method
US10839080B2 (en) Hardware-enforced firmware security
US10771264B2 (en) Securing firmware
KR101662618B1 (ko) 단일 신뢰 플랫폼 모듈을 가진 플랫폼 컴포넌트의 측정
US9223982B2 (en) Continuation of trust for platform boot firmware
JP4971466B2 (ja) コンピューティング・デバイスの安全なブート
US8806221B2 (en) Securely recovering a computing device
WO2017133559A1 (zh) 安全启动方法及装置
KR101402542B1 (ko) 지속형 보안 시스템 및 지속형 보안 방법
US20100082960A1 (en) Protected network boot of operating system
US20130081124A1 (en) Trusting an unverified code image in a computing device
TW201516733A (zh) 用以核對uefi認證變量變化之系統及方法
US10482256B2 (en) Information processing apparatus and method of controlling the apparatus
US11349651B2 (en) Measurement processing of high-speed cryptographic operation
CN112148314B (zh) 一种嵌入式系统的镜像验证方法、装置、设备及存储介质
WO2015035843A1 (zh) 一种度量方法、电子设备及度量系统
WO2022037346A1 (zh) 快速外设组件互联设备启动方法、装置以及存储介质
CN111241548B (zh) 计算机启动方法
CN116561734A (zh) 一种验证方法、装置、计算机及计算机配置系统
CN114995918A (zh) 基板管理控制器的启动方法、配置方法、装置及电子设备
CN112054895A (zh) 可信根构建方法及应用
US20230367860A1 (en) Instruction verifications
US20240037216A1 (en) Systems And Methods For Creating Trustworthy Orchestration Instructions Within A Containerized Computing Environment For Validation Within An Alternate Computing Environment
CN117193863B (zh) 主机引导程序的启动方法、装置、系统和处理器