TW202143034A - 監控系統開機之安全裝置及其方法 - Google Patents

監控系統開機之安全裝置及其方法 Download PDF

Info

Publication number
TW202143034A
TW202143034A TW110126482A TW110126482A TW202143034A TW 202143034 A TW202143034 A TW 202143034A TW 110126482 A TW110126482 A TW 110126482A TW 110126482 A TW110126482 A TW 110126482A TW 202143034 A TW202143034 A TW 202143034A
Authority
TW
Taiwan
Prior art keywords
bus
security
processor
host
boot
Prior art date
Application number
TW110126482A
Other languages
English (en)
Other versions
TWI756156B (zh
Inventor
赫詩曼 日弗
摩瑞 丹
伊蘭 馬格利特
帕萊 尼莫
亞隆 摩西
Original Assignee
新唐科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/377,212 external-priority patent/US10691807B2/en
Application filed by 新唐科技股份有限公司 filed Critical 新唐科技股份有限公司
Publication of TW202143034A publication Critical patent/TW202143034A/zh
Application granted granted Critical
Publication of TWI756156B publication Critical patent/TWI756156B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/14Handling requests for interconnection or transfer
    • G06F13/16Handling requests for interconnection or transfer for access to memory bus
    • G06F13/1668Details of memory controller
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • G06F13/38Information transfer, e.g. on bus
    • G06F13/42Bus transfer protocol, e.g. handshake; Synchronisation
    • G06F13/4282Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Alarm Systems (AREA)

Abstract

本發明揭露一種安全裝置,其包含一介面以及一處理器。此介面連接一匯流排,一主機裝置以及一非揮發性記憶體裝置亦連接此匯流排。處理器係連接至匯流排。處理器偵測在匯流排上的一開機程序,在開機程序中,主機裝置從NVM裝置取得啟動代碼,安全裝置係根據主機裝置該啟動代碼之至少一部分之副本,以確定開機程序之安全。

Description

監控系統開機之安全裝置及其方法
本發明有關於一種電子系統安全,特別是有關於一種自助安全(secure bootstrapping)的方法以及系統。
電子裝置系統使用多種類型的匯流排介面進行主機裝置以及周邊裝置之間的進行通訊。匯流排介面之一示例是序列周邊介面匯流排(SPI bus)。可支援SPI 匯流排的周邊裝置有包含,例如,序列式快閃記憶體裝置。
本發明之一實施例提供一種安全裝置,其包含一介面以及一處理器。此介面用以連接一服務一主機裝置以及一非揮發性記憶體(NVM)裝置的匯流排。處理器連接至該匯流排,該主機裝置以及該NVM裝置也連接至該匯流排,該處理器係用以偵測該匯流排上的一開機程序,在該開機程序中該主機裝置從該NVM裝置取得一啟動代碼,以及根據主機裝置之該啟動代碼之至少一部分之一副本,確定該開機程序之安全。
在一些實施例中,處理器係用以從該匯流排擷取該啟動代碼之至少一部份,以及當偵測到從該NVM裝置取得的該啟動代碼之該至少一部分與該副本之間有不符合時,啟動一回應措施。
在一實施例中,副本包含該啟動代碼之該至少一部分之一映像(image),而該處理器係比較該映像與從該NVM裝置取得的該啟動代碼之至少一部分,以偵測該不符合。在另一實施例中,副本包含該啟動代碼之該至少一部分之一真實摘要(authentic digest),而該處理器係計算從該NVM裝置取得的該啟動代碼之該至少一部分之一摘要,並比較從該NVM裝置取得的該啟動代碼之該至少一部分之該摘要與該真實摘要,以偵測該不符合。
在一些實施例中,處理器係在該開機程序進行時偵測該不符合。在一示例性實施例,回應偵測到該不符合時,該處理器係用以強加一個或多個虛擬值在該匯流排之至少一線路上,以擾亂該開機程序。在一實施例,回應偵測到該不符合時,該處理器係擾亂該主機裝置與該NVM裝置之間的該匯流排該一個或多個線路,以擾亂該開機程序。在另一實施例中,回應偵測到該不符合,該處理器係在該匯流排上代替該NVM裝置回應該主機裝置,以使用該副本完成該開機程序。在其他實施例,處理器偵測該不符合係獨立於該開機程序之進行。
在一實施例中,處理器係在該安全裝置之一內部記憶體中保存該副本,或是在該安全裝置外部的一記憶體保存該副本。在另一實施例中,在該開機程序之安全確定之前,該處理器係防止該主機裝置對一既定機密資訊進行存取。
在一實施例中,處理器係執行以下操作以確定該開機程序之安全:代替該NVM裝置回應該主機裝置,並提供一啟動代碼給該主機裝置,其中該啟動代碼係造成該主機裝置在該匯流排上進行的活動在該開機程序之第一實體(instance)及第二實體之間有所不同;以及監控該主機裝置在該匯流排上之該活動,以及確認該活動符合提供給該主機裝置之該啟動代碼。
在又一實施例,當該匯流排之一晶片選擇(CS)線未被設定有效(assert)時,該處理器係藉由確保該匯流排之所有數據線與時脈線之邏輯狀態不改變,以確定該開機程序之安全。在另一實施例,該處理器係藉由確保只有在一預先定義白名單上出現的匯流排指令被施加至該NVM裝置,以確定該開機程序之安全。
在一示例性實施例,處理器係藉由確保在該開機程序中從一既定重置訊號或是開機訊號至一既定事件的一時間延遲有在一預先定義範圍內,以確定該開機程序之安全。此外,處理器係藉由確保該匯流排之至少一線路之一類比參數值落在一預先定義範圍內,以確定該開機程序之安全。在一實施例中,啟動代碼係指示該主機裝置在該匯流排上輸出一個或多個主機參數值,且該處理器係藉由監控以及確認輸出在該匯流排上之該主機參數值,以確定該開機程序之安全。
本發明之一實施例提供一種安全方法,其包含下列步驟:使用一安全裝置通過一匯流排進行通訊,其中一主機裝置以及一非揮發性記憶體(NVM)係連接該匯流排;以及使用該安全裝置偵測在該匯流排上之一開機程序,在該開機程序中該主機裝置係從該NVM裝置取得一啟動代碼,並根據該主機裝置之該啟動代碼之至少一部分之一副本確定該開機程序之安全。
在另一實施例,本發明提供一種安全裝置,其包含一介面以及一處理器。介面用於連接一服務一個或多個周邊裝置的匯流排。此匯流排包含一個或多個專用訊號,其分別用於一周邊裝置;以及一個或多個共享訊號,其透過匯流排共享於周邊裝置。處理器係連接至匯流排作為一額外裝置。周邊裝置係連接至匯流排。處理器可藉由擾亂與既定周邊裝置相關的專用訊號,以擾亂在匯流排上匯流排主裝置嘗試存取既定周邊裝置的操作。
在一些實施例中,在進行擾亂操作時,處理器保持在匯流排上的共享訊號不中斷。在一實施例中,此介面包含一輸入,用以從匯流排主裝置接收專用訊號;以及一輸出,用以傳送專用訊號至既定周邊裝置,而處理器可藉由防止輸入接收之專用訊號傳送到輸出,以擾亂上述操作。在一些實施例中,處理器係取代既定周邊裝置回應匯流排主裝置,藉此擾亂專用訊號。在一示例性實施例,專用訊號包含一晶片選擇(CS)訊號。
在一實施例,處理器藉由監控匯流排,偵測須被擾亂之操作。再一實施例中,處理器在一輔助介面上與匯流排主裝置進行通訊,以偵測須被擾亂之操作。輔助介面係位於匯流排外部。
在一實施例中,處理器不確定地擾亂專用訊號,直到系統重置。在另一實施例中,偵測到上述操作後,處理器在一有限時間週期擾亂專用訊號。在一實施例中,藉由擾亂操作,處理器使得在一個或多個周邊裝置捨棄操作。在一些實施例中,在擾亂操作之後,處理器回復匯流排之正常操作。
根據本發明之一實施例,再提供一種安全裝置,其包含一介面以及一處理器。該介面連接一服務一個或多個周邊裝置的匯流排。處理器以及周邊裝置係連接至匯流排,該處理器藉由取代既定周邊裝置回應匯流排主裝置,以擾亂在匯流排上一匯流排主裝置嘗試存取一既定周邊裝置之操作。
在一實施例中,匯流排包含一個或多個專用訊號,其分別專用於周邊裝置;以及一個或多個共享訊號,其在匯流排服務之周邊裝置之間共享,而處理器藉由擾亂既定周邊裝置相關的專用訊號,並於專用訊號被擾亂時回應匯流排主裝置,以擾亂匯流排主裝置之操作。
在一些實施例中,周邊裝置包含一記憶體裝置,而處理器識別出該操作中匯流排主裝置對記憶體裝置讀取數據之要求,並以安全裝置內部儲存之另一數據回應此要求。在一示例性實施例,處理器係以另一數據回應匯流排主裝置對記憶體裝置存取一預先定義位址區的要求,藉此擾亂此操作。
在另一實施例中,根據在操作期間既定周邊裝置回傳至匯流排主裝置的數據,處理器識別出匯流排主裝置嘗試存取既定周邊裝置之操作。在又一實施例,根據操作中使用的指令碼,處理器識別匯流排主裝置嘗試存取既定周邊裝置之操作。
根據本發明之一實施例,再提供一種安全方法,其包含下列步驟:使用一安全裝置通過一匯流排進行通訊,其中一主機裝置以及一個或多個周邊裝置係連接該匯流排;其中匯流排包含一個或多個專用訊號,其分別專用於周邊裝置;以及一個或多個共享訊號,其在匯流排服務之周邊裝置之間共享。使用安全裝置藉由擾亂與既定周邊裝置相關的專用訊號,以擾亂在匯流排上匯流排主裝置嘗試存取一既定周邊裝置的操作。
根據本發明之一實施例,再提供一種安全方法,其包含下列步驟:使用一安全裝置通過一匯流排進行通訊,其中一主機裝置以及一個或多個周邊裝置係連接該匯流排;使用安全裝置藉由代替既定周邊裝置回應匯流排主裝置,以擾亂在匯流排上匯流排主裝置嘗試存取一既定周邊裝置的操作。
根據本發明的另一實施例,提供一種安全裝置,其包含一介面以及一處理器。介面係通過一匯流排進行通訊。處理器係藉由平行於操作之至少一部分而強加一個或多個虛擬值在匯流排上至少一線路上,以擾亂在匯流排上匯流排主裝置未經授權嘗試存取一周邊裝置的操作。
在一實施例中,處理器係在匯流排之一數據線上強加虛擬值,藉以擾亂在數據線上來自周邊裝置發送或接收之數據值之傳送。此外,處理器可在匯流排之時脈線上強加虛擬值,藉以擾亂此操作使用的時脈訊號。此外,處理器可在匯流排之晶片選擇線上強加虛擬值,藉以擾亂匯流排主裝置對周邊裝置之選擇。
在一些實施例中,匯流排包含一具有預設邏輯值的汲極開路或是集極開路匯流排,而處理器可藉由對此匯流排之至少一線路寫入預設邏輯值之相反值,以強加虛擬值。
在一些實施例中,藉由強加虛擬值,處理器可覆蓋匯流排主裝置或是周邊裝置已在至少一線路上寫入的對應對應值。在一示例性實施例,處理器可藉由驅動驅動強度強匯流排主裝置或是周邊裝置知驅動強度的至少一線路,以覆蓋匯流排主裝置或是周邊裝置已寫入的數值。在其他的實施例中,此裝置包含至少一電阻,其插置在至少一線路上,用以減弱匯流排主裝置或是周邊裝置已寫入的數值,使其弱於處理器已寫入之虛擬值。
在一些實施例中,處理器僅使用匯流排主裝置以及周邊裝置之間進行通訊的匯流排之既有線路,以強加虛擬值。在一些實施例中,處理器係監控匯流排,以偵測須被擾亂的操作。在一實施例中,處理器係藉由在輔助介面上與匯流排主裝置進行通訊,以偵測須被擾亂之操作。輔助介面係位於匯流排外部。
在一實施例中,處理器不確定地強加虛擬值直到此裝置被重置。在另一實施例中,偵測到此操作之後,處理器在有限時間週期內強加虛擬值。在一實施例中,在擾亂操作之後,處理器可回復匯流排之正常操作。
根據本發明之一實施例,再提供一種安全系統,其包含一周邊裝置以及一安全裝置。一個或多個匯流排主裝置可通過一匯流排存取周邊裝置。安全裝置可藉由平行於操作之至少一部分強加一個或多個虛擬值在至少一線路上,以擾亂在匯流排上匯流排主裝置未經授權嘗試存取周邊裝置之操作。
根據本發明之一實施例,再提供一種安全方法,其包含下列步驟:使用一安全裝置耦接於一匯流排,決定擾亂匯流排主裝置未經授權嘗試存取一周邊裝置的操作。藉由平行於此操作之至少一部分強加一個或多個虛擬值在此匯流排之至少一線路上,以擾亂此操作。
以下將配合圖式及實施例來詳細說明本發明之實施方式,藉此對本發明如何應用技術手段來解決技術問題並達成技術功效的實現過程能充分理解並據以實施。
概述
本發明的實施例係描述一種在匯流排介面上保護周邊裝置存取安全的方法以及裝置。周邊裝置可包含,例如,加密引擎、儲存敏感數據之記憶體裝置、或是其他任何會通過一匯流排進行存取之類似裝置。
在一些實施例中,安全裝置監控在匯流排上的操作(transaction),以及識別主機裝置或其他匯流排主裝置未經授權而周邊裝置進行存取的操作。根據任何適合標準(criterion)或是策略(policy),此些操作可分類成經授權的操作以及未經授權的操作。
當識別到一未經授權的操作,安全裝置可藉由平行於此操作進行時同時在匯流排之一個或多個線路上或是訊號上刻意強加一些虛擬值,以擾亂此未經授權的操作。上述虛擬值可強加在,例如,一時脈訊號上、一數據訊號及/或一晶片選擇(CS)訊號上。
藉由在匯流排上強加虛擬值以擾亂操作的方式係適合於,例如,汲極開路(open-drain)匯流排或是集極開路(open-collector)匯流排,例如I2 C匯流排,以及推挽式(push-pull)匯流排,例如SPI匯流排。平行於未經授權之操作同時進行在匯流排上強加虛擬值可蓋過與該周邊裝置的通訊,並擾亂時脈訊號。
以下將描述幾個用於在I2 C與SPI匯流排上擾亂未經授權之操作示例技術,同時也描述在擾亂之後回復正常操作的技術。在一些實施例中,安全裝置可不須先在匯流排上偵測此未經授權之操作、甚至不須監控匯流排,便可進行擾亂。例如,安全裝置可在某一主機之晶片選擇(CS)線路上強加虛擬值,直到或是除非此主機取得授權。
在一些實施例中,例如,在SPI匯流排中,安全裝置所保護的匯流排包含:(i)一個或多個專用訊號,其分別專用於一周邊裝置;以及(ii)一個或多個共享訊號,其藉由匯流排在多個周邊裝置之中共享。共享訊號之示例為數據訊號以及時脈訊號。專用訊號之示例係為CS訊號。在一些實施例中,安全裝置係藉由擾亂與受保護之周邊裝置相關的專用訊號,並同時在匯流排上保持共享訊號,以擾亂此未經授權的操作。然而,應注意的是,並非所有匯流排都有專用訊號。例如,在I2 C匯流排,所有訊號都是共享訊號。
在其他的實施例中,安全裝置藉由代替受保護之周邊裝置來回應此未經授權主機,以擾亂此操作。在一示例性實施例,周邊裝置包含一快閃記憶體,其包含用以儲存敏感數據(例如金鑰、組態數據及/或啟動代碼)之一個或多個位址區。藉由選擇性地蓋過快閃記憶體之CS訊號,安全裝置能覆蓋對快閃記憶體之數據進行存取之操作。安全裝置係以其內部儲存的數據回應該主機。以下將描述此種安全開機程序。
本發明揭露之技術提供在逐筆操作的等級上(transaction-by-transaction level)上對周邊裝置即時安全選擇性存取。在本發明之實施例中,僅使用匯流排之既有訊號來進行操作識別以及操作擾亂。因此,本發明揭露之技術不需要額外接腳或是互連線路,藉此降低整體系統尺寸以及成本。
在其他實施例中,安全裝置係保護主機裝置之開機程序之安全,在開機程序中,主機裝置通過一匯流排從一非揮發性記憶體(NVM)裝置取得一啟動代碼。例如,主機可在一SPI匯流排上從一SPI快閃記憶體裝置開始啟動。在一些實施例中,在開機程序之期間內安全裝置會監控匯流排,並比較主機取得之啟動代碼之至少一部分以及一已知的副本,例如啟動代碼映像(boot code image)或是摘要(digest)。當偵測到在匯流排上取得之啟動代碼與安全裝置已知的副本之間不符合時,觸發一回應措施。本發明之此技術能啟動安全裝置保護系統抵抗多種安全威脅,例如,被盜用的主機或是快閃記憶體裝置,或是對匯流排訊號的攻擊。以下將描述幾種安全開機程序之示例性實施例以及變化型。
在I2 C匯流排上安全存取周邊裝置
第1圖係根據本發明之一實施例繪示之安全系統20之方塊圖。在本示例中,安全系統20包含一主機裝置24以及一周邊裝置28,兩者連接至一I2 C匯流排32。為使描述更為精簡,主機裝置24以及周邊裝置28係分別可稱為主機以及周邊。主機裝置24有時亦稱為一匯流排主裝置(bus master)。
安全裝置36係藉由監控在I2 C匯流排上的操作,以保護對周邊裝置28的存取,並防止主機24或是另一具有匯流排主裝置能力的裝置未經授權就嘗試存取周邊28的未經授權操作。安全裝置36有時亦稱為一控制裝置或是信任平台模組(TPM)。在本示例中,安全裝置36包含一介面40、一處理器44以及一記憶體48。介面40用以連接I2 C匯流排32,處理器44執行本發明揭露之技術,而記憶體48儲存由處理器44實施之一個或多個安全政策。
根據任何預先定義或設置之策略,處理器44可分類一操作(transaction)。一般而言,未經授權操作會嘗試對該周邊裝置寫入數據、從周邊裝置讀取數據、設置或是傳送指令至周邊裝置、或是以其他任何方式存取周邊裝置。安全裝置實施之策略可包含正向策略,例如白名單(whitelist);負向策略,例如黑名單(blacklist);取決於裝置位址或是暫存器偏移量的策略;或是其他任何類型之策略。
例如,在主機被授權對周邊裝置進行存取之前,主機可被要求讓安全裝置驗證身份。未經授權的主機嘗試的操作會被認定是未經授權。例如,可在主機以及安全裝置之間使用一些題詢答程序(challenge-response process)以執行驗證(authentication)。此外,主機可被要求以其他適合方式證明身份、或是成功完成一安全開機程序。
此外,一些類型之操作(例如,讀取操作)可視為已經授權,而其他類型操作(例如,寫入操作)可視為未經授權。在另一示例中,對周邊裝置之預設位址進行存取之操作可視為已經授權,而對其他位址進行存取之操作可視為未經授權。在另一示例中,在匯流排上之一些位元序列可代表一未經授權操作。
一般而言,處理器44可用任何適合的方式區分已經授權操作以及未經授權操作。用於區分已經授權操作以及未經授權操作的至少一策略可儲存在記憶體48中。
I2 C匯流排32包含一串列數據(SDA)線,用以輸送一串列數據訊號;以及一串列時脈(SCL)線,用以承載一串列時脈訊號。用語"線或線路(line)”以及“訊號”在本文中可以互換使用。藉由監控SDA線以及SCL線,處理器44可監控在I2 C匯流排上互動的任何操作,並識別出未經授權操作。
當識別出一未經授權操作時,處理器44藉由在I2 C匯流排32之DSA線及/或SCL線上強加一個或多個虛擬值,以擾亂此未經授權操作。由於I2 C匯流排之汲極開路/集極開路結構,使得此機制可行。通常,SDA線以及SCL線會使用上拉電阻而預設上拉成邏輯“1”狀態(即高電壓位準)。任何裝置可在任何時間在SDA線或是SCL線上寫入一“0”值,以強加一邏輯“0”(即低電壓位準),而不管其他裝置同時寫入什麼數值。
因此,在一些實施例中,當識別出一未經授權操作時,安全裝置36之處理器44會使用介面40在匯流排32之SDA線或是SCL線上強加一邏輯“0”(預設“1”邏輯值之相反值)。在此,“0”值係視為一虛擬值。“0”值強加在SDA線上以蓋過從主機裝置24寫至周邊裝置28之任何數據值、或是主機裝置24從周邊裝置28讀取的任何數據值、或是預設“1”值。強加在SCL線上的“0”值會停止時脈訊號。在任一情況中,操作會受到擾亂。
在一些實施例中,處理器44繼續不確定地強加“0”值,例如,直到上電重置被執行。在其他的實施例中,處理器44可讓主機重置24以及周邊重置28從被擾亂操作的狀態復原到正常操作。一些主機重置及/或週邊裝置無法從時脈暫停恢復到正常運作。因此,如果主機重置以及周邊裝置需要恢復到正常運作,較佳的是可在SDA上強加虛擬值,而不在SCL線上強加虛擬值。
在一實施例中,為了在擾亂操作後回復到正常操作,處理器44在匯流排上產生一I2 C停止或是重啟動條件。本文中,I2 C停止或是重啟動條件可包含任何序列之告知裝置匯流排可以自由地開始操作的匯流排訊號值。
處理器44可使用多種技術以從擾亂操作恢復到正常運作。在一實施例中,處理器44只有在一預先定義的時間長度中強加“0”值,其足以擾亂此未經授權操作。可使用任何預先定義時間長度。例如,SMBus規範有界定25mS的暫停時間。因此,在I2 C上運行SMBus(SMBus-over-I2 C)之應用中,可設定預先定義時間長度為25mS,以觸發暫停。
在另一實施例中,處理器44可在SDA線上強加“0”值,直到偵測SCL線已經處於高位準(例如,不擾動)達到至少一預先定義時間週期。此條件可表示主機已經結束或是捨棄此操作。接著,處理器44可釋出SDA線,並可能產生一I2 C停止條件。
在又一實施例中,為了有效擾亂從周邊裝置讀取數據的未經授權操作,安全裝置36可作為一具有與週邊28相同裝置位址的I2 C從屬裝置。安全裝置36之處理器44可用“0”數據值回應此未經授權之讀取要求。在處理器44運作的同時,週邊裝置28亦會回應此讀取要求,但其傳送的數據值會被安全裝置36發送之“0”值覆蓋。此程序會繼續執行直到主機因為一停止條件而結束此操作。應注意的是,根據I2 C規範,在傳送數據時,I2 C從屬裝置不會驅動ACK/NEGACK位元。
在另一實施例中,為了有效擾亂讀取操作以及寫入操作,處理器44可在SDA線上強加“0”值。接著,如果主機裝置24沒有辨識出擾亂,則操作會以匯流排上的“0”數據而正常結束,藉此取代從週邊28傳送出的數據。如果主機裝置24偵測到擾亂(例如,因為其支援I2 C多主機仲裁機制)而捨棄該操作,則處理器44可在SCL線上產生額外時脈週期,以接管主機24捨棄的操作。接著,處理器44可完成目前正在傳輸的位元組,並發布一停止條件以結束該操作。
上述擾亂以及恢復技術僅為例示性說明。在其他實施例,安全裝置36之處理器44可使用其他任何適合技術來擾亂操作,以及從擾亂恢復到正常運行。
在上述示例中,偵測未經授權之操作、擾亂未經授權操作、以及在擾亂之後恢復正常運行,都只使用匯流排既有的線路來實現。在其他實施例,安全裝置36以及主機24亦可藉由匯流排32外部的一些輔助介面而相互連接。此機制適用於,例如,當安全裝置36以及主機24係整合在相同積體電路(IC)中並共享積體電路之SDA接腳以及SCL接腳的情況。
在此些實施例,安全裝置36以及主機裝置24可使用輔助介面以確認沒有其他主機裝置存取周邊裝置28。在一示例性實施例,每當主機24存取週邊裝置28時,主機裝置24透過輔助介面通知安全裝置36。回應此通知,處理器44不會在匯流排上強加偽“0”值,而讓此操作進行。當偵測到有操作操作在存取週邊28但輔助介面上並無通知時,處理器44假定此操作係由未經授權之主機所進行的,就會強加“0”值以擾亂此未經授權操作。
第2圖係根據本發明之一實施例繪示之在I2 C匯流排32上安全存取周邊裝置的方法的流程圖。一開始,在監控步驟50,安全裝置36之處理器44使用介面40,監控在I2 C匯流排32上的操作。
在操作偵測步驟54,處理器44識別主機裝置24嘗試存取週邊裝置28之操作。在一檢查步驟58,處理器44檢查是否此操作是經過授權的。例如,處理器44可檢查此操作是否違反儲存在記憶體48中的安全政策。
在一同意步驟62,如果發現此操作是經過授權的,處理器44允許此操作正常進行。否則,在一擾亂步驟66,如果發現此操作是未經授權的,處理器44在匯流排32之SCL線及/或SDA線上強加偽“0”值,以擾亂此操作。
在SPI匯流排上安全存取周邊裝置
第3圖係根據本發明的再一實施例繪示一安全系統70之方塊圖。在第3圖中,安全系統70包含一主機裝置74、一周邊裝置78以及一安全裝置86,此些裝置皆連接至一SPI匯流排82。
安全裝置86識別以及擾亂主機裝置74未經授權便嘗試存取週邊78的操作。在本示例中,安全裝置86包含一介面90以連接SPI匯流排82、一處理器94用以執行上述揭露之技術、以及一記憶體98用以儲存由處理器94實施之一個或多個安全政策。
在此實施例中,用以區分經授權操作以及未經授權操作的安全政策,以及安全裝置86之處理器94用於識別未經授權操作的方式,係與上述安全系統20的政策與方式相似。以下的技術係與上述安全裝置86在匯流排82上強加虛擬值以擾亂未經授權操作的方式不同。
SPI匯流排82包含一時脈(CLK)線、以及兩數據線,其包含一主出從入(MOSI)線以及一主入從出(MISO)線。CLK線、MISO線以及MOSI線係共用於所有裝置,例如此實施例中的安全裝置74、78以及86。除此之外,可使用一專用晶片選擇(CS)線來選擇每一從屬裝置。在本示例中,主機裝置74使用CS線CS2#來選擇週邊裝置78,以及使用CS線CS1#來選擇安全裝置86。
作為一主控者的主機裝置74係連接至所有CS線。另一方面,周邊裝置皆為從屬裝置,而每一週邊裝置只連接至自己本身的CS線。通常,主機裝置74使用CS線選擇所需要的週邊裝置並接著與使用此CLK線、MOSI線以及MISO線的裝置進行通訊,以開始一操作(transaction)。MOSI線係用於從主機裝置傳送數據至週邊裝置,而MISO線係用於從週邊裝置傳送數據至主機裝置。
與傳統SPI從屬裝置不同的是,安全裝置86係定義為一可驅動所有CS線的從屬裝置。如第3圖所示,安全裝置86之介面90可平行於主機裝置74而驅動CS線CS2#。當此系統包含複數個有各自CS線的周邊裝置78時,安全裝置86通常可平行於主機裝置74而驅動任何CS線。
在一些實施例中,此安全系統係設計成當主機裝置74與安全裝置86使用相反的邏輯值來驅動CS線時,安全裝置86驅動的邏輯值可蓋過主機裝置74驅動的邏輯值。也就是說,如果主機裝置74以及安全裝置86用相反的邏輯值來驅動CS線,則週邊裝置將接收到安全裝置86驅動的邏輯值並根據此接收到的邏輯值進行作動。
為了擾亂主機裝置以及週邊裝置之間的未經授權操作,另一示例是覆蓋CS線以阻擋在此匯流排上的操作。上述覆蓋機制可用多種辦法實現。上述說明是以CS線CS2#選擇周邊裝置78來說明,但是相同機制也可應用於複數個周邊裝置以及各自的CS線。
在一實施例中,安全裝置86用於驅動介面90之CS線CS2#的線驅動器(line driver)會強於主機裝置74用於驅動CS線CS2#的線驅動器。在一實施例中,一串聯電阻100可插置在主機裝置74之輸出的CS線CS2#。相對於安全裝置86之CS2#線驅動器之輸出,電阻100會減弱主機裝置74之CS2#線驅動器之輸出。此外,安全裝置86可使用其他任何辦法來用以覆蓋主機裝置74對CS線CS2#的驅動。
安全裝置86之處理器94可監控SPI匯流排82之CS線、CLK線、MISO線及/或MOSI線,用任何適合的方式來識別未經授權操作。在一些實施例中,當識別到有未經授權的主機裝置74嘗試存取某一周邊裝置,安全裝置86之處理器94會重置(de-assert)周邊裝置之CS線,以擾亂此操作。由於安全裝置86會覆蓋主機裝置74對CS線CS2#的驅動,周邊裝置將被重新選擇,藉此擾亂此操作。另一方面,當判斷此操作是經過授權的,處理器94會停止自己的CS2#線驅動器,藉此讓主機裝置能存取周邊裝置78而不受影響。
第4圖係根據本發明的另一實施例繪示之一安全系統110之方塊圖。安全系統110係基於SPI匯流排82實現,與第3圖之系統70相似。然而,安全系統110並不覆蓋CS線,而是安全裝置86藉由在CLK線、MISO線及/或MOSI線上強加虛擬值來擾亂未經授權之操作。
在本示例中,在安全系統110,安全裝置86會覆蓋主機裝置74對CLK線、MISO線及/或MOSI線的驅動。如圖中所示,串聯電阻100係插置在CLK線、MISO線以及MOSI線,以實現上述功能。在此例中,由於CS線CS2#沒有被覆蓋,所以沒有串聯電阻插置在CS線。
在其他實施例,可藉由讓安全裝置86之CLK線、MISO線及/或MOSI線之線驅動器強於主機裝置74之相對應的線驅動器,以實現上述覆蓋機制。
在其他的實施例中,也可以使用結合覆蓋CS線(如第3圖所示)以及覆蓋CLK線、MISO線及/或MOSI線(如第4圖所示)的混合機制。
覆蓋專用點對點訊號以安全存取周邊裝置
匯流排(例如SPI匯流排)之訊號可區分成共享訊號以及專用訊號。共享訊號為並聯於匯流排上的複數個周邊裝置(例如,所有周邊裝置)的訊號。例如,共享SPI訊號包含數據訊號(MOSI以及MISO訊號)以及時脈(CLK)訊號。專用訊號係為專用於特殊周邊裝置的訊號。例如,此匯流排之專用訊號係為一晶片選擇(CS)訊號。除此之外,此匯流排可擴充成有外加專用訊號,例如寫入保護(WP)訊號,當周邊裝置包含記憶體裝置時可使用。專用訊號亦可稱為一點對點(PTP)線。
在一些實施例中,在專用訊號抵達周邊裝置之前,專用訊號會先通過安全裝置86。相對地,共享訊號會以傳統方式傳送到周邊裝置而不會通過安全裝置。此互連機制會啟動安全裝置以有效保護周邊裝置安全,以下將有詳細描述。
第5圖係根據本發明的再一實施例繪示的安全系統130之方塊圖。第5圖之安全系統130與第3圖之安全系統70相似,但是第5圖之系統之CS2#訊號不會直接驅動周邊裝置78之輸入。替代地,主機裝置74之CS線CS2#會輸入至安全裝置86,接著,安全裝置86驅動連接至周邊裝置78之輸入的CS2_O#訊號。
在此實施例中,CS2#訊號係作為通過安全裝置連接至受保護之周邊裝置的專用PTP訊號之示例。如圖中所示,主機裝置74以及周邊裝置78之間的共享訊號(MOSI、MISO以及CLK)不會被中斷(unbroken)。
安全裝置86藉由選擇性致能(enable)到達周邊裝置的CS2#訊號或是防止CS2#訊號抵達周邊裝置,以擾亂主機裝置74以及周邊裝置78之間的操作。第5圖之示例中,可藉由設定有效(assert)或是設定無效(deassert)控制訊號MASK_CS2#來執行上述選擇。
第6圖係根據本發明之一實施例之第5圖之系統130之安全裝置86之方塊圖。在本示例中,安全裝置86包含一介面90,用以連接SPI匯流排82;一處理器94,用以執行上述揭露之技術;以及一記憶體98,用以儲存由處理器94實施之一個或多個安全政策。處理器94包含一從屬介面邏輯電路91以及介面監控邏輯電路(interface monitor logic,IML)92。從屬介面邏輯電路91用以處理安全裝置86以及主機裝置74之間的通訊。IML 92用以監控、控制以及選擇性覆蓋主機裝置74對周邊裝置78之存取。
在一實施例中,安全裝置86識別並擾亂未經授權之主機裝置74在SPI匯流排82上嘗試存取周邊裝置78之操作。從第5圖及第6圖可瞭解到第3圖所示之系統之任何安全特徵亦可實現在第5圖之系統。
在上述實施例中,安全裝置係連接至匯流排且作為一額外的從屬裝置。然而,在其他的實施例中,此安全裝置可連接作為一主控裝至。例如,此種實施例可應用於支援多主控裝置(mult-master)能力的匯流排協議(bus protocol)。
由安全裝置代替周邊裝置回應以防範未經授權操作
在另一實施例中,安全裝置86可代替周邊裝置78對所選主機操作進行回應。以下說明主要參考第5圖及第6圖所示之配置,進行式例性說明。一般而言,本發明揭露之技術不限於特殊系統配置而可應用於其他任何配置,例如第3圖或是第4圖所示之系統配置。
在第5圖及第6圖之配置有關的一示例性實施例中,當偵測到有讀取指令針對周邊裝置78之位址空間中某一位址區,IML 92可對訊號CS2_O#強加高位準訊號,並以安全裝置之內部記憶體98服務(回應)主機的讀取指令(或是讀取指令之一部分)。主機裝置74通常不知道此回應不是來自周邊裝置。在一些實施例中,上述機制也可適用於第4圖之安全系統110,例如,安全裝置可覆蓋MISO訊號。
此機制之使用範例是周邊裝置78包含SPI快閃記憶體裝置的系統,以及安全裝置86覆蓋快閃記憶體位址空間之一部分,藉此針對此位址區提供安全快閃記憶體仿真(emiulation)。例如,安全裝置86可包含一信任平台模組(TPM),其使用IML 92覆蓋包含初始主機啟動代碼之快閃記憶體位址區。此初始主機啟動代碼係為主機開機時提取的啟動指令。信任平台模組可覆蓋單獨儲存有此經過驗證的初始啟動代碼的快閃記憶體位址區,例如,此經過驗證的初始啟動代碼可在程式執行跳至代碼之其餘部分之前對此其進行驗證。
在一些實施例中,安全裝置86更包含一用於SPI快閃記憶體裝置的主控介面。除此之外,安全裝置86可包含一適合介面以及電路以使主機裝置74在存取SPI快閃記憶體裝置時保持在重置狀態,此機制通常為系統開機程序之一部分。例如,安全裝置86可為一嵌入控制器(EC)、一超級輸入輸出裝置(super I/O)或是一基板管理控制器(BMC)裝置。
第7圖係為根據本發明之一實施例繪示之安全開機程序之示例之流程圖。此方法從上電開始,例如,系統電力開始供應。在重置維持步驟S100,安全裝置86維持主機裝置74在重置狀態並可選地(optionally)啟動SPI快閃記憶體(周邊裝置78)。在初始載入步驟104(此為可選步驟),安全裝置86從SPI快閃記憶體載入一數據段,驗證此數據段之真實性,並將其儲存在內部記憶體98。
在一覆蓋步驟108,安全裝置86設定IML 92以覆蓋對SPI快閃記憶體(其為本示例之周邊裝置78)中的至少一預先定義位址區的存取。此受保護之位址區可儲存,例如,一個或多個金鑰、組態數據及/或主機裝置74之初始啟動數據段。
在一重置解除步驟112,安全裝置86解除主機裝置之重置狀態。因此,在一啟動步驟116,主機裝置74開始自己的開機程序。在開機程序中,在一區域存取子步驟120,由安全裝置86以內部記憶體98服務對預先定義位址區的存取。
以此方式,安全裝置可安全保護敏感資訊例如金鑰、組態數據及/或初始啟動代碼。主機裝置74不知道其接收的資訊係來自安全裝置而不是SPI快閃記憶體。
第7圖繪示安全裝置如何覆蓋對周邊裝置之預先定義位址區之存取的範例方法。在其他實施例,其他任何適合方法可用於此應用。此外,當冒充此SPI快閃記憶體裝置時,安全裝置可使用其他任何適合方式藉由覆蓋及/或擾亂未經授權操作,以保護快閃記憶體裝置(或其他周邊裝置)。
再者,對未經授權操作之覆蓋不限於保護特殊預先定義位址區。例如,可根據保護周邊裝置回傳的數據或是SPI指令碼來決定是否觸發此覆蓋操作。例如,安全裝置可實施安全政策以禁用程式化、抹除、致能寫入、狀態/組態指令、及/或快閃記憶體裝置之其他任何指令或功能。2015年8月24日華邦電子公司出版的"具有Dual/Quad SPI以及QPI的SPI 3V快閃記憶體"文件中已經載明SPI快閃記憶體指令以及控制之示例規範。
另一示例,在第7圖所示之方法,敏感資訊係位於快閃記憶體裝置,由安全裝置啟動以及讀取,以作為開機程序之一部分。在其他實施例,敏感資訊可初始儲存在安全裝置中,例如,安全裝置與快閃記憶體都儲存此敏感資訊,或是安全裝置代替快閃記憶體而儲存此安全裝置。在此實施例,安全裝置不需要從快閃記憶體裝置讀取此敏感資訊。
在另一示例,第7圖所示之方法係搭配SPI匯流排。在其他實施例,安全裝置可使用匯流排之專用訊號(如果有)及/或共享訊號,來覆蓋透過其他匯流排以及協議對周邊裝置之預先定義位址區進行的存取。例如,I2 C匯流排是一上拉雙向匯流排,其用於支援複數個從屬裝置以及複數個主控裝置。因此,此協議具有一嵌入機制用於處理多個裝置之間競爭。例如,當一I2 C裝置嘗試將其設定成"1"(即是上拉操作)而偵測到SDA線為"0",則此裝置會假定出現競爭並會釋放匯流排,直到下一次操作。在一實施例中,I2 C安全裝置(例如,第1圖之安全裝置36)係用以重疊另一周邊從屬裝置(例如,第1圖之周邊裝置28)之一些位址空間。例如,安全裝置可用以回答另一周邊裝置所期待的相同數據。如果此安全裝置偵測到有數據不符合,例如,有裝置嘗試上拉成"1"但是SDA線上偵測為"0",則安全裝置可開始進行回應措施,例如,產生一停止條件、在一個或多個數據線上驅動"0"、設定一無窮的時脈延展、或是其他任何適合動作。此技術使用一傳統I2 C從屬裝置(實體層不須有硬體改變)以監控拉下數據位準的裝置。
在又一實施例中,安全裝置86(其使用ILM 92)亦監控SPI位址之數據相位。當辨識到有數據不符合,安全裝置可啟動回應措施,例如,中斷此操作、重置系統、鎖住對金鑰的存取、或是其他任何適合措施。
在一示例情境中,安全裝置86持有儲存在SPI快閃記憶體之某一代碼部份之簽章(signature)或是摘要(digest)。安全裝置係監控主機裝置74對SPI快閃記憶體之存取,並在背景計算此代碼部份之簽章或是雜湊值。如果偵測到簽章錯誤、雜湊值錯誤或是SPI提取序列錯誤,則安全裝置86可啟動適合的回應措施。
在又一實施例,安全裝置可監控在匯流排82上至少一周邊裝置78,並驗證不同的裝置之存取順序是否與期待的相同。
在又一實施例中,當偵測到對周邊裝置78的經授權操作時,安全裝置86使用一個或多個訊號(除了CS訊號以外的訊號)以限制對周邊裝置78之存取或是實施某一系統狀態,例如以下示例,但本發明不受其限制:
•搭配第4圖之安全系統證明的任何訊號。
•快閃記憶體之防寫(write-protect)訊號
•控制重置訊號。
•控制電力管理訊號。
•控制給一個或多個裝置的電力。
•禁能系統通訊;例如,可藉由禁能一網路介面控制器(NIC)來禁能系統通訊。
•重置系統。
安全裝置監控SPI匯流排,讓主機從快閃記憶體安全啟動
在一上述實施例中,為了保護開機程序安全,安全裝置代替快閃記憶體來回應啟動代碼給一主機裝置。在以下描述之其他實施例,主機裝置可通過一匯流排(例如SPI匯流排)從快閃記憶體取得啟動代碼。安全裝置可藉由監控主機在匯流排上對記憶體存取操作,保護開機程序安全。安全裝置持有或是可存取主機啟動代碼及/或其摘要之至少一些之副本。安全裝置可比較副本與主機從快閃記憶體取得之啟動代碼(如需要可計算其摘要),並當偵測到不符合時啟動回應措施。
本發明揭露之技術會啟動安全裝置以防範多種安全威脅,例如,一個被盜用的主機或是快閃記憶體裝置的安全威脅、或是在上匯流排訊號上的安全威脅。以下說明係以SPI匯流排以及SPI快閃記憶體舉例說明。本發明揭露之技術可以類似方式應用於其他任何適合匯流排以及其他任何適合的非揮發性記憶體(NVM)。
在各種實施例中,副本包含啟動代碼之至少一部分之一真實映像,例如,一個或多個啟動代碼指令之清單。在此映像中的指令順序可為啟動代碼之外顯顺序、啟動代碼執行時的執行順序(不一定依序執行)、或是其他任何順序。在其他的實施例中,此副本可包含啟動代碼之至少一部分之真實摘要。此摘要可包含啟動代碼此任何部分或是全部運算所產生的函數(function)。在一示例實施例中,此摘要(亦稱為稱為簽章)可包含一雜湊值(hash value)或是一標記雜湊值(signed hash value)。在本發明中,上述摘要可參考保全散列演算法(例如SHA-256)、或是使用類似HMAC/CMAC之機制參考代碼簽章、或是參考其他任何適合演算法。
用語“真實”係指此映像或是摘要為已知的且有高度信心其為未受破壞,因此值得信賴。為描述清楚起見,此真實映像或是摘要在以下段落係稱為主機之啟動代碼之至少一部分之"副本"。在以下的示例中,副本係儲存於內部,即安全裝置之一非揮發性記憶體。然而,在其他實施例,此副本可儲存在安全裝置外部的非揮發性記憶體;在後者的實施例,副本可標記有適合的安全金鑰,其儲存在安全裝置中。
作為示例,以下描述之組態係指具有時脈訊號CLK、晶片選擇訊號CS#、四條數據線D0~D3的SPI匯流排。其他匯流排類型可具有不同的數量以及類型之線路。例如,單一數據線SPI可具有較少的線路。本發明揭露之技術可用任何類型之匯流排來實現。
第8圖係根據本發明之一實施例繪示之安全系統140之方塊圖,安全系統140之安全裝置156係保護主機裝置144在SPI匯流排152上從快閃記憶體148取得開機程序之安全。安全裝置156包含一介面160用以連接SPI匯流排152、以及處理器164用以執行本發明描述之方法。處理器164可保存或是存取主機144之啟動代碼之至少一部分之副本168(例如,映像或是摘要)。在此例中,用於選擇快閃記憶體裝置148的晶片選擇線(CS#)亦提供輸入至安全裝置156。
第9圖係根據本發明之一實施例繪示一安全系統170之方塊圖,安全系統170之安全裝置174係保護主機裝置144在SPI匯流排152上從快閃記憶體148讀取之開機程序之安全。安全裝置174包含一介面178用以連接SPI匯流排152、以及一處理器182執行本發明所揭露之方法。處理器182可保存或是存取主機144之啟動代碼之至少一部分之副本186(例如,映像或是摘要)。在本實施例中,SPI匯流排152之所有線路(包含四條數據線D0~D3、時脈線CLK、以及用於選擇快閃記憶體裝置148之CS#線)係提供輸入至安全裝置174。
第10圖係根據本發明之一實施例繪示一安全系統189之方塊圖,安全系統189之安全裝置187係保護主機裝置144在SPI匯流排上從快閃記憶體148讀取開機程序之安全。在此例中,安全裝置187包含一SPI匯流排監控器188,其可用硬體及/或軟件模組執行本發明揭露之技術。安全裝置更包含一記憶體(圖中未顯示),其儲存主機144之啟動代碼之至少一部分之副本。
相較於第8圖以及第9圖之示例,在本示例中,SPI匯流排之快閃記憶體之CS#線會通過安全裝置187。因此,安全裝置187能斷開及/或修改主機144以及快閃記憶體148之間的訊號。在本示例中,數據線(D0~D3)、時脈線(CLK)、以及用於選擇快閃記憶體裝置148之CS#線係全部穿過安全裝置187,因此此些訊號分支不易斷開,無須斷開主機與快閃記憶體裝置之間的連接,便可進行SPI匯流排監控。數據線以及時脈線沒有被中斷,但SPI匯流排監控器188可修改CS#線。例如,如果在匯流排上取得的啟動代碼不符合此副本,SPI匯流排監控器188可重置CS#線,例如,將其設定成高位準),藉此擾亂開機程序。
第11圖係根據本發明之一實施例繪示之保護主機裝置144啟動安全之方法之流程圖。方法之變化型可藉由本發明之安全裝置(例如第8、9與10圖所示之安全裝置156、174與187)來執行。為使描述更為精簡,所述的安全裝置正執行的動作實際上係由安全裝置之處理器(例如處理器164或182)執行、或是由SPI匯流排監控器188執行。
此方法一開始,在重置持有步驟190,一安全裝置會讓主機144保持在一重置狀態。在取得副本步驟194,當主機在重置狀態時,安全裝置取得主機之啟動代碼之至少一部分之副本,例如,映像或是摘要。如果副本是從一外部記憶體取得且有標記,則在處理之前安全裝置通常會先驗證副本之真實性。在一實施例中,副本可預先儲存於安全裝置中,例如在系統生產期間或系統提供給最終用戶之前的其他階段。在此實施例,可省略步驟190以及194。
在開機啟動步驟198,安全裝置將主機144從重置狀態解除,主機進行開機。在開機程序,主機144透過SPI匯流排152從快閃記憶體裝置148取得啟動代碼,並運行所取得的啟動代碼。
在主機之開機程序期間,在一監控與比對步驟202,安全裝置監控在匯流排上傳輸之數據,並擷取正在傳送之啟動代碼之至少一部分,以及將此擷取之代碼與副本進行比較。
在一實施例中,安全裝置可藉由識別主機正進行存取之位址(其指定為啟動代碼之位址),以識別有關於開機程序的操作。
在一實施例中,當副本包含啟動代碼之一部分之映像,安全裝置通常會比較在匯流排上取得之原始數據值以及副本之對應數據值。當副本包含啟動代碼之一部分之摘要,則安全裝置通常會計算在匯流排上取得之代碼之摘要,接著比較所計算之摘要以及副本。
在一符合性檢查步驟206,安全裝置檢查主機正從快閃記憶體裝置取得之啟動代碼(安全裝置監控SPI匯流排所截取的)是否符合副本。若是,則在成功完成步驟210,安全裝置讓開機程序成功完成。若否,例如,在開始應對措施步驟214,如果偵測到兩者不符合,安全裝置假定開機程序已經被盜用,並啟動一適合的回應措施。
第11圖所示之流程圖係為了清楚描述概念的一示例性流程圖。在其他實施例,可使用其他任何適合的流程。例如,安全裝置不一定需要將主機裝置保持在重置狀態。在其他實施例,例如,安全裝置可在主機之開機程序開始之前或之後取得副本,而不須延宕(stall)主機裝置。
在一些情況,在計算於SPI匯流排上所截取的啟動代碼之至少一部分之摘要時,此摘要可能會受系統狀態或其他參數影響。因此,此摘要可能會合法地符合至少二不同的副本。因此,在一些實施例中,安全裝置可保存摘要之複數個不同的副本。安全裝置將從匯流排所截取的代碼所計算的摘要與複數個副本進行比較。如果所計算出的摘要與任何副本相符合,安全裝置可許可開機程序完成。如果所計算的摘要不符合任一副本,則安全裝置觸發回應措施。
在各種實施例,當在步驟206偵測到不符合時,安全裝置可執行或是啟動多種回應措施,例如,但本發明不限於,以下幾個示例性動作。
•觸發系統進行重置。
•藉由在SPI匯流排152之至少一線路上強加一個或多個虛擬值以擾亂開機程序。本發明描述過的任何擾亂技術都可使用。
藉由擾亂主機裝置以及NVM裝置之間的SPI匯流排之一個或多個線路,例如快閃記憶體之CS#訊號,以擾亂開機程序。
•覆蓋在主機裝置以及NVM裝置之間之SPI匯流排之一個或多個線路上的訊號,例如,在匯流排上強加與原來訊號相衝突的訊號。
代替快閃記憶體裝置在SPI匯流排上回應主機裝置,並使用副本完成開機程序。
•防止主機裝置對安全裝置之資源進行存取,例如,對儲存在安全裝置中的既定機密資訊進行存取。
•在內部記憶體(例如,RAM或是OTP)記錄警示或是錯誤記錄事件,或是發布一警報訊號。
其他任何適合的回應措施或是其組合
在一些實施例中,例如,當開機程序仍然在進行時,安全裝置可即時(on-the-fly)偵測到取得之啟動代碼與副本之間不符合,因此擾亂開機程序的回應措施仍是有效的。
在其他的實施例中,安全裝置是在線下(offline)偵測上述不符合之情況,例如在背景進行偵測。在本發明中,所謂"線下"係指安全裝置獨立於開機程序之進行而獨立偵測是否有不符合之情形,因此不符合偵測不是在開機程序之關鍵路徑中,對開機延遲的影響較小或是不會有影響。線下不符合偵測可在開機程序完成之後執行、或是與開機程序平行或是半平行進行。在此些實施例,安全裝置通常將所取得之啟動代碼全部或是至少一部分儲存在記憶體暫存器中,用於做副本線下比對。對於在線下進行不符合偵測,安全裝置不需要將主機裝置保持在重置狀態或是延宕主機裝置。
在一些實施例中,安全裝置可保存或是存取在啟動期間允許的SPI指令之可配置的"白名單"。在監控匯流排時,安全裝置可根據此白名單過濾SPI指令,例如,以確保只有在白名單上的指令可實際傳送到快閃記憶體裝置。此白名單可限制指令之類型或是被存取之位址。例如,可允許對一指定位址範圍的讀取指令,而禁止寫入命令或是對此指定位址範圍以外的位置的讀取指令。
第1、3-6以及8-10圖所示之系統20、70、110、130、140、170以及189之設置、多種系統裝置(例如多種安全裝置以及匯流排)之配置,係為了清楚描述概念而繪示的示例性配置圖。在其他實施例,可使用其他任何適合的配置。
例如,為清楚描述,上述圖中只顯示單一周邊裝置以及單一主機裝置。在一些實施例中,此系統可包含至少二周邊裝置及/或至少二主機裝置。本發明所述之I2 C匯流排以及SPI匯流排也僅是舉例說明,而非為限制。在其他實施例,本發明揭露之技術可用其他任何適合類型之匯流排來實現或是做必要的修改。
如上所述,安全裝置可在SPI匯流排上作為一從屬裝置。然而,在此實施例,即使開機程序不是由主機裝置要求,安全裝置仍能保護開機程序安全。再者,在一些實施例中,安全裝置可在開機程序期間運行一個或多個負面測試(negative test)。例如,當CS#線未設成有效時(例如,在邏輯高位準),安全裝置可檢查是否任何數據線或是時脈線有改變或切換(toggle)自己的邏輯狀態。在一些系統,當在啟動時間的期間快閃記憶體裝置沒有被選擇,則SPI線路不應在邏輯高位準以及邏輯低位準之間改變。例如,因為在匯流排上沒有其他SPI從屬裝置,或是即使有其他SPI從屬裝置,其也不會在啟動時間的期間被定址。因此,當CS#線尚未被設定有效(即,位於低位準)但是數據線或是時脈線上訊號卻有變化,其指示有攻擊出現。安全裝置可使用此指示觸發一適合回應措施。
安全裝置可執行的另一完整性檢查可以是時序完整性(timing integrity)檢查。在一實施例中,在開機程序中,安全裝置可驗證是否從一既定重置訊號或是上電訊號到一既定事件之間的時間延遲有在一預先定義範圍內。例如,安全裝置可測量從系統重置到在SPI匯流排上出現第一存取指令之間的時間延遲。如果時間延遲沒有在預先定義範圍內,例如時間延遲比正常值更長或更短,則安全裝置可假定匯流排被篡改,進而觸發一適合回應措施。在另一實施例中,當主機解除重置後,安全裝置可檢查主機在某一時間週期取得的映像或是摘要,假設主機應該在此時間內結束開機序列。
此外,安全裝置可測量SPI匯流排之至少一線路之類比電性參數值,如果類比電性參數值落於預先定義範圍外,則安全裝置觸發適合回應措施。可用於上述用途之類比數值可包含,例如SPI匯流排之一個或多個線路之電容值電容值、傳輸時間或是LRC延遲。在一些實施例中,當對應線路沒有被匯流排上之主機或是其他任何裝置驅動時可測量此類比電性參數,例如當主機沒有上電或是保持在重置狀態。此類技術已經在美國專利7,797,115所解決,其公開內容通過引用併入本文。此外,其他任何適合之偵測技術可用於測量匯流排訊號之類比電性參數值。在一示例性實施例,既定類比電性參數之預先定義範圍,例如,考量SPI匯流排之既定線路之正常電容值之範圍,可在系統製造期間決定並儲存在非揮發性記憶體中。在啟動期間,安全裝置係測量目標參數之目前值,並確認量測值是否在允許之預先定義範圍內。
為了提高安全,主機裝置、安全裝置以及NVM裝置之間的SPI訊號之路線以及實體佈局可依循特定原則(guideline)。例如,當在印刷電路板(PCB)上實現本發明之系統時,以下原則可讓SPI匯流排較不易受到攻擊。
主機裝置以及安全裝置使用球狀矩陣(BGA)類型封裝。
在印刷電路板之内層(inner layer)傳送,例如,在從外部不能直接接觸或接近的層。
當透過通孔(via)傳送SPI訊號時,較佳的是使用盲孔(blind via),例如使用盲孔連接内層之間的連接,並不允許從外界接觸或接近。
將安全裝置盡可能放置相鄰於主機裝置之SPI接腳。
為了再提高安全性,啟動代碼可設定成在SPI匯流排上輸出一些數據,而安全裝置可確認此些數據。例如,啟動代碼可輸出一些主機暫存器值、組態、狀態變數、常數、OTP位元位元其他任何適合的主機參數值,使得安全裝置能窺視匯流排來確認這些數值。在一些實施例中,主機參數值可經處理作為代碼映像/摘要的一部分,而在其他的實施例中,主機參數值具有參考數據或是摘要之個別副本。
在一些實施例中,安全裝置係藉由代替NVM裝置回應主機,並代替NVM裝置回應啟動代碼之副本給主機,以確保開機程序之安全。在一實施例中,安全裝置回應之啟動代碼是可變的,其造成主機在SPI匯流排上的活動於開機程序之不同實體(instance)時會有所不同。啟動代碼不一定需要造成主機活動在每一開機程序實體都不同,但是至少在所選的實體下造成不同的主機活動。藉由監控主機裝置在匯流排上活動,安全裝置能確認主機在開機程序之實體執行的啟動代碼符合安全裝置提供給主機裝置的啟動代碼。
在上述實施例,安全裝置可提供任何適合代碼,其可造成主機在匯流排上可偵測之活動有所變化。例如,在不影響執行流程的情況下,安全裝置可藉由改變至少一代碼值,以操作此啟動代碼映像。例如,此代碼值可為專用代碼固定值。因此,在此操作下,根據此代碼值,主機執行之啟動代碼會在匯流排上輸出一數值;因此,在安全裝置已知之方式下與開機程序之情況不同。安全裝置從匯流排讀取上述數值,並確認此數值符合目前提供給主機的啟動代碼。輸出值可包含,例如,代碼自行檢查摘要、數值本身或是其任何功能。此外,輸出值可由主機以及安全裝置已知之共享機密來決定。
在其他的實施例中,啟動代碼可造成主機在匯流排上活動在其他方面有差異,而不一定有關於輸出值。例如,啟動代碼可造成主機在開機程序之不同實體之間出現不同延遲。此延遲差異可藉由例如,安全裝置將不同數量之NOP指令插置於不同開機程序實體之啟動代碼。在此例中,安全裝置測量此延遲並確認此實際延遲符合期待延遲。期待延遲可用插置在目前之開機程序的NOP指令之實際數量來判斷。此外,安全裝置可確認所有插置的NOP指令都有被讀取;或是,安全裝置可測量在匯流排上之啟動代碼之摘要,並將此摘要與自己的副本摘要做比較。其他任何能造成主機活動上的差異都可使用,只要安全裝置可偵測到此差異。
安全系統20、70、110、130、140、170、189之不同裝置可用任何適合硬體來實現,例如特殊應用積體電路(ASIC)、或是現場可程式邏輯閘陣列(FPGA)。在一些實施例中,本發明之安全裝置之一些裝置,例如,處理器44或是94可用軟體、或是硬體以及軟體模組之組合,來實現。記憶體48與98、以及記憶體保存第8-10圖所示之啟動代碼之副本,可由任何適合類型之記憶體裝置來實現,例如隨機讀取記憶體(RAM)或是快閃記憶體。
在一些實施例中,處理器44、94、164及/或182可包含一通用可編程處理器,其由軟體編程以執行本發明之功能。此軟體可透過網路以電子訊號形式下載至處理器,例如,或是可提供及/或儲存在非暫時性有形媒體(例如磁性、光學、或是電性記憶體)。
在上述一些實施例中,安全裝置首先藉由監控匯流排以偵測一未經授權之操作,接著擾亂此操作。其他實施例,安全裝置可不須先在匯流排上偵測或是不須監控匯流排,便可擾亂上述操作。例如,此安全裝置可覆蓋某一主機之晶片選擇(CS)線,直到或是除非此主機有被授權。上述授權可用任何適合方式執行,而不一定要使用相同匯流排。
本發明之方法以及系統可使用於各種應用,例如安全記憶體應用、物聯網(IoT)應用、嵌入式應用或是汽車應用。以上僅為舉例,本發明不受其限制。
雖然本發明以前述之實施例揭露如上,然其並非用以限定本發明,任何熟習相像技藝者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之專利保護範圍須視本說明書所附之申請專利範圍所界定者為準。
110、189、130、140、170、70、20:安全系統 144、74、24:主機裝置 148:快閃記憶體 152、82:SPI匯流排 178、160、90、40:介面 182、164、94、44:處理器 186、168:副本 187、174、156、86、36:安全裝置 188:SPI匯流排監控器 28、78:周邊裝置 32:I2 C匯流排 48、98:記憶體 91:從屬介面邏輯電路 92:介面監控邏輯電路 S100、104、108、112、116、120、190、194、198、202、206、210、214、62、66、50、54、58:步驟
第1圖係為根據本發明之一實施例繪示之安全系統之一方塊圖,其中在安全系統中多個裝置透過一I2 C匯流排進行通訊。
第2圖係為根據本發明之一實施例繪示在一I2 C匯流排上對一周邊裝置進行安全存取的方法之流程圖。
第3-5圖係為根據本發明的其他實施例繪示一安全系統之一方塊圖,其中在安全系統中多個裝置透過一SPI匯流排進行通訊。
第6圖係為根據本發明之一實施例繪示之一安全裝置之方塊圖。
第7圖係為根據本發明之一實施例之安全啟動主機裝置之方法的流程圖。
第8-10圖係為根據本發明之實施例繪示在一SPI匯流排上一安全裝置使主機裝置從一快閃記憶體取得安全開機程序的安全系統的方塊圖。
第11圖係為根據本發明之一實施例繪示之安全啟動主機裝置之方法之流程圖。
28:周邊裝置
32:I2C匯流排
36:安全裝置
40:介面
44:處理器
48:記憶體

Claims (32)

  1. 一種安全裝置,包含: 一介面,用以連接一服務一主機裝置以及一非揮發性記憶體(NVM) 裝置的匯流排;以及 一處理器,連接至該匯流排,該主機裝置以及該NVM裝置也連接至該匯流排,該處理器係用以: 偵測該匯流排上的一開機程序,在該開機程序中該主機裝置從該非揮發性記憶體裝置取得一啟動代碼;以及 根據主機裝置之該啟動代碼之至少一部分之一副本,確定該開機程序之安全; 其中該處理器係執行以下操作以確定該開機程序之安全: 代替該非揮發性記憶體裝置回應該主機裝置,並提供一啟動代碼給該主機裝置,其中該啟動代碼係造成該主機裝置在該匯流排上進行的活動在該開機程序之第一實體(instance)及第二實體之間有所不同;以及 監控該主機裝置在該匯流排上之該活動,以及確認該活動符合提供給該主機裝置之該啟動代碼。
  2. 如請求項1所述之安全裝置,其中該處理器係用以從該匯流排擷取該啟動代碼之至少一部份,以及當偵測到從該非揮發性記憶體裝置取得的該啟動代碼之該至少一部分與該副本之間有不符合時,啟動一回應措施。
  3. 如請求項2所述之安全裝置,其中該副本包含該啟動代碼之該至少一部分之一映像(image),而該處理器係比較該映像與從該非揮發性記憶體裝置取得的該啟動代碼之至少一部分,以偵測該不符合。
  4. 如請求項2所述之安全裝置,其中該副本包含該啟動代碼之該至少一部分之一真實摘要(authentic digest),而該處理器係計算從該非揮發性記憶體裝置取得的該啟動代碼之該至少一部分之一摘要,並比較從該非揮發性記憶體裝置取得的該啟動代碼之該至少一部分之該摘要與該真實摘要,以偵測該不符合。
  5. 如請求項2所述之安全裝置,其中該處理器係在該開機程序進行時偵測該不符合。
  6. 如請求項5所述之安全裝置,其中回應偵測到該不符合時,該處理器係用以強加一個或多個虛擬值在該匯流排之至少一線路上,以擾亂該開機程序。
  7. 如請求項5所述之安全裝置,其中回應偵測到該不符合時,該處理器係擾亂該主機裝置與該非揮發性記憶體裝置之間的該匯流排該一個或多個線路,以擾亂該開機程序。
  8. 如請求項5所述之安全裝置,其中回應偵測到該不符合,該處理器係在該匯流排上代替該非揮發性記憶體裝置回應該主機裝置,以使用該副本完成該開機程序。
  9. 如請求項2所述之安全裝置,其中該處理器偵測該不符合係獨立於該開機程序之進行。
  10. 如請求項1所述之安全裝置,其中該處理器係在該安全裝置之一內部記憶體中保存該副本,或是在該安全裝置外部的一記憶體保存該副本。
  11. 如請求項1所述之安全裝置,其中在該開機程序之安全確定之前,該處理器係防止該主機裝置對一既定機密資訊進行存取。
  12. 如請求項1所述之安全裝置,其中當該匯流排之一晶片選擇(CS)線未被設定有效(assert)時,該處理器係藉由確保該匯流排之所有數據線與時脈線之邏輯狀態不改變,以確定該開機程序之安全。
  13. 如請求項1所述之安全裝置,其中該處理器係藉由確保只有在一預先定義白名單上出現的匯流排指令被施加至該非揮發性記憶體裝置,以確定該開機程序之安全。
  14. 如請求項1所述之安全裝置,其中該處理器係藉由確保在該開機程序中從一既定重置訊號或是開機訊號至一既定事件的一時間延遲有在一預先定義範圍內,以確定該開機程序之安全。
  15. 如請求項1所述之安全裝置,其中該處理器係藉由確保該匯流排之至少一線路之一類比參數值落在一預先定義範圍內,以確定該開機程序之安全。
  16. 如請求項1所述之安全裝置,其中該啟動代碼係指示該主機裝置在該匯流排上輸出一個或多個主機參數值,且該處理器係藉由監控以及確認輸出在該匯流排上之該主機參數值,以確定該開機程序之安全。
  17. 一種安全方法,包含: 使用一安全裝置通過一匯流排進行通訊,其中一主機裝置以及一非揮發性記憶體(NVM)係連接該匯流排;以及 使用該安全裝置偵測在該匯流排上之一開機程序,在該開機程序中該主機裝置係從該非揮發性記憶體裝置取得一啟動代碼,並根據該主機裝置之該啟動代碼之至少一部分之一副本確定該開機程序之安全; 其中確定該開機程序安全之步驟包含: 代替該非揮發性記憶體裝置回應該主機裝置,以提供一啟動代碼給該主機裝置,以造成該主機裝置在該匯流排的活動於該開機程序之一第一實體及一第二實體之間有所不同;以及 監控在該匯流排上該主機裝置之該活動,以及確認該活動是否符合提供給該主機裝置之該啟動代碼。
  18. 如請求項17所述之安全方法,其中確定該開機程序之安全之步驟包含:從該匯流排擷取該啟動代碼之至少一部份,以及當偵測到從該非揮發性記憶體裝置取得之該啟動代碼之該至少一部分與該副本不符合時,啟動一回應措施。
  19. 如請求項18所述之安全方法,其中該副本包含該啟動代碼之該至少一部分之一映像,其中偵測不符合之步驟包含比較從該非揮發性記憶體裝置取得之該啟動代碼之該至少一部分與該映像。
  20. 如請求項18所述之安全方法,其中該副本包含該啟動代碼之該至少一部分之一真實摘要,以及該偵測不符合之步驟包含計算從該非揮發性記憶體裝置取得之該啟動代碼之該至少一部分之一摘要,以及比較從該非揮發性記憶體裝置取得之該啟動代碼之該至少一部分之該摘要與該真實摘要之該摘要。
  21. 如請求項18所述之安全方法,其中該開機程序進行時該偵測不符合之步驟係同時執行。
  22. 如請求項21所述之安全方法,其中確定該開機程序之安全之步驟包含回應偵測到不符合時,藉由強加一個或多個虛擬值至該匯流排之至少一線路上,以擾亂該開機程序。
  23. 如請求項21所述之安全方法,其中確定該開機程序之安全之步驟包含回應偵測到該不符合時,藉由擾亂該主機裝置以及該非揮發性記憶體裝置之間的該匯流排之一個或多個線路,以擾亂該開機程序。
  24. 如請求項21所述之安全方法,其中確定該開機程序之安全之步驟包含:回應偵測到該不符合時,在該匯流排上代替該非揮發性記憶體裝置回應該主機裝置,並使用該副本以完成該開機程序。
  25. 如請求項18所述之安全方法,其中偵測該不符合之步驟之執行係獨立於該開機程序之進行。
  26. 如請求項17所述之安全方法,更包含: 在該安全裝置之一內部記憶體中保存該副本,或是在該安全裝置外部之記憶體中保存該副本。
  27. 如請求項17所述之安全方法,更包含: 在確定該開機程序之安全之前,防止該主機裝置存取一既定機密資訊。
  28. 如請求項17所述之安全方法,其中確定該開機程序安全之步驟更包含: 當該匯流排之一晶片選擇(CS)線未被設定有效(assert)時,藉由確保該匯流排之所有數據線與時脈線之邏輯狀態不改變,以確定該開機程序之安全。
  29. 如請求項17所述之安全方法,其中確定該開機程序安全之步驟更包含: 藉由確保只有在一預先定義白名單上出現的匯流排指令被施加至該非揮發性記憶體裝置,以確定該開機程序之安全。
  30. 如請求項17所述之安全方法,其中確定該開機程序安全之步驟更包含: 藉由確保在該開機程序中從一既定重置訊號或是開機訊號至一既定事件的一時間延遲落在一預先定義範圍內,以確定該開機程序之安全。
  31. 如請求項17所述之安全方法,其中確定該開機程序之安全之步驟更包含: 藉由確保該匯流排之至少一線路之一類比參數值落在一預先定義範圍內,以確定該開機程序之安全。
  32. 如請求項17所述之安全方法,其中該啟動代碼係指示該主機裝置在該匯流排上輸出一個或多個主機參數值,且該處理器係藉由監控以及確認輸出在該匯流排上之該主機參數值,以確定該開機程序之安全。
TW110126482A 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法 TWI756156B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/377,212 2019-04-07
US16/377,212 US10691807B2 (en) 2015-06-08 2019-04-07 Secure system boot monitor

Publications (2)

Publication Number Publication Date
TW202143034A true TW202143034A (zh) 2021-11-16
TWI756156B TWI756156B (zh) 2022-02-21

Family

ID=72805504

Family Applications (3)

Application Number Title Priority Date Filing Date
TW108143848A TWI738135B (zh) 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法
TW110126482A TWI756156B (zh) 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法
TW110126479A TWI791244B (zh) 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
TW108143848A TWI738135B (zh) 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
TW110126479A TWI791244B (zh) 2019-04-07 2019-12-02 監控系統開機之安全裝置及其方法

Country Status (3)

Country Link
JP (1) JP7005676B2 (zh)
CN (1) CN111797442B (zh)
TW (3) TWI738135B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI738135B (zh) * 2019-04-07 2021-09-01 新唐科技股份有限公司 監控系統開機之安全裝置及其方法

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008504628A (ja) * 2004-06-29 2008-02-14 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 安全なフラッシング
US8375146B2 (en) * 2004-08-09 2013-02-12 SanDisk Technologies, Inc. Ring bus structure and its use in flash memory systems
US7603562B2 (en) * 2005-02-02 2009-10-13 Insyde Software Corporation System and method for reducing memory requirements of firmware
US8291226B2 (en) * 2006-02-10 2012-10-16 Qualcomm Incorporated Method and apparatus for securely booting from an external storage device
WO2007135672A2 (en) * 2006-05-24 2007-11-29 Safend Ltd. Method and system for defending security application in a user's computer
US7769993B2 (en) * 2007-03-09 2010-08-03 Microsoft Corporation Method for ensuring boot source integrity of a computing system
JP5085287B2 (ja) * 2007-11-21 2012-11-28 株式会社リコー 情報処理装置、正当性検証方法および正当性検証プログラム
CN101281577B (zh) * 2008-05-16 2010-06-23 北京工业大学 一种对bios进行保护的可信计算系统及其应用方法
US9002014B2 (en) * 2008-05-24 2015-04-07 Via Technologies, Inc. On-die cryptographic apparatus in a secure microprocessor
CN101281570B (zh) * 2008-05-28 2010-07-28 北京工业大学 一种可信计算系统
US8555015B2 (en) * 2008-10-23 2013-10-08 Maxim Integrated Products, Inc. Multi-layer content protecting microcontroller
US8561138B2 (en) * 2008-12-31 2013-10-15 Intel Corporation System and method to provide added security to a platform using locality-based data
CN101520831B (zh) * 2009-03-27 2011-08-24 深圳市永达电子股份有限公司 安全终端系统及终端安全方法
CN102262557B (zh) * 2010-05-25 2015-01-21 运软网络科技(上海)有限公司 通过总线架构构建虚拟机监控器的方法及性能服务框架
US8479017B2 (en) * 2010-06-21 2013-07-02 Intel Corporation System and method for N-ary locality in a security co-processor
US8996851B2 (en) * 2010-08-10 2015-03-31 Sandisk Il Ltd. Host device and method for securely booting the host device with operating system code loaded from a storage device
FR2970099B1 (fr) * 2010-12-29 2013-01-11 Viaccess Sa Procede de chargement d'un code d'au moins un module logiciel
KR20120092222A (ko) * 2011-02-11 2012-08-21 삼성전자주식회사 보안 부팅 방법 및 보안 부트 이미지 생성 방법
JP2014021953A (ja) * 2012-07-24 2014-02-03 Ricoh Co Ltd 情報処理装置、画像処理装置、起動制御方法及び起動制御プログラム
JP2014056390A (ja) * 2012-09-12 2014-03-27 Ricoh Co Ltd 情報処理装置及び正当性検証方法
JP6318425B2 (ja) * 2013-02-22 2018-05-09 マーベル ワールド トレード リミテッド リードオンリメモリのブートコードパッチ
US9953166B2 (en) * 2013-07-04 2018-04-24 Microsemi SoC Corporation Method for securely booting target processor in target system using a secure root of trust to verify a returned message authentication code recreated by the target processor
US10430589B2 (en) * 2015-03-19 2019-10-01 Intel Corporation Dynamic firmware module loader in a trusted execution environment container
US10095891B2 (en) * 2015-06-08 2018-10-09 Nuvoton Technology Corporation Secure access to peripheral devices over a bus
CN105843671B (zh) * 2016-03-22 2018-11-16 西安电子科技大学 基于云平台的虚拟机资源安全监控及风险预处理系统
US10055155B2 (en) * 2016-05-27 2018-08-21 Wind River Systems, Inc. Secure system on chip
US20170364683A1 (en) * 2016-06-17 2017-12-21 Google Inc. Computing device secure boot
US10223531B2 (en) * 2016-12-30 2019-03-05 Google Llc Secure device state apparatus and method and lifecycle management
US11263326B2 (en) * 2017-06-02 2022-03-01 Apple Inc. Method and apparatus for secure system boot
WO2019112971A1 (en) * 2017-12-07 2019-06-13 Apple Inc. Method and apparatus for secure system boot
TWI738135B (zh) * 2019-04-07 2021-09-01 新唐科技股份有限公司 監控系統開機之安全裝置及其方法

Also Published As

Publication number Publication date
JP7005676B2 (ja) 2022-02-04
TWI791244B (zh) 2023-02-01
TW202102997A (zh) 2021-01-16
TWI756156B (zh) 2022-02-21
CN111797442A (zh) 2020-10-20
TW202143033A (zh) 2021-11-16
TWI738135B (zh) 2021-09-01
CN111797442B (zh) 2023-11-24
JP2020173806A (ja) 2020-10-22

Similar Documents

Publication Publication Date Title
US10691807B2 (en) Secure system boot monitor
US10452582B2 (en) Secure access to peripheral devices over a bus
JP6703064B2 (ja) バスを介して周辺デバイスを安全にアクセスするための方法
US10776527B2 (en) Security monitoring of SPI flash
US20090288161A1 (en) Method for establishing a trusted running environment in the computer
KR101567620B1 (ko) 데이터 처리 시스템 및 방법
JP2007249933A (ja) データ処理装置内コンテンツへのアクセス管理
KR102395258B1 (ko) 부트 메모리 버스의 경로 절체 기능을 이용한 시큐어 부팅 방법 및 이를 이용한 장치
US11188321B2 (en) Processing device and software execution control method
JP2021507369A (ja) 透過的に取り付けられたフラッシュメモリセキュリティ
TWI738135B (zh) 監控系統開機之安全裝置及其方法
TWI698769B (zh) 透過匯流排安全存取周邊裝置之裝置及方法
TWI733399B (zh) 安全裝置、安全方法、安全系統以及安全設備
JP7079558B2 (ja) Spiフラッシュ用安全装置