TW401562B

TW401562B - Methods and apparatus for preventing unauthorized write access to a protected non-volatile storage

Info

Publication number: TW401562B
Application number: TW086101163A
Authority: TW
Inventors: Mark Albrecht; Frank Wildgrube
Original assignee: Intel Corp
Priority date: 1996-02-09
Filing date: 1997-01-31
Publication date: 2000-08-11
Also published as: US6510521B1; AU1859197A; EP1467513A3; WO1997029569A1; DE69733123T2; EP1467513A2; US5835594A; EP0879515A4; US6249872B1; EP0879515B1; EP0879515A1; DE69733123D1

Description

^^1562 A7 B7 經濟部中央標率局員工消費合作社印製發明説明（i 愛iU1景 1 ·查明領域本發明係關於電腦系統之領域。更明確地説，本發明係關於電腦系統之資料安全性。 2 ·實景資訊用以防•止對於非揮發性儲存體，例如flash記憶體，之非法寫入的現有方法—般依賴對於寫入致能電路之"秘密" 存取方法。該等對於寫入致能電路之”秘密"存取方法可藉由使用標準之除錯硬體來加以逆向推導。一旦逆向推導成功，即可產生能夠任意寫入"受保護之”非揮發性儲存體的程式碼。如果是以惡意方式來使用該程式碼，則該程式碼可用以引入病毒於”受保護之"非揮.發性儲存體或者甚至摧毁非揮發性儲存體之内容。因此，最好具有一種能夠防止對於非揮發性儲存體之非法存取的更強健方案，而尤其是一種無需依賴不爲人知之存取方法的方案。如同下文將更詳細加以説明，本發明達成遠等及其他所要之結果。發明板要根據本發明，一種電子簽名是利用一預先決定之方式來加以產生並附著於一可轉移之寫入資料單元，以便利在允許孩寫入資料窝入至一受保護之非揮發性儲存體之前驗證該寫入資料。該窝入資料是利用一組受保護之驗證功能來加以驗證。此外，經驗證之寫入資料之實際寫入至受保護之非揮發性儲存體是由一受保護之拷貝設施來執行。p ^_ ‘ _ - 4 - 本紙張尺度適财(CNS) A4規格（21()>< 297公楚） -~~—------ » (請先閱讀背面之注意事項再填寫本頁) ------T-----„---裝------ — 訂-----Θ線--1 _ 401562 A7 B7 五、發明説明.（ 2 經濟部中央標準局員工消費合作社印製電子簽名在功能上決定於寫入資料之内容，且電子簽名之預先決定之方式可在窝入期間加以複製實例中，電子簽名是由寫入資料之產生者來產生，而其、法是藉由基於窝人資料之内容利用—訊息摘要功能來產= -摘要，且然後藉由使用-加密功能利用_秘密私密所產生之摘要。該組受保護之驗證功能包含該訊息摘要功能之—受保每之對應拷貝與一受保護之互補解密功能。在運作期間，: ，護之解密功能藉由利用一受保護之互補公鑰以解密電= 簽名來重建原始之摘要，而訊息摘要功能之受保護之拷貝則基於要驗證之寫入資料的内容來產生另一摘要。該二摘要是利用一受保護之比較功能來加以比較。如果該二摘要通過比較測試，則啓動受保護之拷貝設施以拷貝經驗證之窝入資料至受保護之非揮發性儲存體；否則，則扣絕= 入資料。. μ… 在貫例中，该等驗證功能是藉由在系統啓始期間拷貝他們至一通常無法存取之系統管理記憶體來加以保護。該等驗證功能是利用一系統管理中斷（SMI)來加以啓動，而當系統管理中斷受到致動時，系統管理中斷會自動對映系統管理記鴣體至正常之系統記憶體空間。一非揮發性記憶體寫入保護電路是用以審核提供給受保護之非揮發性儲存體的記憶體寫入訊號，且無論何時請求對於受保護之非揮發性儲存體進行寫入則用以產生SMI。附圖簡短説明_ -5 t_n. I h,.....ί ί ! I— - 111 i I - - ; , (請先閔讀背面之注音？事項再填寫本頁j ▼訂-----V 線------ 卜紙張尺度適财關家榇^TcNS ) A4規格（2^〇 X 297公釐） 401582 A7 ----------------— B7 五、發明説明（3 ) 本發明將藉由附圖所于+ _ 口所不艾不範實例，但非限制，來加以説明，其中相同之參考號碼表示類似之組件，且立中· 圖展示本發明之基本組件與該等組件之相互關係；圖。展不融人本發明對於保護驗證功能之説明的示範電腦系統；圖4更詳細展示示範電腦系統之系統mos，與針對一實例，作業系統；圖5更詳細展示圖32FLASH保護電路；圖6展示在-系統管理模式下之示範電腦系統的執行流程 ;且圖7展卜用以窝入FLASH記憶體之執行流程的實例。發明詳鈿説明在後續説明中，爲了解釋方便起見，將陳述特定之數目，材料與组態以提供本發明之完整瞭解。但是，熟悉本技術領域者應可明白在無該等特定細節之下仍可實現:發明。在其他情形下，爲眾所知之特點獲得刪除或簡化以避免模糊本發明。另外，爲容易瞭解起見，某些方法步骤是說明成爲分別之步驟，但是該等分別加以説明之步驟不應視爲他們之效能的必要條件。現在請參看圖1與2,該等圖形展示用以顯示本發明之基本組件，.與該等組件之相互關係的二方塊圖。如圖所示，一可轉移•單元之非揮發性儲存體窝入資料1〇〇具備一電子簽名102以便利在允許窝入資料1〇〇窝入至非揮發性儲存體之前驗證寫入資料100。最好，電子簽名1〇2„附著於"寫入資 -6- 本纸狀度賴t關家標準（CNS ) A4祕（210 X^97公楚) -*----~- (請先閲讀背面之注意事項再填寫本頁)

印丨製訂 ·—*1 線. 401562 A7 B7 五、發明説明（4 料100。可轉移單元之範例包含檔案，或塊區，而非揮發性儲存體i範例則包含FLASH記憶體或可去除可程式化惟讀記憶體（EPROM)。寫入資料之範例是系統基本輸入/輸出服務（BIOS)更新，例如相加，删除與修改。對許多應用而言 ’電子簽名102預期將在產生寫入資料1〇〇之時產生並η附著於”寫入資料100。對於所展示之實例，電子簽名102是藉由使用一加密功能 108利用一秘密公鑰！ 06以加密一 $考摘要1 〇4來產生。參考摘要104是利用一訊息摘要功能11 〇來產生。故句話説，參考摘要104之内容在功能上決定於寫入資料ι〇〇之内容。因此，電子簽名102之内容在功能上也是決定於寫入資料ι〇〇之内容。 % 經濟部中央標準局員工消費合作社印裝 ^----1.--.--裝-- ·· ~ (請先闆讀背面之注意事項再填寫本頁) 、1T. 線在窝入時間，訊息摘要功能112之一受保護之對應拷貝以即時方式來產生一"新"摘要114。在相同時間，一受保護之互補解密功能116藉由利用受保護之互補公鑰118以解密電. 子簽名102來重建原始之參考摘要1〇4。提供二摘要1〇4與 114给—受保護之比較功能120以決定是否該二摘要相同。如果窝入資料100是眞實的則二摘要1〇4與114會相同，因爲二摘要104與114在功能上皆決定於寫入資料100之内容，皆是由相同之訊息摘要功能i 10與i 12之拷貝來加以產生，且加岔是以一互補方式來解密。如果二摘要1 〇4與1丨4比較成功’則一受保護之拷貝功能122受到通知以執行對於受保護之非揮發性儲存體之實際寫入；否則則拒絕該寫入資料。加密功能108與解密功能116可建構在本技術領域爲眾所

401562 經濟部中央標準局員工消費合作社印製 A7 __B7_五、發明説明（5 ) 知之一些私鑰/公鑰加密/解密技術之任一技術。同樣地，訊息摘要功能110/112也可建構在本技術領域爲眾所知之一些訊息，要技術之任一技術。若要獲得私鑰/公鑰加密/解密技術之進一步資訊，請參看例如Heilman等人之美國專利第 4,218,582號，"Public Key Cryptographic Apparatus and Method"與Rivest等人之美國專利第4,405,829號， "Cryptographic Communications System and Method,";且若要獲得訊息摘要之進一步資訊，請參看例如美國專利第 4,995,082號，"Method for Identifying Subscribers and for Generating and Verifying Electronic Signatures in a Data Exchange System,1'與 Rivest之 The MD5 Message Digest Algorithm，Request For Comment (RFC) 1321，1992年4 月0 如前所述之電子簽名102之產生與相關該電子簽名102於窝入資料100可利用在本技術領域爲眾所知之任何數if之電腦系統來加以實現，只要該等電腦系統能夠儲存及執行訊息摘要功能110與加密功能108 »預期對於大多數應用而言，電子簽名102之產生將在產生寫入資料100之同一電腦系統上實現。例如，對於前述之系統BIOS更新應用而言，預期系統BIOS更新與電子簽名102將在相同時間及相同電腦系統上產生及相關。圖3展示融入本發明對於在充許窝入資料寫入至一受保護之非揮發性儲存.體之前驗證寫入資料之説明的一示範電腦系統200。示範電腦系統200包含處理器212，處理器匯流排 214，快取記憶體216，記憶體控制器218，與多個其他記憶 -8- 1-I ί——'——裝——· - f (請先閱讀背面之注意事項再填寫本頁) --訂-----

線—— I I _Γ: 本纸張又度適用中國國家榡準（CNS ) A4規格（210X297公嫠） 401562 經濟部中央標率局員工消費合作社印製 A 7 1 B7五、發明説明（6 ) 體單元220-224，且前述组件如圖所示彼此耦接。其他記憶體單元220-224包含主記憶體220，系統管理記憶體222，與 FLASH記憶體224。根據本發明，示範電腦系統200特別包含FLASH保護電路226。此外，電腦系統200包含橋接電路 228a-228‘b，高效能及標準（輸入/輸出）1/0匯流排230a-230b ，通用輸入/輸出（GPIO)埠232，硬碟及软碟儲存體234-236 ，鍵盤及游標控制裝置238，與顯示器240，且該等組件如圖所示彼此搞接並耦接至前述之组件。對於所展示之實例而言，匯流排214，230a與230b是置於母板242之上。组件212，216-226，228a-228b與232可經由插座（未加以展示）可移去式連接至母板242或"焊接”至母板 242，而组件234-238則是經由纜線與連接器（未加以展示）來耦接至母板242。處理器212執行用以執行程式碼之傳統功能。處理器212 配備成爲可利用多種模式來執行程式碼，而該等模式包含系統管理模式（SMM)。處理器212也配備成爲可回應多種中斷，而該等中斷包含系統管理記中斷（SMI)，且系統管理中斷使得處理器212處於SMM。記憶體控制器218與揮發性記憶體單元216，220及222分別執行用以控制記憶體存取及提供執行時間儲存之傳統功能。尤其，對於記憶體之每一寫入，記憶體控制器218產生一針對定址之記憶體單元的 MEMW#訊號。記憶體控制器2 18通常不會對映系統管理記憶體222成爲正常系統記憶體空間之一部份。當處理器212 進入SMM時，系統管理記憶體222對映至系統記憶體空間 ‘ -9- (請先閱讀背面之注意事項再填寫本頁) 本纸張尺度適用中國國家標準（CNS ) A4規格（210X 297公釐）經濟部中央標準局員工消費合作社印製 401562 A7 ' B7五、發明説明·（ 7 ) 。另外，除了系統啓始，處理器模式轉變，與SMM執行以外，無法對於系統管理記憶體222進入寫入。 FLASH記憶體224執行用以分別提供非揮發性儲存體之其傳統功能。尤其，FLASH記憶體224儲存系統BIOS。在系統啓始期間，對於安全性不敏感之系統BIOS的主體載入主記憶體220，而對於安全性敏感之剩餘系統BIOS(特別包含寫入資料驗證功能）則載入系統管理記憶體222。FLASH保護電路226藉由保持FLASH記憶體224成爲無法受到寫入來保護FLA.SH記憶體224不會受到非法寫入，並且產生一 SMI 以啓動系統管理記憶體222之受保護之系統BIOS窝入資料驗證功能以驗證寫入資料，無論何時其致能FLASH記憶體 224以供寫入。通用輸入/輸出埠232也執行他們用以提供輸入/輸出埠給各種週邊設備之傳統功能。尤其，該等輸入/ 輸出埠之一是用以通知一對於FLASH記憶體224之寫入請求給FLASH保護電路226。該寫入請求是利用示範電腦系統 200之一標準輸入/輸出指令以窝入輸入/輸出埠之一對應暫存器來表示。硬碟儲存體234也執行用以提供非揮發性儲存之傳統功能。尤其，硬碟儲存體234儲存示範電腦系統200之作業系統。在系.絲啓始期間，該作業系統載入主記憶體220。所有其他组件執行他們在本技術領域爲眾所知之傳統功能。除了特殊化之功能及/或需求以外，所有説明之組件皆是意欲表示在電腦系統中可發現之極多組件。圖4更詳細展示示範電腦系統200之系統BIOS與作業系統 -10- 本紙張尺度適用中國國家標準（CNS ) A4規格（210X297公釐） (請先閱讀背面之注意事項再填寫本頁) 401^62 A7 B7 經濟部中央橾準局員工消費合作社印裝五、發明説明（8 ) 。如圖所示，系統BIOS 260包含啓始功能262，FLASH拷貝設施264.，訊息摘要功能266，解密功能268，公鑰270，摘要比較功能272，SMI處理程式274與讀取/寫入服務276，而對於某些實例而言，作業系統250包含FLASH設施252。啓始功能262在系統啓始期間啓始系統BIOS 260，包括載入FLASH拷貝設施264，訊息摘要功能266，解密功能268，公鑰270，摘要比較功能272，與SMI處理程式274於系統管理記憶體222。如稍早所述，系統管理記憶體222通常不會對映至系統管理空間，除非一 SMM受到觸發以使處理器 2 12處於SMM，且無法窝入系統管理記憶體222，除了啓始，處理器模式轉變，與SMM執行以外。因此，該等系統 BIOS功能不會遭受惡意篡改。 SMI處埋程式274服務SMI，如果有必要的話則啓動其他功能（包括窝入資料驗證功能），決定於一特定SMI之起因。如下文將更詳細加以説明，SMI處理程式274 —旦進入SMM 即獲得控制。如稍早所述，訊息摘要功能266以即時方式來產生一 FLASH窝入請求之寫入資料的摘要，根據該寫入資料之内容，且解密功能268利用公鑰270來解密"附著於"該 FLASH窝入請求之寫入資料的電子簽名，以重建該FLASH 寫入資料之原始摘要。摘要比較功能272比較該二摘要，且最後FLASH拷貝設施264執行經驗證之資料之實際窝入至 FLASH記憶體224。一旦判定FLASH保護電路226觸發一 SMI ，則SMI處理程式274在適當時機啓動訊息摘要功能266，解密功能268，摘要比較功能272，與FLASH拷貝設施264。 -11 - (請先閲讀背面之注意事項再填寫本頁) ...—„—IT裝-----f—訂·-----線—^― 本紙張尺度適用中國國家標準（CNS ) A4规格（210X297公釐）經濟部中央標準局員工消費合作杜印製 401S62 A7 B7__ 五、發明説明（9 ) 讀取/寫入服務276提供讀取及窝入服務給輸入/輸出装置。讀取/寫入服務276屬於在系統啓始期間載入主記憶體22〇之系統BIOS的主體。對於某些實例，包含FLASH設施252是用以執行各種與 FLASH相關之功能，而該等功能特別包括藉由讀取/寫入服務276拷貝FLASH寫入資料自一外部來源媒體至主記憶體 220之一緩衝區，且然後拷貝該FLASH寫入資料自該缓衝區至FLASH記憶體224，而輸入/輸出服務276啓動訊息摘要功能266，解密功能268，等等，以驗證該FLASH寫入資料，且如果獲得證實，則FLASH拷貝設施264執行實際之窝入，而下文將對此更完整加以説明。此種FLASH寫入資料之範例有稍早所述之系統BIOS加法，刪除，與修改，而外部來源媒體之一範例是軟碟。圖5更詳細展示FLASH保護電路226。如圖所示，FLASH 保護電路226包含第一與第二驅動器278與280。第一驅動器 278之輸入（ENFW#)配備GPIO埠232之輸入/輸出埠之一，而且第一驅動器278之輸出耦接至一訊號線以耦接一 SMI觸發機制至處理器212。因此無論何時GPI0埠232設定ENFW#爲作用以致能寫入，回應於一 FLASH寫入請求，第一驅動器 278導致一針對處理器212之SMI受到觸發。第二驅動器280之二輸入（ENFW#與MEMW#)分別配備通用輸入/輸出埠23 2之相同輸入/輸出埠與記憶體控制器218 ，而第二驅動器280之輸出（FLASHWE#)則配備FLASH記憶體224。FLASHWE#是三態型。當MEMW#與ENFW#皆是作 « -12- 本紙張尺度適用中國國家標隼（CNS )八4^格（2丨0X297公釐） 1-—---'--〆---裝-- -- (請先閱讀背面之注意事項再填寫本頁) 訂'---- 一線丨.. 401S62 A7 B7 五、發明説明（1〇) 經濟部中央標準局員工消費合作社印製用時，。FLASHWE#變爲作用。換句話説，來自記憶體控制器218·之窝入訊號（MEMW#)受到ENFW#之審核，而 ENFW#在同一時間經由第一驅動器278來導致一 SMI受到觸發。因此’錯存於系統管理記憶體222之受保護之驗證功能會受到啓動以在允許該等窝入資料窝入至FLASH記憶體224 之前驗證該等寫入資料。圖6展示處於SMM之示範電腦系統的執行流程。如圖所示’一旦偵出一SMI，則處理器212指示記憶體控制器218 切換並對映系統管理記憶體2 2 2成爲系統記憶體空間之一部份，且做爲回應，記憶體控制器2〗8據此執行所請求之切換與對映，步驟282。接著，處理器212儲存處理器狀態於系統官理記憶體222 ,步驟284 ^ —旦儲存處理器狀態，則處理器21<轉移執行控制至預先儲存之§1^1處理程式274，步驟 286 〇 SMI處理程式274然後決定SMI之起因並據此服務該SMI，以啓動其他常式，例如驗證功能，如果有必要的話。一旦服務該SMI，SMI處理程式274執行—恢復（Resume)指令以轉移執行控制回到中斷之程式。做爲回應，處理器212回復儲存於系統管理記憶體222之處理器狀態，步驟288。另外 ’處理器212指示記憶體控制器218去除對映系统管理記憶體222至系統記憶體空間且脱離系統管理記憶體如。做爲回應，記憶體控.制器218據此執行所請求之去除對映及切換，步螺·290。因此’ SMI是以-透通於執行之作業系統，;欠系統以及 -13 匕纸張尺度適用中國國家橾準（CNS )八4規格（21〇><297公釐 (請先閱讀背面之注意事項再填寫本頁) ...— 裝---- I- an— 訂-- -m I I · r Ψ mKH tMH ml ml 經濟部中央標準局員工消費合作社印製 401562 A7 ' B7 五、發明説明（11) 應用，的方式來接受服務。換句話説，SMI是一透通式系統服務中斷。圖7展示一用以窝入資料至FLASH記憶體224之執行流程的實例。如圖所示，回應於來自一應用，例如稍早所述之 FLASH設施252，之寫入請求，讀取/寫入服務276設定指向 « 該寫入資料之實體位址指標，步驟302。接著，對於所展示之實例而言，讀取/寫入服務276產生一軟體SMI以進入 SMM及提供該寫入資料之實體位址指標給SMI處理程式，步驟304。在此時一軟體SMI，而非指定之GPIO埠232，受到使用且是較佳，因爲FLASH記憶體在驗證過程期間會維持受到去能。一旦進入SMM，如稍早所述，SMI處理程式274獲得控制。一旦確定SMI之起因，SMI處理程式274啓動訊息摘要功能266與解密功能268以驗證實體位址指標所辨識之寫入資料，步驟306。如果該寫入資料未通過驗證過程，步驟308 ，則SMI.處理程式274設定適當之錯誤旗標，步驟310，清除指定之GPIO埠，步驟3 16，及離開SMM。一旦再度獲得控制，在執行必要之"清理”之後讀取/寫入服務276返回至呼叫者。另一方面，如果在步驟308，寫入資料通過驗證過程，則 SMI處理程式274致能對於FLASH記憶體224之寫入，藉由設定指定之GPIO埠232，步驟3 12。一旦受到致能，經驗證之寫入資料拷貝至FLASH記憶體224，步驟314。在拷貝所有之經驗證的寫入資料以後，如稍早所述，SMI處理程式 -14- (請先閲讀背面之注意事項再填寫本頁) •单訂' 丨線本紙張尺度適用中國國家標隼（CMS ) A4規格（210X29?公釐）

五、發明説明（12) 274清除指定之GPI〇蜂232，並且離開SMM。一旦再度獲得控制，在執行必要之"清理，，之後讀取/寫入服務276返回至呼叫者。如稍早所述，當SMI處理程式274藉由指定之GPIO埠來致忐對於FLASH記憶體224之寫入時，除了致能FLASH記憶體 224以供寫入以外，一测工受到觸發。但是，因爲此"新 SMI是嘗系統在SMM時受到觸發，該"新" smi受到拾棄。磙”新"SMI受到觸發之原因是因爲對於所展示之實例而言 ’指定之GPIO琿232可在SMM以外設定。此"自動"SMI將確保萬一該情形出現則寫入資料將受到驗證，而防止跳過驗證過程之任何可能性。因此，本案已説明用以防止非法存取一受保護之非揮發性記憶體的方法與裝置。雖然已藉著前面所展示之實例來説明本發明之方法與裝置，熟悉本技術領域者應可認知本發明並未受限於前述之實例。本發明可利用屬於附加之申請專利範圍之精神與範疇以内的修改及變更來加以實現。因此本文之説明應視爲本發明之示範而非限制。 (請先閲讀背面之注意事項再填寫本頁) 裝-------訂.--- - —1·/·-:-·卜線-I - 經濟部中央標準局員工消費合作社印製

Η. 本紙張尺度適用中國國家標準（CNS ) Α4規格（2i〇X297公瘦）

Claims

401§β2 第86101163號專利申請案 A8 中文申請專利範圍修正本(89年3 骂 -~—--------- ^ * n«、申請專利範園 ^•f-3 Ά yjn ^.lEj補充 1 · -種料保護非揮發性儲存體*會受到非法窝人之電腦建構的万法’該種方法是料—包含_受保護之非揮發性儲存體的電腦系統，該種方法包含下列步驟： a) 保護電腦系統之多個驗證功能，該等驗證功能是配備成為利用-相關於窝人資料之電子簽名來驗證寫入至非揮發性儲存體之窝入資料，該電子簽名之内容在功能上決定於寫入資料之内容； b) .啟動該等驗證功能以驗證每一寫入至非揮發性儲存體的寫入資料，及只允許經驗證之窝入資料寫入至受保護之非揮發性儲存體。 2·根據申請專利範圍第1項之該電腦建構的方法，其中步驟（a)包含儲存該等驗證功能於電腦系統之記憶體的一受保護部份。經濟部中央標準局員工消費合作社甲疚 (請先閎讀背面之注意事項再填寫本頁) 3.根據申請專利範圍第2項之該電腦建構的方法，其中步驟（a)之§亥等驗證功能是建構成為電腦系統之多個系統基本輸入/輸出服務（BIOS);且步驟（.a)包含在系統啟始期間拷貝該等多個系統Bios進入電腦系統之系統管理記憶體’系統管理記憶體通常未對映至電腦系統之一正常系統1己憶體空間，除了當電腦系統是在系統管理模式之下執行時以外’且無法寫入該系統管理記憶體，除了系統啟始及系統執行模式轉變以外。 4·根據申請專利範園第1項之該電腦建構的方法，其中相關之電子簽名是藉由利用一秘密私鑰以加密第一摘要來產生，而第一摘要是基於寫入之窝入資料之内容來產 ▲紙張认家標準(CNS ) A4· ( 21〇X297公釐) 401§β2 第86101163號專利申請案 A8 中文申請專利範圍修正本(89年3 骂 -~—--------- ^ * n«、申請專利範園 ^•f-3 Ά yjn ^.lEj補充 1 · -種料保護非揮發性儲存體*會受到非法窝人之電腦建構的万法’該種方法是料—包含_受保護之非揮發性儲存體的電腦系統，該種方法包含下列步驟： a) 保護電腦系統之多個驗證功能，該等驗證功能是配備成為利用-相關於窝人資料之電子簽名來驗證寫入至非揮發性儲存體之窝入資料，該電子簽名之内容在功能上決定於寫入資料之内容； b) .啟動該等驗證功能以驗證每一寫入至非揮發性儲存體的寫入資料，及只允許經驗證之窝入資料寫入至受保護之非揮發性儲存體。 2·根據申請專利範圍第1項之該電腦建構的方法，其中步驟（a)包含儲存該等驗證功能於電腦系統之記憶體的一受保護部份。經濟部中央標準局員工消費合作社甲疚 (請先閎讀背面之注意事項再填寫本頁) 3.根據申請專利範圍第2項之該電腦建構的方法，其中步驟（a)之§亥等驗證功能是建構成為電腦系統之多個系統基本輸入/輸出服務（BIOS);且步驟（.a)包含在系統啟始期間拷貝該等多個系統Bios進入電腦系統之系統管理記憶體’系統管理記憶體通常未對映至電腦系統之一正常系統1己憶體空間，除了當電腦系統是在系統管理模式之下執行時以外’且無法寫入該系統管理記憶體，除了系統啟始及系統執行模式轉變以外。 4·根據申請專利範園第1項之該電腦建構的方法，其中相關之電子簽名是藉由利用一秘密私鑰以加密第一摘要來產生，而第一摘要是基於寫入之窝入資料之内容來產 ▲紙張认家標準(CNS ) A4· ( 21〇X297公釐) 4Q1B62

申請專利範圍經濟部中央標隼局員工消費合作社印" 生；且步驟（b)包含： (b.l)啟動受保護之驗等功菇士 r 力牝义一受保護的解密功能以猎由利用一受保護之公瑜 _ 奸在相關疋電子簽名來重建矛一摘要，而該公鑰與該秘密私鑰形成互補； (b.2)啟動党保護之驗蜂功b 〜m —受保護的訊息摘要功月b以基於孩寫入之耷久咨祉‘ 冩入貪枓的内容來產生第二摘要；及 (b · 3)啟動受保護之驗辞_工六合u 士 — 也功叱受保護的摘要比較功旎以猎由比較第一盥第-插i水 ^ 一弟一摘要來決定是否該寫入之寫入資料是真實的。 5. 根據申請專利範圍第4項之該電腦建構的方法，其中步步包含步驟㈣’而步驟（b4)有條件地啟動 .受保護之驗證功能之—受保護的拷貝設施以拷貝該窝入資料進人受《之非揮發性料體，如果在步驟（b3)中第一及第二摘要通過比較測試的話。 6. —種電腦系統’該種電腦系統包含： (a ) —非揮發性儲存體； (b)多個用以在運作期間驗證寫入至非揮發性儲存體之寫入資料的驗證功能，該等驗證功能利用一相關於該寫入資料之電子簽名來驗證該窝入資料，該電子簽名之内容在功能上決定於該窝入資料的内容； (c ) 一用以在運作期間儲存及保護該等多個驗證功能之受保護之記憶體單元；及 (d) —耦接至非揮發性儲存體及受保護之記憶纽單元的處理器，該處理器是用以在運作期間啟動驗證功能以 -2 - 表紙張尺度適用中國國家梂準（CNS ) A4規格（210X297公釐） {請先聞讀背面之注意事項再填寫本頁) 訂 - H: 401562 ABCD 經濟部中央標準局員工消費合作社印製六、申請專利範圍驗證每一寫入至非揮發性儲存體之寫入資料，及只允許經驗證之窝入資料窝入至非揮發性儲存體。 7.根據申請專利範圍第6項之電腦系統，其中該等多個驗證功能包含：、一藉由利用一公鑰以解密電子簽名來重建第一摘要之解密功能，而該電子簽名是藉由利用一秘密私鑰以一互補方式加密第一摘要_來產生；一用以基於該窝入之寫入資料的内容以相同於產生第一摘要之方式來產生第二摘要的訊息摘要功能，及一藉由比較第一與第二摘要來決定是否該寫入之寫入資料是真實之摘要比較功能。 8..根據申請專利範圍第7項之電腦系統，其中解密功能，訊息摘要功能與摘要比較功能是建構成為電腦系統之多個系統基本輸入/輸出服務（BIOS)，該等系統輸入/輸出服務是在系統啟始期間拷貝進入受保護之記憶體單元，受保護之記憶體單元通常未對映至電腦系統之一正常系統記憶體空間，除了當處理器是在系統管理模式之下執行時以外，且無法寫入受保護之記憶體單元，除了系統啟始及系統執行模式轉變以外。 9.根據申請專利範圍第8項之電腦系統，其中一非揮發性儲存體是一用以儲存系統BIOS之FLASH記憶體儲存單元；解密功能，訊息摘要功能，摘要加密功能與公鑰預先儲存於FLASH記憶體儲存單元； -3- (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度逋用t國國家標準（CNS )_八4規格（210X297公嫠） 401562 Α8 Β8 C8 D8 經濟部中央標準局員工消費合作社印製六、申請專利範圍電腦系統進一步包含耦接至處理器之主記憶體；且寫入之寫入資料是儲存於主記憶體之一緩衝器的系統 BIOS更新。 10. 根據申請專利範圍第9項之電腦系統*其牛電腦系統進一步包含一耦接至處理器，主記憶體，受保護之記憶體單元與FLASH記憶體以控制記憶體存取的記憶體控制器；一耦接至記憶體控制器與FLASH記憶體以審核記憶體控制器提供給FLASH記憶體以進行寫入之一寫入訊號，及產生一中斷以使處理器處於系統管理模式的FLASH保護電路。 11. 根據申請專利範圍第1 0項之電腦系統，其中電腦系統進一步包含一耦接至處理器與FLASH保護電 . 路以通知該窝入給FLASH保護電路之輸入/輸出埠。 12. 根據申請專利範圍第7項之電腦系統，其中該等多個驗證功能進一步包含一拷貝功能，而該拷貝功能是用以有條件地拷貝該寫入之寫入資料進入非揮發性儲存體，如果第一與第二摘要通過摘要比較功能之比較的話。 13. —種電腦系統母板，該種電腦系統母板包含： (a) 一非揮發性記憶體儲存單元；及 (b) 儲存於該非揮發性記憶體儲存單元之系統基本輸入/輸出服務（BIOS)，該BIOS包含多個用以驗證在電腦系統之運作期間進入非揮發性儲存單元之寫入資料的驗證功能，且該非揮發性儲存單元與電腦系統母板整合， -4- (請先閲讀背面之注意事項再填寫本頁) 、-'口本紙張X·度適用t國國家標準（CNS )·Α4規格（210父297公鼇） 401B62 ABCD 經濟部中央標準局員工消費合作社印製 ^·、申請專利範圍該驗證功能利用一相關於該等系統BIOS更新之電予簽名來驗證該等系統BIOS更新，該電子簽名之内容在功能上決定於該等系統BIOS更新之内容。 14. 根據申請專利範圍第1 3項之電腦系統母板，其中電腦系統母板進一步包含： (c) 用以儲存系統BIOS更新於一缓衝器之主記憶體。 15. 根據申請專利範園第1 4項之電腦系統母板，其中電腦系統母板進一步包含： (d) 用以在電腦系統之運作期間儲存及保護該等多個驗證功能之系統管理記憶體，該等多個驗證功能是在系統啟始期間拷貝進入系統管理記憶體，系統管理記憶體通常未對映至電腦系統之一正常系統記憶體空間，除了當電腦系統是在系統管理模式之下執行時以外，且無法寫入該系統管理記憶體，除了系統啟始及系統執行模式轉變以外。 16. 根據申請專利範圍第1 5項之電腦系統母板，其中電腦系統母板進一步包含： (e) 一耦接至非揮發性記憶體儲存體及系統管.理記憶體的處理器，該處理器是用以在處潘系統管理模式之電腦系統之運作期間啟動驗證功能以驗證系統BIOS更新，及只允許經驗證之系統BIOS更新自主記憶體之缓衝器窝入至非揮發性記憶體儲存單元。 17. 稂據申請專利範圍第1 6項之電腦系統母板，其中電腦系統母板進一步包含： -5- (請先閱讀背面之注意事項再填寫本頁) 本紙張尺度逋用中國國家標準（CNS ) A4規格（210X297公釐） ABCD 六、申請專利範圍 (f) 一辆接至處理器，主記憶體，系統管理記憶體及非揮發.性記憶體儲存單元以控制記憶體存取的記憶體控制器； (g) —耦接至記憶體控制器與非揮發性記憶體儲存單元以審核記憶體控制器提供給非揮發性記憶體儲存單元以進行窝入之一窝入訊號，該窝入訊號受到啟始以寫入系統BIOS更新於非揮發性記憶體儲存單元，及產生一中斷以使電腦系統處於系統管理模式的非揮發性記憶體存取保護電路。. 18.根據申請專利範圍第1 7項之電腦系統母板，其中電腦系統母板進一步包含一耦接至處理器與非揮發性記憶體存取保護電路以通知該寫入給非揮發性記憶體保護電路之輸入/輸出淳。 19_根據申請專利範圍第1 3項之電腦系統母板，其中該等多個驗證功能包含：一藉由利用一公鑰以解密電子簽名來重建第一摘要之解密功能，該電子簽名是藉由利用一秘密私鑰以一互補方式加密第一摘要來產生；經濟部中央標隼局員工消費合乍:i.f泛一用以基於系統BIOS更新的内容以相同於產生第一摘要之方式來產生第二摘要的訊息摘要功能；及一藉由比較第一與第二摘要來決定是否系統BIOS更新是真實之摘要比較功能。 2〇,根據申請專利範圍第1 9項之電腦系統母板，其中餘等多個驗證功能進一步包含一拷貝功能，而該拷貝功能是用 -6 - 本紙張尺度逋用中國國家標準（CNS ).A4規格（210><297公度） A8 B8 C8 D8 六、申請專利範圍以有條件地拷貝該等系統BIOS更新進入非揮發性記憶體儲存單元，如果第一與第二摘要通過摘要比較功能之比較的話。 (請先閎讀背面之注意事項再填寫本頁) -7- 本紙張尺度適用中國國家標準（CNS )_A4規格（210X297公嫠）