TW531712B

TW531712B - Protected boot flow

Info

Publication number: TW531712B
Application number: TW090102921A
Authority: TW
Inventors: Christopher J Spiegel; Andrew H Gafken; Robert P Hale; William A Stevens Jr
Original assignee: Intel Corp
Priority date: 2000-02-11
Filing date: 2001-03-13
Publication date: 2003-05-11
Also published as: WO2001059564A3; GB2376327B; GB0220657D0; AU2001227684A1; JP2003525484A; CN1318963C; KR20030044901A; GB2376327A; US6711675B1; WO2001059564A2; CN1416545A

Description

531712 五、發明說明（1) 1 ·發明領域 ^明背景本發明一般說來乃地說，乃有關於受保護啟統之啟動程4 更改。 *^序，可防錢“序遭^ 2 ·相關技術說明在電腦系統能運作前，腦的資源可以被其他軟體3己憶體中必須有作業系統，制。我們想使不同種類^ °不同的應用程式）取得並控樣的電腦系統硬體中，的作業系統都可以载入至同性、相對較簡單的自我啟動，=標，電腦硬體具有非揮發能，並自碟片中載入更複ς ς舻可以初始化多種基本功個階段的程式載入，每下L個=。啟動程序可以包括多更強但更容易更動的程式，】2二就可載，更複雜、功能傳續的么试士直至丨載入作業系統本身Α μ 冷開機（一開始硬體的電源杲閃閂认、重置力月匕。這可能是源已經打開了，但部份處在未知的邏輯狀態下）更= 他種開機狀況。t置的種類會影響啟動程序必帛執次疋其些特定功能，但普遍來說並不會改變整體的啟動程^。、〃、重置功能通常會產生一重置中斷向量，將系統導引至揮發性記憶體中的程式，並自該處開始執行。此程式通常是儲存在快閃（f 1 a sh)記憶體中的基本輸入輸出系統 ^ (Basic Input-Output System,簡稱BIOS)。BIOS可以致能基本輸入輸出的控制、分支至某選用的唯讀記憶體中以致

第4頁 531712 五、發明說明（2) 能在特定系統中有效的選項，然後分支回到B I 0 S程式，以完成初始化動作，並將作業系統自碟片載入至主記憶體中。雖然此類系統中大部份的硬體是由電腦供應商提供，但BIOS與選用唯讀記憶體（option ROM)通常是由第三者提供，因此電腦供應商對這些項目的特殊内容通常所知有限，也不太能夠掌控它們。此外，在電腦内的B I 0S與選用唯讀記憶體兩者通常是可重覆程式化的，因此在系統安裝過後，很容易遭受竄改。因為無法分辨B I 0S或是選用唯讀記憶體是否遭受竄改，於是造成安全上的問題。而廣泛受到關注的駭客入侵與電腦病毒事件，讓此問題更加令人煩惱，因為系統很可能被未知且可能無法偵測的方法給破壞。因此，電腦供應商想要能夠查証自我啟動程序就是他們要的那一個，任何未經授權的序列改變都能在啟動的時候偵測出來，俾中斷啟動程序，並調查其中的問題。發明摘要本發明涵括一種啟動作業系統的方法，包括超動一重置功能、執行受保護程式、確認B I 0S程式是否有效、執行 BIOS程式。 # 附圖之簡單說明圖1係啟動程序之示意圖。圖2係韌體中心區分段設計圖。圖3係一另一種啟動程序的示意圖。詳細說明

531712 五、發明說明（3) ' ------ 本舍明引進一組或多组受伴错的；A，罢# 的痒列中，4 “ 令置於不會被更改的序列中忒序列可驗証部份其餘的啟動程序是否*效，故在面彌補傳統啟動程序的不足。圖1係此系統""之"一具體實施例。區塊丨0包含非揮發性記憶體，内有啟動程序會2用到的指令與資料。韌體中心區（FWH)丨2為非揮發性記憶體區塊’包含用來控制並確認啟動程序的指令（碼）。 B I OS 1 4為非揮發性記憶體區塊，其中可能包含一相當標準的BIOS ’但修改成可以和FWH 12互相作用。當系統啟動時，會喚起系統重置向量1 6，導引處理器開始執行位於F WH 1 2之次區塊2 1中、韌體中心A(以下稱作 FWH — A)内某一特定位址的指令。fwH_A的程式碼會找出 BIOS 1 4的第一個次區塊23，稱為BI OS— A。接著FWH —A 21 驗註B I 0 S與韋刃體中心b (以下稱作F W Η 一 B) 2 5，以碟定其内含的程式碼與預期相同。轉認的動作可以採取多種形式’這取決於所需要的安全性層級。一具體實施例為檢查Β I 0S碼的效驗和，並與儲存在中的值作比較。另一具體實施例為使用數位簽章，以增加防護系統提供的次·全性。 FWHj可以包括一個表，以確認要實施的安全檢查種類’ 也包括要實施安全檢查的Β I 0 S對象以及執行檢查的程式碼。除了確認Β I 0S以外，用來確認並執行選用唯讀記憶體的程式碼也可以包含在FWH 12或BIOS 14中。選用唯1買記憶體可以包含在Β I 0 S 1 4内，或是另一個獨立的記丨思體區塊中。 531712 五、發明說明（4) " --- -- 在驗5正^〇S之後，控制權交給位於BIOS 14中次區塊23 的BIOS j ^式碼手上。M〇Sj程式碼負責將主記憶體初始化’ ’、定^央處理器重置的類別。開啟啟動程序的中央 ♦ ▲ 胃巧會景彡響啟動期間所執行的特定功能，但不會改Ϊ動過程。在執行這些功能以後，控制權交給位於次區塊25内的FWH — B。FWH B程式碼負責鎖定 FM^(/)Bl〇S Η中不同的快閃記憶體區塊，、 J tί由防止進一步寫入至某-程式碼區•，而使該王工·’、、品Α保持穩定的過程。這項特性普遍見於FWH 1 2常使用的快閃記憶體。在被FWH — B鎖定之前，受影響的區塊可以由啟動程式碼更新。緊接著鎖定之後，這些區塊就益法在沒有重新執行啟動程序的狀況τ作進—步的修改。 FWH_B也可以載入額外的安全性元件至系統的記憶中，供稍後使用。FWH —A也可以執行有限次數的鎖定動作。” 、不同的程式碼區塊可以在被鎖定之前更新。處理的方式通常是在系統關機前’由作業系統將更新區塊寫入至預嗖的主記憶體位置。當系統關機並重新開機以後，啟程式會偵測到這些更新過的模組，驗証它們，然後將它至包含啟動程式的非揮發性記憶體中。在安裝完這些更新模組後，它們就會受到保護，免於更進一步的變動了程容許必要的更新動作，但又能保護啟動程序， ^ ^ 間點之後就不會受到未經授權的竄改。 ’、 ^ 完成這些工作之後，控制權便交給位於BIA叩中、則s_B内的程式石馬程式碼也可以二夕7卜的

531712 五、發明說明（5) 安全性介面，供其繼續執行標準開機自我測試（p〇Wei_Qn self-test，POST)時使用。BIOS 一 B也可依傳統方式分支至選用唯讀記憶體。B I 0S一B包括作業系統載入器，開始作業系統1 8載入至記憶體的過程。上述驗証過程的一個目的在於確認此作業系統載入器的完整性。圖2顯示韌體中心的内容是如何分配的。在一具體實施例中，FWH啟動區塊31包含FWH一A程式碼，在生產過^/'中^尤已經存放在該F W Η内。這可以是受硬體保護的單一 6 4千位兀組（Κ Β )區塊，系統無法對其更新。此程式碼找出β I 〇 s j

的位置，並實施一驗証程序，以確認以⑽程式碼和預期的相同。、’ #B^〇S起始區塊32提供在FWH —A内執行的程式碼，但這通吊疋由BIOS的供應商提供。它可以包括與“⑽j、bi〇s_】 :面的程式碼、及作為㈣3回復功能的程式㈣未緣於圖 °啟動區塊31與BIOS起始區塊32兩者都包含只有FM Z才㈢直接執行的程式碼。的^= 一組由一或多個在啟動過程中就已經被鎖定塊可以^冓成，因此在系統操作時會受到保護。每一個區 Manase別鎖定/快閃式媒體管理員（Flash Media 料。但Γ曰以下簡稱FMM)可以用來更新此鎖定區内的資序中：：壬何想要寫入此區的動作都得在鎖定前的啟動程寫入=區旦這些區塊被鎖定，FWH硬體就會防止任何除鎖定⑽σ思體的動作。$些區塊只能藉由重設FWH而解，而此過程只會發生在中央處理單元重置時。要更

第8頁 531712 五、發明說明（6) 新這些區塊’得先將欲更新的中央處理單元重置。在保護啟動^ :己憶體中’再起動偵測出來，並且在鎖定區直正=仃日守，此映像會被其内容。，、正破鎖定之前用此映像來更新未鎖定區3 4是由一或多組本、 _ 可以在此做寫入的動作。只要I鎖疋的區塊所組成，因此任意大小。這些區塊内的所：：：足肖，這些區塊可以為圖2每個功能所能分配到的貝料都可糟由刚來管理。特定系統種類的需求而定上塊數目是可以選擇的，依在開始設計FWH與BI〇S程式碼時般兵的定丨青況是由BI0S的供應商主要部份：FWH_A、BI0S A下’ /刀別描述了圖1的四個 FWH_A ~ FWH-B 以及BIOS—B 。二ΑΛ式碼負責執行處理器模式的切換，…認系 #充内的权式碼。特別是它必彡百 ^ -V ^ y員在將控制權交給Β I 0S起始區 = 先對整個區塊進行確認。確認動作可藉由使用或是更複雜的驗言正方式來完成。所有在此區内的程 ΐ:應該在不需要記憶體資源的狀態（或僅需有限的記十思脰資源）下執行。當回復更新區塊（矯正區塊）是可用的時候，其他安全性軟體可以在抹除BI 起始區塊前先將其内容備份起來，然 $在更新程序中寫入新的BI0S起始區塊。萬一在更新動作元成如’電源中斷了，這個備份就可以用來更新。PWjj a 私式碼决疋究竟是BIOS起始區塊或是矯正區塊内含有效的

第9頁 531712 五、發明說明（7) ^ 映像。 FW Η一A可以是重置處理器以後第一塊執行的程式碼。此程式碼必須在不需初始化隨機存取記憶體的情況下執行它由FWH啟動區塊提供，是可以信賴的程式碼。FWH —A執、下列的功能· 1 )啟動向量-重置處理器時，第一個取得並執行的指令就在此處。 2 )鎖疋啟動區塊-將啟動區塊彡又為鎖疋狀態。被鎖定的程式碼是在啟動區塊外執行，因為快閃記憶體在執行自身的程式碼時不能處於鎖定狀態。 3 )切換模式-將中央處理單元的模式切換成至純3 2位元的環境。 4 )確認B I 0 S起始區塊-經由預設的方法執行確認的動作，例如檢查效驗和。 5) 若確認動作失敗-結果不外是a)發出警告訊息並中止系統’或是b)找出矯正區塊中的備份BIQS起始區塊並確認它，如果通過確認則跳至該區塊，如果不能通過確認，則發出警告訊息並中止系統。 6) 跳至BI0Sj—如果通過確認步驟4，則跳至BIOS —A程式碼的進入點。 —

BIOS A

BlO^i程式碼是以⑽中第一塊被執行的程式碼。此程式動的種類，致能隨機存取記憶體的資源，並且將控制杻交還給FWH —B 〇BI0Sj的程式碼位於bi〇s起始

531712 五、發明說明（8) 區燒，被FWH一A程式碼呼叫。bi〇s_A碼執行下列的功能： 1)決定重開機-處理器重置的理由有許多種。這些理由包括自省電睡眠狀態中喚醒、部份重開機、暖開機、冷開機等等。啟動程序可依重開機種類的不同有些許變化。 2 )致能記憶體--旦重開機的種類決定，B I 0 A程式碼可以回復記憶體控制器的狀態（暖開機、自睡眠狀態喚醒）’或是對記憶體做重新初始化與測試的動作（冷開機）。 3) 没疋FWH —B參數-BI 〇S_A程式碼依據啟動種類指出要執^ 1路徑。它可以指示其他保護軟體的位置（暖開機），或疋指不載入其他保護軟體的位置（冷開機）。 4) 跳至FWH —B-在致能記憶體後，BI〇Sj程式碼可藉由跳至FWH —B進入點的方式，交還控制權給FWH啟動區塊。此备·式碼負音白甘从^ ^ __ 、貝目其他官理區塊初始化任何相關的保護性軟體，用以更斩抓# +亦丄 > —y 更新那些需要在啟動程序中被更新的區塊、鎖 =.、然後將控制權交給觀_β。此程式碼可以執行拍秘心’亚初始化任何相關的暫存器。啟動種類，此乐_；員刀支（Branch)-根據在6103-八所決定的入作辈备μ 式碼分支至接下來步驟3的其中一項：載入㈣糸統、回到作業系統或是進行更新。呆糸、、先-BIOS —Α的程式碼指示BIOS正在重新載戰入作蚩备μ

第11頁 531712 五、發明說明（9) :地31相關保護性軟體的介面便應在此BIQS—A所指示兮4丄:：、化：豐(stack)-記憶體資源是可用的，因此痛 5亥將堆豐初始化以供使用。此應 5 )載入快閃式媒體管理員（F Μ Μ)至7愔娜以動區塊複製到BIOS ^ 應該自啟 /农巧貝取值指定的記憶體位置中。 )，有需要’執行恢復動作_此時記憶體資源是

ImmV"啟純塊起始區塊更新失敗時可以回復。呼叫FMM的回復功能即可完成此項工作。设+ ^鎖定BIOS起始區塊_BI〇s起始區塊應該被鎖定。 :二初初始化灌，包括鎖定區與未鎖定區兩個 4刀亚合迕電力中斷後的回復動作。的H人相^保護性軟體-可以在此時制步驟3所讀取的介面載入其他保護程式。 ,10)在失敗時跳躍至BI0S回復_若是FMM鎖定的部份無法 ::b :或是無法找出相關的保護軟體，控制權可以 BIOS回復程式碼。寻芏 11)鎖定區塊-鎖定所有鎖定區的區塊。 w 12)跳躍至BI0S-B-將控制權交給FWH内的BI〇s — B載入器。 — 3) 返回作業系統—BI〇s一a程式碼指出Bi〇s正返回作業統（例如自睡眠狀態下喚醒）。 /、’、 4) 鎖定區塊-不使用記憶體的資源，所有位於鎖定區的區塊以及BIOS起始區塊都會被鎖定。

第12頁 531712 五、發明說明（ίο) 5) 切換至真實模式—在開啟映射記前，處理器先回到真實模式。 -G體肀的W 〇s映像之 6) 跳躍至BI〇S相容^/動向量一將控體中的B I OS映像。市】％又口映射於記憶 3 )更新-B I 0 S A程式派扣-雜—广 —枉式碼&不鎖疋區正在進行更新，要執仃可k任的更新請求。應垓 4) 初始化堆疊—找出堆疊的位置並進行設定。 5) 確5忍有關的保護程式碼—任何有關的保護程式碼該先確認過，以確保安全性軟體本身也是安全有效的。^ 6) 確说更新請求，並載入之—確認請求更新的載入至記憶體中。亚 7 )執行更新請求-將控制權交給更新請求，此更新於會找出更新映像檔，檢查並載入它。， 8 )執行冷開機—起動一個完整的重開機。

BIOS—B 、BIOS— B的程式碼通常負責載入標準的bios，因此可視其，一BIOS載入器。實際上事件順序通常交由BI0S供應商^ 定，但可以依下列步驟： 1)載入BIOS至記憶體中—一旦載入至記憶體中，BIOS —B 程式碼即可將B I 〇S程式碼解壓縮。 2 )影像初始化-通常能愈早將影像輸出至螢幕愈好。一 3 )執行完整的記憶體測試—只有/部份的低位址記憶體會在啟動程序執行到B丨〇Sj時被初始化。此步驟可以測試並初始化剩下的記憶體。

531712 五、發明說明（11) ' ~ -- 4) 初始化系統其他的部份。 5) 重^新安置有關的保護程式碼-此程式碼通常也位於記憶體的南位址處’故此步驟將它移到前一個步驟的SMΜ碼之下。相關表格可在其他處找到。 6) POST元2的開機自我測試（p〇wer —〇n seif — Test)。另一具體實施例繪於圖3。FWH啟動區塊43包括子區塊44 中的BIOS一A程式碼，以及子區塊41中的FWH —B程式碼。 BIOS —A程式碼可由BI〇s製造者提供，而fwh — b程式碼可由 BIOS衣仏者或疋第二者提供。BI〇s — A程 =程式：便一起儲存在… :蒦子ί ί ? 裝置40的另外一部份中，可能沒有受到保不會被修改，尊争i — 式在執行期間由硬體保護而贫^勃二士，匕只能經由B1 os j的程式碼。因此系更：執仃才啟動區塊43會受到保護，+會受到未經授權的系統的重置向量42會使系統執行Μ 的指令。BI0S_A程式碼負責啟動 -中某一預疋位址出F物式碼—B程憶體並找期一般。接下來FWH — B程式碼將_ = y後者的内容如預石馬，然後繼續系統的初始化工^制推/給BI0S-B程式以上說明乃是示範之用，並二作業系統46。技術之人士可做其他的變化。其中的做法。熟悉此中’而本發明只限定在所附申：以皆涵括在本發明之〇月專利乾圍的範疇與精神。

第14頁

Claims

531712 _案號90102921_年A月/ λ曰修正_ 六、申請專利範圍 1 . 一種於電腦系統中啟動軟體之方法，由下列各項組成：啟始重置功能；執行第一個受保護程式；確認基本輸入輸出糸統（Β I〇S)程式，以及執行Β I 0 S程式。 2 .如申請專利範圍第1項之方法，其中執行Β I OS程式包括確認並執行一作業系統載入器。 3 .如申請專利範圍第1項之方法，其中確認動作包括找出BIOS程式的位置。 4.如申請專利範圍第1項之方法，其中起始動作包括分支到第一個受保護程式中啟動程序的進入點。 5 .如申請專利範圍第1項之方法，其中執行Β I 0S程式包括初始化主記憶體。 6 .如申請專利範圍第1項之方法，其中執行Β I 0S程式包括決定重置種類。 7 .如申請專利範圍第1項之方法，其中確認動作包括鎖定第一個受保護程式與Β I 0 S程式兩者之中至少一個的一部份。 8 .如申請專利範圍第1項之方法，其中確認Β I 0S程式包括確認第二個受保護程式，而執行Β I 0 S程式包括執行第二個受保護程式。 9 .如申請專利範圍第8項之方法，其中第二個受保護程式是位於選用唯讀記憶體中的程式。

O:\68\68641-920212.ptc 第16頁 531712 _案號90102921_年工月/Λ曰修正_ 六、申請專利範圍 1 0 .如申請專利範圍第1項之方法，其中確認Β I 0 S程式包括確認與安裝更新模組。 1 1. 一種於電腦系統中啟動軟體之方法，由下列各項組成：啟始重置功能；執行第一個受保護程式；至少確認第一與第二個BIOS程式兩者當中的其中一個；執行第一個Β I 0 S程式；執行第二個受保護程式；以及執行第二個Β I 0 S程式。 1 2.如申請專利範圍第1 1項之方法，其中起始動作包括分支至第一個受保護程式中啟動程序的進入點。 1 3.如申請專利範圍第1 1項之方法，其中執行第一個受保護程式包括確認第一與第二個Β I 0 S程式當中至少一個。 1 4.如申請專利範圍第1 1項之方法，其中執行第一個 Β I 0 S程式包括初始化主記憶體。 1 5.如申請專利範圍第1 1項之方法，其中執行第一個 Β I 0 S程式包括決定重置種類。 1 6.如申請專利範圍第1 1項之方法，其中在執行第一個與第二個受保護程式時至少一次包括鎖定資料區塊的動作，資料區塊包含於第一與第二個受保護程式、第一與第二個BIOS程式當中的至少一個内。 1 7.如申請專利範圍第1 1項之方法，其中執行第二個受

O:\68\68641-920212.ptc 第17頁 531712 _案號90102921_年厶月/二日修正_ 六、申請專利範圍保護程式包括載入額外的安全性元件至記憶體中。 1 8.如申請專利範圍第1 1項之方法，其中在執行第一與第二個受保護程式時，至少一次包含確認作業系統載入器的動作。 1 9.如申請專利範圍第1 8項之方法，更進一步包括執行作業系統載入器。 2 〇.如申請專利範圍第1 1項之方法，其中確認動作包括確認選用唯讀記憶體。 2 1.如申請專利範圍第2 0項之方法，其中執行第一與第二個B I 0 S程式時，至少一次包含執行已確認的選用唯讀記憶體程式。 2 2.如申請專利範圍第1 1項之方法，其中確認動作包括確認並安裝更新权組。 2 3. —種機械可讀之媒體，其上已儲存一些指令，被至少一個處理器執行時會使該處理器實施下列程序：啟始重置功能；執行受保護程式；確認B I 0 S程式；以及執行B I 0 S程式。 24. —種用來啟動軟體之裝置，由以下單元組成：第一個記憶體區塊，包含第一個受保護的程式序列；以及第二個記憶體區塊，包含第二個程式序列，作為起動一電腦系統之用；

O:\68\68641-920212.ptc 第18頁 531712 _案號 90102921_p年丄月f上日__ 六、申請專利範圍其中第一個程式序列包含確認第二個程式序列並將控制權傳遞至第二個程式序列的指令。 2 5.如申請專利範圍第2 4項之裝置，其中第一個程式序列包括一些程式碼，能鎖定第一與第二個記憶體區塊兩者當中至少一個的一部份。 2 6.如申請專利範圍第24項之裝置，其中第二個程式序列包括BIOS程式序列。 2 7.如申請專利範圍第2 4項之裝置，其中第一與第二個程式序列當中至少一個會包括一些指令，能鎖定第一與第二個記憶體區塊兩者當中至少一個的一部份。 2 8.如申請專利範圍第2 4項之裝置，其中第一與第二個程式序列兩者當中至少一個包括確認選用唯讀記憶體的指〇 2 9.如申請專利範圍第2 4項之裝置，其中第一與第二個程式序列兩者當中至少一個包括確認並安裝更新模組的指〇 3 0.如申請專利範圍第2 4項之裝置，其中第一個程式序列包含找出第二個程式序列的程式碼。

O:\68\68641-920212.ptc 第19頁