TWI525470B - A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product - Google Patents

A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product Download PDF

Info

Publication number
TWI525470B
TWI525470B TW104103189A TW104103189A TWI525470B TW I525470 B TWI525470 B TW I525470B TW 104103189 A TW104103189 A TW 104103189A TW 104103189 A TW104103189 A TW 104103189A TW I525470 B TWI525470 B TW I525470B
Authority
TW
Taiwan
Prior art keywords
computer
volatile memory
public key
sensitivity variable
variable
Prior art date
Application number
TW104103189A
Other languages
English (en)
Other versions
TW201627911A (zh
Inventor
ding-cheng Guo
Original Assignee
Insyde Software Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Insyde Software Corp filed Critical Insyde Software Corp
Priority to TW104103189A priority Critical patent/TWI525470B/zh
Application granted granted Critical
Publication of TWI525470B publication Critical patent/TWI525470B/zh
Publication of TW201627911A publication Critical patent/TW201627911A/zh

Links

Description

更新電腦之敏感性變數之保護方法及系統、電腦可讀取之記錄媒體及電腦程式產品
本發明有關於電腦之技術領域,特別有關於一種更新電腦之敏感性變數之保護方法及系統、電腦可讀取之記錄媒體及電腦程式產品。
電腦產品在製造工廠進行測試時,例如對BIOS(Basic Input Output System,基本輸入輸出系統)的變數(Variable)進行檢測,該變數係有關於例如防止駭客對電腦系統的更改的安全特性(Security Feature)及硬體設定之硬體組態資訊(H/W Configuration Information)等。此等關於安全特性及硬體組態資訊之變數皆為敏感性變數(Sensitive Variable),不可被惡意的修改或更新。
舉例而言,晶片IC卡已經是普遍用來做為身分認證的保全工具,但是對於電腦的安全防護來說,大部分的人都只能仰賴軟體加密機制來保護。TPM(Trusted Platform Module,信任平台模組)就是用來內嵌在個人電腦上,作為個人電腦唯一辨識的晶片。因此,電腦產品在出廠前,對BIOS更新TPM之變數,以開啟或關閉TPM之認證功能。
用於工廠認證及測試目的之某些敏感性變數當需要進行修改或更新時,必須是無惡意軟體執行BIOS之敏感性變數的修 改或更新,以確保修改或更新之BIOS之敏感性變數係合法。
有鑒於上述問題,本發明之目的係提供一種更新電腦 之敏感性變數之保護方法及系統、電腦可讀取之記錄媒體及電腦程式產品,其利用非對稱加密演算法產生兩把完全不同但又完全匹配之金鑰(公鑰與私鑰),對要修改或更新之BIOS之敏感性變數進行驗證,以確保修改或更新之BIOS之敏感性變數係合法。
本發明之第一態樣係提供一種更新電腦之敏感性變數之保護方法,該保護方法包括下列步驟:輸入經一私鑰加密之一基本輸入輸出系統之該敏感性變數至該保護系統;由該保護系統之一CPU將已加密之敏感性變數進行解密,並使用預存於非揮發性記憶體中之一公鑰進行驗證;以及當該公鑰與該私鑰匹配時,由該CPU將已解密之該敏感性變數對在該非揮發性記憶體中之該基本輸入輸出系統進行更新。
本發明之第二態樣係提供一種更新電腦之敏感性變數之保護系統,包括:一非揮發性記憶體,用以儲存一基本輸入輸出系統及預存一公鑰;以及一CPU,用以將輸入至該保護系統之經一私鑰加密之該基本輸入輸出系統之該敏感性變數進行解密,使用預存於該非揮發性記憶體中之該公鑰進行驗證,當該公鑰與一私鑰匹配時,將已解密之該敏感性變數對在該非揮發性記憶體中之該基本輸入輸出系統進行更新。
本發明之第三態樣係一種內儲一程式之電腦可讀取之記錄媒體,當一更新電腦之敏感性變數之保護系統載入該程式並執行後,可完成本發明之第一態樣之保護方法。
本發明之第四態樣係一種內儲一程式之電腦程式產品,當一更新電腦之敏感性變數之保護系統載入該程式並執行後,可完成本發明之第一態樣之保護方法。
10‧‧‧保護系統
12‧‧‧CPU
14‧‧‧非揮發性記憶體
16‧‧‧第一記憶空間
18‧‧‧第二記憶空間
圖1為本發明之更新電腦之敏感性變數之保護系統之方塊圖;以及圖2為本發明之更新電腦之敏感性變數之保護方法之流程圖。
為使熟習本發明所屬技術領域之一般技藝者能更進一步了解本發明,下文特列舉本發明之較佳實施例,並配合所附圖式,詳細說明本發明的構成內容及所欲達成之功效。
圖1為本發明之更新電腦之敏感性變數之保護系統之方塊圖。在圖1中,保護系統10包括一CPU 12及一非揮發性記憶體14。非揮發性記憶體14之一第一記憶空間16儲存有一BIOS,其一第二記憶空間18預存有為一公鑰之變數。
CPU 12將輸入至保護系統10之作為更新用之經私鑰加密之BIOS之敏感性變數進行解密,並使用預存於非揮發性記憶體14之第二記憶空間18中之公鑰進行驗證,當公鑰與私鑰匹配時,CPU 12將已解密之敏感性變數對在非揮發性記憶體14之第一記憶空間16中之BIOS進行更新。另外,CPU 12可以根據輸入至保護系 統10之一刪除命令刪除預存於非揮發性記憶體14之第二記憶空間18中之公鑰,亦即CPU 12清空預存於非揮發性記憶體14之第二記憶空間18中之公鑰之變數。其中,使用例如非對稱加密演算法對敏感性變數進行加密及解密。
公開金鑰加密(public-key cryptography)也稱為非對 稱加密(asymmetric cryptography),其係一種密碼學演算法類型,在這種密碼學方法中係需要一對金鑰,一是個私人金鑰(簡稱私鑰),另一個則是公開金鑰(簡稱公鑰)。這兩個金鑰是數學相關聯的,用某一用戶金鑰加密後所得的資訊只能用該用戶的解密金鑰才能解密。如果知道其中一個金鑰並不能計算出另外一個金鑰。因此如果公開了一對金鑰中的一個,並不會危害到另外一個金鑰的秘密性質。稱公開的金鑰為公鑰,不公開的金鑰為私鑰。
常見的公鑰加密演算法有:RSA(由發明者Rivest、 Shmir和Adleman姓氏首字母縮寫而來)、ElGamal、背包演算法、Rabin(RSA的特例)、迪菲一赫爾曼金鑰交換協定中的公鑰加密演算法、橢圓曲線加密演算法(Elliptic Curve Cryptography,ECC)。 使用最廣泛的是RSA演算法,其是著名的公開金鑰加密演算法,而ElGamal則是另一種常用的非對稱加密演算法。
圖2為本發明之更新電腦之敏感性變數之保護方法之 流程圖。在說明圖2之流程步驟時參考圖1之組件。
電腦產品在出廠前對其進行認證與測試,為防止電腦 產品在認證與測試的過程中出現惡意軟體對BIOS之敏感性變數竄改,利用上述非對稱加密演算法來對電腦產品之認證與測試過程進行驗證以及加密與解密。其中,與一私鑰匹配之公鑰係預存於非揮 發性記憶體14之第二記憶空間18中,亦即,公鑰之變數係預存於非揮發性記憶體14之第二記憶空間18中。
在圖2中,電腦產品在認證與測試過程中需要對其 BIOS之敏感性變數進行修改或更新時,將經私鑰加密之欲修改或更新之敏感性變數輸入至保護系統10中(步驟S20)。其中,該欲修改或更新之敏感性變數使用非對稱加密演算法進行加密。
接著,CPU 12將輸入至保護系統10之已私鑰加密之敏 感性變數進行解密,並使用預存於非揮發性記憶體14之第二記憶空間18中之公鑰進行驗證,亦即利用上述非對稱加密演算法驗證第二記憶空間18中之公鑰與相應敏感性變數之私鑰是否為匹配的一對金鑰(步驟S22)。
若第二記憶空間18中之公鑰與私鑰不為匹配的一對 金鑰,可能此次電腦產品之認證與測試過程並非合法,則停止電腦產品之認證與測試過程(步驟S24);若第二記憶空間18中之公鑰與私鑰為匹配的一對金鑰,電腦產品之認證與測試過程係為合法,則由CPU 12將已解密之敏感性變數對在非揮發性記憶體之第一記憶空間16中之BIOS進行修改或更新(步驟S26)。
然後,判斷是否完成電腦產品之認證與測試過程(步 驟S28),若未完成電腦產品之認證與測試過程,則實施步驟S20;若完成電腦產品之認證與測試過程,表示完成認證與測試之電腦產品即將出廠,為了避免電腦產品出廠後而被他人獲得相應該電腦產品之私鑰,進而利用該私鑰對電腦產品之BIOS之敏感性變數進行竄改,因此輸入一刪除命令至保護系統10,由CPU 12根據該刪除命令刪除預存於非揮發性記憶體14之第二記憶空間18中之公鑰,亦即 CPU 12清空預存於非揮發性記憶體14之第二記憶空間18中之公鑰之變數(步驟S30)。
本發明之更新電腦之敏感性變數之保護方法可以一 程式型態來撰寫完成,並可將該程式儲存於一電腦可讀取之記錄媒體,當更新電腦之敏感性變數之保護系統於該記錄媒體載入該程式並執行後,便可完成如上述說明及圖式中所示之方法步驟。
本發明之上述之更新電腦之敏感性變數之保護方法 可以內儲一程式之一電腦程式產品來完成,當更新電腦之敏感性變數之保護系統例如從網路下載該程式並執行後,便可完成如上述說明及圖式中所示之方法步驟。
本發明係提供一種更新電腦之敏感性變數之保護方 法及系統、電腦可讀取之記錄媒體及電腦程式產品,其優點係利用非對稱加密演算法產生兩把完全不同但又完全匹配之金鑰(公鑰與私鑰),對要修改或更新之BIOS之敏感性變數進行驗證,以確保修改或更新之BIOS之敏感性變數係合法。
雖然本發明已參照較佳具體例及舉例性附圖敘述如上,惟其應不被視為係限制性者。熟悉本技藝者對其形態及具體例之內容做各種修改、省略及變化,均不離開本發明之申請專利範圍之所主張範圍。
10‧‧‧保護系統
12‧‧‧CPU
14‧‧‧非揮發性記憶體
16‧‧‧第一記憶空間
18‧‧‧第二記憶空間

Claims (10)

  1. 一種更新電腦之敏感性變數之保護方法,該保護方法用於一認證與測試過程中需要對一基本輸入輸出系統之該敏感性變數更新時,其包括下列步驟:輸入經一私鑰加密之該基本輸入輸出系統之該敏感性變數至一保護系統;由該保護系統之一CPU將已加密之該敏感性變數進行解密,並使用預存於一非揮發性記憶體中之一公鑰進行驗證;以及當該公鑰與該私鑰匹配時,由該CPU將已解密之該敏感性變數對在該非揮發性記憶體中之該基本輸入輸出系統之該敏感性變數進行更新。
  2. 如申請專利範圍第1項之保護方法,其中,在輸入經私鑰加密之該基本輸入輸出系統之該敏感性變數至該保護系統之步驟之前,預先設定匹配之該私鑰及該公鑰,並將該公鑰預存於該非揮發性記憶體中。
  3. 如申請專利範圍第2項之保護方法,其中,將該公鑰儲存於該非揮發性記憶體之一第二記憶空間,且將該基本輸入輸出系統儲存於該非揮發性記憶體之一第一記憶空間。
  4. 如申請專利範圍第1項之保護方法,其中,在由該CPU將已解密之該敏感性變數對在該非揮發性記憶體中之該基本輸入輸出系統進行更新之步驟之後,輸入一刪除命令至該電腦,由該CPU根據該刪除命令刪除預存於該非揮發性記憶體中之該公鑰。
  5. 一種更新電腦之敏感性變數之保護系統,其用於一認證與測試過程中需要對一基本輸入輸出系統之該敏感性變數更新時,該保護 系統包括:一非揮發性記憶體,用以儲存該基本輸入輸出系統及預存一公鑰;以及一CPU,用以將輸入至該保護系統之經一私鑰加密之該基本輸入輸出系統之該敏感性變數進行解密,使用預存於該非揮發性記憶體中之該公鑰進行驗證,當該公鑰與一私鑰匹配時,將已解密之該敏感性變數對在該非揮發性記憶體中之該基本輸入輸出系統之該敏感性變數進行更新。
  6. 如申請專利範圍第5項之保護系統,其中,該CPU根據輸入至該保護系統之一刪除命令刪除預存於該非揮發性記憶體中之該公鑰。
  7. 如申請專利範圍第5項之保護系統,其中,該非揮發性記憶體更包括一第一記憶空間,用以儲存該BIOS;及一第二記憶空間,用以預存該公鑰。
  8. 如申請專利範圍第5項之保護系統,其中,該敏感性變數為一關於安全特性及硬體組態資訊之變數。
  9. 一種內儲一程式之電腦可讀取之記錄媒體,當一更新電腦之敏感性變數之保護系統載入該程式並執行後,可完成申請專利範圍第1或4項之保護方法。
  10. 一種內儲一程式之電腦程式產品,當一更新電腦之敏感性變數之保護系統載入該程式並執行後,可完成申請專利範圍第1或4項之保護方法。
TW104103189A 2015-01-30 2015-01-30 A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product TWI525470B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW104103189A TWI525470B (zh) 2015-01-30 2015-01-30 A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW104103189A TWI525470B (zh) 2015-01-30 2015-01-30 A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product

Publications (2)

Publication Number Publication Date
TWI525470B true TWI525470B (zh) 2016-03-11
TW201627911A TW201627911A (zh) 2016-08-01

Family

ID=56085429

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104103189A TWI525470B (zh) 2015-01-30 2015-01-30 A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product

Country Status (1)

Country Link
TW (1) TWI525470B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11443043B2 (en) 2018-06-26 2022-09-13 Pegatron Corporation Automatic verification method and system

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11416615B2 (en) * 2020-09-02 2022-08-16 Dell Products, L.P. Configuring trusted remote management communications using UEFI

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11443043B2 (en) 2018-06-26 2022-09-13 Pegatron Corporation Automatic verification method and system

Also Published As

Publication number Publication date
TW201627911A (zh) 2016-08-01

Similar Documents

Publication Publication Date Title
TWI613900B (zh) 保全裝置以及保全方法
US9367701B2 (en) Systems and methods for maintaining integrity and secrecy in untrusted computing platforms
US8509449B2 (en) Key protector for a storage volume using multiple keys
US8776211B1 (en) Processing commands according to authorization
US20190379541A1 (en) Encryption using biometric image-based key
CN109034796B (zh) 基于联盟链的交易监管方法、电子装置及可读存储介质
JP2017139811A5 (zh)
JP6053950B2 (ja) ソフトウェア更新装置及びソフトウェア更新プログラム
US11050562B2 (en) Target device attestation using a trusted platform module
TW201701186A (zh) 實體不可複製功能輔助之記憶體加密裝置技術
US7571329B2 (en) Method of storing unique constant values
TW201810102A (zh) 處理指紋資料的系統及動態加密指紋資料的方法
JP6927981B2 (ja) パスコード検証のためのフォワードセキュア型暗号技術を使用した方法、システム、及び装置。
WO2016045458A1 (zh) 一种安全控制方法及网络设备
US11575501B2 (en) Preserving aggregation using homomorphic encryption and trusted execution environment, secure against malicious aggregator
CN111614467B (zh) 系统后门防御方法、装置、计算机设备和存储介质
CN112385175B (zh) 一种用于数据加密和完整性的设备
TWI525470B (zh) A method and a system for updating the sensitive variables of a computer, a computer-readable recording medium, and a computer program product
TWI763379B (zh) 安全積體電路晶片裝置及其保護其方法
EP3525126A1 (en) Firmware integrity test
TWI774902B (zh) 密鑰保護方法及密鑰保護系統
JP2024503602A (ja) エッジデバイスのための鍵無効化
US20210160065A1 (en) Cryptographic key configuration using physical unclonable function
JP2019121884A (ja) 集積回路、制御装置、情報配信方法及び情報配信システム
CN113282910B (zh) 一种可信计算信任根的根密钥保护方法