[发明专利]固件中的防盗

说明书

背景技术

相对便携的计算系统，诸如平板计算机、笔记本计算机、膝上型计算机、上网本、超级本、蜂窝电话、智能电话以及其它手持装置经常容易被盗。在一些情况下，盗窃的目的可能是获取装置的所有权以便窃贼使用，或者将该装置卖给其他人。为了阻止窃贼想要对所偷装置重新进行使用的情形，阻止由除了原始所有者的任何人引导该装置将是符合需要的。

附图说明

图1是说明UEFI引导序列的阶段图。

图2是说明用于用生物统计信息加密固件的方法的至少一个实施例的流程图。

图3是说明图2方法在UEFI引导期间的至少一个实施例的阶段图.

图4是说明使用固件的基于生物统计的认证的增强引导过程的至少一个实施例的流程图。

图5是说明图4方法在UEFI引导期间的至少一个实施例的阶段图.

图6是说明用于执行在引导期间固件的生物统计认证的至少一个实施例的固件模块的框图。

图7是说明在UEFI引导期间执行固件的生物统计加密和解密的功能固件和软件模块的阶段图。

图8是说明根据本发明至少一个实施例的第一和第二系统的框图。

图9是根据本发明至少一个其它实施例的系统的框图。

图10是根据本发明至少一个其它实施例的系统的框图。

具体实施方式

所描述的实施例提供了计算装置固件的防盗能力。更确切地说，使用用户的生物统计信息加密引导处理系统的操作系统(OS)所必需的固件。在随后引导时，在引导期间使用生物统计信息解密固件，使得仅该用户可引导该系统。用此方式，可阻碍对被偷装置被重新使用。

在当前防盗技术中间，它们中的许多技术都在OS环境下作为软件驱动运行。在被偷机器上，通过卸载它们，重新安装OS或者将硬盘用新的替换，都可阻碍这些技术。其它当前的防盗技术是固件特征。这些动作类似于上电密码保护，并且可通过改变固件代码的几个字节以跳到绕过认证处理，或者通过从相同类型的另一装置向被偷计算装置烧录固件的新拷贝进行阻碍。

本文所描述的实施例提供了优于几个已知安全技术的优点，因为实施例提供了是计算系统的预OS固件的固有特征并且用可绕过某些其它安全机制的方式不可能被绕过的安全机制。

为了避免对计算装置进行未授权的重新使用，本文描述的实施例从而解决了几个安全漏洞技术。例如，一个此类技术是入侵被偷计算装置的ROM(只读存储器)以重新安装不同的操作系统(“OS”)。在没有本文描述的实施例的计算系统中，这例如可通过重新刷写BIOS映像以改变引导加载程序代码使得在引导期间加载不同的OS来达成。用此方式，可绕过原始所有者的OS上电密码。本文描述的实施例通过在执行引导加载程序代码之前在引导序列中执行生物统计认证检查，解决了这种类型的漏洞。

在不包含本文描述的任何实施例的计算系统中，重新刷写BIOS(基本输入输出系统)映像还可用于绕过由系统的单独组件而不是由CPU自身提供的安全特征。例如，可重新刷写计算装置的BIOS映像，以便禁用带外安全特征。此类带外安全特征例如可包含由可管理引擎、可信平台模块(“TPM”)或与CPU分开的其它独立安全组件提供的安全特征。作为对此类带外安全特征的增强，本文描述的实施例提供了在认证故障的情况下阻止装置引导的加密固件组件。

由本文描述的实施例解决的另一安全漏洞技术是计算系统中的存储器的互换。换句话说，为了绕过计算装置上存储装置的加密，未授权用户可改变或关上计算装置上的用户可替换存储硬件。在一些情况下，存储装置可被刷写，但刷写的备选(或除此之外)的是，替换的存储硬件可以是计算系统的内部硬盘驱动器或其它存储介质。本文描述的实施例通过在执行引导加载程序代码之前在引导序列中执行生物统计认证检查，解决了这种类型的漏洞。

由本文描述的实施例解决的另一安全漏洞技术是，禁用实施为可选ROM中代理的安全特征。例如参见Ortega等人的“De-Activate the RootKit: Attacks on BIOS Anti-theft Technologies”(Black Hat Briefings 2009 USA. Las Vegas, NE. July 30, 2009)。这些特征不作为与计算系统的BIOS关联的安全预OS处理中的可信计算基础的一部分运行，而是在由第三方提供的可选ROM的后期引导处理期间加载。作为对此类基于ROM的安全特征的增强，所描述的实施例提供了在认证故障的情况下阻止装置引导的加密固件组件。因而，阻止了对可选ROM的未授权访问。