[发明专利]安全初始程序加载

说明书

执行计算环境的系统组件的初始程序加载。确定与系统组件相关的一个或多个已签名的二进制代码组件的一个或多个签名是否被验证。基于确定所述一个或多个签名被验证，执行附加验证。附加验证包括获得与系统组件相关的一个或多个二进制代码组件中的选择二进制代码组件，以及确定该选择二进制代码组件是否是特定的已签名的二进制代码组件。基于确定该选择二进制代码组件是特定的已签名的二进制代码组件，执行检查。基于成功的检查而继续初始程序加载。

背景技术

一个或多个方面一般涉及计算环境内的处理，尤其涉及计算环境内的安全处理。

安全处理在处理的许多方面是谨慎的。为了在一个或多个方面中帮助提供安全性，已经开发了通用标准。通用标准提供了如下保证：计算机安全产品的规范、实现和评估的过程已经以严格、标准和可重复的方式在与其目标使用环境相对应的水平上进行。至少在美国，负责实现通用标准的一个组织是国家信息保障伙伴关系(NIAP)。NIAP提供一种方法来证明产品或过程满足某些安全标准，并且在成功完成时，证明被准许，这里称为通用标准证明。

通用标准的要求随时间而改变。例如，已经添加了用于通用标准认证的新的操作系统保护简档，其现在需要支持安全引导。安全引导是用于确保设备仅使用原始设备制造商(OEM)所信任的软件来引导的安全标准。它有助于抵抗恶意软件的攻击和感染。为了符合通用标准认证，将使用安全引导的形式。

发明内容

通过提供一种用于促进计算环境内的处理的计算机程序产品，克服了现有技术的缺点，并提供了附加的优点。该计算机程序产品包括可由处理电路读取并且存储用于执行方法的指令的计算机可读存储介质。该方法包括执行计算环境的系统组件的初始程序加载。执行初始程序加载包括确定与系统组件相关的一个或多个已签名的二进制代码组件的一个或多个签名是否被验证。基于确定一个或多个签名被验证，执行附加验证。执行附加验证包括获得与系统组件有关的一个或多个二进制代码组件中的选择二进制代码组件，以及确定选择二进制代码组件相对于一个或多个二进制代码组件是否是特定的已签名的二进制代码组件。基于确定选择二进制代码组件是特定的已签名的二进制代码组件，执行检查。基于成功的检查，继续执行初始程序加载。

提供了诸如内核的系统组件的安全初始程序加载，增强了计算环境内的安全性并促进该环境内的处理。

在一个实施例中，一个或多个二进制代码组件包括一个或多个已签名的二进制代码组件和一个或多个未签名的二进制代码组件，并且一个或多个二进制代码组件是无序的。由于不要求顺序，封装是灵活的并且不太复杂。这使得能够添加附加的设备组件等。

作为一个示例，一个或多个签名与一个或多个已签名的二进制代码组件分开存储。这增强了安全性。

在一个示例中，获得选择二进制代码组件包括基于控制位置中的指针来选择该选择二进制代码组件。控制位置例如是程序状态字。

作为一个示例，执行检查包括确定指针是否指向其自身，其中基于指针指向其自身，检查是成功的。

此外，在一个示例中，基于成功的检查，有效指示符被设置为选择值。

在一个实施例中，继续执行初始程序加载包括获得另一个二进制代码组件；基于获得另一个二进制代码组件，确定有效指示符是否被设置为选择值；以及基于确定有效指示符被设置为选择值，基于存在其他二进制代码组件要处理来重复获得和确定。

在一个示例中，继续执行初始程序加载包括：基于确定有效指示符被设置为与选择值不同的值来终止初始程序加载。

在一个示例中，执行附加验证还包括：确定是否要执行安全初始程序加载；以及基于确定要执行安全初始程序加载，执行确定二进制代码组件相对于该一个或多个二进制代码组件是否是特定的已签名的二进制代码组件。

作为示例，特定的已签名的二进制代码组件是该一个或多个二进制代码组件中的第一已签名的二进制代码组件。此外，作为示例，系统组件是内核。