技術領域

本公開涉及安全數據保護，并且更具體地，涉及在系統預引導期間具有改進的只讀存儲器鎖定的安全數據保護，包括對高級配置和電源接口（ACPI）表的保護。

背景技術

隨著計算機平臺變得更加復雜，包括基本輸入/輸出系統（BIOS）和BIOS到操作系統（OS）通信例程的軟件正在越來越多地成為攻擊的目標。這些攻擊可能以高級配置和電源接口（ACPI）表、統一可擴展固件接口（UEFI）運行時服務以及其他敏感數據為目標。當前的計算系統典型地在系統引導和/或OS加載完成之前不提供對該敏感代碼和數據可駐留于其中的系統存儲器的保護。因為ACPI代碼可以在OS開始執行后在內核模式中運行，所以對ACPI的惡意修改可能產生顯著的安全易損壞性，且可能實現對原始設備制造商（OEM）OS圖像的盜版。

附圖說明

隨著以下具體實施方式繼續并且在參照附圖后，要求保護的主題的實施例的特征和優點將變得顯而易見，在附圖中，相似的數字描繪相似的部分，并且在附圖中：

圖1圖示了根據本公開的一個示例性實施例的頂級系統圖；

圖2圖示了根據本公開的一個示例性實施例的框圖；

圖3圖示了根據本公開的示例性實施例的操作的流程圖；

圖4圖示了根據本公開的另一示例性實施例的操作的流程圖；

圖5圖示了根據本公開的另一示例性實施例的操作的流程圖。

盡管以下具體實施方式將在對說明性實施例做出參照的情況下繼續，但是對其的許多替代、修改和變型對于本領域技術人員來說將顯而易見。

具體實施方式

總體而言，本公開提供了用于在系統預引導期間具有改進的只讀存儲器鎖定的安全數據保護的方法和系統，所述安全數據保護包括對高級配置和電源接口（ACPI）表的保護。在上電或系統重置時，可信軟件和/或硬件可以選擇系統存儲器的區域以進行保護。可信硬件可以是可信控制塊（TCB），并且可信軟件可以是可信BIOS。可以對地址解碼器電路進行編程以將所選區域配置為讀寫，使得要保衛的敏感數據可以被移動到系統存儲器的所選區域中。在移動數據之后，可以對地址解碼器電路進行重新編程以將所選區域配置為只讀。然后，可以鎖定地址解碼器電路，以防止所選存儲器區域的狀態的后續改變，除非系統被重置。因此，鎖定可以防止非可信代碼意外地或惡意地更改系統存儲器的受保護區域，所述非可信代碼包括進一步預引導和引導操作以及OS。

圖1圖示了根據本公開的一個示例性實施例的頂級系統圖100。該系統可以包括系統存儲器102、地址解碼電路112、以及被配置為執行預引導操作114、引導操作116和OS操作118的處理器120。可以通過地址解碼電路112的配置將系統存儲器分段成不受保護區域104和受保護區域106，如將在下文中更詳細描述的那樣。存儲器的受保護區域106可以加載有ACPI表108和要在預引導操作114期間通過可信BIOS代碼保衛的其他敏感數據110。在一些實施例中，該其他敏感數據110可以包括統一可擴展固件接口（UEFI）運行時服務。然后，可以在例如在引導116和OS?118中將控制轉移到非可信代碼之前將存儲器的受保護區域106鎖定到只讀模式中。在一些實施例中，OS操作可以包括測量虛擬機監視器（MVMM）和要在OS支持的情況下執行的應用。

圖2圖示了示出根據本公開的示例性實施例的附加細節的框圖200。圖1的處理器120可以是任何數目的處理器核心208中的一個，每個處理器核心208可以包括處理器高速緩沖存儲器控制器214和/或集成的存儲器控制器212。處理器208可以與一個或多個系統存儲器模塊102通信，每個系統存儲器模塊102可以包括本地存儲器設備控制器206。存儲器控制器214、212和206中的每一個還可以分別包括關聯的地址解碼電路112a、112b和112c。