[發(fā)明專利]引導(dǎo)固件沙箱化在審
| 申請?zhí)枺?/td> | 201980061975.6 | 申請日: | 2019-09-16 |
| 公開(公告)號: | CN112740211A | 公開(公告)日: | 2021-04-30 |
| 發(fā)明(設(shè)計)人: | C·T·卡倫貝格;R·沃杰茨祖科;X·S·科瓦;A·J·菲什 | 申請(專利權(quán))人: | 蘋果公司 |
| 主分類號: | G06F21/57 | 分類號: | G06F21/57;G06F21/53;G06F9/4401;G06F12/14 |
| 代理公司: | 北京市金杜律師事務(wù)所 11256 | 代理人: | 黃倩 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 引導(dǎo) 固件沙箱化 | ||
1.一種具有存儲于其中的程序指令的非暫態(tài)計算機(jī)可讀介質(zhì),所述程序指令能夠由計算設(shè)備執(zhí)行以使所述計算設(shè)備執(zhí)行包括以下項(xiàng)的操作:
由引導(dǎo)加載程序啟動引導(dǎo)序列以加載所述計算設(shè)備的操作系統(tǒng);
由所述引導(dǎo)加載程序檢測將在所述引導(dǎo)序列期間執(zhí)行的外圍設(shè)備的固件以初始化所述外圍設(shè)備以供所述計算設(shè)備使用;以及
響應(yīng)于所述檢測,由所述引導(dǎo)加載程序?qū)嵗瘜⑺龉碳c所述引導(dǎo)加載程序隔離的沙箱。
2.根據(jù)權(quán)利要求1所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
從包括在所述外圍設(shè)備中的選項(xiàng)只讀存儲器(OROM)加載所述固件;以及
在所述引導(dǎo)序列期間執(zhí)行所述固件以初始化所述外圍設(shè)備。
3.根據(jù)權(quán)利要求1所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
由所述引導(dǎo)加載程序?qū)⒁粋€或多個存儲器地址范圍分配給所述固件;以及
通過所述沙箱限制所述固件訪問未包括在所分配的一個或多個存儲器地址范圍中的存儲器地址。
4.根據(jù)權(quán)利要求3所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
由所述引導(dǎo)加載程序?qū)⒋鎯ζ鞯囊粋€或多個頁面分配給所述固件,其中所述一個或多個存儲器地址范圍包括對應(yīng)于所述一個或多個頁面的范圍。
5.根據(jù)權(quán)利要求3所述的計算機(jī)可讀介質(zhì),其中所述分配包括將所述外圍設(shè)備的存儲器映射的輸入/輸出(MMIO)地址范圍分配給所述固件;并且
其中所述限制包括防止所述固件訪問所述計算設(shè)備的另一外圍設(shè)備的MMIO地址。
6.根據(jù)權(quán)利要求3所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
服務(wù)來自所述外圍設(shè)備的指定所述一個或多個存儲器地址范圍內(nèi)的地址的直接存儲器訪問(DMA)請求;以及
阻止來自所述外圍設(shè)備的指定所述一個或多個地址范圍之外的地址的直接存儲器訪問(DMA)請求。
7.根據(jù)權(quán)利要求1所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
在內(nèi)核模式下執(zhí)行所述引導(dǎo)加載程序,在所述內(nèi)核模式下,所述引導(dǎo)加載程序以一組不受限制的權(quán)限來執(zhí)行;并且
其中所述實(shí)例化包括使得所述固件在應(yīng)用程序模式下執(zhí)行,使得所述固件以一組受限的權(quán)限執(zhí)行。
8.根據(jù)權(quán)利要求7所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
由所述沙箱接收來自所述固件的使所述引導(dǎo)加載程序執(zhí)行操作的請求;
響應(yīng)于接收到所述請求,由所述沙箱調(diào)用系統(tǒng)調(diào)用,以使所述計算設(shè)備的處理器轉(zhuǎn)變?yōu)樵谒鰞?nèi)核模式下執(zhí)行所述引導(dǎo)加載程序;以及
響應(yīng)于確定允許所述固件請求所述操作,由所述引導(dǎo)加載程序執(zhí)行所述操作。
9.根據(jù)權(quán)利要求7所述的計算機(jī)可讀介質(zhì),其中所述操作包括:
由所述沙箱接收來自所述引導(dǎo)加載程序的使所述固件執(zhí)行操作的請求;以及
響應(yīng)于接收到所述請求,由所述沙箱調(diào)用系統(tǒng)返回,以使所述計算設(shè)備的處理器轉(zhuǎn)變?yōu)樵谒鰬?yīng)用程序模式下執(zhí)行所述固件。
10.根據(jù)權(quán)利要求1所述的計算機(jī)可讀介質(zhì),其中所述引導(dǎo)加載程序支持能夠用于傳送數(shù)據(jù)的多個統(tǒng)一可擴(kuò)展固件接口(UEFI)協(xié)議;并且
其中所述操作包括:
由所述沙箱將所述固件限制為僅使用所支持的多個UEFI協(xié)議的子集。
11.一種方法,包括:
由引導(dǎo)加載程序執(zhí)行引導(dǎo)序列以初始化計算設(shè)備的操作系統(tǒng);
在所述引導(dǎo)序列期間:
由所述引導(dǎo)加載程序檢測加載到所述計算設(shè)備的外圍設(shè)備的存儲器中的設(shè)備驅(qū)動程序;以及
由所述引導(dǎo)加載程序?qū)嵗诚湟詫⑺鲈O(shè)備驅(qū)動程序的執(zhí)行與所述引導(dǎo)加載程序的執(zhí)行隔離。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于蘋果公司,未經(jīng)蘋果公司許可,擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201980061975.6/1.html,轉(zhuǎn)載請聲明來源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計算機(jī)或計算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計算機(jī)系統(tǒng)或計算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 引導(dǎo)裝置及引導(dǎo)方法
- 引導(dǎo)系統(tǒng)以及引導(dǎo)方法
- 引導(dǎo)裝置、引導(dǎo)方法以及引導(dǎo)程序
- 車輛引導(dǎo)裝置、車輛引導(dǎo)方法和車輛引導(dǎo)程序
- 移動引導(dǎo)系統(tǒng)、移動引導(dǎo)裝置、以及移動引導(dǎo)方法
- 引導(dǎo)裝置、引導(dǎo)方法以及引導(dǎo)程序
- 路徑引導(dǎo)裝置、路徑引導(dǎo)方法以及路徑引導(dǎo)程序
- 引導(dǎo)方法及引導(dǎo)系統(tǒng)
- 引導(dǎo)裝置、引導(dǎo)方法以及引導(dǎo)程序
- 引導(dǎo)系統(tǒng)、引導(dǎo)裝置和引導(dǎo)系統(tǒng)的控制方法
- 一種基于內(nèi)存頁主動合并技術(shù)的沙箱并發(fā)方法及系統(tǒng)
- 基于應(yīng)用程序虛擬化的安卓存儲應(yīng)用沙箱及通信方法
- 一種安全的虛擬化業(yè)務(wù)流程跟蹤方法
- 基于區(qū)塊鏈智能合約實(shí)現(xiàn)的智能防偽裝置及溯源防偽方法
- 一種面向業(yè)務(wù)環(huán)境的智能化內(nèi)外雙層沙箱管理系統(tǒng)
- 一種基于沙箱的文檔分布式基線化系統(tǒng)及導(dǎo)入和分發(fā)方法
- 一種基于容器技術(shù)的輕量級網(wǎng)絡(luò)沙箱設(shè)置方法
- 引導(dǎo)固件沙箱化
- 一種APP的檢測方法、裝置、設(shè)備及存儲介質(zhì)
- 一種云化插件式漏洞響應(yīng)的蜜網(wǎng)架構(gòu)實(shí)現(xiàn)方法
