高インテグリティファームウェア
【課題】タグ付きメモリが利用可能であるか否かを判断する技術を提供する。
【解決手段】タグ付きメモリが利用可能であるという判断に応答して、拡張可能ファームウェアインタフェース(EFI)システムが実施されているか否かを判断する。EFIシステムが実施されているという判断に応答して、EFIランタイムコードおよびデータに対して複数のオブジェクト記述子を割り当てし、ランタイム時に使用するために、1つ以上の呼び出しポイントを非タグ付きメモリからタグ付きメモリに供給する。
【解決手段】タグ付きメモリが利用可能であるという判断に応答して、拡張可能ファームウェアインタフェース(EFI)システムが実施されているか否かを判断する。EFIシステムが実施されているという判断に応答して、EFIランタイムコードおよびデータに対して複数のオブジェクト記述子を割り当てし、ランタイム時に使用するために、1つ以上の呼び出しポイントを非タグ付きメモリからタグ付きメモリに供給する。
【発明の詳細な説明】
【背景技術】
【0001】
オペレーティングシステムは、リソースに対する様々なアクセスレベルを供給する。アクセスレベルは、「リング」に関連付けられうる。たとえば、リング0は、一般的に、最も多くの特権を有するアクセスレベルである。他のリングには、リング1、リング2、およびリング3が含まれる。動作時に、たとえば、高い番号の付いたリング(例、リング3)で実行されるプログラムは、一般的に、低い番号の付いたリング(例、リング0)に制限されるリソースであるネットワークへのアクセスをリクエストするとする。リングの使用は、リング1において実行される、誤ったまたは悪意のあるソフトウェア(例、スパイウェア)が、デバイスドライバ用に用意されるリング0機能により実行されうる、損害を与えるようなオペレーション(例、コンピュータ上のパスワードにアクセスする)を実行することを阻止することを目的とする。
【0002】
拡張可能ファームウェアインタフェース(EFI)システムは、パワーオンセルフテスト(POST)プロセス、オペレーティングシステムのブートストラッピング、およびオペレーティングシステムと物理ハードウェア間にインタフェースを供給することに対して責任のあるシステムとして説明しうる。
【0003】
図1は、EFIランタイムメモリの脆弱性を示す従来技術のシナリオを示す。オペレーティングシステム100(例、Windows(登録商標)NT3.1からWindows(登録商標)Vista(登録商標)オペレーティングシステムを含むマイクロソフト社のWindows(登録商標)オペレーティングシステム)は、リング0 110のアクセスレベルを含む。オペレーティングシステム(OS)カーネル120、ハードウェアアブストラクションレイヤ122(すなわち、HAL.DLL)、およびサービス呼び出し124は、リング0 110のアクセスレベルを有する。さらに、実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ126(例、EFIランタイムコードおよびデータ)は、オペレーティングシステム100の最も特権のあるオペレーティングモードであるリング0に、ともに置かれる。
【0004】
特に、プラットフォームファームウェア150は、EFIランタイムドライバ1 160、EFIランタイムドライバ2 162、EFIランタイムドライバ3 164を含む。EFIラインタイムドライバ160、162、および164のイメージは、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス170からのデータ180も、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。EFIランタイムドライバイメージ126は、EFIブートサービスおよびランタイムコンポーネントを含み、また、オプションの読み出し専用メモリ(ROM)を有しうる。読み出し専用データはROM内にあるので、ROMは、ROMにおけるコードの破損を阻止するのに有用である。ROMは、ROM内のコードの長期インテグリティを保つのに有用であるが、一旦コードがROMからメモリ内にロードされると、メモリに移されたイメージのインテグリティは疑わしくなる。
【0005】
OSカーネル120とともに、EFIランタイムドライバイメージ126をリング0 110アクセスレベルに有することによって、OSカーネル120からのEFIランタイムコードの効率のよい起動を可能にするが、これは、EFIランタイムドライバイメージ126を、OSカーネル120内の誤ったまたは悪意のあるコンポーネントにさらすことになる。つまり、OSカーネル120内の誤ったまたは悪意のあるコンポーネントが、EFIランタイムドライバイメージ126にアクセスして破損してしまいうる。したがって、図1は、任意のリング0エージェントがEFIランタイムコードおよびデータを破損してしまう方法を示す。
【0006】
これは、出版業において最近多発している「ルートキット」によって注目されてきている懸案事項である。ルートキットは、コンピュータへの管理者レベルのアクセスを可能にする1つ以上のプログラムとして説明しうる。一般的に、無許可のユーザ(例、「攻撃者」)が、最初にユーザレベルのアクセスを取得後、ルートキットをコンピュータにインストールする。一旦ルートキットがインストールされると、ルートキットによって、攻撃者は命令をマスクし、コンピュータに対して特権的アクセスを得ることができるようになる。たとえば、ルートキットは、メモリ内のコードおよびデータを破損することのできるカーネルモードウィルスでありうる。
【0007】
ランタイム「ルートキット」問題に関する実際のデータがあり、これは、単にセキュリティ/コンテンツ保護/デジタル権利管理(DRM)問題だけではない。つまり、ルートキットは、セキュリティ/コンテンツ保護/デジタル権利管理(DRM)に関して懸念事項のあるシステムだけでなくどのシステムにも悪影響を及ぼすことができるのである。ルートキット使用人口は増加している。一部では、これは、ルートキットに含まれうるアドウェアおよびスパイウェアをサポートする経済的動機があることによる。ルートキットは、社会における技術的な課題である。特に、ルーツキットは、現在のスパイウェア防止プロダクトを打破してしまうからである。ルートキットを削除し、コンピュータを回復するために顧客を案内するには数時間かかる場合がある。たとえば、ルートキットのセーフモード削除には12を越える作業がある場合がある。さらに、ドライバをブートするよう動作する新たな悪意のあるドライバがある。つまり、オペレーティングシステム起動の最も初期の段階が影響を受けている。一方で多くのアンチウイルスおよび他の保護ソフトウェアは、オペレーティングシステム処理のもっと後において起動する。
【0008】
今日において、ランタイムファームウェアは、システム管理モード(SMM)により保護されうる。SMMは、特定のIntel(登録商標)マイクロプロセッサの1つのモードとして説明しうるが、このモードでは、コード(例、オペレーティングシステム)の正常実行はサスペンドされ、特別な別個のソフトウェア(例、ファームウェア)は高特権モードで実行される。
【0009】
したがって、当該技術において、改善された高インテグリティファームウェアが必要である。
【図面の簡単な説明】
【0010】
【図1】EFIランタイムメモリの脆弱性を示す従来技術のシナリオを示す図である。
【図2】特定の実施形態によるコンピュータデバイス200の詳細を示す図である。
【図3】特定の実施形態による、EFIランタイムドライバイメージを保護する方法を示す図である。
【図4】特定の実施形態によるタグ付きメモリの使用の一例を示す図である。
【図5】特定の実施形態による、オブジェクト記述子およびタグ付きメモリを示す図である。
【図6】特定の実施形態による、メモリ内に格納されたEFIイメージを示す図である。
【図7】特定の実施形態によるタグ付きメモリの使用のもう1つの例を示す図である。
【図8】特定の実施形態による、EFIランタイムコードおよびデータを保護するようEFIランタイムコンポーネントにより実行される論理を示す図である。
【図9】特定の実施形態による、EFIコンポーネントを保護する方法の一例を示す図である。
【図10】特定の実施形態による、プレEFI初期化(PEI)、ドライバ実行環境(DXE)、およびEFI実行フェーズを示す図である。
【図11】特定の実施形態による、プレブートのためのタグ付きメモリの使用を示す図である。
【図12】特定の実施形態による、プレブート処理のための論理を示す図である。
【発明を実施するための最良の形態】
【0011】
同様の参照番号は対応する部分を示す図面を参照する。
【0012】
以下の説明において、本願の一部を形成し、且つ、幾つかの実施形態を説明する添付図面を参照する。他の実施形態を使用してもよく、また構造的および動作的な変更を加えてもよい。
【0013】
図2は、特定の実施形態によるコンピュータデバイス200の細部を示す。コンピュータデバイス200(例、ホストコンピュータ)は、1つ以上の中央演算処理ユニット(CPU)204(すなわち、プロセッサ)、揮発性メモリ206、不揮発性ストレージ208(例、磁気ディスクドライブ、光ディスクドライブ、テープドライブなど)、および1つ以上のネットワークアダプタ240を含む。1つ以上のネットワークアダプタ240は、通信路270(例、ネットワーク)に結合されるとも言える。
【0014】
メモリ206は、OSカーネル212を含むオペレーティングシステム210を格納する。メモリ206はさらに、EFIランタイムコンポーネント230を格納する。特定の実施形態では、EFIランタイムコンポーネント230は、ファームウェアとして実装される。特定の他の実施形態では、EFIランタイムコンポーネント230は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの一部の組み合わせとして実施されうる。メモリ206の一部は、タグ付きメモリ232である。タグ付きメモリ232は、プレOSファームウェアによりポピュレートされ、EFIランタイムドライバのタイプであるドライバイメージを含むメモリとして説明しうる。タグ付きメモリ232は、オブジェクト記述子233を含む。オブジェクト記述子233は、オペレーション(例、非ファームウェアエージェントがタグ付きメモリにアクセスすることを阻止する)を実行することのできる「スマート」メモリとして説明しうる。メモリ206の一部は非タグ付きメモリ(例、オペレーティングシステム210およびOSカーネル212は非タグ付きメモリ内にある)である。メモリ206はさらに、キャッシュアズRAM(Cache-as-RAM)234を含む。1つ以上のドライバ220(例、ストレージドライバまたはネットワークドライバ)と、1つ以上のアプリケーションプログラム224がメモリ206に格納されてもよく、また、ネットワーク270を介してリモートコンピュータデバイス(例、ホストコンピュータまたはストレージシステム)に対してパケットを伝送または取り出しすることができる。
【0015】
コンピュータデバイス200は、メインフレーム、サーバー、パーソナルコンピュータ、ワークステーション、ラップトップ、ハンドヘルドコンピュータ、電話機デバイス、ネットワークアプライアンス、仮想化デバイス、ストレージコントローラなどといった任意の好適なコンピュータデバイスを含みうる。任意の好適なCPU204およびオペレーティングシステム210を使用しうる。メモリ206内のプログラムおよびデータは、メモリ管理オペレーションの一部としてストレージ208内にスワップされうる。
【0016】
ネットワーク270は、たとえば、ストレージエリアネットワーク(SAN)、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、およびイントラネットなどといった任意のタイプのネットワークでありうる。
【0017】
各ネットワークアダプタ240は、ネットワークアダプタ240のハードウェアとして実装される様々なコンポーネントを含む。各ネットワークアダプタ240は、ネットワーク270を介してデータパケットを送受信することができる。
【0018】
各ドライバ220は、メモリ206内で実行し、また、各ネットワークアダプタ240と通信し、オペレーティングシステム210と各ネットワークアダプタ240との間をインタフェースするためのネットワークアダプタ240固有コマンドを含む。各ネットワークアダプタ240またはドライバ220は、伝送制御プロトコル(TCP)および/またはインターネットプロトコル(IP)、インターネットスモールコンピュータシステムインタフェース(iSCSI)(IETF RFC2347、2003年2月)、ファイバーチャネル(米国規格協会(ANSI)X3.269−199X、改訂012版、2995年12月4月)、または任意の他の好適なトランスポート層プロトコルといった、トランスポート層内にラップされるパケットに含まれるメッセージコンテンツを処理するトランスポートプロトコル層といった、パケットを処理する論理を実装する。
【0019】
ストレージ208は、内部ストレージデバイス、または、付属或いはネットワークアクセス可能なストレージを含みうる。ストレージ208内のプログラムは、メモリ206内にロードされ、CPU204により実行されうる。入力装置250は、CPU204にユーザ入力を供給するよう使用され、キーボード、マウス、ペン−スタイラス、マイクロホン、タッチディスプレイスクリーン、または任意の好適な作動または入力メカニズムを含みうる。出力装置252は、ディスプレイモニタ、プリンタ、ストレージなどのように、CPU204、または他のコンポーネントから転送された情報をレンダリングすることができる。
【0020】
様々な構造および/またはバッファ(図示せず)は、メモリ206内に存在するか、または、特定の実施形態では、メモリ206とは別個のストレージユニット内に位置付けられうる。
【0021】
特定の実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータデバイス200のシステムボード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、システムボードに結合されるとも言える。代替実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータシステム200のシステムボード上の拡張カードスロットに挿入されうる拡張カード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、拡張ボードに結合されるとも言える。
【0022】
図3は、特定の実施形態による、EFIランタイムドライバイメージが保護される方法を示す。図3では、オペレーティングシステム210は、リング0 310のアクセスレベルを含む。オペレーティングシステム(OS)カーネル320、ハードウェアアブストラクションレイヤ322(すなわち、HAL.DLL)、およびサービス呼び出し324は、リング0 310のアクセスレベルを有する。さらに、タグ付きメモリ326内の実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ(EFIランタイムコードおよびデータを含む)は、オペレーティングシステム300の最も特権のあるオペレーティングモードであるリング0において、ともに置かれる。
【0023】
特に、プラットフォームファームウェア350は、EFIランタイムドライバ3 360、EFIランタイムドライバ2 362、EFIランタイムドライバ3 364を含む。EFIラインタイムドライバ360、362、および364のイメージは、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス370からのデータ380も、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。
【0024】
図3では、EFIランタイムドライバイメージがリング0 310のアクセスレベルにあるタグ付きメモリ326に格納されているので、OSカーネル320における誤ったまたは悪意のあるコンポーネント(例、オペレーティングシステムにおけるバグ)は、EFIランタイムドライバ360、362、364、または、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージ内の他のコードおよびデータを破損することはできない。しかし、OSカーネル320からのEFIランタイムコードの有効な起動が行われうる。したがって、図3は、実施形態が、EFIランタイムコードおよびデータを破損しないよう保護する方法を示す。
【0025】
図4−7は、特定の実施形態による新たなCPU機能を示す。
【0026】
図4は、特定の実施形態によるタグ付きメモリの使用の一例を示す。凡例490は、サンプルタグとその意味を示す。4つのタグを示すが、他のタグも実施形態の範囲内である。中央演算処理ユニット(CPU)400は、制御ユニット410と、算術論理演算ユニット(ALU)412を含む。特殊レジスタ420は、オブジェクト記述子であることを示すタグ423を有するスタック記述子レジスタ422と、スタックポインタ(SP)レジスタ424と、オブジェクト記述子であることを示すタグ427を有するデータ記述子レジスタ426と、オブジェクト記述子であることを示すタグ429を有するコード記述子レジスタ428と、命令ポインタ430を含む。汎用レジスタ440は、オブジェクト記述子であることを示すタグ443を有するオブジェクト記述子442と、初期化されていないレジスタまたはメモリワードであることを示すタグ445を有する非初期化要素444と、初期化されたレジスタまたはメモリワードであることを示すタグ447を有するデータ446を含む。メモリ470は、スタック472、データ474、およびコード476を含む。メモリ470はさらにタグ480を含む。タグ480は、特殊レジスタ420および汎用レジスタ440に関連付けられるタグに対応する。
【0027】
図5は、特定の実施形態によるオブジェクト記述子500とタグ付きメモリ570を示す。オブジェクト記述子500は、タグ付きメモリ570内、任意のCPUのレジスタ上、および仮想メモリ(VM)内のどこにおかれてもよい。オブジェクト記述子500は、タグ510(例、タグビット)を含み、アクセス権512、オブジェクトサイズ514、およびメモリ570へのポインタ516を供給することにより、1つのオブジェクトの記述をメモリに入れる。タグ510は、記述子500がオブジェクト記述子であることを示す。オブジェクト記述子500は、(任意のサイズチェックなしのVMのページごとのコントロールに比べて)高級言語セマンティクスに近い、読み出し(「R」)、書き込み(「W」)、実行(「X」)に対しファイングレインアクセスコントロールを供給する。特定の実施形態では、トラステッド・コンピューティング・ベース(TCB)(ハードウェアおよびソフトウェアコンポーネントの両方を有する)だけが、オブジェクト記述子500の内容を初期化し、変更しうる。トラステッド・コンピューティング・ベースは、信頼されるべき最小量のコードとして説明しうる(例、これらの初期のオブジェクト記述子を設定する場合、TCBは初期化ブートファームウェアを含みうる)。
【0028】
アプリケーションは、(たとえば、ロード、ストア、ジャンプ、および呼び出しなどのために)そのアプリケーションが利用可能なオブジェクト記述子を介してメモリ570に(直接的および間接的に)アクセスしうる。特定の実施形態においてハードウェアは各アクセスを制御し、アクセス権またはオブジェクトサイズ違反がある場合にはインタラプトを生成する。
【0029】
図6は、特定の実施形態による、メモリ570内に格納されるEFIイメージ600を示す。特定の実施形態では、EFIイメージは、ポータブルエグゼクタブルおよびオブジェクトの共通ファイル形式(Portable Executable and Common Object File Format:PE/COFF)実行ファイルである。様々なオブジェクト記述子をEFIイメージの様々な部分に割り当てしうる。一例として、EFIイメージ600は、プレOS、EFIのブートサービスフェーズの間に起動され、OSカーネル212と同格に存在し続けるRuntimeServices.efi実行ファイルでありうる。
【0030】
図7は、特定の実施形態によるタグ付きメモリの使用のもう1つの例を示す。図7では、中央演算処理ユニット(CPU)700は、制御ユニット710と、算術論理演算ユニット(ALU)712を含む。汎用レジスタ740は、オブジェクト記述子であることを示すタグ743を有するオブジェクト記述子742と、初期化されていないレジスタまたはメモリワードであることを示すタグ745を有する非初期化要素744と、初期化されたレジスタまたはメモリワードであることを示すタグ747を有するデータ746を含む。メモリ770は、コード、データ、オブジェクト記述子、および非初期化部分を含む。メモリ770はさらに、タグ780を含む。
【0031】
図8は、特定の実施形態による、EFIランタイムコードおよびデータを保護するようEFIランタイムコンポーネント230により実行される論理を示す。制御は、工程800において、(例、電源スイッチがオンの状態であったため)システムが再起動することにより開始する。「システム」とは、コンピューティングプラットフォームを指す。工程802では、システムは初期化される。工程804では、EFIランタイムコンポーネント230は、タグ付きメモリ232が利用可能であるか否かを判断する。利用可能である場合は、処理は工程806に進み、利用可能ではない場合は、処理は工程812に進む。
【0032】
工程806では、EFIランタイムコンポーネント230は、EFIシステムが実装されているか否かを判断する。実装されている場合は、処理は工程808に進み、実装されていない場合は、処理は工程812に進む。工程808では、EFIランタイムコンポーネント230は、EFIランタイムコードおよびデータに対するオブジェクト記述子を割り当てる。各オブジェクト記述子は、それがオブジェクト記述子であることを示すタグを含む。工程808の処理には、EFIランタイムコンポーネント230が各レジスタを初期化して、そのレジスタが初期化されたか、初期化されていないかを示すか、またはオブジェクト記述子を格納するタグを含むことが含まれる。工程810では、EFIランタイムコンポーネント230は、ランタイム時に使用するために、非タグ付きメモリからの1つ以上の呼び出しポイントをタグ付きメモリに供給する。たとえば、図3では、ハードウェアアブストラクションレイヤ322は、非タグ付きメモリ内にあるが、実行可能EFIランタイムドライバイメージ326は、タグ付きメモリ内にあるので、サービス呼び出し324は、非タグ付きメモリからタグ付きメモリへの呼び出しポイントとして説明しうる。呼び出しポイントは、EFIランタイムサービス呼び出しといったようにパブリックに記述される関数呼び出しとして説明しうる。
【0033】
工程812では、EFIランタイムコンポーネント230は、プレオペレーティングシステム処理またはブートシステム処理を完了する。したがって、工程800−812は、ブートフェーズを表し、一方、工程814−822は、ランタイムフェーズを表す。
【0034】
工程814では、1つ以上のオブジェクト記述子233は、非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みているか否かを判断する。非ファームウェアエージェントは、プラットフォームファームウェア/プラットフォームROMからロードされていないコードとして説明しうる。非ファームウェアエージェントは、以下に限定されないが、OSエグゼクティブまたはカーネルモードドライバ/サービスの一コンポーネントを含みうる。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みている場合は、処理は工程816に進む。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みていない場合は、処理は工程822に進む。工程816では、1つ以上のオブジェクト記述子233が、アクセスされるタグ付きメモリ232に関連付けられるオブジェクト記述子内のアクセス権に基づいて非ファームウェアエージェントがタグ付きメモリ232にアクセスすることができるか否かを判断する(すなわち、タグ付きメモリ232が、EFIランタイムドライバイメージの正当なメモリロケーションであるか否かを判断する)。アクセスすることができる場合は、処理は工程818に進み、アクセスすることができない場合は、処理は工程820に進む。工程818では、EFIランタイムコンポーネント230は、タグ付きメモリ232に対する非ファームウェアエージェントからのアクセスオペレーションを処理し、結果を受信し、また、その結果を戻す。特定の実施形態では、これは、EFIランタイムコンポーネント230と非タグ付きOSカーネル212間の仲介として動作するスタブ(すなわち、(EFIランタイムコンポーネント230の一部である)EFIランタイムコードの特定の非タグ付き部分がある)を介して発生する。工程820では、1つ以上のオブジェクト記述子233は、誤ったまたは悪意のある呼び出しをするコーラー(caller)でありうる非ファームウェアエージェントによるタグ付きメモリ232へのアクセスを阻止する。工程822では、処理は続けられ、非ファームウェアがEFIランタイムタグ付きメモリ232へのアクセスを試みようとする場合に、処理を工程814に戻す。
【0035】
図9は、特定の実施形態による、EFIコンポーネントを保護する方法の一例を示す。この例では、悪意のあるドライバ3を含むスモールコンピュータシステムインタフェース(SCSI)カード900が、コンピュータシステムに差し込まれる可能性がある。図9の例では、EFIを実装するフレームワークは、2つの主なフェーズを含む。1つは、プレEFI初期化(PEI)フェーズであり、もう1つはドライバ実行環境(DXE)フェーズである。プレEFI初期化フェーズは、複数のPEIモジュールA、B、およびCにより行われる。ドライバ実行環境フェーズは、複数のドライバ、すなわち、DXEドライバ1およびDXEドライバ2により行われる。メモリ910のプラットフォーム初期化部は、PEIモジュールおよびDXEドライバとは別個にタグ付きメモリ内に格納されるEFIコアフレームワークを含む。EFIコアフレームワークは、EFIフレームワーク、DXEフレームワーク、およびPEIフレームワークを含む。
【0036】
図10は、特定の実施形態による、PEI、DXE、およびEFI実行のフェーズ1000を示す。実施形態では、PEIフレームワーク、DXEフレームワーク、およびEFIフレームワークは、タグ付きメモリ内に置かれ、一方、PEIモジュール、DXEドライバ、およびEFIアプリケーションおよびライブラリは、非タグ付き(「通常」)メモリ内に置かれる。特定の実施形態では、「信頼」され、TCBの一部であるプラットフォームファームウェアからのコードは、EFIランタイムタグ付きメモリ内に入れられる。これは、システムボードベンダからのコードが、第三者のアダプタカードなどからロードされるドライバから分離されることを可能にする。この同様の分離は、EFIランタイムコードがシステムボードから分離され、続けて起動される任意のEFI認識オペレーティングシステムから分離されることが可能であるようランタイムにおいても存在する。したがって、実施形態は、相手先ブランド製造者(OEM)といったシステムボードを供給する当事者が、ボード上のROMに入れられて出荷される当事者のコードが他のプレOSコードまたはOSにより破損/影響を受けないことを確実にすることができる。
【0037】
したがって、図9および10は、実施形態を、オペレーティングシステムの起動の前にファームウェアコンポーネントのフローに適用しうる方法を示す。図9では、ROM内にコアフレームワークを有し、これは、次にEFIランタイムタグ付きメモリにロードされる。図10では、フローの下半分は、タグ付き及び保護されたプレOSフレームワークコードを示す。
【0038】
図11は、特定の実施例による、プレブートのためのタグ付きメモリの使用を示す。制御は、システムがリセットされる工程1100において開始する。ここでは、オペレーティングモードはフラットモード(すなわち、0−4GBマッピングのためのデータ/コードセットを有する保護モード)に設定され、制御は、PEIフレームワークを開始するよう渡される。工程1102では、マシーンコードが実行されてキャッシュアズRAM234が有効にされる。工程1104では、一時的なページ表がキャッシュアズRAM内に作成される。工程1106では、PEIコアと、PEI TCBの一部であり、タグ付きメモリ内にある、認証の実行を支援する任意のPEIモジュール(「PEIコンポーネント」)は、各PEIモジュールを試験し、また、デジタル署名により各PEIモジュールを認証する。工程1108では、PEIコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1110に進み、有効なデジタル署名ではない場合は、処理は工程1112に進む。工程1110では、PEIコンポーネントは、各PEIモジュールに対してタグ付きメモリを割り当てする。工程1112では、PEIコンポーネントは、各PEIモジュールイメージハンドラを安全ではないとマークする。工程1114では、各PEIモジュールは、メインメモリを初期化するよう実行される。
【0039】
図12は、特定の実施例によるプレブート処理の論理を示す。特定の実施形態では、1つ以上のDXEドライバは、EFIランタイムドライバとしてロードされうる。したがって、DXEにおける認証/タグ付けは、OSの存在する実施形態をもたらす。工程1200では、DXEコア/ファウンデーションと、DXE TCBの一部であり、タグ付きメモリ内にある任意のDXE認証ドライバ(「DXEコンポーネント」)は、各DXEドライバを試験し、また、デジタル署名により各DXEドライバを認証する。工程1202では、DXEコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1204に進み、有効なデジタル署名ではない場合は、処理は工程1206に進む。工程1204では、DXEコンポーネントは、各DXEドライバに対してタグ付きメモリを割り当てする。工程1206では、DXEコンポーネントは、DXEドライバイメージハンドラを安全ではないとマークする。工程1208では、オペレーティングシステムブート処理が続行する。
【0040】
実施形態は、プレブートおよびランタイムの両方で高いインテグリティのファームウェアを供給する。実施形態は、コードおよびデータを、同一の特権レベルで動作する他のコードから分離させるよう「機能(capabilities)」または「タグ付きメモリ」を使用する。
【0041】
実施形態は、ROMからロードされたメモリ内イメージのインテグリティを保つのに役立つ。
【0042】
実施形態は、相手先ブランド製造者(OEM)のブートサービスコードが、誤ったプレOSアプリケーションおよびOSローダにより破損されないようにすることを可能にする。本質的に異なる要素が同じロケーションにあることは、いずれは信用および信頼性の問題につながる。特定の実施形態では、オブジェクト記述子を設定するために、図8の工程800−810の論理は、ブートフローの非常に初期、好適には、SECまたはPEIフェーズといった測定のための信頼のコアルート(Core-Root of Trust for Measurement:CRTM)において実行される。CRTMは、トラステッドプラットフォームモジュール(TPM)を開始し、トラステッドコンピューティングプラットフォームのためのトラステッドビルディングブロック(TBB)の一部であるコードとして説明しうる。SECは、次のように説明しうる。すなわち、システム再起動時に実行され、「保護モード」/キャッシュアズRAM初期化を行う非常に初期のコードとして説明しうる。
【0043】
EFIプレブートコアおよびランタイムを対象とするオブジェクト記述子が信頼できないコードにより不安定にされないことを確実にするようフラッシュブロックロックを使用してもよい。つまり、フラッシュメモリは、TCBが制御を他のエージェントに送るときにフラッシュは読み出し専用にされる(すなわち、誰もフラッシュのコンテンツを改ざんすることができない)ことを確実にするようNORフラッシュのハードウェア機能を使用してロックされる。あるいは、ファームウェアに保存されたメモリ、または、初期ブートファームウェアにより供給される他の読み出し専用リソースを使用してもよい。上述したいずれの場合においても、EFIファームウェアは、オブジェクト記述子のストレージのためにファームウェアにより使用されるメモリを、(オペレーティングシステムにメモリマップをリポートするよう基本入力/出力システム(BIOS)でのInt 15h E820呼び出し(詳細設定と電力のインタフェース(Advanced Configuration and Power Interface)(ACPI)仕様、改訂3.0、2004年9月2日)を有する)ACPIメモリマップと、((オペレーティングシステムが不注意にまたは悪意を持ってストアを破損することを回避するための)GetMemoryMap呼び出しを有する)EFIメモリマップの両方において「ファームウェア予約済み(firmware reserved)」としてマークをつける。
【0044】
実施形態は、プラットフォーム展開のブートサービス、プレブートフェーズの間に使用することができる。特に、信用できない、おそらく誤ったオプションROMと、プレブートアプリケーションがありえ、これらに対してプラットフォームファームウェアは保護される。オプションROMは、ホストバスアダプタ(HBA)上のBIOS拡張またはEFIドライバ(すなわち、システムに差し込まれるカード)として説明しうる。それにより、独立ハードウェアベンダは、システムのブートに役立つよう使用することのできるHBAとともにコードを発送しうる。プラットフォームファームウェア/EFIはドライバをロードし、ドライバがドライバサービスをインストールすることを許可する。HBA上のドライバは、場合により信頼できない第三者からくるので、タグ付きメモリ分離を使用して、低インテグリティドライバがプレOS TCBを不安定にさせないようにすることが重要である。
【0045】
実施形態は、拡張性ファームウェアインタフェース(「フレームワーク」)またはフレームワーク標準に準拠して構築される任意の他のファームウェアのためにインテル(登録商標)プラットフォームイノベーションフレームワークのブートサービスPEIおよびDXEファウンデーションを強化する。
【0046】
さらに、実施形態は、以下に限定されないが、符号付フラッシュアップデート、未知のソースからのコードを実行する前のSMRAMおよびフラッシュのロック、信頼のおけるコードが起動の前にプラットフォーム権限者/所有者に既知のソースにより署名されていることの確認、トラステッドプラットフォームモジュール(TPM)を有するコンポーネント/トラステッドブートの測定、および任意の設定更新または変更の前のオペレータの認証を含むファームウェアデプロイメントにおける他のプラクティスとともに使用してもよい。タグ付きメモリは、独立して使用しても、または、ロバストで高いインテグリティのプラットフォームファームウェア構成の1つ以上のこれらの他のアスペクトを補完するよう使用してもよい。
【0047】
実施形態は、OSデータ構造を保護するよう設計されるタグ付きメモリを供給する。さらに、実施形態は、プレOSおよびランタイムファームウェア/OSランタイム分離を取り扱う。実施形態は、オペレーティングシステムにおける「安全なファイルシステムまたは安全なiノード」といったオペレーティングシステムコンポーネントにおける保護および分離を与える。実施形態は、この機能をプラットフォームファームウェアに活用することを可能にする。
【0048】
実施形態は、読み出し−書き込みデータおよびメモリ内のコードを保護するのに有用である。
【0049】
実施形態は、機能が、下位互換性があるように追加されることを可能にする。したがって、業界標準ファームウェアであるブートサービスおよびランタイムはともに、業界標準ファームウェアがタグ付きメモリを使用することによって有利となるよう再コンパイルされうる。実施形態は、コードのタイプ−セーフティは、分離に使用され、ソフトウェア要素はリング保護を必要としない管理ランタイム環境(MRTE´s)への適用性により「タイプ−セーフ」なCPUを供給する。分離のための、ソフトウェアおよび高度に定型化されたソフトウェアインタフェースに対して「リング保護がないこと」は、EFIおよびフレームワークに基づく仕様を含む統一EFIフォーラム下の技術にも適用することができる。つまり、現在、UEFIでは、ドライバとコアプラットフォームファームウェアとは分離されない。これは、インテグリティに関する問題がある。なぜなら、システムボード上のプラットフォームファームウェアは、HBAまたはディスクからロードされたファームウェアよりも信頼され、かつ、より高いインテグリティを有するべきだからである。ハードウェア分離は、このインテグリティを保証するために必要である。OSランタイムにおいて、ページ表および他の保護ハードウェアは、OSカーネルが所有する。したがって、プラットフォームファームウェアランタイムによる使用にとっておかれる新しいタグ付きハードウェアは、より高いインテグリティEFIランタイムコードが悪意のあるまたは誤ったOSランタイムコードにより破損されないことを確実にするよう使用される。
【0050】
実施形態は、タグメモリ以外のリング0のコロケーションが適宜続行することを可能にする。実施形態では、リング0 OSローダでさえもEFIコアを破損することができない。
【0051】
ランタイム時、EFIファームウェアは、ファームウェアランタイムコードおよびデータの保護をOSカーネルに委任する。実施形態では、EFIファームウェアランタイムは、プレOS処理において委任される適切なオブジェクト記述子を介して保護されることが可能である。
【0052】
実施形態は、EFIランタイムのタグ付きメモリの変形が、OSと共存し、OEMに対して多くのシナリオを実行することを可能にする。これらのシナリオは、今日、コードインテグリティを妥協することなくSMMにおいて実施される。
【0053】
実施形態は、ルートキット/OSカーネルモードマルウェアからEFIランタイムを保護する。
【0054】
信用とは、信頼性、安全性、機密性、インテグリティ、および可用性を含むものとする。安全性は、機密性、インテグリティ、および可用性を含むものとする。実施形態は、インテグリティに関して取り組む。したがって、信用および安全性の両方に関して取り組む。実施形態は、企業に適用することができる。企業は、マーケットセグメント(例、コンピュータを購入して使用するビジネス)として説明しうる。マーケ
ットセグメントは、信用および安全性の「信頼性」のアスペクトによってホームユーザとは区別される。
【0055】
実施形態は、メニーコアおよびマルチコアプロセッサに基づいたプラットフォームが、プラットフォームファームウェアから高インテグリティコードフローを展開する方法を有することを確実にするよう使用されうる。
【0056】
実施形態は、現在のソフトウェアエコシステムに影響を与えることなく悪いオプションROM、ルートキット、カーネルに対する防護を供給するために、OSコンポーネント分離のためのハードウェア機能を使用する。つまり、プラットフォームファームウェアは、これらのタグを使用しうるが、OSカーネルは、実施形態と動作するよう再コンパイル/更新される必要はない。新規のシステムボードおよびファームウェアは、旧型のOSカーネル(例、Windows(登録商標)XPまたはWindows(登録商標)サーバー2003オペレーティングシステム)とともに動作することができる。実施形態は、旧型および新型のオペレーティングシステムに対してファームウェア分離を供給する。これは、OEMにとっては好都合である。なぜなら各システムボードは一般的にさまざまな新旧型のオペレーティングシステムロードをサポートするからである。
【0057】
Intel(登録商標)は、米国および/または諸外国におけるインテル社の登録商標またはコモンローマークである。Windows(登録商標)およびVista(登録商標)は、米国および/または諸外国におけるマイクロソフト社の登録商標またはコモンローマークである。
[追加の実施形態の詳細]
【0058】
上述したオペレーションは、ソフトウェア、ファームウェア、ハードウェア、あるいはそれらの任意の組み合わせを生成するよう標準プログラミングおよび/またはエンジニアリング技法を使用する、方法、装置、または、製品として実施されうる。上述したオペレーションは、「コンピュータ可読媒体」内に維持されるコードとして実施されうる。プロセッサは、コンピュータ可読媒体からコードを読み出ししかつ実行しうる。コンピュータ可読媒体は、磁気記憶媒体(例、ハードディスクドライブ、フロッピー(登録商標)ディスク、テープなど)、光学記憶装置(CD−ROM、DVD、光ディスクなど)、揮発性および不揮発性メモリ装置(例、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュメモリ、ファームウェア、プログラマブル論理など)といった媒体を含みうる。上述したオペレーションを実施するコードは、さらにハードウェア論理(例、集積回路チップ、プログラマブルゲートアレイ(PGA)、特殊用途向け集積回路(ASIC)など)に実施されうる。さらに、上述したオペレーションを実施するコードは、「伝送信号」で実施されうる。伝送信号は、空間、または、光ファイバ、銅線などといった伝送媒体を通り伝播しうる。その中にコードまたは論理が符号化される伝送信号はさらに、無線信号、衛星伝送、無線波、赤外線信号、ブルートゥース(登録商標)などを含みうる。その中にコードまたは論理が符号化される伝送信号は、送信局により送信され、受信局により受信されることが可能であり、伝送信号内に符号化されるコードまたは論理は、受信および送信局または装置において、ハードウェアまたはコンピュータ可読媒体において復号化され格納されうる。「機械可読媒体」は、その中にコードが実装されうるコンピュータ可読媒体、ハードウェア論理、および/または伝送信号を含む。上述したオペレーションの実施形態を実施するコードがその中に符号化された装置は、コンピュータ可読媒体またはハードウェア論理を含みうる。当然ながら、当業者は、本発明の範囲から逸脱することなく多くの変更をこの構成に加え、また、製品は当該技術において周知である情報担持媒体を含みうることを認識するであろう。
【0059】
図8、11、および12に示すオペレーションは、特定の順序で発生する特定のイベントを示す。代替実施形態では、特定のオペレーションは、異なる順序で、変更されて、または削除されて行われうる。さらに、オペレーションが上述した論理に追加され、依然として上述した実施形態と一致しうる。さらに、本願に説明したオペレーションは、逐次的に発生しても、または、特定のオペレーションは、並列で処理されてもよい。さらに、オペレーションは、単一の処理ユニットまたは分散型処理ユニットによって処理されうる。
【0060】
上述したさまざまな実施形態は、例示および説明のために提示された。これは、網羅的でも限定的でもない。多くの変更および変形が上述の技術の教示内容を鑑みて可能である。
【符号の説明】
【0061】
100 オペレーティングシステム
110 リング0
120 オペレーティングシステムカーネル
122 ハードウェアアブストラクションレイヤ
124 サービス呼び出し
126 実行可能EFIランタイムドライバイメージ
150 プラットフォームファームウェア
160、162、164 EFIランタイムドライバ
170 ハードウェアデバイス
180 データ180
200 コンピュータデバイス
204 CPU
206 メモリ
208 ストレージ
210 オペレーティングシステム
212 OSカーネル
220 ドライバ
224 アプリケーションプログラム
230 EFIランタイムコンポーネント
232 タグ付きメモリ
233 オブジェクト記述子
234 キャッシュアズRAM
240 ネットワークアダプタ
250 入力装置
252 出力装置
260 バス
270 通信路
310 リング0
320 オペレーティングシステムカーネル
322 ハードウェアアブストラクションレイヤ
324 サービス呼び出し
326 タグ付きメモリ内の実行可能EFIランタイムドライバイメージ
350 プラットフォームファームウェア
360、362、364 EFIランタイムドライバ
370 ハードウェアデバイス
380 データ
400 CPU
410 制御ユニット
412 ALU
420 特殊レジスタ
422 スタック記述子レジスタ
424 スタックポインタレジスタ
426 データ記述子レジスタ
428 コード記述子レジスタ
430 命令ポインタ
440 汎用レジスタ
442 オブジェクト記述子
444 非初期化
446 データ
500 オブジェクト記述子
570 タグ付きメモリ
600 EFIイメージ
700 CPU
710 制御ユニット
712 ALU
740 汎用レジスタ
742 オブジェクト記述子
744 非初期化
746 データ
780 タグ
770 メモリ
【背景技術】
【0001】
オペレーティングシステムは、リソースに対する様々なアクセスレベルを供給する。アクセスレベルは、「リング」に関連付けられうる。たとえば、リング0は、一般的に、最も多くの特権を有するアクセスレベルである。他のリングには、リング1、リング2、およびリング3が含まれる。動作時に、たとえば、高い番号の付いたリング(例、リング3)で実行されるプログラムは、一般的に、低い番号の付いたリング(例、リング0)に制限されるリソースであるネットワークへのアクセスをリクエストするとする。リングの使用は、リング1において実行される、誤ったまたは悪意のあるソフトウェア(例、スパイウェア)が、デバイスドライバ用に用意されるリング0機能により実行されうる、損害を与えるようなオペレーション(例、コンピュータ上のパスワードにアクセスする)を実行することを阻止することを目的とする。
【0002】
拡張可能ファームウェアインタフェース(EFI)システムは、パワーオンセルフテスト(POST)プロセス、オペレーティングシステムのブートストラッピング、およびオペレーティングシステムと物理ハードウェア間にインタフェースを供給することに対して責任のあるシステムとして説明しうる。
【0003】
図1は、EFIランタイムメモリの脆弱性を示す従来技術のシナリオを示す。オペレーティングシステム100(例、Windows(登録商標)NT3.1からWindows(登録商標)Vista(登録商標)オペレーティングシステムを含むマイクロソフト社のWindows(登録商標)オペレーティングシステム)は、リング0 110のアクセスレベルを含む。オペレーティングシステム(OS)カーネル120、ハードウェアアブストラクションレイヤ122(すなわち、HAL.DLL)、およびサービス呼び出し124は、リング0 110のアクセスレベルを有する。さらに、実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ126(例、EFIランタイムコードおよびデータ)は、オペレーティングシステム100の最も特権のあるオペレーティングモードであるリング0に、ともに置かれる。
【0004】
特に、プラットフォームファームウェア150は、EFIランタイムドライバ1 160、EFIランタイムドライバ2 162、EFIランタイムドライバ3 164を含む。EFIラインタイムドライバ160、162、および164のイメージは、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス170からのデータ180も、実行可能なEFIランタイムドライバイメージ126に、ともに置かれる(すなわち、コピーされる)。EFIランタイムドライバイメージ126は、EFIブートサービスおよびランタイムコンポーネントを含み、また、オプションの読み出し専用メモリ(ROM)を有しうる。読み出し専用データはROM内にあるので、ROMは、ROMにおけるコードの破損を阻止するのに有用である。ROMは、ROM内のコードの長期インテグリティを保つのに有用であるが、一旦コードがROMからメモリ内にロードされると、メモリに移されたイメージのインテグリティは疑わしくなる。
【0005】
OSカーネル120とともに、EFIランタイムドライバイメージ126をリング0 110アクセスレベルに有することによって、OSカーネル120からのEFIランタイムコードの効率のよい起動を可能にするが、これは、EFIランタイムドライバイメージ126を、OSカーネル120内の誤ったまたは悪意のあるコンポーネントにさらすことになる。つまり、OSカーネル120内の誤ったまたは悪意のあるコンポーネントが、EFIランタイムドライバイメージ126にアクセスして破損してしまいうる。したがって、図1は、任意のリング0エージェントがEFIランタイムコードおよびデータを破損してしまう方法を示す。
【0006】
これは、出版業において最近多発している「ルートキット」によって注目されてきている懸案事項である。ルートキットは、コンピュータへの管理者レベルのアクセスを可能にする1つ以上のプログラムとして説明しうる。一般的に、無許可のユーザ(例、「攻撃者」)が、最初にユーザレベルのアクセスを取得後、ルートキットをコンピュータにインストールする。一旦ルートキットがインストールされると、ルートキットによって、攻撃者は命令をマスクし、コンピュータに対して特権的アクセスを得ることができるようになる。たとえば、ルートキットは、メモリ内のコードおよびデータを破損することのできるカーネルモードウィルスでありうる。
【0007】
ランタイム「ルートキット」問題に関する実際のデータがあり、これは、単にセキュリティ/コンテンツ保護/デジタル権利管理(DRM)問題だけではない。つまり、ルートキットは、セキュリティ/コンテンツ保護/デジタル権利管理(DRM)に関して懸念事項のあるシステムだけでなくどのシステムにも悪影響を及ぼすことができるのである。ルートキット使用人口は増加している。一部では、これは、ルートキットに含まれうるアドウェアおよびスパイウェアをサポートする経済的動機があることによる。ルートキットは、社会における技術的な課題である。特に、ルーツキットは、現在のスパイウェア防止プロダクトを打破してしまうからである。ルートキットを削除し、コンピュータを回復するために顧客を案内するには数時間かかる場合がある。たとえば、ルートキットのセーフモード削除には12を越える作業がある場合がある。さらに、ドライバをブートするよう動作する新たな悪意のあるドライバがある。つまり、オペレーティングシステム起動の最も初期の段階が影響を受けている。一方で多くのアンチウイルスおよび他の保護ソフトウェアは、オペレーティングシステム処理のもっと後において起動する。
【0008】
今日において、ランタイムファームウェアは、システム管理モード(SMM)により保護されうる。SMMは、特定のIntel(登録商標)マイクロプロセッサの1つのモードとして説明しうるが、このモードでは、コード(例、オペレーティングシステム)の正常実行はサスペンドされ、特別な別個のソフトウェア(例、ファームウェア)は高特権モードで実行される。
【0009】
したがって、当該技術において、改善された高インテグリティファームウェアが必要である。
【図面の簡単な説明】
【0010】
【図1】EFIランタイムメモリの脆弱性を示す従来技術のシナリオを示す図である。
【図2】特定の実施形態によるコンピュータデバイス200の詳細を示す図である。
【図3】特定の実施形態による、EFIランタイムドライバイメージを保護する方法を示す図である。
【図4】特定の実施形態によるタグ付きメモリの使用の一例を示す図である。
【図5】特定の実施形態による、オブジェクト記述子およびタグ付きメモリを示す図である。
【図6】特定の実施形態による、メモリ内に格納されたEFIイメージを示す図である。
【図7】特定の実施形態によるタグ付きメモリの使用のもう1つの例を示す図である。
【図8】特定の実施形態による、EFIランタイムコードおよびデータを保護するようEFIランタイムコンポーネントにより実行される論理を示す図である。
【図9】特定の実施形態による、EFIコンポーネントを保護する方法の一例を示す図である。
【図10】特定の実施形態による、プレEFI初期化(PEI)、ドライバ実行環境(DXE)、およびEFI実行フェーズを示す図である。
【図11】特定の実施形態による、プレブートのためのタグ付きメモリの使用を示す図である。
【図12】特定の実施形態による、プレブート処理のための論理を示す図である。
【発明を実施するための最良の形態】
【0011】
同様の参照番号は対応する部分を示す図面を参照する。
【0012】
以下の説明において、本願の一部を形成し、且つ、幾つかの実施形態を説明する添付図面を参照する。他の実施形態を使用してもよく、また構造的および動作的な変更を加えてもよい。
【0013】
図2は、特定の実施形態によるコンピュータデバイス200の細部を示す。コンピュータデバイス200(例、ホストコンピュータ)は、1つ以上の中央演算処理ユニット(CPU)204(すなわち、プロセッサ)、揮発性メモリ206、不揮発性ストレージ208(例、磁気ディスクドライブ、光ディスクドライブ、テープドライブなど)、および1つ以上のネットワークアダプタ240を含む。1つ以上のネットワークアダプタ240は、通信路270(例、ネットワーク)に結合されるとも言える。
【0014】
メモリ206は、OSカーネル212を含むオペレーティングシステム210を格納する。メモリ206はさらに、EFIランタイムコンポーネント230を格納する。特定の実施形態では、EFIランタイムコンポーネント230は、ファームウェアとして実装される。特定の他の実施形態では、EFIランタイムコンポーネント230は、ハードウェア、ソフトウェア、ファームウェア、またはこれらの一部の組み合わせとして実施されうる。メモリ206の一部は、タグ付きメモリ232である。タグ付きメモリ232は、プレOSファームウェアによりポピュレートされ、EFIランタイムドライバのタイプであるドライバイメージを含むメモリとして説明しうる。タグ付きメモリ232は、オブジェクト記述子233を含む。オブジェクト記述子233は、オペレーション(例、非ファームウェアエージェントがタグ付きメモリにアクセスすることを阻止する)を実行することのできる「スマート」メモリとして説明しうる。メモリ206の一部は非タグ付きメモリ(例、オペレーティングシステム210およびOSカーネル212は非タグ付きメモリ内にある)である。メモリ206はさらに、キャッシュアズRAM(Cache-as-RAM)234を含む。1つ以上のドライバ220(例、ストレージドライバまたはネットワークドライバ)と、1つ以上のアプリケーションプログラム224がメモリ206に格納されてもよく、また、ネットワーク270を介してリモートコンピュータデバイス(例、ホストコンピュータまたはストレージシステム)に対してパケットを伝送または取り出しすることができる。
【0015】
コンピュータデバイス200は、メインフレーム、サーバー、パーソナルコンピュータ、ワークステーション、ラップトップ、ハンドヘルドコンピュータ、電話機デバイス、ネットワークアプライアンス、仮想化デバイス、ストレージコントローラなどといった任意の好適なコンピュータデバイスを含みうる。任意の好適なCPU204およびオペレーティングシステム210を使用しうる。メモリ206内のプログラムおよびデータは、メモリ管理オペレーションの一部としてストレージ208内にスワップされうる。
【0016】
ネットワーク270は、たとえば、ストレージエリアネットワーク(SAN)、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、およびイントラネットなどといった任意のタイプのネットワークでありうる。
【0017】
各ネットワークアダプタ240は、ネットワークアダプタ240のハードウェアとして実装される様々なコンポーネントを含む。各ネットワークアダプタ240は、ネットワーク270を介してデータパケットを送受信することができる。
【0018】
各ドライバ220は、メモリ206内で実行し、また、各ネットワークアダプタ240と通信し、オペレーティングシステム210と各ネットワークアダプタ240との間をインタフェースするためのネットワークアダプタ240固有コマンドを含む。各ネットワークアダプタ240またはドライバ220は、伝送制御プロトコル(TCP)および/またはインターネットプロトコル(IP)、インターネットスモールコンピュータシステムインタフェース(iSCSI)(IETF RFC2347、2003年2月)、ファイバーチャネル(米国規格協会(ANSI)X3.269−199X、改訂012版、2995年12月4月)、または任意の他の好適なトランスポート層プロトコルといった、トランスポート層内にラップされるパケットに含まれるメッセージコンテンツを処理するトランスポートプロトコル層といった、パケットを処理する論理を実装する。
【0019】
ストレージ208は、内部ストレージデバイス、または、付属或いはネットワークアクセス可能なストレージを含みうる。ストレージ208内のプログラムは、メモリ206内にロードされ、CPU204により実行されうる。入力装置250は、CPU204にユーザ入力を供給するよう使用され、キーボード、マウス、ペン−スタイラス、マイクロホン、タッチディスプレイスクリーン、または任意の好適な作動または入力メカニズムを含みうる。出力装置252は、ディスプレイモニタ、プリンタ、ストレージなどのように、CPU204、または他のコンポーネントから転送された情報をレンダリングすることができる。
【0020】
様々な構造および/またはバッファ(図示せず)は、メモリ206内に存在するか、または、特定の実施形態では、メモリ206とは別個のストレージユニット内に位置付けられうる。
【0021】
特定の実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータデバイス200のシステムボード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、システムボードに結合されるとも言える。代替実施形態では、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、コンピュータシステム200のシステムボード上の拡張カードスロットに挿入されうる拡張カード上の集積回路コンポーネントとして実施されうる。したがって、EFIランタイムコンポーネント230と、オブジェクト記述子233を有するタグ付きメモリ232は、拡張ボードに結合されるとも言える。
【0022】
図3は、特定の実施形態による、EFIランタイムドライバイメージが保護される方法を示す。図3では、オペレーティングシステム210は、リング0 310のアクセスレベルを含む。オペレーティングシステム(OS)カーネル320、ハードウェアアブストラクションレイヤ322(すなわち、HAL.DLL)、およびサービス呼び出し324は、リング0 310のアクセスレベルを有する。さらに、タグ付きメモリ326内の実行可能な拡張可能ファームウェアインタフェース(EFI)ランタイムドライバイメージ(EFIランタイムコードおよびデータを含む)は、オペレーティングシステム300の最も特権のあるオペレーティングモードであるリング0において、ともに置かれる。
【0023】
特に、プラットフォームファームウェア350は、EFIランタイムドライバ3 360、EFIランタイムドライバ2 362、EFIランタイムドライバ3 364を含む。EFIラインタイムドライバ360、362、および364のイメージは、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。ハードウェアデバイス370からのデータ380も、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージに、ともに置かれる(すなわち、コピーされる)。
【0024】
図3では、EFIランタイムドライバイメージがリング0 310のアクセスレベルにあるタグ付きメモリ326に格納されているので、OSカーネル320における誤ったまたは悪意のあるコンポーネント(例、オペレーティングシステムにおけるバグ)は、EFIランタイムドライバ360、362、364、または、タグ付きメモリ326内の実行可能なEFIランタイムドライバイメージ内の他のコードおよびデータを破損することはできない。しかし、OSカーネル320からのEFIランタイムコードの有効な起動が行われうる。したがって、図3は、実施形態が、EFIランタイムコードおよびデータを破損しないよう保護する方法を示す。
【0025】
図4−7は、特定の実施形態による新たなCPU機能を示す。
【0026】
図4は、特定の実施形態によるタグ付きメモリの使用の一例を示す。凡例490は、サンプルタグとその意味を示す。4つのタグを示すが、他のタグも実施形態の範囲内である。中央演算処理ユニット(CPU)400は、制御ユニット410と、算術論理演算ユニット(ALU)412を含む。特殊レジスタ420は、オブジェクト記述子であることを示すタグ423を有するスタック記述子レジスタ422と、スタックポインタ(SP)レジスタ424と、オブジェクト記述子であることを示すタグ427を有するデータ記述子レジスタ426と、オブジェクト記述子であることを示すタグ429を有するコード記述子レジスタ428と、命令ポインタ430を含む。汎用レジスタ440は、オブジェクト記述子であることを示すタグ443を有するオブジェクト記述子442と、初期化されていないレジスタまたはメモリワードであることを示すタグ445を有する非初期化要素444と、初期化されたレジスタまたはメモリワードであることを示すタグ447を有するデータ446を含む。メモリ470は、スタック472、データ474、およびコード476を含む。メモリ470はさらにタグ480を含む。タグ480は、特殊レジスタ420および汎用レジスタ440に関連付けられるタグに対応する。
【0027】
図5は、特定の実施形態によるオブジェクト記述子500とタグ付きメモリ570を示す。オブジェクト記述子500は、タグ付きメモリ570内、任意のCPUのレジスタ上、および仮想メモリ(VM)内のどこにおかれてもよい。オブジェクト記述子500は、タグ510(例、タグビット)を含み、アクセス権512、オブジェクトサイズ514、およびメモリ570へのポインタ516を供給することにより、1つのオブジェクトの記述をメモリに入れる。タグ510は、記述子500がオブジェクト記述子であることを示す。オブジェクト記述子500は、(任意のサイズチェックなしのVMのページごとのコントロールに比べて)高級言語セマンティクスに近い、読み出し(「R」)、書き込み(「W」)、実行(「X」)に対しファイングレインアクセスコントロールを供給する。特定の実施形態では、トラステッド・コンピューティング・ベース(TCB)(ハードウェアおよびソフトウェアコンポーネントの両方を有する)だけが、オブジェクト記述子500の内容を初期化し、変更しうる。トラステッド・コンピューティング・ベースは、信頼されるべき最小量のコードとして説明しうる(例、これらの初期のオブジェクト記述子を設定する場合、TCBは初期化ブートファームウェアを含みうる)。
【0028】
アプリケーションは、(たとえば、ロード、ストア、ジャンプ、および呼び出しなどのために)そのアプリケーションが利用可能なオブジェクト記述子を介してメモリ570に(直接的および間接的に)アクセスしうる。特定の実施形態においてハードウェアは各アクセスを制御し、アクセス権またはオブジェクトサイズ違反がある場合にはインタラプトを生成する。
【0029】
図6は、特定の実施形態による、メモリ570内に格納されるEFIイメージ600を示す。特定の実施形態では、EFIイメージは、ポータブルエグゼクタブルおよびオブジェクトの共通ファイル形式(Portable Executable and Common Object File Format:PE/COFF)実行ファイルである。様々なオブジェクト記述子をEFIイメージの様々な部分に割り当てしうる。一例として、EFIイメージ600は、プレOS、EFIのブートサービスフェーズの間に起動され、OSカーネル212と同格に存在し続けるRuntimeServices.efi実行ファイルでありうる。
【0030】
図7は、特定の実施形態によるタグ付きメモリの使用のもう1つの例を示す。図7では、中央演算処理ユニット(CPU)700は、制御ユニット710と、算術論理演算ユニット(ALU)712を含む。汎用レジスタ740は、オブジェクト記述子であることを示すタグ743を有するオブジェクト記述子742と、初期化されていないレジスタまたはメモリワードであることを示すタグ745を有する非初期化要素744と、初期化されたレジスタまたはメモリワードであることを示すタグ747を有するデータ746を含む。メモリ770は、コード、データ、オブジェクト記述子、および非初期化部分を含む。メモリ770はさらに、タグ780を含む。
【0031】
図8は、特定の実施形態による、EFIランタイムコードおよびデータを保護するようEFIランタイムコンポーネント230により実行される論理を示す。制御は、工程800において、(例、電源スイッチがオンの状態であったため)システムが再起動することにより開始する。「システム」とは、コンピューティングプラットフォームを指す。工程802では、システムは初期化される。工程804では、EFIランタイムコンポーネント230は、タグ付きメモリ232が利用可能であるか否かを判断する。利用可能である場合は、処理は工程806に進み、利用可能ではない場合は、処理は工程812に進む。
【0032】
工程806では、EFIランタイムコンポーネント230は、EFIシステムが実装されているか否かを判断する。実装されている場合は、処理は工程808に進み、実装されていない場合は、処理は工程812に進む。工程808では、EFIランタイムコンポーネント230は、EFIランタイムコードおよびデータに対するオブジェクト記述子を割り当てる。各オブジェクト記述子は、それがオブジェクト記述子であることを示すタグを含む。工程808の処理には、EFIランタイムコンポーネント230が各レジスタを初期化して、そのレジスタが初期化されたか、初期化されていないかを示すか、またはオブジェクト記述子を格納するタグを含むことが含まれる。工程810では、EFIランタイムコンポーネント230は、ランタイム時に使用するために、非タグ付きメモリからの1つ以上の呼び出しポイントをタグ付きメモリに供給する。たとえば、図3では、ハードウェアアブストラクションレイヤ322は、非タグ付きメモリ内にあるが、実行可能EFIランタイムドライバイメージ326は、タグ付きメモリ内にあるので、サービス呼び出し324は、非タグ付きメモリからタグ付きメモリへの呼び出しポイントとして説明しうる。呼び出しポイントは、EFIランタイムサービス呼び出しといったようにパブリックに記述される関数呼び出しとして説明しうる。
【0033】
工程812では、EFIランタイムコンポーネント230は、プレオペレーティングシステム処理またはブートシステム処理を完了する。したがって、工程800−812は、ブートフェーズを表し、一方、工程814−822は、ランタイムフェーズを表す。
【0034】
工程814では、1つ以上のオブジェクト記述子233は、非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みているか否かを判断する。非ファームウェアエージェントは、プラットフォームファームウェア/プラットフォームROMからロードされていないコードとして説明しうる。非ファームウェアエージェントは、以下に限定されないが、OSエグゼクティブまたはカーネルモードドライバ/サービスの一コンポーネントを含みうる。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みている場合は、処理は工程816に進む。非ファームウェアエージェントがタグ付きメモリ232へのアクセスを試みていない場合は、処理は工程822に進む。工程816では、1つ以上のオブジェクト記述子233が、アクセスされるタグ付きメモリ232に関連付けられるオブジェクト記述子内のアクセス権に基づいて非ファームウェアエージェントがタグ付きメモリ232にアクセスすることができるか否かを判断する(すなわち、タグ付きメモリ232が、EFIランタイムドライバイメージの正当なメモリロケーションであるか否かを判断する)。アクセスすることができる場合は、処理は工程818に進み、アクセスすることができない場合は、処理は工程820に進む。工程818では、EFIランタイムコンポーネント230は、タグ付きメモリ232に対する非ファームウェアエージェントからのアクセスオペレーションを処理し、結果を受信し、また、その結果を戻す。特定の実施形態では、これは、EFIランタイムコンポーネント230と非タグ付きOSカーネル212間の仲介として動作するスタブ(すなわち、(EFIランタイムコンポーネント230の一部である)EFIランタイムコードの特定の非タグ付き部分がある)を介して発生する。工程820では、1つ以上のオブジェクト記述子233は、誤ったまたは悪意のある呼び出しをするコーラー(caller)でありうる非ファームウェアエージェントによるタグ付きメモリ232へのアクセスを阻止する。工程822では、処理は続けられ、非ファームウェアがEFIランタイムタグ付きメモリ232へのアクセスを試みようとする場合に、処理を工程814に戻す。
【0035】
図9は、特定の実施形態による、EFIコンポーネントを保護する方法の一例を示す。この例では、悪意のあるドライバ3を含むスモールコンピュータシステムインタフェース(SCSI)カード900が、コンピュータシステムに差し込まれる可能性がある。図9の例では、EFIを実装するフレームワークは、2つの主なフェーズを含む。1つは、プレEFI初期化(PEI)フェーズであり、もう1つはドライバ実行環境(DXE)フェーズである。プレEFI初期化フェーズは、複数のPEIモジュールA、B、およびCにより行われる。ドライバ実行環境フェーズは、複数のドライバ、すなわち、DXEドライバ1およびDXEドライバ2により行われる。メモリ910のプラットフォーム初期化部は、PEIモジュールおよびDXEドライバとは別個にタグ付きメモリ内に格納されるEFIコアフレームワークを含む。EFIコアフレームワークは、EFIフレームワーク、DXEフレームワーク、およびPEIフレームワークを含む。
【0036】
図10は、特定の実施形態による、PEI、DXE、およびEFI実行のフェーズ1000を示す。実施形態では、PEIフレームワーク、DXEフレームワーク、およびEFIフレームワークは、タグ付きメモリ内に置かれ、一方、PEIモジュール、DXEドライバ、およびEFIアプリケーションおよびライブラリは、非タグ付き(「通常」)メモリ内に置かれる。特定の実施形態では、「信頼」され、TCBの一部であるプラットフォームファームウェアからのコードは、EFIランタイムタグ付きメモリ内に入れられる。これは、システムボードベンダからのコードが、第三者のアダプタカードなどからロードされるドライバから分離されることを可能にする。この同様の分離は、EFIランタイムコードがシステムボードから分離され、続けて起動される任意のEFI認識オペレーティングシステムから分離されることが可能であるようランタイムにおいても存在する。したがって、実施形態は、相手先ブランド製造者(OEM)といったシステムボードを供給する当事者が、ボード上のROMに入れられて出荷される当事者のコードが他のプレOSコードまたはOSにより破損/影響を受けないことを確実にすることができる。
【0037】
したがって、図9および10は、実施形態を、オペレーティングシステムの起動の前にファームウェアコンポーネントのフローに適用しうる方法を示す。図9では、ROM内にコアフレームワークを有し、これは、次にEFIランタイムタグ付きメモリにロードされる。図10では、フローの下半分は、タグ付き及び保護されたプレOSフレームワークコードを示す。
【0038】
図11は、特定の実施例による、プレブートのためのタグ付きメモリの使用を示す。制御は、システムがリセットされる工程1100において開始する。ここでは、オペレーティングモードはフラットモード(すなわち、0−4GBマッピングのためのデータ/コードセットを有する保護モード)に設定され、制御は、PEIフレームワークを開始するよう渡される。工程1102では、マシーンコードが実行されてキャッシュアズRAM234が有効にされる。工程1104では、一時的なページ表がキャッシュアズRAM内に作成される。工程1106では、PEIコアと、PEI TCBの一部であり、タグ付きメモリ内にある、認証の実行を支援する任意のPEIモジュール(「PEIコンポーネント」)は、各PEIモジュールを試験し、また、デジタル署名により各PEIモジュールを認証する。工程1108では、PEIコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1110に進み、有効なデジタル署名ではない場合は、処理は工程1112に進む。工程1110では、PEIコンポーネントは、各PEIモジュールに対してタグ付きメモリを割り当てする。工程1112では、PEIコンポーネントは、各PEIモジュールイメージハンドラを安全ではないとマークする。工程1114では、各PEIモジュールは、メインメモリを初期化するよう実行される。
【0039】
図12は、特定の実施例によるプレブート処理の論理を示す。特定の実施形態では、1つ以上のDXEドライバは、EFIランタイムドライバとしてロードされうる。したがって、DXEにおける認証/タグ付けは、OSの存在する実施形態をもたらす。工程1200では、DXEコア/ファウンデーションと、DXE TCBの一部であり、タグ付きメモリ内にある任意のDXE認証ドライバ(「DXEコンポーネント」)は、各DXEドライバを試験し、また、デジタル署名により各DXEドライバを認証する。工程1202では、DXEコンポーネントは、デジタル署名が有効なデジタル署名であるか否かを判断する。有効なデジタル署名である場合は、処理は工程1204に進み、有効なデジタル署名ではない場合は、処理は工程1206に進む。工程1204では、DXEコンポーネントは、各DXEドライバに対してタグ付きメモリを割り当てする。工程1206では、DXEコンポーネントは、DXEドライバイメージハンドラを安全ではないとマークする。工程1208では、オペレーティングシステムブート処理が続行する。
【0040】
実施形態は、プレブートおよびランタイムの両方で高いインテグリティのファームウェアを供給する。実施形態は、コードおよびデータを、同一の特権レベルで動作する他のコードから分離させるよう「機能(capabilities)」または「タグ付きメモリ」を使用する。
【0041】
実施形態は、ROMからロードされたメモリ内イメージのインテグリティを保つのに役立つ。
【0042】
実施形態は、相手先ブランド製造者(OEM)のブートサービスコードが、誤ったプレOSアプリケーションおよびOSローダにより破損されないようにすることを可能にする。本質的に異なる要素が同じロケーションにあることは、いずれは信用および信頼性の問題につながる。特定の実施形態では、オブジェクト記述子を設定するために、図8の工程800−810の論理は、ブートフローの非常に初期、好適には、SECまたはPEIフェーズといった測定のための信頼のコアルート(Core-Root of Trust for Measurement:CRTM)において実行される。CRTMは、トラステッドプラットフォームモジュール(TPM)を開始し、トラステッドコンピューティングプラットフォームのためのトラステッドビルディングブロック(TBB)の一部であるコードとして説明しうる。SECは、次のように説明しうる。すなわち、システム再起動時に実行され、「保護モード」/キャッシュアズRAM初期化を行う非常に初期のコードとして説明しうる。
【0043】
EFIプレブートコアおよびランタイムを対象とするオブジェクト記述子が信頼できないコードにより不安定にされないことを確実にするようフラッシュブロックロックを使用してもよい。つまり、フラッシュメモリは、TCBが制御を他のエージェントに送るときにフラッシュは読み出し専用にされる(すなわち、誰もフラッシュのコンテンツを改ざんすることができない)ことを確実にするようNORフラッシュのハードウェア機能を使用してロックされる。あるいは、ファームウェアに保存されたメモリ、または、初期ブートファームウェアにより供給される他の読み出し専用リソースを使用してもよい。上述したいずれの場合においても、EFIファームウェアは、オブジェクト記述子のストレージのためにファームウェアにより使用されるメモリを、(オペレーティングシステムにメモリマップをリポートするよう基本入力/出力システム(BIOS)でのInt 15h E820呼び出し(詳細設定と電力のインタフェース(Advanced Configuration and Power Interface)(ACPI)仕様、改訂3.0、2004年9月2日)を有する)ACPIメモリマップと、((オペレーティングシステムが不注意にまたは悪意を持ってストアを破損することを回避するための)GetMemoryMap呼び出しを有する)EFIメモリマップの両方において「ファームウェア予約済み(firmware reserved)」としてマークをつける。
【0044】
実施形態は、プラットフォーム展開のブートサービス、プレブートフェーズの間に使用することができる。特に、信用できない、おそらく誤ったオプションROMと、プレブートアプリケーションがありえ、これらに対してプラットフォームファームウェアは保護される。オプションROMは、ホストバスアダプタ(HBA)上のBIOS拡張またはEFIドライバ(すなわち、システムに差し込まれるカード)として説明しうる。それにより、独立ハードウェアベンダは、システムのブートに役立つよう使用することのできるHBAとともにコードを発送しうる。プラットフォームファームウェア/EFIはドライバをロードし、ドライバがドライバサービスをインストールすることを許可する。HBA上のドライバは、場合により信頼できない第三者からくるので、タグ付きメモリ分離を使用して、低インテグリティドライバがプレOS TCBを不安定にさせないようにすることが重要である。
【0045】
実施形態は、拡張性ファームウェアインタフェース(「フレームワーク」)またはフレームワーク標準に準拠して構築される任意の他のファームウェアのためにインテル(登録商標)プラットフォームイノベーションフレームワークのブートサービスPEIおよびDXEファウンデーションを強化する。
【0046】
さらに、実施形態は、以下に限定されないが、符号付フラッシュアップデート、未知のソースからのコードを実行する前のSMRAMおよびフラッシュのロック、信頼のおけるコードが起動の前にプラットフォーム権限者/所有者に既知のソースにより署名されていることの確認、トラステッドプラットフォームモジュール(TPM)を有するコンポーネント/トラステッドブートの測定、および任意の設定更新または変更の前のオペレータの認証を含むファームウェアデプロイメントにおける他のプラクティスとともに使用してもよい。タグ付きメモリは、独立して使用しても、または、ロバストで高いインテグリティのプラットフォームファームウェア構成の1つ以上のこれらの他のアスペクトを補完するよう使用してもよい。
【0047】
実施形態は、OSデータ構造を保護するよう設計されるタグ付きメモリを供給する。さらに、実施形態は、プレOSおよびランタイムファームウェア/OSランタイム分離を取り扱う。実施形態は、オペレーティングシステムにおける「安全なファイルシステムまたは安全なiノード」といったオペレーティングシステムコンポーネントにおける保護および分離を与える。実施形態は、この機能をプラットフォームファームウェアに活用することを可能にする。
【0048】
実施形態は、読み出し−書き込みデータおよびメモリ内のコードを保護するのに有用である。
【0049】
実施形態は、機能が、下位互換性があるように追加されることを可能にする。したがって、業界標準ファームウェアであるブートサービスおよびランタイムはともに、業界標準ファームウェアがタグ付きメモリを使用することによって有利となるよう再コンパイルされうる。実施形態は、コードのタイプ−セーフティは、分離に使用され、ソフトウェア要素はリング保護を必要としない管理ランタイム環境(MRTE´s)への適用性により「タイプ−セーフ」なCPUを供給する。分離のための、ソフトウェアおよび高度に定型化されたソフトウェアインタフェースに対して「リング保護がないこと」は、EFIおよびフレームワークに基づく仕様を含む統一EFIフォーラム下の技術にも適用することができる。つまり、現在、UEFIでは、ドライバとコアプラットフォームファームウェアとは分離されない。これは、インテグリティに関する問題がある。なぜなら、システムボード上のプラットフォームファームウェアは、HBAまたはディスクからロードされたファームウェアよりも信頼され、かつ、より高いインテグリティを有するべきだからである。ハードウェア分離は、このインテグリティを保証するために必要である。OSランタイムにおいて、ページ表および他の保護ハードウェアは、OSカーネルが所有する。したがって、プラットフォームファームウェアランタイムによる使用にとっておかれる新しいタグ付きハードウェアは、より高いインテグリティEFIランタイムコードが悪意のあるまたは誤ったOSランタイムコードにより破損されないことを確実にするよう使用される。
【0050】
実施形態は、タグメモリ以外のリング0のコロケーションが適宜続行することを可能にする。実施形態では、リング0 OSローダでさえもEFIコアを破損することができない。
【0051】
ランタイム時、EFIファームウェアは、ファームウェアランタイムコードおよびデータの保護をOSカーネルに委任する。実施形態では、EFIファームウェアランタイムは、プレOS処理において委任される適切なオブジェクト記述子を介して保護されることが可能である。
【0052】
実施形態は、EFIランタイムのタグ付きメモリの変形が、OSと共存し、OEMに対して多くのシナリオを実行することを可能にする。これらのシナリオは、今日、コードインテグリティを妥協することなくSMMにおいて実施される。
【0053】
実施形態は、ルートキット/OSカーネルモードマルウェアからEFIランタイムを保護する。
【0054】
信用とは、信頼性、安全性、機密性、インテグリティ、および可用性を含むものとする。安全性は、機密性、インテグリティ、および可用性を含むものとする。実施形態は、インテグリティに関して取り組む。したがって、信用および安全性の両方に関して取り組む。実施形態は、企業に適用することができる。企業は、マーケットセグメント(例、コンピュータを購入して使用するビジネス)として説明しうる。マーケ
ットセグメントは、信用および安全性の「信頼性」のアスペクトによってホームユーザとは区別される。
【0055】
実施形態は、メニーコアおよびマルチコアプロセッサに基づいたプラットフォームが、プラットフォームファームウェアから高インテグリティコードフローを展開する方法を有することを確実にするよう使用されうる。
【0056】
実施形態は、現在のソフトウェアエコシステムに影響を与えることなく悪いオプションROM、ルートキット、カーネルに対する防護を供給するために、OSコンポーネント分離のためのハードウェア機能を使用する。つまり、プラットフォームファームウェアは、これらのタグを使用しうるが、OSカーネルは、実施形態と動作するよう再コンパイル/更新される必要はない。新規のシステムボードおよびファームウェアは、旧型のOSカーネル(例、Windows(登録商標)XPまたはWindows(登録商標)サーバー2003オペレーティングシステム)とともに動作することができる。実施形態は、旧型および新型のオペレーティングシステムに対してファームウェア分離を供給する。これは、OEMにとっては好都合である。なぜなら各システムボードは一般的にさまざまな新旧型のオペレーティングシステムロードをサポートするからである。
【0057】
Intel(登録商標)は、米国および/または諸外国におけるインテル社の登録商標またはコモンローマークである。Windows(登録商標)およびVista(登録商標)は、米国および/または諸外国におけるマイクロソフト社の登録商標またはコモンローマークである。
[追加の実施形態の詳細]
【0058】
上述したオペレーションは、ソフトウェア、ファームウェア、ハードウェア、あるいはそれらの任意の組み合わせを生成するよう標準プログラミングおよび/またはエンジニアリング技法を使用する、方法、装置、または、製品として実施されうる。上述したオペレーションは、「コンピュータ可読媒体」内に維持されるコードとして実施されうる。プロセッサは、コンピュータ可読媒体からコードを読み出ししかつ実行しうる。コンピュータ可読媒体は、磁気記憶媒体(例、ハードディスクドライブ、フロッピー(登録商標)ディスク、テープなど)、光学記憶装置(CD−ROM、DVD、光ディスクなど)、揮発性および不揮発性メモリ装置(例、EEPROM、ROM、PROM、RAM、DRAM、SRAM、フラッシュメモリ、ファームウェア、プログラマブル論理など)といった媒体を含みうる。上述したオペレーションを実施するコードは、さらにハードウェア論理(例、集積回路チップ、プログラマブルゲートアレイ(PGA)、特殊用途向け集積回路(ASIC)など)に実施されうる。さらに、上述したオペレーションを実施するコードは、「伝送信号」で実施されうる。伝送信号は、空間、または、光ファイバ、銅線などといった伝送媒体を通り伝播しうる。その中にコードまたは論理が符号化される伝送信号はさらに、無線信号、衛星伝送、無線波、赤外線信号、ブルートゥース(登録商標)などを含みうる。その中にコードまたは論理が符号化される伝送信号は、送信局により送信され、受信局により受信されることが可能であり、伝送信号内に符号化されるコードまたは論理は、受信および送信局または装置において、ハードウェアまたはコンピュータ可読媒体において復号化され格納されうる。「機械可読媒体」は、その中にコードが実装されうるコンピュータ可読媒体、ハードウェア論理、および/または伝送信号を含む。上述したオペレーションの実施形態を実施するコードがその中に符号化された装置は、コンピュータ可読媒体またはハードウェア論理を含みうる。当然ながら、当業者は、本発明の範囲から逸脱することなく多くの変更をこの構成に加え、また、製品は当該技術において周知である情報担持媒体を含みうることを認識するであろう。
【0059】
図8、11、および12に示すオペレーションは、特定の順序で発生する特定のイベントを示す。代替実施形態では、特定のオペレーションは、異なる順序で、変更されて、または削除されて行われうる。さらに、オペレーションが上述した論理に追加され、依然として上述した実施形態と一致しうる。さらに、本願に説明したオペレーションは、逐次的に発生しても、または、特定のオペレーションは、並列で処理されてもよい。さらに、オペレーションは、単一の処理ユニットまたは分散型処理ユニットによって処理されうる。
【0060】
上述したさまざまな実施形態は、例示および説明のために提示された。これは、網羅的でも限定的でもない。多くの変更および変形が上述の技術の教示内容を鑑みて可能である。
【符号の説明】
【0061】
100 オペレーティングシステム
110 リング0
120 オペレーティングシステムカーネル
122 ハードウェアアブストラクションレイヤ
124 サービス呼び出し
126 実行可能EFIランタイムドライバイメージ
150 プラットフォームファームウェア
160、162、164 EFIランタイムドライバ
170 ハードウェアデバイス
180 データ180
200 コンピュータデバイス
204 CPU
206 メモリ
208 ストレージ
210 オペレーティングシステム
212 OSカーネル
220 ドライバ
224 アプリケーションプログラム
230 EFIランタイムコンポーネント
232 タグ付きメモリ
233 オブジェクト記述子
234 キャッシュアズRAM
240 ネットワークアダプタ
250 入力装置
252 出力装置
260 バス
270 通信路
310 リング0
320 オペレーティングシステムカーネル
322 ハードウェアアブストラクションレイヤ
324 サービス呼び出し
326 タグ付きメモリ内の実行可能EFIランタイムドライバイメージ
350 プラットフォームファームウェア
360、362、364 EFIランタイムドライバ
370 ハードウェアデバイス
380 データ
400 CPU
410 制御ユニット
412 ALU
420 特殊レジスタ
422 スタック記述子レジスタ
424 スタックポインタレジスタ
426 データ記述子レジスタ
428 コード記述子レジスタ
430 命令ポインタ
440 汎用レジスタ
442 オブジェクト記述子
444 非初期化
446 データ
500 オブジェクト記述子
570 タグ付きメモリ
600 EFIイメージ
700 CPU
710 制御ユニット
712 ALU
740 汎用レジスタ
742 オブジェクト記述子
744 非初期化
746 データ
780 タグ
770 メモリ
【特許請求の範囲】
【請求項1】
拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納する工程と、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断する工程と
を備え、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止する方法。
【請求項2】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラー
のうちの1つを含む請求項1に記載の方法。
【請求項3】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項1または2に記載の方法。
【請求項4】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する工程をさらに備える請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記複数のオブジェクト記述子を前記タグ付きメモリに格納する工程の前に、タグ付きメモリが利用可能であるか否かを判断する工程と、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断する工程とをさらに備え、
前記タグ付きメモリにアクセスできるか否かを判断する工程の前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給する工程をさらに備え、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項1から5のいずれか一項に記載の方法。
【請求項7】
複数のオブジェクト記述子を含み、システムボードに結合されるタグ付きメモリと、
ハードウェア論理と、
を含むシステムであって、
前記ハードウェア論理は、
非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納し、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断した場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断した場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止するシステム。
【請求項8】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項7に記載のシステム。
【請求項9】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項7または8に記載のシステム。
【請求項10】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項7から9のいずれか一項に記載のシステム。
【請求項11】
前記ハードウェア論理は、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する請求項7から10のいずれか一項に記載のシステム。
【請求項12】
前記ハードウェア論理は、前記タグ付きメモリが利用可能であるか否かを判断し、前記タグ付きメモリが利用可能である場合に、EFIシステムが実装されているか否かを判断し、1つ以上の呼び出しポイントを非タグ付きメモリからタグ付きメモリに供給し、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項7から11のいずれか一項に記載のシステム。
【請求項13】
複数の命令が格納される機械可読媒体であって、
前記複数の命令は実行されると前記機械に、
拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納するオペレーションと、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記タグ付きメモリに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断するオペレーションと
を行わせ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理させ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止させる機械可読媒体。
【請求項14】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項13に記載の機械可読媒体。
【請求項15】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項13または14に記載の機械可読媒体。
【請求項16】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項13から15のいずれか一項に記載の機械可読媒体。
【請求項17】
前記非ファームウェアエージェントがアクセスを試みている場合に前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成するオペレーションをさらに行わせる請求項13から16のいずれか一項に記載の機械可読媒体。
【請求項18】
前記複数のオブジェクト記述子を前記タグ付きメモリに格納するオペレーションの前に、タグ付きメモリが利用可能であるか否かを判断するオペレーションと、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断するオペレーションとをさらに行わせ、
前記タグ付きメモリにアクセスできるか否かを判断するオペレーションの前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給するオペレーションをさらに行わせ、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項13から17のいずれか一項に記載の機械可読媒体。
【請求項1】
拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納する工程と、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断する工程と
を備え、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記判断する工程において、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止する方法。
【請求項2】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラー
のうちの1つを含む請求項1に記載の方法。
【請求項3】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項1または2に記載の方法。
【請求項4】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する工程をさらに備える請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記複数のオブジェクト記述子を前記タグ付きメモリに格納する工程の前に、タグ付きメモリが利用可能であるか否かを判断する工程と、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断する工程とをさらに備え、
前記タグ付きメモリにアクセスできるか否かを判断する工程の前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給する工程をさらに備え、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項1から5のいずれか一項に記載の方法。
【請求項7】
複数のオブジェクト記述子を含み、システムボードに結合されるタグ付きメモリと、
ハードウェア論理と、
を含むシステムであって、
前記ハードウェア論理は、
非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納し、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記オブジェクトに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断した場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理し、
前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断した場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止するシステム。
【請求項8】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項7に記載のシステム。
【請求項9】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項7または8に記載のシステム。
【請求項10】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項7から9のいずれか一項に記載のシステム。
【請求項11】
前記ハードウェア論理は、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスを試みている場合に、前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成する請求項7から10のいずれか一項に記載のシステム。
【請求項12】
前記ハードウェア論理は、前記タグ付きメモリが利用可能であるか否かを判断し、前記タグ付きメモリが利用可能である場合に、EFIシステムが実装されているか否かを判断し、1つ以上の呼び出しポイントを非タグ付きメモリからタグ付きメモリに供給し、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項7から11のいずれか一項に記載のシステム。
【請求項13】
複数の命令が格納される機械可読媒体であって、
前記複数の命令は実行されると前記機械に、
拡張可能ファームウェアインタフェースシステム(EFIシステム)が実装されている場合に、非タグ付きメモリにあるオペレーティングシステムと同じアクセスレベルを有するEFIランタイムコードおよびデータを含むオブジェクトと、前記オブジェクトに対する複数のオブジェクト記述子とを、格納している前記EFIランタイムコードおよびデータに前記オペレーティングシステム内の非ファームウェアエージェントがアクセスすることを阻止できるタグ付きメモリに格納するオペレーションと、
前記非ファームウェアエージェントが、前記オブジェクトが格納されている前記タグ付きメモリにアクセスを試みている場合に、前記非ファームウェアエージェントがアクセスを試みている前記タグ付きメモリに関連づけられた前記複数のオブジェクト記述子が含む、前記タグ付きメモリへのアクセス権に関連する情報に基づいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセスできるか否かを判断するオペレーションと
を行わせ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能と判断された場合には、前記非ファームウェアエージェントからのアクセスオペレーションを処理させ、
前記判断するオペレーションにおいて、前記非ファームウェアエージェントが前記タグ付きメモリにアクセス可能ではないと判断された場合には、前記非ファームウェアエージェントからの前記タグ付きメモリへのアクセスを阻止させる機械可読媒体。
【請求項14】
前記非ファームウェアエージェントは、誤ったコーラーおよび悪意のあるコーラーのうちの1つを含む請求項13に記載の機械可読媒体。
【請求項15】
前記複数のオブジェクト記述子のそれぞれは、前記タグ付きメモリへのアクセス権を示す情報を含む請求項13または14に記載の機械可読媒体。
【請求項16】
前記タグ付きメモリは、前記複数のオブジェクト記述子であるか否かを示すタグを含む請求項13から15のいずれか一項に記載の機械可読媒体。
【請求項17】
前記非ファームウェアエージェントがアクセスを試みている場合に前記タグ付きメモリへのアクセス権違反があると、インタラプトを生成するオペレーションをさらに行わせる請求項13から16のいずれか一項に記載の機械可読媒体。
【請求項18】
前記複数のオブジェクト記述子を前記タグ付きメモリに格納するオペレーションの前に、タグ付きメモリが利用可能であるか否かを判断するオペレーションと、前記タグ付きメモリが利用可能である場合に、前記EFIシステムが実装されているか否かを判断するオペレーションとをさらに行わせ、
前記タグ付きメモリにアクセスできるか否かを判断するオペレーションの前に、1つ以上の呼び出しポイントを非タグ付きメモリから前記タグ付きメモリに供給するオペレーションをさらに行わせ、
前記複数のオブジェクト記述子は、前記タグ付きメモリへのポインタを含む請求項13から17のいずれか一項に記載の機械可読媒体。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2011−238277(P2011−238277A)
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願番号】特願2011−159843(P2011−159843)
【出願日】平成23年7月21日(2011.7.21)
【分割の表示】特願2007−245614(P2007−245614)の分割
【原出願日】平成19年9月21日(2007.9.21)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
【公開日】平成23年11月24日(2011.11.24)
【国際特許分類】
【出願日】平成23年7月21日(2011.7.21)
【分割の表示】特願2007−245614(P2007−245614)の分割
【原出願日】平成19年9月21日(2007.9.21)
【出願人】(591003943)インテル・コーポレーション (1,101)
【Fターム(参考)】
[ Back to top ]