路由器和虚拟受信任运行时bios的制作方法
【专利摘要】一种实现方式可以包括由虚拟机监视器管理的虚拟受信任运行时BIOS。可以包括该虚拟受信任运行时BIOS的替换部分。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换指向该虚拟受信任运行时BIOS的资源的地址。
【专利说明】路由器和虚拟受信任运行时BIOS
【背景技术】
[0001]像计算机或其它类型的设备这样的电子设备能够包括负责启动该电子设备的基本输入/输出系统(BIOS)。在启动期间,BIOS初始化并配置该电子设备的组件,并且加载该电子设备中的操作系统。此外,BIOS还能够提供其它服务,如电源管理服务、热管理服务、BIOS更新服务等等。
【专利附图】
【附图说明】
[0002]一些实施例是关于下面的附图描述的:
[0003]图1是根据替换虚拟受信任运行时BIOS —部分的示例实现方式的计算系统的框图;
[0004]图2是根据替换虚拟受信任运行时BIOS —部分的示例实现方式的计算系统的框图;
[0005]图3是根据实现方式的替换虚拟受信任运行时BIOS —部分的方法的流程图;
[0006]图4是根据实现方式的替换虚拟受信任运行时BIOS —部分的方法的流程图;以及
[0007]图5是根据计算机可读介质的示例实现方式的计算系统的框图。
【具体实施方式】
[0008]基本输入/输出系统(BIOS)通常是在电子设备启动时由该电子设备运行的最初代码。电子设备的示例包括计算机(例如台式计算机、笔记本计算机、平板计算机、服务器计算机等)、手持设备(例如个人数字助理、智能电话等)、电子装置、游戏控制台或任何其它类型的电子设备。BIOS对该电子设备的各种硬件组件进行初始化和配置,并且加载和启动该电子设备的操作系统(OS)。用于BIOS的代码通常存储在非易失性存储器上,如闪存设备或其它类型的可编程只读存储器(ROM)。
[0009]尽管上面列出各种示例BIOS功能,但是注意到在其它实现方式中能够使用其它或可替代的BIOS功能。
[0010]根据一些实现方式,为了更强健的系统行为,能够在电子设备的虚拟受信任运行时BIOS中提供BIOS的功能,该虚拟受信任运行时BIOS可以位于特权域(privilegeddomain)中,其中特权域是电子设备的域,该域具有不可由电子设备中的其它实体利用的特定预限定的特权。“特权域”可以指具有预限定的特权的域,该预限定的特权允许该域内的实体执行电子设备中其它实体(例如OS、应用程序等)不被允许执行的功能。另外,特权域还具有保护该特权域不受未经授权的访问或攻击影响的安全机制。
[0011]与虚拟受信任运行时BIOS的通信可以通过基于网页(web)的协议。物理BIOS不能够实时地被替换,因为在替换BIOS时,操作系统不能够在没有BIOS的情况下继续操作。虚拟受信任运行时BIOS能够,至少部分地通过适当地经授权替换该虚拟运行时BIOS的一部分并且经由基于网页的协议将通信重定向至该虚拟受信任运行时BIOS的替换部分,被替换。[0012]特权域的示例包括下面中的任一种或某一组合:域0,其经常是由执行管理任务的虚拟机监视器(还被称为管理程序(hypervisor))启动的第一域;该虚拟机监视器(或管理程序)的一部分;来宾虚拟机,该来宾虚拟机具有向该来宾虚拟机提供增强的特权和/或安全的预限定设置;或者电子设备中具有预限定的特殊特权和/或安全机制的另一类型的域。安全特权域能够包括虚拟受信任运行时BIOS,该虚拟受信任运行时BIOS能够包括用于安全地处理系统管理指令的虚拟高特权模式,而不必具有在与虚拟机监视器的对等层次上的组件(如系统管理模式转换监视器),以使虚拟高特权模式与其它域分离以及保护虚拟高特权模式不受其它域影响。
[0013]“虚拟机”(还被称为“虚拟装置”或“虚拟分割”)指为对物理机器进行虚拟化或仿真而提供的物理机器(电子设备)的某一部分或片段。从用户或应用的角度看,虚拟机看上去像物理机器。虚拟机包括操作系统(被称为来宾操作系统)以及至少一个应用程序。
[0014]还被称为管理程序的虚拟机监视器(VMM)管理电子设备的包括硬件组件在内的物理资源中由虚拟机进行的共享。VMM对物理资源进行虚拟化。每个虚拟机具有由VMM管理的关联的虚拟化物理资源。VMM处理对物理资源的请求。
[0015]在一个实现方式中,计算系统包括硬件和虚拟机监视器。该虚拟机监视器能够管理虚拟受信任运行时BIOS。该计算系统能够包括该虚拟受信任运行时BIOS的替换部分。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换指向该虚拟受信任运行时BIOS的资源的地址。
[0016]在另一实现方式中,替换计算系统中的虚拟受信任运行时BIOS的一部分的方法包括虚拟受信任运行时BIOS由虚拟机监视器管理并且该虚拟受信任运行时BIOS的替换部分由该虚拟机监视器管理。路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向该虚拟受信任运行时BIOS的资源的第一地址。
[0017]参考附图,图1是根据替换虚拟受信任运行时BIOS的一部分的示例实现方式的计算系统的框图。计算系统100能够包括处理器110。处理器110是计算系统100的硬件105的一部分。处理器Iio可以是通用处理器或专用处理器。作为示例,硬件105还能够包括:I/O设备、易失性存储器、二级存储器、闪存、网络接□控制器、图形适配器等。该系统能够包括虚拟机监视器115,以管理硬件组件的物理资源并且虚拟化物理资源。计算系统包括附接至来宾域130的虚拟基本输入输出系统(vBIOS) 135。来宾域130是可以运行诸如微软视窗、Linux、Unix或别的操作系统之类的操作系统的虚拟机。
[0018]在一些示例中,特权域120是域O,其是在系统启动时由VMM102启动的管理域并且具有增强的特权和安全机制。由域O执行的任务的示例包括创建和配置来宾域。域O和来宾域中的每个域均被认为是对应的虚拟机。特权域120能够与VMMl 15分离。在替代实现方式中,特权域120可以是VMM115的一部分。在这样的替代实现方式中,虚拟受信任运行时BIOS功能125是VMM115的一部分。特权域120在其由受信任的VMM115生成或管理时可以是受信任的域。
[0019]在特权域120中提供BIOS功能125实现“云中的B10S”,该“云中的BIOS”还被称为“虚拟受信任运行时B10S125或BIOS.V。“云”能够指特权域120 (或某一其它受信任的域)。该云能够位于计算系统100内或计算系统100外。例如,包含虚拟受信任运行时B10S125功能的云能够由计算系统100通过网络访问。网络可以是例如局域网、广域网或环球网。
[0020]在一些实现方式中,由基于网页的网络通信功能提供的基于网页的接口是服务请求者-服务提供者模型的一部分,该服务请求者-服务提供者模型允许请求者(例如,域)通过网络从提供者(例如,服务器计算机)请求服务(例如,BIOS服务)。作为示例,基于网页的接口可以是网页服务接口。网页服务指被设计来支持可互操作的机器对机器的机制,该可互操作的机器对机器可以是通过网络的虚拟机对虚拟机交互。网页服务接口可以根据由网页服务描述语言(WSDL)描述的格式,该网页服务描述语言(WSDL)由万维网联盟(W3C)定义。可替代地,网页服务接口能够根据(也由W3C定义的)简单对象访问协议(S0AP),该简单对象访问协议是用于通过网络在网页服务实现方式中交换结构化信息的协议。
[0021]作为另一替代,基于网页的接口能够根据表述性状态转移(REST)体系结构,该体系结构包括客户机和服务器,其中客户机能够向服务器提交请求且服务器能够向客户机提供响应。请求和响应是围绕资源的表述的转移建立的。资源可以是可以被寻址的任何连贯的且有意义的概念。资源的表述通常是捕获资源的当前状态或预期状态的文档。在REST体系结构中,由客户机(例如,电子设备)递交的请求能够在一些示例中是超文本传输协议(HTTP)获得(Get)请求。服务器(例如,服务器计算机)能够对该HTTP获得请求提供HTTP响应。
[0022]在基于网页的接口中,通过发出包含所请求的资源的地址的BIOS访问请求,能够访问资源(例如,内部的BIOS功能或外部的BIOS功能)。该地址可以是网页地址,如统一资源定位器(URL)、互联网协议(IP)地址、像电子邮件地址这样的简单邮件传输协议(SMTP)或能够唯一地识别所请求的资源的某一其它地址。
[0023]为了更新虚拟受信任运行时B10S125,生成该虚拟受信任运行时BIOS的替换部分126。该虚拟受信任运行时BIOS的替换部分126可以位于与虚拟受信任运行时B10S125不同的地址。例如,该虚拟受信任运行时BIOS可以具有处于第一 URL、IP地址或SMTP地址处的请求资源,该虚拟受信任运行时BIOS的替换部分可以具有处于第二 URL、IP地址或SMTP地址处的替换请求资源。该虚拟受信任运行时BIOS的替换部分126可以位于虚拟受信任运行时B10S125的域(如特权域120)内,或者位于包括另一域的不同位置以及远离该计算系统的位置。
[0024]路由器190能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换该虚拟受信任运行时BIOS的资源的地址。路由器190可以是物理组件,如处理器110,可以是虚拟组件,可以是VMM的一部分,或者可以是另一组件。
[0025]该虚拟受信任运行时BIOS的替换部分可以从外部源(如计算系统制造者)接收。该虚拟受信任运行时BIOS的替换部分可以是设置,例如控制系统温度的风扇控制设置或算法。在实时设置中更新该虚拟受信任运行时BIOS可以防止重启计算系统来更新BIOS或该BIOS的任何部分。例如,如果使用该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分更新风扇控制设置。该虚拟受信任运行时BIOS的替换部分可以包括替换请求资源,如风扇控制设置。为了访问该替换请求资源,系统可以使用包括该替换请求资源的该虚拟受信任运行时BIOS的替换部分的URL、IP地址或SMTP地址。
[0026]为了重定向对资源的请求,像VMM这样的组件可以替换通信的URL、IP地址或SMTP地址。例如,VMM可以包括该虚拟受信任运行时BIOS的地址和虚拟受信任运行时BIOS的替换部分的对应地址的表格。如果将对资源的请求发送至该虚拟受信任运行时BIOS的地址,则像VMM这样的组件可以将对该虚拟受信任运行时BIOS的地址的请求重定向至该虚拟受信任运行时BIOS的替换部分的地址。
[0027]在替代实现方式中,如果虚拟受信任运行时BIOS的替换部分包括该替换资源,则组件可以向可能请求资源的域(如来宾域)通知资源的新地址。向该域通知资源的地址变化能够重定向对资源的请求。
[0028]响应于包含在基于网页的接口处接收的地址的虚拟受信任运行时BIOS访问请求,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能中合适的虚拟受信任运行时BIOS功能。在一些情况中,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能。
[0029]图2是根据虚拟高特权模式的示例实现方式的计算系统的框图。计算系统200能够包括处理器210。处理器210是计算系统200的硬件205的一部分。该硬件能够包括固件245,固件245可以包括基本输入/输出系统(B10S)250以及可扩展固件接口(EFI)255。B10S250可以被称为物理BIOS。“物理BIOS”指驻留在诸如闪存或其它可编程只读存储器之类的非易失性存储器内的并且应当在计算系统200启动时运行的BIOS代码。在一些实现方式中,物理BIOS可以是BIOS的精简(简化)版本,因为系统管理模式的至少一部分被移至虚拟受信任运行时B10S225。如果实现了虚拟受信任运行时B10S225,则由于与虚拟受信任运行时B10S225关联的信任,物理B10S250可以继续被解锁来允许变化。处理器210可以是通用处理器或专用处理器。该系统能够包括虚拟机监视器VMM215,以管理硬件组件的物理资源并且虚拟化物理资源。计算系统200包括附接至来宾域230的虚拟基本输入输出系统(vBIOS) 235。来宾域230是可以运行诸如微软视窗、Linux、Unix或别的操作系统之类的操作系统的虚拟机。
[0030]在一些示例中,特权域220是域0,其是在系统启动时由VMM215启动的、具有增强的特权和安全机制的管理域。由域O执行的任务的示例包括创建和配置来宾域。域O和来宾域中的每个域均被认为是对应的虚拟机。特权域220能够与VMM215分离。在替代实现方式中,特权域220可以是VMM215的一部分。在这样的替代实现方式中,虚拟受信任运行时B10S225是VMM215的一部分。
[0031]在一些实现方式中,云中的BIOS建立在基于VMM的体系结构基础上:物理BIOS知道并且信任该物理BIOS正在启动的主运行时实体(VMM215),并且BIOS信任的VMM有能力捕获并且关闭除来自特权域的那些1/0请求以外的所有1/0请求(访问BIOS功能)。在一些实现方式中,能够提供BIOS核验机制来验证要被计算系统启动的VMM的来源。这样的核验机制允许管理员或其它用户指定在计算系统中只能够启动经验证的VMM。核验机制确保计算系统内的VMM镜像未被恶意修改,并且该VMM能够被信任。物理BIOS能够可视地核验VMM镜像,并且确保用事先已经指定的已知一组受控操作设置启动该VMM。
[0032]在核验已经启动经验证的VMM以后,然后物理BIOS能够推迟或省略物理BIOS会正常执行的各种安全手段的运行,以防止被未经验证的或恶意的代码的破坏。例如,物理BIOS能够选择不锁定BIOS快闪寄存器和/或闪存的多个部分。
[0033]在虚拟受信任运行时B10S225设置在计算系统200内部中的实现方式中。从希望访问BIOS服务的计算系统的来宾虚拟机或其它实体的角度,包括BIOS服务的云能够位于任何位置,该任何位置包括位于计算系统外的位置。
[0034]在具有虚拟受信任运行时BIOS的一个实现方式中,除特权域或另一受信任域以外的其它域将能够与BIOS通信。这可能是因为从来宾域至BIOS的所有通信被捕获并且被路由至特权域部分来由适当过滤器接收和处理。然后,特权域中的虚拟高特权模式能够处理该请求并且做出对闪存或BIOS的直接调用或间接调用。然后,该从特权域至BIOS的调用将由管理程序允许来经历,因为管理程序能够检测从特权域而非来宾域产生的调用。
[0035]为了更新虚拟受信任运行时B10S225,生成该虚拟受信任运行时BIOS的替换部分226。该虚拟受信任运行时BIOS的替换部分226可以位于与虚拟受信任运行时B10S225不同的地址。例如,该虚拟受信任运行时BIOS可以具有处于第一 URL、IP地址或SMTP地址处的请求资源,并且该虚拟受信任运行时BIOS的替换部分可以具有处于第二 URL、IP地址或SMTP地址处的替换请求资源。该虚拟受信任运行时BIOS的替换部分126可以位于虚拟受信任运行时225的域(如特权域220)内,或者位于包括另一域的不同位置以及远离该计算系统的位置。
[0036]路由器290能够用指向该虚拟受信任运行时BIOS的替换部分的资源的地址替换该虚拟受信任运行时BIOS的资源的地址。路由器290可以是物理组件,如处理器210,可以是虚拟组件,可以是VMM的一部分,或者可以是另一组件。
[0037]该虚拟受信任运行时BIOS的替换部分可以从外部源(如计算系统制造者)接收。该虚拟受信任运行时BIOS的替换部分可以是设置,例如控制系统温度的风扇控制设置或算法。在实时设置中更新该虚拟受信任运行时BIOS可以防止重启计算系统来更新BIOS或该BIOS的任何部分。例如,如果使用该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分更新风扇控制设置。该虚拟受信任运行时BIOS的替换部分可以包括替换请求资源,如风扇控制设置。为了访问该替换请求资源,系统可以使用包括该替换请求资源的该虚拟受信任运行时BIOS的替换部分的URL、IP地址或SMTP地址。
[0038]为了重定向对资源的请求,像VMM这样的组件可以替换通信的URL、IP地址或SMTP地址。例如,VMM可以包括该虚拟受信任运行时BIOS的地址和虚拟受信任运行时BIOS的替换部分的对应地址的表格。如果将对资源的请求发送至该虚拟受信任运行时BIOS的地址,则像VMM这样的组件可以将对该虚拟受信任运行时BIOS的地址的请求重定向至该虚拟受信任运行时BIOS的替换部分的地址。
[0039]在替代实现方式中,如果虚拟受信任运行时BIOS的替换部分包括该替换资源,则组件可以向可能请求资源的域(如来宾域)通知资源的新地址。向该域通知资源的地址变化能够重定向对资源的请求。
[0040]响应于包含在基于网页的接口处接收的地址的虚拟受信任运行时BIOS访问请求,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能中合适的虚拟受信任运行时BIOS功能。在一些情况中,基于网页的网络通信功能能够将该请求送往内部的虚拟受信任运行时BIOS功能和外部的虚拟受信任运行时BIOS功能。
[0041]虚拟受信任运行时BIOS —部分的替换应当是安全的,以防止该系统变得易受由虚拟受信任运行时BIOS的该部分的替换导致的攻击影响。在VMM215中示出的授权模块295可以位于域内或者例如虚拟装置可以授权该虚拟受信任运行时BIOS的替换。该授权模块可以授权虚拟受信任运行时BIOS的替换部分226的生成,此时路由器能够将请求路由至该虚拟受信任运行时BIOS的替换部分的地址。授权模块295可以授权该路由器用该虚拟受信任运行时BIOS的替换部分替换该虚拟受信任运行时BIOS的资源的地址。该授权模块可以读取数字签名、数字证书或者该虚拟受信任运行时BIOS的替换部分的另一组件。VMM215是受信任的组件,该授权模块可以依靠VMM215的信任组件来授权至该虚拟受信任运行时BIOS的替换部分的地址的请求的路由。
[0042]通信285能够被路由至虚拟受信任运行时B10S225的资源的第一地址或者虚拟受信任运行时BIOS的替换部分226的第二地址。尽管仅示出一个替换部分,但是其可以代表该虚拟受信任运行时BIOS的多个替换部分。例如,可能存在该虚拟受信任运行时BIOS的第二替换部分。第二替换部分可以包括被该替换部分替换的资源,或者可以替换该虚拟受信任运行时BIOS的资源。该虚拟受信任运行时BIOS的替换部分还可以包括被该替换部分替换的多个资源。
[0043]在一个实现方式中,B10S250和EFI255能够包括可由基于网页的协议使用该资源的地址访问的资源。例如,该虚拟受信任运行时B10S225或者该虚拟受信任运行时BIOS的替换部分226可以能够控制该系统的硬件205的一部分。为了控制该硬件,虚拟受信任运行时B10S225或者虚拟受信任运行时BIOS的替换部分226可以进行向B10S250或EFI255的通信。
[0044]在一个实现方式中,硬件可以包括收发器265。该收发器能够将计算系统200连接至网络或另一计算系统。将计算系统200连接至具有其它计算系统的网络或者直接连接至另一计算系统能够允许虚拟受信任运行时B10S225或该虚拟受信任运行时BIOS的替换部分驻留在远离计算系统的位置。在一个示例中,虚拟受信任运行时B10S225在计算系统200中驻留在第一地址,该虚拟受信任运行时BIOS的替换部分驻留在远离该计算系统的第二地址。如果例如来宾域230向该虚拟受信任运行时BIOS发送对资源的请求,那么路由器290会使用第一地址,然而如果该替换部分包括请求资源的替换,则该地址会是该虚拟受信任运行时BIOS的替换部分处的资源的地址,该替换部分会被路由至收发器265,无论其位于哪里收发器265会基于第二地址被路由到该虚拟受信任运行时BIOS的替换部分。
[0045]图3是根据实现方式的替换虚拟受信任运行时BIOS —部分的方法的流程图。该替换计算系统100中的虚拟受信任运行时BIOS —部分的方法从305处管理虚拟受信任运行时BIOS开始。虚拟受信任运行时B10S125的管理能够通过虚拟机监视器115进行。
[0046]该方法能够在310处管理该虚拟受信任运行时BIOS的替换部分。该虚拟受信任运行时BIOS的替换部分的管理可以通过VMM进行。VMM可以生成该虚拟受信任运行时BIOS的替换部分,或者可以从外部源(如计算系统的制造者)接收该虚拟受信任运行时BIOS的替换部分。虚拟受信任运行时BIOS上的替换部分的管理可以包括将该虚拟受信任运行时BIOS上的替换部分放置在主管该虚拟受信任运行时BIOS的域中或者放置在可以包括远离计算系统的域的另一域中。
[0047]在315处,路由器190能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向该虚拟受信任运行时BIOS的资源的第一地址。该路由器可以是例如物理控制器(如处理器110)、虚拟组件(如VMM或另一组件)。[0048]图4是根据实现方式的替换虚拟受信任运行时BIOS —部分的方法的流程图。计算系统100中的替换虚拟受信任运行时BIOS —部分的该方法在405处从管理虚拟受信任运行时BIOS开始。虚拟受信任运行时B10S125的管理能够通过虚拟机监视器115进行。
[0049]在407处,该虚拟受信任运行时BIOS的替换部分能够被授权。该虚拟受信任运行时BIOS的替换部分的授权可以通过授权模块,或者可以通过VMM以信任虚拟受信任运行时BIOS的相同方式进行。该授权可以审阅数字签名、数字证书或另一类型的安全授权。
[0050]在410处,该方法能够管理该虚拟受信任运行时BIOS的替换部分。该虚拟受信任运行时BIOS的替换部分的管理可以通过VMM进行。VMM可以生成该虚拟受信任运行时BIOS的替换部分,或者可以从外部源(如计算系统的制造者)接收该虚拟受信任运行时BIOS的替换部分。虚拟受信任运行时BIOS上的替换部分的管理可以包括将该虚拟受信任运行时BIOS上的替换部分放置在主管该虚拟受信任运行时BIOS的域中或者放置在可以包括远离计算系统的域的另一域中。
[0051]在414处,由路由器进行的指向该虚拟受信任运行时BIOS的资源的第一地址向指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址的替换可以被授权。第一地址向第二地址的替换的授权可以通过授权模块,或者可以通过VMM以与信任虚拟受信任运行时BIOS的方式相同的方式进行。授权可以审阅数字签名、数字证书或另一类型的安全授权。
[0052]在415处,路由器能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换该虚拟受信任运行时BIOS的资源的第一地址。该路由器可以是例如物理控制器(如处理器110)、虚拟组件(如VMM或另一组件)。
[0053]虚拟受信任运行时BIOS的第二替换部分可以由VMM管理。在418处,通信可以被路由至该虚拟受信任运行时BIOS的第二替换部分。
[0054]在一个实现方式中,在420处,虚拟受信任运行时BIOS以及该虚拟受信任运行时BIOS的替换部分二者之一或二者都可以位于远离的位置并且进行通信。该通信可以是通过将该通信引导至所请求的资源的地址进行。该通信的地址可以是在网页通信协议中使用的地址,以将该通信路由至该地址。
[0055]所请求的资源可以由虚拟受信任运行时BIOS以及该虚拟受信任运行时BIOS的替换部分提供。为了确定是否替换该通信的地址,在412处可以考虑该虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分被建立的时间。例如,如果该虚拟受信任运行时BIOS的替换部分被建立的时间按时间先后顺序在该虚拟受信任运行时BIOS被建立的时间以后,那么该虚拟受信任运行时BIOS的替换部分的更加新近的资源的地址可以用来将该通信路由至所请求的资源。
[0056]图5是根据计算机可读介质515-516的示例实现方式的计算系统500的框图。该计算系统可以包括控制器集线器510,该控制器集线器510可以连接至图形控制器520、显示器530、键盘535、鼠标540和传感器545。计算机可读介质515-516能够包括如果被处理器505运行就能够管理虚拟受信任运行时BIOS和该虚拟受信任运行时BIOS的替换部分的代码。该代码还能够用指向该虚拟受信任运行时BIOS的替换部分的资源的第二地址替换该虚拟受信任运行时BIOS的资源的第一地址。
[0057]各种模块,如在其它图中绘出的那些模块,能够被实现为能够在一个或多个处理器上运行的机器可读指令。处理器能够包括微处理器、微控制器、处理器模块或子系统、可编程集成电路、可编程门阵列或者别的控制设备或计算设备。
[0058]该机器可读指令能够存储在机器可读存储介质或计算机可读存储介质中,该机器可读存储介质或计算机可读存储介质能够被实现为一个或多个计算机可读存储介质或机器可读存储介质。存储介质能够包括不同形式的存储器,包括诸如动态随机存取存储器(DRAM)或静态随机存取存储器(SRAM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)和闪存之类的半导体存储器设备,诸如硬盘、软盘和可换式磁盘之类的磁盘,包括磁带的其它磁性介质,诸如光盘(CD)或数字视频盘(DVD)之类的光学介质,或其它类型的存储设备。注意,上面论述的指令能够提供在一个计算机可读存储介质或机器可读存储媒介上,或者可替代地,能够提供在分布于可能具有多个节点的大型系统中的多个计算机可读存储介质或机器可读存储介质上。这种计算机可读存储媒介或介质,或机器可读存储媒介或介质被认为是物品(或制品)的一部分。物品或制品能够指任意被制造的单个组件或多个组件。存储媒介或存储介质能够位于运行该机器可读指令的机器内或者位于能够通过网络下载用于运行的机器可读指令的远程位置。
[0059]在前面的描述中,阐述许多细节,以提供对本文公开的主题的理解。然而,实现方式可以在没有这些细节中的一些细节或全部细节的条件下实践。其它实现方式可以包括上面介绍的细节的改变和变型。希望所附权利要求覆盖上述改变和变型。
【权利要求】
1.一种计算系统,包括: 硬件; 虚拟机监视器; 虚拟受信任运行时BIOS,由所述虚拟机监视器管理; 所述虚拟受信任运行时BIOS的替换部分;以及 路由器,用指向所述虚拟受信任运行时BIOS的替换部分的资源的地址替换指向所述虚拟受信任运行时BIOS的资源的地址。
2.根据权利要求1所述的系统,进一步包括所述虚拟受信任运行时BIOS的第二替换部分。
3.根据权利要求1所述的系统,进一步包括:授权模块,该授权模块对用指向所述虚拟受信任运行时BIOS的替换部分的资源的地址替换指向所述虚拟受信任运行时BIOS的资源的地址进行授权。
4.根据权利要求3所述的系统,其中所述授权模块在对所述虚拟受信任运行时BIOS的替换部分的数字签名进行授权以后对地址的替换进行授权。
5.根据权利要求1所述的系统,进一步包括特权域,该特权域主管所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分。
6.根据权利要求1 所述的系统,进一步包括收发器,该收发器与远离所述硬件设置的所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分之一通信。
7.一种替换计算系统中的虚拟受信任运行时BIOS的一部分的方法,该方法包括: 管理虚拟受信任运行时BIOS ; 管理所述虚拟受信任运行时BIOS的替换部分; 通过路由器,用指向所述虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向所述虚拟受信任运行时BIOS的资源的第一地址。
8.根据权利要求7所述的方法,进一步包括对所述虚拟受信任运行时BIOS的替换部分进行授权。
9.根据权利要求8所述的方法,进一步包括授权所述路由器用所述指向所述虚拟受信任运行时BIOS的替换部分的资源的第二地址替换所述指向所述虚拟受信任运行时BIOS的资源的第一地址。
10.根据权利要求7所述的方法,进一步包括与远离所述计算系统设置的所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分之一通信。
11.根据权利要求7所述的方法,进一步包括:通过所述虚拟机监视器,基于所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分被建立的时间,确定将所述通信路由至哪里。
12.—种计算机可读媒介,该计算机可读媒介包括代码,如果处理器运行该代码则引起计算系统: 管理虚拟受信任运行时BIOS ; 管理所述虚拟受信任运行时BIOS的替换部分; 用指向所述虚拟受信任运行时BIOS的替换部分的资源的第二地址替换指向所述虚拟受信任运行时BIOS的资源的第 一地址。
13.根据权利要求12所述的计算机可读媒介,进一步包括代码,该代码如果被运行则引起计算设备: 与远离所述计算系统设置的所述虚拟运行时BIOS和所述虚拟受信任运行时BIOS的替换部分之一通信。
14.根据权利要求12所述的计算机可读媒介,进一步包括代码,该代码如果被运行则引起计算设备: 使用网页通信协议与所述虚拟受信任运行时BIOS和所述虚拟受信任运行时BIOS的替换部分通信。
15.根据权利要求12所述的计算机可读媒介,进一步包括代码,该代码如果被运行则引起计算设备: 授权所述路由器来用所述指向所述虚拟受信任运行时BIOS的替换部分的资源的第二地址替换所述指向所述 虚拟受信任运行时BIOS的资源的第一地址。
【文档编号】G06F9/22GK103890715SQ201180074226
【公开日】2014年6月25日 申请日期:2011年10月19日 优先权日:2011年8月30日
【发明者】瓦柳丁·Y·阿里, 约瑟·保罗·泽维尔·皮雷斯, 詹姆斯·M·曼, 波利斯·巴拉切夫, 克里斯·I·道尔顿 申请人:惠普发展公司,有限责任合伙企业