安全固件更新的制作方法
【专利说明】安全固件更新
[0001]背景
[0002]计算平台的不同硬件资源(例如,模块、组件和设备)可具有不时发布对其的更新的固件。传统上,独立硬件供应商(IHV)和原始设备制造商(OEM)负责处理对其自己的硬件资源的固件更新。因此,不同的供应商和制造商可建立通常在后引导环境中(例如,在计算平台加载操作系统之后)操作的用于部署和应用经更新的固件的不同、独立和/或专用机制和系统。这些多个第三方机制可能由于提供可被利用来注入用于硬件资源的不合适和/或恶意的固件的相应入口点而造成安全威胁。因此,在后引导环境中启用的传统固件更新呈现了可能被用来取得对计算平台的控制和/或对计算平台造成损害的安全威胁。
[0003]概述
[0004]提供本概述以便以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
[0005]描述了安全固件更新。在一个或多个实施例中,固件更新系统被实现为以限定且一致的方式集中式地处理对硬件资源的固件更新。固件更新系统被配置成在预引导环境中(例如,在加载操作系统之前)处理至少某些固件更新。由此,该固件更新系统可行使对更新的控制并减少暴露给攻击者的入口点。在一种方法中,为由固件更新系统管理的硬件资源定义更新状态。在预引导环境中,受管硬件资源的更新状态被设置成启用固件更新。固件更新系统然后可检测并应用对受管硬件资源可用的固件更新。在应用更新后,更新状态被设置成禁用固件更新并加载操作系统。在已加载的操作系统的运行时环境中,禁用对受管硬件资源的固件更新。
[0006]附图简述
[0007]图1示出其中可采用安全固件更新的一个或多个实施例的示例操作环境。
[0008]图2是示出根据一个或多个实施例的设备的示例资源的图示。
[0009]图3是描述根据一个或多个实施例的示例过程的细节的流程图。
[0010]图4是描述根据一个或多个实施例的另一示例过程的细节的流程图。
[0011]图5是描述根据一个或多个实施例的又一示例过程的细节的流程图。
[0012]图6是可以实现各种实施例的系统的框图。
[0013]详细描述
[0014]概览
[0015]传统上,独立硬件供应商(IHV)和原始设备制造商(OEM)负责处理对其自己的硬件资源的固件更新,这可能暴露攻击者可利用来注入恶意固件的不受控制的入口点。
[0016]描述了安全固件更新。在一个或多个实施例中,固件更新系统被实现为以限定且一致的方式集中式地处理对硬件资源的固件更新。固件更新系统被配置成在预引导环境中(例如,在加载操作系统之前)处理至少某些固件更新。由此,该固件更新系统可行使对更新的控制并减少暴露给攻击者的入口点。在一种方法中,为由固件更新系统管理的硬件资源定义更新状态。在预引导环境中,受管硬件资源的更新状态被设置成启用固件更新。固件更新系统然后可检测并应用对受管硬件资源可用的固件更新。在应用更新后,更新状态被设置成禁用固件更新并加载操作系统。在已加载的操作系统的运行时环境中,禁用对受管硬件资源的固件更新。
[0017]在以下讨论中,提供了题为“操作环境”的章节,该章节描述其中可采用一个或多个实施例的一个环境。然后,题为“安全固件更新示例”的章节描述了根据一个或多个实施例的一个示例技术和细节。最后,题为“示例系统”的章节描述了可用于实现一个或多个实施例的示例计算系统和设备。
[0018]操作环境
[0019]图1在100处概括地示出根据一个或多个实施例的操作环境。环境100包括计算设备102,计算设备102具有处理系统104、一个或多个计算机可读介质106、操作系统108以及驻留在计算机可读介质上并可由处理器执行的一个或多个应用110。处理系统104可以按各种方式被配置成从应用110检索并执行计算机程序指令以便向计算设备102提供各种各样的功能,包括但不限于游戏、办公生产力、电子邮件、媒体管理、打印、联网、web浏览等。还可包括与应用110相关的各种数据和程序文件,例如包括游戏文件、办公文档、多媒体文件、电子邮件、数据文件、网页、用户简档和/或偏好数据等。
[0020]计算设备102可被具体化为任何合适的计算系统和/或设备,诸如作为示例而非限制:游戏系统、台式计算机、便携式计算机、平板或板式计算机、诸如个人数字助理(PDA)等手持式计算机、蜂窝电话、机顶盒等等。例如,如图1所示,计算设备102可被实现为电视机客户端设备112、计算机114和/或连接到显示设备118以显示媒体内容的游戏系统116。或者,计算设备可以是任何类型的便携式计算机、移动电话、便携式设备120、平板或板式设备122和/或可包括集成显示器。任一计算设备可以实现有各种组件,诸如一个或多个处理器和存储器设备以及不同组件的任何组合。可表示包括计算设备102的各种系统和/或设备的计算系统的一个示例以下在图6中示出和描述。
[0021]计算机可读介质可包括,作为示例而非限制,通常与计算设备相关联的所有形式的易失性和非易失性存储器和/或存储介质。这种介质可包括ROM、RAM、闪存、硬盘、可移动介质等。计算机可读介质可包括“计算机可读存储介质”和“通信介质” 二者,其示例可在图6的示例计算系统的讨论中找到。
[0022]计算设备102还包括表示通常与计算设备相关联的不同组件和设备的各种不同的硬件资源124。硬件资源124可包括集成组件、可移动组件以及可经由有线和/或无线连接来连接到计算设备102的外部外围设备。硬件资源124中的至少某一些具有可根据上文和下文描述的技术来更新的相关联的固件126。一些示例硬件资源124以下参考图2讨论。
[0023]图1的计算设备102还包括驻留在计算机可读介质上且可由处理器执行的固件系统128和安全更新模块130。固件系统128表示以下功能:实现固件接口并执行如上文和下文描述的用于集中式地管理对多个硬件资源124的固件更新的各种技术。固件系统128可被实现为如图1所描绘的独立组件。固件系统128还可被实现为操作系统108的集成组件。
[0024]安全更新模块I30表示以下功能:实现上文和下文描述的用于安全固件更新的技术。具体而言,安全更新模块可管理对计算设备的所选硬件资源的更新。一般而言,这涉及在预引导环境中启用对受管硬件资源的更新,调用并与固件系统128对接以使得在预引导环境中应用可用固件更新,并且随后在引导OS之前禁用对受管硬件资源的固件更新。以此方式,在由安全更新模块130控制的安全预引导环境之外禁用对受管硬件资源的固件更新。安全更新模块130可被实现为如图1所描绘的独立组件。本文描述的与安全更新模块130和/或固件系统128有关的一些功能也可由计算设备102的引导程序和/或操作系统108来实现。
[0025]固件系统128对固件更新的管理可包括但不限于:发现资源以及检测、分析、获取、分发、安装和跟踪对已注册或以其他方式被指定通过固件更新系统获取固件更新的特定资源的固件更新。一般而言,标识被指定为通过该系统来进行固件处理的资源,并且检测对这些资源的可用更新。固件系统128还可用于获取合适形式的更新并且将更新部署/分发到适当的资源以发起安装。固件系统128还可执行对更新的跟踪以标识成功或失败,记录关于已安装的固件的版本信息、启用固件回滚,等等。
[0026]以此方式,固件更新可以在预引导环境中通过与固件系统128结合的安全更新模块130来安全地执行。对固件更新的处理被卸载到固件系统128,该固件系统128被配置成代表不同的硬件资源124和/或相应的IHV和OEM来集中式地管理固件更新。安全更新模块130然后操作以在预引导环境之外禁用固件更新。这些和其他方面参考以下附图更详细地描述。
[0027]构想可被指定为由固件系统管理的各种不同的硬件资源124。作为示例而非限制,图2在200处概括地描绘了与示例计算设备102有关的一些代表性硬件资源124。图2所示的计算设备102包括可以与设备的特定处