介绍了用于保护系统安全的一种系统和方法的不同实施方式。该系统 例如计算机系统可包括主机处理器和存储器。
首先，当上电时，但在主机处理器自举(boot-up)之前，连接到主机处 io 理器和存储器的嵌入式微控制器可访问储存用于验证系统安全性的程序 指令的辅助存储器，并执行程序指令以使用连接到嵌入式微控制器的一个 或更多预引导(pre-boot)安全组件来验证系统安全性。例如，在一个实施方 式中， 一个或更多预引导安全组件可包括至少一个身份验证组件，例如智 能卡或生物测定传感器如其中包括指紋传感器、视网膜扫描仪和/或声波紋 15 传感器。辅助存储器可为片上（on-chip) ROM或以这样的方式被控制或 保护以便禁止用户损坏存储器的内容的存储器。辅助存储器可储存程序指 令，例如一个或更多应用程序，其可被执行来为系统实现安全功能。
程序指令可通过嵌入式处理器执行来调用至少 一个身份验证组件以 从用户接收识别信息，并验证用户被授权使用系统。例如，在一些实施方
20 式中，系统可包括为授权的用户储存模板（template)识别信息的模板存储 器，例如可被比较以识别由智能卡或其它个人识别介质提供的信息的个人 数据> 和/或其中包括在生物测定传感器的情况下的参考指纹、视网膜图案 或声波紋。程序指令因此可被执行，以通过至少一个身份验证组件来从用 户接收（即，获取）识别信息，例如来自智能卡的个人数据、来自用户的
25 指紋等，并将该信息与存储在模板存储器中的信息比较，以确定用户是否 被授权使用系统。
在一些实施方式中， 一个或更多预引导安全组件可包括至少一个系统 验证组件。程序指令（例如，应用程序）可由嵌入式处理器执行以调用至
少一个系统验证组件来向系统询问系统状态信息，并验证系统没有受到危 害（compromise )。例如， 一个示例性系统-险证组件是TPM (可信任平台 模块），其可用于执行各种系统安全功能。在一些实施方式中，TPM可提 供包括各种功能（和/或数据）的工具箱，这些功能可被存储在辅助存储器 5 (例如，ROM)中的程序指令或应用程序调用或另外使用。例如，微控制 器可执行应用程序（例如，来自ROM)，以例如通过BIOS存储器内容的 密码散列来验证系统BIOS,如在本领域中公知的。注意，该功能由微控 制器对BIOS的直接访问促进。
在一些实施方式中，系统可例如在模板存储器或一些其它安全存储介 io 质中存储参考系统状态信息。在一些实施方式中，参考系统状态信息可包 括关于系统（或系统的一些部分）的最后已知的安全签名的信息。为了验 证系统没有受到危害，程序指令可由嵌入式处理器执行，以比较被至少一 个系统^S正组件询问的系统状态信息与所存储的参考系统状态信息。如果 询问的信息与存储的参考系统状态信息匹配或一致，则系统（或系统的一 15 些部分）可被考虑为安全的或未受到危害的。因此，例如，嵌入式微控制 器可检索和使用该信息，以确保系统BIOS和系统的其它关键部分没有受 到危害，即损坏（tampered w池）。当然，可按需要例如硬盘驱动器的内容、 ROM等，对照损坏等来验证系统的任何其它子系统。
作为系统安全验证的另一例子，在一个实施方式中， 一个或更多预引 20 导安全组件可包括GPS (全球定位系统）。为了使用一个或更多预引导安 全组件来验证系统安全性，程序指令可由嵌入式处理器执行以调用GPS来 确定系统的位置，并验证系统在授权的位置。例如， 一个或更多授权的位 置可存储在安全存储介质（例如，模板存储器、TPM等）中，且微控制器 可执行程序指令来比较系统的所确定的位置与一个或更多授权的位置，以 25 确定系统是否在授权的位置。
应注意，上述组件（以及其它）中的任何一个都可按需要单独或结合 地使用。例如，在一些实施方式中，TPM可用于验证生物测定数据，例如 指紋数据、从智能卡获得的个人数据等。因此，TPM可被考虑为身份验证 组件和系统验证组件。
接着，如果系统安全性被验证，则可调用主机处理器的自举。例如， 在一些实施方式中，嵌入式处理器可例如从BIOS存储器为主机处理器调 用或协调地配合自举过程，例如调用或调入引导加载程序。可选地，在其 它实施方式中，主机CPU引导过程可由系统的另 一部分（除嵌入式微控制 5 器以外）管理，在这种情况下，如果系统安全性被验证，则微控制器可允 许主机CPU的自举过程启动并继续进行。
在一些实施方式中，如果系统安全性不能被验证，则嵌入式微控制器 可进一步可操作来执行程序指令以调用一个或更多防御性措施。例如，一 个或更多防御性措施可包括阻止用户访问系统，例如通过阻止访问BIOS 10 和/或通过关闭系统的电源来阻止主机CPU引导。作为另一例子， 一个或 更多防御性措施可包括警告连接到系统的外部系统。在一些实施方式中， 系统可记录所有的用户输入或与系统的交互作用，用于以后的分析。
在一些实施方式中，例如，如果访问对系统安全性是重要的，或如果 系统设计成使得对设备的访问通过微控制器提供，则微控制器可独立地控
15 制对设备的访问。因为在微控制器内部的处理器运行其自己的应用程序 (例如，来自ROM)，所以它可例如通过使用连接到其一个附属总线（例 如，VLPC总线）的TPM来验证对设备的访问权。如果该权利不存在，则 可阻止对设备的访问，而没有系统软件所需要的任何更改。因此，在一个 实施方式中，嵌入式微控制器可进一步操作来执行程序指令，以控制对连
20 接到系统的一个或更多设备的访问。当系统安全性不能被验证时所采取的 一个或更多防御性措施可因此包括阻止对所述一个或更多设备的访问。例 如，如上所提到的，在一个实施方式中， 一个或更多预引导安全组件中的 至少一个是或包括TPM，且所述一个或更多设备可包括一个或更多预引导 安全组件中的至少另 一个。为了使用 一个或更多预引导安全组件来验证系
25 统安全性，微控制器可操作来执行程序指令以使用TPM验证访问权（以 及如上所述，如果系统安全性不能被验证，则阻止对所述至少另一个设备 的"i方问）。
因此，这里描述的系统和方法的实施方式可通过执行借助于嵌入式处 理器和一个或更多预引导安全设备的预引导安全功能来为系统如计算机
系统提供增强的系统安全性，其中嵌入式微控制器和预引导安全设备从系 统的主机或主处理器独立地操作。
附图说明
5 当连同附图一起阅读时，通过参考下列详细说明，可更彻底地理解本
发明的前述以及其它目的、特征和优点，其中：
图1示出配置成实现本发明的一个实施方式的示例性系统的高级结构
图；
图2是根据一个实施方式的具有安全组件的嵌入式控制器的结构图；
io 以及
图3是根据一个实施方式用于执行预引导安全验证的方法的流程图。
虽然本发明容易受到各种更改和可选形式的影响，其中的特定实施方 式作为例子在附图中示出并将在这里详细描述。然而应理解，附图和对其 的详细描述不意味着将本发明限制为所公开的特定形式，而是相反，本发
15 明将包括落在由所附权利要求限定的本发明的实质和范围内的所有更改、 等效和可选形式。注意，标题仅仅是为了组织的目的而不是意味着用来限 制或解释说明书或权利要求。此外，注意，在整个申请中词"可以"在许 可的意义（即，有可能，能够）而不是强制的意义（即，必须）上使用。 术语"包括"及其派生词意指"包括但不限于"。术语"耦合"意指"直
20 4矣或间4矣i也连4矣"

下面描述用于例如在系统的预引导期间保护计算机安全的系统和方 法的不同实施方式。
25 如这里使用的，"指令组"可指一个或更多指令。更具体地，在一些
实施方式中，"指令"可指程序设计代码、软件和/或以代码形式实现的功 能，该代码可由适合于执行这些指令的控制器、微处理器和/或常规逻辑电
路来执行。在一些实施方式中，这些指令可包括设备驱动器、控制软件和 /或机器代码。如这里使用的，"控制器"指任何类型的处理器，例如其中 包括中央处理单元（CPU)或处理器、微处理器、微控制器或嵌入式微控 制器。
概述
本发明的重要特征是将用于验证系统安全性例如检测损坏的责任从 计算机的主CPU(即，处理器）移到嵌入式微控制器。换句话说，不是依 赖于用于安全功能的计算机的CPU,如上所述，CPU通常易受攻击或损坏，
10 分离的嵌入式微控制器可执行一些或所有这些安全功能，因而实质上增加
了计算机系统的安全性。此能力可通过提供访问安全存储器的嵌入式微控
制器来增强，例如该安全存储器可用TPM或智能卡如由SMSC提供的 SMSC智能卡得到。这样的安全存储器可用于安全地存储关于系统的最后 已知的安全签名的信息。嵌入式微控制器可检索和使用该信息，以确保系
15 统BIOS (基本I/O服务）和系统的其它关键部分没有被损坏。这通常是所 谓的为系统建立信任根的 一部分。嵌入式微控制器可能还需要访问系统 BIOS,这可通过任何适当的方法包括Q开关来提供，以允许从BIOS设备 截取信号而验证其内容没有变化。如果嵌入式微控制器还负责一部分或所 有的远程系统管理功能（例如，BMC (基板管理功能）或DTMF (分布式
20 管理任务组织）类型的功能），则可提供访问安全存储器例如TPM和提供 远程证明以及验证的能力，远程请求来自于该验证。
安全性也可依赖于验证特定用户且没有其他人访问系统、以及验证用 户的身份。因此，除了上面的系统验证以外，对安全识别装置例如智能卡 的访问也可用于验证试图启动系统的用户的身份。例如，在一些实施方式 25 中，嵌入式微控制器可提供扫描指紋或获取其它生物测定信息的能力，以 进一步增强验证用户身份的能力。
本发明的实施方式可提供系统体系结构，其通过嵌入式微控制器来提 供对这些安全设备的访问。应注意，这里公开的概念可扩展到包括执行更 广泛的认证功能的网络访问。 下面提供了关于本发明的实施方式的更详细的信息。
图l一示例性系统
图1是配置成实现本发明的一个实施方式的示例性计算机系统的高级 5 结构图。虽然图1的系统是针对利用TPM和智能卡如SMSC智能卡的实 施方式，应注意，这些仅仅表示示例性的安全存储装置，且可按需要使用 其它安全存储设备、组件和系统。图1的系统优选地驻留在计算机系统如 个人计算机（PC)中，虽然在其它实施方式中，这里描述的技术和系统可 按需要在任何其它系统中实现。
10 如图1所示，系统可包括通过系统接口总线103连接到系统接口 106
的嵌入式微控制器102,由此微控制器102可与称为主机CPU或处理器的 计算机系统的CPU通信。注意，在不同实施方式中，该系统接口 106可仅 仅是适合于微控制器102和主机CPU之间的通信的连接或总线，或可按需 要包括附加的结构或功能。如图l所示，微控制器102可通过引导存储器
15 总线107例如所示的SPI (串行外围接口 ）存储器总线来进一步连接到存 储系统BIOS的系统BIOS非易失性存储设备108。微控制器102可通过主 机引导存储器总线105进一步连接到系统接口 106,由此嵌入式微控制器 102可截取在系统接口 （例如，主机CPU )和系统BIOS非易失性存储设 备108之间传输的存储器请求或其它信号。
20 在优选实施方式中，微控制器102可连接到便于与一个或更多预引导
安全组件通信的一个或更多附加的总线。例如，在所示实施方式中，在这 种情况下为3线SMSC VLPC(很低的管脚数）Bus™的第一总线109将微 控制器102连接到TPM 110和智能卡112如SMSC智能卡，在这种情况下 为SPK串行外围接口 ）存储器总线的第二总线111连接到模板存储器114,
25 以及为SPI外围总线的第三总线113连接到指纹传感器116。模板存储器 114可为关于一个（或更多）其它预引导安全组件的信息或数据提供安全 存储器。例如，在一个实施方式中，模板存储器114可为系统的一个或更 多授权的用户存储指紋数据，供指紋传感器116使用。附加地或可选地， 模板存储器114可为授权的用户存储可与由智能卡或其它个人识别介质提
供的识别信息比较的识别信息。
应注意，图1所示的特定组件或总线仅仅表示是示例性的，且不意味 着将本发明限制为任何特定数量或类型的组件或总线。例如，所设想的其 它预引导安全组件其中包括视网膜扫描仪、声波紋传感器和全球定位系 5 统。类似地，可按需要使用任何类型的总线或传输介质，其中包括例如一 个或更多串行、并行、有线或无线介质。
注意，如图l所示，系统接口通过嵌入式微控制器102通信地连接到 系统BIOS闪存设备108，因而BIOS信号或数据可由嵌入式控制器102截 取。因此，主机CPU可通过嵌入式微控制器（以及连接到微控制器的在总 10 线上的任何其它设备）与存储在外部闪存设备中的BIOS以及TPM互相作 用。在主机CPU和BIOS以及预引导安全组件之间通过嵌入式微控制器的 媒介作用因此可促进为了效率而不依赖于主机CPU的安全功能。
图2—嵌入式微控制器
15 图2是根据一个实施方式的嵌入式微控制器的高级结构图。图2所示
的嵌入式微控制器是适用于图1的系统的实施方式中的示例性嵌入式微控 制器。应注意，在其它实施方式中，可按需要使用其它组件、总线和结构。
如图2所示，在本实施方式中，嵌入式微控制器包括连接到可称为辅 助存储器的ROM (只读存储器）204的处理器202。如所示，处理器202
20 也连接到内部总线205，内部总线205可连接到足够的接口以与外部设备 通信。例如，在本实施方式中，接口包括相应于图1的系统接口 106的系 统接口 206,用于与主机CPU、两个SPI接口 208A和208B通信，用于与 SPI外围设备如图1的模板存储器114和指紋传感器116以及VLPC接口 210通信，用于与安全存储组件如TPM 110和智能卡112以及BIOS接口
25 2 1 2通信，用于与系统BIOS闪存设备108例如与系统BIOS通信。注意， 在图2的实施方式中，只示出图1所示的结构所需要的接口，但按需要可 使用任何其它接口。
注意，TPM安全设备可通过微控制器102透明地访问主机CPU,因
为嵌入式微控制器模仿直接连接到系统接口 106的TPM。换句话说，位于 系统接口 106和TPM 110之间的微控制器以透明的方式管理或促进主机 CPU和TPM 110之间的通信，所以从主机CPU的观点来看，TPM 110看 起来似乎直接连接到系统接口 106。而且，因为嵌入式微控制器控制主机 5 对TPM和BIOS的访问，所以微控制器内部的处理器可在主机CPU有机 会执行BIOS代码或询问TPM之前运行存储在片上ROM中的应用程序。 注意，在微控制器内部运行的代码在不容易被更改的嵌入式ROM中。因 此应用程序可被信任以验证系统的授权级。片上应用程序因而可在允许主 机开始其正常启动例行程序之前验证系统未受到危害。如下面将更详细描 10 述的，微控制器可使用认证的任何不同装置如生物测定传感器，以及询问 TPM，以验证授权，且如果系统被发现受到危害，则微控制器可例如通过 阻止访问BIOS、关闭电源等来阻止主机CPU引导。
使用TPM来验证系统安全性的应用程序优选地驻留在片上ROM 204 上。注意，在不同实施方式中，该存储器可在任何很难更改的存储器中实 15 现。例如，在一个实施方式中，存储器可以是不能被更改的真正的ROM, 而在其它实施方式中，存储器（ROM 204 )可在由硬件保护以使被未授权 的用户更改4艮困难（如果不是不可能）的存储器中实现。
因此，在由图1和2描绘的实施方式中，嵌入式控制器可使用与身份 证有关的预引导安全设备如指紋传感器116 (或其它），以控制对系统的访 20 问，并可使用TPM来提供内部系统安全性，即，确认或验证系统的状态 是安全的。下面参考图3来描述这样的安全装置的进一步的细节和过程。
图3 —用于验证系统中安全性的方法
图3是用于根据一个实施方式在系统例如包括主机处理器和存储器的 25 计算机系统中验证安全性的方法的高级流程图。图3所示的方法可结合其 中上面附图中示出的任何计算机系统或设备来使用。在不同实施方式中， 所示的一些方法要素可按与所示不同的顺序被同时执行，或可被省略。也 可按需要执行额外的方法要素。如所示，本方法可如下操作。
在302中，当上电时，但在主机处理器自举之前，连接到主机处理器 和存储器的嵌入式微控制器可访问储存用于验证系统安全性的程序指令 的辅助存储器，并执行程序指令以使用连接到嵌入式微控制器的 一 个或更 多预引导安全组件来验证系统安全性。
5 例如，如上所述，辅助存储器可优选地为片上ROM或以这样的方式
被控制或保护以便禁止用户损坏存储器的内容的存储器。辅助存储器可储 存可执行来为系统执行安全功能的程序指令，例如一个或更多应用程序。
例如，在一个实施方式中， 一个或更多预引导安全组件可包括至少一 个身份验证组件，例如智能卡或生物测定传感器如其中包括指纹传感器、 10 视网膜扫描仪和/或声波紋传感器。程序指令可通过嵌入式处理器执行，以 调用至少一个身份验证组件从而从用户接收识别信息，并验证用户被授权 使用系统。
例如，如上所述，在一些实施方式中，系统可包括为授权的用户储存 模板识别信息的模板存储器114，例如可被比较以识别由智能卡提供的信 15 息的个人数据或其它个人识别介质和/或在生物测定传感器的情况下的参 考指紋、视网膜图案或声波纹连同其它。程序指令因此可被执行以通过至 少一个身份验证组件来从用户接收（即，获取）识别信息，例如来自智能 卡的个人数据、来自用户的指纟丈等，并将该信息与存储在模板存储器114 中的信息比较以确定用户是否被授斥又使用系统。
20 在一些实施方式中， 一个或更多预引导安全组件可包括至少一个系统
验证组件。程序指令（例如，应用程序）可由嵌入式处理器执行，以调用 至少 一个系统验证组件来向系统询问系统状态信息，并验证系统没有受到 危害。
例如， 一个示例性系统验证组件是上面讨论的TPM(可信任平台模 25 块），其可用于执行各种系统安全功能。在一些实施方式中，TPM可提供 包括各种功能（和/或数据）的工具箱，这些功能可被存储在辅助存储器（例 如，ROM 204)中的程序指令或应用程序调用或另外使用。例如，微控制 器可执行应用程序（例如，来自ROM 204)，以例如通过BIOS存储器内 容的密码散列来验证系统BIOS,如在本领域中公知的。注意，该功能由
微控制器对BIOS的直接访问促进，如图1所示。
在一些实施方式中，系统可例如在模板存储器114或一些其它安全存 储介质中存储参考系统状态信息。在一些实施方式中，参考系统状态信息 可包括关于系统（或系统的一些部分）的最后已知的安全签名的信息。为
5 了验证系统没有受到危害，程序指令可由嵌入式处理器执行，以比较被至 少一个系统验证组件询问的系统状态信息与所存储的参考系统状态信息。 如果询问的信息与存储的参考系统状态信息匹配或一致，则系统（或系统 的一些部分）可被考虑为安全的或未受到危害的。因此，例如，嵌入式微 控制器可检索和使用该信息，以确保系统BIOS和系统的其它关键部分没
io 有受到危害，即损坏（tampered w池）。当然，可按需要例如硬驱动器的内 容、ROM等，对照损坏等来验证系统的任何其它子系统。
作为系统安全-险证的另一例子，在一个实施方式中， 一个或更多预引 导安全组件可包括如上面提到的GPS (全球定位系统）。为了使用 一个或 更多预引导安全组件来验证系统安全性，程序指令可由嵌入式处理器执行 15 以调用GPS来确定系统的位置，并验证系统在授权的位置。例如， 一个或 更多授权的位置可存储在安全存储介质（例如，模板存储器114、 TPM等） 中，且微控制器可执行程序指令来比较系统的所确定的位置与一个或更多 授权的位置，以确定系统是否在授权的位置。
应注意，上述组件（以及其它）中的任何一个都可按需要单独或结合 20 地使用。例如，在一些实施方式中，TPM可用于验证生物测定数据例如指 纟丈数据、从智能卡获得的个人数据等。因此，TPM可被考虑为身份验证組 件和系统验证组件。
在304中，如果系统安全性被验证，则可调用主机处理器的启动。例 如，在一些实施方式中，嵌入式处理器可例如从BIOS存储器为主机处理 25 器调用或协调地配合自举过程，例如调用或调入引导加载程序。可选地， 在其它实施方式中，主机CPU引导过程可由系统的另一部分（除嵌入式微 控制器以外）管理，在这种情况下，如果系统安全性被验证，则微控制器 可允许主机CPU的自举过程启动并继续进行。
在一些实施方式中，如果系统安全性不能被验证，则嵌入式微控制器
可进一步操作来执行程序指令以调用一个或更多防御性措施。例如， 一个 或更多防御性措施可包括阻止用户访问系统，例如通过阻止访问BIOS和/ 或通过关闭系统的电源来阻止主机CPU引导。作为另一例子， 一个或更多 防御性措施可包括警告连接到系统的外部系统。在优选实施方式中，系统 5 可记录所有的用户输入或与系统的交互作用，用于以后的分析。
在一些实施方式中，例如，如果访问对系统安全性是重要的，或如果 系统设计成使得对设备的访问通过微控制器提供，则微控制器可独立地控 制对设备的访问。因为在微控制器内部的处理器运行其自己的应用程序 (例如，来自ROM)，所以它可例如通过^f吏用连接到其一个附属总线（例
10 如，VLPC总线）（例如见图2)的TPM来验证对设备的访问权。如果该 权利不存在，则可阻止对设备的访问，而没有系统软件需要的任何更改。 因此，在一个实施方式中，嵌入式微控制器可进一步操作来执行程序指令， 以控制对连接到系统的一个或更多设备的访问。当系统安全性不能被验证 时所采取的 一个或更多防御性措施可因此包括阻止对所迷一个或更多设
15 备的访问。例如，如上所提到的，在一个实施方式中， 一个或更多预引导 安全组件中的至少一个是或包括TPM,且所述一个或更多设备可包括一个 或更多预引导安全组件中的至少另一个。为了使用一个或更多预引导安全 组件来验证系统安全性，微控制器可搡作来执行程序指令以使用TPM验 证访问权（以及如上所述，如果系统安全性不能被验证，则阻止对所述至
20 少另一个设备的访问）。
因此，这里描述的系统和方法的实施方式可通过执行借助于嵌入式处 理器和一个或更多预引导安全设备的预引导安全功能来为系统如计算机 系统提供增强的系统安全性，其中嵌入式微控制器和预31导安全设备从系 统的主机或主处理器独立地操作。
25