TWI238357B

TWI238357B - Providing a secure execution mode in a pre-boot environment

Info

Publication number: TWI238357B
Application number: TW092128600A
Authority: TW
Inventors: Bryant Bigbee; Mark Doran; Andrew Fish; Vincent Zimmer
Original assignee: Intel Corp
Priority date: 2002-11-27
Filing date: 2003-10-15
Publication date: 2005-08-21
Also published as: CN1714331A; HK1075509A1; GB2411989A; US20150213269A1; DE10393662T5; WO2004051444A2; AU2003286519A1; GB2411989B; WO2004051444A3; GB2421612A; CN100511086C; GB2421612B; US7974416B2; TW200414052A; US20110271090A1; GB0604785D0; US20040103299A1; GB0506997D0; US9026773B2; US10275598B2

Description

1238357 玫、【發於預 [先之功啓始該開本輸並允化、 /輸唯讀全方同時，當環境此信台聯白勺， (1) 發明說明明所屬之技術領域】本發明關係於一電腦系統之操作，更明確地說，關係開機環境中之此系統的操作。前技術】當電腦系統被開機時，其並不能執行一使用者所想要能，一直到其被啓始化並能與使用者相通訊爲止。此處理大致包含一典型爲開機韌體所執行之開機程序。機韌體可以作爲作業系統（〇 s ) 、〇 s之一部份、基入/輸出系統（B I 0 S )，或其他軟體。開機韌體典型被儲存於某些格式之非揮發記憶體中，許一中央處理單元（C P U )，以執行工作，例如啓始診斷、·由大量儲存器裝載作業系統核心、及發送輸入出（Ϊ / 〇 )功能。開機韌體可以儲存於可抹除可程式記憶體（EPROM )或快閃半導體記憶體中。於此預開機環境中，通常只有少數幾項或甚至沒有安法可用（所有碼均執订於基元r i n g 〇貫體模式中），，也沒有能力在一預開機環境中，儲存一祕密。再者 0 S環境由預開機環境進入時，並沒有能力由預開機建ϋ 一所謂信任根（r0 01 〇 f tru s t )至作業環境上。任根係爲依據公開於2 〇〇 2年2月2 2日之信任運算平盟（T C P A )版]· ] 6之信任運算平台（T C P )所想要以提供有關其本身及其現行軟體處理之可靠資訊，並 -5 - (2) 1238357 對軟體處理操作提供證明。【實施方式】於一實施例中，本發明可以用以建立一電腦系統之安全預開機執行環境。於此所用，名詞“電腦系統，，可以表示爲任一類型之處理機爲主系統，例如一桌上型電腦、一膝上型電腦、一伺服器電腦、一設備或機頂盒等等。於某些實施例中，電腦系統可以包含所謂英特爾架構（I A )處理機，例如可以由美國加州聖塔卡拉之英特爾公司所購得之 IA 3 2處理機。然而，可以了解，其他實施例中，本發明也可以用以配合其他於現行所知或未來發表之C P U微架構。於一實施例中，安全預開機執行環境可以韌體中，配合由美國加州聖塔卡拉英特爾公司於2 0 0 〇年十二月1 2日所公開之擴充韌體界面（EFI )規格書版本].02。依據一實施例之電腦系統之安全預開機執行環境可以用以執行安全操作，例如祕密儲存及隨後取得該祕密，這也被稱爲安全或隔離儲存。如此所用“祕密”表示，當不在安全預開機環境中，任何對電腦系統及使用者爲隱藏之資訊（不論是資料、指令或其他等）。例如，此等祕密可以包含鑰、密碼、會計資訊、就醫記錄等等。同時，安全預開機模式也可以用作爲分隔執行。這提供一機構以將不信任、錯誤或惡意碼（統稱“有害碼”）與其他信任驗證碼隔離。 -6 - (3) 1238357 第]圖爲依據本發明一實施例之例示程式流程B 第1圖所示，在電腦系統重新開始（方塊5 )時，II 定是否一 CPU有能力以容許安全預開機模式操作，定是否 CPU爲安全致能（enabled )(菱形5 )。若 -CPU，則可執行安全啓始軟體（方塊15)。然後以安裝BIOS安全虛擬機器監視程式（SVMM )(方 )並進入S V Μ Μ預開機環境。如此所用，名詞“安全機器監視程式”或“S VMM”表示一安全環境，其中在單台上，有一或多數作業環境。在 S VMM中時，例如儲存/取用、快閃記憶體更新、等等之想要安全操作以執行。可以了解的是，並不需要一“虛擬機器”；相反地軟體可以爲一安全監視程式，其中，“監視”可以表示及品質化未丨g任碼之把力。於某些貫施例中，S V Μ Μ 形成一信任運算基礎（TCB ) ; TCB爲一小的已驗證組，其可以與其他碼分隔並控制其他碼之行爲。一也可以設計很小，以令安全及保全屬性之正式第三方〇再者，若沒有安全模式處理機，則通電自行檢 POST)可以完成及預開機環境準備以裝載0S (方塊。然後，決定是否可能有一信任0 s裝載（菱形3 0 ) 此一裝載可能，則BIOS SVMM被卸載（方塊35 )。方式中，〇 S均可以控制電腦系統（方塊4 0 ) ^ 可以了解的是，一安全c p L1作業模式之早先行 0如體決即決有此，可塊20 虛擬一平祕密均可，該撿測可以碼次 TCB 閱晴測（ 25) 。若這兩使逝 (4) 1238357 不限定於例如SVMM之虛擬機器監視程式（VMM )設計，也可以用於其他CPU安全模式中。於一實施例中，韌體可以在一連續階段中，執行預開機操作。第2圖爲一依據本發明一實施例之例示韌體操作之流程圖。如第2圖所示，於機器開始或再開始時，可以執行一安全階段（方塊110)。於安全階段中，在平台重置或通電後之啓始操作可以被執行，以確保韌體完整性不受損。再者，可以執行一預E FI ( P EI )啓始階段（方塊 1 20 )。於PEI階段中，碼可以執行最小處理機晶片組及平台架構，以支援記憶體發現。再者，可以執行一驅動器執行（DXE )階段（方塊 1 3 0 )。於此階段中，多數韌體碼可以操作於預開機環境中。於一實施例中，碼可以被實施爲若干驅動碼，其完成平台與裝置之啓始化。最後，可以執行一作業系統載入階段（方塊]4 0 )。於此階段中，作業系統被載入並且在此階段推論該作業系統已控制該平台。於一實施例中，韌體可以啓動一虛擬機器監視（ VMM )驅動碼。此驅動碼可以公告VMM協定例。於某些實施例中，驅動碼可以在DXE階段中，早點啓動並可以執行一 SENTER命令，以接取一安全環境啓動。於一實施例中，該VMM驅動碼可以具體化一 SVMΜ ，其於某些實施例中可以具有可縮放能力。可縮放能力由 V ΜΜ驅動碼之能力起源，以允許後續驅動碼被裝載入一安全執行模式（以下稱“虛擬機器擴充”或“VMX”）。於某 (5) 1238357 些實施例中，SVMM可以執行於最高優先權位準（例如於 1A32處理系統中之Ring〇p )。任一後續裝載驅動碼均可以執行於一較佳優先權位準（例如於IA 3 2處理系統中之 Ring3P )。再者，被設計以執行於安全預開機環境中之其他碼，例如客主系統管理模式（SMM )驅動碼等均可以執行於R i n g 3 P中。於各種實施例中，這些後續驅動碼可以經由一驗證驅動碼裝載機制加以啓動，以確定只有受信任驅動碼被裝載入爲S V Μ Μ所管理之安全預開機環境中。於此一實施例中，驗證處理可以包含使用一公共鑰匙（ΡΚΙ )，以確保只有受信任驅動器被裝載入V MX環境中。或者，核心信任根維護可以被用以啓動S V MM，包含但並不限定於如上所述之由一重置向量至安全階段至PEI階段並進入DXE 階段之及物信任遞交。公開VMM協定之SVMM驅動碼可以於某些環境中，具有幾項角色。首先，其可以是一平台上之第一代理人，以發出SENTER命令，因此，其也可以負責接收後續系統管理中斷（S ΜI )啓始化。於某些實施例中，例如沿襲作業系統中，此角色可以於0 S執行期時加以維持，而於其他實施例（例如含EFI ( EFI_aware )之作業系統），此角色可以轉移至一提供作業系統SVMM。於某些實施例中，SVMM可以裝載其他VMX驅動碼。這些驅動碼可以爲碼序列，其想要利用V MX之獨立儲存器及執行屬性；這些驅動碼可以包含一由英特爾公司所 (6) 1238357 購得之BIOS整體性服務驅動碼；驗證服務，例如由馬里蘭州劍橋之麻省理工學院所購得之Kerberos ;或其他安全碼，例如密碼演繹法之預開機實施，例如執行由馬里蘭州貝佛之 R S A安全所購得之 R i v e s t S h a m i 1. A d 1 e m a n ( R S A )之非對稱密碼計算法。隔開前述碼之重點爲碼之整體性 (即並未被竄改者）想要滿足驅動碼行爲之安全宣告。現參考第3圖，所顯示爲依據本發明一實施例之預開機環境之操作流程圖。如第3圖所示，韌體係被提供控制系統（方塊2 1 0 )。此一控制可以發生於開機，經由一系統狀態（例如S 3睡眠狀態）事件等。再者，平台可以被啓始（方塊2 2 0 )。於某些實施例中，此啓始化可以包含處理機、晶片組及記憶體之最小架構。再者，如第3圖所示，一安全環境可以啓始及建立（方塊2 3 0 )。此啓始可以包含來自一持久記憶體裝置之安全碼。於一實施例中，安全碼可以儲存於一快閃記憶體裝置中，其係永久地固定至系統之主機板上。因爲此碼被儲存於持久記憶體裝置中並被稱爲一安全裝置，所以預開機環境具有一整體性位準。再者，於一實施例中，啓始化可以包含於晶片組中執行碼，以確保晶片組於安全預開機操作中之許可狀態內。於一實施例中，安全啓始化可以藉由執行一裝載SINIT命令加以完成。於一實施例中，建立安全環境可以包含產生呈固定記號（如下所述）之摘要，其提供有關於安全環境內之平台之資訊。再者，建立安全環境可以包含設立一記憶體堆疊 -10 - (7) 1238357 。於一貫施例中，安全環境可以藉由如上所述載入SVMM 加以建立。再者，安全操作可以執行於一預開機環境（方塊24〇 )中。如此所述’此等操作可以包含例如使用一固定記號，來松紂及解始一祕密。安全環境之另一用途爲更新快閃 I己憶體。再者，此等操作可以包含安全或信任驅動碼之操作及證實日誌/簽章。此等簽章證實可以例如轉交給一挑戰碼。當於預開機環境中之想要操作被執行時，開機環境可以被輸入（方塊2 5 0 )。於—實施例中，可以提供一由安全預開機環境及物轉交至已信任0 S環境。於其他實施例中，安全預開機環境可以在〇 S啓動前被拆除。或者，於其他實施例中，一開機環境可以被進入，以安全模式被保持於背景中’以執行或維持平台整體性。雖然討論時係參考單一處理機，但於其他實施例中，也可以（邏輯或真實上）有多數處理機環境。於一實施例中，安全預開機環境可以保有一祕密，其然後可以爲平台韌體所用。於第一啓動時，安全預開機環境可以產生呈根密鑰形式之祕密，該鑰係適用於爲安全預開機環境所支援之演繹法與協定。一旦產生，此根密鑰可以被保護，使得被保護之根密鑰只可以被釋放至執行於同一平台之安全預開機環境上。此保護於某些實施例中，可以藉由使用信任計算平台 (TCP )(或一等效硬體“safe”）加以完成。於一實施例 - 11- (8) 1238357 中，安全預開機環境根密鑰可以使用固定記號設施加以密封。於一實施例中，一固定記號設施可以爲一固定至電腦系統之主機板並與CPU相通訊，這將如下所討論。於一實施例中，一祕密之產生可以使用一密封操作加以完成，其使用只可以爲固定記號所取得之鑰，來加密根密鑰及安全預開機環境之記錄身份。此加密資料（密碼二進位大物件）然後可以被儲存於大量儲存器（例如電腦系統之硬碟機）中。當啓動安全預開機環境時，例如，於一後續平台開機時，密碼二進位大物件可以被送回到固定記號，其將之解密並將之與現行安全預開機環境登錄之身份比較。若現行安全預開機環境身份符合於密碼二進位大物件中之身份，則根密鑰被釋放至安全預開機環境。於一實施例中，密封操作允許軟體淸楚地說明未來之 “信任”架構，爲了解開該祕密，必須在該平台內。當密封操作被執行時，密封操作同時也暗示包含相關平台架構（即平台架構登錄（PCR )値）。密封操作可以使用預選定値，以將密碼二進位大物件綁至一個別TCP。若開封操作成功，則當密封操作時執行之作用中平台架構的證明可以送回到呼喚者，及祕密資料也可以送回呼喚者。於某些實施例中，安全預開機環境也可以允許向外延展設計’其中其他安全能力及支援可以經由可裝載驅動碼加以提供。於一實施例中，驅動碼可以爲EFI執行期驅動碼。這些驅動碼可以包含但並不限定於安全儲存界面及用 -12 - 1238357 Ο) 於安全碼執行之驅動碼。此等驅動碼可以提供使用者驗證、遠端影像整體性挑戰、及無毒開機，這些均在一硬化環境內。於一實施例中，安全預開機環境可以保全系統管理資料庫位址（S Μ B A S E ) ’使得沒有其他預開機元件可以執行SEN TER，因此，對於系統管理隨機存取記憶體（ SMRAM )具有可視力。因此，於此一實施例中’安全預開機環境可以在啓動後接收任何S ΜI活動。因爲相關之系統管理模式記憶體 (SMMEM )作用，所以藉由安全預開機環境之早啓動，執行一 SENTER並具有能力看入SMRAM之惡棍軟體的能力被降低。於其他實施例中，安全預開機環境可以具有幾個卸載選項。對於含EFI之0 S開機，這些安全預開機環境可以拆除安全環境。或者，安全預開機環境可以停留於定點，直到部份後續“卸載”服務被喚起。例如，安全預開機環境可以提供一管理轉交給一〇 S S V ΜΜ。此代表由預開機建立一信任根之機會，其可以不破地被傳送至作業系統，提供其他有關平台f悬疋度外之fe 任，當超出其範圍時，0 S可以於開機時，由裝載其本身 S VMM加以導出，並且，在平台SMM碼之原點上之較大確任度將在OS S VMM控制下，持續於作業系統執行期中〇於各種實施例中，本發明提供一安全操作環境，用於 > 13- (10) 1238357 預開機空間中之碼。此一環境提供機會，以改變對平台整體性重要之操作方式，擴充平台設計開發並改良使用者經驗。例如，於安全預開機環境中，可以執行一快閃記憶體更新，而不必強迫“ini t”命令，因爲對快閃記憶體之寫入接取可以藉由執行於安全預開機環境中之信任碼加以開啓。明確地說，提供可能包含但並不限定於頁爲主保護安全之記憶體管理單元操作可以藉由一 SVMM加以建立，以對信任方考驗對快閃區之接取。這些人可以包含但並不限定於平台擁有者之更新碼。於另一實施例中，一快閃記憶體更新可以爲開機環境中之信任〇 S所執行。於此一實施例中，在安全預開機環境中之CPU可以經由一頁爲準保護機制來保護快閃記憶體區。當一及物轉交由安全預開機環境中發生時’相同保護記億體區可以提供給0 S。因此’雖然於一開機環境中，但保護記憶體（即快閃記憶體）可以被對等地存取及更新。於某些實施例中’ S V M Μ可以於作業系統（0 s )執行期時使用，以在作業系統之 S VMM旁執行。BIOS S V Μ Μ可以提供行爲，其係依平台加以特定，例如可靠度-可用度-服務度（R A S )。這些可以包含操縱特定平台錯誤，例如寫入一具有錯誤校正碼（E C C )單一位元錯誤 (S B E )之實體頁記憶體。一爲晶片組所檢測之S B E經常需要存取一記憶體區’以讀取並隨後寫回’以更新病徵位 -14- (11) 1238357 元。並沒有標準方式以警告作業系統此故障及必須行爲’ 並於安全作業系統執行期’ 0 S控制所有之記憶體。因此，一與OS SVMM同等之BI0S SVMM提供特定平台活動，其係事先完成於系統吕理模式（S V Μ Μ )中者，S Μ Μ在安全作業系統來臨前，對系統有完整之存取。同時，今日也有一由作業系統所針對平台所完成之默許信任宣告。例如，Β 10 S建立表格以說明非可數資源，例如整個記憶體映圖、固定埠、局部APIC (先進可程式中斷控制器）之位址、中斷路由、及其他資源。這些表格只爲簡單核對和所保護。對於信任平台而言，雖然，這些表格係儲存於一空記憶體中’但其可能代表的是一攻擊點。攻擊者可能變換說明該平台之値並對作業系統說謊；此攻擊可以包含隱藏記憶體、期騙埠等。一預開機環境可以用以產生這些表格、簽署這些內容、及物地以信任宣告轉交至一〇S SVMM等。該等實施例可以實施例於一電腦程式中。因此，這些實施例可以儲存於一儲存媒體上，其上儲存有指令可以用以規劃一電腦系統，以執行該等實施例。儲存媒體可以包含但並不限定於任何類型之碟片，包含軟碟、光碟、微碟唯讀記憶體（CD-ROM )、微碟可讀寫（CD-RW )及磁光碟；半導體裝置，包含唯讀記憶體（R〇 Μ )、隨機存取記憶體（RAM )、可抹除可程式唯讀記憶體（EPROM )、電氣可抹除唯讀記憶體（EEPROM )、快閃記憶體、磁或光學卡、或其他任何類型之適用以儲存電子指令之媒體。 -15 - (12) 1238357 同樣地，實施例也可以實施爲由可程式控制裝置所執行之軟體模組。可程式控制裝置可以爲一電腦處理機或一客戶設計狀態機。客戶設計之狀態機可以實施於一硬體裝置，例如一具有分立邏輯之印刷電路板、積體電路、或特殊設計應用特定積體電路（A S I C )中。例示實施例可以被實施於一軟體中，用以爲適當架構以適當硬體組合裝置之資料處理系統所執行。第4圖爲一代表資料處理系統之方塊圖，即具有本發明實施例之電腦系統3 0 0可以使用。現參考第4圖，於一實施例中，電腦系統3 0 0包含一處理機3 1 〇，其可以包含--般目的或特定目的處理機，

例如微處理機、微控制器、ASIC、一可程式閘陣列（PGA )等等。於一實施例中，該處理機3 1 0可以連接至一主匯流排 3 1 5上至一記憶體集線器3 2 0上，其可以經由一記憶體匯流排3 2 5連接至一系統記憶體3 3 0。於某些實施例中，如第4圖所示，系統記憶體3 3 0可以具有保護記憶體頁。此等頁可以包含例如有關於S VMM及其他信任虛擬機等等之頁次。於某些實施例中，記憶體集線器3 20可以架構以防止對系統記憶體3 3 0之保護記憶體頁的至少某些部份之存取。記憶體集線器3 20也可以連接於先進圖型埠（AGP )匯流排3 3 3上而至一視訊控制器3 5 5，其可以連接至一顯示器3 3 7。該A G P匯流排3 3 3可以配合由美加州聖塔卡拉之英特爾公司所公告於]9 9 8年五月4日之加速圖型埠 -16 - (13) 1238357 界面規格版本2 . 〇。記憶體集線器3 2 0也可以（經由一集線器鏈結3 3 8 ) 連接一輸入/ 出（]/ 〇 )集線器3 4 0，其係連接至一輸入/輸出（I / 〇 )擴充匯流排3 4 2及一由公1 9 9 5年六月之P c 1局部_流排規格所界定之週邊元件連接（P C I )匯流排3 4 4。該I / 〇擴充匯流排3 4 2可以連接至一I / 〇控制器3 4 6，其控制對一或多數I / Ο裝置之接取。於一實施例中，如第4圖所示，這些裝置可以包含儲存裝置，例如一軟碟機3 5 〇及輸入裝置，例如鍵盤3 5 2及滑鼠3 5 4。連接至I / 〇擴充匯流排3 4 2也可以爲一快閃記憶體3 4 1 ，其於一實施例中’可以持久儲存用於預開機環境之安全碼。該I / Ο集線器3 4 0也可以連接至例如第4圖所示之硬碟機3 5 6。可以了解的是’其他儲存媒體也可以包含於一系統中。連接至1/ 0擴充匯流排3 42也可以爲一固定記號 3 4 3。於一實施例中’固疋5虎*3 4 3可以永久結合至一電腦系統3 0 〇之主機板。固疋記號3 4 3可以爲一一般目的處理機、A S I C等’並具有基本稱爲“智慧卡”之能力。於某些實施例中，這些能力可以包含加密能力，例如鍵、儲存器、簽章及加密等。於各種實施例中，固定記號3 4 3可以用以證實及游封/解松祕松、。此寺證貫可以包含驗δ登平台規格及特殊監視/小程式裝載。於密封祕密時，固定記號 3 4 3可以被規劃以密封/解密祕密至相同環境或一選定環境。 (14) 1238357 於某些環境中，一可攜式記號3 5 8可以連接至丨/〇集線器3 4 0。可以了解的是，此連接可以藉由標準連接，例如一通用串聯匯流排（U S B )。於一實施例中，可攜式記號3 5 8可以具有類似於固定記號3 4 3之能力。例如，可攜式記號3 5 8用以爲使用者測試系統、提供給可攜式使用者祕密、提供匿名識別等。於另一實施例中，I / 〇控制器3 4 6可以被積集入I / 〇集線器3 4 0中，作爲其他控制功能。P CI匯流排3 4 4也可以連接至各種元件，包含例如連接至網路埠（未示出）之網路控制器3 6 0。其他裝置也可以連接至1/ 0擴充匯流排3 4 2及PCI 匯流排3 44，例如輸入/輸出控制電路連接至一平行埠、串列瑋、一非揮發記憶體等等。雖然說明書已參考系統3 0 0之特定元件加以說明，但可以想出各種上述實施例的修改與變化均可完成。例如，除了記憶體及〇集線器外，一主橋控制器及系統橋控制器也可以提供等效功能。另外，任意數量之匯流排協定均可以實施。雖然本發明已經針對有限量之實施例加以說明，但熟習於本技藝者可以了解各種修改及變化。以下申請專利範 Q想要包含涵盖洛在本發明之精神及範圍內之各種修改及變化。 [圖式簡單說明】 -18- (15) 1238357 第1圖爲依據本發明一實施例之例示程式流程圖。第2圖爲依據本發明一實施例之例示韌體操作流程圖〇第3圖爲依據本發明實施例之預開機環境之操作流程圖。第4圖爲依據本發明一實施例之系統方塊圖。主要元件對照表 3 00 電腦系統 3 10 處理機 3 15 主匯流排 320 記憶體集線器 325 記憶體匯流排 3 3 0 系統記憶體 ο ο η J J AGP 匯流排 nor J J J 視訊控制器 3 3 7 顯示器 33 8 集線器鏈結 340 輸入 / 輸出集線器 34 1 快閃記憶體 342 輸入 / 輸出擴充匯流排 343 固定記號 344 週邊元件連接匯流排 346 1/ / 0 i控制 j器 -19- 1238357 (16) 3 5 0 軟碟機 352 鍵盤 354 滑鼠 3 5 6 硬碟機 3 5 8 可攜式記號 3 60 網路控制器 -20 -

Claims

1238357 (1) 修正拾、申請專利範圍附件二A:第92128600號修正後無劃線之中文申請專利範圍替換本民國94年3月14曰呈 1. 一種提供安全操作的方法，包含步驟有：在一電腦系統中，建立一安全預開機環境；及當在安全預開機環境內時，執行至少一安全操作。 2. 如申請專利範圍第1項所述之方法，其中該執行至少一安全操作包含儲存一祕密。 3 .如申請專利範圍第1項所述之方法，更包含將電腦系統由安全預開機環境傳送至一作業系統環境。 4 ·如申請專利範圍第1項所述之方法，更包含在安全預開機環境中，啓動一安全虛擬機器監視器。 5 ·如申請專利範圍第i項所述之方法，更包含在安全預開機環境中，更新一快閃記憶體。 6.如申請專利範圍第〗項所述之方法，更包含在安全預開機環境中，發出一系統管理命令。 7 ·如申請專利範圍第1項所述之方法，更包含在安全預開機環境中，接收系統管理中斷。 8 .如申請專利範圍第2項所述之方法，更包含產生呈經由一固定記號密封之根密鑰形式的祕密。 9.如申請專利範圍第8項所述之方法，更包含只有在安全預開機環境中，釋放該根密鑰至電腦系統。

1238357 1 ο ·如申請專利範圍第1項所述之方法，更包含將有害碼與可驗證碼分隔開。 11. 一種提供安全操作的方法，包含步驟：在一預開機環境中，提供一電腦系統之韌體控制；在該預開機環境中，建立一安全環境；及在該安全環境中，執行至少一安全操作。 12·如申請專利範圍第U項所述之方法，更包含由預開機環境進入一開機環境。 1 3 ·如申請專利範圍第1 2項所述之方法，更包含於開機環境之背景中，維持該安全環境。 1 4 ·如申請專利範圍第i 2項所述之方法，更包含若開機環境爲丨§任開機環境，則移除該安全環境。 1 5 .如申請專利範圍第1 1項所述之方法，其中於安全環境中執行至少一安全操作的步驟包含儲存一祕密於安全環境中。 16·如申請專利範圍第15項所述之方法，更包含使用固定記號以儲存祕密。 1 7 .如申請專利範圍第1 5項所述之方法，更包含在預開機環境中之一不同輸入値安全環境中，取得該祕密。 1 8 .如申請專利範圍第1 3項所述之方法，更包含使用安全環境，以執行可靠度-可用性-可服務性。 1 9 .如申請專利範圍第1 2項所述之方法，更包含在預開機環境中產生表格並提供這些表格至具有信任宣告之開機環境。 -2-

1238357 2〇.—種包含機器可讀取儲存媒體之物件，其包含多數指令，若被執行時，可以使一系統執行下列步驟：在一電腦系統中，建立一安全預開機環境；及在安全預開機環境中，執行至少一安全操作。 2 1 .如申請專利範圍第2 0項所述之物件，更包含多數指令，其若被執行時，可以使該系統在該安全預開機環境中’儲存一祕密。 22. 如申請專利範圍第21項所述之物件，更包含多數指令，其若被執行時，可以使系統產生呈根密鑰形式之祕密’該根密鑰係經由一固定記號加以密封。 23. 如申請專利範圍第22項所述之物件，更包含多數指令，其若被執行時，可以使系統只有當安全預開機環境中時，才會釋放根密鑰至電腦系統。 24. —種電腦系統，包含：至少一儲存裝置，包含多數指令，其若被執行時，會使系統在一電腦系統中，建立一安全預開機環境；及在安全預開機環境中，執行至少一安全操作；及一處理機，連接至至少一儲存裝置，以執行該等指令〇 2 5 .如申請專利範圍第24項所述之系統，更包含多數指令，其若被執行時，會使得系統在一安全預開機環境中，儲存一祕密。 2 6.如申請專利範圍第24項所述之系統，更包含一快閃ιΒ憶體，包含安全基本輸入/輸出系統碼。 -3-

1238357 (4) 2 7.如申定記號，耦 2 8.如申記號包含用請專利範圍第24項所述之系統，更包含一固接至該處理機。請專利範圍第27項所述之系統，其中該固定於祕密安全之至少一根密鑰。

-4-