特許 7022809 コンピュータシステム、および、その安全管理方法、および、コンピュータソフトウェア製品

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2022-02-09

(45)【発行日】2022-02-18

(54)【発明の名称】コンピュータシステム、および、その安全管理方法、および、コンピュータソフトウェア製品

(51)【国際特許分類】

   G06F 21/57 20130101AFI20220210BHJP

【ＦＩ】

G06F21/57 320

【請求項の数】 17

【外国語出願】

(21)【出願番号】P 2020190979

(22)【出願日】2020-11-17

(65)【公開番号】P2021089726

(43)【公開日】2021-06-10

【審査請求日】2021-03-05

(31)【優先権主張番号】62/936,518

(32)【優先日】2019-11-17

(33)【優先権主張国・地域又は機関】US

(31)【優先権主張番号】16/929,137

(32)【優先日】2020-07-15

(33)【優先権主張国・地域又は機関】US

(73)【特許権者】

【識別番号】508197206

【氏名又は名称】新唐科技股▲ふん▼有限公司

(74)【代理人】

【識別番号】110000291

【氏名又は名称】特許業務法人コスモス国際特許商標事務所

(72)【発明者】

【氏名】アロン，モシェ

(72)【発明者】

【氏名】フィッシュマン，アブラハム

(72)【発明者】

【氏名】モラヴ，ダン

(72)【発明者】

【氏名】コーエン，エーヤル

(72)【発明者】

【氏名】トリヒター，ウリ

【審査官】小林 秀和

(56)【参考文献】

【文献】特開２０１５－１５３３３４（ＪＰ，Ａ）

【文献】特開２０１３－１５６７９９（ＪＰ，Ａ）

【文献】中国特許出願公開第１０７６７８７６２（ＣＮ，Ａ）

【文献】特表２０１４－５１８４２８（ＪＰ，Ａ）

【文献】特開平０７－０２８６３２（ＪＰ，Ａ）

【文献】米国特許出願公開第２０１６／００５５０６８（ＵＳ，Ａ１）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｆ ２１／５７

Ｇ０６Ｆ ８／６５

(57)【特許請求の範囲】

【請求項1】

コンピュータシステムであって、一つ以上のメモリデバイスと、複数の非再設定可能なメモリエレメント、および、一プロセッサ、を有し、
前記一つ以上のメモリデバイスは、(１)前記コンピュータシステムをブーストラッピングする、セルフテストプログラムを有するブートストラッププログラムの第一バージョン、および、(２)信頼できると分かっている前記ブートストラッププログラムの第二バージョン、を保存し、
前記複数の非再設定可能なメモリエレメントは、複数の非再設定可能なインジケーターを保存し、前記非再設定可能なインジケーターは、
前記セルフテストプログラムの実施を要求するセルフテスト要求インジケーター、および、
前記セルフテストプログラムがパスしたか、あるいは、失敗かを示すセルフテストパスインジケーター、を有し、および、
前記プロセッサは、前記ブートストラッププログラムの前記第一バージョンを検索するとともに、前記第一バージョンが、少なくとも、最近の信頼できる前記第二バージョンである時、前記第一バージョン、および、前記複数の非再設定可能なインジケーターを用いて、前記コンピュータシステムをブートストラップすることを特徴とするコンピュータシステム。

【請求項2】

前記一つ以上のメモリデバイスは、前記第一バージョンを保存する第一メモリデバイス、および、前記第二バージョンを保存する第二メモリデバイスを有し、且つ、前記ブートストラッププログラムの実行期間中に、前記コンピュータシステムをリセットし、前記コンピュータシステムがリセットを実行しても、前記複数の非再設定可能なインジケーターは、データを保留することを特徴とする請求項１に記載のコンピュータシステム。

【請求項3】

前記第一バージョンが、信頼できる前記第二バージョンより古い時、前記プロセッサは、リカバリープロセスを開始して、信頼できる前記第二バージョンを複製して、前記第一バージョンを代替することを特徴とする請求項１に記載のコンピュータシステム。

【請求項4】

前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記プロセッサは、前記セルフテストパスインジケーターを読み取るとともに、前記セルフテストパスインジケーターがクリアされる時、前記セルフテスト要求インジケーターを設定するとともに、その後、前記コンピュータシステムをリセットすることを特徴とする請求項１に記載のコンピュータシステム。

【請求項5】

前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記プロセッサは、前記セルフテストパスインジケーター、および、前記セルフテスト要求インジケーターを読み取り、且つ、前記セルフテストパスインジケーターがクリアされるとともに、前記セルフテスト要求インジケーターが設定される時、前記プロセッサは、前記セルフテストプログラムを実行して、前記セルフテスト要求インジケーターをクリアし、前記セルフテストプログラムの結果に基づいて、前記セルフテストパスインジケーターを設定、あるいは、クリアするとともに、その後、前記コンピュータシステムをリセットすることを特徴とする請求項１に記載のコンピュータシステム。

【請求項6】

前記非再設定可能なインジケーターはさらに、アップデート承認インジケーターを有し、且つ、前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記プロセッサは、前記セルフテストパスインジケーター、および、前記アップデート承認インジケーターを読み取るとともに、前記セルフテストパスインジケーターが設定されるが、前記アップデート承認インジケーターがクリアされる時、前記プロセッサは、前記第一バージョンの前記ブートストラッププログラムを階層的に認証し、前記第一バージョンの認証結果に基づいて、前記アップデート承認インジケーターを設定、あるいは、クリアするとともに、その後、前記コンピュータシステムをリセットすることを特徴とする請求項１に記載のコンピュータシステム。

【請求項7】

前記複数の非再設定可能なインジケーターは、さらに、アップデート承認インジケーターを有し、且つ、前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記プロセッサは、前記セルフテストパスインジケーター、および、前記アップデート承認インジケーターを読み取るとともに、前記セルフテストパスインジケーターと前記アップデート承認インジケーター両方が設定される時、前記プロセッサは、前記第一バージョンで、信頼できる前記第二バージョンを代替し、その後、前記コンピュータシステムをリセットすることを特徴とする請求項１に記載のコンピュータシステム。

【請求項8】

前記コンピュータシステムの運行中、前記第二バージョンを保存する少なくとも一つのメモリ領域は、書き込み禁止であることを特徴とする請求項１に記載のコンピュータシステム。

【請求項9】

コンピュータシステムの安全管理方法であって、前記方法は、
前記コンピュータシステムの一つ以上のメモリデバイス中に、(１)前記コンピュータシステムをブートストラッピングする、多段ブートストラッププログラムをテストするセルフテストプログラムを有する前記多段ブートストラッププログラムの第一バージョン、および、(２)信頼できると分かっている前記多段ブートストラッププログラムの第二バージョンを保存する工程と、
前記コンピュータシステムの非再設定可能なメモリエレメント中に、複数の非再設定可能なインジケーターを保存し、前記コンピュータシステムの再設定にかかわらず、前記複数の非再設定可能なインジケーターは維持され、且つ、前記非再設定可能なインジケーターが、(１)前記セルフテストプログラムの実行を要求するセルフテスト要求インジケーター、および、(２)前記セルフテストプログラムがパスしたか、あるいは、失敗したかを示すセルフテストパスインジケーターを有する工程、および、
前記コンピュータシステムのプロセッサを用いて、前記ブートストラッププログラムの前記第一バージョンを検索し、且つ、前記第一バージョンが、少なくとも、最近の信頼できる前記第二バージョンである時、前記第一バージョン、および、前記非再設定可能なインジケーターを用いて、前記コンピュータシステムを安全にブートストラッピングする工程、
を有することを特徴とする方法。

【請求項10】

前記第一、および、第二バージョンの保存は、前記第一バージョンを第一メモリデバイス中に保存することと、前記第二バージョンを第二メモリデバイス中に保存することを含むことを特徴とする請求項９に記載の方法。

【請求項11】

前記コンピュータシステムのブーティングは、前記第一バージョンが、信頼できる前記第二バージョンより古い時、リカバリープロセスを初期化して、信頼できる前記第二バージョンを複製して、前記第一バージョンを代替することを含むことを特徴とする請求項９に記載の方法。

【請求項12】

前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記コンピュータシステムをブートし、前記コンピュータシステムは、前記セルフテストパスインジケーターを読み取るとともに、前記セルフテストパスインジケーターがクリアされる時、前記セルフテスト要求インジケーターを設定し、その後、前記コンピュータシステムをリセットする工程を有することを特徴とする請求項９に記載の方法。

【請求項13】

前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記コンピュータシステムをブートし、前記コンピュータシステムは、前記セルフテストパスインジケーター、および、前記セルフテスト要求インジケーターを読み取るとともに、前記セルフテストパスインジケーターがクリアされ、前記セルフテスト要求インジケーターが設定される時、前記セルフテストプログラムを実行し、前記セルフテスト要求インジケーターをクリアし、前記セルフテストプログラムの結果に基づいて、前記セルフテストパスインジケーターを設定、あるいは、クリアし、その後、前記コンピュータシステムをリセットする工程を有することを特徴とする請求項９に記載の方法。

【請求項14】

前記複数の非再設定可能なインジケーターは、さらに、アップデート承認インジケーターを有し、且つ、前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記コンピュータシステムをブートし、前記コンピュータシステムは、前記セルフテストパスインジケーター、および、前記アップデート承認インジケーターを読み取ると共に、前記セルフテストパスインジケーターが設定されるが、前記アップデート承認インジケーターがクリアされる時、前記ブートストラッププログラムの前記第一バージョンを階層的に認証し、前記第一バージョンの認証結果に基づいて、前記アップデート承認インジケーターを設定、あるいは、クリアし、その後、前記コンピュータシステムをリセットする工程を有することを特徴とする請求項９に記載の方法。

【請求項15】

前記非再設定可能なインジケーターは、さらに、アップデート承認インジケーターを有し、且つ、前記第一バージョンが、信頼できる前記第二バージョンよりさらに新しい時、前記コンピュータシステムをブートし、前記コンピュータシステムは、前記セルフテストパスインジケーター、および、前記アップデート承認インジケーターの読み取るとともに、前記セルフテストパスインジケーター、および、前記アップデート承認インジケーター両方が設定される時、前記第一バージョンで、信頼できる前記第二バージョンを代替し、その後、前記コンピュータシステムをリセットする工程を有することを特徴とする請求項９に記載の方法。

【請求項16】

前記コンピュータシステムの実行期間中、前記第二バージョンを保存する少なくとも一つのメモリ領域は、書き込み禁止であることを特徴とする請求項９に記載の方法。

【請求項17】

コンピュータソフトウェア製品であって、前記製品は、有形の非一時的コンピュータ可読媒体を有し、複数のプログラム命令が保存され、前記複数の命令が、前記コンピュータシステムの前記プロセッサにより読み取られる時、前記プロセッサに、以下のことをさせ、
前記コンピュータシステムの一つ以上のメモリデバイス中に、(１)前記コンピュータシステムをブートストラッピングする、セルフテストプログラムを有するブートストラッププログラムの第一バージョン、および、(２)信頼できると分かっている前記ブートストラッププログラムの第二バージョンを保存、
前記コンピュータシステムの非再設定可能なメモリエレメント中に、複数の非再設定可能なインジケーターを保存し、且つ、前記非再設定可能なインジケーターは、前記非再設定可能なインジケーターは、(１)前記セルフテストプログラムの実施を要求するセルフテスト要求インジケーター、および、(２)前記セルフテストプログラムがパスしたか、あるいは、失敗かを示すセルフテストパスインジケーターを有し、および、
前記ブートストラッププログラムの前記第一バージョンを検索するとともに、前記第一バージョンが、少なくとも、最近の信頼できる前記第二バージョンである時、前記第一バージョン、および、前記非再設定可能なインジケーターを用いて、前記コンピュータシステムを安全にブートストラップする、ことを特徴とするコンピュータソフトウェア製品。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、コンピュータシステムの安全リカバリーに関するものであって、特に、コンピュータシステムの安全なファームウェア管理方法とシステムに関するものである。

【背景技術】

【0002】

コンピュータシステムは、フラッシュメモリを用いて、不揮発データ、たとえば、ブートコードを保存する。ある場合、フラッシュメモリは、さらに、セキュリティと電源管理等の重要な機能に、持続性のストレージサポートを提供する。フラッシュメモリ中に保存されるブートコードは、ファームウェアと称される。

【0003】

いくつかの方法がすでに設計されて、ファームウェアの信頼性を検証するとともに、それを攻撃から保護する。例示的技術は、たとえば、最初に、２００３年３月２８日にリリースされた”SECURITY REQUIREMENTS FOR CRYPTOGRAPHIC MODULES, Implementation Guidelines,” NIST-FIPS 140-2; ２００８年７月の“The Keyed-Hash Message Authentication Code,” FIPS PUB 198-1;２０１５年８月“Secure Hash Standard (SHS),” NIST-FIPS 180-4;および、２０１７年８月の“UEFI (Unified Extensible Firmware Interface Forum)規格”バージョン２．７(Errata A)中で見つけられる。四種の文献はすべて参照として本明細書に組み込まれる。

【発明の概要】

【発明が解決しようとする課題】

【0004】

本発明の実施形態は、コンピュータシステムを提供する。コンピュータシステムは、一つ以上のメモリデバイス、複数の非再設定可能なメモリエレメント、および、プロセッサを有する。一つ以上のメモリデバイスが配置されて、(１)コンピュータシステムをブートストラッピングするブートストラッププログラムの第一バージョン、および、(２)信頼できると分かっているブートストラッププログラムの第二バージョン、を保存する。ブートストラッププログラムは、セルフテストプログラムを有する。複数の非再設定可能なメモリエレメントが配置されて、複数の非再設定可能なインジケーターを保存する。複数の非再設定可能なインジケーターは、少なくとも、(１)セルフテストの実行を要求するセルフテスト要求インジケーター、および、(２)セルフテストをパスしたか、失敗したかを示すセルフテストパスインジケーターを有する。プロセッサが配置されて、ブートストラッププログラムの第一バージョンを検索し、且つ、第一バージョンが、すくなくとも、最近の信頼できる第二バージョンである時、第一バージョン、および、複数の非再設定可能なインジケーターを用いて、コンピュータシステムをブートストラップする。

【課題を解決するための手段】

【0005】

いくつかの実施形態において、一つ以上のメモリデバイスは、第一バージョンを保存する第一メモリデバイス、および、第二バージョンを保存する第二メモリデバイスを有する。一実施形態において、ブートストラッププログラムの実行期間中に、コンピュータシステムをリセットし、コンピュータシステムがリセットを実行しても、複数の非再設定可能なインジケーターは、データを保留することができる。一実施形態において、第一バージョンが、信頼できる第二バージョンよりも古い時、プロセッサは、リカバリープロセスを起動し、信頼できる第二バージョンを複製して、第一バージョンを代替する。開示される実施形態において、第一バージョンが、信頼できる第二バージョンよりもさらに新しい時、プロセッサは、セルフテストパスインジケーターを読み取るとともに、セルフテストパスインジケーターがクリアされる時、セルフテスト要求インジケーターを設定して、その後、コンピュータシステムをリセットする。

【0006】

例示的な実施形態において、第一バージョンが、信頼できる第二バージョンよりもさらに新しい時、プロセッサは、セルフテストパスインジケーター、および、セルフテスト要求インジケーターを読み取るとともに、セルフテストパスインジケーターがクリアされ、且つ、セルフテスト要求インジケーターが設定される時、セルフテストプログラムを運転して、セルフテスト要求インジケーターをクリアして、セルフテストプログラムの結果に基づいて、セルフテストパスインジケーターを設定、あるいは、クリアし、その後、コンピュータシステムをリセットする。

【0007】

一実施形態において、非再設定可能なインジケーターは、さらに、アップデート承認インジケーターを有し、且つ、第一バージョンが、信頼できる第二バージョンよりもさらに新しい時、プロセッサは、セルフテストパスインジケーター、および、アップデート承認インジケーターを読み取るとともに、セルフテストパスインジケーターが設定されるが、アップデート承認インジケーターがクリアになる場合、階層的に、ブートストラッププログラムの第一バージョンを認証し、第一バージョンの認証結果に基づいて、アップデート承認インジケーターを設定、あるいは、クリアし、その後、コンピュータシステムをリセットする。開示される実施形態において、非再設定可能なインジケーターは、さらに、アップデート承認インジケーターを有し、且つ、第一バージョンが、信頼できる第二バージョンよりもさらに新しい時、プロセッサは、セルフテストパスインジケーター、および、アップデート承認インジケーターを読み取り、且つ、セルフテストパスインジケーター、および、アップデート承認インジケーター両方が設定される時、第一バージョンで、信頼できる第二バージョンを代替し、その後、コンピュータシステムをリセットする。一実施形態において、コンピュータシステムの実行中、第二バージョンを保存する少なくとも一つのメモリ領域は、書き込み禁止である。

【0008】

本発明の実施形態によると、コンピュータシステムの安全管理方法が提供される。本方法は、コンピュータシステムの一つ以上のメモリデバイス中に、(１)コンピュータシステムをブートストラップするブートストラッププログラムの第一バージョン、および、(２)信頼できると分かっている第二バージョンを保存する工程を有する。ブートストラッププログラムは、セルフテストプログラムを有する。コンピュータシステムの非再設定可能なメモリエレメント中に、非再設定可能なインジケーターが保存され、且つ、複数の非再設定可能なインジケーターは、(１)セルフテストプログラムの実施を要求するセルフテスト要求インジケーター、および、(２)セルフテストプログラムがパスしたか、あるいは、失敗かを示すセルフテストパスインジケーター、を有する。計算システムのプロセッサを用いて、ブートストラッププログラムの第一バージョンを検索し、且つ、第一バージョンが、すくなくとも、最近の信頼できる第二バージョンである時、第一バージョン、および、複数の非再設定可能なインジケーターを用いて、コンピュータシステムを安全にブートストラップする。

【0009】

本発明の一実施形態によると、さらに、コンピュータソフトウェア製品が提供される。製品は、複数のプログラム命令が保存される有形の非一時的コンピュータ可読媒体を有し、命令がコンピュータシステム中のプロセッサにより読み取られる時、プロセッサに、コンピュータシステムの一つ以上のメモリデバイス中に、(１)コンピュータシステムのブートストラッププログラムをブートストラップする第一バージョン、および、(２)信頼できると分かっているブートストラッププログラムの第二バージョン、を保存させる。ブートストラッププログラムは、ブートストラッププログラムをテストするセルフテストプログラムを有する。コンピュータシステムの非再設定可能なメモリエレメント中に、複数の非再設定可能なインジケーターを保存し、コンピュータシステムのリセットにかかわらず、複数の非再設定可能なインジケーターは保留され、且つ、複数の非再設定可能なインジケーターは、(１)セルフテストプログラムの実施を要求するセルフテスト要求インジケーター、および、(２)セルフテストプログラムがパスしたか、あるいは、失敗かを示すセルフテストパスインジケーターを有して、ブートストラッププログラムの第一バージョンを検索するとともに、第一バージョンが、すくなくとも、最近の信頼できる第二バージョンである時、第一バージョン、および、複数の非再設定可能なインジケーターを用いて、コンピュータシステムを安全にブートストラップする。

【0010】

本発明は、以下の実施形態中で詳細に記述され、図面とともに参照すれば、本発明の原理を理解することができる。

【発明の効果】

【0011】

本発明によって追加の保護が提供され、従来の階層的認証プロセスにより提供される保護が十分ではないこと、また、フラッシュプログラミングは、電力故障や電源誤作動により中断して、コードを、不確定で不安定にする問題を改善することができる。

【図面の簡単な説明】

【0012】

【図1】本発明の一実施形態によるコンピュータシステムのブロック図である。

【図2】本発明の一実施形態によるフラッシュメモリのプログラミングを記述するタイミング波形を示す図である。

【図3】本発明のいくつかの実施形態によるブートストラッピングの方法のフローチャートである。

【図4】本発明のいくつかの実施形態によるフラッシュリカバリー方法のフローチャートである。

【図5】本発明のいくつかの実施形態によるフラッシュアップデート方法のフローチャートである。

【図6】本発明のいくつかの実施形態による階層的認証方法のフローチャートである。

【図7】本発明のいくつかの実施形態によるリナックスレベル認証方法のフローチャートである。

【図8】本発明のいくつかの実施形態によるリナックスレベルブートストラップのフローチャートである。

【発明を実施するための形態】

【0013】

本発明の実施形態によるコンピュータシステムは、フラッシュメモリ、および、リードオンリメモリ(ＲＯＭ)を有する。実施形態において、ブートプログラムは、小さく、且つ、最も信頼できる層０から、より大きく信頼されない外層まで、階層的ソフトウェア層を有する(記述中と図面中、時に、ブート層をブートレベルとみなす)。

【0014】

コンピュータシステムが起動する時、ＲＯＭ中に保存される初期のブートコードは、ブートプログラム(“layer-0 boot”)を実行するとともに、“layer-1 boot”プログラムを認証する。認証は、通常、暗号化キー、および、デジタル署名を用いて行われる。次に、layer-1 bootが実行するとともに、次の層を認証し、フラッシュ、あるいは、その他のシステムメモリ(通常は、不揮発性)中に保存される。このプロセスは、“layer n-1 boot”プログラムが実行、且つ、最終のブートセッション(final boot stage)である“layer-n boot”を認証するまで、階層的に継続される。いくつかの実施形態において、コンピュータシステムは、リナックスシステムであり、且つ、layer-n bootは、“リナックスブート”と見なされる。このような階層的セキュアブートは、たとえば、上記のNIST-FIPS Publication 180-4中で記述されている。“layer m boot”プログラムは、多段ブートストラッププログラムとも称される。

【0015】

本発明によるいくつかの実施形態において、コンピュータシステムは、ブートコードを有するコンピュータプログラムを実行するプロセッサ、および、二個のフラッシュメモリ - ブートストラッピングに用いられる第一フラッシュメモリ(以下で“Flash0”と称する)、および、最後の(すなわち、つい最近の)既知の良好なファームウェアコードを保存し、且つ、リカバリーに用いられる第二フラッシュメモリ(“Flash1”)を有する。本文中、“良好なファームウェアコード”というのは、既に認証が成功しており、且つ、信頼でき、安定していることで知られるファームウェアコードのことを意味する。複数の実施形態によると、Flash0からの起動が失敗の場合、コンピュータシステムは、Flash1からの起動を試みる。

【0016】

コンピュータシステムは、さらに、コントローラーを有し、コントローラーが含むflash0/1からブートのレジスタビットにしたがって、コントローラーは、フラッシュアクセスを、プロセッサからflash0あるいはflash1に選択する。Flash-0が新しいファームウェアコードでプログラムされる時、プロセッサはコードを認証する。認証が成功した時、プロセッサは、新しいファームウェアコードをFlash-1に複製し、且つ、コンピュータシステムは、Flash-0から起動する。認証が失敗の時、プロセッサは、良好であると知られた最後のファームウェアを、Flash-1からFlash-0に複製し、よって、新しいファームウェアを削除する。その後、コンピュータシステムは、Flash-0からブートされる。

【0017】

ここで記述される実施形態は、主に、フラッシュメモリを用いているが、本文中の技術は、フラッシュメモリに限定されず、且つ、別の実施形態では、その他の適当な任意のメモリデバイスを用いてもよい。以下で、フラッシュメモリ、および、メモリデバイスという用語は互換使用することができる。

【0018】

いくつかの場合において、上述の階層的認証プロセスにより提供される保護は十分ではない。ブートプログラムのサイズの増加するにつれて、コードの脆弱性が増加し、安全性が低下する。このほか、フラッシュプログラミングは、電力故障や電源誤作動により中断して、コードを、不確定で不安定にする。本発明による実施形態において、追加の保護が提供される。

【0019】

本発明の実施形態によると、メモリデバイス中の一、あるいは、それ以上のビットが用いられて、フラッシュプログラミングの完成を示し(以下で“タグビット”あるいは“有効タグ”と称する)、一実施形態によると、フラッシュプログラミングは、タグビットの設定から開始し、タグビットを第一２進値(たとえば、logic 1)に設定して、フラッシュプログラミングの失敗を示す。プログラミングがうまく完了した時だけ、タグビットが第二２進値(たとえば、logic 0)に設定され、フラッシュプログラミングがすでに成功していることを示す。よって、電源が故障する時、フラッシュがプログラムされており、このタグは、プログラミング失敗を示すとともに、適切な措置を採取する(このような措置の例は、例示的実施形態により、以下で記述される)。

【0020】

本発明によるいくつかの実施形態において、コンピュータシステムは、一つ以上のメモリエレメントを有し、プロセッサにより、２進値にプログラムされるとともに、プロセッサ供給電圧が、所定の電圧範囲内にある限り(すなわち、プロセッサの別のメモリがリセットされても)、メモリエレメントは、プログラムされた２進値を保持する。このようなメモリエレメントは以下で“非再設定可能なインジケーター(non-resettable indicator)”と称される。実施形態において、各種ブーティング操作は、一つ以上の非再設定可能なインジケーターの設定を有し、且つ、プロセッサをリセットすることにより終了する。よって、プロセッサが起動する時、プロセッサは、一つ以上の非再設定可能なインジケーターを読み取ることにより、前のブートセッション(previous boot session)中で開始されたブートシーケンスを続行する。注意すべきことは、本文中、非再設定可能なインジケーターは、一表示値を示すことができる、あるいは、この非再設定可能な表示値のメモリエレメントを保存することができる。つまり、この非再設定可能な表示値を保存するメモリエレメントは、非再設定可能なインジケーターと称することができ、いわゆる“非再設定可能なメモリエレメント中に、非再設定可能なインジケーターを保存する”というのは、非再設定可能なメモリエレメント中に、表示値を保存して、この非再設定可能なメモリエレメントを、非再設定可能なインジケーターに変えることを意味する。

【0021】

一実施形態において、ブートプログラムの最高ヒエラルキーレベルは、ブートコードの機能性を検証するセルフテストプログラムを有する。コンピュータシステムが、新しいブートコード(Flash 0に保存される)から起動する時、非再設定可能なインジケーター(以下で、“セルフテスト要求インジケーター”と称される)が設定され、セルフテストが要求されることを示す。セルフテスト要求インジケーターを検出するブートコードの最高ヒエラルキーレベルが設定される時、プロセッサは、セルフテストプログラムを実行するとともに、別の非再設定可能なインジケーター(“セルフテストパス”インジケーター)中に、セルフテストの結果を保存し、その後、リセットする。よって、ファームウェアの最高ヒエラルキーレベルが高く、且つ、攻撃に弱いが、最高ヒエラルキーレベルで生じるレジスタ値、あるいは、揮発性メモリコンテンツの任意の干渉はリセットされる。ファームウェアのセルフテスト部分の唯一の要求は、真の結果を、非再設定可能なセルフテストパスインジケーター中に保存することである。

【0022】

いくつかの実施形態において、最下層より高いブート層中の失敗、悪意のある、あるいは、予想外の要素は、セルフテストパスインジケーターを不当に設定する。一実施形態によると、“アップデート承認非再設定可能なインジケーター”が設定される場合のみ、プロセッサは、Flash-1を更新する(つまり、flash-0からflash-1へ、ブートプログラムを複製する)。一実施形態において、セルフテスト完了後、ファームウェア変化を防止するため、プロセッサは、全てのブートレベルを階層的に認証することにより、セルフテストパスインジケーターに対応し、且つ、成功した認証に対応して、アップデート承認非再設定可能なインジケーターを設定するとともに、プロセッサをリセットする。

【0023】

いくつかの実施形態において、上述の“flash0/1からブートのレジスタ”は、非再設定可能なインジケーターであり、非再設定可能なインジケーターは、ブートコードのソースをflash0に選択する、あるいは、flash0からの起動が失敗の場合、flash1に選択される。さらに別の実施形態において、“ロックFlash1書き込み”非再設定可能なインジケーターは、flash1への書き込みを防止する(非再設定可能な“Flash0/1からブート”、および、“ロックFlash1書き込み”インジケーターは、以下の例示的実施形態に関連して記述される)。

【0024】

総合すると、二個のブートフラッシュデバイス、コントローラー、および、安全な階層的ブートを有するコンピュータシステムは、非再設定可能なインジケーター、フラッシュデバイス中に保存されるセルフテストプログラムと有効タグを用いることにより達成される。

【0025】

システム記述
図１は、本発明の一実施形態によるコンピュータシステムのブロック図１００である。コンピュータシステムは、プロセッサ１０２、コントローラー１０４、ブートストラップリードオンリメモリ(Bootstrap Read-Only-Memory、ＲＯＭ)１０６、第一ＳＰＩフラッシュデバイス１０８(“Flash0”)、第二ＳＰＩ-フラッシュデバイス１１０(“Flash1”)、および、非再設定可能なインジケーター１１２を有する。実施形態において、コンピュータシステム１００は、示されない別のサブユニットを有する。これに限定されないが、周辺機器、通信ポート、および、メモリを有する。

【0026】

プロセッサ１０２は、メモリ中に保存されるプログラムを実行し、プログラムは、ブートストラップＲＯＭ１０６、およびFlash-0 １０８中に保存されるブートストラッププログラム(multi-stage bootstrap program)を有する。コントローラー１０４は、シリアルプロセッサインターフェース(ＳＰＩフラッシュ)バスにより、Flash-0、および、Flash-1に結合される。バスは、それぞれ、Flash0とFlash1を制御するChip-Select (CS) CS0とCS1ワイヤを有し、図１で記述される例示的実施形態において、ＣＳワイヤの極性は負であり(“active-low”)、よって、ＣＳワイヤはCS0#とCS1#に指定される。

【0027】

非再設定可能なインジケーター１２２は、コンピュータシステムがリセットされる時、それらのロジック値を維持するレジスタである。本発明による実施形態において、ブートシーケンスは、多数のレジスタのリセットを含むコンピュータシステムの一つ以上のリセットを有する。しかし、非再設定可能なインジケーターは、リセット期間中、レジスタとインジケーターの値を保留する。

【0028】

本発明による実施形態において、非再設定可能なインジケーターは:
プロセッサが、二個のフラッシュデバイスのどちらかから、ブートコードを動作させるか決定する“Flash0/1からブートのインジケーター”;
設定時、flash1への全ての書き込みを防止する“ロックFlash1書き込みインジケーター”;
ブートのリナックスレベルによりこのインジケーターを観察する、あるいは、このインジケーターが設定されることを検出する時、プロセッサに、セルフテストプログラムを実行させる“セルフテスト要求インジケーター”;
低いブートレベルに、セルフテストがうまくパスしたことを示す“セルフテストパスインジケーター”;および
ファームウェアのlevel-0(level-0 of the firmware)により、このインジケーターが観察される時、あるいは、このインジケーターが設定されるのを検出する時、プロセッサに、flash0のコンテンツを、flash1にアップデートする“アップデート承認インジケーター”、を有する。

【0029】

図１に示される例示的実施形態によると、Flash1(すなわち、第二ＳＰＩフラッシュデバイス１１０)は、良いと知られているファームウェアプログラムの一バージョンを保存し、Flash0(すなわち、第一ＳＰＩフラッシュデバイス)は、コンピュータシステムにより使用中であるファームウェアコードを保存する。いくつかの実施形態において、ファームウェアコードは、ファームウェアブートコードの機能性をチェックするセルフテストプログラムを有する。

【0030】

実施形態において、新しいファームウェアが、Flash0でプログラムされる時、プロセッサは、ブート時に、新しいファームウェアを認証するとともに、セルフテストがパスするかチェックする。新しいファームウェアが認証に失敗する、あるいは、セルフテストが失敗の時、新しいファームウェアは、故障であると見なされ、且つ、コンピュータシステムは、Flash1をFlash0に複製し、および、新しいファームウェアを削除することにより、最後の既知のファームウェアをリカバーする。

【0031】

認証が成功し、且つ、セルフテストがパスした時、新しいファームウェアは、良好であると見なされ、コンピュータシステムは、新しいファームウェアをFlash1に複製して、最後の既知の良好なファームウェアを代替する。

【0032】

本発明のいくつかの実施形態によると、トップレベルのブートストラッププログラムは認証されるが、攻撃に遭い易く、且つ、故障である可能性がある。よって、トップレベルのファームウェアが実行される時、プロセッサが、任意のリカバリーオプションをブロックするFlash1のコンテンツを変更するのを防止することが必須である。実施形態において、低いレベルのファームウェア(通常、ＲＯＭベース)だけが、Flash1のコンテンツを変更することができる。よって、階層が高い感染したファームウェアレベルのダメージを制限する。理解できることは、Flash1のアップデートレベルが低下するほど、ソリューションはより安全であることである。いくつかの実施形態において、レベル１、あるいは、その他の低レベルはFlash1をアップデートする。これは安全ではないが、高レベルのファームウェアにFlash1をアップデートさせるよりはまだ安全である。

【0033】

セルフテスト運転後、ファームウェアは、コンピュータシステムをリセットする必要があり、および、すでに引き起こされた任意の危害を起こしてはいけない。よって、セルフテストの結果が、非再設定可能なインジケーター中で表示されて、低レベルファームウェアにより用いられる。高いレベルのファームウェアのセルフテスト部分が相対して小さい時、本発明の実施形態によると、コンピュータシステムの安全性が高くなる。

【0034】

よって、図１中で記述される例示的実施形態によると、コンピュータシステムは、認証、および、セルフテストを実行することにより、不安全、あるいは、非機能的ファームウェアを検出する。セルフテスト後、コンピュータシステムはリセットし、高いファームウェア層が生じるダメージを消去する。セルフテストの結果は、非再設定可能なインジケーターにより、低いファームウェア層に伝えられる。不安全、あるいは、非機能的ファームウェアが検出される時、コンピュータシステムは、Flash-1をFlash0に複製することにより、最後の既知のファームウェアに戻る。認証、および、セルフテスト両方がパスする時、新しいファームウェアは、良好であると見なされるとともに、コンピュータシステムは、ファームウェアをFlash-1に複製して、前の最後の既知の良好なファームウェアを代替する。

【0035】

理解できることは、上述のコンピュータシステム１００の構造は、例として引用されていることである。本発明の技術に関連するコンピュータシステムは、上述に限定されない。別の実施形態において、たとえば、ブートストラップＲＯＭ１０６、および／または、コントローラー１０４は、プロセッサ１０２中に組み込まれる。一実施形態において、Flash0、および／または、Flash1は、直列、あるいは、並列で、ＳＰＩ以外のバスにより、プロセッサ１０２に結合される。いくつかの実施形態において、Flash0、および／または、Flash1は、その他のメモリ技術、たとえば、強誘電性ＲＡＭ(Ｆ-ＲＡＭ)、あるいは、磁気抵抗ＲＡＭ(Ｍ－ＲＡＭ)により代替される。

【0036】

一実施形態において、冗長度のために、単一バージョンを超えるFlash1が出現する。

【0037】

図２は、本発明の一実施形態によるフラッシュメモリのプログラミングを記述するタイミング波形である。通常、フラッシュ中に保存される不揮発性ストレージビット(“有効タグ”と称される)が用いられて、フラッシュのプログラミングが有効であることを示す。

【0038】

波形２００は、正常なフラッシュプログラミングセッションに対応するタイミング波形を説明する。ＣＰＵは、有効タグビットをクリアして、プログラミングが失敗したことを示す。その後、プロセッサは、フラッシュをプログラムし、且つ、プログラミングが完成した後だけ、プロセッサがタグを設定して、プログラミングが成功したことを示す。

【0039】

タイミング波形２０２は、電力故障のせいで中断されたフラッシュプログラミングセッションのタイミング波形を説明する。有効タグは、プログラミングの前にクリアされる。プログラミング期間中、電力入力の電圧が降下し、プログラミングが中断される。有効タグはクリアのまま保持され、プログラミングが失敗したことを示す。

【0040】

よって、図２に関連して記述される例示的実施形態によると、一組の有効タグは、フラッシュプログラミングの成功、および、任意のプログラミングの失敗を示し、任意のプログラミングの失敗は、時期が悪い中止を含み、たとえば、電力故障の結果として、クリアされた有効タグ、および、プログラミングの失敗の表示をもたらす。

【0041】

実施形態において、有効タグがフラッシュ中に保存され、消去操作の後に選択されたフラッシュ技術のロジックレベルにしたがって、クリア、および、設定された有効タグのロジック値が決定される。たとえば、消去操作が、フラッシュビットをlogic-0に設定することをもたらす時、logic-1の有効タグは、プログラミングの成功を示す。

【0042】

図３は、本発明のいくつかの実施形態によるブートストラッピングの方法を説明するフローチャートである。フローチャートは、プロセッサ１０２(図１)により実行される。

【0043】

まず、工程３００において、flash0は、flash1中のファームウェアと異なる新しいブートファームウェアを保存する。これは、新しいフラッシュデバイスがシステム中に挿入される時、あるいは、実行中、工程３００のリセット前に、新しいファームウェアはすでにプログラムされている(以下で、図８に関連して記述される)。その上、flash0のプログラミングが未完成時(且つ、以下で記述されるように、工程３００で継続される)、flash0中のファームウェアはflash1中のファームウェアと異なる。

【0044】

次に、リセット工程３０２が開始され、コンピュータシステムがリセットされる。注意すべきことは、システムがリセットされる時、ここで開示されるブート方法により処理される非再設定可能なインジケーターを除いて、全レジスタのコンテンツがクリアされることである。上述の工程は、開示されるブーティング方法により処理される。よって、システムがリブートする時、欠陥のあるプログラムが生成される任意のダメージは無効である。

【0045】

リセット工程３０２後、プロセッサは、“Flash1からのブート確認工程”３０４に進入するとともに、非再設定可能な“flash0/1からブートの”インジケーターの値をチェックする。工程３０４において、非再設定可能な“flash0/1からブートの”インジケーターが、プロセッサは、flash1から起動するべきであることを示す場合、プロセッサは、“フラッシュリカバリー工程”３０６に進入し、この工程は、flash1をflash0に複製し、その後、リセット工程３０２に再進入する(“フラッシュリカバリー工程”３０６は、図４に関連して、以下で記述される)。注意すべきことは、flash0/1からブートのインジケーターが、flash1からブートされることを示す時、“フラッシュリカバリー工程”３０６は、flash1中に保存されるコードから動作することである。インジケーターがflash0からのブートを示す時、さらなるブート命令は、flash0から動作する(いくつかの実施形態において、ＲＯＭコードは、リカバリー工程全体を管理し、且つ、コードをflash1からflash0に複製し、その後、システムをリセットして、flash0からブートする)。

【0046】

工程３０４において、インジケーターが、flash0から起動することを示す時、プロセッサは、“Flash1タグ確認工程”３０８に進入し、プロセッサは、Flash1有効タグの値をチェックする。

【0047】

工程３０８において、flash1有効タグが未設定の時(よって、flash1のプログラム成功を示さない)、プロセッサは、flash0をflash1に複製する工程を有する“フラッシュアップデート工程”３１０に進入し、その後、“リセット工程”３０２に再進入する(図５に関連して、フラッシュアップデート工程３１０が記述される)。

【0048】

工程３０８において、flash-1有効タグが設定される時(Flash1のプログラミング成功を示す)、プロセッサは“Flash0認証工程”３１２に進入するとともに、レベル１のファームウェアを認証する。工程３１２において、認証が失敗の時、プロセッサは、“Flash1からのブート設定”工程３１４に進入し、プロセッサは、フラッシュ 0/1 インジケーターからのブートを設定して、flash-1からのブートを示し、その後、リセットされる。いくつかの実施形態において、工程３１４のコア再設定は、リセット工程３１２と同じである。その他の実施形態において、工程３１４中、再設定が短いプロセスであり、たとえば、“リセット工程”３０２は、フェーズロックループ(Phase-Locked-Loops)のようなクロックソースのリセットを有し、リセット工程３１４は、レジスタのリセットだけを有する。

【0049】

工程３１２において、認証がパスした場合、プロセッサは、“バージョン制御工程”３１６に進入し、プロセッサは、flash0中に保存されるファームウェアのバージョンコードとflash1のファームウェアのバージョンコードを比較する。本発明の実施形態によると、ファームウェアコードの一部は、バージョン識別子である(“バージョンコード”)。識別子は、数値を表すバージョン番号、あるいは、たとえば、タイムスタンプを有する。バージョンコードが形成されなければならず、よって、プロセッサは、二個のファームウェアバージョンのどちらが新しいかを教えることができる。たとえば、バージョンコードが、各新しいバージョンで増加する一整数である時、算術的に、別のファームウェアバージョンのバージョンコードより大きいバージョンコードを有するファームウェアコードはさらに新しい。

【0050】

工程３１６において、flash0バージョンコードが、flash1バージョンコードより小さい時、flash0中に保存される新しいファームウェアは、最近のファームウェアではない。この場合、プロセッサは、“Flash1からのブート設定工程”３１４に進入する。工程３１６において、flash1とflash0両方のバージョンコードが同じ時、新しいファームウェアは承認され、且つ、flash1はすでにアップデートされている。この場合、プロセッサは、“ロックFlash1且つ進行(Lock-Flash1-and-Go)工程”３２２に進入するが、プロセッサは、非再設定可能なロックFlash1書き込みインジケーターを設定し、その後、ファームウェア層１に進む(その後、リナックスファームウェアが実行されるまで、高いレベルになる)。flash1の書き込みのロックは、システムの安全性を向上させるとともに、高いレベルからのファームウェア、および、任意のアプリケーションからのリカバリーフラッシュへの攻撃を防止する。

【0051】

工程３１６において、flash0中に保存されるファームウェアのバージョンコードが、flash1中に保存されるファームウェアのバージョンコードより大きい時、flash0は、検証の必要がある新しいファームウェアを保存する。プロセッサは、その後、“セルフテストパス確認工程”３１８に進入するとともに、セルフテストパス非再設定可能なインジケーターが設定されるか否かチェックする。セルフテストパスインジケーターが未設定の時、プロセッサは、“セルフテスト要求設定工程”３２０に進入するとともに、非再設定可能なセルフテスト要求インジケーターを設定して、セルフテスト要求を示す。プロセッサは、その後、“Flash1ロック且つ進行工程”３２２に進入する。この場合、セルフテスト要求インジケーターが設定され、且つ、アップデート承認インジケーターが未設定なので、リナックスファームウェアレベルに到達する時、リナックスレベルより低いレベルは、アップデート承認インジケーターを設定し、且つ、その後、リセットする(図８に関連して、以下で記述される)。

【0052】

工程３１８において、セルフテストパス非再設定可能なインジケーターが設定される場合、プロセッサは、“アップデート承認確認工程”３２４に進入するとともに、非再設定可能なアップデート承認インジケーターが設定されるか否かチェックする。インジケーターが未設定の場合、プロセッサは、“Flash1ロック且つ進行工程”３２２に進入する。この場合、セルフテストパスインジケーターが設定され、且つ、アップデート承認インジケーターは設定されないので、リナックスファームウェアレベルに到達する時、リナックスレベルより低いレベルは、アップデート承認非再設定可能なインジケーターを設定し、その後、リセットされる(図８に関連して、以下で記述される)。

【0053】

工程３２４において、更新/承認インジケーターが設定される時、プロセッサは、“フラッシュアップデート工程”３１０に進入する。

【0054】

工程３２２の後、プロセッサは、ファームウェア層１を実行し、図６に関連して、以下で記述される。

【0055】

図４は、本発明のいくつかの実施形態によるフラッシュリカバリー方法(図３の３０６)の工程を示す図である。flash0中に保存される新しいファームウェアが、認証、あるいは、セルフテストをパスしない時、フラッシュリカバリー工程が、プロセッサ１０２(図１)により実行される。Flash0/1からブートのインジケーターがflash1からの起動を示す時、工程３０６に進入し、フラッシュリカバリー工程のコードは、flash1中に保存されるコードである。

【0056】

工程は、“Flash0-有効タグクリア工程”４０２から開始され、プロセッサは、flash0プログラミングに備えて、flash0の有効タグをクリアする。次に、プロセッサは、“Flash1をFlash0に複製工程”４０４に進入し、flash1中に保存されるファームウェアは、良好であると知られた最後のファームウェアであり、flash0に複製されるとともに、新しいファームウェア、あるいは、破損した古いファームウェアを廃止する(すでに認証、あるいは、セルフテストに失敗している)。

【0057】

理解できることは、工程４０４は、複数の工程を有することである。これに限定されないが、フラッシュセクター、フラッシュのプログラミングセクター、機能的テスト、および、マージンテストの削除を有する。必要とされる工程は、選択したフラッシュ技術によって異なり、且つ、本発明の範囲を超える。

【0058】

工程４０４の後、プロセッサは、“Flash0-有効タグ設定工程”４０６に進入するとともに、有効タグ(Valid Tag)を設定し、フラッシュプログラミングがすでにうまく完成していることを示す(上述のように、図２を参照し、プログラミングプロセス中に電源が中断された場合でも、有効タグの値は欠陥にならない)。プロセッサは、その後、“インジケータークリア工程”４０８に進入して、非再設定可能なセルフテスト要求インジケーター、セルフテストパスインジケーター、および、アップデート承認インジケーターをクリアする。フラッシュリカバリー工程の前の工程によって、各工程４０８中でクリアされる非再設定可能なインジケーターは、まだクリアされていない、あるいは、すでにクリアされている。

【0059】

工程４０８の後、プロセッサは、“Flash0からのブート設定工程”４１０に進入するとともに、Flash0/1からブートのインジケーターを設定して、flash0からの起動を示し、その後、工程を出る(たとえば、図３のリセット工程３０２に進入)。

【0060】

図５は、本発明のいくつかの実施形態によるフラッシュアップデート方法の工程(図３の３１０)を示す図である。工程は、プロセッサ１０２(図１)により実行される。工程は、“Flash1書き込み解除工程”５０２で開始され、プロセッサは、非再設定可能なロックFlash1書き込みインジケーターをクリアし、flash0は、flash1に複製される。次に、プロセッサは、“Flash1有効タグクリア工程”５０４に進入し、プロセッサは、flash1プログラミングに備えて、flash1の有効タグをクリアする。プロセッサは、その後、“Flash1をFlash0に複製工程”５０６に進入するとともに、flash0のコンテンツをflash1に複製し、良好であると知られた最後のファームウェアをアップデートする。理解できることは、工程５０６は、複数の工程を有することで、これに限定されないが、フラッシュセクター、フラッシュのプログラミングセクター、機能的テスト、および、マージンテストの消去を有する。必要とされる工程は、選択したフラッシュ技術によって異なり、且つ、本発明の範囲を超える。

【0061】

工程５０６の後、プロセッサは、“Flash1有効タグ設定工程”５０８に進入するとともに、有効タグを設定し、フラッシュプログラミングがすでにうまく完成していることを示す(上述のように、図２を参照し、プログラミングプロセス中に電源が中断された場合でも、有効タグの値は欠陥にならない)。

【0062】

プロセッサは、その後、インジケータークリア工程５１０に進入するとともに、非再設定可能なセルフテスト要求インジケーター、セルフテストパスインジケーター、および、アップデート承認インジケーターをクリアする(フラッシュリカバリー工程の前の工程によって、工程５１０中で、クリアされる各非再設定可能なインジケーターは、まだクリアされていない、あるいは、すでにクリアされている)。

【0063】

工程５１０の後、プロセッサは、“Flash0からのブート設定工程”５１２に進入し、プロセッサは、非再設定可能なFlash0/1からブートのインジケーターを設定して、flash0からの起動を示す。その後、工程３１０は終了する(プロセッサは、図３のリセット工程３０２に進入する)。

【0064】

図６は、本発明のいくつかの実施形態による階層的認証方法の工程図６００である。工程はプロセッサ１０２(図１)により実行され、工程３２２の後にこの工程に進入する。工程は、“Layer-1-起動工程”６０２で開始され、プロセッサは、Flash0中に保存されるlayer-1ブートコードの実行を開始する。次に、プロセッサは、“Layer-2-認証工程”６０４に進入し、プロセッサは、次のブートストラップ層を認証する(たとえば、デジタル署名をチェックすることにより)。認証の失敗時、あるいは、ウオッチドッグタイマー(ＷＤＧ)が期限切れ時、プロセッサは、コアリセットを実行する。工程６０４において、すでに、layer2が認証されている時、プロセッサは、“Layer-2起動工程”６０６に進入して、layer2を起動するとともに、“Layer-3認証工程”６０８に進入する。

【0065】

層を起動し、次の層を認証すると共に、その後、次の層を起動するプロセスは、“layer-n-2起動工程”６１０で、プロセッサがlayer n-2(nは、ブートストラップ層の総数)を起動するまで継続される。プロセッサはその後、“Layer-n-1認証工程”６１２に進入し、layer n-1を認証し、および、認証がパスし、且つ、ＷＤＧがまだ期限切れでない時、layer n-1認証に進入する(図７を参照する)。

【0066】

図７は、本発明のいくつかの実施形態によるリナックスレベル認証方法の工程７００を説明する図である。工程７００は、図６の工程６１２に続いて、プロセッサ１０２(図１)により実行される。

【0067】

工程７００は、“Layer-n-1-起動工程”７０２から開始され、プロセッサは、layer n-1(リナックス層より低い)を起動する。次に、プロセッサは、“リナックス層認証工程”７０４に進入し、プロセッサは、リナックス層を認証する(たとえば、デジタル署名をチェックすることによる)。認証失敗時、あるいは、ウオッチドッグタイマーが期限切れの時、プロセッサはコアをリセットする。認証が成功時、プロセッサは、“セルフテストパスインジケーター確認工程”７０６に進入する。

【0068】

セルフテストがリナックス層によりうまく実行された時、非再設定可能なセルフテストパスインジケーターが設定される。上述のように、一組のセルフテストパスインジケーターは、リナックス層が認証されなければいけないので、flash1アップデート(layer0中)をトリガーすべきではない。しかし、工程７０６において、リナックス層はすでに認証されており(工程７０４)、よって、セルフテストパスインジケーターが設定される時、flash1アップデートは初期化されるべきである。よって、工程７０６において、セルフテストパスが設定時、プロセッサは、“アップデート承認設定工程”７０８に進入するとともに、非再設定可能なアップデート承認インジケーターを設定する。その後、“Flash0からのブート設定工程”７１０において、Flash0/1からのブートを設定して、flash0からのブートを示し、次に、コアをリセットする。

【0069】

工程７０６において、セルフテストパスインジケーターが未設定の時、プロセッサは、“クリア且つロック工程”７１２に進入し、プロセッサは、非再設定可能なアップデート承認インジケーター(最新のリセットより前に実行された工程に基づいて、すでにクリアされている可能性がある)に進入するとともに、非再設定可能なロックFlash1書き込みインジケーター(設定される)を設定し、その後、リナックス層を起動する(図８に関連して、以下で記述される)。

【0070】

図８は、本発明のいくつかの実施形態によるリナックスレベルブートストラップの工程８００を示す図である。工程はプロセッサ１０２(図１)により実行される。図８に示されるように、工程８００は二個の開始工程を有する。

【0071】

工程は、“リナックス起動工程”８０２で、リナックス層の起動で開始される(図７の工程７１２の後に実施される)。次に、“セルフテスト要求確認工程”８０４において、プロセッサは、非再設定可能なセルフテスト要求インジケーターが設定されるか否かチェックする。セルフテスト要求インジケーターが未設定の時、ブートが完成し、且つ、プロセッサは、リナックスコード(ブート層より高い)の運転を開始する。セルフテスト要求インジケーターが設定される時、プロセッサは、“リナックスセルフテスト工程”８０６に進入するとともに、リナックスブートコード中に組み込まれるセルフテストを実行する。

【0072】

工程８０６において、セルフテストが失敗の時、あるいは、ウオッチドッグタイマーが期限切れの時、プロセッサはリセットする。セルフテストがパスの時、プロセッサは、セルフテスト要求クリア工程８０８に進入するとともに、非再設定可能なセルフテスト要求インジケーターをクリアする。その後、“セルフテストパス設定工程”８１０に進入するとともに、非再設定可能なセルフテストパスインジケーターを設定する。最後に、プロセッサは、“Flash0からのブート設定工程”８１２に進入し、プロセッサは、非再設定可能なFlash0/1からブートのインジケーターを設定して、flash0からのブートを示して、コアをリセットする。

【0073】

プロセッサが、実行中、且つ、新しいファームウェアバージョンを受信する時、たとえば、インターネットにより、リナックス工程８００に進入する。新しいファームウェアはＲＡＭにロードされ、その後、プロセッサは、“ＤＤＲ画像認証工程”８１４に進入し、プロセッサは、ＲＡＭ中に保存されるブートイメージを認証する。次に、プロセッサは、“Flash0への画像複製工程”８１６に進入するとともに、ＲＡＭコンテンツをFlash0に複製し、リセットする。リセット後、上述のように、図３を参照すると、作用が発揮されるとともに、さらに、新しいファームウェアを検証する(上述のように、リナックス層で実行される新しいファームウェアの認証は信頼されない)とともに、良好であると見なされる時、flash1をアップデートする。

【0074】

総合すると、図３から図８を参照し、ここで記述される方法は、コンピュータシステム中で、セキュアブートを促進する。コンピュータシステムは、二個のフラッシュデバイスを有し、セキュアブートの促進は、非再設定可能なインジケーターを用いて、セルフテスト条件を増加させて、新しいファームウェアを承諾し、および、ブートプログラムのlevel-0を完全に信頼することだけで、全ての高いレベルが階層的に認証される。理解できることは、ここで記述される方法は例示的な実施形態であることである。別の実施形態において、異なるステップ、および／または、異なる順序のステップによって、その他の適切な工程を用いることができる。

【0075】

ここで記述される実施形態は、主に、リナックスシステムと関係しているが、開示される技術は、別の操作システム、たとえば、アンドロイド、iOS等に適用できる。

【0076】

プロセッサ１０２、および、コントローラー１０４の異なる素子は、たとえば、一つ以上の特定用途向け集積回路(ＡＳＩＣ)、あるいは、フィールドプログラマブルゲートアレイ(ＦＰＧＡ)等の適当なハードウェアを用いて、ソフトウェア、ハードウェア、あるいは、ハードウェアとソフトウェア素子の組み合わせを用いて実施される。

【0077】

いくつかの実施形態において、プロセッサ１０２は、一つ以上の汎用プログラム可能プロセッサを有し、ソフトウェア中でプログラムされて、ここで記述される機能を実行する。ソフトウェアは、たとえば、ネットワークにより、電子的形態で、プロセッサにダウンロードされるか、あるいは、代替的、または、追加的に提供される、および／または、一時的でない有形の媒体、たとえば、磁気、光学、あるいは、電気メモリに保存される。

【0078】

ここで記述される実施形態は、主に、二バージョンのファームウェア(ひとつは、良好であるとして知られるファームウェアバージョン、もう一つは、コンピュータシステムにより使用中のファームウェアバージョン)は、別々のメモリデバイス中に保存される配置に言及している。しかし、この配置は必須ではない。別の実施形態において、二個のファームウェアバージョンは、異なる形式で、一つ以上のメモリデバイス中に保存され、たとえば、同じデバイスパッケージの二個のメモリ、あるいは、同じメモリの二個の異なる領域中でパッケージされ、一領域は、もう一つよりさらに安全であると見なされる。

【0079】

ここで記述される実施形態は、主に、セキュアブートに組んでいるが、ここで開示される方法とシステムは、その他のアプリケーションに用いることもできる。

【0080】

本発明では好ましい実施例を前述の通り開示したが、これらは決して本発明を限定するものではなく、当該技術を熟知する者なら誰でも、本発明の思想を脱しない範囲内で各種の変形を加えることができる。

【符号の説明】

【0081】

１００…ブロック図
１０２…プロセッサ
１０４…コントローラー
１０６…ブートストラップリードオンリメモリ
１０８…第一ＳＰＩフラッシュデバイス
１１０…第二ＳＰＩフラッシュデバイス
１２２…非再設定可能なインジケーター
２００…正常なプログラミングのタイミング波形
２０２…中断されたプログラミングのタイミング波形
３００…ブート方法の流れ
３０２…リセット工程
３０４…起動確認工程
３０６…フラッシュリカバリー工程
３０８…Flash1タグ確認工程
３１０…フラッシュアップデート工程
３１２…Flash0認証工程
３１４…ブート設定工程
３１６…バージョン制御工程
３１８…セルフテストパス確認工程
３２０…セルフテスト要求設定工程
３２２…Flash1ロック且つ進行工程
３２４…アップデート承認確認工程
４０２…Flash0-有効タグクリア工程
４０４…Flash1をFlash0に複製工程
４０６…Flash0-有効タグ設定工程
４０８…インジケータークリア工程
４１０…Flash0からのブート設定工程
５０２…Flash1書き込み解除工程
５０４…Flash1有効タグクリア工程
５０６…Flash1をFlash0に複製工程
５０８…Flash1有効タグ設定工程
５１０…インジケータークリア工程
５１２…Flash0からのブート設定工程
６００…階層的認証方法の工程
６０２…Layer-1起動工程
６０４…Layer-2認証工程
６０６…Layer-2起動工程
６０８…Layer-3認証工程
６１０…layer-n-2起動工程
６１２…Layer-n-1認証工程
７００…リナックスレベル認証方法の工程
７０２…Layer-n-1-起動工程
７０４…リナックス層認証工程
７０６…セルフテストパスインジケーター確認工程
７０８…アップデート承認設定工程
７１０…Flash0からのブート設定工程
７１２…クリア且つロック工程
８００…リナックスレベルブートストラップの工程
８０２…リナックス起動工程
８０４…セルフテスト要求確認工程
８０６…リナックスセルフテスト工程
８０８…セルフテスト要求クリア工程
８１０…セルフテストパス設定工程
８１２…Flash0からのブート設定工程
８１４…ＤＤＲ画像認証工程
８１６…Flash0への画像複製工程

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】

【図8】