知財求人 - 知財ポータルサイト「IP Force」
▶ アドバンスト・マイクロ・ディバイシズ・インコーポレイテッドの特許一覧 ▶ エーティーアイ・テクノロジーズ・ユーエルシーの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-11-29
(54)【発明の名称】ブートローダ用のセキュアバッファ
(51)【国際特許分類】
G06F 21/57 20130101AFI20221121BHJP
【FI】
G06F21/57 350
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2022516306
(86)(22)【出願日】2020-09-24
(85)【翻訳文提出日】2022-05-10
(86)【国際出願番号】 US2020052471
(87)【国際公開番号】W WO2021061967
(87)【国際公開日】2021-04-01
(31)【優先権主張番号】16/586,226
(32)【優先日】2019-09-27
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】591016172
【氏名又は名称】アドバンスト・マイクロ・ディバイシズ・インコーポレイテッド
【氏名又は名称原語表記】ADVANCED MICRO DEVICES INCORPORATED
(71)【出願人】
【識別番号】508301087
【氏名又は名称】エーティーアイ・テクノロジーズ・ユーエルシー
【氏名又は名称原語表記】ATI TECHNOLOGIES ULC
【住所又は居所原語表記】One Commerce Valley Drive East, Markham, Ontario, L3T 7X6 Canada
(74)【代理人】
【識別番号】100108833
【弁理士】
【氏名又は名称】早川 裕司
(74)【代理人】
【識別番号】100111615
【弁理士】
【氏名又は名称】佐野 良太
(74)【代理人】
【識別番号】100162156
【弁理士】
【氏名又は名称】村雨 圭介
(72)【発明者】
【氏名】ムラリ ラオ
(72)【発明者】
【氏名】クラレンス イップ
(72)【発明者】
【氏名】ジョセフ スカンロン
(72)【発明者】
【氏名】ミヒル エス. ドクター
(72)【発明者】
【氏名】ノーマン スチュワート
(72)【発明者】
【氏名】グハン クリシュナン
(57)【要約】
処理システムは、処理システムを危険にさらす可能性のあるバッファオーバーランから保護するために、ブートコードが検証される後まで、処理ユニットのブートメモリをプログラムするために外部ブートソースから受信したブートコードを、処理ユニットの物理的又は論理的に分離したメモリ領域に分離する。処理ユニットは、パーソナルコンピュータ(PC)等の外部ブートソースからブートコードを受信するために処理ユニットの残りの部分から物理的又は論理的に分離されているメモリのセキュアバッファ領域を含むことにより、セキュアバッファにおけるバッファオーバーランは、セキュアバッファに格納されたデータを上書きするだけで、処理ユニットで実行されているデータ又は命令に影響を及ぼさない。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
処理ユニットのメモリのセキュア領域において、ペリフェラルインタフェースを介して前記処理ユニットに接続された外部ブートソースから第一ブートコードを受信することであって、前記セキュア領域は、前記メモリの他の領域とは物理的に分離している、ことと、前記第一ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第一ブートコードを検証したことに応じて、前記第一ブートコードを前記処理ユニットに接続されたブートメモリに転送することと、を含む、
方法。
【請求項2】
前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記メモリの前記セキュア領域において、前記外部ブートソースから第二ブートコードを受信することと、前記第二ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第二ブートコードを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
請求項1の方法。
【請求項3】
前記ブートコードの複数のバッチを前記ブートメモリに転送したことに応じて、前記ブートコードの複数のバッチのシグネチャを検証することと、前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリにおいて前記ブートコードの複数のバッチにアクセスして、前記処理ユニットをブートロードすることと、をさらに含む、
請求項2の方法。
【請求項4】
ブートコードを前記ブートメモリに書き込むという前記外部ブートソースからの要求に応じて、バスインタフェースが前記メモリの前記セキュア領域にアクセスすることを可能にすることをさらに含み、前記第一ブートコードを受信することは、前記バスインタフェースを介して前記第一ブートコードを受信することを含む、
請求項1~3の何れかの方法。
【請求項5】
前記バスインタフェースを可能にすることに応じて、前記処理ユニットのコントローラを初期化して、前記セキュア領域と前記外部ブートソースとの間の通信を可能にすることをさらに含む、請求項4の方法。
【請求項6】
前記メモリは、スタティックランダムアクセスメモリを含む、請求項1~6の何れかの方法。
【請求項7】
前記第一ブートコードを検証することに失敗したことに応じて、前記ブートメモリへの前記第一ブートコードの転送を制限することをさらに含む、請求項1~6の何れかの方法。
【請求項8】
前記セキュア領域において、ペリフェラルインタフェースを介して受信した前記第一ブートコードを分離することをさらに含み、前記第一ブートコードを検証することは、前記第一ブートコードのチェックサムを検証することを含む、
請求項1~7の何れかの方法。
【請求項9】
前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記メモリの前記セキュア領域において、前記ペリフェラルインタフェースを介して受信した第二ブートコードを分離することと、前記第二ブートコードの前記チェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
請求項8の方法。
【請求項10】
前記ブートコードの複数のバッチを前記ブートメモリに転送したことに応じて、前記ブートコードの複数のバッチのシグネチャを検証することと、前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリから前記ブートコードの複数のバッチにアクセスして、前記処理システムをブートロードすることと、をさらに含む、
請求項9の方法。
【請求項11】
外部ブートソースからブートコードにアクセスして処理ユニットをブートストラップする処理ユニットであって、メモリのセキュア領域であって、前記セキュア領域は、前記メモリの他の領域とは物理的に分離されており、前記セキュア領域は、ペリフェラルインタフェースを介して前記外部ブートソースから第一ブートコードを受信するように構成されている、セキュア領域と、
前記第一ブートコードのチェックサムを検証する検証モジュールであって、前記検証モジュールが前記チェックサムを検証したことに応じて、前記処理ユニットが前記第一ブートコードを前記メモリの前記セキュア領域から前記処理ユニットのブートメモリに転送する、検証モジュールと、を備える、
処理ユニット。
【請求項12】
前記セキュア領域は、前記処理ユニットが前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記外部ブートソースから前記ペリフェラルインタフェースを介して第二ブートコードを受信するようにさらに構成されており、前記処理ユニットは、前記第二ブートコードのチェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送し、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
請求項11の処理ユニット。
【請求項13】
前記検証モジュールは、前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記第一ブートコードのシグネチャをさらに検証し、前記処理ユニットは、前記検証モジュールが前記第一ブートコードの前記シグネチャを検証したことに応じて、前記ブートメモリから前記第一ブートコードにアクセスして、前記処理ユニットをブートロードする、
請求項11又は12の処理ユニット。
【請求項14】
ブートコードを前記ブートメモリに書き込むという前記外部ブートソースからの要求に応じて、前記セキュア領域にアクセスするための少なくとも1つのバスインタフェースをさらに備え、前記セキュア領域は、前記少なくとも1つのバスインタフェースを介して前記第一ブートコードを受信するように構成されている、
請求項11~14の何れかの処理ユニット。
【請求項15】
前記少なくとも1つのバスインタフェースを有効にすることに応じて、前記セキュア領域と前記外部ブートソースとの間の通信を可能にするためのペリフェラルインタフェースコントローラをさらに備える、請求項14の処理ユニット。
【発明の詳細な説明】
【背景技術】
【0001】
処理システムの初期化には、通常、中央処理装置(CPU)の初期化、CPUの外部に一般に提供されるシステムメモリの初期化、システムのセキュリティプロビジョニング、外部大容量記憶装置からシステムメモリへのオペレーティングシステムのロード、及び、ユーザアプリケーションの実行が必要である。システムメモリ等の処理システムの様々なハードウェアコンポーネントを初期化するプロセスと、ブートストラップ又はブートローダとも呼ばれる、より高いシステムレベルを初期化するためにシステムメモリに含まれる命令の実行とは、悪意のある攻撃の場合に、処理システムを脆弱性にさらす可能性がある。
【0002】
添付図面を参照することによって、本開示をより良好に理解することができ、その多数の特徴及び利点が当業者に明らかになる。異なる図面で同じ符号が使用されている場合、類似又は同一のアイテムを示している。
【図面の簡単な説明】
【0003】
【図1】いくつかの実施形態による、外部ブートメディアデバイスから受信したブートコードを格納するためにメモリのセキュア領域を組み込む処理システムのブロック図である。
【図3】いくつかの実施形態による、検証を保留しているセキュアメモリ領域でブートコードのバッチを分離する方法を示すフロー図である。
【発明を実施するための形態】
【0004】
図1~図3は、処理システムを危険にさらす可能性のあるバッファオーバーランから保護するために、ブートコードが検証される後まで、ブートメモリをプログラムするために外部ブートソースから受信したブートコードを、処理システムの処理ユニットの物理的又は論理的に分離されたメモリ領域に分離するための例示的な技術を示す。外部ブートソースからブートコードを受信すると、処理システムが悪意のある攻撃にさらされる可能性がある。例えば、ブートローダに関連する従来のバッファでブートコードを受信すると、悪意のある攻撃者は、バッファをオーバーランさせ、処理ユニットのプロセッサで実行されているデータ又は命令を破損させることができる。処理ユニットをバッファオーバーランから保護するために、処理ユニットは、パーソナルコンピュータ(PC)等の外部ブートソースからブートコードを受信するためのメモリのセキュア領域を含む。メモリのセキュア領域は、処理ユニットの残りの部分から物理的又は論理的に分離された独立したメモリ領域である。したがって、セキュアバッファでバッファオーバーランが発生しても、セキュアバッファに格納されているデータを上書きするだけで、プロセッサで実行されているデータ又は命令に影響を与えない。
【0005】
ブートプロセスの最初の段階において、処理ユニットのブートローダは、処理ユニットに接続されたブートメモリからのコードを実行する。ブートローダは、処理ユニットのハードウェアをブートストラップし、いくつかの実施形態では処理ユニットの外部にあるブートメモリから読み出し、ブートプロセスの次の段階に必要なソフトウェア及びハードウェアを取得し、その後、プロセッサはブートプロセスを完了する。ただし、ブートメモリの内容が無効又は空白であることをブートローダが検出した場合、又は、処理ユニットがブートメモリをプログラムするモードに移行する要求を受信した場合、処理ユニットは、処理ユニットの物理的又は論理的に分離したセキュアメモリ領域にバスインタフェースがアクセスするのを可能にする。次に、処理ユニットが、通信チャネルを開放するように処理ユニットのペリフェラルインタフェースコントローラを初期化することにより、PC等の外部ブートソースが、適切なインタフェースプロトコル及び接続(例えば、USBインタフェース及びUSBケーブル、RS-232インタフェース及びRS-232シリアルケーブル、又は、802.11xワイヤレスインタフェース等)を介して処理ユニットに接続することができる。
【0006】
通信チャネルの開放に応じて、外部ブートソースは、ブートコードを、USBを介して処理ユニットのセキュアメモリ領域に転送する。ブートコードがセキュアメモリ領域に転送されると、セキュアメモリ領域は、処理ユニットが検証プロトコルを実行することによってブートコードを検証している間、ブートコードを格納する。いくつかの実施形態では、検証プロトコルは、例えば、チェックサム(いくつかの実施形態では暗号ベースである)を実行すること、コードのソースをチェックすること、既知の悪意のあるコード又はコードコンテンツをチェックすること、全体的なコードサイズ(以下に説明するように任意の個別のバッチの合計を含む)がブートメモリの容量を超えないことをチェックすること、又は、セキュアハッシュ等の暗号化認証を実行すること等のうち1つ以上の検証方法を含む。処理ユニットがブートコードを検証したことに応じて、処理ユニットは、ブートメモリ上でブートコードをプログラムする。
【0007】
いくつかの実施形態では、ブートコードの量は、セキュアメモリ領域の容量を超える。ブートコードの量がセキュアメモリ領域のストレージ容量を超える場合、外部ブートソースは、ブートコードをバッチで処理ユニットに転送する。例えば、外部ブートソースは、ブートコードの第一バッチをセキュアメモリ領域に転送し、処理ユニットは、第一バッチを検証して、第一バッチをブートメモリに転送する。第一バッチをブートメモリに転送したことに応じて、外部ブートソースは、ブートコードの第二バッチをセキュアメモリ領域に転送し、処理ユニットは、第二バッチを検証して、第二バッチをブートメモリに転送する。ブートコードの後続のバッチをセキュアメモリ領域に転送し、後続のバッチを検証して、後続のバッチをブートメモリに転送するプロセスは、ブートコードの全てのバッチが検証され、ブートメモリに転送されるまで継続される。ブートコードの全てのバッチが検証され、ブートメモリに転送されると、処理ユニットは、ブートコードのシグネチャを検証してから(例えば、バッチ毎にシグネチャを計算し、バッチ毎のシグネチャの合計が所期のシグネチャに一致することを検証することによって)、ブートコードを使用してプロセッサコア(複数可)を起動させる。
【0008】
図1は、いくつかの実施形態による、外部ブートソース140から受信したブートコード142を格納するためのセキュアメモリ領域116を組み込む処理ユニット104を含む処理システム100を示す図である。いくつかの実施形態では、処理システム100は、処理ユニット104の外部にあるブートメモリ130を含む。いくつかの実施形態では、ブートメモリ130は、フラッシュメモリデバイスである。処理ユニット104は、処理ユニット104に対して電力を供給してサポートするマザーボード102と、1つ以上のプロセッサコア106と、基本入出力システム(BIOS)110と、ブートローダ108と、メモリ112と、セキュリティモジュール114と、バスインタフェース120と、インタフェースコントローラ122と、オペレーティングシステム(OS)124とパッケージ化されている。処理システム100のコンポーネントは、ハードウェア、ファームウェア、ソフトウェア、又は、これらの任意の組み合わせとして実装される。いくつかの実施形態では、処理システム100は、図1に示すものに加えて、又は、これらとは異なる1つ以上のソフトウェア、ハードウェア及びファームウェアのコンポーネントを含む。
【0009】
いくつかの実施形態では、処理ユニット104は、高速化された処理ユニットであり、1つ以上のプロセッサコア106は、少なくとも1つの中央処理装置(CPU)及び少なくとも1つのグラフィックプロセッシングユニット(GPU)を含む。処理システム100は、概して、電子デバイス専用のタスクを行う命令セット(例えば、コンピュータプログラム)を実行するように構成されている。このようなタスクの例には、電子デバイスの動作の態様の制御、特定のユーザエクスペリエンスを提供するための情報のユーザへの表示、他の電子デバイスとの通信等が含まれる。したがって、異なる実施形態において、処理システム100は、デスクトップコンピュータ、ラップトップコンピュータ、サーバ、ゲームコンソール、タブレット、スマートフォン等の複数の種類の電子デバイスのうち何れかで使用される。
【0010】
いくつかの実施形態では、各CPUプロセッサコア106は、命令をフェッチし、命令を対応する動作にデコードし、動作を1つ以上の実行ユニットにディスパッチし、動作を実行し、動作をリタイアするための1つ以上の命令パイプラインを含む。命令を実行する過程で、CPUプロセッサコア106は、情報の視覚的表示に関連するグラフィックス動作及び他の動作を生成する。これらの動作に基づいて、CPUプロセッサコア106は、コマンド及びデータをGPUプロセッサコア106に提供する。
【0011】
GPUプロセッサコア106は、概して、複数のCPUプロセッサコア106からグラフィックス及び他の表示動作に関連するコマンド及びデータを受信するように構成されている。GPUプロセッサコア106は、受信したコマンドに基づいて、表示用のフレームを生成する動作を実行する。動作の例には、ベクトル動作、描画動作等が含まれる。処理ユニット104に実装されるプロセッサコア106の数は、設計上の選択の問題である。プロセッサコア106の各々は、スカラー及び/又はベクトル浮動小数点ユニット、算術論理演算装置(ALU)等の1つ以上の処理素子を含む。様々な実施形態では、プロセッサコア106は、逆平方根(inverse-square root)ユニット及びサイン/コサインユニット等の専用処理ユニット(図示省略)も含む。
【0012】
CPU及びGPUプロセッサコア106は、メモリ112に結合されている。CPU及びGPUプロセッサコア106は、1つ以上のソフトウェアプログラムの形式で格納された命令を実行し、実行された命令の結果等の情報をメモリ112に格納する。様々な実施形態では、メモリ112は、処理ロジック命令、定数値、アプリケーション若しくは他の処理ロジックの一部の実行中の変数値、又は、他の所望の情報を格納する。実行中、アプリケーション、オペレーティングシステム機能、処理ロジックコマンド、及び、システムソフトウェアは、メモリ112に常駐する。オペレーティングシステム124の基本である制御ロジックコマンドは、概して、実行中にメモリ112に常駐している。いくつかの実施形態では、他のソフトウェアコマンド(例えば、デバイスドライバ)も、処理ユニット104の実行中にメモリ112に常駐する。例えば、メモリ112は、GPUプロセッサコア106から受信した複数の以前に生成された画像(図示省略)を格納する。いくつかの実施形態では、メモリ112は、ダイナミックランダムアクセスメモリ(DRAM)として実装されており、いくつかの実施形態では、メモリ112は、スタティックランダムアクセスメモリ(SRAM)、不揮発性RAM等を含む他のタイプのメモリを用いて実装されている。処理システム100のいくつかの実施形態は、ディスプレイ(図示省略)に関連する入力又は出力動作を処理するための入出力(I/O)エンジン(図示省略)や、キーボード、マウス、プリンタ、外部ディスク等の処理システム100の他の要素を含む。
【0013】
ブートローダ108は、処理ユニット104のハードウェアのコア初期化を実行し、オペレーティングシステム124をロードする。次に、ブートローダ108は、オペレーティングシステム(OS)124に制御を渡し、OSは、それ自体を初期化し、例えば、メモリ管理をセットアップすること、タイマー及び割り込みを設定すること、及び、デバイスドライバをロードすること等によって、システムハードウェアを設定する。いくつかの実施形態では、ブートローダは、基本入出力システム(BIOS)110と、処理ユニット104のハードウェアコンフィグレーションを示すハードウェアコンフィグレーション(図示省略)と、を含み、ブートメモリ130に接続されている。いくつかの実施形態では、ブートメモリ130は、パワーオンリセット時に開始されるブートプロセス中に実行されるブートコードを格納する読み出し専用メモリ(ROM)として実装されている。ブートとは、様々な初期化仕様又はプロセス、BIOS、エクステンシブルファームウェアインタフェース(EFI)、ユニファイドEFI(UEFI)等のうち何れかを指す。いくつかの実施形態では、ハードウェアコンフィグレーションは、アドバンスドコンフィグレーションアンドパワーインタフェース(ACPI)フレームワーク等のスタートアップサービスを含む。ハードウェアコンフィグレーションは、マザーボード102によって電力が供給されるコンポーネントにハードウェアレジスタを提供することで、ハードウェアアドレス等によって各コンポーネントをネイティブに直接呼び出すことなく、電源管理及びデバイス動作を可能にする。ハードウェアコンフィグレーションは、プロセッサコア106のBIOS110とオペレーティングシステム124との間のインタフェース層として機能する。
【0014】
ブートメモリ130が有効なブートコードを格納しない場合、処理ユニット104は、例えばUSBインタフェース等の適切なペリフェラルインタフェース126を介して、外部ブートソース140がブートコード142をロードすることを可能にする。外部ブートソース140は、ブートコード142及び1つ以上のアプリケーション144を含む。いくつかの実施形態では、外部ブートソース140は、パーソナルコンピュータ又は他のコンピューティングデバイスである。外部ブートソース140は、処理ユニット104の適切なペリフェラルインタフェース126を介して、処理ユニット104をブートロードするためにブートメモリ130をプログラムするように構成されている。
【0015】
外部ブートソース140が処理ユニット104の適切なペリフェラルインタフェース126を介してブートメモリ130をプログラムする際に、悪意のある攻撃の場合にバッファオーバーランを防ぐために、処理ユニット104は、セキュリティモジュール114を含む。セキュリティモジュール114は、処理システム100のセキュリティ環境を生成し、監視し、維持すること(処理システム100のコンポーネントが認証されたブートコードで起動することを保証するためにブートプロセスを管理することを含む)を担当するマイクロコントローラ又は他のプロセッサを含む。セキュリティモジュール114は、セキュアメモリ領域116及び検証モジュール118を含む。検証モジュール118は、ハードコーディングロジック、プログラマブルロジック、プロセッサによって実行されるソフトウェア、又は、それらの組み合わせとして実装される。セキュアメモリ領域116は、セキュアバッファとして使用され、処理ユニット104のメモリ112等の他のメモリ領域から物理的に分離され、隔離されたメモリ領域として実装される。したがって、いくつかの実施形態では、セキュアメモリ領域116は、セキュアメモリ領域116に排他的にサービスを提供するバスインタフェース120を介してのみアクセス可能である。いくつかの実施形態では、セキュアメモリ領域116は、処理ユニット104のプロセッサコア106に関連するスタティックランダムアクセスメモリ(SRAM)等のように、より大きなメモリの一部として実装される。セキュアメモリ領域116の物理的分離は、セキュアメモリ領域116のデータオーバーランが、1つ以上のプロセッサコア106で実行されるコードに影響を与えるするように波及するのではなく、代わりに、セキュアメモリ領域116に格納されたデータを単に破損させることを保証する。
【0016】
動作中に、パワーオンリセット又は他のブート初期化イベント等のブートストラッププロセスの間、電力がマザーボード102に供給される。マザーボード102が最初に受電すると、ブートローダ108がアクティブになり、そのセットアップ、初期化、及び、電源投入時自己診断テスト(POST)を使用するセルフテストが完了する。次に、BIOS110は、ファームウェア初期化中に取得した情報を使用して、様々なプラットフォームと、電源インタフェースデータを含むデバイスコンフィグレーションとによって、ハードウェアコンフィグレーションのテーブルを生成又は更新する。
【0017】
ブートプロセス中に、BIOS110は、プロセッサコア106用のオペレーティングシステムを含む潜在的なブートデバイスに利用可能なプロセッサコア106の全てのストレージデバイスを識別する。BIOS110は、マザーボード102に利用可能な永続ストレージに専用のブートオーダー(boot order)を使用する。一部のマザーボードでは、永続ストレージは、別のチップにある。多くの場合、BIOS永続ストレージは、リアルタイムクロック(RTC)と統合され、又は、ハードドライブコントローラ、I/Oコントローラ及び統合されたコンポーネントを担当するマザーボード102上の集積回路(IC)と統合される。いくつかの実施形態では、BIOS永続ストレージは、バッテリの形態で自身の電源を設けることにより、処理ユニット104のマザーボード102が一次電源を失った場合でも、BIOS永続ストレージは、ブートオーダーを維持することができる。
【0018】
ブートローダ108は、OS124をメモリ112にロードし、OS124を起動する実行可能コードを含む。この時点で、BIOS110は、マザーボード102及び処理システム100の制御を停止する。ブートローダ108は、OS124の様々なコンポーネントをメモリ112にロードして実行し、ハードウェアコンフィグレーションをOS124に通信する。また、ブートローダ108は、ブートメモリ130から、ブートストラッププロセスの次の段階に必要なソフトウェア及びファームウェアにアクセスする。その初期化中に、OS124は、カーネル(図示省略)を起動して初期化することにより、カーネルは、プロセッサ命令形式のタスクをプロセッサコア106に提供することができる。カーネルは、プロセッサコア106上のプロセスの実行を管理する。
【0019】
処理ユニット104が、ブートメモリ130の内容が無効又は空白であることを検出した場合、又は、処理ユニット104が、外部ブートソース140から、プログラミングモードに移行する要求を受信した場合、処理ユニット104は、バスインタフェース120がセキュアメモリ領域116にアクセスすることを可能にし、インタフェースコントローラ122を初期化して、ペリフェラルインタフェース126を介した外部ブートソース140との通信を開始する。
【0020】
外部ブートソース140は、バスインタフェース120を介してブートコード142をセキュアメモリ領域116に転送する。検証モジュール118は、例えばチェックサムを実行することによって、セキュアメモリ領域116に格納されたブートコード142を検証し、データ完全性を検証する。チェックサムがブートコード142の完全性を検証した場合、セキュリティモジュール114は、1つ以上のプロセッサコア106がブートコード142にアクセスし、ブートコード142をブートメモリ130上でプログラムすることを可能にして、ブートコード142をセキュアメモリ領域116から解放する。ブートコード142がブートメモリ130上でプログラムされると、検証モジュール118は、ブートコード142の追加の検証(例えば、ブートコード142からブートする前にブートコード142のシグネチャを検証する)を行って、ブートコード142を認証する。
【0021】
いくつかの実施形態では、ブートコード142の量は、セキュアメモリ領域116のストレージ容量を超える。ブートコード142の量が、セキュアメモリ領域116に格納可能なデータの量よりも多い場合、外部ブートソース140は、2つ以上のバッチでブートコード142を転送する。いくつかの実施形態では、ブートコード142の各バッチは、セキュアメモリ領域116に適合するサイズで生成される。ブートコード142の第一バッチが検証され、ブートメモリ130上でプログラムされると、セキュアメモリ領域116は、ブートコード142の次のバッチを受信する準備ができる。ブートコード142の各バッチは、セキュアメモリ領域116に転送され、検証モジュール118によって検証され、ブートメモリ130上でプログラムされると、ブートコード142の次のバッチ用のスペースを開ける。ブートコード142の全てのバッチが検証され、ブートメモリ130上でプログラムされると、検証モジュール118は、ブートする前にブートコード142を認証する。
【0022】
図2は、いくつかの実施形態による、検証を保留しているセキュアメモリ領域116にブートコードのバッチを格納する図1の処理システム100の一例のブロック図である。外部ブートソース140は、複数のバッチに分割されたブートコード142を格納する。図示した例では、ブートコード210の第一バッチは、処理ユニット104のセキュアメモリ領域116に既に転送されており、そのチェックサムは、検証モジュール118によって検証され、ブートメモリ130に転送されている。ブートコード212の第二バッチは、検証モジュール118によるチェックサムの検証を保留しているセキュアメモリ領域116に分離して格納される。ブートコード212の第二バッチが検証モジュール118によって検証されると、ブートコードの第二バッチはブートメモリ130に解放される。ブートコード214の第三バッチ及びブートコードの後続のバッチは、外部ブートソース140に格納され、セキュアメモリ領域116への転送を待つ。ブートコードの第二バッチがブートメモリ130に解放されると、ブートコード214の第三バッチがセキュアメモリ領域116に転送される。
【0023】
図3は、いくつかの実施形態による、検証を保留しているセキュアメモリ領域でブートコードのバッチを分離する方法300を示すフロー図である。方法300は、図1及び図2に示す処理システム100のいくつかの実施形態で実施される。ブロック302では、処理ユニット104は、適切なペリフェラルインタフェース126を介して処理ユニット104に接続された外部ブートソース140から、ブートコード142をブートメモリ130に書き込む要求を受信したことに応じて、バスインタフェース120がセキュアメモリ領域116にアクセスすることを可能にする。ブロック304では、処理ユニット104は、外部ブートソース140とセキュアメモリ領域116との間の通信を可能にする。
【0024】
ブロック306では、処理ユニット104は、セキュアメモリ領域116で外部ブートソース140からブートコード210のバッチを受信する。ブロック308では、処理ユニット104の検証モジュール118は、ブートコード210のバッチが有効であるかどうかを判別する。いくつかの実施形態では、検証モジュール118は、暗号化ハッシュの計算等の検証プロトコル、又は、ブートコードが有効であるかどうかを判別する他のプロトコルを使用して、ブートコード210のバッチを検証する。ブロック308において、ブートコード210のバッチが有効ではないと検証モジュール118が判別した場合、方法フローはブロック318に続く。ブロック318では、セキュリティモジュール114は、ブートメモリ130へのブートコードのブロックの転送を制限する。
【0025】
ブロック308において、ブートコード210のバッチが有効であると検証モジュール118が判別した場合、方法フローはブロック310に続く。ブロック310では、処理ユニット104は、ブートコード210のバッチをブートメモリ130に転送する。ブロック312では、処理ユニット104は、ブートコードの全てバッチがセキュアメモリ領域116で受信されたかどうかを判別する。いくつかの実施形態では、外部ブートソース140は、外部ブートソース140がブロック302でブートメモリ130にブートコードを書き込むことを要求した場合に転送されるブートコードのバッチの総数を、処理ユニット104に通信する。ブロック312では、ブートメモリ130に書き込まれるブートコードの全てのバッチがセキュアメモリ領域116で受信されていないと処理ユニット104が判別した場合、方法フローは、ブロック306に戻り、このブロックでは、外部ブートソース140は、ブートコードの次のバッチをセキュアメモリ領域116に転送する。
【0026】
ブロック312では、ブートメモリ130に書き込まれるブートコードの全てのバッチがセキュアメモリ領域116で受信されたと処理ユニット104が判別した場合、方法フローはブロック314に続く。ブロック314では、検証モジュール118は、ブートメモリ130に転送されたブートコードのシグネチャを検証する。ブロック316では、ブートコードが検証された後に、処理ユニット104は、ブートコードを使用してブートメモリ130からブートロードする。
【0027】
上記のような本開示の実施形態は、以下の例示的な実施態様を考慮してよりよく理解され得る。
【0028】
例1.処理ユニットのメモリのセキュア領域において、ペリフェラルインタフェースを介して前記処理ユニットに接続された外部ブートソースから第一ブートコードを受信することであって、前記セキュア領域は、前記メモリの他の領域とは物理的に分離している、ことと、
前記第一ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第一ブートコードを検証したことに応じて、前記第一ブートコードを前記処理ユニットに接続されたブートメモリに転送することと、を含む、
方法。
前記第一ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第一ブートコードを検証したことに応じて、前記第一ブートコードを前記処理ユニットに接続されたブートメモリに転送することと、を含む、
方法。
【0029】
例2.前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記メモリの前記セキュア領域において、前記外部ブートソースから第二ブートコードを受信することと、
前記第二ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第二ブートコードを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例1の方法。
前記第二ブートコードを前記メモリの前記セキュア領域で検証することと、
前記第二ブートコードを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例1の方法。
【0030】
例3.前記ブートコードの複数のバッチを前記ブートメモリに転送したことに応じて、前記ブートコードの複数のバッチのシグネチャを検証することと、
前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリにおいて前記ブートコードの複数のバッチにアクセスして、前記処理ユニットをブートロードすることと、をさらに含む、
例2の方法。
前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリにおいて前記ブートコードの複数のバッチにアクセスして、前記処理ユニットをブートロードすることと、をさらに含む、
例2の方法。
【0031】
例4.ブートコードを前記ブートメモリに書き込むという前記外部ブートソースからの要求に応じて、バスインタフェースが前記メモリの前記セキュア領域にアクセスすることを可能にすることをさらに含み、
前記第一ブートコードを受信することは、前記バスインタフェースを介して前記第一ブートコードを受信することを含む、
例1~3の何れかの方法。
前記第一ブートコードを受信することは、前記バスインタフェースを介して前記第一ブートコードを受信することを含む、
例1~3の何れかの方法。
【0032】
例5.前記バスインタフェースを可能にすることに応じて、前記処理ユニットのコントローラを初期化して、前記セキュア領域と前記外部ブートソースとの間の通信を可能にすることをさらに含む、
例4の方法。
例4の方法。
【0033】
例6.前記メモリは、スタティックランダムアクセスメモリを含む、
例1~6の何れかの方法。
例1~6の何れかの方法。
【0034】
例7.前記第一ブートコードを検証することに失敗したことに応じて、前記ブートメモリへの前記第一ブートコードの転送を制限することをさらに含む、
例1~6の何れかの方法。
例1~6の何れかの方法。
【0035】
例8.前記セキュア領域において、ペリフェラルインタフェースを介して受信した前記第一ブートコードを分離することをさらに含み、
前記第一ブートコードを検証することは、前記第一ブートコードのチェックサムを検証することを含む、
例1~7の何れかの方法。
前記第一ブートコードを検証することは、前記第一ブートコードのチェックサムを検証することを含む、
例1~7の何れかの方法。
【0036】
例9.前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記メモリの前記セキュア領域において、前記ペリフェラルインタフェースを介して受信した第二ブートコードを分離することと、
前記第二ブートコードの前記チェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例8の方法。
前記第二ブートコードの前記チェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送することと、をさらに含み、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例8の方法。
【0037】
例10.前記ブートコードの複数のバッチを前記ブートメモリに転送したことに応じて、前記ブートコードの複数のバッチのシグネチャを検証することと、
前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリから前記ブートコードの複数のバッチにアクセスして、前記処理システムをブートロードすることと、をさらに含む、
例9の方法。
前記ブートコードの複数のバッチの前記シグネチャを検証したことに応じて、前記ブートメモリから前記ブートコードの複数のバッチにアクセスして、前記処理システムをブートロードすることと、をさらに含む、
例9の方法。
【0038】
例11.外部ブートソースからブートコードにアクセスして処理ユニットをブートストラップする処理ユニットであって、
メモリのセキュア領域であって、前記セキュア領域は、前記メモリの他の領域とは物理的に分離されており、前記セキュア領域は、ペリフェラルインタフェースを介して前記外部ブートソースから第一ブートコードを受信するように構成されている、セキュア領域と、
前記第一ブートコードのチェックサムを検証する検証モジュールであって、前記検証モジュールが前記チェックサムを検証したことに応じて、前記処理ユニットが前記第一ブートコードを前記メモリの前記セキュア領域から前記処理ユニットのブートメモリに転送する、検証モジュールと、を備える、
処理ユニット。
メモリのセキュア領域であって、前記セキュア領域は、前記メモリの他の領域とは物理的に分離されており、前記セキュア領域は、ペリフェラルインタフェースを介して前記外部ブートソースから第一ブートコードを受信するように構成されている、セキュア領域と、
前記第一ブートコードのチェックサムを検証する検証モジュールであって、前記検証モジュールが前記チェックサムを検証したことに応じて、前記処理ユニットが前記第一ブートコードを前記メモリの前記セキュア領域から前記処理ユニットのブートメモリに転送する、検証モジュールと、を備える、
処理ユニット。
【0039】
例12.前記セキュア領域は、前記処理ユニットが前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記外部ブートソースから前記ペリフェラルインタフェースを介して第二ブートコードを受信するようにさらに構成されており、
前記処理ユニットは、前記第二ブートコードのチェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送し、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例11の処理ユニット。
前記処理ユニットは、前記第二ブートコードのチェックサムを検証したことに応じて、前記第二ブートコードを前記ブートメモリに転送し、
前記第一ブートコードは、ブートコードの複数のバッチのうち第一バッチを含み、前記第二ブートコードは、前記ブートコードの複数のバッチのうち第二バッチを含む、
例11の処理ユニット。
【0040】
例13.前記検証モジュールは、前記第一ブートコードを前記ブートメモリに転送したことに応じて、前記第一ブートコードのシグネチャをさらに検証し、
前記処理ユニットは、前記検証モジュールが前記第一ブートコードの前記シグネチャを検証したことに応じて、前記ブートメモリから前記第一ブートコードにアクセスして、前記処理ユニットをブートロードする、
例11又は12の処理ユニット。
前記処理ユニットは、前記検証モジュールが前記第一ブートコードの前記シグネチャを検証したことに応じて、前記ブートメモリから前記第一ブートコードにアクセスして、前記処理ユニットをブートロードする、
例11又は12の処理ユニット。
【0041】
例14.ブートコードを前記ブートメモリに書き込むという前記外部ブートソースからの要求に応じて、前記セキュア領域にアクセスするための少なくとも1つのバスインタフェースをさらに備え、
前記セキュア領域は、前記少なくとも1つのバスインタフェースを介して前記第一ブートコードを受信するように構成されている、
例11~14の何れかの処理ユニット。
前記セキュア領域は、前記少なくとも1つのバスインタフェースを介して前記第一ブートコードを受信するように構成されている、
例11~14の何れかの処理ユニット。
【0042】
例15.前記少なくとも1つのバスインタフェースを有効にすることに応じて、前記セキュア領域と前記外部ブートソースとの間の通信を可能にするためのペリフェラルインタフェースコントローラをさらに備える、
例14の処理ユニット。
例14の処理ユニット。
【0043】
コンピュータ可読記憶媒体は、命令及び/又はデータをコンピュータシステムに提供するために、使用中にコンピュータシステムによってアクセス可能な任意の非一時的な記憶媒体又は非一時的な記憶媒体の組み合わせを含む。このような記憶媒体には、限定されないが、光学媒体(例えば、コンパクトディスク(CD)、デジタル多用途ディスク(DVD)、ブルーレイ(登録商標)ディスク)、磁気媒体(例えば、フロッピー(登録商標)ディスク、磁気テープ、磁気ハードドライブ)、揮発性メモリ(例えば、ランダムアクセスメモリ(RAM)若しくはキャッシュ)、不揮発性メモリ(例えば、読取専用メモリ(ROM)若しくはフラッシュメモリ)、又は、微小電気機械システム(MEMS)ベースの記憶媒体が含まれ得る。コンピュータ可読記憶媒体(例えば、システムRAM又はROM)はコンピューティングシステムに内蔵されてもよいし、コンピュータ可読記憶媒体(例えば、磁気ハードドライブ)はコンピューティングシステムに固定的に取り付けられてもよいし、コンピュータ可読記憶媒体(例えば、光学ディスク又はユニバーサルシリアルバス(USB)ベースのフラッシュメモリ)はコンピューティングシステムに着脱可能に取り付けられてもよいし、コンピュータ可読記憶媒体(例えば、ネットワークアクセス可能ストレージ(NAS))は有線又は無線ネットワークを介してコンピュータシステムに結合されてもよい。
【0044】
いくつかの実施形態では、上記の技術のいくつかの態様は、ソフトウェアを実行するプロセッシングシステムの1つ以上のプロセッサによって実装されてもよい。ソフトウェアは、非一時的なコンピュータ可読記憶媒体に記憶され、又は、非一時的なコンピュータ可読記憶媒体上で有形に具現化された実行可能命令の1つ以上のセットを含む。ソフトウェアは、1つ以上のプロセッサによって実行されると、上記の技術の1つ以上の態様を実行するように1つ以上のプロセッサを操作する命令及び特定のデータを含むことができる。非一時的なコンピュータ可読記憶媒体は、例えば、磁気若しくは光ディスク記憶デバイス、例えばフラッシュメモリ、キャッシュ、ランダムアクセスメモリ(RAM)等のソリッドステート記憶デバイス、又は、他の1つ以上の不揮発性メモリデバイス等を含むことができる。非一時的なコンピュータ可読記憶媒体に記憶された実行可能命令は、ソースコード、アセンブリ言語コード、オブジェクトコード、又は、1つ以上のプロセッサによって解釈若しくは実行可能な他の命令フォーマットであってもよい。
【0045】
上述したものに加えて、概要説明において説明した全てのアクティビティ又は要素が必要とされているわけではなく、特定のアクティビティ又はデバイスの一部が必要とされない場合があり、1つ以上のさらなるアクティビティが実行される場合があり、1つ以上のさらなる要素が含まれる場合があることに留意されたい。さらに、アクティビティが列挙された順序は、必ずしもそれらが実行される順序ではない。また、概念は、特定の実施形態を参照して説明された。しかしながら、当業者であれば、特許請求の範囲に記載されているような本発明の範囲から逸脱することなく、様々な変更及び変形を行うことができるのを理解するであろう。したがって、明細書及び図面は、限定的な意味ではなく例示的な意味で考慮されるべきであり、これらの変更形態の全ては、本発明の範囲内に含まれることが意図される。
【0046】
利益、他の利点及び問題に対する解決手段を、特定の実施形態に関して上述した。しかし、利益、利点、問題に対する解決手段、及び、何かしらの利益、利点若しくは解決手段が発生又は顕在化する可能性のある特徴は、何れか若しくは全ての請求項に重要な、必須の、又は、不可欠な特徴と解釈されない。さらに、開示された発明は、本明細書の教示の利益を有する当業者には明らかな方法であって、異なっているが同様の方法で修正され実施され得ることから、上述した特定の実施形態は例示にすぎない。添付の特許請求の範囲に記載されている以外に本明細書に示されている構成又は設計の詳細については限定がない。したがって、上述した特定の実施形態は、変更又は修正されてもよく、かかる変更形態の全ては、開示された発明の範囲内にあると考えられることが明らかである。したがって、ここで要求される保護は、添付の特許請求の範囲に記載されている。
【図1】
【図2】
【図3】
【国際調査報告】