專利名稱:用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備的主機設備和方法
用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備的主機設備和方法
背景技術:
在一些環(huán)境中����,主機設備(諸如移動電話或其它設備)與存儲用于該主機設備的操作系統(tǒng)代碼以及引導加載程序代碼的嵌入式或可移除的儲存設備(諸如安全數(shù)碼(SD)卡或多媒體卡(MMC))—起使用�。為了引導主機設備,該主機設備指示儲存設備發(fā)起引導模式�,響應于此����,儲存設備向該主機設備提供引導加載程序代碼�。執(zhí)行該引導加載程序代碼使得主機設備能夠從儲存設備加載操作系統(tǒng)代碼。在一些移動設備環(huán)境中�����,發(fā)起引導模式的指令不是主機設備會在其與儲存設備的典型讀取/寫入通信中發(fā)送的標準命令��。例如�����,在聯(lián)合電子設備工程委員會(JEDEC)的JEDEC84-A44標準和在Micron的TN-29-18規(guī)范下�����,主機設備可通過將到儲存設備的命令線保持為低達74個時鐘周期或通過發(fā)送具有參數(shù)OxFFFFFFFA的CMDO命令來指示儲存設備發(fā)起引導模式����。由于操作系統(tǒng)代碼存儲在儲存設備上,因此有可能黑客可以在主機設備不知道的情況下更改操作系統(tǒng)代碼而引入惡意軟件���。因此�����,在一些環(huán)境中�����,期望在由主機設備執(zhí)行操作系統(tǒng)代碼之前驗證操作系統(tǒng)代碼的完整性����。為了進行這樣的“安全引導”,主機設備的控制器可包括安全的只讀存儲器(ROM)代碼或其它用以在執(zhí)行操作系統(tǒng)代碼之前驗證操作系統(tǒng)代碼的特征���。然而�����,向控制器配備(provision)這樣的驗證增加了控制器的成本���,并且最初未被制造有驗證碼的控制器通常不能在制造之后被改進為包括驗證碼。
發(fā)明內容
本發(fā)明的實施例由權利要求來限定����,且本部分中的任何內容都不應被作為對那些權利要求的限制。通過介紹��,以下的實施例涉及一種主機設備和方法�����,其用于用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備����。在一個實施例中,主機設備與儲存設備通信��,該儲存設備具有存儲引導加載程序代碼的專用存儲區(qū)域和存儲操作系統(tǒng)代碼的公用存儲區(qū)域�。主機設備指示儲存設備發(fā)起引導模式并從儲存設備接收弓I導加載程序代碼。主機設備執(zhí)行引導加載程序代碼�����,該引導加載程序代碼進行安全檢查并僅在安全檢查成功的情況下執(zhí)行從儲存設備加載的操作系統(tǒng)代碼�。其它的實施例是可能的,且每個實施例可被單獨使用和組合在一起使用�����。因此���,現(xiàn)在參照附圖描述各個實施例�����。
圖1是實施例的示例性主機設備和儲存設備的框圖�。圖2是主機設備和儲存設備的框圖,其圖解地說明實施例的引導過程����。圖3是說明實施例的主機設備和儲存設備之間接口的框圖。圖4是說明用于發(fā)起引導模式的實施例的指令的圖�����。圖5是說明用于發(fā)起引導模式的另一實施例的指令的圖�。
圖6是主機設備和儲存設備的框圖,其圖解地說明涉及安全檢查的實施例的引導過程���。圖7是涉及安全檢查的實施例的引導過程的流程圖��。
具體實施例方式大體而言�����,以下的實施例涉及用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備的一種主機設備和方法�����。由以下所描述的實施例��,儲存設備中存儲的引導加載程序代碼被配置為不但使得主機設備能夠加載操作系統(tǒng)代碼�,而且能夠進行安全檢查�����。以這種方式���,引導加載程序使得主機設備能夠僅在安全檢查成功時才執(zhí)行從儲存設備加載的操作系統(tǒng)代碼���。該安全檢查可以采取任何適合的形式。例如���,該安全檢查可以嘗試驗證操作系統(tǒng)代碼的完整性來確保該操作系統(tǒng)代碼沒有被黑客更改以引入惡意軟件�����。這提供了 “安全引導”而沒有與向主機設備控制器提供這樣的功能相關聯(lián)的支出和不靈活性��??蛇M行的安全檢查的其它例子包括但不限于,嘗試認證主機設備的使用者(user)�����,嘗試認證主機設備以及嘗試認證和主機設備一起使用的用戶身份識別模塊(SM)卡�。在注意力轉到這些安全檢查之前,以下的部分描述示例性主機和儲存設備���。示例性主機和儲存設備下面注意力轉到附圖�,圖1是實施例的與儲存設備100通信的主機設備50的框圖�����。如這里所使用的����,短語“與……通信”可以意味著與……直接通信或經(jīng)過一個或多個組件與……間接通信,本文中該一個或多個組件可以或者可以不被示出或描述���。主機設備50可以采取任何適合的形式�����,諸如但不限于移動電話��、數(shù)字媒體播放器�����、游戲設備����、個人數(shù)字助理(PDS)、個人計算機(PC)�����、電話亭��、機頂盒����、電視系統(tǒng)���、圖書閱讀器或其任何組合��。在該實施例中���,儲存設備100是大容量儲存設備����,其可采取任何適合的形式�,諸如但不限于嵌入式存儲器(例如,嵌入在主機設備50中的安全模塊)以及手持�、可移除的存儲卡,以及通用串行總線(USB)設備和可移除或不可移除的硬盤驅動(例如�����,磁盤或固態(tài)驅動)���。在一個實施例中���,儲存設備100采取Sandisk公司的iNAND eSD/eMMC嵌入式閃速驅動的形式。如圖1所示�����,儲存設備100包括控制器110和存儲器120�。控制器110包括用于與存儲器120相接口的存儲器接口 111和用于與主機50相接口的主機接口 112�。控制器110還包括中央處理單元(CPU) 113���、可操作以提供加密和/或解密操作的硬件密碼引擎(crypto-engine) 114���、讀取存取存儲器(RAM) 115���、可存儲用于儲存設備100基本操作的固件的只讀存儲器(ROM) 116、以及可存儲用于加密/解密操作的設備特定的密鑰的非易失性存儲器(NVM) 117�。可以任何適合的方式實現(xiàn)控制器110����。例如,控制器110可以采取微處理器或處理器或存儲計算機可讀的程序代碼(例如軟件或固件)的計算機可讀介質的形式�����,該計算機可讀程序代碼可由例如(微)處理器����、邏輯門�����、開關�、專用集成電路(ASIC)���、可編程邏輯控制器以及嵌入式微處理器執(zhí)行?���?刂破鞯睦影ǖ幌抻谝韵碌奈⑻幚砥鰽RC625D,Atmel AT91SAM、Microchip PIC18F26K20 和 Silicon Labs C8051F320���。存儲器120可以采取任何適合的形式�。在一個實施例中�����,存儲器120采取固態(tài)(例如閃速)存儲器的形式��,并且可以是一次性可編程的�����、少次數(shù)可編程的或多次可編程的���。然而���,可使用其它形式的存儲器�,諸如光學存儲器和磁性存儲器�����。在本實施例中����,存儲器120包括由主機50上的文件系統(tǒng) 管理的公用存儲區(qū)域125和由控制器110內部管理的專用存儲區(qū)域135。專用存儲區(qū)域135可以存儲引導加載程序代碼(如以下將描述的)以及其它數(shù)據(jù)���,包括但不限于內容加密密鑰(CEK)和固件(FW)代碼�。公用存儲區(qū)域125可以存儲用于主機設備50的操作系統(tǒng)代碼(如以下將描述的)以及使用者數(shù)據(jù)和其它數(shù)據(jù)�����。公用存儲區(qū)域125和專用存儲區(qū)域135可以是相同的存儲器單元的不同分區(qū)或可以是不同的存儲器單元��。專用存儲區(qū)域135由于其由控制器110 (且不由主機的控制器160)內部管理而是“專用的”(或“隱藏的”)����。在一個實施例中��,專用存儲區(qū)域136在引導過程之后是只讀或不可存取的����,從而避免有人重寫或修改引導加載程序代碼���。除了存儲操作系統(tǒng)代碼,公用存儲區(qū)域125可用于存儲使用者數(shù)據(jù)����。此外,在一個實施例���,操作系統(tǒng)代碼存儲在可重寫的存儲器中從而允許將更新寫入到操作系統(tǒng)代碼?,F(xiàn)在將注意力轉向主機50�,主機50包括控制器160,該控制器具有用于與儲存設備100相接口的儲存設備接口 161�。控制器160還包括中央處理單元(CPU)163���、可操作以提供加密和/或解密操作的密碼引擎164���、讀取存取存儲器(RAM) 165、只讀存儲器(ROM) 166�、安全模塊171和儲存器172。儲存設備100和主機150經(jīng)由儲存設備接口 161和主機接口112彼此通信。對于涉及數(shù)據(jù)安全傳輸?shù)牟僮?���,?yōu)選地,儲存設備100和主機150中的密碼引擎114���、164被用來彼此互相認證并提供密鑰交換�����。在完成互相認證之后�,優(yōu)選地��,使用會話密鑰來建立用于儲存設備150和主機100之間通信的安全通道�。主機50可包括其它組件(例如、顯示設備�����、揚聲器����、耳機插口�����、視頻輸出連接等),為了簡化附圖沒有在圖1中示出所述組件�����。主機設備的引導過程的概述將注意力轉向附圖��,圖2圖解地說明實施例的引導過程���。大體而言��,主機設備的CPU163僅能執(zhí)行存在于主機設備的R0M166或RAM165 (圖1)中的程序代碼���。當主機設備50首先加電時,其在R0M166或RAM165中不具有操作系統(tǒng)�����。然而�����,主機設備50的確具有存儲在R0M166中的小程序����,CPU163可執(zhí)行該程序以向儲存設備100發(fā)送指令來發(fā)起引導模式��。響應于該指令����,儲存設備100向主機設備100發(fā)送引導加載程序代碼以存儲在主機設備的RAM165中并由主機設備的CPU163執(zhí)行��。將引導加載程序代碼復制到主機設備的RAM165中用于執(zhí)行的該過程有時被稱作為“陰影化映像(shadowing the image)”����。“引導加載程序代碼”(有時被稱作為引導加載程序映像�、引導程序加載程序(bootstrap loader)或引導程序加載程序映像)是計算機可讀程序代碼,當執(zhí)行時使得主機設備50能夠從儲存設備100的公用存儲區(qū)域125讀取操作系統(tǒng)代碼并在此后執(zhí)行該操作系統(tǒng)代碼而由此引導主機設備50�。如上面所提到的,在該實施例中��,引導加載程序代碼存儲在儲存設備100的專用存儲區(qū)域136中(優(yōu)選地�����,以只讀的方式從而確保引導加載程序代碼的完整性而防止被篡改)���。如上面還提到的��,專用存儲區(qū)域136不由主機設備50而由儲存設備100內部管理�����。因此����,至儲存設備100的發(fā)起引導模式的指令不是從儲存設備100中的地址讀取的標準命令��。這與發(fā)送邏輯地址零的標準讀取命令以讀取PC硬盤中存儲的引導加載程序代碼的一些個人計算機(PC)和其它環(huán)境形成對比����。此外,向主機設備50發(fā)送引導加載程序代碼是響應于從主機設備50接收到特殊指令以及處于引導模式中——不是如在一些PC環(huán)境中響應于從主機設備50讀取邏輯地址的標準讀取命令��。至儲存設備100的發(fā)起引導模式的指令可以采取任何適合的形式�。例如,聯(lián)合電子設備工程委員會(JEDEC)的JESD84-A44標準和Micron的TN-29-18規(guī)范定義了多媒體卡(MMC)嵌入式存儲器接口 /協(xié)議��,以用于主機設備直接從儲存設備加載引導加載程序代碼而無需發(fā)出讀取/寫入存儲器命令(例如標準的多媒體卡命令)���。JEDEC標準和Micron規(guī)范描述了在儲存設備中發(fā)起引導模式的兩種適合的指令����。將結合圖3-5討論這些示例性指令。圖3是說明主機設備50和儲存設備100之間接口的框圖�。如圖3所示,本實施例中的接口具有時鐘(CLK)線����、一個或多個命令(CMD)線以及一個或多個數(shù)據(jù)(DAT)線,其可采取總線上的引腳形式�。CLK線上的信號同步化主機設備50和儲存設備100之間的數(shù)據(jù)。CMD線將命令從主機設備50傳輸?shù)絻Υ嬖O備100��,并將響應從儲存設備100傳輸回主機設備50��。DAT線被用來在儲存設備100和主機設備50之間傳輸數(shù)據(jù)�����。在一個實施例中(圖4中所示)�,至儲存設備100的發(fā)起引導模式的指令采取將CMD線保持為低達74個時鐘周期的形式。儲存設備100會將此識別為發(fā)起引導模式并開始在DAT線上向主機設備50發(fā)送第一引導數(shù)據(jù)的指令�����。主機設備50會保持該CMD線為低以讀取所有的弓I導數(shù)據(jù)���。如果啟用了引導應答�,則儲存設備100在CMD變低之后的50毫秒內向主機設備50發(fā)送應答模式(pattern)“010”。與之不同��,如果禁用了引導應答����,則存儲設備100將不會發(fā)出應答模式“010”�����。在另一個實施例中(圖5中示出)����,至儲存設備100的發(fā)起引導模式的指令采取在加電/復位后的74個時鐘周期之后且在發(fā)出CMDl或CMD線變低之前在CMD線上發(fā)送具有參數(shù)OxFFFFFFFA的CMDO命令的形式。儲存設備100會將此識別為發(fā)起引導模式并開始內部準備引導數(shù)據(jù)的指令����。在具有參數(shù)oxFFFFFFFA的CMDO被發(fā)出后I秒內,儲存設備100開始在DAT線上向主機設備50發(fā)送第一引導數(shù)據(jù)�����。如果啟用了引導應答�,則儲存設備100在收到具有參數(shù)OxFFFFFFFA的CMDO之后的50毫秒內向主機設備50發(fā)送應答模式(pattern)“010”。與之不同���,如果禁用了引導應答��,則存儲設備100將不會發(fā)出應答模式“010”����。主機設備50可以通過發(fā)出CMDO (重置)而終止引導模式。如上所述��,這些指令不是讀取存儲在地址的數(shù)據(jù)的指令�����。而是�����,其為致使儲存設備100發(fā)起引導模式來向主機設備50發(fā)送引導加載程序代碼的特殊指令���。在引導加載程序被發(fā)到主機設備50之后���,主機設備50執(zhí)行該引導加載程序代碼從而從儲存設備100的公用存儲區(qū)域125加載操作系統(tǒng)代碼。在該實施例中�����,可以使用標準的讀取命令進行從儲存設備100的公用存儲區(qū)域125加載操作系統(tǒng)代碼的過程。引導加載程序代碼的示例性安全特征如以上在背景技術部分所提到的�,由于操作系統(tǒng)代碼存儲在儲存設備100中,因此有可能黑客可以在主機設備50不知道的情況下更改操作系統(tǒng)代碼從而引入惡意軟件����。因此,在一些環(huán)境中�����,期望在由主機設備50執(zhí)行操作系統(tǒng)代碼之前驗證其完整性�。盡管可以給主機的ROM配備(provision)代碼以驗證操作系統(tǒng)代碼的完整性���,但是這增加了控制器的成本����。另外����,由于這樣的配備必須在制造階段完成,因此最初未制造有驗證代碼(verification code)的主機設備控制器在制造后不能被改進以包括驗證代碼���。為了克服這些問題����,在一個實施例中,儲存設備100中存儲的引導加載程序代碼被配置為嘗試驗證操作系統(tǒng)代碼的完整性����,并且僅在驗證操作系統(tǒng)代碼完整性的嘗試成功的情況下才使得主機設備50能夠加載并執(zhí)行該操作系統(tǒng)代碼。將結合圖6說明該實施例�����。
如在圖6中圖解地示出�����,主機設備50向儲存設備100發(fā)送發(fā)起引導模式的指令����,并且響應于該指令,接收并執(zhí)行引導加載程序代碼����。在該實施例中,該引導加載程序代碼包括參考圖像驗證代碼�,諸如操作系統(tǒng)代碼的哈希值(即操作系統(tǒng)代碼摘要)。(由于引導加載程序代碼存儲在儲存設備100的只讀存儲器中,因此所存儲的參考圖像驗證代碼不能被更改���。)本實施例中的引導加載程序還被配置為初始化指示儲存設備100來計算所有讀取數(shù)據(jù)的摘要的特殊讀取模式����。以這種方式���,當引導加載程序正在從儲存設備100讀取操作系統(tǒng)代碼時�����,儲存設備的控制器會即時(on the fly)計算所有讀取數(shù)據(jù)的摘要(例如使用基于哈希的消息認證碼(HMAC))��。使用儲存設備100而非計算主機設備50來計算摘要避免了在引導過程期間主機設備50100的性能降級。在主機設備50結束從儲存設備100讀取操作系統(tǒng)代碼之后�����,引導加載程序從儲存設備100接收所計算的摘要并將所計算的摘要與引導加載程序中存儲的參考摘要相比較�。如果摘要比較是肯定的(positive)(即如果安全檢查是成功的),則主機設備50可以執(zhí)行操作系統(tǒng)代碼��。(代替使用摘要比較��,所計算的摘要可被用于簽名驗證。)由于是由引導加載程序和儲存設備100進行操作系統(tǒng)完整性的驗證而不是由在制造主機設備50期間提供在主機設備的控制器中的代碼進行�,因此該實施例提供了期望的“安全引導”特征,而沒有與向主機設備的控制器提供這樣功能相關聯(lián)的支出和不靈活性�。盡管以上示例中的安全檢查嘗試驗證操作系統(tǒng)的完整性,但應注意引導加載程序可被配置為提供額外的或可替代的安全檢查�����。例如���,由于操作系統(tǒng)代碼存儲在公用存儲區(qū)域125中�,因此可期望對公用存儲區(qū)域125實施某種形式的存取控制�����,從而除非由引導加載程序進行了成功的安全檢查�,否則不能執(zhí)行操作系統(tǒng)代碼��。因此��,儲存設備100可被設計為僅當主機設備50100向儲存設備100呈現(xiàn)恰當?shù)淖C書時才允許存取操作系統(tǒng),并且那些恰當?shù)淖C書可在完成成功安全檢查時由引導加載程序產(chǎn)生�。在這樣的實施例中,引導加載程序可包含應用程序接口(API)從而使能與儲存設備100中負責認證和存取控制功能的特殊安全軟件堆棧的通信�����。在圖7的流程圖中說明本實施例并在以下討論。如圖7所示�,主機設備100可以在成功嘗試認證主機設備的使用者時、在成功嘗試認證主機設備時和/或在成功嘗試認證與主機設備一起使用的用戶身份識別模塊(SIM)卡時產(chǎn)生向儲存設備100認證的恰當?shù)淖C書?,F(xiàn)在將描述這些安全檢查的每一個。當然�,可使用不同的安全檢查或這些安全檢查的變型。在一個實施例中�,引導加載程序被配置為嘗試認證主機設備50的使用者。在本實施例中���,可要求使用者輸入密碼����,該密碼會被提供給儲存設備100從而使得能夠存儲儲存設備100上存儲的數(shù)據(jù)�����。該密碼認證可使用由特定應用定義的有專利權的技術實施��,或使用其它技術(諸如由Sandisk公司的TrustedFlash 存儲器產(chǎn)品和運行在可信的計算群(TCG)環(huán)境中的PC所使用那些技術)實施�。如果使用者得到主機設備50上運行的引導加載程序的認證����,則向儲存設備100發(fā)送適當?shù)淖C書以解鎖公用存儲區(qū)域25并提供對其中存儲的操作系統(tǒng)代碼的存取�����,從而可以加載并執(zhí)行操作系統(tǒng)�。在另一個實施例中����,引導加載程序代碼被配置為嘗試認證主機設備50,這樣實際上將操作系統(tǒng)代碼綁定到特定的主機設備上�����。在本實施例中��,引導加載程序代碼收集可計算摘要的主機設備50的各種硬件參數(shù)���。硬件參數(shù)的例子包括但不限于���,唯一的硬件標識符、存儲器尺寸���、介質訪問控制(MAC)地址以及控制器版本���。然后將所計算的摘要和引導加載程序中存儲的摘要值進行比較�。如果所計算的摘要匹配存儲的摘要�����,則安全檢查是成功的��,且向儲存設備100發(fā)送恰當?shù)闹甘疽越怄i公用存儲區(qū)域25并提供對其中存儲的操作系統(tǒng)代碼的存取�����,從而使得可以加載和執(zhí)行操作系統(tǒng)代碼�����。然而在另一個實施例中�,引導加載程序代碼可以被配置為嘗試認證和主機設備50 —起使用的用戶身份識別模塊(SIM)卡。該實施例類似于以上討論的實施例�����,但是硬件參數(shù)是SIM卡的硬件參數(shù)(例如���,國際移動用戶身份識別(IMSI)識別碼和國際移動設備身份識別(IMEI)識別碼)�����。以這種方式�,操作系統(tǒng)代碼會綁定到SM卡�,且不會綁定到主機設備50上。當然����,如果從主機設備50和SIM卡兩者的硬件參數(shù)計算出摘要,則操作系統(tǒng)代碼會綁定到主機設備50和SIM卡兩者上����。主機設備50還可進行SM卡-主機設備認證從而產(chǎn)生用于解鎖儲存設備100的認證碼(例如,使用質詢響應PKI機制或使用對稱或密碼認證)���。有幾個可以和這些實施例一起使用的替代例���。例如,取代單個的操作系統(tǒng)代碼��,儲存設備100可存儲多個操作系統(tǒng)代碼��,且可詢問使用者在引導過程期間上傳這些代碼的哪個���。作為另一個替代例��,引導加載程序可以運行購買應用��,其使得使用者能購買特定的操作系統(tǒng)代碼或其它內容���。而作為另一個替代例�,引導加載程序可允許經(jīng)由引導加載程序升級在較低的層級上的操作系統(tǒng)升級��。旨在將前述詳細的描述理解為對本發(fā)明可采取的所選形式的說明�,而不是對本發(fā)明的限定。旨在僅由以下的權利要求(包括所有等同物)來限定本發(fā)明所要求保護的范圍���。最后�,應注意這里描述的任何優(yōu)選實施例的任何方面可單獨使用或彼此組合地使用��。
權利要求
1.一種用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備的方法����,該方法包括 在與儲存設備通信的主機設備中進行以下操作,該儲存設備具有存儲引導加載程序代碼的專用存儲區(qū)域和存儲操作系統(tǒng)代碼的公用存儲區(qū)域 指示儲存設備發(fā)起引導模式�����; 從儲存設備接收引導加載程序代碼;以及 執(zhí)行引導加載程序代碼���,其中當弓I導加載程序代碼被執(zhí)行時,其 進行安全檢查�,以及 僅當安全檢查成功的情況下,執(zhí)行從儲存設備加載的操作系統(tǒng)代碼�����。
2.根據(jù)權利要求1所述的方法���,其中主機設備并非通過發(fā)送用于從儲存設備中的地址讀取的命令來指示儲存設備發(fā)起引導模式���。
3.根據(jù)權利要求1所述的方法,其中主機設備與儲存設備經(jīng)由包括命令(CMD)線的接口通信����,并且其中主機設備通過將CMD線保持為低達74個時鐘周期而指示儲存設備發(fā)起引導模式。
4.根據(jù)權利要求1所述的方法��,其中主機設備與儲存設備經(jīng)由包括命令(CMD)線的接口通信���,并且其中主機設備通過在該CMD線上發(fā)送具有參數(shù)OxFFFFFFFA的CMDO命令而指示儲存設備發(fā)起引導模式�����。
5.根據(jù)權利要求1所述的方法���,其中通過嘗試驗證操作系統(tǒng)代碼的完整性來進行安全檢查��。
6.根據(jù)權利要求1所述的方法��,其中通過嘗試認證主機設備的使用者來進行安全檢查���。
7.根據(jù)權利要求6所述的方法,其中嘗試認證主機設備的使用者包括請求使用者密碼����。
8.根據(jù)權利要求1所述的方法,其中通過嘗試認證主機設備來進行安全檢查���。
9.根據(jù)權利要求7所述的方法����,其中嘗試認證主機設備包括認證主機設備的硬件參數(shù)���。
10.根據(jù)權利要求1所述的方法�,其中主機設備還與用戶身份識別模塊(SM)卡通信,并且其中通過嘗試認證該SM卡進行安全檢查�。
11.根據(jù)權利要求1所述的方法,其中儲存設備包括嵌入在主機設備中的儲存設備���。
12.根據(jù)權利要求1所述的方法�����,其中儲存設備包括可移除地可連接到主機設備的儲存設備。
13.—種主機設備,包括 配置為與儲存設備通信的接口�,該儲存設備具有存儲引導加載程序代碼的專用存儲區(qū)域和存儲操作系統(tǒng)代碼的公用存儲區(qū)域;和 與該接口通信的控制器�����,其中該控制器被配置為 指示儲存設備發(fā)起引導模式�����; 從儲存設備接收引導加載程序代碼�;以及 執(zhí)行引導加載程序代碼,其中當弓I導加載程序代碼被執(zhí)行時���,其 進行安全檢查��,以及 僅當安全檢查成功的情況下�����,執(zhí)行從儲存設備加載的操作系統(tǒng)代碼�。
14.根據(jù)權利要求13所述的主機設備,其中控制器被配置為并非通過發(fā)送從儲存設備中的地址讀取的命令來指示儲存設備發(fā)起引導模式��。
15.根據(jù)權利要求13所述的主機設備��,其中接口包括命令(CMD)線�����,并且其中控制器被配置為通過將該CMD線保持為低達74個時鐘周期而指示儲存設備發(fā)起引導模式����。
16.根據(jù)權利要求13所述的主機設備,其中接口包括命令(CMD)線��,并且其中控制器被配置為通過在該CMD線上發(fā)送具有參數(shù)OxFFFFFFFA的CMDO命令而指示儲存設備發(fā)起引導模式���。
17.根據(jù)權利要求13所述的主機設備�,其中通過嘗試驗證操作系統(tǒng)代碼的完整性來進行安全檢查。
18.根據(jù)權利要求13所述的主機設備�����,其中通過嘗試認證主機設備的使用者來進行安全檢查���。
19.根據(jù)權利要求13所述的主機設備�����,其中通過嘗試認證主機設備來進行安全檢查�����。
20.根據(jù)權利要求13所述的主機設備,還包括與控制器通信的用戶身份識別模塊(SIM)卡,并且其中通過嘗試認證該SIM卡進行安全檢查����。
21.根據(jù)權利要求13所述的主機設備,其中儲存設備包括嵌入在主機設備中的儲存設備�。
22.根據(jù)權利要求13所述的主機設備,其中儲存設備包括可移除地可連接到主機設備的儲存設備���。
全文摘要
提供了用從儲存設備加載的操作系統(tǒng)代碼安全地引導主機設備的一種主機設備和方法����。在一個實施例中,主機設備與儲存設備通信�����,該儲存設備具有儲存引導加載程序代碼的專用存儲區(qū)域和儲存操作系統(tǒng)代碼的公用存儲區(qū)域����。主機設備指示儲存設備發(fā)起引導模式并從儲存設備接收引導加載程序代碼。主機設備執(zhí)行引導加載程序代碼����,該引導加載程序代碼進行安全檢查并僅在安全檢查成功的情況下執(zhí)行從儲存設備加載的操作系統(tǒng)代碼。
文檔編號G06F9/44GK103069384SQ201180038920
公開日2013年4月24日 申請日期2011年7月28日 優(yōu)先權日2010年8月10日
發(fā)明者B.多爾格諾弗, R.厄爾哈米亞斯, E.科恩 申請人:桑迪士克以色列有限公司