[发明专利]安全恢复装置和方法

说明书

技术领域

该主题技术一般地涉及计算机恢复系统和方法，即恢复操作系统或固件。

背景技术

一些计算机（例如笔记本）支持恢复模式，其能够在计算机的可重写操作系统和/或固件崩溃或被损坏时将其恢复回到良好状态。通常，用户在计算机启动时经由按键敲击而发起恢复模式。在一些情况下，如果确定固件和/或操作系统存在问题，则笔记本能够自行发起恢复模式。虽然以上情形已经成为了主流方式，但是用户还是需要单独的恢复设备。如果用户没有恢复设备（SD卡或USB棒），则用户必须通过下载安装程序并在第二计算机上运行来创建一个。在插入恢复设备后，系统将从恢复设备进行引导并且尝试自行修复。如果用户所拥有的恢复设备是旧的，则用户必须首先手工对其进行更新。

发明内容

该主题技术提供了一种用于从安全位置加载引导镜像的装置、系统和方法。在一个方面，一种装置包括处理器、包括引导镜像以及对应于该引导镜像并且作为其冗余的一个或多个引导镜像的一个或多个引导存储器、包括至少一个安全引导镜像的安全只读位置、和包括用于发起计算设备的开机的起动和恢复软件的存储器。该起动和恢复软件在被处理器执行时使得该处理器加载引导镜像并且对其执行验证，在该引导镜像通过验证而被确定为不可用的情况下，加载冗余引导镜像并对其执行第二验证，并且在该冗余引导镜像通过第二验证而被确定为不可用时，从安全只读位置加载安全引导镜像。其它方面包括相对应的系统、装置和计算机程序产品。

之前所描述的装置和其它方面可以包括以下特征中的一个或多个。例如，执行引导镜像的验证可以包括恢复软件在被执行时使得处理器在多个引导代码级别执行引导代码的验证，其中对每个级别从引导代码的核心受信任块起进行验证。该引导镜像、冗余引导镜像和安全引导镜像每一个可以包括用于单个引导级别的引导代码的副本。多个引导代码级别可以包括引导周期，并且确定引导镜像为不可用可以包括恢复软件在被执行时使得处理器停止该引导周期，访问安全只读位置以加载并修复相应引导代码，并且在最后已知的可验证级别恢复引导周期。该方法可以在检测到引导故障时自动发起，或者在用户指示（例如，在机器或计算机开机期间经由专用按钮或按键敲击）时发起。

之前所描述的装置和其它方面可以包括以下特征中的一个或多个。例如，执行引导镜像和冗余引导镜像的验证可以包括使用加密密钥检查引导代码。该恢复软件在被执行时可以进一步使得处理器执行对所加载的安全引导镜像的验证。执行对所加载的安全引导镜像的验证可以包括使用加密密钥检查引导代码。该安全的只读位置可以包括位于与计算设备相关联的系统控制板上的集成电路芯片。该存储器可以包括与计算设备相关联的存储器介质上的分离的隐藏分区。安全引导镜像可以响应于用户所发起的按键敲击而被加载。安全引导镜像可以包括用于安装计算设备的操作系统的足够信息，并且该恢复软件在被执行时可以进一步使得处理器将操作系统恢复至包括网络访问能力的缺省状态，并且发起预定序列以从网络源拉取更新以便将操作系统更新至最新版本。

在另一个方面，一种机器可读介质包括其上的指令，当被机器或计算设备执行时，该指令使得该机器或计算设备执行加载引导镜像的方法，包括发起引导周期的序列，每个周期从存储器介质加载一个级别的引导代码，确定一个级别的引导代码不可用，并且从安全只读位置加载该级别的引导代码的安全副本，其中该安全只读位置不与该存储器介质相关联。其它方面包括用于实施该计算机实施的方法的相对应的系统、装置和计算机程序产品。

之前所描述的方法和其它方面可以包括以下特征中的一个或多个。例如，该方法可以包括在确定该级别的引导代码不可用之前验证最后已知的可验证级别的代码，在确定该级别的引导代码不可用时停止引导周期的序列，使用安全副本对不可用级别的引导代码进行修复，并且在最后已知的可验证级别恢复该引导周期。该方法可以进一步包括在加载安全副本之前确定该级别的引导代码的冗余副本不可用。该方法可以进一步包括执行对所加载的安全引导镜像的验证。该安全只读位置可以包括位于与计算设备相关联的系统控制板上的集成电路芯片。直到安全副本的该引导周期的序列可以包括用于安装计算设备的操作系统的引导代码，该方法进一步包括将操作系统恢复到包括网络访问能力的缺省状态，并且发起预定序列以从网络源拉取更行以便将操作系统更新至最新版本。