[发明专利]基于清单比较执行安全动作

权利要求书

1.一种计算设备，包括：

至少一个处理元件；

至少一个存储器设备；

包括至少一个总线设备的总线；

系统板；

固件引擎，包括在引导过程期间在计算设备的引导时执行的固件，所述固件引擎用于：

获取包括多个启动组件的所述计算设备的启动清单，其中所述启动清单包括与所述至少一个处理元件、所述至少一个存储器设备、所述系统板和所述总线上的所述至少一个总线设备有关的信息；

将所述启动清单与在所述计算设备进入第一模式时获取的存储的清单进行比较，以确定所述启动清单和所述存储的清单是否匹配；以及

响应于所述启动清单和存储的清单不匹配，执行安全动作。

2.根据权利要求1所述的计算设备，进一步包括：

与所述至少一个处理元件分离的基板管理控制器，所述基板管理控制器包括硬件信任根，以防止固件被替换或修改。

3.根据权利要求2所述的计算设备，其中所述基板管理控制器包括用于所述存储的清单的密码信息。

4.根据权利要求1所述的计算设备，进一步包括：在所述固件引擎的外部不能被修改的非易失性存储器，其中所述非易失性存储器包括用于所述存储的清单的密码信息。

5.根据权利要求1所述的计算设备，其中所述存储的清单是包括当所述计算设备进入所述第一模式时在所述计算设备上找到的多个组件的多个唯一标识符的散列的形式。

6.根据权利要求5所述的计算设备，其中所述启动清单是包括所述启动组件的多个唯一标识符的启动散列的形式。

7.根据权利要求5所述的计算设备，其中所述散列包括多个配置设置和至少一个固件版本标识符。

8.根据权利要求5所述的计算设备，其中所述散列包括与当所述计算设备进入所述第一模式时在所述计算设备上找到的所述多个组件中的至少一个有关的硬件训练信息。

9.根据权利要求1所述的计算设备，其中所述固件引擎进一步用于：提供修改已经被检测到的通知作为所述安全动作的一部分，并且请求密码以将所述计算设备引导到操作系统。

10.根据权利要求9所述的计算设备，其中所述密码被保存为实现所述第一模式的一部分。

11.一种存储指令的非暂时性机器可读存储介质，如果所述指令由设备的物理处理元件执行，则所述指令使得所述设备：

接收与所述设备的安全的第一模式相关联的密码；

获取所述设备的清单，基于多个唯一标识符的所述清单分别与安装在所述设备上的每个主存储器模块、安装在所述设备上的每个处理器、所述设备的系统板以及所述设备的总线的配置空间中的多个总线设备中的每个和多个配置设置的每个相关联；

将所述清单存储在非易失性储存器中作为存储的清单；

继所述设备进入所述第一模式之后，在启动所述设备时开始执行引导过程，其中所述物理处理元件在随后启动时由所述指令开始执行；

获取包括多个启动组件的所述设备的启动清单，其中基于多个启动唯一标识符的所述启动清单分别与安装在所述设备上的每个启动主存储器模块、安装在所述设备上的每个启动处理器、启动系统板以及所述设备的所述总线的配置空间中的多个启动总线组件中的每个和在所述随后启动时的所述多个配置设置的每个相关联；

将所述启动清单与所述存储的清单进行比较，以确定所述启动清单和所述存储的清单是否匹配；以及

响应于所述比较，执行安全动作。

12.根据权利要求11所述的非暂时性机器可读存储介质，其中，所述设备包括与所述物理处理元件分离的基板管理控制器，以确保所述指令不被修改或替换。

13.根据权利要求11所述的非暂时性机器可读存储介质，其中所述存储的清单和启动清单每个是散列的形式。