[发明专利]用于引导加载程序的安全缓冲区

说明书

一种处理系统在处理单元的物理上或逻辑上分离的存储器区域处隔离从外部引导源接收的用于对所述处理单元的引导存储器进行编程的引导代码，直到验证所述引导代码以防止可能危及所述处理系统的缓冲区超驰之后为止。所述处理单元包括用于从外部引导源诸如个人计算机(PC)接收引导代码的存储器的安全缓冲区域，所述存储器的安全缓冲区域在物理上或逻辑上与所述处理单元的其余部分隔离，使得所述安全缓冲区处的任何缓冲区超驰仅仅盖写存储在所述安全缓冲区处的数据，并且不影响正在所述处理单元处执行的数据或指令。

背景技术

处理系统的初始化通常需要初始化中央处理单元(CPU)，初始化通常在CPU外部提供的系统存储器，安全提供系统，将操作系统从外部大容量存储装置加载到系统存储器中，以及执行用户应用程序。初始化处理系统的各种硬件部件(诸如系统存储器)的过程，以及系统存储器中所包含的用于初始化较高系统级别的指令的执行(其也称为自举(bootstrapping)或引导加载)可在恶意攻击的情况下使处理系统暴露于漏洞。

附图说明

通过参考附图可更好地理解本公开，并且它的许多特征和优点对本领域技术人员来说变得显而易见。在不同附图中使用相同附图标记指示相似或相同项。

图1是根据一些实施方案的并入用于存储从外部引导介质装置接收的引导代码的存储器的安全区域的处理系统的框图。

图2是根据一些实施方案的图1的将多批引导代码存储在安全存储器区域处等待验证的处理系统的实例的框图。

图3是示出根据一些实施方案的用于在安全存储器区域处隔离多批引导代码等待验证的方法的流程图。

具体实施方式

图1至图3示出示例性技术，所述示例性技术用于在处理系统的处理单元的物理上或逻辑上分离的存储器区域处隔离从外部引导源接收的用于对引导存储器进行编程的引导代码，直到验证引导代码以防止可能危及处理系统的缓冲区超驰(overrun)之后为止。从外部引导源接收引导代码潜在地使处理系统暴露于恶意攻击。例如，当引导代码被接收到与引导加载程序相关联的常规缓冲区中时，恶意攻击者可使缓冲区超驰并破坏正在处理单元的处理器处执行的数据或指令。为了保护处理单元免受缓冲区超驰的影响，处理单元包括用于从外部引导源(诸如个人计算机(PC))接收引导代码的存储器的安全区域。存储器的安全区域是独立的存储器区域，它在物理上或逻辑上与处理单元的其余部分隔离。因此，安全缓冲区处的任何缓冲区超驰仅仅盖写存储在安全缓冲区处的数据，并且不影响正在处理器处执行的数据或指令。

在引导过程的第一阶段期间，处理单元的引导加载程序执行连接到处理单元的引导存储器中的代码。引导加载程序自举处理单元的硬件并从在一些实施方案中位于处理单元外部的引导存储器读取以获得引导过程的下一阶段所需的软件和硬件，此后处理器完成引导过程。然而，如果引导加载程序检测到引导存储器的内容无效或空白，或者如果处理单元接收到进入模式以对引导存储器进行编程的请求，则处理单元启用总线接口来访问处理单元的物理上或逻辑上分离的安全存储器区域。处理单元然后初始化处理单元的外围接口控制器以打开通信信道，从而允许外部引导源(诸如PC)通过合适的接口协议和连接件(诸如例如USB接口和USB电缆、RS-232接口和RS-232串行电缆或802.11x无线接口)连接到处理单元。

响应于通信信道打开，外部引导源通过USB将引导代码传送到处理单元的安全存储器区域。一旦引导代码已被传送到安全存储器区域，安全存储器区域就存储引导代码，而处理单元通过执行验证协议来验证引导代码。在一些实施方案中，验证协议包括一种或多种验证方法，诸如例如执行校验和(其在一些实施方案中是基于密码地)、检查代码的源、针对已知恶意代码或代码内容进行检查、检查整体代码大小(包括如下所述的任何单独批次的总和)不超过引导存储器的容量，或执行加密认证，诸如安全散列。响应于处理单元验证引导代码，处理单元将引导代码编程到引导存储器上。