保護固件中的熱管理參數(shù)免受計算機攻擊的制作方法
【專利摘要】方法和系統(tǒng)可提供標(biāo)識計算系統(tǒng)中的熱管理設(shè)置以及將該熱管理設(shè)置與有效配置信息進行比較。附加地,如果該熱管理設(shè)置不符合該有效配置信息,修改該熱管理設(shè)置,其中,該修改可致使該熱管理設(shè)置符合該有效配置信息。附加地,可發(fā)起威脅風(fēng)險通知,以便通知用戶不符合。
【專利說明】保護固件中的熱管理參數(shù)免受計算機攻擊
[0001]背景
【技術(shù)領(lǐng)域】
[0002]實施例總體上涉及計算系統(tǒng)中的熱管理。更具體地,實施例涉及保護熱管理參數(shù)免受計算機攻擊。
[0003]討論
[0004]常規(guī)的計算系統(tǒng)可包括使用熱管理參數(shù)來控制風(fēng)扇和節(jié)流存儲器、處理器等等的固件,其中,熱管理參數(shù)可易受攻擊。例如,黑客可發(fā)布將高風(fēng)扇速度和低風(fēng)扇速度設(shè)置成零的命令,這可基本上在所有情況下關(guān)閉風(fēng)扇。實際上,這種攻擊可致使系統(tǒng)關(guān)機以及對系統(tǒng)的組件造成永久損壞。而且,數(shù)據(jù)中心操作員可能未察覺到就位的熱控制技術(shù)的硬件/B1S(基本輸入輸出系統(tǒng))或固件細節(jié)。因此,可需要相當(dāng)大的時間量從攻擊恢復(fù)。
[0005]附圖簡要說明
[0006]通過閱讀以下說明書和所附權(quán)利要求書并且通過參考以下附圖,本發(fā)明實施例的各種優(yōu)點將對本領(lǐng)域普通技術(shù)人員變得明顯,在附圖中:
[0007]圖1是根據(jù)實施例的具有熱管理安全過程的架構(gòu)的示例的框圖;
[0008]圖2是根據(jù)實施例的保護熱管理參數(shù)免受攻擊的方法的示例的流程圖;以及
[0009]圖3是根據(jù)實施例的計算系統(tǒng)的示例的框圖。
[0010]詳細描述
[0011]現(xiàn)在轉(zhuǎn)向圖1,示出了架構(gòu)10,其中熱管理安全過程12被布置在熱管理過程14和由熱管理過程14用于控制計算系統(tǒng)中的氣流組件18和/或節(jié)流組件20的一個或多個數(shù)據(jù)記錄和寄存器16之間。計算系統(tǒng)可包括例如服務(wù)器、個人計算機(PO、個人數(shù)字助理(PDA)、筆記本計算機/上網(wǎng)本計算機、桌上計算機、智能平板計算機、無線智能電話、媒體播放器、智能電視、移動互聯(lián)網(wǎng)設(shè)備(MID)等等。具體而言,數(shù)據(jù)記錄和寄存器16可包括包含計算系統(tǒng)的熱管理參數(shù)(諸如風(fēng)扇速度、傳感器閾值、熱偏移、強制節(jié)流狀態(tài)等等)的用戶可配置傳感器數(shù)據(jù)記錄(SDR)、芯片組寄存器等等。因此,所示出的熱管理過程14向氣流組件18發(fā)布風(fēng)扇控制輸出22 (例如,脈寬調(diào)制/PWM信號)以及向節(jié)流組件20發(fā)布節(jié)流相關(guān)輸出(例如,存儲器熱偏移值、強制節(jié)流信號),以便實現(xiàn)在反饋環(huán)路中由計算系統(tǒng)的一個或多個熱傳感器28所檢測的冷卻結(jié)果26。
[0012]如將更詳細地討論的,安全過程12可將從數(shù)據(jù)記錄和寄存器16檢索的“不合格”熱管理參數(shù)30與有效配置信息進行比較,并且如果其不符合有效配置信息則修改熱管理參數(shù)。有效配置信息可指定例如哪些范圍的SDR風(fēng)扇控制數(shù)據(jù)被認為是可接受的以及哪些被認為是不可接受的(例如,可導(dǎo)致系統(tǒng)過熱以及隨后關(guān)機的設(shè)置)。有效配置信息可以是被數(shù)字地簽名并且僅通過向計算系統(tǒng)加載不同的控制器固件圖像可修改的控制器固件圖像的一部分。因為該圖像是簽名的,可用這種方法保證其來源和真實性。
[0013]如果不合格熱管理參數(shù)30不符合有效配置信息,所示出的安全過程12生成熱風(fēng)險通知32并且修改熱管理參數(shù),從而使得其符合有效配置信息。如果不合格熱管理參數(shù)30已經(jīng)符合有效配置信息,其可被未修改地傳遞到熱管理過程14。在任一個實例中,在所示出的示例中,熱管理過程14被提供有“合格”熱管理參數(shù)34??赏ㄟ^周期性地(例如,每五秒)檢測熱管理參數(shù)和/或熱節(jié)流條件(例如,過量節(jié)流、持久性過低風(fēng)扇速度)等等或其組合的改變來觸發(fā)安全過程12。
[0014]圖2示出保護熱管理參數(shù)免受攻擊的方法36。方法36可被實現(xiàn)為存儲在至少一個機器或計算機可讀存儲介質(zhì)(諸如隨機存取存儲器(RAM)、只讀存儲器(ROM)、可編程ROM(PROM)、閃存、固件、微代碼等等)中、在可配置邏輯(諸如可編程邏輯陣列(PLA)、現(xiàn)場可編程門陣列(FPGA)、復(fù)雜可編程邏輯器件(CPLD))中、在使用電路技術(shù)(諸如專用集成電路(ASIC)、互補金屬氧化物半導(dǎo)體(CMOS)或晶體管-晶體管邏輯(TTL)技術(shù)或其任意組合)的固定功能硬件中的可執(zhí)行邏輯指令集。例如,可用一種或多種編程語言的任意組合編寫用于執(zhí)行方法36中所示的操作的計算機程序代碼,包括面向?qū)ο蟮木幊陶Z言,諸如C++等等,以及常規(guī)程序編程語言,諸如“C”編程語言或類似的編程語言。而且,可使用任意上述電路技術(shù)將方法36的各個方面實現(xiàn)為處理器的嵌入邏輯。
[0015]所示出的處理框38確定計算系統(tǒng)的一個或多個熱管理設(shè)置是否已經(jīng)改變。如果未改變,框40可確定是否存在節(jié)流條件(諸如處理器和/或存儲器設(shè)備的過量節(jié)流)。如果不存在這種條件,可在框42確定預(yù)定時間段是否過期。如果熱管理設(shè)置已經(jīng)改變,則存在節(jié)流條件,或者預(yù)定時間段已過期,所示出的框44標(biāo)識一個或多個不合格熱管理設(shè)置,其中,可在框46將不合格熱管理設(shè)置與有效配置信息進行比較。如果在框48確定不合格熱管理設(shè)置不符合有效配置信息,框50可修改不符合的熱管理設(shè)置,從而使得它們符合。因此,例如,在框50的修改可涉及重置風(fēng)扇速度、傳感器閾值和/或熱偏移、將計算系統(tǒng)的組件設(shè)置在節(jié)流狀態(tài)(或反之亦然)等等。所示出的框52提供通過例如創(chuàng)建系統(tǒng)事件日志(SEL)條目和/或網(wǎng)絡(luò)警報來發(fā)起威脅風(fēng)險通知。
[0016]現(xiàn)在轉(zhuǎn)向圖3,示出計算系統(tǒng)54。所示出的計算系統(tǒng)54可包括例如服務(wù)器、PC、PDA、筆記本計算機/上網(wǎng)本計算機、桌上計算機、智能平板計算機、無線智能電話、媒體播放器、智能電視、MID等等或其組合。該計算系統(tǒng)可總體上包括各溫度傳感器,以便檢測過熱,其中,可通過控制風(fēng)扇56和/或節(jié)流發(fā)熱組件來解決過熱。例如,一個或多個中央處理單元(CPU) 58、互連(諸如“南橋”芯片62)、電源66、系統(tǒng)存儲器70、網(wǎng)絡(luò)接口控制器(NIC) 74、前板76、存儲后板78以及一個或多個輸入/輸出(1)豎板(riser) 79可全部配備有能捕獲與計算系統(tǒng)54的操作相關(guān)的熱數(shù)據(jù)。而且,一個或多個離散溫度傳感器80可獲得熱測量值,其中,熱數(shù)據(jù)可用于冷卻反饋環(huán)路中,如已經(jīng)討論的。附加的,CPU和/或南橋內(nèi)部邏輯(諸如管理引擎82)可用于進行節(jié)流活動,以便將計算系統(tǒng)54維持在可接受的熱操作點和/或限制系統(tǒng)功耗。
[0017]所示出的計算系統(tǒng)54還包括控制器84,諸如具有邏輯86的基板管理控制器(BMC),該邏輯被配置用于:標(biāo)識計算系統(tǒng)54中的熱管理設(shè)置;將熱管理設(shè)置與有效配置信息進行比較;如果熱管理設(shè)置不符合有效配置信息則修改熱管理設(shè)置;以及通過例如存儲在非易失性存儲器(NVM) 88、NIC 74 (例如,網(wǎng)絡(luò)警報)、前板76、和/或一個或多個故障發(fā)光二極管(LED) 92中的SEL條目發(fā)起威脅風(fēng)險通知。熱管理設(shè)置的修改可致使熱管理設(shè)置符合有效配置信息。
[0018]在一個示例中,邏輯86可從存儲在NVM 88中的SDR或者從計算系統(tǒng)54中的其他寄存器檢索熱管理設(shè)置。在所示出的示例中,控制器84包括專用RAM 90,其中,RAM 90和系統(tǒng)存儲器70可包括例如雙倍數(shù)據(jù)率(DDR)同步動態(tài)RAM(SDRAM,例如,DDR3SDRAM JEDEC標(biāo)準JESD79-3C,2008年4月)模塊。系統(tǒng)存儲器76和/或控制器RAM 90的模塊可被結(jié)合到單個內(nèi)聯(lián)存儲器模塊(SIMM)、雙內(nèi)聯(lián)存儲器模塊(DIMM)、小型外聯(lián)DIMM(SODIMM)等等中。在一個示例中,系統(tǒng)存儲器70是計算系統(tǒng)54的操作過程中的顯著熱量的潛在來源。
[0019]所示出的CPU 58可包括一個或多個處理器核(未示出)以便執(zhí)行與主機OS(操作系統(tǒng))和/或應(yīng)用軟件相關(guān)聯(lián)的一個或多個驅(qū)動器,其中,每個核可以通過指令提取單元、指令解碼器、一級(LI)高速緩存、執(zhí)行單元等等來完善功能。在一個示例中,CPU 58是計算系統(tǒng)54的操作過程中的顯著熱量的潛在來源。
[0020]NIC 74可提供離平臺通信功能,用于各種各樣的目的,諸如例如蜂窩電話(例如,W-CDMA (UMTS)、CDMA2000 (IS-856/IS-2000)等等)、W1-Fi (無線保真,例如電氣與電子工程師協(xié)會/IEEE 802.11-2007、無線局域網(wǎng)/LAN媒體接入控制(MAC)以及物理層(PHY)規(guī)范)、藍牙(例如,IEEE 802.15.1-2005、無線個域網(wǎng))、WiMax (例如,IEEE 802.16-2004、LAN/MAN寬帶無線LAN)、全球定位系統(tǒng)(GPS)、擴展頻譜(例如,900MHz)、以及其他RF(射頻)電話目的。在一個示例中,NIC 74是計算系統(tǒng)54的操作過程中的顯著熱量的潛在來源。
[0021]實施例因此可提供其中標(biāo)識計算系統(tǒng)中的熱管理設(shè)置的計算機實施的方法。該方法可提供將熱管理設(shè)置與有效配置信息進行比較以及如果熱管理設(shè)置不符合有效配置信息則修改熱管理設(shè)置。
[0022]實施例還可包括具有風(fēng)扇、溫度傳感器、用于存儲熱管理設(shè)置的非易失性存儲器、以及用于標(biāo)識熱管理設(shè)置的邏輯的計算系統(tǒng)。附加地,該邏輯可將熱管理設(shè)置與有效配置信息進行比較以及如果熱管理設(shè)置不符合有效配置信息則修改熱管理設(shè)置。
[0023]附加地,實施例可包括包含指令集的至少一個計算機可讀存儲介質(zhì),如果被處理器執(zhí)行,該指令集可致使計算系統(tǒng)標(biāo)識計算系統(tǒng)內(nèi)的熱管理設(shè)置。指令還可致使計算系統(tǒng)將熱管理設(shè)置與有效配置信息進行比較以及如果熱管理設(shè)置不符合有效配置信息則修改熱管理設(shè)置。
[0024]其他實施例可提供其中訪問計算系統(tǒng)內(nèi)的數(shù)據(jù)記錄和計算系統(tǒng)內(nèi)的寄存器設(shè)置中的一個或多個以便標(biāo)識熱管理設(shè)置的計算機實施的方法。熱管理設(shè)置可包括風(fēng)扇速度、傳感器閾值、熱偏移、以及強制節(jié)流狀態(tài)中的一個或多個。該方法還可提供將熱管理設(shè)置與有效配置信息進行比較以及如果熱管理設(shè)置不符合有效配置信息則修改熱管理設(shè)置,其中,修改熱管理設(shè)置致使熱管理設(shè)置符合有效配置信息。附加地,通過系統(tǒng)事件日志條目和網(wǎng)絡(luò)警報中的一個或多個發(fā)起威脅風(fēng)險通知。
[0025]可使用硬件、軟件、或其組合并且可在一個或多個計算機系統(tǒng)或其他處理系統(tǒng)中實現(xiàn)本發(fā)明實施例的某些方面。可將程序代碼應(yīng)用到使用輸入設(shè)備輸入的數(shù)據(jù),以便執(zhí)行所描述的功能并且生成輸出信息。輸出信息可被應(yīng)用到一個或多個輸出設(shè)備。本領(lǐng)域普通技術(shù)人員可認識到實施例可在不同的計算機系統(tǒng)配置下實踐,包括多處理器系統(tǒng)、微型計算機、大型計算機等等。實施例還可在分布式計算系統(tǒng)中實踐,其中可由通過通信網(wǎng)絡(luò)鏈接的遠程處理設(shè)備執(zhí)行任務(wù)。
[0026]每個程序可被實現(xiàn)在高級程序或面向?qū)ο蟮木幊陶Z言中,以便與處理系統(tǒng)通信。然而,程序可被實現(xiàn)在匯編或機器語言中,如果希望的話。在任何情況下,語言可以是功能性的、被編譯的或被解釋的。
[0027]程序指令可用于致使使用指令編程的通用或?qū)S锰幚硐到y(tǒng)執(zhí)行在此所描述的方法。可替代地,可由包含用于執(zhí)行該方法的特定硬接線邏輯或由編程計算機組件和定制硬件組件的任何組合來執(zhí)行該方法。在此所述的方法可被提供為計算機程序產(chǎn)品,該計算機程序產(chǎn)品可包括其上存儲有指令的至少一個機器可讀介質(zhì),該指令可用于對處理系統(tǒng)或其他電子設(shè)備進行編程,以便執(zhí)行該方法。在此所使用的術(shù)語“機器可讀介質(zhì)”或“機器可訪問介質(zhì)”應(yīng)當(dāng)包括能夠存儲或編碼指令序列以便由機器執(zhí)行的并且致使機器執(zhí)行在此所述的任何一種方法的任何介質(zhì)。術(shù)語“機器可讀介質(zhì)”或“機器可訪問介質(zhì)”可因此包括但不限于對數(shù)據(jù)信號進行編碼的固態(tài)存儲器、光盤和磁盤、以及載波。而且,本領(lǐng)域常常見的是當(dāng)采取行動或造成結(jié)果時談及一種或另一種形式的軟件(例如,程序、過程、進程、應(yīng)用、模塊、邏輯等等)。這種表達僅僅是表述通過處理系統(tǒng)執(zhí)行軟件以便致使處理器執(zhí)行動作或產(chǎn)生結(jié)果的簡化方式。
[0028]術(shù)語“耦合”可在此用于指代有關(guān)組件之間的任何類型的關(guān)系(直接的或間接的)并且可應(yīng)用到電、機械、流體、光、電磁、機電或其他連接。附加地,術(shù)語“第一”、“第二”等等可在此僅用于方便討論并且不帶有任何特定的時間或時間順序的意義,除非另外指明。
[0029]盡管已經(jīng)在以上描述本發(fā)明的不同實施例,應(yīng)當(dāng)理解的是已經(jīng)通過舉例而非限制展現(xiàn)了它們。本領(lǐng)域普通技術(shù)人員將理解的是可在不背離如在所附權(quán)利要求書中所定義的本發(fā)明的精神和范圍的情況下做出各種形式和細節(jié)的改變。因此,本發(fā)明的幅度和范圍不應(yīng)當(dāng)受限于上述示例性實施例,而是應(yīng)當(dāng)根據(jù)以下權(quán)利要求書及其等效方案來定義。
【權(quán)利要求】
1.一種計算機實施的方法,包括: 訪問計算系統(tǒng)中的數(shù)據(jù)記錄以及所述計算設(shè)置內(nèi)的寄存器設(shè)置中的一個或多個,以標(biāo)識熱管理設(shè)置,其中,所述熱管理設(shè)置包括風(fēng)扇速度、傳感器閾值、熱偏移、以及強制節(jié)流狀態(tài)中的一個或多個; 將所述熱管理設(shè)置與有效配置信息進行比較; 如果所述熱管理設(shè)置不符合所述有效配置信息,修改所述熱管理設(shè)置,其中,修改所述熱管理設(shè)置致使所述熱管理設(shè)置符合所述有效配置信息;以及 通過系統(tǒng)事件日志條目和網(wǎng)絡(luò)警報中的一個或多個發(fā)起威脅風(fēng)險通知。
2.如權(quán)利要求1所述的方法,進一步包括檢測所述熱管理設(shè)置的改變,其中,響應(yīng)于所述改變標(biāo)識所述熱管理設(shè)置。
3.如權(quán)利要求1所述的方法,進一步包括檢測熱節(jié)流條件,其中,響應(yīng)于所述熱節(jié)流條件標(biāo)識所述熱管理設(shè)置。
4.如權(quán)利要求1所述的方法,其中,所述熱管理設(shè)置被周期性地標(biāo)識。
5.一種系統(tǒng),包括: 風(fēng)扇; 溫度傳感器; 非易失性存儲器,用于存儲熱管理設(shè)置;以及 邏輯,用于執(zhí)行如權(quán)利要求1至4中任一項所述的方法。
6.至少一種機器可讀介質(zhì),包括多個指令,響應(yīng)于在計算系統(tǒng)上被執(zhí)行,所述指令致使所述計算系統(tǒng)執(zhí)行根據(jù)如權(quán)利要求1至4中任一項所述的方法。
7.一種計算機實施的方法,包括: 標(biāo)識計算系統(tǒng)中的熱管理設(shè)置; 將所述熱管理設(shè)置與有效配置信息進行比較;以及 如果所述熱管理設(shè)置不符合所述有效配置信息,修改所述熱管理設(shè)置。
8.如權(quán)利要求7所述的方法,其中,修改所述熱管理設(shè)置致使所述熱管理設(shè)置符合所述有效配置信息。
9.如權(quán)利要求7所述的方法,其中,所述熱管理設(shè)置包括風(fēng)扇速度、傳感器閾值、熱偏移、以及強制節(jié)流狀態(tài)中的一個或多個。
10.如權(quán)利要求7所述的方法,其中,標(biāo)識所述熱管理設(shè)置包括訪問數(shù)據(jù)記錄和寄存器設(shè)置中的一個或多個。
11.如權(quán)利要求7所述的方法,進一步包括通過系統(tǒng)事件日志條目和網(wǎng)絡(luò)警報中的一個或多個發(fā)起威脅風(fēng)險通知。
12.如權(quán)利要求7所述的方法,進一步包括檢測所述熱管理設(shè)置的改變,其中,響應(yīng)于所述改變標(biāo)識所述熱管理設(shè)置。
13.如權(quán)利要求7所述的方法,進一步包括檢測熱節(jié)流條件,其中,響應(yīng)于所述熱節(jié)流條件標(biāo)識所述熱管理設(shè)置。
14.如權(quán)利要求7所述的方法,其中,所述熱管理設(shè)置被周期性地標(biāo)識。
15.—種系統(tǒng),包括: 風(fēng)扇; 溫度傳感器; 非易失性存儲器,用于存儲熱管理設(shè)置;以及 邏輯,用于執(zhí)行如權(quán)利要求7至14中任一項所述的方法。
16.至少一種機器可讀介質(zhì),包括多個指令,響應(yīng)于在計算系統(tǒng)上被執(zhí)行,所述指令致使所述計算系統(tǒng)執(zhí)行根據(jù)權(quán)利要求7至14中任一項所述的方法。
【文檔編號】G06F21/55GK104205110SQ201280071850
【公開日】2014年12月10日 申請日期:2012年3月28日 優(yōu)先權(quán)日:2012年3月28日
【發(fā)明者】S·阿戶加, R·斯坦恩布瑞切, D·理查德森 申請人:英特爾公司