PFR 介绍

开始谈PFR前,我们先把时间条滑回 2017 年,当年有个病毒 "BrickerBot" 很有名,他是透过网路刷机将IoT设备上的韧体变成砖头(Brick),这种攻击手法被称作PDoS (Permanent denial-of-service attacks / phlashing),和DDoS 让伺服器暂时瘫痪的攻击手法相比,这是永久性的让硬体瘫痪,必须重新更新才能复原

隔年,在2018年,美国国家标准暨技术研究院(NIST)发布了NIST SP 800 193标准(Platform Firmware Resiliency Guidelines),里面提及Platform上的Firmware 应该要符合三项安全措施

  • Protection(保护)
    Mechanisms for ensuring that Platform Firmware code and critical data remain in a state of integrity and are protected from corruption, such as the process for ensuring the authenticity and integrity of firmware updates.
    确保平台固件代码和关键数据保持完整性并防止损坏的机制,例如确保固件更新的真实性和完整性的过程。
  • Detection(检测):
    Mechanisms for detecting when Platform Firmware code and critical data have been corrupted or otherwise changed from an authorized state.
    用于检测平台固件代码和关键数据何时已损坏或以其他方式从授权状态更改的机制。
  • Recovery(恢复):
    Mechanisms for restoring Platform Firmware code and critical data to a state of integrity in the event that any such firmware code or critical data are detected to have been corrupted, or when forced to recover through an authorized mechanism. Recovery is limited to the ability to recover firmware code and critical data
    在检测到任何此类固件代码或关键数据已损坏或通过授权机制强制恢复时,将平台固件代码和关键数据恢复到完整性状态的机制。恢复仅限于恢复固件代码和关键数据的能力

因此之后几年,各大厂商就陆续推出自家的PFR方案,

这些机制可以透过韧体本身完成,也可以透过外部第三方(例如FPGA)来协助完成,只要符合最终目标即可,其中 Intel 提出的Solution 就是以FPGA 来协助实现PFR的,我们可以从官方释出的介绍影片来看一下

英特尔解决方案

Intel® Platform Firmware Resilience Overview (影片滑到最底下)

DETECT

PFR FPGA 会验证 SPI flash 中的数位签章,再比对每个Region的Hash value,确认Image是否被窜改

RECOVERY

PFR FPGA可以自动恢复损坏的韧体

(Intel 将Flash 切成不同的区块例如 stage、recovery和 active,上电载入的程式码会放在Active 区块,如果这个BMC/BIOS开不了机或一直重启,这样PFR FPGA就会自动将Recovery区块放的Image 烧到 Active 区块)

PROTECT

PFR FPGA监控和过滤系统总线上的恶意流量

(原本很多I2C Device是直接对接BMC的,但现在会先经过PFR FPGA,只有白名单上的指令才可以By pass给BMC)

(我觉得PROTECT应该还有Secure Update,但影片没看到,就没写了)

快速认识 PFR (Platform Firmware Resiliency)相关推荐

  1. Intel Platform Firmware Resilience

    Intel Platform Firmware Resilience 固件保护和恢复 Protect In Transit(PIT) Intel PFR硬件架构 带有PFR的服务器平台互连 PFR信号 ...

  2. Intel PFR(platform firmware resilience)简介

    PFR是Intel 设计的用于支持NIST SP 800-193文档的安全要求的安全技术,PFR的目的是用于保护平台资产.检测损坏固件等恶意或错误行为,以及恢复平台固件到到良好状态的技术. PFR使用 ...

  3. NIST 网络安全相关标准 美国 (简单整理)

    系列 编号 英文名 中文名 状态 时间 ITL Bulleti Security Considerations for Exchanging Files Over the Internet 通过Int ...

  4. Intel 万兆网卡调研 X520 X540 X550 X710 X810 对比 10GB/40GB/100GB NIC

    目录 对Intel网卡进行调研 支持SR-IOV的网卡 X520 X540 X550对比 区别 相同 X520 X710 X810系列对比 区别 X520网卡文档翻译 Overview Best ch ...

  5. linux firmware 框架,学习整理:arm-trusted-firmware

    本文以AArch64为准,内容以翻译原文为主. 资源说明 基本介绍 权限模型 (Exception Levels) 基本分为EL3-EL0,从高level转低level通过ERET指令,从低level ...

  6. Linux设备模型之platform设备

    Linux设备模型之platform设备 1. Platform模块的软件架构 2. Platform设备 2.1 platform_device原型 2.2 注册添加device 2.2.1 pla ...

  7. Linux驱动bootloader之UEFI(Unified extensible firmware interface)系统一——初识UEFI

    Everyday is new and different. 想起两年前玩的MTK 6675,还是用的lk 作为系统启动的bootloader,如今新出来的Bootloader已经基本不用了,取而代之 ...

  8. ACPI相关(8)- ACPI Platform Error Interfaces

    一.简介 平台上的硬件使用多样的方式向上层软件报告硬件错误,有的通过 PCI-E 总线传递错误消息,有的需要读写特定的寄存器组来得到错误信息,还有的通过产生特定的中断或者异常来报告错误状态.在这些各式 ...

  9. 深入理解Linux电源管理(0.2)

    学习方法论 写作原则 标题括号中的数字代表完成度与完善度 0.0-1.0 代表完成度,1.1-1.5 代表完善度 0.0 :还没开始写 0.1 :写了一个简介 0.3 :写了一小部分内容 0.5 :写 ...

最新文章

  1. 大型分布式网站架构设计与实践 笔记
  2. Mac git clone速度太慢
  3. 6174问题 --ACM解决方法
  4. Ubuntu16.04下Mongodb官网安装部署步骤(图文详解)(博主推荐)
  5. 百度AI智能小程序正式开放申请
  6. flash绘制荷花多个图层_Flash鼠绘入门第八课:绘制脱俗荷花
  7. 深度克隆对象【前端每日一题-19】
  8. [渝粤教育] 中国地质大学 管理信息系统 复习题 (2)
  9. 新观察:企业将全面上云 披露“云计算支出”会是新常态
  10. Lunar Pro for Mac v5.2.2 – 实用的外接显示器屏幕亮度调节工具
  11. linux-xfce4-panel
  12. java 熄灯问题_Java算法应用之熄灯问题解决
  13. 武汉理工计算机研究生就业去向统计,武汉理工大学《2019届毕业生就业质量报告》发布,本科生月薪7333...
  14. [已解决]Could not create connection to database server.错误的解决方法
  15. luogu P2184 贪婪大陆
  16. 使用Picasso加载图片的内存优化实践
  17. 【JVM技术专题】 深入学习Parallel Scavenge回收器「 原理篇」
  18. 【Atheros】Ath9k速率调整算法源码走读
  19. Lambda表达式的省略
  20. python dict的get函数

热门文章

  1. 海淀区中小学生计算机竞赛,【小学组】海淀区第三届“智慧杯”中小学生计算机程序设计大赛编程思维类初赛...
  2. 宇宙大爆炸后一瞬首次清晰拍到!造价百亿美元的韦布望远镜,发布130亿年前的太空图景...
  3. 文言文编程可以编译成PHP吗,GitHub开源的文言文编程语言、程序生成中国山水画、格律诗编辑程序...
  4. linux 串口4g ppp,在ARM-linux上实现4G模块PPP拨号上网
  5. 【转】直流无刷电机工作及控制原理
  6. Java生成中间logo的二维码(还可以加上二维码名称哦)
  7. 程序员极度崩溃的10个瞬间
  8. Android 自带录屏命令 screenrecord 的使用
  9. 科视Christie为中国市场增添两款具备固定短焦镜头的新型APS系列3LCD激光投影机
  10. 20岁懂点经济学——读书笔记