本实用新型专利技术提供了一种基于BMC平台的可信度量装置,包括基板管理控制器、第一存储器与第二存储器;第一存储器与第二存储器均连接至基板管理控制器;第一存储器为只读存储器。本实用新型专利技术的基于BMC平台的可信度量装置,解决了CRTM的不可改变与BMC固件的更新存在冲突的问题;并且,基板管理控制器本身能够主动对BMC固件进行可信度量,不需额外连接TPM、TPCM等简化电路结构,且成本较低。
【技术实现步骤摘要】
基于BMC平台的可信度量装置
本技术涉及计算机安全
,特别是涉及一种基于BMC平台的可信度量装置。
技术介绍
一般的,基于BMC(Baseboardmanagementcontroller,基板管理控制器)芯片的计算机装置通常需要在硬件上加上TPM(TrustedPlatformModule,可信平台模块)、TCM(TrustedCryptographyModule,可信密码模块)或TPCM(TrustedPlatformControlModule,可信平台控制模块)等,以实现对BMC固件的可信度量。但TPM、TCM或TPCM需要比BMC芯片同时启动或优先供电,并且TPM、TCM或TPCM需要连接至BMC芯片所连接的flash(FlashMemory,闪存),这将导致计算机装置的电路设计的复杂,成本较高。
技术实现思路
鉴于上述利用TPM、TCM或TPCM实现可信度量的可信度量系统结构复杂、成本高的问题,本技术的目的在于提供一种结构简单且成本低的基于BMC平台的可信度量装置,该装置能够以BMC固件本身作为可信度量根实现对BIOS等系统固件的可信度量。为实现上述目的,本技术采用如下技术方案:一种基于BMC平台的可信度量装置,包括用于存储可信度量根的核心的第一存储器、用于存储BMC固件的第二存储器以及用于以所述BMC固件作为可信度量根对系统固件进行可信度量的基板管理控制器;所述第一存储器与所述第二存储器均连接至所述基板管理控制器,所述第一存储器为只读存储器。在其中一个实施例中,所述第一存储器包含用于存储可信度量根的核心的CRTM模块;所述CRTM模块包括用于存储固件度量信息的固件度量单元,所述固件度量单元能够对所述第二存储器中的BMC固件进行可信度量。在其中一个实施例中,所述CRTM模块还包括用于存储第一启动控制信息的第一启动单元,所述第一启动单元能够控制所述第二存储器的启动并设定所述基板管理控制器的预设启动存储器。在其中一个实施例中,所述第二存储器包括用于存储BMC固件的BMC固件模块;所述BMC固件模块包括用于存储可信链度量信息的可信链度量单元,所述可信链度量单元用于以所述BMC固件作为可信度量根对所述系统固件进行可信度量。在其中一个实施例中,所述BMC固件模块还包括用于存储第二启动控制信息的第二启动单元,所述第二启动单元用于将所述基板管理控制器的预设启动存储器设定为第一存储器。在其中一个实施例中,所述第一存储器为一次性写入的快闪存储器,所述第二存储器为可读写的快闪存储器。在其中一个实施例中,所述基板管理控制器支持双存储器启动。本技术的有益效果是:本技术的基于BMC平台的可信度量装置,通过将可信度量根的核心存储于第一存储器中,并将第一存储器设置为只读存储器,从而可以保证可信度量根的核心为不可改变的,保证可信度量的可靠性,同时将可更新的BMC固件存储于第二存储器中,从而解决了CRTM的不可改变与BMC固件的更新存在冲突的问题;并且,基板管理控制器本身能够主动对BMC固件进行可信度量,进而使该BMC固件可以作为可信度量根以实现BIOS等系统固件的可信度量,利用可信链的传递,实现对整个BMC平台进行可信度量,不需额外连接TPM、TPCM等模块,不仅简化电路结构,且成本较低。附图说明图1为本技术的基于BMC平台的可信度量装置一实施例的框图;图2为本技术的基于BMC平台的可信度量装置另一实施例的框图;图3为本技术的基于BMC平台的可信度量装置又一实施例的框图。具体实施方式为了使本技术的技术方案更加清楚,以下结合附图,对本技术的基于BMC平台的可信度量装置作进一步详细的说明。应当理解,此处所描述的具体实施例仅用以解释本技术并不用于限定本技术。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。如图1所示,本技术提供了一种基于BMC平台的可信度量装置100包括基板管理控制器110(即BMC芯片)、第一存储器120与第二存储器130,第一存储器120与第二存储器130均连接至基板管理控制器110。本实施例中,第一存储器120和第二存储器130可以为非易失性的快闪存储器(FlashMemory)。其中,第一存储器120为一次性写入的只读存储器,第一存储器120内存储有可信度量根的核心(CRTM,CoreRootofTrustforMeasurement),可信度量根的核心为可信引导的基础。其中,为保证CRTM是不可改变的,本实施例中的第一存储器120为一次性写入的只读存储器,即将CRTM写入第一存储器120中后即不能再对第一存储器120进行写入操作,从而可以保证可信引导过程的可靠性。第二存储器130用于存储可更新的BMC固件,其中,BMC固件为基板管理控制器110得以运行的程序代码或操作装置。本实施例中的第二存储器130可以为读写存储器,以便于实现BMC固件的更新。通过CRTM与BMC固件的单独存储于不同的存储器中,可以同时保证CRTM的不变性以及BMC固件的可更新性,从而避免了CRTM与BMC固件的更新冲突。本实施例中,基板管理控制器110支持双Flash启动或备援flash启动,因此,基板管理控制器110上电后,第一存储器120作为第一顺位启动的存储器,第二存储器130作为第二顺位启动的存储器。即在基板管理控制器110的启动过程中,基板管理控制器110首先与第一存储器120建立连接,获取并执行第一存储器120中的CRTM对第二存储器130中的BMC固件进行可信度量。当基板管理控制器110判定第二存器130中的BMC固件为可信固件时,基板管理控制器110执行该可信的BMC固件,以BMC固件作为可信度量根对基板管理控制器的系统固件进行可信度量。其中,系统固件可以包括BIOS(BasicInputOutputSystem,基本输入/输出装置),UEFI(UnifiedExtensibleFirmwareInterface,统一的可扩展固件接口),Hostboot(主机启动,hostboot为硬件开机和测试代码块)等等。之后,可以逐级实现对基板管理控制器的内核、操作装置及应用程序等组件的可信度量,实现了可信链的传递。由于第一存储器120中的CRTM为基板管理控制器110启动后执行的第一段程序代码,执行最初的可信度量,并引导有RTM(RootsofMeasurement,可信度量根)功能的BMC固件开始工作。因此,通过将第一存储器120作为第一顺位启动的存储器,即将第一存储器120作为基板管理控制器110的预设启动存储器,并通过执行第一存储器120中的CRTM,可以实现对第二存储器130中的BMC固件进行可信度量。具体地,在基板管理控制器110对第二存储器130中BMC固件进行可信度量的过程中,基板管理控制器110能够获取BMC固件的被度量数据(BMC固件的数据或程序代码)以及度量摘要值(上述数据的哈希值)。之后,基板管理控制器110能够根据BMC固件的被度量数据及度量摘要值获得BMC固件的实际度量结果,并将上述实际度量结果与预设度量结果进行比较,当判定实际度量结果与预设度量结果匹配时,则基板管理控制器110判定BMC固件为可信本文档来自技高网...
【技术保护点】
一种基于BMC平台的可信度量装置,其特征在于,包括用于存储可信度量根的核心的第一存储器、用于存储BMC固件的第二存储器以及用于以所述BMC固件作为可信度量根对系统固件进行可信度量的基板管理控制器;所述第一存储器与所述第二存储器均连接至所述基板管理控制器,所述第一存储器为只读存储器。
【技术特征摘要】
1.一种基于BMC平台的可信度量装置,其特征在于,包括用于存储可信度量根的核心的第一存储器、用于存储BMC固件的第二存储器以及用于以所述BMC固件作为可信度量根对系统固件进行可信度量的基板管理控制器;所述第一存储器与所述第二存储器均连接至所述基板管理控制器,所述第一存储器为只读存储器。2.根据权利要求1所述的基于BMC平台的可信度量装置,其特征在于,所述第一存储器包含用于存储可信度量根的核心的CRTM模块;所述CRTM模块包括用于存储固件度量信息的固件度量单元,所述固件度量单元能够对所述第二存储器中的BMC固件进行可信度量。3.根据权利要求2所述的基于BMC平台的可信度量装置,其特征在于,所述CRTM模块还包括用于存储第一启动控制信息的第一启动单元,所述第一启动单元能够控制所述第二存储器的启动并设定所述基板管理控制器...
【专利技术属性】
技术研发人员:赵立宇,陈庆宏,于昇,
申请(专利权)人:华胜信泰信息产业发展有限公司,
类型:新型
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。