一种具有可信计算功能的服务器中实现BMC安全管理的方法技术

本发明专利技术公开了一种具有可信计算功能的服务器中实现BMC安全管理的方法，通过安全可信模块检测度量服务器主板固件及操作系统制定一系统安全策略，安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略，并通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后调节自身管理功能，针对不同级别安全性实行不同的管理方法。本发明专利技术通过具有安全可信功能服务器中安全可信模块与BMC通信，实现根据安全可信模块制定的安全管理策略调整BMC安全管理功能；解决了安全服务器中管理的安全问题，为安全服务器解决BMC安全管理提供一种解决方案。

【技术实现步骤摘要】
一种可信计算服务器中的BMC安全管理方法和系统
本专利技术涉及计算机安全技术，具体地说是一种可信计算服务器中的BMC安全管理方法和系统。
技术介绍
伴随着信息安全技术的发展和国家对信息安全要求的提高，服务器安全性变得越来越重要，越来越多的计算机和服务器开始采用安全可信计算功能来提高计算机与服务器的安全性，除了可信计算通过对固件及操作系统度量等手段保证本地安全性外，还需要对服务器远程管理功能进行安全控制，使得服务器管理功能不出安全漏洞。
技术实现思路
针对服务器安全性变得越来越重要的问题，本专利技术提出了一种可信计算服务器中的BMC安全管理方法和系统。本专利技术所述一种可信计算服务器中的BMC安全管理方法和系统，解决上述技术问题采用的技术方案如下：所述可信计算服务器中的BMC安全管理方法，是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,来解决安全服务器中管理的安全问题。所述可信计算服务器中的BMC安全管理方法，提出了一个BMC安全管理系统，所述BMC安全管理系统包括服务器主板固件与操作系统、安全可信模块和BMC，其中，安全可信模块检测度量服务器主板固件与操作系统制定一系统安全策略，安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略，安全可信模块与BMC之间通过I2C总线交互通信，通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后，调节自身管理功能，实现针对不同级别安全性下的不同管理功能。本专利技术所述一种可信计算服务器中的BMC安全管理方法和系统具有的有益效果：所述实现BMC安全管理的方法，通过具有安全可信功能服务器中安全可信模块与BMC通信，实现根据可信模块制定的安全管理策略调整BMC针对不同级别安全性下的安全管理功能；解决了安全服务器中管理的安全问题，通过该方法显著提高了安全服务器中BMC的安全管理性能，为安全服务器解决BMC安全管理提供一种解决方案，具有较好的推广使用价值。附图说明附图1为可信计算服务器中的BMC安全管理方法的流程图；附图2为所述实施例实现BMC安全管理方法的流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，下文中将结合附图对本专利技术的一种可信计算服务器中的BMC安全管理方法和系统进行详细说明。本方明所述可信计算服务器中的BMC安全管理方法，提出了一可信计算服务器中的BMC安全管理系统，所述BMC安全管理系统包括服务器主板固件与操作系统、安全可信模块和BMC，其中，安全可信模块检测度量服务器主板固件与操作系统制定一系统安全策略，安全可信模块根据所制定的安全策略制定BMC的安全管理策略，安全可信模块与BMC之间通过I2C总线交互通信，通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后，调节自身管理功能，实现针对不同级别安全性下的不同管理功能。本专利技术所述实现BMC安全管理的方法，是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,来解决安全服务器中管理的安全问题。附图1为具有可信计算功能的服务器中实现BMC安全管理的方法的流程图，如附图1所示，本专利技术的具有可信计算功能的服务器中实现BMC安全管理的方法，具体是指通过安全可信模块检测度量服务器主板固件及操作系统等机制制定一系统安全策略，并根据所制定的系统安全策略制定BMC的安全管理策略，同时，安全可信模块通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后，调节自身管理功能，针对不同级别安全性实行不同的管理功能。本专利技术中，BMC接收到安全可信模块发送的管理命令后，调节自身管理功能，针对不同级别安全性实行不同的管理功能：BMC接收到安全可信模块发送的检测到低级安全威胁后，关闭虚拟设备；BMC接收到安全可信模块发送的检测到中级安全威胁后，关闭媒体重定向；BMC接收到安全可信模块发送的检测到高级安全威胁后，关闭管理网络，进而实现安全服务器的BMC安全管理功能。实施例：下面通过一个实施例，对本专利技术所述一种可信计算服务器中的BMC安全管理方法和系统的优点和设计内容，进行详细说明。本实施例是，基于国产龙芯服务器为例来说明实现BMC安全管理的实施过程，如附图2所示，安全可信模块检测度量BIOS及操作系统，根据BIOS及操作系统的情况制定系统安全策略，安全可信模块与BMC(AST2400BMC芯片)之间通过I2C总线交互通信，向AST2400BMC芯片发送管理命令，BMC接收到安全可信模块发送的管理命令后，调节自身管理功能，针对不同级别安全性实行不同的管理功能。本实施例中，安全可信模块首先根据其检测度量的BIOS及操作系统情况制定系统安全策略，并根据系统安全策略制定BMC的安全管理策略，安全可信模块通过I2C总线给BMC发送管理命令来调节BMC的安全管理方法。安全可信模块检测到BIOS及操作系统下存在低级安全时会给BMC发送管理命令：AST2400BMC芯片接收到安全可信模块发送的检测到低级安全威胁后，关闭其自身的虚拟存储设备功能；AST2400BMC芯片接收到安全可信模块发送的检测到中级安全威胁后，关闭其自身的KVMOVERIP设备功能,KVMOVERIP又称为IPKVM，带有远程管理功能的KVM切换器；AST2400BMC芯片接收到安全可信模块发送的检测到高级安全威胁后，关闭管理网络或自身的网口，停止远程管理功能；通过这种方法，进而实现安全服务器的BMC安全管理功能。上述具体实施方式仅是本专利技术的具体个案，本专利技术的专利保护范围包括但不限于上述具体实施方式，任何符合本专利技术的权利要求书的且任何所属
的普通技术人员对其所做的适当变化或替换，皆应落入本专利技术的专利保护范围。本文档来自技高网...

【技术保护点】
一种具有可信计算功能的服务器中实现BMC安全管理的方法,其特征在于,是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,来解决安全服务器中管理的安全问题；所述具有可信计算功能的服务器中实现BMC安全管理的方法，其具体步骤包括：安全可信模块检测度量服务器主板固件及操作系统制定一系统安全策略，安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略，安全可信模块通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后调节自身管理功能，针对不同级别安全性实行不同的管理方法。

【技术特征摘要】
1.一种可信计算服务器中的BMC安全管理方法,其特征在于,是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,其具体步骤包括：安全可信模块检测度量服务器主板固件及操作系统制定一系统安全策略，安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略，安全可信模块通过I2C总线给BMC发送管理命令，BMC接收到安全可信模块发送的管理命令后调节自身管理功能，针对不同级别安全性实行不同的管理方法：BMC接收到安全可信模块发送的检测到低级安全威胁后，关闭虚拟设备；BMC接收到安全可信模块发送的检测到中级安全威胁后，关闭媒体重定向；BMC接收到安全可信模块发送的检测到高级安全威胁后，关闭管理网络或自身的网口。2.根据权利要求1所述的一种可信计算服务器中的BMC安全管理方法,其特征在于,安全可信模块检测度量BIOS及操作系统制定一系统安全策略，安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略，安全可信模块通过I2C总线给AST2400BMC芯片发送管理命令，BMC接收到安全可信模块发送的管理命令后调节自身管理功能，针对不同级别安全性实行不同的管理方法。3.根据权利要求2所述的一种可信计算服务器中的BMC安全管理方法,其特征在于,针对不同级别安全性实行不同的管理方法：AST2400BMC芯片接收到安全可信模块发送的检测到低级安全威胁后，关闭其自身的虚拟存储设备功能；AST2400BMC芯片接收到...

【专利技术属性】
技术研发人员：刘强，金长新，于治楼，
申请(专利权)人：浪潮集团有限公司，
类型：发明
国别省市：山东;37