本发明专利技术涉及云计算系统安全技术领域,特别涉及一种云计算系统中增强BMC/SMC安全性的方法。该方法通过在BMC/SMC系统中增加TPM安全可信模块保证BMC/SMC固件的安全性,在BMC/SMC远程管理路径上增加IPSEC加解密模块保证管理路径的安全性,在远程管理终端增加USBKEY实现对用户身份的安全认证。基于这三种安全加密及认证方法可确保对采用BMC/SMC系统进行管理的云计算基础设备的安全性提供最高级别的安全保护,对促进安全云计算装备的应用具有重要的意义。
【技术实现步骤摘要】
本专利技术涉及云计算系统安全
,特别涉及一种云计算系统中增强BMC/SMC安全性的方法。
技术介绍
云装备作为云计算的基础设施,在云计算系统中承担着的越来越重要的角色。而云装备的安全性是云计算安全性的根本保障,没有云装备的安全性就无从谈起云计算的安全性。在软件应用层面云计算的安全性可以积极借鉴现有的安全架构和体系,其实现起来相对容易,实现方法相对成熟。但涉及到云计算设备的安全管理方面,尤其是针对BMC/SMC的高安全性的整机安全管理系统的实现未有成熟的方案,需要深入分析BMC/SMC的实现机制,设计出可针对国外及国内处理器平台的具有较高安全级别的BMC/SMC管理系统,弥补整机装备安全性的不足,实现具有全面安全性保证的安全可信的云计算设备。BMC(Baseboard Management Controller)基板管理控制器,SMC(System Management Controller)系统管理控制器。BMC是云计算服务器中计算刀片中的管理管理控制器用于对计算刀片的管理;SMC是云计算服务器中管理单元中的管理控制器用于对云计算服务器整机的管理。TPM安全可信模块,即Trusted Platform Module可信平台模块,是一个含有密码运算部件和存储部件的小型片上系统,是“可信计算”技术最核心的部分。IPSEC(InternetProtocolSecurity),Internet 协议安全性,是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议(IP)网络上进行保密而安全的通讯。
技术实现思路
为了解决现有技术的问题,本专利技术提供了一种云计算系统中增强BMC/SMC安全性的方法,其可确保对采用BMC/SMC进行管理的云计算基础设备的安全性提供最高级别的安全保护,对促进安全云计算装备的应用具有重要的意义。本专利技术所采用的技术方案如下:一种云计算系统中增强BMC/SMC安全性的方法,包括以下步骤:A、TPM安全可信模块对BMC/SMC处理器的固件模块进行可信性方面的度量; B、在TPM安全可信模块进行完整性度量完成后,则BMC/SMC处理器进行正常的启动,另一方面对于通过网络传递到远程管理终端的数据经过IPSEC加解密模块进行加密;使得由BMC/SMC处理器传到远程管理终端的数据进行IPSEC加解密,对于由远程管理终端传递到BMC/SMC处理器的信号则利用IPSEC加解密模块进行相关的解密;C、远程管理终端设置有进行管理授权的USB KEY。 步骤A中,TPM安全可信模块同时进行身份认证、敏感数据加密存储、内部资源访问授权的步骤。步骤B中,如果远程管理终端采用WINDOWS操作系统则对于IPSEC的加解密可直接采用WINDOWS系统本身所带的IPSEC功能,无需单独附加解密模块。步骤C中,远程管理终端的USB KEY对用户身份的安全认证是通过BMC/SMC处理器经由远程管理终端的WEB插件获取USB KEY认证所需的相关信息并传递到BMC/SMC处理器来实现。一种云计算系统中增强BMC/SMC安全性的系统,包括BMC/SMC管理单元、远程管理终端,所述的BMC/SMC管理单元由BMC/SMC处理器、TPM安全可信模块、固件模块、IPSEC加解密模块组成,所述的BMC/SMC系统中设置所述的TPM安全可信模块;在BMC/SMC远程管理路径上增加IPSEC加解密模块。远程管理终端设置有进行管理授权的USB KEY。本专利技术的方法通过在BMC/SMC系统中增加TPM安全可信模块保证BMC/SMC固件的安全性;在BMC/SMC远程管理路径上增加IPSEC加解密模块保证管理路径的安全性;在远程远程管理终端增加USB KEY实现对用户身份的安全认证。基于这三种安全加密及认证方法可确保对采用BMC/SMC进行管理的云计算基础设备的安全性提供最高级别的安全保护。BMC/SMC系统中的TPM安全可信模块实现的功能包括但不限于对BMC/SMC固件完整性度量、身份认证、敏感数据加密存储、内部资源访问授权等。BMC/SMC远程管理路径上设计有IPSEC加解密模块,使得由BMC/SMC传到管理端的数据包括但不限于KVM OVER IP等信息进行IPSEC加解密,对于由远程管理端传递到BMC/SMC的信号则利用IPSEC加解密模块进行相关的解密。远程管理端如果采用WINDOWS操作系统则对于IPSEC的加解密可直接采用WINDOWS系统本身所带的IPSEC功能,无需单独附加解密模块。远程用户管理USB KEY对用户身份的安全认证是通过BMC/SMC经由远程管理终端的WEB插件获取USB KEY认证所需的相关信息并传递到BMC/SMC来实现。本专利技术提供的技术方案带来的有益效果是:1、通过TPM安全可信模块对BMC/SMC处理器的固件模块进行可信性方面的度量,确保固件完整性,即固件未经篡改;2、对于通过网络传递到远程管理终端的数据需要经过IPSEC加解密模块进行加密,保证了数据在网络传输中的安全;3、远程管理终端上有进行管理授权的USB KEY。和单纯的口令认证相比,USB KEY的安全性大大加强,在本专利技术中可以结合口令+USB KEY双重认证方式实现用户的认证。基于以上,本专利技术可确保对采用BMC/SMC进行管理的云计算基础设备的安全性提供最高级别的安全保护,对促进安全云计算装备的应用具有重要的意义。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术的一种云计算系统中增强BMC/SMC安全性的方法的系统框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚,下面将结合附图对本专利技术实施方式作进一步地详细描述。实施例一如附图1所示:本专利技术由BMC/SMC管理单元(100)、远程管理终端(105)及USB KEY(106)组成。BMC/SMC管理单元(100)由BMC/SMC处理器(101)、TPM安全可信模块(102)、固件模块(103)、IPSEC加解密模块(104)组成。首先通过TPM安全可信模块(102)对BMC/SMC处理器(101)的固件模块(103)进行可信性方面的度量,确保固件完整性,即固件未经篡改。同时TPM安全可信模块也可以进行身份认证、敏感数据加密存储、内部资源访问授权等。在TPM安全可信模块进行完整性度量完成后则BMC/SMC处理器(101)可以进行正常的启动,实现BMC/SMC的功能。另一方面对于通过网络传递到远程管理终端(105)的数据需要经过IPSEC加解密模块(104)进行加密,以保证数据在网络传输中本文档来自技高网...
【技术保护点】
一种云计算系统中增强BMC/SMC安全性的方法,包括以下步骤:A、TPM安全可信模块对BMC/SMC处理器的固件模块进行可信性方面的度量; B、在TPM安全可信模块进行完整性度量完成后,则BMC/SMC处理器进行正常的启动,另一方面对于通过网络传递到远程管理终端的数据经过IPSEC加解密模块进行加密;使得由BMC/SMC处理器传到远程管理终端的数据进行IPSEC加解密,对于由远程管理终端传递到BMC/SMC处理器的信号则利用IPSEC加解密模块进行相关的解密;C、远程管理终端设置有进行管理授权的USB KEY。
【技术特征摘要】
1.一种云计算系统中增强BMC/SMC安全性的方法,包括以下步骤:
A、TPM安全可信模块对BMC/SMC处理器的固件模块进行可信性方面的度量;
B、在TPM安全可信模块进行完整性度量完成后,则BMC/SMC处理器进行正常的启动,另一方面对于通过网络传递到远程管理终端的数据经过IPSEC加解密模块进行加密;使得由BMC/SMC处理器传到远程管理终端的数据进行IPSEC加解密,对于由远程管理终端传递到BMC/SMC处理器的信号则利用IPSEC加解密模块进行相关的解密;
C、远程管理终端设置有进行管理授权的USB KEY。
2.根据权利要求1所述的一种云计算系统中增强BMC/SMC安全性的方法,其特征在于,所述的步骤A中,TPM安全可信模块同时进行身份认证、敏感数据加密存储、内部资源访问授权的步骤。
3.根据权利要求1所述的一种云计算系统中增强BMC/SMC安全性的方法,其特征在于,所述的步骤B中,如果远程管理终端采用WINDOWS...
【专利技术属性】
技术研发人员:金长新,刘强,高明,
申请(专利权)人:浪潮集团有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。