本发明专利技术提供了一种基于IPMI加密模块的安全方法和系统,远程控制端实现对待传输的IPMI消息进行消息封装打包,实现对消息询问是否加密处理,若需要加密,则进行加密处理,标注为第一加密类型,若不需要加密,则标注为第二加密类型;实现对消息的网络传输;服务器端实现对所述消息的接收以及消息进行分类处理,若消息包括第一加密类型,则触发消息解密,若消息包括第二加密类型,则触发消息传输;根据解密机制,实现对消息的解密,若解密成功,则触发消息传输,若解密不成功,则触发锁定自毁;实现IPMI消息传输锁定。本发明专利技术采用加解密单元,多次输入错误时将锁住IPMI传输,必要时可启用自毁功能,实现IPMI智能管理平台的安全性。
【技术实现步骤摘要】
基于IPMI加密模块的安全方法和系统
本专利技术涉及IPMI智能管理平台领域,具体地,涉及基于IPMI加密模块的安全方法和系统。
技术介绍
IPMI是指智能型平台管理接口,是由Intel、HP、Dell、NEC四家公司制定的,能够在单一的控制台上管理不同软、硬件平台的服务器的外围设备的一套接口规范。通过IPMI规范,系统管理人员可以有效监控服务器物理健康特征,如电源、风扇、温度、CPU、内存及硬盘等各个部件的工作状态等。IPMI由BMC系统核心、SDR、SEL、FRU、ICMB、IPMB子系统构成。BMC指基板管理控制器,是IPMI的控制和管理的核心,在完全单独的芯片上实现,独立于服务器的CPU、BIOS或操作系统,可以提供远程检测、管理和恢复功能,是一个单独在系统内运行的无代理管理子系统,提供了一个系统底层硬件和上层管理软件交互的中间层,通过采集各个传感器信息并转换为相同的消息格式发送给不同的控制器和管理软件,同时把从系统内部总线、网络、串口及调制解调器等不同信息通道接收的控制命令发送给相应的控制器,从而实现在异构软、硬件平台上的远程管理。SDR指传感器数据库,包含了系统中所有传感器的信息,在每个单独的SDR中包含了把传感器读数转化为标准单位的公式和系数;IPM会将采集到的系统状态信息作为系统事件日志存储到SEL中;IPMI还支持FRU的存储与访问,系统可以将存在于主板上的各个系统组件的信息存储到FRU当中。IPM标准为实现跨平台系统的管理提供了IPMB接口和ICMB接口,分别和不同服务器之间通讯。IPMB基于I2C标准实现,用于实现主板上不同组件之间的通信。ICMB接口则主要用于实现不同服务器之间的通信。通过IPMB和ICMB接口,IPMI标准真正实现了对软、硬件异构的系统的访问和管理。IPMI标准自1998年提出以来,已经得到了170多家供应商的支持,这使得其逐渐成为一个完整的包括服务器和其他系统(如存储设备、网络和通信设备)的硬件管理规范,目前该标准最新的版本为IPMI2.0,该版本在原有的基础上有了不少的改进,包括可以通过串口、modem以及LAN等远程环境管理服务器系统(包括远程开关机)。而随着IT技术的快速发展,数据中心规模逐渐扩大,体系结构越来越复杂,在给人们带来便利的同时,也给运维管理增加了难度。为了保证系统稳定运行以及故障及时修复,高效维护数据中心,IPMI智能管理平台广泛应用于跨平台集中管理,并得到了飞速发展。但同时,其安全性成为IPMI智能管理平台的至关重要的一个因素。IPMI接口提供了对服务器全方位的操控能力,但是IPMI协议中RAKP使用的SHA1进行秘钥哈希运算问题,是一个已知的并且广泛存在的问题。我们只能通过禁用IPMI的远程访问来绕过它,但是如果出于对远程控制的需求,各大厂商引入NET来替代IPMI的远程访问。引入NET就引入了安全问题,如中间人攻击,证书伪造,跨站攻击,脚本注入,DDOS等,安全问题也变得日益严峻。其通信一旦被窃取,更改,植入木马等,将对企业的信息安全造成不可估量的损失,因此更需要能够提供对IPMI的全方面防护。专利文献CN107248932A公开了一种基于IPMI协议的远程服务器自动保护,涉及远程管理服务器领域采用IPMI协议,远程实时采集服务器系统相关工作状态参数,根据实际情况设置各个工作状态参数的工作门限值,通过将实时的工作状态参数与设置的工作门限值进行对比分析,判断工作状态参数是否达到设置门限,是则相应进行自动处理操作,否则继续采集工作状态参数进行周期判断。该专利提出一种远程控制服务器的自动保护方法,该管理基于IPMI协议,安全方法涉及监测服务器状态,若异常则进行自动处理。专利文献CN107566140A公开了一种基于IPMI的远程升级方法及系统,涉及网络设备
,该方法包括建立智能平台管理接口IPMI与待升级设备之间的连接,所述待升级设备包括第一操作维护实体和第二操作维护实体通过接口对所述第一操作维护实体执行下电操作,并升级所述第二操作维护实体判断升级后的所述待升级设备是否运行正常,若是,则使所述第一操作维护实体与所述第二操作维护实体自动同步到升级后的版本若升级后的所述待升级设备运行不正常,则返回到升级前的版本,本专利技术实施例通过增加IPMI接口,基于现有的升级流程,达到自动远程升级的目的,且在升级失败的时候轻松恢复到升级前的版本。该专利提出一种基于IPMI远程控制服务器的方法,该管理基于基于IPMI协议,建立智能平台管理接口IPMI与待升级设备之间的连接,增加IPMI接口,基于现有的升级流程,达到自动远程升级的目的,且在升级失败的时候轻松恢复到升级前的版本。上述两篇专利文献均未涉及加解密的安全机制,未对传输的信息进行加密,未在服务器端使用解密模块解密,未设置密码来实现加解密,且没有自毁功能。
技术实现思路
针对现有技术中的缺陷,本专利技术的目的是提供一种基于IPMI加密模块的安全方法和系统。根据本专利技术提供的一种基于IPMI加密模块的安全方法包括以下步骤:IPMI消息封装步骤:对待传输的IPMI消息进行消息封装打包,记为第一格式消息;消息加密步骤:询问第一格式消息是否需要加密处理,根据询问结果得到第二格式消息,若需要加密,则对第一格式消息进行加密处理,将所述第二格式消息标注为第一加密类型,若不需要加密,则将所述第二格式消息标注为第二加密类型;消息发送步骤:对第二格式消息进行网络传输。优选地,基于IPMI加密模块的安全方法还包括以下步骤:消息接收步骤:接收所述第二格式消息;消息类型分类步骤:对所述第二格式消息进行分类处理,若第二格式消息被标注为第一加密类型,则触发消息解密步骤进行执行,若第二格式消息被标注为第二加密类型,则触发消息传输;消息解密步骤:根据解密机制,对第二格式消息进行解密,若解密成功,则触发消息传输,若解密不成功,则触发锁定自毁步骤进行执行;锁定自毁步骤:实现IPMI消息传输锁定。根据本专利技术提供的一种基于IPMI加密模块的安全系统,包括以下模块:IPMI消息封装模块:实现对待传输的IPMI消息进行NET消息封装打包,记为第一格式消息;消息加密模块:实现对第一格式消息询问是否加密处理,得到第二格式消息,若需要加密,则进行加密处理,标注为第一加密类型,若不需要加密,则标注为第二加密类型;消息发送模块:实现对第二格式消息的网络传输。优选地,基于IPMI加密模块的安全系统还包括以下模块:消息接收模块:实现对所述第二格式消息的接收;消息类型分类模块:对所述第二格式消息进行分类处理,若第二格式消息包括第一加密类型,则触发消息解密,若第二格式消息包括第二加密类型,则触发消息传输;消息解密模块:根据解密机制,实现对第二格式消息的解密,若解密成功,则触发消息传输,若解密不成功,则触发锁定自毁;锁定自毁模块:实现IPMI消息传输锁定。优选地,所述网络传输为对IPMI消息使用NET协议封装为IPMILAN消息,采用UDP方式通过远程IP网络发送和接收。优选地,所述解密机制是设定允许密码输入错误的设定值,若输入密码错误次数超过设定值,则解密不成功,若输入正确密码或者输入密码错误次数未超过设定值且最后一次输入正确密码,则解密成功。与现有技术相比,本发本文档来自技高网...
【技术保护点】
1.一种基于IPMI加密模块的安全方法,其特征在于,包括以下步骤:IPMI消息封装步骤:对待传输的IPMI消息进行消息封装打包,记为第一格式消息;消息加密步骤:询问第一格式消息是否需要加密处理,根据询问结果得到第二格式消息,若需要加密,则对第一格式消息进行加密处理,将所述第二格式消息标注为第一加密类型,若不需要加密,则将所述第二格式消息标注为第二加密类型;消息发送步骤:对第二格式消息进行网络传输。
【技术特征摘要】
1.一种基于IPMI加密模块的安全方法,其特征在于,包括以下步骤:IPMI消息封装步骤:对待传输的IPMI消息进行消息封装打包,记为第一格式消息;消息加密步骤:询问第一格式消息是否需要加密处理,根据询问结果得到第二格式消息,若需要加密,则对第一格式消息进行加密处理,将所述第二格式消息标注为第一加密类型,若不需要加密,则将所述第二格式消息标注为第二加密类型;消息发送步骤:对第二格式消息进行网络传输。2.根据权利要求1所述的基于IPMI加密模块的安全方法,其特征在于,还包括以下步骤:消息接收步骤:接收所述第二格式消息;消息类型分类步骤:对所述第二格式消息进行分类处理,若第二格式消息被标注为第一加密类型,则触发消息解密步骤进行执行,若第二格式消息被标注为第二加密类型,则触发消息传输;消息解密步骤:根据解密机制,对第二格式消息进行解密,若解密成功,则触发消息传输,若解密不成功,则触发锁定自毁步骤进行执行;锁定自毁步骤:实现IPMI消息传输锁定。3.一种基于IPMI加密模块的安全系统,其特征在于,包括以下模块:IPMI消息封装模块:实现对待传输的IPMI消息进行NET消息封装打包,记为第一格式消息;消息加密模块:实现对第一格式消息询问是否加密处理,得到第二格式消息,若...
【专利技术属性】
技术研发人员:张玥,李雪峰,刘世龙,郭怀号,姬叶华,邹志强,刘晓梅,王龙,张曙辉,
申请(专利权)人:华东计算技术研究所中国电子科技集团公司第三十二研究所,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。