The embodiment of the present invention provides a method and device for controlling the trusted startup of a server. The method includes: if the BIOS integrity benchmark value of the target server exists in the BMC Flash of the target server, the benchmark value in BMC Flash is decrypted based on SM4 symmetric cryptographic algorithm, and the decrypted benchmark value is obtained; in which, the integrity benchmark value is pre-generated by the complete generation of BIOS. The measurement of code block is obtained; the current execution code block of BIOS in the target server is calculated based on SM3 hash algorithm to obtain the measurement of current execution code block; if the measurement of current execution code block is the same as the decrypted benchmark value, the BMC in the target server is used to boot BIOS. The embodiment of the invention has simple method, can effectively guarantee the credibility of BIOS when it is started, can keep the original hardware structure of BIOS unchanged without any additional hardware overhead, and has universal adaptability.
【技术实现步骤摘要】
控制服务器可信启动的方法及装置
本专利技术实施例属于计算机安全
,更具体地,涉及一种控制服务器可信启动的方法及装置。
技术介绍
如今计算机系统已广泛应用于人们的日常生活中。计算机的启动过程是首先运行BIOS(BasicInputOutputSystem,基本输入输出系统),对计算机系统进行检测和配置,然后装载操作系统并运行底层固件。计算机中的BIOS通常存储在闪存这种非易失性存储容器中,而BIOS常常是病毒、黑客攻击的对象。与此同时,服务器作为一种大型计算机,其BIOS面临着安全问题,随着大数据和云计算的到来,BIOS的安全问题尤为突出。BIOS的安全威胁分为内部威胁和外部威胁。内部威胁如BIOS功能障碍、配置漏洞、信息泄露等。外部威胁如BIOS物理攻击、BIOS恶意代码嵌入等,其攻击方式是通过执行代码修改BIOS,从而造成BIOS或操作系统被破坏。BIOS功能故障、信息泄露等内部威胁属于正常程序或软件模块存在的缺陷,而外部威胁通过破坏BIOS代码或数据完整性对BIOS系统和计算机系统进行攻击和破坏则为异常缺陷。目前通常基于可信度量的方式检测BIOS完整性故...
【技术保护点】
1.一种控制服务器可信启动的方法,其特征在于,包括:若目标服务器的BMC Flash中存在所述目标服务器的BIOS完整性基准值,则基于SM4对称密码算法对所述BMC Flash中的基准值进行解密运算,获取解密后的基准值;其中,所述BMC Flash中的完整性基准值通过预先对所述目标服务器中BIOS的完整代码块进行度量获取;基于SM3杂凑算法对所述目标服务器中BIOS的当前执行代码块进行运算,获取所述当前执行代码块的度量值;若所述当前执行代码块的度量值与所述解密后的基准值相同,则使用所述目标服务器中的BMC引导所述BIOS启动。
【技术特征摘要】
1.一种控制服务器可信启动的方法,其特征在于,包括:若目标服务器的BMCFlash中存在所述目标服务器的BIOS完整性基准值,则基于SM4对称密码算法对所述BMCFlash中的基准值进行解密运算,获取解密后的基准值;其中,所述BMCFlash中的完整性基准值通过预先对所述目标服务器中BIOS的完整代码块进行度量获取;基于SM3杂凑算法对所述目标服务器中BIOS的当前执行代码块进行运算,获取所述当前执行代码块的度量值;若所述当前执行代码块的度量值与所述解密后的基准值相同,则使用所述目标服务器中的BMC引导所述BIOS启动。2.根据权利要求1所述的方法,其特征在于,若目标服务器的BMCFlash中存在所述目标服务器的BIOS基准值,则基于SM4对称密码算法对所述BMCFlash中的BIOS基准值进行解密运算,得到解密后的基准值的步骤还包括:若所述BMCFlash中不存在所述BIOS基准值,则基于所述SM3杂凑算法对所述目标服务器中BIOS的备份代码块进行运算,获取所述BIOS的备份代码块的度量值,将所述备份代码块的度量值作为所述BIOS的基准值;基于所述SM4对称密码算法对所述基准值进行加密运算,获取加密后的基准值;将所述加密后的基准值存储到所述BMCFlash中。3.根据权利要求2所述的方法,其特征在于,基于所述SM4对称密码算法对所述基准值进行加密运算,获取加密后的基准值的步骤具体包括:基于所述SM4对称密码算法生成SM4加密密钥和SM4解密密钥;根据管理员输入的所述SM4加密密钥,使用所述SM4对称密码算法对所述BMCFlash中的BIOS基准值进行加密运算,获取加密后的基准值;相应地,基于SM4对称密码算法对所述BMCFlash中的基准值进行解密运算,获取解密后的基准值的步骤具体包括:根据管理员输入的所述SM4解密密钥,使用所述SM4对称密码算法对所述BMCFlash中的基准值进行解密运算,获取解密后的基准值。4.根据权利要求1-3任一所述的方法,其特征在于,若所述当前执行代码块的度量值与所述解密后的基准值相同,则使用所述目标服务器中的BMC引导所述BIOS启动的步骤还包括:若所述当前执行代码块的度量值与所述解密后的基准值不相同,则显示当前所述BIOS不可信的信息,并停止所述目标服务器的启动。5...
【专利技术属性】
技术研发人员:王海洋,
申请(专利权)人:北京华胜天成信息技术发展有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。