本发明专利技术公开了一种系统数据的监控与保护方法,包括以下步骤:在PECI总线上装载CPLD;基于BMC在CPLD中建立并实时更新白名单列表;CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。本发明专利技术还公开了一种系统数据的监控与保护装置。本发明专利技术的方案可以有效地避免CPU寄存器被篡改的风险,提高服务器设计的安全性。
A method and device for monitoring and protecting system data
【技术实现步骤摘要】
一种系统数据的监控与保护方法和装置
本专利技术涉及计算机
,更具体地,特别是指一种系统数据的监控与保护方法及装置。
技术介绍
平台环境控制接口(PlatformEnvironmentControlInterface,PECI)是Intel提出的数字接口,是CPU与系统监控设备之间的专用单线型总线,在目前的服务器设计中,主要应用于基板管理控制器(BaseboardManagementController,BMC)与CPU之间,是一种host-device(即主机-设备)的架构应用,BMC可以通过PECI总线读取CPU温度及相关设备信息,也可以配置电源和散热管理的阈值参数,从而实现服务器主板的电源管理和温度控制。PECI总线的数据读写包含GetTemp(),RdPkgConfig(),WrPkgConfig()等指令,每条指令可以读写CPU相关寄存器值。当系统被入侵后,通过PECI指令可以修改CPU寄存器数值,从而会导致系统崩溃。因此,如何能够有效地避免CPU寄存器被篡改的风险,提高服务器设计的安全性,是一个亟待解决的问题。
技术实现思路
有鉴于此,本专利技术实施例的目的在于提出一种系统数据的监控与保护方法和装置,可以有效地解决服务器系统被恶意入侵时,随意篡改CPU寄存器导致的系统瘫痪的问题。基于上述目的,本专利技术一方面提供了一种系统数据的监控与保护方法,其中,该方法包括以下步骤:在PECI总线上装载CPLD;基于BMC在CPLD中建立并实时更新白名单列表;r>CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。根据本专利技术的系统数据的监控与保护方法的实施例,其中,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:在BMC通过PECI指令写CPU内部寄存器之前,BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;在PECI指令写CPU内部寄存器执行完成后,BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。根据本专利技术的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:CPLD解析PECI总线传输的数据,获取设备地址和命令。根据本专利技术的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:将设备地址和命令与白名单列表中的白名单数据对比。根据本专利技术的系统数据的监控与保护方法的实施例,其中,将设备地址和命令与白名单列表中的白名单数据对比进一步包括:响应于设备地址和命令与白名单数据匹配,CPLD不干预PECI总线的数据传输;响应于设备地址和命令与白名单数据不匹配,CPLD控制PECI总线终止数据传输,并对设备实施停止指令。根据本专利技术的系统数据的监控与保护方法的实施例,其中,CPLD控制PECI总线终止数据传输,并对设备实施停止指令进一步包括:响应于对设备实施停止指令完成,CPLD控制PECI总线恢复数据传输功能并继续传输其他设备的数据。根据本专利技术的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:FCS对传输的数据进行校验。另一方面,本专利技术还提供了一种系统数据的监控与保护装置,包括:处理器;以及控制器,装置在运行时执行以下步骤:在PECI总线上装载CPLD;基于BMC在CPLD中建立并实时更新白名单列表;CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。根据本专利技术的系统数据的监控与保护装置的实施例,其中,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:在BMC通过PECI指令写CPU内部寄存器之前,BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;在PECI指令写CPU内部寄存器执行完成后,BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。根据本专利技术的系统数据的监控与保护装置的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:CPLD解析PECI总线传输的数据,获取设备地址和命令。本专利技术至少具有以下有益技术效果:CPLD内部建立白名单列表,并监控PECI总线数据,当PECI写操作指令与白名单列表不匹配时,CPLD发送停止指令终止写操作,保证CPU寄存器数据不被恶意修改;BMC通过I2C实时更新CPLD内部白名单列表,当需要PECI指令写CPU寄存器时,将对应的设备地址和命令更新到CPLD内部白名单列表,写操作执行完后,BMC从白名单中删除对应的设备地址和命令。可以有效地解决服务器系统被恶意入侵时,随意篡改CPU寄存器导致的系统瘫痪问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。图1示出了根据现有技术中的PECI设计示意图;图2示出了根据本专利技术的系统数据的监控与保护方法的实施例的示意性框图;图3示出了根据本专利技术的系统数据的监控与保护方法的实施例的结构示意图;图4示出了根据本专利技术的系统数据的监控与保护方法的实施例的PECI读写数据格式示意图;图5示出了根据本专利技术的系统数据的监控与保护方法的实施例的CPLD监控方案流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本专利技术实施例进一步详细说明。需要说明的是,本专利技术实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本专利技术实施例的限定,后续实施例对此不再一一说明。图1示出了根据现有技术中的PECI设计示意图。如图1所示,现有的服务器主板设计中,BMC通过PECI总线与CPU进行通信,BMC作为PECI总线的主机进行数据通信,CPU作为设备,BMC通过PECI总线读写CPU内部寄存器的数值。其中一个BMC可以同时与多个CPU进行数据传递,如图所示EMC通过PECT与CPU0和CPU1同时进行数据传递。BMC通过指令可以对CPU寄存器进行读写,但是当服务器系统被入侵时,通过控制BMC进行指令控制,可以随意修改CPU内部寄存器数值,当CPU内部寄存器被恶意篡改时,会导致系统崩溃,使服务器无法正常工作。图2示出了根据本专利技术的系统数据的监控与保护方法的实施例的示意性框图。在如图2所示的实施例中,该方法至少包本文档来自技高网...
【技术保护点】
1.一种系统数据的监控与保护方法,其特征在于,包括:/n在PECI总线上装载CPLD;/n基于BMC在所述CPLD中建立并实时更新白名单列表;/n所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输。/n
【技术特征摘要】
1.一种系统数据的监控与保护方法,其特征在于,包括:
在PECI总线上装载CPLD;
基于BMC在所述CPLD中建立并实时更新白名单列表;
所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输。
2.根据权利要求1所述的系统数据的监控与保护方法,其特征在于,所述基于BMC在所述CPLD中建立并实时更新白名单列表进一步包括:
在所述BMC通过PECI指令写CPU内部寄存器之前,所述BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在所述PECI指令写CPU内部寄存器执行完成后,所述BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。
3.根据权利要求1所述的系统数据的监控与保护方法,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
所述CPLD解析PECI总线传输的数据,获取所述设备地址和命令。
4.根据权利要求3所述的系统数据的监控与保护方法,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
将所述设备地址和所述命令与所述白名单列表中的白名单数据对比。
5.根据权利要求4所述的系统数据的监控与保护方法,其特征在于,所述将所述设备地址和所述命令与所述白名单列表中的白名单数据对比进一步包括:
响应于所述设备地址和所述命令与所述白名单数据匹配,所述CPLD不干预所述PECI总线的所述数据传输;
响应于所述设备地址和所述命令与所述白名单数据不匹配,所述CPLD控制所述PECI总...
【专利技术属性】
技术研发人员:陈占良,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。