本发明专利技术提供服务器系统启动的安全度量方法、安全度量装置及服务器。所述服务器系统启动的安全度量方法应用于所述服务器系统的可信平台控制模块,所述方法包括:所述可信平台控制模块在所述服务器系统上电之后最先进行启动;启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。本发明专利技术通过采用可信平台控制模块,有效提高了服务器系统启动的安全性。
【技术实现步骤摘要】
服务器系统启动的安全度量方法、安全度量装置及服务器
本专利技术涉及服务器系统启动
,特别是涉及服务器系统启动的安全度量方法、安全度量装置及服务器。
技术介绍
目前,市场上大部分的服务器机型作为可信计算节点采用的可信防护部件都是TPM(可信平台模块)或者TCM(可信密码模块),TPM或TCM主要提供商用密码算法支撑,实现完整性度量、可信存储及可信报告等功能。现有方法主要存在以下几个瓶颈:一是TPM标准最早是由国外的IT公司提出,目前市场上存在的大部分TPM芯片或模块都被国外的几家公司占据着,国内十二家厂商虽联合推出了TCM标准,但与TPM应用还存在一定的差距;二是不论TPM或是TCM,都只能做到被动地可信防护,只有当应用调用TPM/TCM的密码算法才能发挥作用。
技术实现思路
鉴于以上所述现有技术的缺点,本专利技术的目的在于提供服务器系统启动的安全度量方法、安全度量装置及服务器,用于解决现有技术中TPM或TCM都只能做到被动地可信防护,导致服务器系统启动的安全性难以得到提升的技术问题。为实现上述目的及其他相关目的,本专利技术提供一种服务器系统启动的安全度量方法,应用于所述服务器系统的可信平台控制模块,所述方法包括:所述可信平台控制模块在所述服务器系统上电之后最先进行启动;启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。于本专利技术一实施例中,所述可信平台控制模块包括:预设加密算法和预设可信基;所述可信平台控制模块对所述启动环节进行度量的实现方式包括:获取所述启动环节的相关信息;利用所述预设加密算法对所述相关信息进行加密计算,并将计算结果与所述预设可信基进行比对;若比对结果为一致,则认为所述启动环节安全;反之,则认为所述启动环节不安全。于本专利技术一实施例中,所述可信平台控制模块对所述服务器系统后续的各启动环节进行逐级度量,具体包括:在系统固件启动前,通过SPImaster信号读取的固件信息对所述系统固件进行度量;在BIOS运行后,通过所述BIOS搜集的硬件信息依次对所述服务器系统的硬件、操作系统启动引导文件进行度量;在操作系统运行后,通过后台进程对所述操作系统的自身及应用程序进行度量。于本专利技术一实施例中,所述方法还包括:基于预设启动策略进行判断,若某一所述启动环节的度量结果为不安全,则促使后续的启动环节结束。为实现上述目的及其他相关目的,本专利技术提供一种服务器系统启动的安全度量装置,应用于所述服务器系统的可信平台控制模块,所述装置包括:启动单元,用于实现所述可信平台控制模块在所述服务器系统上电后最先进行启动;度量单元,用于实现启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。于本专利技术一实施例中,所述可信平台控制模块包括:预设加密算法和预设可信基;所述可信平台控制模块对所述启动环节进行度量的实现方式包括:获取所述启动环节的相关信息;利用所述预设加密算法对所述相关信息进行加密计算,并将计算结果与所述预设可信基进行比对;若比对结果为一致,则认为所述启动环节安全;反之,则认为所述启动环节不安全。于本专利技术一实施例中,所述可信平台控制模块对所述服务器系统后续的各启动环节进行逐级度量,具体包括:在系统固件启动前,通过SPImaster信号读取的固件信息对所述系统固件进行度量;在BIOS运行后,通过所述BIOS搜集的硬件信息依次对所述服务器系统的硬件、操作系统启动引导文件进行度量;在操作系统运行后,通过后台进程对所述操作系统的自身及应用程序进行度量。于本专利技术一实施例中,所述度量单元还用于:基于预设启动策略进行判断,若某一所述启动环节的度量结果为不安全,则促使后续的启动环节结束。为实现上述目的及其他相关目的,本专利技术提供一种服务器,包括:可信平台控制模块;其中,所述可信平台控制模块包括所述的服务器系统启动的安全度量装置。如上所述,本专利技术的服务器系统启动的安全度量方法、安全度量装置及服务器,通过采用可信平台控制模块TPCM,一方面实现了对可信节点的主动度量;另一方面,实现了对可信节点的各个环节的安全度量,建立了一条完整的可信链,实现了更加安全的启动过程。附图说明图1显示为本专利技术一实施例中TPCM模块在服务器中的安装位置示意图。图2显示为本专利技术一实施例中的服务器系统启动的安全度量方法的流程图。图3显示为本专利技术另一实施例中的服务器系统启动的安全度量方法的流程图。图4显示为本专利技术一实施例中的服务器系统启动的安全度量装置的结构图。具体实施方式以下通过特定的具体实例说明本专利技术的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本专利技术的其他优点与功效。本专利技术还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本专利技术的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。需要说明的是,以下实施例中所提供的图示仅以示意方式说明本专利技术的基本构想,遂图示中仅显示与本专利技术中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。鉴于现有技术中TPM或TCM都只能做到被动地可信防护,导致服务器系统启动的安全性难以得到提升,本申请提出在可信防护上采用具有完全中国自主知识产权的国有标准TPCM(可信平台控制模块)实现更加安全的启动过程。如图1所示,显示为本实施例的服务器架构,与一般服务器架构不同的是,本实施例的服务器中包含一TPCM模块,该TPCM模块连接于集成南桥PCH的SPI接口。如图2所示,显示为本实施例中的服务器系统启动的安全度量方法,该方法由图1中的TPCM模块负责执行,包括以下步骤:S21:所述可信平台控制模块在所述服务器系统上电之后最先进行启动;S22:启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。具体的,所述可信平台控制模块包括:预设加密算法和预设可信基。其中,预设加密算法优选为TPCM国标里本身规定的哈希算法,采用TPCM标准里规定的加密算法而非其它加密算法,其好处在于不破坏现有TPCM本身,从而保证了TPCM的可靠性,进而确保了本方法的有效性。TPCM国标中对“可信基”亦有介绍,本申请中预设可信基的建立以BIOS初始化时搜集并发给TPCM的相关信息为准,TPCM将这些信息加密生成的结果作为预设可信基,其应当是不变的。当服务器系统遭遇人为破坏或黑客入侵等问题时,才会导致相关信息被强行修改,根据修改后的相关信息加密生成的结果就不再与预设可信基保持一致。所述可信平台控制模块对所述启动环节进行度量的实现方式包括:首先,获取所述启动环节的相关信息;其次,利用所述预设加密算法对所述本文档来自技高网...
【技术保护点】
1.一种服务器系统启动的安全度量方法,其特征在于,应用于所述服务器系统的可信平台控制模块,所述方法包括:/n所述可信平台控制模块在所述服务器系统上电之后最先进行启动;/n启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。/n
【技术特征摘要】
1.一种服务器系统启动的安全度量方法,其特征在于,应用于所述服务器系统的可信平台控制模块,所述方法包括:
所述可信平台控制模块在所述服务器系统上电之后最先进行启动;
启动后的所述可信平台控制模块对所述服务器系统后续的各启动环节分别进行度量,以识别各所述启动环节的安全性,并予以记录。
2.根据权利要求1所述的安全度量方法,其特征在于,所述可信平台控制模块包括:预设加密算法和预设可信基;所述可信平台控制模块对所述启动环节进行度量的实现方式包括:
获取所述启动环节的相关信息;
利用所述预设加密算法对所述相关信息进行加密计算,并将计算结果与所述预设可信基进行比对;
若比对结果为一致,则认为所述启动环节安全;反之,则认为所述启动环节不安全。
3.根据权利要求1所述的安全度量方法,其特征在于,所述可信平台控制模块对所述服务器系统后续的各启动环节进行逐级度量,具体包括:
在系统固件启动前,通过SPImaster信号读取的固件信息对所述系统固件进行度量;
在BIOS运行后,通过所述BIOS搜集的硬件信息依次对所述服务器系统的硬件、操作系统启动引导文件进行度量;
在操作系统运行后,通过后台进程对所述操作系统的自身及应用程序进行度量。
4.根据权利要求3所述的安全度量方法,其特征在于,还包括:基于预设启动策略进行判断,若某一所述启动环节的度量结果为不安全,则促使后续的启动环节结束。
5.一种服务器系统启动的安全度量装置,其特征在于,应用于所述服务器系统的可信平台控制模块,所述装...
【专利技术属性】
技术研发人员:黄威,曲忠英,
申请(专利权)人:英业达科技有限公司,英业达股份有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。