本发明专利技术提出了一种基于TPM服务器资产信息多层保护的装置,包括:BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM,所述BMC通过PCH、CPU获取接入设备的第一验证信息,第一TPM用于验证接入设备的第一验证信息;所述BIOS获取接入设备的第二验证信息以及第三验证信息,所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息;其中,第一验证信息验证通过后执行第二验证信息的验证,第二验证信息验证通过后执行第三验证信息的验证,本发明专利技术还提出了一种基于TPM服务器资产信息多层保护的方法,可以对当前接入的设备型号进行甄别,有效的保护当前服务器的完整性、安全性以及可靠性。
【技术实现步骤摘要】
一种基于TPM服务器资产信息多层保护的装置及方法
本专利技术涉及服务器资产信息保护领域,尤其是涉及一种基于TPM服务器资产信息多层保护的装置及方法。
技术介绍
随着信息技术的不断发展,目前大多数的服务器都已支持TPM(TrustedPlatformModule,可信赖平台模块),旨在对系统安全性进行保护。TPM为一种独立产生密钥以进行资料的加密解密的装置或元件,可有效的避免计算机装置或服务器装置的资料被非法用户存取。TPM是由可信计算组织(TrustedComputingGroup)定义的可信芯片,其内部使用非对称加密算法,用以提供计算机装置或服务器装置的基本安全性相关功能。TPM包含TPM1.2和TPM2.0,TPM1.2使用I2C协议,在服务器上一般与BMC(基板管理控制器)相连,TPM2.0使用SPI(SerialPerripheralInterface,串行外围设备接口)协议,一般与BIOS(基本输入/输出系统)进行交互。二者既可单独使用,也可相辅相成,通过固件的配置,可对系统实现多方面的安全保护。一般情况下,对于服务器硬件设备来说,TPM只会对设备的接入情况进行验证,确认已接入的设备是否异常丢失,并不会更进一步对设备进行区分,在目前设计中,一般是TPM1.2芯片与BMC连接,从而对接入设备的接入状态进行验证;TPM2.0与BIOS连接,从而确认开机过程中是否存在设备异常丢失或遭到恶意破坏的现象,保护当前系统的完整性。但是现有技术缺点一方面是无法对当前接入的设备型号进行甄别,也无法避免同型号设备替换的问题;另一方面,现有技术中主要是针对接入设备进行单一验证,并不能实现接入设备的多层次保护,不利于服务器资产信息的立体化、全方面的保护。
技术实现思路
本专利技术为了解决现有技术中存在的问题,创新提出了一种基于TPM服务器资产信息多层保护的装置及方法,有效解决由于现有技术造成服务器资产信息不能多层次保护的问题,有效的提高的服务器资产信息保护的可靠性。本专利技术第一方面提供了一种基于TPM服务器资产信息多层保护的装置,包括:BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM,所述BMC的数据读取端与PCH连接,用于通过PCH、CPU获取接入设备的第一验证信息,所述BMC的数据通信端与第一TPM的验证通信端连接,所述第一TPM用于验证接入设备的第一验证信息;所述BIOS的数据读取端与PCH连接,获取接入设备的第二验证信息以及第三验证信息,所述BIOS的数据通信端与第二TPM的验证通信端连接,所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息;所述PCH的第一使能控制端与BIOS的使能端连接,第二使能控制端与第二TPM的使能端连接;其中,第一验证信息验证通过后执行第二验证信息的验证,第二验证信息验证通过后执行第三验证信息的验证。可选地,所述接入设备包括内存和/或PCIE设备。可选地,第一验证信息为接入设备的在位信息以及spec信息,第二验证信息为接入设备的SN号,第三验证信息为接入设备的驱动信息。可选地,BIOS的数据读取端与数据通信端共用一个端口,即BIOS与第二TPM共用一路SPI线路,通过改变SPI线路的频率选择BIOS的通信对象。本专利技术第二方面提供了一种基于TPM服务器资产信息多层保护的方法,基于本专利技术第一方面所述的基于TPM服务器资产信息多层保护的装置的基础上实现的,具体包括:BMC获取接入设备的第一验证信息,调用第一TPM验证接入设备的第一验证信息,如果验证通过,服务器系统正常开机,如果验证不通过,服务器系统不能正常开机;BIOS获取接入设备的第二验证信息以及第三验证信息,调用第二TPM验证接入设备的第二验证信息,如果验证通过,则调用第二TPM验证接入设备的第三验证信息,如果验证不通过,则进行接入设备的第一验证信息的验证;第二TPM验证接入设备的第三验证信息,则服务器系统正常开机,如果验证不通过,则进行接入设备的第一验证信息的验证。可选地,第一验证信息为接入设备的在位信息以及spec信息,第二验证信息为接入设备的SN号,第三验证信息为接入设备的驱动信息。进一步地,第一验证信息的验证具体是:第一TPM将获取的接入设备的在位信息,如果接入设备在位,继续验证接入设备的spec信息与预先存储的spec信息对比是否一致,如果一致,则第一验证信息验证通过,如果不一致,则第一验证信息验证失败。可选地,第二验证信息的验证具体是:第二TPM将获取的接入设备的第二验证信息与预先存储的第二验证信息对比是否一致,如果一致,则第二验证信息验证通过,如果不一致,则第二验证信息验证失败。可选地,第三验证信息的验证具体是:第二TPM将获取的接入设备的驱动的版本号与预先存储的接入设备的驱动的版本号对比是否一致,如果一致,则继续验证接入设备的驱动程序是否能够执行,如果能够执行,则第三验证信息验证通过,如果不能执行或对比不一致,则第三验证信息验证失败。可选地,当验证信息失败时,再次进入系统时需要输入密钥。本专利技术采用的技术方案包括以下技术效果:1、本专利技术有效解决由于现有技术造成服务器资产信息不能多层次保护的问题,可以对当前接入的设备型号进行甄别,避免同型号设备替换的问题,确保当前接入设备不会变更和破坏,从而更有效的保护当前服务器的完整性、安全性以及可靠性。2、本专利技术中BIOS与第二TPM共用一路SPI线路,通过改变SPI线路的频率选择BIOS的通信对象,可以实现BIOS的数据读取端与数据通信端共用一个端口。3、本专利技术第一验证信息、第二验证信息、第三验证信息依次验证,并且任一验证失败时,需要重新进行验证,保证了服务器资产信息的多层次保护。4、本专利技术技术方案中当验证信息失败时,再次进入系统时需要输入密钥,进一步地提高了服务器资产信息保护的可靠性。应当理解的是以上的一般描述以及后文的细节描述仅是示例性和解释性的,并不能限制本专利技术。附图说明为了更清楚说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单介绍,显而易见的,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术方案中实施例一装置的结构示意图;图2为本专利技术方案中实施例二方法的流程示意图;图3为本专利技术方案中实施例二方法中步骤S11的流程示意图;图4为本专利技术方案中实施例二方法中步骤S15的流程示意图;图5为本专利技术方案中实施例二方法中步骤S17的流程示意图;图6为本专利技术方案中实施例三方法的流程示意图。具体实施方式为能清楚说明本方案的技术特点,下面通过具体实施方式,并结合其附图,对本专利技术进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本专利技术的不同结构。为了简化本专利技术的公开,下文中对特定例子的部件和设置进行描述。此外,本专利技术可以在不同例本文档来自技高网...
【技术保护点】
1.一种基于TPM服务器资产信息多层保护的装置,其特征是,包括:BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM,所述BMC的数据读取端与PCH连接,用于通过PCH、CPU获取接入设备的第一验证信息,所述BMC的数据通信端与第一TPM的验证通信端连接,所述第一TPM用于验证接入设备的第一验证信息;所述BIOS的数据读取端与PCH连接,获取接入设备的第二验证信息以及第三验证信息,所述BIOS的数据通信端与第二TPM的验证通信端连接,所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息;所述PCH的第一使能控制端与BIOS的使能端连接,第二使能控制端与第二TPM的使能端连接;其中,第一验证信息验证通过后执行第二验证信息的验证,第二验证信息验证通过后执行第三验证信息的验证。/n
【技术特征摘要】
1.一种基于TPM服务器资产信息多层保护的装置,其特征是,包括:BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM,所述BMC的数据读取端与PCH连接,用于通过PCH、CPU获取接入设备的第一验证信息,所述BMC的数据通信端与第一TPM的验证通信端连接,所述第一TPM用于验证接入设备的第一验证信息;所述BIOS的数据读取端与PCH连接,获取接入设备的第二验证信息以及第三验证信息,所述BIOS的数据通信端与第二TPM的验证通信端连接,所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息;所述PCH的第一使能控制端与BIOS的使能端连接,第二使能控制端与第二TPM的使能端连接;其中,第一验证信息验证通过后执行第二验证信息的验证,第二验证信息验证通过后执行第三验证信息的验证。
2.根据权利要求1所述的基于TPM服务器资产信息多层保护的装置,其特征是,所述接入设备包括内存和/或PCIE设备。
3.根据权利要求1所述的基于TPM服务器资产信息多层保护的装置,其特征是,第一验证信息为接入设备的在位信息以及spec信息,第二验证信息为接入设备的SN号,第三验证信息为接入设备的驱动信息。
4.根据权利要求1所述的基于TPM服务器资产信息多层保护的装置,其特征是,BIOS的数据读取端与数据通信端共用一个端口,即BIOS与第二TPM共用一路SPI线路,通过改变SPI线路的频率选择BIOS的通信对象。
5.一种基于TPM服务器资产信息多层保护的方法,其特征是,基于权利要求1-4任一所述的基于TPM服务器资产信息多层保护的装置的基础上实现的,具体包括:
BMC获取接入设备的第一验证信息,调用第一TPM验证接入设备的第一验证信息,如果验证通过,服务器系统正常开机,如果验证不通过,服务器系统不能正常开机;
...
【专利技术属性】
技术研发人员:叶明洋,王鹏,张敏,杨德晓,付水论,
申请(专利权)人:苏州浪潮智能科技有限公司,
类型:发明
国别省市:江苏;32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。