基于对安全协处理器的背书信息的分析确定是否对计算设备执行动作制造技术

本公开涉及基于对安全协处理器的背书信息的分析确定是否对计算设备执行动作。本文公开的示例涉及一种计算设备，所述计算设备包括中央处理单元、与所述中央处理单元分离的管理控制器、以及安全协处理器。所述管理控制器被使用辅助电力轨进行供电，所述辅助电力轨在所述计算设备处于辅助电力状态时向所述管理控制器提供电力。所述安全协处理器包括设备唯一数据。所述管理控制器接收所述设备唯一数据并且将表示存储在安全位置。在之后的时间，所述管理控制器从所述安全协处理器的预期位置接收背书信息。所述管理控制器基于对所述背书信息以及所存储的所述设备唯一数据的表示的分析来确定是否对所述计算设备执行动作。

【技术实现步骤摘要】
基于对安全协处理器的背书信息的分析确定是否对计算设备执行动作
技术介绍
服务提供商和制造商面临着例如通过提供安全计算系统向消费者传递质量和值的挑战。数据中心是用于容纳计算机网络、计算机系统以及相关联的部件(如电信系统和存储系统)的设施。数据中心中的设备可以呈安装在机架箱中的服务器的形式。附图说明以下具体描述参考附图，在附图中：图1和图2是根据各种示例的计算设备的框图；图3是根据示例的用于基于对背书信息以及所存储的对于安全协处理器而言唯一的设备唯一数据的表示的分析来执行动作的方法的流程图；图4是根据示例的能够基于对背书信息以及所存储的对于安全协处理器而言唯一的设备唯一数据的表示的分析来执行动作的管理控制器的框图；图5是根据示例的能够基于对背书信息以及所存储的对于安全协处理器而言唯一的设备唯一数据的表示的分析来执行动作的计算设备的框图。所有附图中，相同的附图标记可以表示相似但不一定相同的元件。附加在一些附图标记上的索引号“N”可以理解为仅指示复数个，并且对于具有这样的索引号“N”的每个附图标记而言可能不一定表示相同的数量。另外，本文中在附图标记在其他地方与索引号一起提及的情况下，这种附图标记在没有索引号的情况下的使用可以集体地或单个地概括指代对应的复数个元件。在另一示例中，可以使用索引号“I”、“M”等来代替索引号N。在所有附图中，相同的附图标记指代相似但不一定相同的元件。附图不一定成比例，并且可以放大一些零件的尺寸以更清楚地图示所示出的示例。此外，附图提供了与描述一致的示例和/或实施方式；然而，描述不限于附图中提供的示例和/或实施方式。具体实施方式在本公开中，除非上下文另外明确指示，否则使用术语“一个/一种(a/an)”或“所述(the)”旨在同样包括复数形式。同样地，当在本公开中使用时，术语“包括(includes/including/comprises/comprising)”、“具有(have/having)”指明存在所陈述的元件，但不排除存在或添加其他元件。为了向最终用户(end-user)提供可靠的平台操作，平台制造商需要使得最终用户能够验证平台的真实性。符合可信计算组织(TrustedComputingGroup)构想的可信平台模块(TPM，TrustedPlatformModule)标准的认证模块或安全协处理器是对于检测平台真实性的一种示例安全解决方案。TPM可以用于检测平台的设备是否是伪造的，例如，所述设备是由未授权方制造的或者以未授权方式制造的。TPM可以用于认证平台的每个设备，例如，检测设备是否由授权方以授权方式制造。在设备的制造期间，设备制造商可以在设备中对签名的制造商身份进行实例化。签名信息存储在TPM中。之后，可以从TPM取得签名信息，以通过检查制造商身份的有效性来验证设备的真实性。TPM可以被实施为符合可信计算组织规范的安全协处理器芯片。在一些示例中，安全协处理器(例如，TPM)可以包括设备唯一数据，比如私有背书密钥。在一些示例中，私有背书密钥是安全协处理器外部不可见的密码密钥。安全协处理器可以使用背书密钥用于加密目的。可以通过使用私有背书密钥对已经利用公共背书密钥加密过的值进行解密来间接地证明拥有所述私有背书密钥。在一些示例中，公共背书密钥可以由安全协处理器提供作为公共证书。在一些示例中，公共背书密钥和/或公共证书可以被认为是对于安全协处理器而言唯一的设备唯一数据。进一步地，在一些示例中，公共证书可以是证明特定平台包括唯一的安全协处理器和特定的平台配置元素的平台证书。然而，一种对保护计算设备的安全协处理器的潜在攻击途径是将安全协处理器替换为填充有(populatedwith)攻击者已知信息的安全协处理器。为了免受这种攻击途径的影响，本文公开的示例涉及一种管理控制器，所述管理控制器在第一时间(例如，在制造或预配(provisioning)期间)向安全协处理器请求并接收设备唯一数据(例如，公共证书)，并且在之后的时间响应于设备唯一数据的使用而执行动作。在一个示例中，在之后的时间，管理控制器可以响应于使用唯一数据对所安装的安全协处理器的分析来确定是否要启动计算设备。因此，在一些示例中，每次启动时，管理控制器可以基于从安全协处理器接收到的设备唯一数据来确定是否要启动。在一些示例中，TPM是只能通过使用明确定义的格式的输入/输出(I/O)缓冲器与其进行交互的安全协处理器。TPM的行为仅仅地基于其接收到的(一系列)命令。因此，可以从TPM获得的任何保证都基于所发出的命令。典型的示例是测量启动和远程证明机制，所述机制通过使用TPM平台配置寄存器(PlatformConfigurationRegister)来建立，用于远程地验证平台的状态。通过利用要存储的信息对PCR的先前值进行散列来更新所述PCR。在测量启动的情况下，PCR用于存储固件和软件完整性值。使用PCR能防止固件执行事件或软件执行事件的移除。在本文描述的示例中，固件或软件部件无法从PCR擦除其测量事件。进一步地，制造商可以预测设备或平台的预期PCR值，因为制造商会知道应该执行哪种固件或软件。如本文所使用的，固件可以包括可以进行编程的多个部件，例如，平台中的现场可编程门阵列比特流、串行外围接口(SPI)闪速存储器、电可擦除可编程只读存储器(EEPROM)等。未使用的可编程逻辑也可以被测量(并且可以是已知值，例如，0或重复图案)。图1和图2是根据各种示例的计算设备的框图。现在参考附图，图1和图2是能够基于对安全协处理器的背书信息的分析来执行动作的计算设备的框图。系统100、200可以包括设备，所述设备包括可以用于确保在制造时安装的安全协处理器就是在计算设备启动期间使用的安全协处理器的部件。图1包括管理控制器110，所述管理控制器经由多路复用器120连接到安全协处理器130。安全协处理器130还可以经由多路复用器120连接到控制器中枢140。图2进一步包括能够使得管理控制器110与多个部件270通信的另一多路复用器222、固件存储器250、可编程逻辑器件(PLD)260、处理单元280、存储器282以及电力控制件290。在一些示例中，管理控制器110可以用于实施计算系统100、200的服务。管理控制器110可以使用用于执行高级操作系统的与处理单元280分离的处理器来实施。管理控制器比如基板管理控制器(BMC)可以为计算设备提供所谓的“无人值守(lights-out)”功能。即使计算设备上未安装操作系统或操作系统不起作用，无人值守功能也可以允许用户比如系统管理员在计算系统100、200上执行管理操作。此外，在一个示例中，管理控制器110可以以辅助电力运行，因此计算系统100、200不需要通电到“运转(on)”状态，在所述“运转”状态下，对计算系统100、200的控制在启动之后移交到操作系统。作为示例，管理控制器110可以提供所谓的“超出范围(out-of-band)”服务，如远程控制台访问、远程重启和电力管理功能、监测系统的健康状况、访问系统日本文档来自技高网...

【技术保护点】
1.一种计算设备，包括：/n至少一个中央处理单元；/n与所述至少一个中央处理单元分离的管理控制器，其中，所述管理控制器被使用辅助电力轨进行供电，所述辅助电力轨在所述计算设备处于辅助电力状态时向所述管理控制器提供电力；以及/n安全协处理器，所述安全协处理器包括对于所述安全协处理器而言唯一的设备唯一数据，/n其中，在第一时间，所述管理控制器接收所述设备唯一数据，并且将所述设备唯一数据的表示存储在安全位置，/n其中，在之后的时间，作为验证序列的一部分，所述管理控制器从所述安全协处理器的预期位置接收背书信息，以及/n其中，所述管理控制器基于对所述背书信息以及所存储的设备唯一数据的表示的分析来确定是否对所述计算设备执行动作。/n

【技术特征摘要】
20200129 US 16/775,8231.一种计算设备，包括：
至少一个中央处理单元；
与所述至少一个中央处理单元分离的管理控制器，其中，所述管理控制器被使用辅助电力轨进行供电，所述辅助电力轨在所述计算设备处于辅助电力状态时向所述管理控制器提供电力；以及
安全协处理器，所述安全协处理器包括对于所述安全协处理器而言唯一的设备唯一数据，
其中，在第一时间，所述管理控制器接收所述设备唯一数据，并且将所述设备唯一数据的表示存储在安全位置，
其中，在之后的时间，作为验证序列的一部分，所述管理控制器从所述安全协处理器的预期位置接收背书信息，以及
其中，所述管理控制器基于对所述背书信息以及所存储的设备唯一数据的表示的分析来确定是否对所述计算设备执行动作。


2.如权利要求1所述的计算设备，其中，所述动作是启用对所述计算设备的供电，所述计算设备进一步包括：
多路复用器，所述多路复用器选择性地将所述安全协处理器连接到控制器中枢或者连接到与所述管理控制器进行接口连接的总线。


3.如权利要求2所述的计算设备，
其中，在所述验证序列的所述一部分期间，所述管理控制器将经由控制信号来控制所述多路复用器以选择所述安全协处理器与所述管理控制器通信。


4.如权利要求3所述的计算设备，其中，在所述验证序列的所述一部分之后，所述管理控制器将控制所述多路复用器以选择所述控制器中枢。


5.如权利要求4所述的计算设备，其中，所述管理控制器将经由同一控制信号控制另一多路复用器以使得另一部件连接到与所述管理控制器进行接口连接的另一总线。


6.如权利要求5所述的计算设备，其中，作为所述验证序列的第二部分，所述管理控制器将验证所述另一部件的固件映像。


7.如权利要求6所述的计算设备，其中，在启用对所述计算设备的供电之前，所述管理控制器将使用信任根、启动固件以及所述部件来验证所述管理控制器的初始启动代码、所述管理控制器的剩余部分的固件映像。


8.如权利要求1所述的计算设备，其中，所存储的表示是所述设备唯一数据的散列值。


9.如权利要求1所述的计算设备，其中，所述背书信息是第二设备唯一数据，并且所述分析包括与所述设备唯一数据的表示进行比较。


10.如权利要求1所述的计算设备，其中，所述背书信息是使用所述设备唯一数据的表示对询问进行加密的、所述询问的应答，并且所述分析包括以预期应答进行应答。


11.一种存储有指令的非暂态机器可读存储介质，所述指令在由管理控制器的物理处理元件执行时使得所述管理控制器：
在第一时间从安全协处理器接收对于计算设备的所述安全协处理器而言唯一的设备唯一数据；
将所述设备唯一数据的表示存储在安全位置，
其中，所述计算设备包括所述管理控制器、所述安全协处理器、以及与所述管理控制器分离的至少一个中央处理单元，
其中，所述管理控制器被使用辅助电力轨进行供电，所述辅助电力轨在所述计算设备处于辅助电力状态时向所述管理控制器提供电力，
在之后的时间，作为验证序列的一部分，从所述安全协处理器的预期位置接收背书信息；
基于对所述背书信息以及所存储的设备唯一数据的表示的分析来确定是否启用对所述计算设备的供电。


12.如权利要求11所述的非暂...

【专利技术属性】
技术研发人员：L·卢西亚尼，D·R·哈斯凯尔，
申请(专利权)人：慧与发展有限责任合伙企业，
类型：发明
国别省市：美国;US