示例实施方式涉及一种用于将主机计算设备的配置文件存储在基板管理控制器(BMC)的安全存储器中的系统和方法。该安全存储器包括与主机计算设备相关联的配置文件。BMC使用通信链路通信连接到主机计算设备。安全存储器作为存储设备被仿真到主机计算设备。BMC监测安全存储器以检测配置文件的变化。当配置文件发生变化时,BMC在主机计算设备中执行安全动作。BMC在主机计算设备中执行安全动作。BMC在主机计算设备中执行安全动作。
【技术实现步骤摘要】
将基板管理控制器的安全存储器虚拟化到主机计算设备
技术介绍
[0001]服务提供商和制造商面临着例如通过提供安全计算设备向客户传递质量和价值的挑战。数据中心是用于容纳计算机网络、计算机系统以及相关联的部件(如电信系统和存储系统)的设施。数据中心中的设备可以呈安装在机架箱中的服务器的形式。数据中心可能是恶意软件攻击的目标。
附图说明
[0002]下面将参考以下附图描述各种示例。
[0003]图1是根据本公开的实施例的示例系统;
[0004]图2描绘了根据本公开的某些实施例的由BMC进行的安全存储器的软件仿真;
[0005]图3是描绘根据本公开的实施例的BMC的系统的框图,该BMC具有可操作地耦接到存储可执行程序指令的机器可读介质的处理器;
[0006]图4是描绘根据本公开的实施例的将BMC的安全存储器虚拟化到主机计算设备的方法的示例流程图;以及
[0007]图5是描绘根据本公开的实施例的更新BMC中的安全存储器的方法的流程图。
[0008]在所有附图中,相同的附图标记可以表示相似但不一定相同的元件。附图不一定是按比例绘制的,并且一些部分的尺寸可以被放大以更清楚地图示所示的示例。此外,附图提供了与描述一致的示例和/或实施方式;然而,描述不限于附图中提供的示例和/或实施方式。
具体实施方式
[0009]以下具体实施方式参考附图进行描述。在可能的情况下,相同的附图标记在附图中以及以下描述中用于指代相同的或类似的部分。然而,应明确理解,附图仅用于说明和描述的目的。尽管在本文档中描述了若干示例,但是修改、改编和其他实施方式是可能的。因此,以下具体实施方式不限制所公开的示例。相反,所公开示例的适当范围可以由所附权利要求限定。
[0010]本文中使用的术语仅用于描述示例的目的,并且不旨在进行限制。如本文中所使用的,单数形式“一个(a)”、“一种(an)”和“所述(the)”旨在也包括复数形式,除非上下文另有明确指示。如本文中使用的,术语“多个(plurality)”被定义为两个或两个以上。如本文中所使用的术语“另一(another)”被定义为至少是第二或更多。如本文中使用的,除非另有指示,否则术语“耦接的”被定义为连接的,无论是没有任何介入元件直接连接还是借助至少一个介入元件间接连接。两个元件可以机械耦接、电气耦接或通过通信信道、路径、网络或系统通信链接。本文所使用的术语“和/或”是指并涵盖相关联列举项目中的一个或多个项目的任何和所有可能组合。还应理解的是,尽管术语第一、第二、第三等在本文中可以用于描述各种元件,但是这些元件不应受这些术语的限制,因为这些术语仅用于将一个元件与另一元件区分开,除非另有说明或上下文另有指示。如本文所使用的,术语“包括
(includes)”是指包括(includes)但不限于,术语“包括(including)”是指包括(including)但不限于。术语“基于”是指“至少部分地基于”。
[0011]出于解释本公开的目的,参考图1至图5中示出的部件来描述某些示例。然而,图示部件的功能可以重叠,并且可以存在于更少或更多数量的元件和部件中。另外,图示元件的所有或部分功能可以共同存在或分布在若干地理上分散的位置。此外,图示示例可以在各种环境中实施并且不限于所示示例。进一步地,结合图4至图5描述的操作顺序是示例,而不旨在进行限制。在不背离所公开示例的范围的情况下,可以使用额外或更少的操作或操作组合或将其改变。因此,本公开仅仅阐述了实施方式的示例,并且可以对所描述的示例进行许多改变和修改。这样的修改和改变旨在包括在本公开的范围内并且由所附权利要求书保护。
[0012]作为虚拟化的替代方案,应用容器化是一项快速发展的技术,便于在计算设备中更快、安全、更容易地部署应用。容器化将应用代码与其在被称为应用容器的可执行包中运行所需的相关配置文件、库和依赖关系捆绑在一起。另外,单个计算设备可以支持具有多个配置的多个应用容器。这些文件形式的可执行包通常驻留在计算设备的存储设备中。另外,计算设备包括若干配置文件,这些配置文件定义应用于操作系统(OS)、基础设施设备和应用的参数、选项、设置和偏好。
[0013]然而,由于对计算设备的不受限制/未经授权的访问而引起的安全漏洞可能导致包括配置文件在内的文件被篡改。黑客可能通过修改配置文件引入要执行的恶意软件和任意指令。如果计算设备的访问凭证被窃取,则存在于计算设备的存储设备中的配置文件大概率会被访问和修改。因此,重要的是保护具有敏感数据的文件(例如,配置文件)免受未经授权的改变,并标识用于计算设备的配置文件的安全存储器(secure storage)。
[0014]为了确保安全存储器受到保护,安全存储器可以是远程驱动器或随机存取存储器(RAM)中的存储器,当计算设备的OS加载时,其不可访问。经过认证的用户可以经由基板管理控制器(Baseboard Management Controller,BMC)访问安全存储器。由于安全存储器在启动后不可访问,因此计算设备上的任何恶意软件都将无法到达安全存储器。即使当主机计算设备受到损害时,安全存储器仍然受到保护。
[0015]因此,本文公开的各种示例涉及将主机计算设备的配置文件存储在BMC的安全存储器中。该安全存储器包括与主机计算设备相关联的配置文件。BMC使用通信链路或如通用串行总线(USB)链路等总线通信连接到主机计算设备。安全存储器作为存储设备被仿真到主机计算设备。BMC监测安全存储器以检测配置文件的变化。当配置文件中的一个配置文件发生变化时,BMC在主机计算设备中执行安全动作。
[0016]基板管理控制器(BMC)是可以用于监测计算机的健康和操作的微控制器。BMC可以监测与计算机相关联的健康相关的方面,如计算机内部件的温度、计算机内旋转部件(例如,主轴电机、CPU风扇等)的速度、系统内跨过或施加到一个或多个部件上的电压、以及系统内存储设备的可用或已用容量。
[0017]BMC可以包括对计算设备的子系统的管理能力,并且与执行计算设备(例如,服务器或服务器组)的主操作系统的处理器分离。BMC可以启用计算设备的无人值守管理,无人值守管理提供远程管理访问(例如,系统控制台访问),而不管计算设备是否通电、主网络子系统硬件是否正在起作用、或OS是否正在运行或甚至是否已安装。
[0018]图1是根据本公开的实施例的示例性系统。主机计算系统102可以包括手机、智能电话、平板电脑、膝上型计算机和/或其他手持或便携式设备。在一些示例中,主机计算系统102可以是部署在数据中心中用于托管一个或多个客户的工作负载的服务器。数据中心可以被实施为企业系统、或消费者系统、或工业系统,该系统促进执行或运行工作负载以向最终用户交付预期服务,并且并行保护工作负载免受一个或多个安全漏洞的影响。
[0019]主机计算系统102通过网络(未示出)可操作地连接到外部计算系统126。在这样的示例中,网络可以是TCP/IP(传输控制协议/因特网协议)网络,其是用于互连因特网上的网本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统,包括:基板管理控制器(BMC),所述基板管理控制器通过通信链路通信连接到主机计算设备,所述BMC包括处理器和存储指令的机器可读存储介质,所述指令在由所述处理器执行时,使得所述处理器执行以下操作:由所述BMC通过所述通信链路将安全存储器作为存储设备仿真到所述主机计算设备,其中,所述安全存储器包括多个配置文件;监测所述安全存储器中的所述多个配置文件以检测所述配置文件的变化;以及响应于检测到所述多个配置文件中的配置文件发生变化,在所述主机计算设备中执行安全动作。2.如权利要求1所述的系统,其中,所述机器可读存储介质包括指令,所述指令在由所述BMC的所述处理器执行时,使得所述处理器执行以下操作:将所述安全存储器中存在的每个配置文件的计算散列与所述BMC中存储的对应配置文件的散列进行比较,以检测所述配置文件的变化。3.如权利要求1所述的系统,其中,所述多个配置文件与所述主机计算系统的多个应用容器相关联。4.如权利要求1所述的系统,其中,所述机器可读存储介质包括指令,所述指令在由所述BMC的所述处理器执行时,使得所述处理器执行以下操作:基于与所述安全存储器中的所述多个配置文件相关的安全策略以及所述主机计算设备的当前状态中的至少一个来控制对所述安全存储器的访问。5.如权利要求1所述的系统,其中,所述机器可读存储介质包括指令,所述指令在由所述BMC的所述处理器执行时,使得所述处理器执行以下操作:从所述主机计算设备接收对数据的请求;以及响应于接收到所述请求,将请求的数据传送到所述主机计算设备。6.如权利要求5所述的系统,其中,所述安全存储器设置有对所述主机计算系统的只读访问。7.如权利要求6所述的系统,其中,所述主机计算设备的所述配置文件使用所述BMC的带外通信信道来更新。8.如权利要求1所述的系统,其中,所述安全存储器是所述BMC中的非易失性随机存取存储器(NVRAM)驱动器。9.一种方法,包括:由基板管理控制器(BMC)通过通信链路将安全存储器作为存储设备仿真到主机计算设备,其中,所述安全存储器包括多个配置文件;由所述BMC监测所述安全存储器中的所述多个配置文件以检测所述配置文件的变化;响应于检测到所述多个配置文件中的配置文件发生变化,在所述主...
【专利技术属性】
技术研发人员:L,
申请(专利权)人:慧与发展有限责任合伙企业,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。