一种安全保护方法、装置及系统制造方法及图纸

本申请提供一种安全保护方法、装置及系统，可以提高BMC的安全性。本申请实施例中，BMC主控芯片内部架构划分为物理隔离的安全域和非安全域，通过对SFC的接口与TCM进行对接，实现对TCM的系统集成，使得在BMC主控芯片上电启动后，可以利用TCM的可信能力建立信任源点，并对从上电启动到软件正常运行的全过程实施可信度量，以确保各级代码在加载运行前没有被破坏，篡改或植入非法代码，从而可以确保BMC的软件执行环境的可信。件执行环境的可信。件执行环境的可信。

【技术实现步骤摘要】
一种安全保护方法、装置及系统


[0001]本申请涉及计算机及通信
，尤其涉及一种安全保护方法、装置及系统。

技术介绍

[0002]目前，基板管理控制器(base
‑
board management controller，BMC)已经成为服务器的关键构成部分，是一个单独在服务器内运行的管理子系统。BMC作为一个平台管理系统，具备一系列的监控和控制功能，主要是通过监视服务器的温度、电压、风扇、电源等，并做相应的调节，以保证服务器处于健康的状态。
[0003]在服务器启动过程中，BMC往往先于服务器操作系统上电启动，并且可以通过专用可编程逻辑电路对服务器的上电开关和时序实现控制。BMC为服务器提供丰富的运维管理和控制能力的同时，也存在着严重的安全威胁。因此如果对BMC进行安全保护，是一个亟待解决的问题。

技术实现思路

[0004]本申请提供一种安全保护方法、装置及系统，可以提高BMC的安全性。
[0005]第一方面，本申请实施例提供了一种BMC，BMC包括安全域以及非安全域，安全域与非安全域物理隔离；安全域包括串行闪存控制器(SFC)以及第一核，其中，SFC用于与可信密码模块(TCM)相连，第一核用于通过SFC与TCM交互实现BMC的安全功能。
[0006]本申请实施例中，BMC主控芯片内部架构划分为物理隔离的安全域和非安全域，通过对SFC的接口与TCM进行对接，实现对TCM的系统集成，使得在BMC主控芯片上电启动后，可以利用TCM的可信能力建立信任源点，并对从上电启动到软件正常运行的全过程实施可信度量，以确保各级代码在加载运行前没有被破坏，篡改或植入非法代码，从而可以确保BMC的软件执行环境的可信。
[0007]在一种可能的设计中，SFC与第一核通过先进外围设备总线(APB)相连。
[0008]在一种可能的设计中，SFC包括时钟(CLK)信号端、串行输入输出(SIO)信号端、串行输出输入(SOI)信号端和片选信号(CSN)信号端。
[0009]在一种可能的设计中，第一核用于生成第一命令，第一命令用于与TCM交互；其中，第一命令包括A个控制字、B个地址字以及C个载荷字，A为大于0的整数，B为大于0的整数，C为大于0的整数，A、B以及C的和不大于N，N为第一命令包括的字节的总数，其中，控制字用于指示读操作或者写操作，地址字用于携带地址信息，载荷字用于携带第一命令的负荷。
[0010]在一种可能的设计中，A个控制字为第一命令的第1～a个字节，B个地址字的第a+1～b个字节，C个载荷字为第一命令的第b+1～N个字节，a为大于1且小于N的整数，b为大于a+1且小于N的整数。
[0011]上述设计中，通过对SFC的接口进行软、硬件协议的转置改造，与TCM进行对接，实现对TCM的系统集成，并且，SFC接口对TCM的通信和控制只有“发送”和“接收”两个功能状态，具有高可靠性，使得TCM本身状态和内容不可被外界读写，并且仅可以在规定的地址区
域写入命令或读取功能输出信息，从而可以保障模块本身不易被篡改、劫持和仿冒。
[0012]在一种可能的设计中，第一命令为读命令或者写命令；或者，第一命令用于通知TCM发送第二命令的响应命令，第二命令为第一核通过SFC向TCM发送的读命令或者写命令。
[0013]在一种可能的设计中，非安全域包括第二核，和/或，外设，其中，第二核用于运行操作系统。
[0014]第二方面，本申请实施例提供了一种安全保护系统，系统包括第一方面所述的BMC以及TCM，其中，BMC中的安全域通过SFC与TCM相连。
[0015]本申请实施例中通过利用BMC安全域的SFC接口与TCM进行对接，实现对TCM的系统集成，使得在BMC主控芯片上电启动后，可以利用TCM的可信能力建立信任源点，并对从上电启动到软件正常运行的全过程实施可信度量，以确保各级代码在加载运行前没有被破坏，篡改或植入非法代码，从而可以确保BMC的软件执行环境的可信。
[0016]在一种可能的设计中，SFC与TCM满足如下连接关系：
[0017]SFC的CLK信号端连接TCM的CLK信号端，可以作为TCM接口SPI总线同步时钟信号，以及作为TCM接口信号的时序参考信号；
[0018]SFC的SIO信号端连接TCM的MOSI信号端，可以作为TCM接口SPI总线数据输入信号通道；
[0019]SFC的SOI信号端连接TCM的MISO信号端，可以作为TCM接口SPI总线数据输出信号通道；
[0020]SFC的CSN信号端连接TCM的CS信号端，可以作为TCM接口SPI总线片选信号，其中，低电平有效，在第一核与TCM未交互时可以默认高电平。
[0021]在一种可能的设计中，安全域的通用输入输出(GPIO)信号端连接TCM的物理在位(PP)信号端，作为TCM接口物理在位信号，高电平有效，在TCM与第一核连接时默认高电平。
[0022]第三方面，本申请实施例提供了一种安全保护方法，该方法应用于BMC，方法包括：第一核生成第一命令，其中，所述第一命令包括A个控制字、B个地址字以及C个载荷字，所述A为大于0的整数，所述B为大于0的整数，所述A为大于0的整数，所述A、B以及C的和不大于N，所述N为所述第一命令包括的字节的总数，其中，所述控制字用于指示读操作或者写操作，所述地址字用于携带地址信息，所述载荷字用于携带所述第一命令的负荷；第一核通过SFC向TCM发送第一命令。
[0023]本申请实施例中，通过对SFC的接口进行软、硬件协议的转置改造，与TCM进行对接，实现对TCM的系统集成，并且，SFC接口对TCM的通信和控制只有“发送”和“接收”两个功能状态，具有高可靠性，使得TCM本身状态和内容不可被外界读写，并且仅可以在规定的地址区域写入命令或读取功能输出信息，从而可以保障模块本身不易被篡改、劫持和仿冒。
[0024]在一种可能的设计中，A个控制字为第一命令的第1～a个字节，B个地址字的第a+1～b个字节，C个载荷字为第一命令的第b+1～N个字节，a为大于1且小于N的整数，b为大于a+1且小于N的整数。
[0025]在一种可能的设计中，第一核通过SFC向TCM发送第一命令，包括：第一核将A个控制字节写入SFC的指令寄存器；第一核将B个地址字节写入SFC的地址寄存器；第一核将C个载荷字节写入SFC的命令发送数据缓存区域；第一核触发命令写操作。通过上述设计，可以避免破坏写命令数据格式，从而可以提高命令传输的准确性。
[0026]在一种可能的设计中，第一核触发命令写操作，包括：第一核设置SFC的命令写操作控制位为第一值，第一值用于触发命令写操作。
[0027]在一种可能的设计中，第一命令为读命令或者写命令。
[0028]在一种可能的设计中，C个载荷字包括C1个命令标识字、C2个命令长度字、C3个命令码以及C4个负荷字，所述C1为大于0且小于C的整数，所述C2为大于0且小于C的整数，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基板管理控制器BMC，其特征在于，所述BMC包括安全域以及非安全域，所述安全域与所述非安全域物理隔离；所述安全域包括串行闪存控制器SFC以及第一核，其中，所述SFC用于与可信密码模块TCM相连，所述第一核用于通过所述SFC与所述TCM交互实现所述BMC的安全功能。2.如权利要求1所述的BMC，其特征在于，所述SFC与所述第一核通过先进外围设备总线APB相连。3.如权利要求1或2所述的BMC，其特征在于，所述SFC包括时钟CLK信号端、串行输入输出SIO信号端、串行输出输入SOI信号端和片选信号CSN信号端。4.如权利要求1
‑
3任一项所述的BMC，其特征在于，所述第一核用于生成第一命令，所述第一命令用于与所述TCM交互；其中，所述第一命令包括A个控制字、B个地址字以及C个载荷字，所述A为大于0的整数，所述B为大于0的整数，所述A为大于0的整数，所述A、B以及C的和不大于N，所述N为所述第一命令包括的字节的总数，其中，所述控制字用于指示读操作或者写操作，所述地址字用于携带地址信息，所述载荷字用于携带所述第一命令的负荷。5.如权利要求4所述的BMC，其特征在于，所述第一命令为读命令或者写命令；或者所述第一命令用于通知所述TCM发送第二命令的响应命令，所述第二命令为所述第一核通过所述SFC向所述TCM发送的读命令或者写命令。6.如权利要求1
‑
5任一项所述的BMC，其特征在于，所述非安全域包括第二核，和/或，外设，其中，所述第二核用于运行操作系统。7.一种安全保护系统，其特征在于，所述系统包括如权利要求1
‑
6任一项所述的基板管理控制器BMC以及可信密码模块TCM，其中，所述BMC中的所述安全域通过所述SFC与所述TCM相连。8.如权利要求7所述的系统，其特征在于，所述SFC与所述TCM满足如下连接关系：所述SFC的时钟CLK信号端连接TCM的CLK信号端；所述SFC的SIO信号端连接TCM的主输出从输入MOSI信号端；所述SFC的SOI信号端连接TCM的主输入从输出MISO信号端；所述SFC的CSN信号端连接所述TCM的片选CS信号端。9.如权利要求7或8所述的系统，其特征在于，所述安全域的通用输入输出GPIO信号端连接所述TCM的物理在位PP信号端。10.一种安全保护方法，其特征在于，所述方法应用于如权利要求1
‑
7任一项所述的基板管理控制器BMC，所述方法包括：第一核生成第一命令，其中，所述第一命令包括A个控制字、B个地址字以及C个载荷字，所述A为大于0的整数，所述B为大于0的整数，所述A为大于0的整数，所述A、B以及C的和不大于N，所述N为所述第一命令包括的字节的总数，其中，所述控制字用于指示读操作或者写操作，所述地址字用于携带地址信息，所述载荷字用于携带所述第一命令的负荷；所述第一核通过串行闪存控制器SFC向可信密码模块TCM发送所述第一命令。11.如权利要求10所述的方法，其特征在于，所述第一核通过SFC向TCM发送所述第一命令，包括：所述第一核将所述A个控制字写入所述SFC的指令寄存器；
所述第一核将所述B个地址字写入所述SFC的地址寄存器；所述第一核将所述C个载荷字写入所述SFC的命令发送数据缓存区域；所述第一核触发命令写操作。12.如权利要求11所述的方法，其特征在于，所述第一核触发命令写操作，包括：所述第一核设置所述SFC的命令写操作控制位为第一值，所述第一值用于触发命令写操作。13.如权利要求10
‑
12任一项所述的方法，其特征在于，所述第一命令为读命令或者写命令。14.如权利要求13所述的方法，其特征在于，所述C个载荷字包括C1个命令标识字、C2个命令长度字、C3个命令码以及C4个负荷字，所述C1为大于0且小于C的整数，所述C2为大于0且小于C的整数，所述C3为大于0且小于C的整数，所述C4为大于0且小于C的整数，且C1、C2、C3以及C4的和不大于C，其中，所述命令标识字用于携带所述第一命令的标识，所述命令长度字用于指示所述第一命令的长度，所述命令码用于携带所述第一命令的代码，所述负荷字用于携带所述第一命令的负荷。15.如权利要求10
‑
12任一项所述的方法，其特征在于，所述第一命令用于通知所述TCM发送第二命令的响应命令，所述第二命令为所述BMC向所述TCM发送的读命令或者写命令。16.如权利要求15所述的方法，其特征在于，所述C个载荷字包括c1个命令标识字、c2个命令长度字、c3个返回码、c4个命令码以及c5个负荷字，所述c1为大于0且小于C的整数，所述c2为大于0且小于C的整数，所述c3为大于0且小于C的整数，所述c4为大于0且小于C的整数，所述c5为大于0且小于C的整数，且c1、c2、c3、c4以及c5的和不大于C，其中，所述命令标识字用于携带所述第一命令的标识，所述命令长度字用于指示所述第一命令的长度，所述返回码用于携带所述第一命令的返回码，所述命令码用于携带所述第一命令的代码，所述负荷字用于携带所述第一命令的负荷。17.如权利要求15或16所述的方法，其特征在于，在所述第一核通过所述SFC向所述TCM发送所述第一命令之后，所述方法还包括：所述第一核通过所述SFC接收所述第二命令的响应命令。18.如权利要求17所述的方法，其特征在于，所述第一核通过所述SFC接收所述第二命令的响应命令，包括：所述第一核触发命令读操作，其中，在命令读操作期间所述SFC的CSN信号端在第一时间段内为高电平，在第二时间段内为低电平...

【专利技术属性】
技术研发人员：邵萌，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：