用于服务器的验证方法及装置制造方法及图纸

本申请实施例提供了一种用于服务器的验证方法及装置。其中，该方法包括：在带内管理系统的电源状态为启动状态的情况下，判断带内管理系统中基本输入输出系统的初始化数据是否完整，得到判断结果；在判断结果指示为是的情况下，输出上电指令至带内管理系统，使得基本输入输出系统运行，并发送度量链信息；根据接收的度量链信息，验证带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性。通过本申请，解决了基板管理控制器不能获取其他组件的完整性的问题，达到了基板管理控制器可以验证基本输入输出系统及服务器中各板卡、组件的完整性的效果。组件的完整性的效果。组件的完整性的效果。

【技术实现步骤摘要】
用于服务器的验证方法及装置


[0001]本申请实施例涉及服务器安全领域，具体而言，涉及一种用于服务器的验证方法、验证装置、计算机可读存储介质以及电子设备。

技术介绍

[0002]随着云计算和大数据的兴起，服务器承载越来越多的计算力。服务器作为数据中心的基本单元，其上运行着业务系统、用户数据等重要信息，一旦服务器硬件被恶意篡改，服务器中的信息也将面临被篡改、窃取的风险。
[0003]可信根是一种被动调用的安全硬件，需要固件的调用才能完成完整性采集、完整性验证的操作，因此，需要确保最初使用可信根的代码安全才可确保后续操作可信根行为的安全可信。目前，针对服务器第一段运行代码的检测依赖特定CPU功能（比如Intel PFR技术或Intel TXT技术），这些技术无法兼容所有的处理器；或者使用基板管理控制器（Baseboard Management Controller , BMC）验证基本输入输出系统（Basic Input Output System , BIOS）的技术，但BMC验证BIOS的技术只在加载BIOS固件时有效，且只能验证BIOS固件本身，并不能获取其他组件（比如Raid卡、显卡、操作系统内核等）的完整性。
[0004]基于此，如何验证服务器中除BIOS固件之外组件的完整性，确保操作系统运行时硬件环境的安全可信，是目前亟需解决的技术问题。

技术实现思路

[0005]本申请实施例提供了一种用于服务器的验证方法、验证装置、计算机可读存储介质以及电子设备，以至少解决相关技术中无法验证服务器中除BIOS固件之外组件的完整性的问题。
[0006]根据本申请的一个实施例，提供了一种用于服务器的验证方法，该验证方法应用于基板管理控制器，服务器包括带内管理系统，上述验证方法包括：在带内管理系统的电源状态为启动状态的情况下，判断带内管理系统中基本输入输出系统的初始化数据是否完整，得到判断结果；在判断结果指示为是的情况下，输出上电指令至带内管理系统，使得基本输入输出系统运行，并发送度量链信息；根据接收的度量链信息，验证带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性。
[0007]在一个示例性实施例中，验证方法还包括：在判断带内管理系统中基本输入输出系统的初始化数据是否完整之前，检测带内管理系统的电源状态，其中，电源状态包括：启动状态，运行状态，以及断电状态。
[0008]在一个示例性实施例中，判断带内管理系统中基本输入输出系统的初始化数据是否完整，得到判断结果，包括：计算基本输入输出系统的初始化数据的度量值，得到度量值信息；根据基准值库，判断度量值信息是否完整，得到判断结果，其中，基准值库包括与基本输入输出系统对应的多个基本输入输出系统组件的完整性值。
[0009]在一个示例性实施例中，验证方法还包括：获取基本输入输出系统的更新请求和
更新的BIOS文件，其中，BIOS文件包括多个基本输入输出系统组件的更新的完整性值；根据更新请求解析BIOS文件，得到与更新请求对应的完整性值集合；采用完整性值集合，更新基准值库。
[0010]在一个示例性实施例中，上述验证方法还包括：在判断结果指示为否的情况下，对带内管理系统中除基本输入输出系统的初始化数据之外的组件执行断电操作。
[0011]在一个示例性实施例中，上述验证方法还包括：发送度量值信息至基本输入输出系统，使得得基本输入输出系统根据度量值信息以及带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性信息，生成度量链信息。
[0012]在一个示例性实施例中，发送度量值信息至基本输入输出系统，包括：与基本输入输出系统交换会话密钥，得到第一密钥，并使得基本输入输出系统得到第二密钥；采用第二密钥将度量值信息加密，生成度量值密文；将度量值密文发送至基本输入输出系统，使得基本输入输出系统根据第二密钥，将度量值密文解密，得到度量值信息。
[0013]在一个示例性实施例中，上述验证方法还包括：在根据度量链信息，验证带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性之前，采用第一密钥将度量链密文解密，得到度量链信息，其中，基本输入输出系统根据度量值信息以及带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性信息，得到度量链密文。
[0014]在一个示例性实施例中，验证方法还包括：记录将度量值信息发送至基本输入输出系统的第一时刻，以及接收到度量链信息的第二时刻；判断第一时刻与第二时刻的时差是否大于预设阈值；在判断结果指示大于预设阈值的情况下，对带内管理系统中除基本输入输出系统的初始化数据之外的组件执行断电操作。
[0015]根据本申请的另一个实施例，提供了另一种用于服务器的验证方法，上述服务器包括带内管理系统，该验证方法应用于带内管理系统中的基本输入输出系统，上述验证方法包括：在带内管理系统的电源状态为启动状态的情况下，发送启动信号至基板管理控制器，使得基板管理控制器判断基本输入输出系统的初始化数据是否完整，并在判断结果指示为是的情况下输出上电指令；在接收到上电指令的情况下，控制基本输入输出系统运行，并发送度量链信息至基板管理控制器，使得基板管理控制器根据接收的度量链信息，验证带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性。
[0016]在一个示例性实施例中，上述验证方法还包括：在判断结果指示为否的情况下，接收基板管理控制器发送的控制信号，控制信号用于控制带内管理系统中除基本输入输出系统的初始化数据之外的组件断电。
[0017]在一个示例性实施例中，上述验证方法还包括：发送基本输入输出系统的更新请求和更新的BIOS文件至基板管理控制器，使得基板管理控制器根据更新请求解析BIOS文件，得到与更新请求对应的完整性值集合，并采用完整性值集合，更新基准值库，其中，BIOS文件包括多个基本输入输出系统组件的更新的完整性值。
[0018]在一个示例性实施例中，验证方法还包括：接收基板管理控制器发送的度量值信息，其中，度量值信息包括基本输入输出系统的初始化数据的度量值；获取带内管理系统中除基本输入输出系统的初始化数据之外的组件的完整性信息；根据度量值信息和完整性信息，生成度量链信息。
[0019]在一个示例性实施例中，接收基板管理控制器发送的度量值信息，包括：与基板管
理控制器交换会话密钥，得到第二密钥，并使得基板管理控制器得到第一密钥，其中，第二密钥用于将度量值信息加密，生成度量值密文；采用第二密钥将度量值密文解密，得到度量值信息。
[0020]在一个示例性实施例中，发送度量链信息至基板管理控制器，包括：采用第一密钥将度量链信息加密，得到度量链密文；将度量链密文发送至基板管理控制器，使得基板管理控制器采用第一密钥将度量链密文解密，得到度量链信息。
[0021]在一个示例性实施例中，上述验证方法还包括：在第一时刻与第二时刻的时差大于预设阈值的情况下，接收基板管理控制器发送的控制信号，其中，第一时刻为接收到基板管理控本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于服务器的验证方法，其特征在于，所述验证方法应用于基板管理控制器，所述服务器包括带内管理系统，所述验证方法包括：在所述带内管理系统的电源状态为启动状态的情况下，判断所述带内管理系统中基本输入输出系统的初始化数据是否完整，得到判断结果；在所述判断结果指示为是的情况下，输出上电指令至所述带内管理系统，使得所述基本输入输出系统运行，并发送度量链信息；根据接收的所述度量链信息，验证所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件的完整性。2.根据权利要求1所述的验证方法，其特征在于，所述验证方法还包括：在判断所述基本输入输出系统的初始化数据是否完整之前，检测所述带内管理系统的电源状态，其中，所述电源状态包括：所述启动状态，运行状态，以及断电状态。3.根据权利要求2所述的验证方法，其特征在于，判断所述带内管理系统中基本输入输出系统的初始化数据是否完整，得到判断结果，包括：计算所述基本输入输出系统的初始化数据的度量值，得到度量值信息；根据基准值库，判断所述度量值信息是否完整，得到所述判断结果，其中，所述基准值库包括与所述基本输入输出系统对应的多个基本输入输出系统组件的完整性值。4.根据权利要求3所述的验证方法，其特征在于，所述验证方法还包括：获取所述基本输入输出系统的更新请求和更新的BIOS文件，其中，所述BIOS文件包括多个基本输入输出系统组件的更新的完整性值；根据所述更新请求解析所述BIOS文件，得到与所述更新请求对应的完整性值集合；采用所述完整性值集合，更新所述基准值库。5.根据权利要求3所述的验证方法，其特征在于，所述验证方法还包括：在所述判断结果指示为否的情况下，对所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件执行断电操作。6.根据权利要求3所述的验证方法，其特征在于，还包括：发送所述度量值信息至所述基本输入输出系统，使得所述基本输入输出系统根据所述度量值信息以及所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件的完整性信息，生成度量链信息。7.根据权利要求6所述的验证方法，其特征在于，所述发送所述度量值信息至所述基本输入输出系统，包括：与所述基本输入输出系统交换会话密钥，得到第一密钥，并使得所述基本输入输出系统得到第二密钥；采用所述第二密钥将所述度量值信息加密，生成度量值密文；将所述度量值密文发送至所述基本输入输出系统，使得所述基本输入输出系统根据所述第二密钥，将所述度量值密文解密，得到所述度量值信息。8.根据权利要求7所述的验证方法，其特征在于，还包括：在根据所述度量链信息，验证所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件的完整性之前，采用所述第一密钥将度量链密文解密，得到所述度量链信息，其中，所述基本输入输出系统根据所述度量值信息以及所述带内管理系统中除所述基
本输入输出系统的初始化数据之外的组件的完整性信息，得到所述度量链密文。9.根据权利要求6所述的验证方法，其特征在于，所述验证方法还包括：记录将所述度量值信息发送至所述基本输入输出系统的第一时刻，以及接收到所述度量链信息的第二时刻；判断所述第一时刻与所述第二时刻的时差是否大于预设阈值；在判断结果指示大于所述预设阈值的情况下，对所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件执行断电操作。10.一种用于服务器的验证方法，其特征在于，所述服务器包括带内管理系统，所述验证方法应用于所述带内管理系统中的基本输入输出系统，所述验证方法包括：在所述带内管理系统的电源状态为启动状态的情况下，发送启动信号至基板管理控制器，使得所述基板管理控制器判断所述基本输入输出系统的初始化数据是否完整，并在判断结果指示为是的情况下输出上电指令；在接收到所述上电指令的情况下，控制所述基本输入输出系统运行，并发送度量链信息至所述基板管理控制器，使得所述基板管理控制器根据接收的所述度量链信息，验证所述带内管理系统中除所述基本输入输出系统的初始化数据之外的组件的完整性。11.根据权利要求10所述的验证...

【专利技术属性】
技术研发人员：许鑫，吴保锡，韩春超，徐国振，崔士伟，王传国，
申请(专利权)人：苏州浪潮智能科技有限公司，
类型：发明
国别省市：