CN104123511B - 一种可信计算服务器中的bmc安全管理方法和系统 - Google Patents
一种可信计算服务器中的bmc安全管理方法和系统 Download PDFInfo
- Publication number
- CN104123511B CN104123511B CN201410361933.3A CN201410361933A CN104123511B CN 104123511 B CN104123511 B CN 104123511B CN 201410361933 A CN201410361933 A CN 201410361933A CN 104123511 B CN104123511 B CN 104123511B
- Authority
- CN
- China
- Prior art keywords
- bmc
- secure
- trusted module
- security
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000007726 management method Methods 0.000 claims abstract description 57
- 230000006870 function Effects 0.000 claims description 30
- 230000005540 biological transmission Effects 0.000 claims description 17
- 238000001514 detection method Methods 0.000 claims description 10
- 230000002452 interceptive effect Effects 0.000 claims description 5
- 238000005259 measurement Methods 0.000 claims 1
- 230000008901 benefit Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000009172 bursting Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种具有可信计算功能的服务器中实现BMC安全管理的方法,通过安全可信模块检测度量服务器主板固件及操作系统制定一系统安全策略,安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略,并通过I2C总线给BMC发送管理命令,BMC接收到安全可信模块发送的管理命令后调节自身管理功能,针对不同级别安全性实行不同的管理方法。本发明通过具有安全可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理功能;解决了安全服务器中管理的安全问题,为安全服务器解决BMC安全管理提供一种解决方案。
Description
技术领域
本发明涉及计算机安全技术,具体地说是一种可信计算服务器中的BMC安全管理方法和系统。
背景技术
伴随着信息安全技术的发展和国家对信息安全要求的提高,服务器安全性变得越来越重要,越来越多的计算机和服务器开始采用安全可信计算功能来提高计算机与服务器的安全性,除了可信计算通过对固件及操作系统度量等手段保证本地安全性外,还需要对服务器远程管理功能进行安全控制,使得服务器管理功能不出安全漏洞。
发明内容
针对服务器安全性变得越来越重要的问题,本发明提出了一种可信计算服务器中的BMC安全管理方法和系统。
本发明所述一种可信计算服务器中的BMC安全管理方法和系统,解决上述技术问题采用的技术方案如下:所述可信计算服务器中的BMC安全管理方法,是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,来解决安全服务器中管理的安全问题。
所述可信计算服务器中的BMC安全管理方法,提出了一个BMC安全管理系统,所述BMC安全管理系统包括服务器主板固件与操作系统、安全可信模块和BMC,其中,安全可信模块检测度量服务器主板固件与操作系统制定一系统安全策略,安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略,安全可信模块与BMC之间通过I2C总线交互通信,通过I2C总线给BMC发送管理命令,BMC接收到安全可信模块发送的管理命令后,调节自身管理功能,实现针对不同级别安全性下的不同管理功能。
本发明所述一种可信计算服务器中的BMC安全管理方法和系统具有的有益效果:所述实现BMC安全管理的方法,通过具有安全可信功能服务器中安全可信模块与BMC通信,实现根据可信模块制定的安全管理策略调整BMC针对不同级别安全性下的安全管理功能;解决了安全服务器中管理的安全问题,通过该方法显著提高了安全服务器中BMC的安全管理性能,为安全服务器解决BMC安全管理提供一种解决方案,具有较好的推广使用价值。
附图说明
附图1为可信计算服务器中的BMC安全管理方法的流程图;
附图2为所述实施例实现BMC安全管理方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的一种可信计算服务器中的BMC安全管理方法和系统进行详细说明。
本方明所述可信计算服务器中的BMC安全管理方法,提出了一可信计算服务器中的BMC安全管理系统,所述BMC安全管理系统包括服务器主板固件与操作系统、安全可信模块和BMC,其中,安全可信模块检测度量服务器主板固件与操作系统制定一系统安全策略,安全可信模块根据所制定的安全策略制定BMC的安全管理策略,安全可信模块与BMC之间通过I2C总线交互通信,通过I2C总线给BMC发送管理命令,BMC接收到安全可信模块发送的管理命令后,调节自身管理功能,实现针对不同级别安全性下的不同管理功能。
本发明所述实现BMC安全管理的方法,是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,来解决安全服务器中管理的安全问题。附图1为具有可信计算功能的服务器中实现BMC安全管理的方法的流程图,如附图1所示,本发明的具有可信计算功能的服务器中实现BMC安全管理的方法,具体是指通过安全可信模块检测度量服务器主板固件及操作系统等机制制定一系统安全策略,并根据所制定的系统安全策略制定BMC的安全管理策略,同时,安全可信模块通过I2C总线给BMC发送管理命令,BMC接收到安全可信模块发送的管理命令后,调节自身管理功能,针对不同级别安全性实行不同的管理功能。
本发明中,BMC接收到安全可信模块发送的管理命令后,调节自身管理功能,针对不同级别安全性实行不同的管理功能:BMC接收到安全可信模块发送的检测到低级安全威胁后,关闭虚拟设备;BMC接收到安全可信模块发送的检测到中级安全威胁后,关闭媒体重定向;BMC接收到安全可信模块发送的检测到高级安全威胁后,关闭管理网络,进而实现安全服务器的BMC安全管理功能。
实施例:
下面通过一个实施例,对本发明所述一种可信计算服务器中的BMC安全管理方法和系统的优点和设计内容,进行详细说明。
本实施例是,基于国产龙芯服务器为例来说明实现BMC安全管理的实施过程,如附图2所示,安全可信模块检测度量BIOS及操作系统,根据BIOS及操作系统的情况制定系统安全策略,安全可信模块与BMC(AST2400BMC芯片)之间通过I2C总线交互通信,向AST2400BMC芯片发送管理命令,BMC接收到安全可信模块发送的管理命令后,调节自身管理功能,针对不同级别安全性实行不同的管理功能。
本实施例中,安全可信模块首先根据其检测度量的BIOS及操作系统情况制定系统安全策略,并根据系统安全策略制定BMC的安全管理策略,安全可信模块通过I2C总线给BMC发送管理命令来调节BMC的安全管理方法。安全可信模块检测到BIOS及操作系统下存在低级安全时会给BMC发送管理命令:AST2400BMC芯片接收到安全可信模块发送的检测到低级安全威胁后,关闭其自身的虚拟存储设备功能;AST2400BMC芯片接收到安全可信模块发送的检测到中级安全威胁后,关闭其自身的KVM OVER IP设备功能,KVM OVER IP又称为IPKVM,带有远程管理功能的KVM切换器;AST2400BMC芯片接收到安全可信模块发送的检测到高级安全威胁后,关闭管理网络或自身的网口,停止远程管理功能;通过这种方法,进而实现安全服务器的BMC安全管理功能。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
Claims (5)
1.一种可信计算服务器中的BMC安全管理方法,其特征在于,是通过可信功能服务器中安全可信模块与BMC通信,实现根据安全可信模块制定的安全管理策略调整BMC安全管理的方法,其具体步骤包括:安全可信模块检测度量服务器主板固件及操作系统制定一系统安全策略,安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略,安全可信模块通过I2C总线给BMC发送管理命令,BMC接收到安全可信模块发送的管理命令后调节自身管理功能,针对不同级别安全性实行不同的管理方法:
BMC接收到安全可信模块发送的检测到低级安全威胁后,关闭虚拟设备;BMC接收到安全可信模块发送的检测到中级安全威胁后,关闭媒体重定向;BMC接收到安全可信模块发送的检测到高级安全威胁后,关闭管理网络或自身的网口。
2.根据权利要求1所述的一种可信计算服务器中的BMC安全管理方法,其特征在于,安全可信模块检测度量BIOS及操作系统制定一系统安全策略,安全可信模块根据所制定的系统安全策略制定BMC的安全管理策略,安全可信模块通过I2C总线给AST2400BMC芯片发送管理命令,BMC接收到安全可信模块发送的管理命令后调节自身管理功能,针对不同级别安全性实行不同的管理方法。
3.根据权利要求2所述的一种可信计算服务器中的BMC安全管理方法,其特征在于,针对不同级别安全性实行不同的管理方法:AST2400BMC芯片接收到安全可信模块发送的检测到低级安全威胁后,关闭其自身的虚拟存储设备功能;AST2400BMC芯片接收到安全可信模块发送的检测到中级安全威胁后,关闭其自身的KVM OVER IP设备功能;AST2400BMC芯片接收到安全可信模块发送的检测到高级安全威胁后,关闭管理网络或自身的网口,停止远程管理功能。
4.一种可信计算服务器中的BMC安全管理系统,其特征在于,所述BMC安全管理系统包括服务器主板固件与操作系统、安全可信模块和BMC,其中,安全可信模块检测度量服务器主板固件与操作系统制定一系统安全策略,安全可信模块根据所制定的安全策略制定BMC的安全管理策略,安全可信模块与BMC之间通过I2C总线交互通信,安全可信模块通过I2C总线给BMC发送管理命令,BMC接收到管理命令后调节自身管理功能,针对不同级别安全性实行不同的管理方法:
BMC接收到安全可信模块发送的检测到低级安全威胁后,关闭虚拟设备;BMC接收到安全可信模块发送的检测到中级安全威胁后,关闭媒体重定向;BMC接收到安全可信模块发送的检测到高级安全威胁后,关闭管理网络或自身的网口。
5.根据权利要求4所述的BMC安全管理系统,其特征在于,所述BMC安全管理系统包括BIOS与操作系统、安全可信模块和AST2400BMC芯片,其中,安全可信模块检测度量BIOS与操作系统制定一系统安全策略,安全可信模块根据所制定的安全策略制定BMC的安全管理策略,安全可信模块与AST2400BMC芯片之间通过I2C总线交互通信,安全可信模块通过I2C总线给AST2400BMC芯片发送管理命令,BMC接收到管理命令后调节自身管理功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410361933.3A CN104123511B (zh) | 2014-07-28 | 2014-07-28 | 一种可信计算服务器中的bmc安全管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410361933.3A CN104123511B (zh) | 2014-07-28 | 2014-07-28 | 一种可信计算服务器中的bmc安全管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104123511A CN104123511A (zh) | 2014-10-29 |
| CN104123511B true CN104123511B (zh) | 2017-05-03 |
Family
ID=51768919
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410361933.3A Active CN104123511B (zh) | 2014-07-28 | 2014-07-28 | 一种可信计算服务器中的bmc安全管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104123511B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105847280A (zh) * | 2016-05-06 | 2016-08-10 | 南京百敖软件有限公司 | 一种基于固件的安全管理方法 |
| CN106022137B (zh) * | 2016-05-10 | 2018-11-13 | 北京新云东方系统科技有限责任公司 | 由tpcm控制power平台可信的实现方法及系统 |
| CN107358123B (zh) * | 2016-05-10 | 2020-11-03 | 中国科学院微电子研究所 | 一种安全检测方法及装置 |
| CN110008708A (zh) * | 2019-04-11 | 2019-07-12 | 北京可信华泰信息技术有限公司 | 一种主机与可信平台控制模块之间的通信方法及系统 |
| CN110769051B (zh) * | 2019-10-18 | 2022-06-03 | 中电科技(北京)股份有限公司 | 基于国产处理器的嵌入式服务器远程管理系统及方法 |
| CN112702182A (zh) * | 2019-10-22 | 2021-04-23 | 中国移动通信有限公司研究院 | 一种可信管理方法、装置、系统、设备和存储介质 |
| CN115348162B (zh) * | 2022-08-05 | 2024-06-18 | 昆仑太科(北京)技术股份有限公司 | 一种基板管理控制器bmc固件的端口管理系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271153A (zh) * | 2010-06-03 | 2011-12-07 | 英特尔公司 | 用于虚拟化tpm访问的系统、方法以及装置 |
| CN103366113A (zh) * | 2012-03-29 | 2013-10-23 | 思科技术公司 | 用于可信平台证明的系统和方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7200758B2 (en) * | 2002-10-09 | 2007-04-03 | Intel Corporation | Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem |
-
2014
- 2014-07-28 CN CN201410361933.3A patent/CN104123511B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102271153A (zh) * | 2010-06-03 | 2011-12-07 | 英特尔公司 | 用于虚拟化tpm访问的系统、方法以及装置 |
| CN103366113A (zh) * | 2012-03-29 | 2013-10-23 | 思科技术公司 | 用于可信平台证明的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104123511A (zh) | 2014-10-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104123511B (zh) | 一种可信计算服务器中的bmc安全管理方法和系统 | |
| US7266627B2 (en) | Method and apparatus to couple a rear transition module to a carrier board | |
| CN102567238B (zh) | 接口切换控制方法、便携终端、便携移动设备及输入设备 | |
| GB2457405A (en) | Integrated communication and information processing system | |
| WO2005066743A3 (en) | A method and an apparatus for power management in a computer system | |
| CN205263533U (zh) | 一种智能化漏水处理系统 | |
| CN207408936U (zh) | 一种多接口pcie设备转接卡 | |
| CN103743343A (zh) | 一种数据中心it机柜容量检测方法及系统 | |
| CN103167037B (zh) | 基于模块化的云计算系统 | |
| CN105487476B (zh) | 类矩形盾构施工的管控系统及方法 | |
| US8112534B2 (en) | Apparatus and method for remote power control | |
| CN105430024B (zh) | 智能家居设备远程调试方法 | |
| CN104534632B (zh) | 微负压管路系统及故障处理方法 | |
| CN103019188B (zh) | 基于物联网的水塔水位远程智能控制系统及其控制方法 | |
| CN103556674B (zh) | 恒压变频供水装置的远程监控方法和嵌入式主板 | |
| CN104503724B (zh) | 拼接墙环接配置的方法和系统 | |
| CN101453337A (zh) | 小型电信和计算通用硬件平台架构系统及其电源控制方法 | |
| CN105553865B (zh) | 一种fc交换机芯片信用管理测试方法 | |
| CN104200148A (zh) | 一种基于自主国产冗余服务器的智能卡冗余切换方法 | |
| CN105183013A (zh) | 多蒸汽管网系统及多蒸汽管网系统的蒸汽平衡方法 | |
| CN108829570A (zh) | 服务器节点信息显示控制方法、装置、系统及存储介质 | |
| CN203104506U (zh) | 一种物联网安全接入网关 | |
| CN206650691U (zh) | 一种网络安全设备 | |
| CN104125256A (zh) | 保密柜网络系统及离线管理方法 | |
| CN103685478A (zh) | 一种基于云计算的智能楼宇对讲系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180807 Address after: 250100 S06 tower, 1036, Chao Lu Road, hi tech Zone, Ji'nan, Shandong. Patentee after: Shandong wave cloud Mdt InfoTech Ltd Address before: No. 1036, Shun Ya Road, Ji'nan high tech Zone, Shandong Province Patentee before: Inspur Group Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 250100 No. 1036 Tidal Road, Jinan High-tech Zone, Shandong Province, S01 Building, Tidal Science Park Patentee after: Inspur cloud Information Technology Co., Ltd Address before: 250100 Ji'nan science and technology zone, Shandong high tide Road, No. 1036 wave of science and Technology Park, building S06 Patentee before: SHANDONG LANGCHAO YUNTOU INFORMATION TECHNOLOGY Co.,Ltd. |