CN104408364A - 一种服务器管理程序保护方法及系统 - Google Patents
一种服务器管理程序保护方法及系统 Download PDFInfo
- Publication number
- CN104408364A CN104408364A CN201410711392.2A CN201410711392A CN104408364A CN 104408364 A CN104408364 A CN 104408364A CN 201410711392 A CN201410711392 A CN 201410711392A CN 104408364 A CN104408364 A CN 104408364A
- Authority
- CN
- China
- Prior art keywords
- encryption
- authentication
- chip microcomputer
- management controller
- baseboard management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及服务器端程序保护技术领域,特别涉及一种服务器管理程序保护方法及系统。本发明通过采用单片机与加密芯片的组合对服务器管理程序进行保护,基板管理控制器与单片机之间执行采用了用户自定义的加密算法的上层加密认证方法,单片机与加密芯片之间执行采用了与加密芯片相一致的加密算法的底层加密认证方法,这种两级加密认证方法可以防止程序被非法窃取,并通过合理的方案设计降低由总线通信可靠性问题造成的加密认证失败的概率,提高了加密认证的灵活性和鲁棒性。
Description
技术领域
本发明涉及服务器端程序保护技术领域,特别涉及一种服务器管理程序保护方法及系统。
背景技术
数据中心中安置了大量的服务器,服务器管理终端通过服务器管理单元对服务器进行科学有效的管理,服务器管理程序在其中起着重要的作用。如何保护数据中心中大量服务器管理单元上的程序,防止服务器管理单元程序被非法窃取是需要解决的重要问题。
使用加密芯片技术是一种常用的程序保护解决方案。DS28E01-100是一种带SHA-1算法引擎的1-Wire单总线加密器件,具有节省I/O口线资源、结构简单、成本低廉、便于总线扩展和维护等诸多优点。但已有的加密芯片中采用的加密算法往往是固化在芯片中的,如果用户期望采用其他算法对程序进行加密,需要更换加密芯片和对应的加密认证程序,灵活性不足。加密认证过程中也存在通信不可靠带来的认证失败问题,加密认证的鲁棒性有待提高。
发明内容
为了解决现有技术的问题,本发明提供了一种服务器管理程序保护方法及系统,其采用单片机与加密芯片的组合对服务器管理程序进行保护,BMC(基板管理控制器)与单片机之间执行采用了用户自定义的加密算法的上层加密认证方法,单片机与加密芯片之间执行采用了与加密芯片相一致的加密算法的底层加密认证方法,这种两级加密认证方法可以防止程序被非法窃取,并通过合理的方案设计降低由总线通信可靠性问题造成的加密认证失败的概率,提高了加密认证的灵活性和鲁棒性。
本发明所采用的技术方案如下:
一种服务器管理程序保护方法,基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法,所述的上层加密认证方法采用用户自定义的加密算法,底层加密认证方法采用与加密芯片相一致的加密算法。
保护方法具体包括以下步骤:
A、基板管理控制器上电,操作系统内核启动;
B、内核启动时执行加密认证驱动程序;
C、如果认证通过,内核继续执行,执行步骤F;
D、如果认证失败,加密驱动启动重认证机制,认证次数不大于某一预定值时返回步骤B,认证次数大于某一预定值时进入步骤E;
E、操作系统内核锁住;
F、内核启动完成,执行管理程序。
步骤B中,执行加密认证驱动程序具体包括以下步骤:
B1、基板管理控制器加密驱动发起认证请求;
B2、单片机收到基板管理控制器的认证请求信号时触发一次底层加密认证过程;
B3、如果单片机底层加密认证通过,则发送认证应答信号,然后等待基板管理控制器的可能的下一个认证请求信号,否则不发送认证应答信号直接等待基板管理控制器的可能的下一个认证请求信号;
B4、如果基板管理控制器收到单片机的认证应答信号,则启动上层加密认证过程进行加密认证,如果定时超时后未收到单片机的认证应答信号,则此次认证失败;
B5、如果上层加密认证通过,则此次认证成功,否则此次认证失败。
步骤D中的重认证机制,是在不大于某一认证次数的加密认证失败后可以尝试进行加密认证。
一种服务器管理程序保护系统,包括基板管理控制器、单片机和加密芯片,所述的基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法。
本发明的两级加密认证机制的实质是在基板管理控制器与加密芯片之间增加了一个通用微处理器承载用户自定义加密算法,而加密芯片对通用微处理器进行程序保护。
重认证机制,当加密认证失败不大于某一次数时可以尝试再次进行加密认证,设计降低由总线通信可靠性问题造成的加密认证失败的概率,提高了加密认证的鲁棒性。
本发明提供的技术方案带来的有益效果是:
本发明通过采用单片机与加密芯片的组合对服务器管理程序进行保护。基板管理控制器与单片机之间执行采用了用户自定义的加密算法的上层加密认证方法,单片机与加密芯片之间执行采用了与加密芯片相一致的加密算法的底层加密认证方法,这种两级加密认证方法可以防止程序被非法窃取,并通过合理的方案设计降低由总线通信可靠性问题造成的加密认证失败的概率,提高了加密认证的灵活性和鲁棒性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种服务器管理程序保护方法及系统的加密认证工作流程的示意图。
图2为本发明的一种服务器管理程序保护方法及系统的加密认证工作流程的两级加密认证方法的示意图。
图3是为本发明的一种服务器管理程序保护方法及系统的加密认证工作流程的实施案例的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本实施例的一种服务器管理程序保护方法,基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法,所述的上层加密认证方法采用用户自定义的加密算法,底层加密认证方法采用与加密芯片相一致的加密算法。
具体包括以下步骤:
A、基板管理控制器上电,操作系统内核启动;
B、内核启动时执行加密认证驱动程序:
B1、基板管理控制器加密驱动发起认证请求;
B2、单片机收到基板管理控制器的认证请求信号时触发一次底层加密认证过程;
B3、如果单片机底层加密认证通过,则发送认证应答信号,然后等待基板管理控制器的可能的下一个认证请求信号,否则不发送认证应答信号直接等待基板管理控制器的可能的下一个认证请求信号;
B4、如果基板管理控制器收到单片机的认证应答信号,则启动上层加密认证过程进行加密认证,如果定时超时后未收到单片机的认证应答信号,则此次认证失败;
B5、如果上层加密认证通过,则此次认证成功,否则此次认证失败;
C、如果认证通过,内核继续执行,执行步骤F;
D、如果认证失败,加密驱动启动重认证机制,认证次数不大于某一预定值时返回步骤B,认证次数大于某一预定值时进入步骤E;
E、操作系统内核锁住;
F、内核启动完成,执行管理程序。
步骤D中的重认证机制,是在不大于某一认证次数的加密认证失败后可以尝试进行加密认证。
本发明的具体使用方法如附图3所示,有服务器主板一块,板卡上放置一颗AST2400的基板管理控制器(BMC),AST2400通过I2C总线与单片机进行通信,单片机通过1-Wire单总线与DS28E01-100加密芯片进行通信。AST2400上电后,操作系统内核启动,启动过程中使用本发明所述的两级加密认证方法进行加密认证。如果认证未通过,内核不能继续启动,BMC上的管理进程也无法执行;如果认证通过,内核可以完成启动,并执行BMC上的管理进程。
实施例二:
一种服务器管理程序保护系统,包括基板管理控制器、单片机和加密芯片,所述的基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种服务器管理程序保护方法,其特征在于,基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法,所述的上层加密认证方法采用用户自定义的加密算法,底层加密认证方法采用与加密芯片相一致的加密算法。
2.根据权利要求1所述的一种服务器管理程序保护方法,其特征在于,所述的保护方法具体包括以下步骤:
A、基板管理控制器上电,操作系统内核启动;
B、内核启动时执行加密认证驱动程序;
C、如果认证通过,内核继续执行,执行步骤F;
D、如果认证失败,加密驱动启动重认证机制,认证次数不大于某一预定值时返回步骤B,认证次数大于某一预定值时进入步骤E;
E、操作系统内核锁住;
F、内核启动完成,执行管理程序。
3.根据权利要求2所述的一种服务器管理程序保护方法,其特征在于,所述的步骤B中,执行加密认证驱动程序具体包括以下步骤:
B1、基板管理控制器加密驱动发起认证请求;
B2、单片机收到基板管理控制器的认证请求信号时触发一次底层加密认证过程;
B3、如果单片机底层加密认证通过,则发送认证应答信号,然后等待基板管理控制器的可能的下一个认证请求信号,否则不发送认证应答信号直接等待基板管理控制器的可能的下一个认证请求信号;
B4、如果基板管理控制器收到单片机的认证应答信号,则启动上层加密认证过程进行加密认证,如果定时超时后未收到单片机的认证应答信号,则此次认证失败;
B5、如果上层加密认证通过,则此次认证成功,否则此次认证失败。
4.根据权利要求2所述的一种服务器管理程序保护方法,其特征在于,所述的步骤D中的重认证机制,是在不大于某一认证次数的加密认证失败后可以尝试进行加密认证。
5.一种服务器管理程序保护系统,包括基板管理控制器、单片机和加密芯片,所述的基板管理控制器与单片机之间执行上层加密认证方法,所述的单片机与加密芯片之间执行底层加密认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410711392.2A CN104408364A (zh) | 2014-12-01 | 2014-12-01 | 一种服务器管理程序保护方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410711392.2A CN104408364A (zh) | 2014-12-01 | 2014-12-01 | 一种服务器管理程序保护方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104408364A true CN104408364A (zh) | 2015-03-11 |
Family
ID=52645995
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410711392.2A Pending CN104408364A (zh) | 2014-12-01 | 2014-12-01 | 一种服务器管理程序保护方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104408364A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105550579A (zh) * | 2016-02-02 | 2016-05-04 | 浪潮电子信息产业股份有限公司 | 一种基于tpcm实现bmc完整性度量的方法 |
| CN105610738A (zh) * | 2016-03-08 | 2016-05-25 | 浪潮集团有限公司 | 一种交换机两级加密保护的方法 |
| CN106528458A (zh) * | 2016-11-01 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种接口控制器、基板管理控制器及安全系统 |
| CN106991299A (zh) * | 2017-05-05 | 2017-07-28 | 济南浪潮高新科技投资发展有限公司 | 一种加密认证模块及基于该模块的bios固件保护方法 |
| CN107784208A (zh) * | 2017-11-07 | 2018-03-09 | 湖南长城银河科技有限公司 | 一种基于bmc的授权管理的方法及装置 |
| CN112487500A (zh) * | 2019-09-12 | 2021-03-12 | 环达电脑(上海)有限公司 | 认证方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854243A (zh) * | 2010-04-30 | 2010-10-06 | 株洲南车时代电气股份有限公司 | 一种电路系统设计加密电路及其加密方法 |
| CN104022882A (zh) * | 2014-06-16 | 2014-09-03 | 浪潮集团有限公司 | 一种应用于云计算的加密认证和加密监视的方法 |
-
2014
- 2014-12-01 CN CN201410711392.2A patent/CN104408364A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101854243A (zh) * | 2010-04-30 | 2010-10-06 | 株洲南车时代电气股份有限公司 | 一种电路系统设计加密电路及其加密方法 |
| CN104022882A (zh) * | 2014-06-16 | 2014-09-03 | 浪潮集团有限公司 | 一种应用于云计算的加密认证和加密监视的方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105550579A (zh) * | 2016-02-02 | 2016-05-04 | 浪潮电子信息产业股份有限公司 | 一种基于tpcm实现bmc完整性度量的方法 |
| CN105610738A (zh) * | 2016-03-08 | 2016-05-25 | 浪潮集团有限公司 | 一种交换机两级加密保护的方法 |
| CN106528458A (zh) * | 2016-11-01 | 2017-03-22 | 广东浪潮大数据研究有限公司 | 一种接口控制器、基板管理控制器及安全系统 |
| CN106991299A (zh) * | 2017-05-05 | 2017-07-28 | 济南浪潮高新科技投资发展有限公司 | 一种加密认证模块及基于该模块的bios固件保护方法 |
| CN107784208A (zh) * | 2017-11-07 | 2018-03-09 | 湖南长城银河科技有限公司 | 一种基于bmc的授权管理的方法及装置 |
| CN112487500A (zh) * | 2019-09-12 | 2021-03-12 | 环达电脑(上海)有限公司 | 认证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104408364A (zh) | 一种服务器管理程序保护方法及系统 | |
| US9998464B2 (en) | Storage device security system | |
| EP3275159B1 (en) | Technologies for secure server access using a trusted license agent | |
| CN107667347B (zh) | 用于虚拟化访问由融合式可管理性和安全引擎提供的安全服务的技术 | |
| EP3706019B1 (en) | Hardware-enforced access protection | |
| CN107665308B (zh) | 用于构建和保持可信运行环境的tpcm系统以及相应方法 | |
| CN102955921A (zh) | 电子装置与安全开机方法 | |
| TW200414051A (en) | Encapsulation of a TCPA trusted platform module functionality within a server management coprocessor subsystem | |
| WO2017128720A1 (zh) | 基于vtpm对虚拟机进行安全保护的方法及系统 | |
| WO2019205389A1 (zh) | 电子装置、基于区块链的身份验证方法、程序和计算机存储介质 | |
| CN104969180A (zh) | 与来自主机中央处理单元和操作系统的干扰和控制隔离的用户授权和存在检测 | |
| US20180227288A1 (en) | Password security | |
| US20120239939A1 (en) | Secure Resume for Encrypted Drives | |
| EP2725514B1 (en) | Security information sharing system and execution method thereof | |
| CN111125707A (zh) | 一种基于可信密码模块的bmc安全启动方法、系统及设备 | |
| CN104951688A (zh) | 适用于Xen虚拟化环境下的专用数据加密方法及加密卡 | |
| US20130191879A1 (en) | Methods and systems for information assurance and supply chain security | |
| EP3494482B1 (en) | Systems and methods for storing administrator secrets in management controller-owned cryptoprocessor | |
| US20180053004A1 (en) | Systems and methods for dual-ported cryptoprocessor for host system and management controller shared cryptoprocessor resources | |
| US10146952B2 (en) | Systems and methods for dynamic root of trust measurement in management controller domain | |
| CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
| CN112150151B (zh) | 安全支付方法、装置、电子设备及存储介质 | |
| CN109840409B (zh) | 核心板和核心板启动方法 | |
| CN115062290A (zh) | 一种组件认证方法及装置 | |
| CN105610738A (zh) | 一种交换机两级加密保护的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150311 |
|
| WD01 | Invention patent application deemed withdrawn after publication |