CN105159808A - 一种对bios进行审计的方法 - Google Patents
一种对bios进行审计的方法 Download PDFInfo
- Publication number
- CN105159808A CN105159808A CN201510603651.4A CN201510603651A CN105159808A CN 105159808 A CN105159808 A CN 105159808A CN 201510603651 A CN201510603651 A CN 201510603651A CN 105159808 A CN105159808 A CN 105159808A
- Authority
- CN
- China
- Prior art keywords
- bmc
- tpm
- cpu
- audit
- tpm module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
Abstract
本发明公开了一种对BIOS进行审计的方法,包括下述步骤:(1)当服务器上电后,给所述BMC上电的同时给TPM模块上电,CPU未上电;(2)当BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOS?FW进行审计的审计请求指令;(3)TPM模块接收所述审计请求指令,对BIOS?FW进行审计,并在完成审计后将审计结果发送给BMC;(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;(5)CPU启动后,将TPM模块作为PCIe外设使用。本发明利用服务器BMC永不下电以及优先上电的特殊性,在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前,对BIOS进行审计。
Description
技术领域
本发明属于服务器产品技术领域,更具体地,涉及一种对BIOS进行审计的方法。
背景技术
现有技术是将TPM(TrustedPlatformModule,可信赖平台模块)模块作为服务器的外设插在PCIe插槽中,只有BIOS启动后才能给TPM模块上电并使用TPM模块的审计功能。
现有技术的缺点是必须在BIOS启动后才能使用TPM模块,无法实现在BIOS启动前使用TPM模块,因而也无法在BIOS启动前实现对BIOS的审计。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种对BIOS进行审计的方法,旨在解决现有技术中由于只能在BIOS启动后使用TPM模块导致无法在BIOS启动前实现对BIOS的审计的问题。
本发明提供了一种对BIOS进行审计的方法,包括下述步骤:
(1)当服务器上电后,BMC优先上电,TPM模块也同时上电,而CPU并未上电;
(2)当BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOSFW进行审计的审计请求指令;
(3)TPM模块接收所述审计请求指令,对BIOSFW进行审计,并在完成审计后将审计结果发送给BMC;
(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;
(5)CPU启动后,将TPM模块作为PCIe外设使用。
更进一步地,所述TPM模块对BIOSFW进行审计具体为:TPM模块检查BIOSFW是否被非法修改。
更进一步地,当CPU未上电时,BMC与TPM模块之间进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOSFW。
更进一步地,当CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互。
更进一步地,在BMC上电的同时给TPM模块上电,在CPU启动前由TPM模块对BIOS进行审计。
通过本发明所构思的以上技术方案,与现有技术相比,由于本发明利用服务器BMC永不下电以及优先上电的特性,在BMC上电的同时系统即为TPM模块上电,从而可以在BIOS启动前使用TPM模块,在BIOS启动前实现对BIOS的审计。
附图说明
图1是本发明实施例提供的对BIOS进行审计的方法所基于的系统的原理框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供的一种对BIOS进行审计的方法主要应用于服务器产品技术领域,利用服务器BMC永不下电以及优先上电的特殊性,在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前,对BIOS进行审计。
如图1所示,服务器上电后,BMC优先上电,TPM模块也同时上电,此时CPU并未上电。BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给TPM模块发出审计请求指令,请求TPM模块对BIOSFW进行审计。审计过程是现有技术,TPM就是完成这个功能的,具体如何审计是TPM的工作细节,在此不作赘述。简言之,就是TPM模块检查BIOSFW是否被非法修改。TPM模块完成审计后,TPM模块将审计结果告知BMC。如果审计(审计的意思就是TPM模块检查BIOSFW是否被非法修改。)不通过,BMC将不会给CPU上电。如果审计通过,BMC将首先关闭BMC与TPM模块之间的数据通道,然后再给CPU上电。CPU启动之后,将TPM模块作为一个普通的PCIe外设使用。
从数据流动的角度看,CPU未上电时,BMC与TPM模块进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOSFW。CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互,此时TPM模块与普通的PCIe外设没有区别。
本发明针对TPM模块的双数据通道设计,以及在BMC上电的同时即为TPM模块上电,使TPM模块既可以在CPU上电后作为通用的PCIe外设使用,又可以使TPM模块在CPU上电前即可被BMC使用,实现在CPU启动BIOS前对BIOS进行审计。
在本发明实施例中,TPM模块双数据通道设计;BMC上电的同时即给TPM模块上电。CPU启动前由TPM模块对BIOS进行审计。BMC给CPU上电前先关闭BMC与TPM模块之间的数据通道。
本发明利用服务器BMC永不下电以及优先上电的特性,在BMC上电的同时系统即为TPM模块上电,从而可以在BIOS启动前使用TPM模块,在BIOS启动前实现对BIOS的审计。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种对BIOS进行审计的方法,其特征在于,包括下述步骤:
(1)当服务器上电后,给所述BMC上电的同时给TPM模块上电,CPU未上电;
(2)当BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOSFW进行审计的审计请求指令;
(3)TPM模块接收所述审计请求指令,对BIOSFW进行审计,并在完成审计后将审计结果发送给BMC;
(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;
(5)CPU启动后,将TPM模块作为PCIe外设使用。
2.如权利要求1所述的方法,其特征在于,所述TPM模块对BIOSFW进行审计具体为:TPM模块检查BIOSFW是否被非法修改。
3.如权利要求1所述的方法,其特征在于,当CPU未上电时,BMC与TPM模块之间进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOSFW。
4.如权利要求1所述的方法,其特征在于,当CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互。
5.如权利要求1-4任一项所述的方法,其特征在于,在BMC上电的同时给TPM模块上电,在CPU启动前由TPM模块对BIOS进行审计。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510603651.4A CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
PCT/CN2015/096565 WO2017049770A1 (zh) | 2015-09-21 | 2015-12-07 | 一种对bios进行审计的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510603651.4A CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105159808A true CN105159808A (zh) | 2015-12-16 |
CN105159808B CN105159808B (zh) | 2019-02-19 |
Family
ID=54800670
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510603651.4A Active CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105159808B (zh) |
WO (1) | WO2017049770A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106484578A (zh) * | 2016-10-14 | 2017-03-08 | 苏州国芯科技有限公司 | 一种基于可信计算机硬件的校验系统 |
CN106874771A (zh) * | 2017-02-16 | 2017-06-20 | 浪潮(北京)电子信息产业有限公司 | 一种构建可信硬件信任链的方法以及装置 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020004905A1 (en) * | 1998-07-17 | 2002-01-10 | Derek L Davis | Method for bios authentication prior to bios execution |
CN1723425A (zh) * | 2002-10-09 | 2006-01-18 | 英特尔公司 | 在服务器管理协处理器子系统内封装tcpa可信平台模块功能 |
CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
CN104580483A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于tpm2.0芯片的可信移动模块实现方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7986786B2 (en) * | 2006-11-30 | 2011-07-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor |
CN101281577B (zh) * | 2008-05-16 | 2010-06-23 | 北京工业大学 | 一种对bios进行保护的可信计算系统及其应用方法 |
CN100568254C (zh) * | 2008-06-20 | 2009-12-09 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN103488498B (zh) * | 2013-09-03 | 2017-02-22 | 华为技术有限公司 | 一种计算机启动方法及计算机 |
-
2015
- 2015-09-21 CN CN201510603651.4A patent/CN105159808B/zh active Active
- 2015-12-07 WO PCT/CN2015/096565 patent/WO2017049770A1/zh active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020004905A1 (en) * | 1998-07-17 | 2002-01-10 | Derek L Davis | Method for bios authentication prior to bios execution |
CN1723425A (zh) * | 2002-10-09 | 2006-01-18 | 英特尔公司 | 在服务器管理协处理器子系统内封装tcpa可信平台模块功能 |
CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
CN104580483A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于tpm2.0芯片的可信移动模块实现方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106484578A (zh) * | 2016-10-14 | 2017-03-08 | 苏州国芯科技有限公司 | 一种基于可信计算机硬件的校验系统 |
CN106874771A (zh) * | 2017-02-16 | 2017-06-20 | 浪潮(北京)电子信息产业有限公司 | 一种构建可信硬件信任链的方法以及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN105159808B (zh) | 2019-02-19 |
WO2017049770A1 (zh) | 2017-03-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10552827B2 (en) | Dynamic digital certificate updating | |
US20160203340A1 (en) | Method and apparatus for securely saving and restoring the state of a computing platform | |
WO2019101233A3 (en) | Property management system utilizing a blockchain network | |
US10255438B2 (en) | Operating system agnostic validation of firmware images | |
US9886568B2 (en) | Systems and methods for secure remote management controller reset | |
KR101686982B1 (ko) | 재프로그램 가능한 보안 암호화 장치 | |
US20140223523A1 (en) | System and method for nfc peer-to-peer authentication and secure data transfer | |
CN110661779B (zh) | 基于区块链网络的电子证件管理方法、系统、设备及介质 | |
CN104021104A (zh) | 一种基于双总线结构的协同系统及其通信方法 | |
AU2015218632A1 (en) | Universal authenticator across web and mobile | |
JP2016500868A5 (zh) | ||
US11636184B2 (en) | Method for providing cloud-based service | |
CN104408364A (zh) | 一种服务器管理程序保护方法及系统 | |
CN105159808A (zh) | 一种对bios进行审计的方法 | |
US9069937B2 (en) | Converting traditional computer product licenses into cloud-based entitlements | |
US20160080377A1 (en) | Systems and methods for providing secure pre-boot and root authentication to an information handling system | |
US11683104B2 (en) | Audio based service set identifier | |
WO2015007184A1 (zh) | 多应用智能卡及智能卡多应用管理方法 | |
US20230237181A1 (en) | Extending private cloud security model to public cloud | |
US10656991B2 (en) | Electronic component having redundant product data stored externally | |
US11558202B2 (en) | Network device authentication | |
US20210321197A1 (en) | Graphical User Interface Indicator for Broadcaster Presence | |
US9641007B2 (en) | Coupling mobile devices for tetherless charging or communication | |
CN104156761A (zh) | 身份证数据传输系统及方法 | |
US20170111171A1 (en) | Systems and methods for revoking and replacing signing keys |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Suzhou City, Jiangsu province high tech Zone of Suzhou science and technology city science sanroad No. 9 Applicant after: Suzhou Zhongtai server Co. Ltd. Address before: 518057, No. 302, block A, Tsinghua information harbor, North Zone, hi tech Zone, Guangdong, Shenzhen Applicant before: WUXI ZOOM SERVER CO., LTD. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |