CN105159808B - 一种对bios进行审计的方法 - Google Patents
一种对bios进行审计的方法 Download PDFInfo
- Publication number
- CN105159808B CN105159808B CN201510603651.4A CN201510603651A CN105159808B CN 105159808 B CN105159808 B CN 105159808B CN 201510603651 A CN201510603651 A CN 201510603651A CN 105159808 B CN105159808 B CN 105159808B
- Authority
- CN
- China
- Prior art keywords
- bmc
- tpm
- bios
- cpu
- powered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/22—Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明公开了一种对BIOS进行审计的方法,包括下述步骤:(1)当服务器上电后,给所述BMC上电的同时给TPM模块上电,CPU未上电;(2)当BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令;(3)TPM模块接收所述审计请求指令,对BIOS FW进行审计,并在完成审计后将审计结果发送给BMC;(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;(5)CPU启动后,将TPM模块作为PCIe外设使用。本发明利用服务器BMC永不下电以及优先上电的特殊性,在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前,对BIOS进行审计。
Description
技术领域
本发明属于服务器产品技术领域,更具体地,涉及一种对BIOS进行审计的方法。
背景技术
现有技术是将TPM(Trusted Platform Module,可信赖平台模块)模块作为服务器的外设插在PCIe插槽中,只有BIOS启动后才能给TPM模块上电并使用TPM模块的审计功能。
现有技术的缺点是必须在BIOS启动后才能使用TPM模块,无法实现在BIOS启动前使用TPM模块,因而也无法在BIOS启动前实现对BIOS的审计。
发明内容
针对现有技术的缺陷,本发明的目的在于提供一种对BIOS进行审计的方法,旨在解决现有技术中由于只能在BIOS启动后使用TPM模块导致无法在BIOS启动前实现对BIOS的审计的问题。
本发明提供了一种对BIOS进行审计的方法,包括下述步骤:
(1)当服务器上电后,BMC优先上电,TPM模块也同时上电,而CPU并未上电;
(2)当BMC启动完毕后,BMC使能TPM模块,在CPU未上电时,BMC与TPM模块通过SPI数据通道进行数据交互,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令;
(3)TPM模块接收所述审计请求指令,对BIOS FW进行审计,在CPU启动前由TPM模块对BIOS进行审计,并在完成审计后将审计结果发送给BMC;
(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;
(5)CPU启动后,CPU与TPM之间通过PCIe数据通道进行数据交互,将TPM模块作为PCIe外设使用。
更进一步地,所述TPM模块对BIOS FW进行审计具体为:TPM模块检查BIOS FW是否被非法修改。
更进一步地,当CPU未上电时,BMC与TPM模块之间进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOS FW。
更进一步地,当CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互。
更进一步地,在BMC上电的同时给TPM模块上电,在CPU启动前由TPM模块对BIOS进行审计。
通过本发明所构思的以上技术方案,与现有技术相比,由于本发明利用服务器BMC永不下电以及优先上电的特性,在BMC上电的同时系统即为TPM模块上电,从而可以在BIOS启动前使用TPM模块,在BIOS启动前实现对BIOS的审计。
附图说明
图1是本发明实施例提供的对BIOS进行审计的方法所基于的系统的原理框图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供的一种对BIOS进行审计的方法主要应用于服务器产品技术领域,利用服务器BMC永不下电以及优先上电的特殊性,在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前,对BIOS进行审计。
如图1所示,服务器上电后,BMC优先上电,TPM模块也同时上电,此时CPU并未上电。BMC启动完毕后,BMC使能TPM模块,同时在等待一段TPM模块的初始化时间之后,BMC给TPM模块发出审计请求指令,请求TPM模块对BIOS FW进行审计。审计过程是现有技术,TPM就是完成这个功能的,具体如何审计是TPM的工作细节,在此不作赘述。简言之,就是TPM模块检查BIOS FW是否被非法修改。TPM模块完成审计后,TPM模块将审计结果告知BMC。如果审计(审计的意思就是TPM模块检查BIOS FW是否被非法修改。)不通过,BMC将不会给CPU上电。如果审计通过,BMC将首先关闭BMC与TPM模块之间的数据通道,然后再给CPU上电。CPU启动之后,将TPM模块作为一个普通的PCIe外设使用。
从数据流动的角度看,CPU未上电时,BMC与TPM模块进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOS FW。CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互,此时TPM模块与普通的PCIe外设没有区别。
本发明针对TPM模块的双数据通道设计,以及在BMC上电的同时即为TPM模块上电,使TPM模块既可以在CPU上电后作为通用的PCIe外设使用,又可以使TPM模块在CPU上电前即可被BMC使用,实现在CPU启动BIOS前对BIOS进行审计。
在本发明实施例中,TPM模块双数据通道设计;BMC上电的同时即给TPM模块上电。CPU启动前由TPM模块对BIOS进行审计。BMC给CPU上电前先关闭BMC与TPM模块之间的数据通道。
本发明利用服务器BMC永不下电以及优先上电的特性,在BMC上电的同时系统即为TPM模块上电,从而可以在BIOS启动前使用TPM模块,在BIOS启动前实现对BIOS的审计。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种对BIOS进行审计的方法,其特征在于,包括下述步骤:
(1)当服务器上电后,给BMC上电的同时给TPM模块上电,CPU未上电;
(2)当BMC启动完毕后,BMC使能TPM模块,在CPU未上电时,BMC与TPM模块通过SPI数据通道进行数据交互,同时在等待一段TPM模块的初始化时间之后,BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令;
(3)TPM模块接收所述审计请求指令,对BIOS FW进行审计,在CPU启动前由TPM模块对BIOS进行审计,并在完成审计后将审计结果发送给BMC;
(4)当审计不通过时,BMC将不给CPU上电;当审计通过时,BMC将先关闭BMC与TPM模块之间的数据通道,再给CPU上电;
(5)CPU启动后,CPU与TPM之间通过PCIe数据通道进行数据交互,将TPM模块作为PCIe外设使用。
2.如权利要求1所述的方法,其特征在于,所述TPM模块对BIOS FW进行审计具体为:TPM模块检查BIOS FW是否被非法修改。
3.如权利要求1所述的方法,其特征在于,当CPU未上电时,BMC与TPM模块之间进行数据交互,BMC向TPM发出请求审计指令,TPM通过SPI数据通道访问BIOS FW。
4.如权利要求1所述的方法,其特征在于,当CPU上电后,BMC与TPM之间的数据通道被BMC关闭,CPU与TPM之间通过PCIe数据通道进行数据交互。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510603651.4A CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
PCT/CN2015/096565 WO2017049770A1 (zh) | 2015-09-21 | 2015-12-07 | 一种对bios进行审计的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510603651.4A CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105159808A CN105159808A (zh) | 2015-12-16 |
CN105159808B true CN105159808B (zh) | 2019-02-19 |
Family
ID=54800670
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510603651.4A Active CN105159808B (zh) | 2015-09-21 | 2015-09-21 | 一种对bios进行审计的方法 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105159808B (zh) |
WO (1) | WO2017049770A1 (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106484578A (zh) * | 2016-10-14 | 2017-03-08 | 苏州国芯科技有限公司 | 一种基于可信计算机硬件的校验系统 |
CN106874771A (zh) * | 2017-02-16 | 2017-06-20 | 浪潮(北京)电子信息产业有限公司 | 一种构建可信硬件信任链的方法以及装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1723425A (zh) * | 2002-10-09 | 2006-01-18 | 英特尔公司 | 在服务器管理协处理器子系统内封装tcpa可信平台模块功能 |
CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
CN104580483A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于tpm2.0芯片的可信移动模块实现方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6401208B2 (en) * | 1998-07-17 | 2002-06-04 | Intel Corporation | Method for BIOS authentication prior to BIOS execution |
US7986786B2 (en) * | 2006-11-30 | 2011-07-26 | Hewlett-Packard Development Company, L.P. | Methods and systems for utilizing cryptographic functions of a cryptographic co-processor |
CN101281577B (zh) * | 2008-05-16 | 2010-06-23 | 北京工业大学 | 一种对bios进行保护的可信计算系统及其应用方法 |
CN100568254C (zh) * | 2008-06-20 | 2009-12-09 | 北京工业大学 | 一种可信平台模块及其主动度量方法 |
CN103488498B (zh) * | 2013-09-03 | 2017-02-22 | 华为技术有限公司 | 一种计算机启动方法及计算机 |
-
2015
- 2015-09-21 CN CN201510603651.4A patent/CN105159808B/zh active Active
- 2015-12-07 WO PCT/CN2015/096565 patent/WO2017049770A1/zh active Application Filing
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1723425A (zh) * | 2002-10-09 | 2006-01-18 | 英特尔公司 | 在服务器管理协处理器子系统内封装tcpa可信平台模块功能 |
CN102663301A (zh) * | 2012-04-13 | 2012-09-12 | 北京国基科技股份有限公司 | 一种可信计算机及可信性检测方法 |
CN104410636A (zh) * | 2014-12-01 | 2015-03-11 | 浪潮集团有限公司 | 一种云计算系统中增强bmc/smc安全性的方法 |
CN104580483A (zh) * | 2015-01-19 | 2015-04-29 | 浪潮电子信息产业股份有限公司 | 一种基于tpm2.0芯片的可信移动模块实现方法 |
Also Published As
Publication number | Publication date |
---|---|
WO2017049770A1 (zh) | 2017-03-30 |
CN105159808A (zh) | 2015-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11720503B2 (en) | Technologies for secure authentication and programming of accelerator devices | |
US9407636B2 (en) | Method and apparatus for securely saving and restoring the state of a computing platform | |
EP3582129B1 (en) | Technologies for secure hardware and software attestation for trusted i/o | |
EP3518131A1 (en) | Device authentication | |
KR101662618B1 (ko) | 단일 신뢰 플랫폼 모듈을 가진 플랫폼 컴포넌트의 측정 | |
US11487852B2 (en) | Blockchain-based license management | |
KR102062480B1 (ko) | 신뢰성 있는 서비스 상호작용 | |
BR112018011775B1 (pt) | Método e sistema de uso de assinaturas digitais para assinar transações de blockchain | |
CN103942678A (zh) | 一种基于可信执行环境的移动支付系统及方法 | |
US11644980B2 (en) | Trusted memory sharing mechanism | |
US9053305B2 (en) | System and method for generating one-time password for information handling resource | |
TWI723554B (zh) | 可信計算方法及伺服器 | |
US10255438B2 (en) | Operating system agnostic validation of firmware images | |
EP2619707B1 (en) | Verification and protection of genuine software installationv using hardware super key | |
US11783043B2 (en) | Methods for authentication of firmware images in embedded systems | |
CN105159808B (zh) | 一种对bios进行审计的方法 | |
US10366025B2 (en) | Systems and methods for dual-ported cryptoprocessor for host system and management controller shared cryptoprocessor resources | |
CN104408364A (zh) | 一种服务器管理程序保护方法及系统 | |
US9069937B2 (en) | Converting traditional computer product licenses into cloud-based entitlements | |
US11822669B2 (en) | Systems and methods for importing security credentials for use by an information handling system | |
CN104202422B (zh) | 一种支持物联网接入的无线连接系统及方法 | |
Zhang et al. | A portable TPM based on USB key | |
CN112862484A (zh) | 一种基于多端交互的安全支付方法及装置 | |
CN203720847U (zh) | 一种用于国产计算机平台的自主安全可信加密设备 | |
US20230011005A1 (en) | Systems and methods for authenticating configurations of an information handling system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: Suzhou City, Jiangsu province high tech Zone of Suzhou science and technology city science sanroad No. 9 Applicant after: Suzhou Zhongtai server Co. Ltd. Address before: 518057, No. 302, block A, Tsinghua information harbor, North Zone, hi tech Zone, Guangdong, Shenzhen Applicant before: WUXI ZOOM SERVER CO., LTD. |
|
COR | Change of bibliographic data | ||
GR01 | Patent grant | ||
GR01 | Patent grant |