CN106599694A - 安全防护管理方法、计算机系统和计算机可读取存储媒体 - Google Patents

Abstract

本发明涉及安全防护管理方法、计算机系统以及非暂态计算机可读取存储媒体。本技术的各种实施例提供操作系统装载前的一种优先启动机架系统安全防护模块的方法。安全防护模块检查伺服器平台的安全性，通过基板管理控制器(BMC)向管理员进行通信，认证机架系统主板上的固件签名，通过隔离无认证的统一可延伸固件接口映像文件来排除恶意软件，检查签名列表和安装在主板上的安全防护密钥，和向机架系统的控制器(例如BMC)报告安全防护管理的状态。当安全防护模块确定未认证的固件或带有恶意软件的可启动存储装置被装载到机架系统，安全防护模块停止与未经认证固件和可启动存储装置相关的程序，随后发送报告通知管理员。

Description

安全防护管理方法、计算机系统和计算机可读取存储媒体

技术领域

本发明涉及通信网络中的伺服器系统。

背景技术

伺服器安全防护(server security)使得数据中心可以防止伺服器信息被网络恶意攻击。在传统的系统中，一个区域上可受信任链锁机制通常用来保护伺服器平台或一部分的伺服器平台免受攻击。当伺服器平台开机后，一个统一可延伸固件接口(UEFI)BIOS会初始化硬件元件并装载操作系统。统一可延伸固件接口BIOS可以无限制地存取伺服器上储存的所有数据与信息。某些伺服器进一步以基于传统基本输入输出存储系统和TCG EFI平台的规范(例如TCG计算机客户的特定实施规范)，将统一可延伸固件接口的基本输入输出存储系统验证为信任链(trust train)的一区块。

然而，在传统的机架系统中，安全防护应用程序会常驻于操作系统层且只在操作系统装载后才启动。黑客可能会藉由以恶意软件取代开机存储装置或是在操作系统装载前植入恶意的统一可延伸固件接口驱动程序来攻击机架系统。

发明内容

根据本发明中的各种实施例的系统与方法，通过使用安全防护模块收集信任链的状态、监控安全防护认证的驱动程序以及认证机架伺服器签名列表，提供上述提及的问题的解决方案。更具体地说，本发明的各种实施方式提供多种在操作系统装载前先启动机架系统的安全防护模块的系统及方法。安全防护模块可经配置以检查伺服器平台的安全性，通过基板管理控制器(BMC)向管理员进行通信，认证在机架系统的主板上的多个固件(firmware pieces)的签名，通过隔离无认证的统一可延伸固件接口映像文件来排除恶意软件，检查一个签名列表和安装在主板上的安全防护密钥，和/或向机架系统的控制器(例如：BMC)报告安全防护管理的状态。当安全防护模块确定未经认证的固件或带有恶意软件的可启动存储装置被装载到机架系统，安全防护模块可以停止与未经认证固件以及可启动存储装置相关联的一个或多个程序，并随后发送报告通知基板管理控制器与管理员。

在一些实施例中，安全防护模块用于判断来自第三方的可执行映像文件或是机架系统的硬件与固件在系统中是否安全。在一些实施例中，安全防护模块可检查安全防护暂存器的设定以判断机架系统的闪速存储器芯片是否启动保护机制；当判断恶意软件企图写入闪速存储器芯片，启用未遮罩阻断例程(unmask interruption service routine)。安全防护模块也可管理自我加密驱动(self-encrypting drives；SED)钥匙安装与取得密码或安全防护密钥，该密码或安全防护密钥来自于机架系统驱动程序所使用的带外可延伸固件接口密钥管理服务协议(UEFI EFI_KMS Protocol)。安全防护模块可进一步用于由可信任平台模块(trust platform module；TPM)传送加密散列函数值至机架系统的控制器(例如基板管理控制器)。

在一些实施例中，安全防护模块可比较用于机架系统的驱动程序的已认证签名与存放于系统中授权数据库的签名，以及藉由来自机架系统控制器(例如：基板管理控制器)的金钥覆写签名以启用未认证统一可延伸固件接口驱动程序。安全防护模块可传送统一可延伸固件接口驱动程序已认证的签名的状态至控制器，且协助控制器监控、产生或删除授权的数据库。在一些实施例中，安全防护模块可进一步用于支持机架系统中网络协议的监控、启用“阻断输入输出协议(blocking I/O protocol)”或是在由控制器取得存取许可前，设定网络请求的属性例程为“回呼”(call-back)。在一些实施例中，安全防护模块可比较机架系统中每一个可执行映像文件的已认证签名与授权数据库中的签名，藉由来自以机架系统控制器的金钥覆写的签名，启动一未认证可执行映像文件。

在一些实施例中，安全防护模块可使用原始设备制造商(OEM)的智能平台管理界面(IPMI)指令或是芯片组支持的私人邮箱(Private Mail supported by Silicon)与机架系统的控制器沟通。当不同的安全性报告、对策读取、安全防护密钥请求或是签名数据库管理发生，安全防护模块启用与其对应的原始设备制造商的智能平台管理界面指令。

在一些实施例中，未遮罩服务例程包含：当恶意软件或是第三方的应用/固件程序企图改变安全性功能、安全防护密钥或是未经许可更新固件，登录一安全防护事件到机架系统的控制器。在一些实施例中，当第三方的应用程序或是固件在开机自我检测期间，企图存取存储装置或是机架系统的网络，则启用“回呼”例程。没有得到机架系统控制器的许可之前，第三方的应用/固件程序是不能使用阻断输入输出协议“block I/O Protocol”或是“网络协议”。

附图说明

为了描述上述提及的模式与其他已揭示的特征及优点，上述简要描述的原理的更详细说明可参考以附图显示的特定范例。不因为了解揭示的范例附图描述而限制其范畴，通过附图描述与解释其原理的额外的特定性与细节：

图1A为根据本发明实施例显示一示范性机架系统下的电路方块图。

图1B为根据本发明实施例显示一示范性伺服器系统下的电路方块图。

图2为根据本发明实施例显示机架系统下安全防护管理的示范性方法。

图3为根据本发明实施例显示一机架系统下安全防护管理的另一示范性方法。

图4为根据本发明实施例显示一机架系统下安全防护管理的另一示范性方法。

图5为根据本发明实施例显示一机架系统下安全防护管理的另一示范性方法。

图6为根据本发明实施例显示一机架系统下安全防护管理的另一示范性方法。

图7为根据本发明实施例显示一机架系统下安全防护管理的另一示范性方法。

图8为根据本发明的各种实施例显示一示范性计算装置。

图9A与图9B为根据本发明的各种实施例显示一示范性系统。

【附图符号说明】

10～机架系统；

102～安全防护模块；

104～存储装置；

106～操作系统；

108～开机映像文件；

110～固件与统一可延伸固件接口驱动程序；

112～控制器；

114～电源供应器；

100～伺服器系统；

118～直流输出；

140、862～中央处理器；

142、912～高速存储器；

144～南桥芯片；

146～快捷外设互联标准总线；

150～外围输入输出装置；

152～可信任平台模块控制器；

160、162～快捷外设互联标准插槽；

170、172～快捷外设互联插槽；

182～北桥芯片；

184～主存储器；

200、300、400、500、600、700～安全防护管理方法；

202、204、206、208、212、214、216、218～步骤；

302、304、306、308、310、312、314、316～步骤；

402、404、406、408、410、412、414、416、418～步骤；

502、504、506、508、510、512、514、516、518、520～步骤；602、604、606、608、610、～步骤；

702、704、706、708、710、712、714～步骤；

800、900～计算装置；

815、905～总线；

861、915～存储器装置；

863、910、955～处理器；

868～接口；

920～只读存储器；

925、975～随机存取存储器；

930、970～储存装置；

932、934、936～模块；

935、965～输出装置；

940、990～通信接口；

945～输入装置；

950～计算机系统；

960～芯片；

980～电桥；

985～使用者接口元件。

具体实施方式

更具体地说，本发明的各种实施方式提供在操作系统装载前先启动机架系统的安全防护模块的系统及方法。安全防护模块可经配置以检查伺服器平台的安全性，通过基板管理控制器(BMC)向管理员进行通信，认证在机架系统的主板上的多个固件(firmwarepieces)的签名，通过隔离无认证的UEFI映像文件来排除恶意软件，检查一个签名列表和安装在主板上的安全防护密钥，和/或向机架系统的控制器(例如：BMC)报告安全防护管理的状态。当安全防护模块确定未经认证的固件或带有恶意软件的可启动存储装置被装载到机架系统，安全防护模块可以停止与未经认证固件以及可启动存储装置相关联的一个或多个程序，并随后发送报告通知管理员。

图1A是根据本发明的一机架系统的电路示意图。机架系统10包含一个或多个伺服器系统。此范例中，机架系统10包含一安全防护模块102、一个或多个存储装置104、一操作系统106、一个或多个开机映像文件108、多个固件与统一可延伸固件接口驱动程序110、一个或多个控制器(例如：基板管理控制器或是积架管理控制器)。安全防护模块102会常驻在机架系统10的基本输入输出系统，被配置以监控固件与统一可延伸固件驱动程序110、开机映像文件(bootable image)108、伺服器安全防护密码和/或安全防护密钥的状态，并向控制器112或是管理员报告伺服器安全性的状态。

安全防护模块102会在机架系统10开机时被启动。在操作系统106装载前，安全防护模块102会通过控制器112以带外(out of band)的方式报告机架系统10的安全防护状态与策略。当检测到带有恶意软件的未认证固件与开机映像文件被装载进机架系统10且试图存取存放在存储装置104或是其余存储装置的数据时，安全防护模块102会阻止此程序并发送报告给机架系统10的管理员。

图1B是根据本发明的机架系统的电路示意图。此范例中，伺服器系统100包含连接至高速存储器142的至少一个微处理器或中央处理器140、主存储器184、一个或多个提供伺服器系统100电源的电源供应器114。主存储器184通过北桥芯片130耦接至中央处理器140。存储器控制模块(未图示)藉由在存储器操作时发出必要的控制信号来控制主存储器184的操作。主存储器184可以包括动态随机存取存储器、倍速数据传输(DDR)动态随机存存储器、静态随机存取存储器或其他适合的存储器，但不限于此。

在一些实施例中，中央处理器140可以是多核心处理器，其每个处理器通过与北桥芯片逻辑130连接的中央处理器总线相互耦接。在一些实施方式中，北桥芯片182会被整合进中央处理器140。北桥芯片182也可以连接至多个快捷外设互联标准插槽160、南桥芯片144(可选择)。多个快捷外设互联标准插槽160被用作为连接与总线，例如快捷外设互联标准x1、万用串行总线2.0、系统管理总线、用户识别卡、其他快捷外设互联标准通道的未来延伸应用、1.5v与3.3v电源以及连线到伺服器机壳上的诊断指示发光二极管。

此范例中，北桥芯片182与南桥芯片144藉由快捷外设互联总线146相连接。快捷外设互联总线能支持中央处理器140的功能，但在常用标准格式中是独立于任何中央处理器原有的总线。快捷外设互联总线146连接至多个快捷外设互联插槽170(例如：快捷外设互联插槽172)。连接到快捷外设互联总线146的装置可能会是一个被直接连接到中央处理器的总线、指派地址到中央处理器140的地址空间并与单总线时钟同步的总线控制器(未图示)。快捷外设互联卡被用于多个快捷外设互联插槽170，此插槽可以包括网络接口卡、音效卡、数据机、电视调谐器卡、光盘控制器、显示卡、小型计算机系统接口(SCSI)适配器以及个人计算机存储卡国际协会(PCMCIA)卡，但不限于此。

南桥芯片144藉由扩展总线将快捷外设互联总线146耦接至多个外围输入输出装置150(例如：可信任平台模块(TCM)控制器152)。扩展总线让南桥芯片144能与外围装置通信，外围装置可以包括工业标准架构(ISA)总线、PC/104总线、低带宽总线、延伸工业标准架构(EISA)总线、通用串行总线(USB)、集成驱动器电子(IDE)总线或是其他任何适合外围装置通信的总线，但不限于此。

此范例中，南桥芯片144还耦接到与一个或多个电源供应器相连接的控制器112。一个或多个电源供应器被配置为提供电源给伺服器系统100的各种元件，例如中央处理器140、高速存储器142、北桥芯片130、快捷外设互联标准插槽160、主存储器184、南桥芯片144、外围输入输出装置150、快捷外设互联插槽170以及控制器112。开机上电后，伺服器系统10被配置为由存储器、计算机存储装置或是外部存储装置下载软件应用程序，以便执行多种操作功能。

在一些实施例中，控制器112可被当作基板管理控制器、机架管理控制器、键盘控制器、或是任何其他适合形态的系统控制器。在一些实施例中，控制器112被配置为控制伺服器系统100的操作和/或通过网络与管理员通信。

在一些实施例中，控制器112可由内建于伺服器系统100的不同形态感测器收集参数(例如：温度、冷却风扇速度、电源状态、存储器以及操作系统状态)。在一些实施例中，控制器112被配置为视情况有必要时能采取适当的措施。例如，当内建于伺服器系统100的不同形态感测器参数超过用以指出伺服器系统100有潜在故障的预设限值，控制器112会被配置为针对这些潜在故障做出适当的措施。适当的措施可以包括通过网络传送警示信号给中央处理器140或是系统管理员、采取一些校正的措施(例如重开机或是电源循环(powercycling)这些节点使得操作系统重新操作)，但不限于此。

虽然只有某些元件显示于图1B中的伺服器系统100和图1A中的机架系统10，各种形态能处理或存储数据、接收或传送信号的电子或计算元件亦可被包括在图1B中的伺服器系统100和图1A中的机架系统10。除此之外，图1B中伺服器系统100和图1A中机架系统10的电子或计算元件被配置为执行各种形态的应用程序或是使用各种形态的操作系统。这些操作系统可以包括但不限于安卓、柏克莱软件分布(BSD)、苹果手机操作系统(iOS)、LINUX、OSX、UNIX即时操作系统(例如：QNX)、微软视窗、芒果手机(windows phone)以及国际商业机器操作系统(IBM z/OS)。

依据需求于图1B中伺服器系统100和图1A中机架系统10的实施例，各种网络和信息协议可以被使用，可以包括传输控制协议/因特网互联协议(TCP/IP)、开放式通信系统互连(OSI)、网络文档共享系统(FTP)、通用即插即用网络(UpnP)、网络文档系统(NFS)、常用网络文档系统(CIFS)、苹果网络(AppleTalk)等，但不限于此。如本领域的技术人员可理解，图1B中伺服器系统100和图1A中机架系统10是用于解释说明。因此，适当地来说，实现一个网络系统充满许多变数，但仍根据本发明的各种实施例来提供网络平台的架构。

在图1B和图1A中的示范架构，图1B中伺服器系统100和图1A中机架系统10也包含能在特定无线通道的计算范围内一个或多个电子装置相互通信的无线元件。无线通道可以是被装置使用无线通信的任何适合的通道，例如蓝牙手机、近场通信或无线网络通道。就此技术领域，此装置具有一个或多个传统有线通信连接是可以被理解的。各种其他元件或组合也可能在此不同实施例的范围中。

图2是根据本发明的机架系统内的安全防护管理方法200的一实施例。需了解的是安全防护管理方法200为了说明而单独呈现且此方法亦可同时以额外的、较少的或相似或相异顺序的替代步骤实现。安全防护管理方法200起始于步骤202。

在步骤204中，检查机架系统的安全防护功能(security feature)以判断安全防护功能是否被启动。安全防护功能包括启动机架系统内闪速存储器芯片的写入保护机制、启动可信任平台模块或启动安全防护模式开机。如果机架系统的安全防护功能未启动，“非安全模式”记录(“no security”entry)会登录在机架系统的系统事件日志上，如步骤206所示。

在步骤208中，当安全防护功能被启动，致使安全防护模块(例如：图1A所示)于机架系统的操作系统被装载之前启动。在一些实施例中，藉由将对应签名与授权签名列表中的签名进行比对，以检查该机架系统的每个统一可延伸固件接口驱动程序，并向该机架系统的控制器报告上述检查(比对)步骤的状态。在一些实施例中，安全防护模块可以由可信平台模块发送加密散列函数值到机架系统的控制器，并启动该控制器去修改授权签名列表。

在一些实施例中，安全防护模块可以由统一可延伸固件接口驱动程序接收可执行映像文件；比较可执行映像文件的签名与授权签名列表中的签名；当判断出可执行映像文件的签名是未授权的，启动机架系统的控制器以金钥来覆写可执行映像文件。在一些实施例中，安全防护模块还可以由控制器接收该统一可延伸固件接口驱动程序的对应策略；如果统一可延伸固件接口驱动程序的对应签名不在授权签名列表中，排除统一可延伸固件接口驱动程序。然而，根据本发明其它安全防护检查方法也是可行的本发明的实施例不局限于说明书中的范例。

在步骤212中，安全防护模块可检查机架系统的任一平台固件模块是否尚未安全防护认证。当判断有一平台固件模块尚未安全防护认证，安全防护模块停止开机自我检测程序，如步骤214所示。在一些实施例中，安全防护模块还可以登录“固件未认证”记录(“firmware not signed”entry)于系统事件日志上，并发送带外的报告给管理员。

当判断所有机架系统的固件模块都有安全防护认证，安全防护模块允许开机自我检测继续进行，如步骤216所示。安全防护管理方法200于步骤218结束。

在某些实施例中，安全防护模块接收来自装置固件或机架系统的操作系统的安全防护密钥请求，并将原始设备制造商的智能平台管理界面命令与相容于控制器的密钥管理互操作协议参数一起送出。表1所示为原始设备制造商的智能平台管理界面命令的范例，但不限定于此。

表格1

在一些实施例中，当第三方的统一可延伸固件接口驱动程序正存取在开机自我检测时的机架系统，安全防护模块将启用回呼例程，并在接收由机架系统控制器(例如：基板管理控制器)而来的授权之前，阻断第三方的统一可延伸固件接口驱动程序的输入输出协议和网络协议。系统管理中断服务例程(例如：回呼例程)的非限制性范例列于下表，如表2所示。

表格2

图3是根据本发明的机架系统内的安全防护管理方法300的另一实施例。在步骤302中，检测机架系统的安全防护功能。在步骤304中，判断安全防护功能是否启动。在步骤306中，当安全防护功能尚未启动，“非安全模式”记录会登录在机架系统的系统事件日志上。在步骤308中，当判断安全防护功能已被启动，激活(activate)平台架构暂存器(PCR)的监控例程。

在步骤310中，激活安全防护开机监控例程。在步骤312中，由数据库发送一签名列表至机架系统的基板管理控制器。在步骤314中，基板管理控制器可增加或删除任何签名列表的记录。在步骤316中，由基板管理控制器接收一更新的安全防护对策。

图4是根据本发明的机架系统内的安全防护管理方法400的另一实施例。在步骤402中，激活一安全防护e模块(security eModule)。在步骤404中，安全防护e模块检测机架系统内统一可延伸固件接口驱动程序。在步骤406中，判断统一可延伸固件接口驱动程序是否已持有签名。在步骤416中，当判断统一可延伸固件接口驱动程序未持有签名，安全防护e模块排除该统一可延伸固件接口驱动程序。在步骤418中，“非安全模式的统一可延伸固件接口驱动程序”记录会登录在机架系统的系统事件日志上。

在步骤408中，当判断统一可延伸固件接口驱动程序持有签名，安全防护e模块使用平台密钥检验签名。在步骤410中，判断签名是否有效。在步骤414中，当判断签名无效，决定是否覆写对应策略。在步骤416中，当判断对应策略尚未被覆写，安全防护e模块排除该统一可延伸固件接口驱动程序。在步骤412中，当判断签名是有效的亦或对策已被覆写，认可该统一可延伸固件接口驱动程序。

图5是根据本发明的机架系统内的安全防护管理方法500的另一实施例。在步骤502中，第三方的统一可延伸固件接口驱动程序启动。在步骤504中，由第三方的统一可延伸固件接口驱动程序接收使用“阻断输入输出协议(block I/O protocol)”或“网络协议”的请求。在步骤506中，机架系统的基本输入输出操作系统激活“阻断输入输出协议”与回呼例程(call-back routine)。在步骤508中，机架系统的基本输入输出操作系统激活“网络协议”与回呼例程。

在步骤510中，判断第三方的驱动程序使否使用“阻断输入输出协议”或“网络协议”。在步骤514中，当第三方的驱动程序使用“阻断输入输出协议”或“网络协议”，判断来自第三方的驱动程序请求是否与机架系统的对应的策略一致。在步骤518中，当判断请求与对应策略不一致，拒绝来自第三方的驱动程序的存取请求。在步骤520中，“非安全模式的统一可延伸固件接口驱动程序”记录会登录在机架系统的系统事件日志上。

在步骤516中，当第三方的驱动程序请求与对应策略一致，认可该存取请求。此安全防护管理方法500在步骤512结束。

图6是根据本发明的机架系统内的安全防护管理方法600的另一实施例。在步骤602中，激活安全防护e模块。在步骤604中，散列(hash)机架系统的信任链在步骤606中，将摘要值(digest value)登录进机架系统的非易失性随机存取存储器。在步骤608中，将散列函数加密的平台架构暂存值登录在机架系统的基板管理控制器内。当判断更多信任链需要散列，此安全防护管理方法600将回到步骤604。

图7是根据本发明的机架系统内安全防护管理方法700的另一实施例。在步骤702中，安全防护模块由机架系统搜集一签名列表。在步骤704中，安全防护模块进一步与基板管理控制器通信以取得更新的签名列表。在步骤706中，判断是否有新的签名。在步骤708中，当发现有新的签名，安全防护模块依此新签名更新签名列表。在步骤710中，如果没有新签名，以已更新的签名列表或原本的签名列表启用统一可延伸固件接口驱动程序。在步骤712中，安全防护模块亦可藉由呼叫setvarible()致使使用者与管理员增加新签名到签名列表中。在步骤714中，安全防护模块进一步发送新的签名列表给基板管理控制器。

术语

计算机网络为地理上分散多个节点的集合，这些节点于终端间由用以传送数据的通信线路和区段(segment)互相连结，例如个人计算机与工作站。许多类型的网络是可用的，范围从局域网络(LANS)及广域网络(WAN)至延展及软件定义网络(overlay andsoftware-defined network)(例如：虚拟可延展局域网络(VXLANS))。

局域网络通过位于相同普通实体位置(例如：建筑物或是校园)的特定私人通信连结而连结至多个节点。相反地，广域网络通过长距离通信连结(例如：同步光纤网络(SONET)或同步数字阶层网络(SDH))以连结分散的节点。局域网络与广域网络可包括第二层(L2)和/或第三层(L3)网络和装置。

因特网为广域网络的一个例子，其连结遍布世界的分散网络，为不同的网络的节点之间提供全球性的通信。节点间通常会藉由根据预定的通信协议以交换数据的离散框架或分组在网络上进行通信，这些预定的协议像是传输控制协议/因特网协议(TCP/IP)。在本说明书中，通信协议可看作一组用以定义节点间如何互动的规则。计算机网络还可以藉由一中继网络节点(例如：一路由器)互相连结去延展每个网络的影响“范围(size)”。

延展网络(overlay network)普遍上允许在一实体网络基本架构之下创造且进行分层出一虚拟网络。延展网络通信协议(例如虚拟可延展局域网络(Virtual ExtensibleLAN,VXLAN)、使用通用路由封装的网络虚拟化(Network Virtualization using GenericRouting Encapsulation,NVGRE)、网络虚拟化延展网络(Network VirtualizationOverlays,NVO3)及无状态式传输层隧道(Stateless Transport Tunneling,STT))，用以提供一允许网络流量于逻辑隧道(logical tunnel)跨过网络第二层与第三层的交通封装方案(traffic encapsulation scheme)。这样的逻辑隧道可通过隧道终端节点(virtualtunnel end points,VETPs)被产生与结束。

此外，延展网络可包括虚拟组件(例如在一虚拟可延展区域延展网络中的虚拟可延展局域网络组件)这些虚拟组件可包括通过虚拟机器(VMs)通信的第二层与第三层虚拟延展网络。虚拟区段可通过一虚拟网络识别器(virtual network identifier,VNI)识别，例如一可特别识别出联合(associated)虚拟区段与定义域(domain)的虚拟可延展局域网络网络识别器。

网络虚拟化允许硬件和软件资源于一虚拟网络中结合。举例来说，网络虚拟化可允许多个虚拟机器经由各自的虚拟局域网络连接至实体网络。虚拟机器可根据各自的虚拟区域去分组，且可以与其他虚拟机器和其他在内部或外部网络的其他装置进行通信。

网络区段(network segment)(例如︰实体或虚拟区段、网络、装置、端口、实体或逻辑连结和/或流量)通常可被集合为一电桥或洪水定义域(bridge or flood domain)。电桥或洪水定义域可代表一广播定义域(broadcast domain)，例如一第二层广播定义域。电桥或洪水定义域可包括一单一子网络，但也可包括多个子网络。更甚的是，电桥定义域可与一网络装置(例如︰交换器)上的一电桥定义域接口有关联。电桥定义域接口可为一支持第二层桥接网络与第三层路由网络间的逻辑接口。除此之外，电桥定义域接口可支持因特网协议终端设备(IP termination)、虚拟私有网络终端设备(VPN termination)、处理位置解析(address resolution handling)、媒体存取控制(MAC)地址，诸如此类的接口。电桥定义域和电桥定义域接口都可藉由一相同的索引(index)或识别器(identifier)来识别。

此外，端点组(endpoint groups,EPGs)可用于于网络中使用用以映射应用程序至网络上。特别是端点组可用网络上一组应用程序端点，以便对这组应用程序端点施加连接与策略。端点组可像一容器以收集应用程序或应用程序元件和用以实施前述策略逻辑的层。终端组也可允许分离的网络策略、安全性或是以使用逻辑应用边界取代前面的地址。

云端计算也可由一个或多个网络中提供，云端计算使用共享资源提供计算服务。云端计算可包括基于因特网计算(internet-based computing)，在基于因特网计算这些网络资源为通过网络(例如：”云(the cloud)”)收集的一可用资源的集合所动态规范且分配至用户端或使用者计算机或其他随选装置。云端计算资源可包括任何类型的资源，例如计算、储存、及网络装置、虚拟机器，诸如此类的资源。举例来说，资源可包括服务装置(防火墙、深度分组检测器(deep packet inspector)、流量监视器、负载平衡器(loadbalancer))、计算/处理装置(伺服器、中央处理单元、存储器、蛮力处理容量(brute forceprocessing capacity))、储存装置(例如：网络连接装置、储存局域网络装置)，诸如此类的装置。除此之外，这些资源可用于支持虚拟网络、虚拟机器、数据库、应用程序…等等。

云端计算资源可包括一“私有云”、一“公共云”和/或一“混合云”。“混合云”可为一通过技术将由两个或多个云互相操作或组成的基础云建设。在本质上，混合云是一种私有云与公共云之间的相互作用，而私有云以一个安全且可扩充的方式加入了公共云且利用公共云的资源。云端计算资源也可通过虚拟网络延展网络(例如：虚拟可延展局域网络)被规范(provisioned)。

在一网络交换系统下，查询数据库(lookup database)可被维持去追踪交换系统所连接的多个端点的路由。然而，端点可具有多种设置且与众多租户(tenant)有关联。这些端点可有多种类型的识别器(例如：因特网协议第四版(IPv4)、因特网协议第六版(IPv6)、或第二层)。查询数据库必须设置于不同模式以处理不同类型的端点处理器。某些查询数据库的容量被雕刻出(carved out)去处理不同地址类型的进入分组。更甚的是，在网络交换系统上的查询数据库局限于1K的虚拟路由和转发(virtual routing and forwarding，VRFs)。因此，改良的查询演算法期许能处理各种类型的端点识别器。本发明的技术是针对用于通信网络地址查询技术的需求。本发明所揭示的是系统、方法以及计算机可读存储媒体，可藉由映对端点识别器至一致性空间来一致化不同类型的端点识别器和允许不同查询形式能被一致性地处理。这些系统与网络的范例于图3和图4的例子中有简单的介绍。这些变化的例子可于多个例子当中阐述。关于技术的部分请回至图3。

图8为适用于实现本发明的技术的一计算装置800的实施例。计算装置800包括一中央处理器862、多个接口868、及一总线815(例如：个人计算机接口(PCI)总线)。当中央处理器862在适当的软件或固件的控制下，负责执行分组管理、错误检测和/或路由功能(例如：缆线连接错误检测功能)。中央处理器862于软件(包括一操作系统的软件和任何适当的应用程序软件)的控制下完成所有功能。中央处理器862可包括一个或多个处理器863，例如摩托罗拉微处理器家族或是MIP微处理器家族中的处理器。在一可替代的实施例中，处理器863是为了控制计算装置800的操作而特别设计出来的硬件元件。在一特定的实施例中，一存储器装置861(例如：非易失性随机存取存储器和/或只读存储器)为中央处理器862的一部分。然而，仍然有很多不同的方法让存储器耦接至系统。

接口868是典型的接口卡(有时被称为接线卡(line card))。普遍来说，接口卡控制网络上分组的传送与接收，且有时支持计算装置800所使用的其他外围设备。这些接口可为以太接口、讯框中继接口、电缆接口、数字用户线路接口、信号环接口，诸如此类的接口。此外，这些接口亦可为多种非常高速的接口可为闪速信号环接口、无线接口、以太接口、吉位以太接口、ATM接口、高速串行(HSSI)接口、POS接口、光纤分散数据接口(FDDI)，诸如此类的接口。普遍来说，这些接口包括适合与适当的多媒体进行通信的多个端口。在某些实施例中，它们也可包括一独立处理器和易失性存储器。独立处理器可控制像分组交换、多媒体控制与管理这类型密集的通信任务。藉由提供分开的(separate)处理器以处理通信密集的任务，这些接口允许中央处理器862有效地进行路由计算、网络诊断、安全防护功能、诸如此类的功能。

虽然图8所示的系统为本发明的一特定网络装置，但本发明不以仅此为限。举例来说，具有单一处理器来处理通信和路由计算的架构是经常使用的。更甚的是，其他类型的界面和多媒体也可搭配路由器来使用。

无论网络装置如何配置，它可使用一个或多个存储器或存储器模块(包括存储器装置861)去储存多个程序指令，这些程序指令用以执行通用型网络操作及用以漫游(roaming)、路线最佳化和路由功能的机制。举例来说，程序指令可控制操作系统和/或一个或多个应用程序的操作。存储器也可储存多个表，例如移动绑定(mobility binding)、注册和其他相关的表。

图9A与图9B为对应于各个本实施例的技术可能的系统范例图。本领域技术人员皆了解在实现本发明的技术时会有更多的实施方式，本领域技术人员亦了解有其它的系统亦是可行的。

图9A为具有传统系统总线的计算装置900，其中计算装置900中的多个元件通过一总线905电性连结于其他元件。计算装置900包括一处理器(中央处理单元或处理器)910和总线905，总线905用以耦接多个系统元件(包括存储器装置915、只读存储器920及随机存取存储器925)至处理器910。计算装置900可包括一高速存储器中的高速存储器，而此高速存储器可直接连接于处理器910、邻近于处理器910或成为处理器910的一部分。为了藉由处理器910闪速地存取，计算装置900可从存储器装置915和/或储存装置930复制数据至高速存储器912。如此一来，高速存储器912可提供一系统加速避免处理器910在等候数据时所造成的延迟。这些或其他模块可控制或设置去控制处理器910进行多种动作。其他存储器装置915也可做此用途。存储器装置915可包括具有不同效能特性的多种不同的类型的存储器。处理器910可包括任何通用处理器和一硬件模块或软件模块，例如储存于储存装置930中的模块932、模块934、及模块936，模块932、934与936用以控制处理器910及软件指令被合并至真实处理器设计的具有特殊目的的处理器。处理器910实质上可为一个完全独立式计算系统，含有多核心或处理器、一总线、存储器控制器、高速存储器，诸如此类的元件。多核心处理器可为对称式的或非对称式的。

为了让使用者与计算系统为了让使用者与计算装置900有互动，输入装置945可代表任意数目的输入机制，例如用于演讲的麦克风、用于手势或图形输入的触控感应屏幕、键盘、鼠标、动作输入、演讲，诸如此类的机制。输出装置935也可为于多种已短暂输出机制中的一个或多个。在一些实施例子中，多模型系统可让使用者提供多种类型的输入以便与计算装置900进行沟通。一般而言，通信接口940用以调节与管理使用者的输入与系统的输出。操作在任何硬件安排上没有任何限制，因此此处的基本架构为了改善硬件或固件的安排可作简易地取代。

储存装置930为一非易失性存储器且可为一个硬盘或其他类型的计算机可读式多媒体(例如磁卡、闪速存储卡、固态存储器装置、数字多功能影音光盘、卡匣、随机存取存储器925、只读存储器920或其组合)，用以储存计算机可存取的数据。

储存装置930可包括软件模块932、934与936，用以控制处理器910。其他硬件或软件模型亦是可考虑的。储存装置930可连结至系统总线905。在某一实施例中，用以执行一特别功能的硬件模块可包括储存于一计算机可读取媒体(medium)中的软件元件并与所需的硬件元件做连结，例如处理器910、总线905、输出装置935(例如：屏幕)、诸如此类的元件，以完成此功能。

图9B为具有一芯片架构的计算机系统950的示意图，此芯片架构可被用于执行上述方法及产生和展示出一个人机界面(GUI)。计算机系统950为可用以实施所揭示技术的计算机硬件、软件及固件。计算装置900可包括一处理器955，代表任意数目的实体上和/或逻辑上不同的资源，这些资源能够执行用以实现识别计算(identified computations)的软件、固件及硬件。处理器955可与控制处理器955输入输出的芯片960进行通信。在这实施例中，芯片960输出信息至输出装置965(例如：屏幕)，也可对储存装置970(举例来说，可包括磁性媒体和固态媒体)读取和写入数据。芯片960也可对随机存取存储器975读取和写入数据。用于与多使用者当接口的电桥980可被提供用以跟芯片960互动。使用者接口元件985可包括键盘、麦克风、触控检测处理电路、指向装置(例如：鼠标)、诸如此类的装置。普遍来说，计算机系统950的输入可为来自任何种类的信号源(人类产生或是机器产生)。

芯片960也可和一个或多个具有不同物理接口的通信接口990相接。这些通信接口可包括用于有线或无线本地局域网络、宽频无线网络、和个人网络的接口。此处揭示用以产生、展示和使用人机界面的方法的一些应用程序可包括通过实体接口接收有排序的数据集或由机器本身通过处理器955分析储存于储存装置970或随机存取存储器975所产生的数据。更甚的是，机器可通过使用者接口元件985从使用者接收一输入并且执行适当功能，例如藉由使用处理器955解译这些输入的浏览功能。

需了解的是，计算装置900和计算机系统950中可以有更多处理器910或与网络连结的计算装置的部分群丛以提供更佳的处理能力。

为了更清楚地解释，在某些实施例中，本发明可表示式多个独立功能方块，这些独立功能方块包括多个功能方块，这些功能方块包括于多个装置、装置元件、由软件方式实现的多个步骤或流程、或软件或软硬件的结合。

在某些实施例中，计算机可读式储存装置、媒体、存储器可包括含有一位串流的有线或无线信号。然而，特别要提到是，非暂态计算机可读式储存多媒体明确地排除像能量、载波信号、电磁波及信号本身的媒体。

根据上述例子的方法可被实现于使用计算机可执行指令。举例而言，这些指令可包括可以致使通用型计算机、特殊用途计算机或特殊用途处理装置执行一特定功能或一组功能的指令和数据。部分所使用的计算机资源可通过网络被存取。举例来说，计算机可执行性指令可为二元或中间格式指令像是组合语言、固件或来源编码。根据上述例子，可用于储存指令、用过的信息、和/或于方法中所创造的信息的计算机可读式多媒体的范例包括磁盘或光盘、闪速存储器(flash memory)、USB装置以提供非易失性存储器、网络储存装置。

用以实施这些方法的装置可包括硬件、固件和/或软件，并可带有任何多个形式参数。带有这些多个形式参数的典型例子包括笔记型计算机、智能手机、小型因子(smallform factor)个人计算机、个人数字助理，诸如此类的。此处描述的功能也可被实施在外围设备或其他附加卡上。这功能也可通过不同码片或不同执行在单一装置上的过程经由例子实施在一电路板上。

这些指令、用以传送这些指令的多媒体、执行这些指令的计算资源和其他支持这些计算资源的指令是用以提供这些已揭示过的功能。

在某些实施例中提及选择性操作可藉由不同指令实现，而在其他实施例中亦可合并选择性操作至不同指令。为了清楚地解释，在某些例子中，本发明可表示式多个独立功能方块，这些独立功能方块包括多个功能方块，这些功能方块包括于多个装置、装置元件、由软件方式实现的多个步骤或流程、或软件或软硬件的结合。

多个例子还可被实施于更广大的操作环境，在某些情况下可包含被用于操作任何数量应用程序的一个或多个伺服器计算机、使用者计算机或计算装置。使用者或用户端装置可包括任何数量的通用型计算机，例如：操作于一标准系统下的桌上型或笔记型计算机以及执行手机软件及可支持多个网络及信息通信协议的行动、无线及手持装置。这样的系统也可包括执行任意种类的市售操作系统若干个工作站和其他以发展及数据管理为目的的已知应用程序。这些装置也可包括其他电子装置，像是虚拟输出端、精简型终端机、游戏系统和其他可通过网络进行通信的装置。

本发明可部分地在硬件上实施，本发明可于以下任意技术或其组合中实施：根据数据信号实现逻辑函数逻辑门的离散逻辑电路、具有适当组合逻辑门的特殊应用集成电路、可编程的硬件(例如：可编程逻辑门阵列(PGA)、现场可编程逻辑门阵列(FPGA))。

大部分的范例利用本领域技术人员的至少一支持商用协议(例如传输控制协议/网际协议、开放式系统互联通信、文档传输协议、通用随插即用、网络文件系统、网络文件共享系统、AppleTalk，诸如此类的网络及信息通信协议。)进行沟通的网络。举例来说，网络可为一本地局域网络、一范围局域网络、一虚拟私人网络、一因特网、一内部网络、一外部网络、一公有交换式电话网络、一红外线网络、一无线网络或其任意组合。

根据上述例子的方法可被实现于使用计算机可执行指令。举例而言，这些指令可包括可以致使通用型计算机、特殊用途计算机或特殊用途处理装置执行一特定功能或一组功能的指令和数据。部分所使用的计算机资源可通过网络被存取。举例来说，计算机可执行性指令可为二元或中间格式指令像是组合语言、固件或来源编码。根据上述例子，可用于储存指令、用过的信息、和/或于方法中所创造的信息的计算机可读式多媒体的范例包括磁盘或光盘、闪速存储器(flash memory)、USB装置以提供非易失性存储器、网络储存装置。

用以实施这些方法的装置可包括硬件、固件和/或软件，并可带有任何多个形式参数。带有这些多个形式参数的典型例子包括笔记型计算机、智能手机、小型因子(smallform factor)个人计算机、个人数字助理，诸如此类的。此处描述的功能也可被实施在外围设备或其他附加卡上。这功能也可通过不同码片或不同执行在单一装置上的过程经由例子实施在一电路板上。

伺服器群可包括以上讨论到的各种数据储存、其他存储器和储存多媒体。这些伺服器群可于各种地址注册，例如一储存多媒体本地连结(和/或注册)至一个或多个计算机或从通过网络从任何或所有计算机远端连结。于一组特别的例子下，信息可注册于本领域技术人员所熟知的储存局域网络(SAN)。同样地，用以执行对计算机、伺服器或其他网络装置有贡献功能的任意有需要的文件夹可被本地和/或远端储存。当一系统包括多个计算机化装置，每个装置包括可通过一总线电性耦合的多个硬件元件。举例来说，这些硬件元件至少包括一中央处理单元、一输入装置(例如：鼠标、键盘、控制器、触摸敏感显示器元件、或辅助键盘)、输出装置(例如：显示器装置、印表机、或喇叭)。这样的系统也可包括一个或多个储存装置，例如光盘装置、光学储存装置、固态储存装置(例如随机存取存储器或只读存储器)以及可移除式多媒体装置、存储卡、闪速存储卡。

这些装置也可包括一计算机可读式储存多媒体阅读器、通信装置(例如：数据机、有线或无线网络卡、红外线计算装置)和以上所描述到的工作存储器装置(workingmemory)。计算机可读式储存多媒体读取器可连接至或用以接收来自计算机可读式储存多媒体，此计算机可读式储存多媒体代表远端、本地、混合和/或可移除式储存装置，用以暂时性和/或更永久地包含、储存、传送、和取回计算机可读式信息的储存多媒体。系统和多种装置可典型地将包括若干个至少位于一工作存储器装置的软件应用程序、模块、服务或其他元件，包括一操作系统和应用程序像是一用户端应用程序或网页浏览器。需了解的是，也可从以上例子可做诸多变化。举例来说，客制化硬件也可能被使用和/或特殊元件可能实施于硬件、软件、或两者之上。更甚的是，连结至其他计算装置的连结像是网络输入输出装置可被采用。

用以包含程序码或部分程序码的储存媒体和计算机可读式多媒体可包括任何已知技术的适当多媒体，包括储存式多媒体和计算多媒体，并不限制易失性和非易失性、可移除和不可移除多媒体，以便用任何方法或技术实现用以传输数据像是计算机可读式指令、数据结构、程序模块或其他数据包括像是随机存取存储器、只读存储器、可抹除可规化只读存储器(EPROM)、电子可抹除可编程只读存储器(Electrically-Erasable ProgrammableRead-Only Memory，EEPROM)、闪速存储器、或其他存储器技术、光盘只读存储器(CompactDisc Read-Only Memory，CD-ROM)、数字视频光盘(Digital Video Disc，DVD)、或其他光学储存装置、磁卡、磁带磁片除储存装置或其他磁储存装置或任何其他任何可储存需要信息的储存装置和可被系统装置接收的媒体。本领域技术人员可根据本发明提供的方法与技术将本发明描述的功能以各种不同方法作实现。

虽然本发明已以较佳实施例揭示如上，然其并非用以限定本发明，任何本领域技术人员，在不脱离本发明的精神和范围内，当可作些许的更动与润饰，因此本发明的保护范围以权利要求书为准。

Claims (10)

1.一种安全防护管理方法，应用于一机架系统，该安全防护管理方法包括：

判断一机架系统的一安全防护功能是否启动，其中该安全防护功能包括用以储存一基本输入输出系统的闪速存储器芯片的防写保护机制；

当该安全防护功能被启动，致使一安全防护模块于该机架系统的操作系统被装载之前启动；

在一开机自我检测过程中，由该安全防护模块判断一平台固件模块是否已经安全防护认证；

当该平台固件模块已安全防护认证，该开机自我检测将继续进行；以及

当该平台固件模块尚未安全防护认证，停止该开机自我检测。

2.根据权利要求1项所述的安全防护管理方法，还包括：

藉由将一对应签名与一授权签名列表中的多个签名进行比对，以检查该机架系统的每个统一可延伸固件接口驱动程序；以及

向该机架系统的控制器报告上述检查步骤的状态。

3.根据权利要求1项所述的安全防护管理方法，还包括：

由一可信平台模块发送加密散列函数值到该机架系统的一控制器；以及

启动该控制器去修改一授权签名列表。

4.根据权利要求1项所述的安全防护管理方法，还包括：

由一统一可延伸固件接口驱动程序接收一可执行映像文件；

比较该可执行映像文件的一签名与一授权签名列表中的多个签名；以及

当判断出该可执行映像文件的该签名是未授权的，启动该机架系统的一控制器以一金钥来覆写该可执行映像文件，其中该安全防护模块为一统一可延伸固件接口的安全防护模块。

5.根据权利要求4项所述的安全防护管理方法，还包括：

由一控制器接收该统一可延伸固件接口驱动程序的对应策略；以及

如果该统一可延伸固件接口驱动程序的对应签名不在该授权签名列表中，排除该统一可延伸固件接口驱动程序。

6.根据权利要求4项所述的安全防护管理方法，还包括：

当在该开机自我检测期间中该统一可延伸固件接口驱动程序正在存取该机架系统时，将启用回呼例程；以及

在接收该控制器的授权之前，先阻断该统一可延伸固件接口驱动程序的输入输出协议或网络协议。

7.根据权利要求4项所述的安全防护管理方法，还包括：

由该机架系统的一固件装置或一操作系统接收一安全防护密钥请求；以及

与相容于该控制器的密钥管理互操作协议参数一起产生一原始设备制造商的智能平台管理界面命令。

8.根据权利要求1项所述的安全防护管理方法，还包括：

当该安全防护功能未启动，致使一“非安全模式”记录将被登录在该机架系统的系统事件日志上；以及

当该平台固件模块尚未安全防护认证，致使一“固件未认证”记录将被登录在该机架系统的系统事件日志上。

9.一种计算机系统，包括：

至少一处理器；

一安全防护模块；以及

一存储器，其包括多个指令，这些指令由该计算机系统执行时，致使该计算机系统进行下列步骤：

判断一机架系统的一安全防护功能是否启动，其中该安全防护功能包括用以储存一基本输入输出系统的闪速存储器芯片的防写保护机制；

当该安全防护功能被启动，致使一安全防护模块于该机架系统的操作系统被装载之前启动；

判断一平台固件模块是否已经安全防护认证；

当该平台固件模块已安全防护认证，该开机自我检测将继续进行；以及

当该平台固件模块尚未安全防护认证，停止该开机自我检测。

10.一种非暂态计算机可读取存储媒体，包括多个指令，当这些指令由至少一处理器执行时，致使一计算机系统进行下列步骤：

判断一机架系统的一安全防护功能是否启动，其中该安全防护功能包括用以储存一基本输入输出系统的闪速存储器芯片的防写保护机制；

当该安全防护功能被启动，致使一安全防护模块于该机架系统的操作系统被装载之前启动；

判断一平台固件模块是否已经安全防护认证；

当该平台固件模块已安全防护认证，该开机自我检测将继续进行；以及

当该平台固件模块尚未安全防护认证，停止该开机自我检测。