CN111104673A - 一种系统数据的监控与保护方法和装置 - Google Patents
一种系统数据的监控与保护方法和装置 Download PDFInfo
- Publication number
- CN111104673A CN111104673A CN201911044074.4A CN201911044074A CN111104673A CN 111104673 A CN111104673 A CN 111104673A CN 201911044074 A CN201911044074 A CN 201911044074A CN 111104673 A CN111104673 A CN 111104673A
- Authority
- CN
- China
- Prior art keywords
- cpld
- peci
- data
- monitoring
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 58
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000005540 biological transmission Effects 0.000 claims abstract description 38
- 101150039033 Eci2 gene Proteins 0.000 claims abstract 24
- 102100021823 Enoyl-CoA delta isomerase 2 Human genes 0.000 claims abstract 24
- 238000012546 transfer Methods 0.000 claims description 11
- 230000004044 response Effects 0.000 claims description 9
- 238000013461 design Methods 0.000 abstract description 14
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 206010033799 Paralysis Diseases 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000002411 adverse Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000017525 heat dissipation Effects 0.000 description 1
- 238000012806 monitoring device Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000000844 transformation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种系统数据的监控与保护方法,包括以下步骤:在PECI总线上装载CPLD;基于BMC在CPLD中建立并实时更新白名单列表;CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。本发明还公开了一种系统数据的监控与保护装置。本发明的方案可以有效地避免CPU寄存器被篡改的风险,提高服务器设计的安全性。
Description
技术领域
本发明涉及计算机技术领域,更具体地,特别是指一种系统数据的监控与保护方法及装置。
背景技术
平台环境控制接口(Platform Environment Control Interface,PECI)是Intel提出的数字接口,是CPU与系统监控设备之间的专用单线型总线,在目前的服务器设计中,主要应用于基板管理控制器(Baseboard Management Controller,BMC)与CPU之间,是一种host-device(即主机-设备)的架构应用,BMC可以通过PECI总线读取CPU温度及相关设备信息,也可以配置电源和散热管理的阈值参数,从而实现服务器主板的电源管理和温度控制。
PECI总线的数据读写包含GetTemp(),RdPkgConfig(),WrPkgConfig()等指令,每条指令可以读写CPU相关寄存器值。当系统被入侵后,通过PECI指令可以修改CPU寄存器数值,从而会导致系统崩溃。因此,如何能够有效地避免CPU寄存器被篡改的风险,提高服务器设计的安全性,是一个亟待解决的问题。
发明内容
有鉴于此,本发明实施例的目的在于提出一种系统数据的监控与保护方法和装置,可以有效地解决服务器系统被恶意入侵时,随意篡改CPU寄存器导致的系统瘫痪的问题。
基于上述目的,本发明一方面提供了一种系统数据的监控与保护方法,其中,该方法包括以下步骤:
在PECI总线上装载CPLD;
基于BMC在CPLD中建立并实时更新白名单列表;
CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。
根据本发明的系统数据的监控与保护方法的实施例,其中,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:
在BMC通过PECI指令写CPU内部寄存器之前,BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在PECI指令写CPU内部寄存器执行完成后,BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。
根据本发明的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
CPLD解析PECI总线传输的数据,获取设备地址和命令。
根据本发明的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
将设备地址和命令与白名单列表中的白名单数据对比。
根据本发明的系统数据的监控与保护方法的实施例,其中,将设备地址和命令与白名单列表中的白名单数据对比进一步包括:
响应于设备地址和命令与白名单数据匹配,CPLD不干预PECI总线的数据传输;
响应于设备地址和命令与白名单数据不匹配,CPLD控制PECI总线终止数据传输,并对设备实施停止指令。
根据本发明的系统数据的监控与保护方法的实施例,其中,CPLD控制PECI总线终止数据传输,并对设备实施停止指令进一步包括:
响应于对设备实施停止指令完成,CPLD控制PECI总线恢复数据传输功能并继续传输其他设备的数据。
根据本发明的系统数据的监控与保护方法的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
FCS对传输的数据进行校验。
另一方面,本发明还提供了一种系统数据的监控与保护装置,包括:
处理器;以及
控制器,
装置在运行时执行以下步骤:
在PECI总线上装载CPLD;
基于BMC在CPLD中建立并实时更新白名单列表;
CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。
根据本发明的系统数据的监控与保护装置的实施例,其中,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:
在BMC通过PECI指令写CPU内部寄存器之前,BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在PECI指令写CPU内部寄存器执行完成后,BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。
根据本发明的系统数据的监控与保护装置的实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
CPLD解析PECI总线传输的数据,获取设备地址和命令。
本发明至少具有以下有益技术效果:
CPLD内部建立白名单列表,并监控PECI总线数据,当PECI写操作指令与白名单列表不匹配时,CPLD发送停止指令终止写操作,保证CPU寄存器数据不被恶意修改;
BMC通过I2C实时更新CPLD内部白名单列表,当需要PECI指令写CPU寄存器时,将对应的设备地址和命令更新到CPLD内部白名单列表,写操作执行完后,BMC从白名单中删除对应的设备地址和命令。
可以有效地解决服务器系统被恶意入侵时,随意篡改CPU寄存器导致的系统瘫痪问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1示出了根据现有技术中的PECI设计示意图;
图2示出了根据本发明的系统数据的监控与保护方法的实施例的示意性框图;
图3示出了根据本发明的系统数据的监控与保护方法的实施例的结构示意图;
图4示出了根据本发明的系统数据的监控与保护方法的实施例的PECI读写数据格式示意图;
图5示出了根据本发明的系统数据的监控与保护方法的实施例的CPLD监控方案流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
图1示出了根据现有技术中的PECI设计示意图。如图1所示,现有的服务器主板设计中,BMC通过PECI总线与CPU进行通信,BMC作为PECI总线的主机进行数据通信,CPU作为设备,BMC通过PECI总线读写CPU内部寄存器的数值。其中一个BMC可以同时与多个CPU进行数据传递,如图所示EMC通过PECT与CPU0和CPU1同时进行数据传递。
BMC通过指令可以对CPU寄存器进行读写,但是当服务器系统被入侵时,通过控制BMC进行指令控制,可以随意修改CPU内部寄存器数值,当CPU内部寄存器被恶意篡改时,会导致系统崩溃,使服务器无法正常工作。
图2示出了根据本发明的系统数据的监控与保护方法的实施例的示意性框图。在如图2所示的实施例中,该方法至少包括如下步骤:
S100、在PECI总线上装载CPLD;
S200、基于BMC在CPLD中建立并实时更新白名单列表;
S300、CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。
本发明实施例中,为清楚的说明该设计方法的实现情况,上述步骤的具体步骤和每个步骤的功能如下:其中,图3示出了根据本发明的系统数据的监控与保护方法的实施例的结构示意图,根据图3所示的实施例中,CPLD中包括PECI显示器,PECI控制器以及I2C从属设备,其中PECI显示器与PECI总线进行数据通信,I2C从属设备用于通过I2C与BMC进行数据通信,PECI控制器1与PECI显示器2以及I2C从属设备3相互连接。
步骤S100为在PECI总线上装载CPLD,该步骤为该方案的硬件设计前提,在硬件设计中,需要将CPLD挂载到PECI总线上,完成该前提,方可进行后续步骤。在此步骤S100完成的情况下,步骤S200为基于BMC在CPLD中建立并实时更新白名单列表,该白名单列表的作用是用来确认PECI总线写指令是否需要执行,基于该白名单列表,通过与该白名单列表中的白名单数据进行比对,可以匹配的数据能够传输,即正常执行写指令。BMC通过I2C实时更新CPLD中的白名单列表,具体为BMC通过I2C总线,对CPLD内部的白名单列表进行实时的更新。
根据本发明的系统数据的监控与保护方法的一些实施例,其中,根据权利要求1的系统数据的监控与保护方法,其特征在于,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:
在需要BMC通过PECI指令写写CPU内部寄存器时,首先BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
PECI指令写CPU内部寄存器执行完成后,通过I2C重新修改CPLD内部的白名单列表。重新修改包括删除已传输完成的PECI指令中的设备地址和命令。保证BMC不能再次对CPU寄存器直接进行写操作。步骤S300为CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输,其中,CPLD通过逻辑设计实现对PECI总线数据监控与控制。通过以上4个步骤,构成本发明提出的一种系统数据的监控与保护的设计方法的主要框架。
图4示出了根据本发明的系统数据的监控与保护方法的实施例的CPLD监控方案流程图。根据本发明的系统数据的监控与保护方法的一些实施例,如图4所示,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
CPLD监控PECI总线,获取PECI总线通信速率;
CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
CPLD解析PECI总线传输的数据,获取设备地址和命令;
CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
将设备地址和命令与白名单列表中的白名单数据进行对比。
在本实施例中,获取PECI总线通信速率是PECI总线协议的要求,获取PECI总线通信速率是后续步骤的前提。CPLD内部通过逻辑设计实现对PECI总线数据的解析。
首先,通过时序协商获取PECI总线的通信速率;然后,根据协商的通信速率对PECI总线数据进行解析,从而获取设备地址和命令;最后,根据将解析获取的设备地址和命令与白名单列表中的白名单数据对比,根据比对结果决定是否终止PECI数据传输。
在获取PECI总线通信速率之后,获取的设备地址和命令用于与白名单中列表中的白名单数据进行比对。该获取的设备地址和命令的安全与否是执行写指令的关键因素,该设备地址和命令若不安全且最终传输进CPU寄存器,可能会导致CPU中的数据被篡改而导致服务器瘫痪等灾害。
在该实施例中,白名单列表中的数据是安全可靠的数据,而PECI总线的数据传输中的设备地址和命令可能会带有不安全的数据信息,不安全数据在设备地址和命令中,若通过PECI传输进CPU寄存器中,则会对系统安全问题造成不利的影响。因此,将不确定安全与否的数据传输中的设备地址和命令与确保安全的白名单列表中的白名单数据进行比对,看两者是否匹配,即可知道数据传输中的设备地址和命令是否安全可靠。
根据本发明的系统数据的监控与保护方法的一些实施例,其中,将设备地址和命令与白名单列表中的白名单数据对比进一步包括:
响应于设备地址和命令与白名单数据匹配,CPLD不干预PECI总线的数据传输;
响应于设备地址和命令与白名单数据不匹配,CPLD控制PECI总线终止数据传输,并对设备实施停止指令。
在该实施例中,若PECI数据传输中的设备地址和命令与白名单数据匹配,则证明PECI数据传输中的设备地址和命令是安全的,不会对系统的安全性造成不利。因此CPLD不干预PECI总线的数据传输,该传输的数据允许被写入CPU寄存器中。BMC与CPU间通过PECI进行数据通信,读写指令包括GetTemp(),RdPkgConfig(),WrPkgConfig()等,BMC通过读指令可以读取CPU内部寄存器信息,写指令会修改CPU内部寄存器信息。因此,BMC与CPLD间通过I2C不断地修改CPLD内部白名单列表,当BMC需要通过PECI指令写CPU内部寄存器时,先通过I2C将PECI指令中地设备地址和命令写入CPLD内部。CPLD监测PECI总线中的设备地址和命令,并与白名单列表中的白名单数据对比,如果不匹配,则CPLD将PECI总线拉低并对设备执行停止指令,拉低足够长的时间直到完成对设备执行的停止指令;如果与白名单匹配,则不干预PECI总线数据。BMC完成对PECI总线的写指令后,通过I2C指令重新修改CPLD内部白名单列表,保证BMC不能再次对CPU寄存器直接进行写操作。
根据本发明的系统数据的监控与保护方法的一些实施例,其中,CPLD控制PECI总线终止数据传输,并对设备实施停止指令进一步包括:
响应于对设备实施停止指令完成,CPLD控制PECI总线恢复数据传输功能并继续传输其他设备的数据。在该实施例中,对设备进行停止指令完成后,不安全的设备已经完成停止指令,即便PECI总线恢复数据传输,该设备也不会重新启动该设备的数据传输,因此,对设备进行停止指令完成,CPLD控制PECI总线恢复数据传输,并且该过程也不会影响服务器的安全性。
根据本发明的系统数据的监控与保护方法的一些实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
帧检验序列(Frame Check Sum,FCS)对传输的数据进行校验。
在该实施例中,图5示出了根据本发明的系统数据的监控与保护方法的实施例的PECI读写数据格式示意图;根据图5的实施例,PECI数据读写格式,主机端通过TN/MT进行时序协商,Target Address(即目标地址)与设备进行地址匹配,Write Length/Read Length为读写数据长度,命令通知设备数据交换的类型,FCS为CRC校验数据,保证数据传输的正确性。
另一方面,本发明还提供了一种系统数据的监控与保护装置,其特征在于,包括:
处理器;以及
控制器,
装置在运行时执行以下步骤:
在PECI总线上装载CPLD;
基于BMC在CPLD中建立并实时更新白名单列表;
CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输。
根据本发明的系统数据的监控与保护装置的一些实施例,其中,基于BMC在CPLD中建立并实时更新白名单列表进一步包括:
在BMC通过PECI指令写CPU内部寄存器之前,BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在PECI指令写CPU内部寄存器执行完成后,BMC通过I2C将CPLD中对应的已执行完成的PECI指令中的设备地址和命令删除。
根据本发明的系统数据的监控与保护装置的一些实施例,其中,CPLD基于实时更新的白名单列表监控和/或控制PECI总线的数据传输进一步包括:
CPLD解析PECI总线传输的数据,获取设备地址和命令。
同样地,本领域技术人员应当理解,以上针对根据本发明的系统数据的监控与保护方法阐述的所有实施方式、特征和优势同样地适用于根据本发明的系统数据的监控与保护装置。为了本公开的简洁起见,在此不再重复阐述。
需要特别指出的是,上述系统数据的监控与保护方法和装置的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于基于应用创建存储卷镜像的方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,基于应用创建存储卷镜像的方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种系统数据的监控与保护方法,其特征在于,包括:
在PECI总线上装载CPLD;
基于BMC在所述CPLD中建立并实时更新白名单列表;
所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输。
2.根据权利要求1所述的系统数据的监控与保护方法,其特征在于,所述基于BMC在所述CPLD中建立并实时更新白名单列表进一步包括:
在所述BMC通过PECI指令写CPU内部寄存器之前,所述BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在所述PECI指令写CPU内部寄存器执行完成后,所述BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。
3.根据权利要求1所述的系统数据的监控与保护方法,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
所述CPLD解析PECI总线传输的数据,获取所述设备地址和命令。
4.根据权利要求3所述的系统数据的监控与保护方法,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
将所述设备地址和所述命令与所述白名单列表中的白名单数据对比。
5.根据权利要求4所述的系统数据的监控与保护方法,其特征在于,所述将所述设备地址和所述命令与所述白名单列表中的白名单数据对比进一步包括:
响应于所述设备地址和所述命令与所述白名单数据匹配,所述CPLD不干预所述PECI总线的所述数据传输;
响应于所述设备地址和所述命令与所述白名单数据不匹配,所述CPLD控制所述PECI总线终止数据传输,并对所述设备实施停止指令。
6.根据权利要求5所述的系统数据的监控与保护方法,其特征在于,所述CPLD控制所述PECI总线终止所述数据传输,并对所述设备实施停止指令进一步包括:
响应于对所述设备实施停止指令完成,所述CPLD控制所述PECI总线恢复数据传输功能并继续传输其他设备的数据。
7.根据权利要求1所述的系统数据的监控与保护方法,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
FCS对所述传输的数据进行校验。
8.一种系统数据的监控与保护装置,其特征在于,包括:
处理器;以及
控制器,
所述装置在运行时执行以下步骤:
在PECI总线上装载CPLD;
基于BMC在所述CPLD中建立并实时更新白名单列表;
所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输。
9.根据权利要求8所述装置,其特征在于,所述基于BMC在所述CPLD中建立并实时更新白名单列表进一步包括:
在所述BMC通过PECI指令写CPU内部寄存器之前,所述BMC通过I2C将PECI指令中的设备地址和命令传输到CPLD;
在所述PECI指令写CPU内部寄存器执行完成后,所述BMC通过I2C将CPLD中对应的PECI指令中的设备地址和命令删除。
10.根据权利要求8所述的装置,其特征在于,所述CPLD基于所述实时更新的白名单列表监控和/或控制所述PECI总线的数据传输进一步包括:
所述CPLD解析PECI总线传输的数据,获取所述设备地址和命令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044074.4A CN111104673A (zh) | 2019-10-30 | 2019-10-30 | 一种系统数据的监控与保护方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911044074.4A CN111104673A (zh) | 2019-10-30 | 2019-10-30 | 一种系统数据的监控与保护方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111104673A true CN111104673A (zh) | 2020-05-05 |
Family
ID=70421437
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911044074.4A Withdrawn CN111104673A (zh) | 2019-10-30 | 2019-10-30 | 一种系统数据的监控与保护方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111104673A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306795A (zh) * | 2020-10-19 | 2021-02-02 | 苏州浪潮智能科技有限公司 | 一种基于espi的增强服务器安全的方法及装置 |
| CN113204763A (zh) * | 2021-04-22 | 2021-08-03 | 山东英信计算机技术有限公司 | 一种cpld接收数据的方法、系统、存储介质及设备 |
-
2019
- 2019-10-30 CN CN201911044074.4A patent/CN111104673A/zh not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112306795A (zh) * | 2020-10-19 | 2021-02-02 | 苏州浪潮智能科技有限公司 | 一种基于espi的增强服务器安全的方法及装置 |
| CN112306795B (zh) * | 2020-10-19 | 2023-01-10 | 苏州浪潮智能科技有限公司 | 一种基于espi的增强服务器安全的方法及装置 |
| CN113204763A (zh) * | 2021-04-22 | 2021-08-03 | 山东英信计算机技术有限公司 | 一种cpld接收数据的方法、系统、存储介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101778768B1 (ko) | IoT 기기 제어 방법 및 시스템 | |
| US8239674B2 (en) | System and method of protecting files from unauthorized modification or deletion | |
| KR102513435B1 (ko) | 펌웨어의 보안 검증 | |
| US11886595B2 (en) | Computer boot method, controller, storage medium, and system | |
| CN111158767B (zh) | 基于bmc的服务器安全启动方法及装置 | |
| CN111104673A (zh) | 一种系统数据的监控与保护方法和装置 | |
| CN111176701A (zh) | 一种基于外部存储卡的固件升级方法和装置 | |
| CN111338997B (zh) | 一种arm服务器bios支持tcm通信的方法、装置、设备和介质 | |
| CN111290772A (zh) | 一种更新cpld的方法、系统、设备及介质 | |
| US20230012779A1 (en) | Electronic device and control method thereof | |
| US20220027520A1 (en) | Methods And Apparatus For In-Memory Device Access Control | |
| CN109241783B (zh) | 移动终端管控策略的实施方法及装置 | |
| CN112925653B (zh) | 虚拟化群集扩容方法、相关设备及计算机可读存储介质 | |
| CN111291427A (zh) | 一种服务器硬盘安全度量方法和装置 | |
| CN116578327B (zh) | 一种程序更新方法、装置及电子设备和存储介质 | |
| WO2022001944A1 (zh) | Linux内核的修改方法、终端设备和存储介质 | |
| CN111856257B (zh) | 一种cpld固件检测及保护的方法、系统、设备及介质 | |
| CN106935272A (zh) | 开启eMMC后门调试的方法和装置 | |
| CN112558884A (zh) | 数据保护方法以及基于NVMe的存储设备 | |
| CN107832590A (zh) | 终端控制方法及装置、终端及计算机可读存储介质 | |
| CN111382030A (zh) | 一种多任务统一管理的方法、设备及介质 | |
| CN111045710B (zh) | 一种基于IPMI命令的SAS-Expander固件升级的方法、设备及介质 | |
| WO2020215211A1 (zh) | 一种站点会话终止方法、装置、终端设备及介质 | |
| CN115964721A (zh) | 一种程序验证方法及电子设备 | |
| CN113626792B (zh) | PCIe Switch固件安全执行方法、装置、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20200505 |