CN113918953A - 可信服务器安全控制装置、方法和可信服务器 - Google Patents

Abstract

本申请涉及一种可信服务器安全控制装置、方法和可信服务器，包括：可信平台控制模块TPCM模块和安全控制器，其中，在一种情况下，通过安全控制器导通TPCM模块与可信服务器中的BMC组件之间的通路，通过TPCM模块对BMC组件中的BMC进行可信度量，得到BMC度量结果，在另一种情况下，通过安全控制器导通TPCM模块与可信服务器中的CPU组件之间的通路，通过TPCM模块用于对可信服务器的CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。在本方案中，可信服务器安全控制装置中设置安全控制器，安全控制器中的集成电路协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

Description

可信服务器安全控制装置、方法和可信服务器

技术领域

本申请涉及计算机技术领域，特别是涉及一种可信服务器安全控制装置、方法和可信服务器。

背景技术

目前的服务器系统主要采用TPM/TCM可信计算机制。在TPM/TCM机制中，没有考虑对BIOS ROM的优先度量，存在被入侵者修改BIOS ROM里的固件(Firmware)的风险。随着安全等级的要求提高，在服务器系统实现开机运行前TPCM对BIOS ROM、BMC ROM以及输入输出接口的度量机制已成为金融、证券等高可靠性服务器系统设计的基本要求。

服务器与普通台式机、工作站等个人用户计算机相比，增加了基板管理控制(Baseboard Management Control，BMC)功能，BMC需要在特定情况下访问BIOS ROM。由于BMC可以控制服务器系统的运行状态，因此也需要把BMC的ROM中的BMC固件纳入度量机制。

在BIOS ROM,BMC ROM的访问切换、时序控制逻辑设计需要考虑系统CPU、TPCM、BMC三个主控制(Host)芯片的访问时序控制。现有技术的电路设计中通过切换芯片实现对BMCROM的访问选择,通过切换芯片实现TPCM、SYSTEM CPU以及BMC三个主控器在不同的时序阶段对BIOS ROM的访问。

但是，现有技术的TPCM访问控制方案，TPCM到BIOS ROM需要通过多个切换电路，导致度量电路比较复杂。

发明内容

基于此，有必要针对上述技术问题，提供一种能够简化度量电路的可信服务器安全控制装置、方法和可信服务器。

第一方面，提供一种可信服务器安全控制装置，应用于可信服务器中；该装置包括：可信平台控制模块TPCM模块和安全控制器；

安全控制器，用于导通TPCM模块与可信服务器中的BMC组件之间的通路，则TPCM模块用于对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

安全控制器，还用于导通TPCM模块与可信服务器中的CPU组件之间的通路，则TPCM模块用于对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，可信服务器安全控制装置中设置安全控制器，安全控制器中的集成电路协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

在其中一个可选的实施例中，安全控制器包括控制模块、与BMC组件连接的第一开关组件、与CPU组件连接的第二开关组件、与TPCM模块连接的第三开关组件；

控制模块，用于闭合第一开关组件和第三开关组件，以导通TPCM模块与BMC组件之间的通路，则TPCM模块用于对BMC ROM进行可信度量，得到BMC度量结果；

控制模块，用于闭合第二开关组件和第三开关组件，以导通TPCM模块与CPU组件之间的通路，则TPCM模块用于对BIOS ROM进行可信度量，得到BIOS度量结果。

在其中一个可选的实施例中，BMC组件包括BMC和第一BMC ROM；第一开关组件包括第一开关、第二开关；第一开关与BMC连接；第二开关与第一BMC ROM连接；

控制模块，用于控制第二开关和第三开关组件闭合，以导通TPCM模块与第一BMCROM之间的通路；

TPCM模块，用于对第一BMC ROM对BMC进行可信度量，得到BMC度量结果。

在本实施例中，若需要对BMC进行度量，控制模块只需要闭合相关的开关，例如第二开关SW2和第三开关组件中的SW7，保持其他开关断开，实现TPCM模块对BMC ROM点对点的访问，保障了可信度量信号的完整性。

在其中一个可选的实施例中，BMC组件还包括第二BMC ROM；第一开关组件还包括第三开关；第三开关与第二BMC ROM连接；

TPCM模块，还用于在确定对第一BMC ROM对BMC度量失败的情况下，向控制模块发送BMC固件度量失败信号；

控制模块，还用于控制第三开关和第三开关组件闭合，以导通TPCM模块与第二BMCROM之间的通路；

TPCM模块，还用于对第二BMC ROM对BMC进行可信度量，得到BMC度量结果。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块对BMC ROM1可信度量失败的情况下，可以及时对BMC ROM2进行可信度量，进一步保证了BMC ROM的可信度量的有效性和成功率。

在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BMC ROM度量失败的情况下，向控制模块发送BMC固件度量失败信号；

控制模块，还用于控制第一开关、第二开关、第三开关闭合，以导通BMC、第一BMCROM与第二BMC ROM之间的通路，以使BMC根据第二BMC ROM对第一BMC ROM进行恢复操作。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块对BMC ROM1进行可信度量失败的情况下，可从冗余的BMC ROM2复制备份到工作BMC ROM1中，实现BMC固件的快速恢复。

在其中一个可选的实施例中，TPCM模块，还用于确定对第一BMC ROM或第二BMCROM度量成功的情况下，向控制模块发送BMC固件度量成功信号；

控制模块，还用于控制第一开关和第二开关闭合，以导通BMC与第一BMC ROM之间的通路，或，控制第一开关和第三开关闭合，以导通BMC与第二BMC ROM之间的通路，以使BMC基于第一BMC ROM或第二BMC ROM进行初始化。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块对BMC ROM1/BMCROM2进行可信度量成功的情况下，闭合相应的开关，导通相应的通路，使得BMC可以基于BMCROM1/BMC ROM2进行初始化，保证了BMC初始化的安全性和成功率。

在其中一个可选的实施例中，CPU组件包括CPU和第一BIOS ROM；第二开关组件包括第四开关、第五开关；第四开关与CPU连接；第五开关与第一BIOS ROM连接；

控制模块，用于控制第四开关和第三开关组件闭合，以导通TPCM模块与第一BIOSROM之间的通路；

TPCM模块，还用于对第一BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，若需要对BIOS固件进行度量，控制模块只需要闭合相关的开关，例如，对第一BIOS ROM进行可信度量，则闭合SW5和SW7，保持其他开关断开，实现TPCM模块对第一BIOS ROM点对点的访问，保障了可信度量信号的完整性。

在其中一个可选的实施例中，CPU组件还包括第二BIOS ROM；第一开关组件还包括第六开关；第六开关与第二BIOS ROM连接；

TPCM模块，还用于在确定对第一BIOS ROM度量失败的情况下，向控制模块发送BIOS固件度量失败信号；

控制模块，还用于控制第六开关和第三开关组件闭合，以导通TPCM模块与第二BIOS ROM之间的通路；

TPCM模块，还用于对第二BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1进行可信度量失败的情况下，可以及时对BIOS ROM2进行可信度量，进一步保证了BIOS固件可信度量的有效性和成功率。

在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BIOS ROM度量失败的情况下，向控制模块发送BIOS固件度量失败信号；

控制模块，还用于控制第四开关、第五开关、第六开关闭合，以导通CPU与第二BIOSROM之间的通路，以使CPU根据第二BIOS ROM进行启动初始化操作。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1进行可信度量失败的情况下，可从冗余的BIOS ROM2复制备份到工作BIOS ROM1中，实现系统的快速恢复。

在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BIOS ROM或第二BIOS ROM度量成功的情况下，向控制模块发送BIOS固件度量成功信号；

控制模块，还用于控制第四开关和第五开关闭合，以导通CPU与第一BIOS ROM之间的通路，或，控制第五开关和第六开关闭合，以导通CPU与第二BIOS ROM之间的通路，以使CPU基于第一BIOS ROM或第二BIOS ROM进行初始化。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1/BIOSROM2进行可信度量成功的情况下，闭合相应的开关，导通相应的通路，使得CPU可以基于BIOS ROM1或BIOS ROM2进行初始化，保证了CPU初始化的安全性和成功率。

在其中一个可选的实施例中，可信服务器安全控制装置还包括外接设备接口；

安全控制器，还用于获取与外接设备接口连接的外接设备的插拔状态，并获取外接设备插拔状态变化时对应的时间戳；

安全控制器，还用于将外接设备的标识、外接设备的插拔状态、以及外接设备插拔状态变化时对应的时间戳写入至可信服务器的寄存器中。

在本实施例中，基于SMC实现了对不同的外接设备的插拔状态的实时监控，进一步增强了服务器的安全性。

在其中一个可选的实施例中，可信服务器安全控制装置还包括外接电池电源；

外接电池电源，用于在可信服务器断电的状态下给安全控制器供电，以对外接设备接口连接的外接设备的插拔状态进行监控。

在本实施例中，在可信服务器断电的情况下，实现了断电情况下的SMC对外接设备的全面监控，对于一些特殊场景，例如，金融服务等重要应用场合下的数据中心服务器，在断电状态下的硬盘在位检测对于防止信息窃取也有重要的作用。

在其中一个可选的实施例中，可信服务器安全控制装置还包括通用串行总线USB接口；

安全控制器，还用于获取接入USB接口的USB外接设备的认证信息，将认证信息发送至TPCM模块；

TPCM模块，还用于对USB外接设备进行身份认证；若USB外接设备身份认证不通过，则不响应USB外接设备的接入操作；认证信息包括USB外接设备的预设序列号。

在本实施例中，SMC嵌入USB2的接口，实现对USB2接口外接设备监控与身份认证，在确定USB外接设备是未经认证的设备的情况下，可以及时通过切断外部USB与系统接口的通道，来实现不响应USB外接设备的接入操作的目的，进一步增强了可信服务器的安全性。

第二方面，提供一种可信服务器，可信服务器包括第一方面提供的可信服务器安全控制装置、基板管理控制器固件存储器BMC ROM、基本输入输出系统固件存储器BIOSROM；

可信服务器安全控制装置，用于对BMC ROM进行可信度量，得到BMC度量结果；对BIOS ROM进行可信度量，得到BIOS度量结果。

第三方面，提供一种可信服务器安全控制方法，应用于第一方面提供的可信服务器安全控制装置中，该方法包括：

通过可信服务器安全控制装置中的安全控制器，导通可信服务器安全控制装置中可信平台控制模块TPCM模块与BMC组件之间的通路，以使TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

响应于TPCM模块发送的BMC度量成功指令，导通TPCM模块与CPU组件之间的通路，以使TPCM模块对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

第四方面，提供一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行该计算机程序时实现上述第三方面所述的方法。

第五方面，提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述第三方面所述的方法。

上述可信服务器安全控制装置、方法和可信服务器，包括：可信平台控制模块TPCM模块和安全控制器，其中，在一种情况下，通过安全控制器导通TPCM模块与可信服务器中的BMC组件之间的通路，通过TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果，在另一种情况下，通过安全控制器导通TPCM模块与可信服务器中的CPU组件之间的通路，通过TPCM模块用于对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。在本方案中，可信服务器安全控制装置中设置安全控制器，安全控制器中的集成电路协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

附图说明

图1为一个实施例中可信服务器安全控制装置的结构示意图；

图2为一个实施例中可信服务器安全控制装置的结构示意图；

图3为一个实施例中可信服务器安全控制装置的结构示意图；

图4为一个实施例中可信服务器安全控制装置的结构示意图；

图5为一个实施例中可信服务器安全控制装置的结构示意图；

图6为一个实施例中可信服务器安全控制装置的结构示意图；

图7为一个实施例中可信服务器的结构示意图；

图8为另一个实施例中可信服务器安全控制方法的流程示意图；

图9为另一个实施例中可信服务器安全控制过程中各个主体的状态变化的示意图；

图10为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

下面将通过实施例并结合附图具体地对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

在一个实施例中，如图1所示，提供一种可信服务器安全控制装置，应用于可信服务器中，该装置包括：可信平台控制模块TPCM模块和安全控制器(Security ManageControl，SMC)。

其中，安全控制器，用于导通TPCM模块与可信服务器中的BMC组件之间的通路，从而通过TPCM模块对可信服务器的BMC组件中的BMC ROM进行可信度量，得到BMC度量结果。安全控制器，还用于导通TPCM模块与可信服务器中的CPU组件之间的通路，从而通过TPCM模块对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

其中，SMC可以为集成了不同开关组件的控制器，该SMC设置于可信服务器安全控制装置中，实现对不同度量主体所对应的度量电路的切换功能。

在本实施例中，可选地，安全控制器包括控制模块、与BMC组件连接的第一开关组件、与CPU组件连接的第二开关组件、与TPCM模块连接的第三开关组件。

控制模块，用于闭合第一开关组件和第三开关组件，以导通TPCM模块与BMC组件之间的通路，则TPCM模块用于对BMC ROM进行可信度量，得到BMC度量结果。

在本实施例中，SMC可以通过控制与BMC组件连接的第一开关组件闭合或断开、控制与TPCM模块连接的第三开关组件闭合或断开，实现TPCM模块对BMC ROM点对点的可信度量，从而得到BMC度量结果。

控制模块，用于闭合第二开关组件和第三开关组件，以导通TPCM模块与CPU组件之间的通路，则TPCM模块用于对BIOS ROM进行可信度量，得到BIOS度量结果。

其中，SMC将现有技术中的多路切换功能进行集成整合，通过SMC编程实现各个功能模块。由于SMC在一个FPGA的芯片封装实现多路开关的选通，避免了外部MUX电路带来的SPI复杂绕线造成的信号完整性难点。在本实施例中，SMC可以通过控制与CPU组件连接的第二开关组件闭合或断开，控制与TPCM模块连接的第三开关组件闭合或断开，实现TPCM模块对CPU组件中的BIOS ROM点对点的可信度量，从而得到BIOS度量结果。

上述可信服务器安全控制装置包括：可信平台控制模块TPCM模块和安全控制器，其中，在一种情况下，通过安全控制器导通TPCM模块与可信服务器中的BMC组件之间的通路，通过TPCM模块对可信服务器的BMC进行可信度量，得到BMC度量结果，在另一种情况下，通过安全控制器导通TPCM模块与可信服务器中的CPU组件之间的通路，通过TPCM模块用于对可信服务器的CPU进行可信度量，得到BIOS度量结果。在本方案中，可信服务器安全控制装置中设置安全控制器，安全控制器中的集成电路协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、CPU ROM的点对点访问，保障了信号访问的质量。

可选地，在其中一个可选的实施例中，如图2所示，BMC组件包括BMC和第一BMCROM；第一开关组件包括第一开关、第二开关；第一开关与BMC连接；第二开关与第一BMC ROM连接。

控制模块，用于控制第二开关和第三开关组件闭合，以导通TPCM模块与第一BMCROM之间的通路，TPCM模块，用于对第一BMC ROM进行可信度量，得到BMC度量结果。

其中，如图2所示，SMC包括控制模块(Logic Sequence Control，LSC)和多个开关，其中，第一开关组件包括第一开关SW1、第二开关SW1，SW1与BMC连接，SW2与第一BMC ROM(BMC ROM1)连接，第三开关组件包括SW7。在对BMC ROM1进行可信度量的过程中，LSC控制SW2以及SW7闭合，其他开关断开，导通TPCM模块与BMC ROM1之间的通路，从而通过TPCM模块对BMC ROM1进行可信度量，得到BMC度量结果。

在本实施例中，若需要对BMC ROM1进行度量，LSC只需要闭合相关的开关，例如SW2和SW7，保持其他开关断开，实现TPCM模块对BMC ROM1点对点的访问，保障了可信度量信号的完整性。

在TPCM模块对BMC ROM1进行可信度量的过程中，存在BMC ROM1被黑客入侵遭到破坏的情况，在这种情况下，BMC度量结果用于指示对BMC ROM1度量失败，为了进一步保证可信度量的有效性，可选地，在其中一个可选的实施例中，如图3所示，BMC组件还包括第二BMCROM；第一开关组件还包括第三开关；第三开关与第二BMC ROM连接。

TPCM模块，还用于在确定对第一BMC ROM度量失败的情况下，向控制模块发送BMC固件度量失败信号；控制模块，还用于控制第三开关和第三开关组件闭合，以导通TPCM模块与第二BMC ROM之间的通路；TPCM模块，还用于对第二BMC ROM进行可信度量，得到BMC度量结果。

在本实施例中，第二BMC ROM(BMC ROM2)与第三开关SW3连接。在TPCM模块对BMCROM1可信度量失败之后，TPCM模块向LSC发送BMC固件度量失败信号，在这种情况下，LSC可以控制SW2断开，SW3闭合，导通TPCM模块与BMC ROM2之间的通路，从而使得TPCM模块对BMCROM2进行可信度量，得到BMC度量结果。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块对BMC ROM1进行可信度量失败的情况下，可以及时对BMC ROM2进行可信度量，进一步保证了BMC固件的可信度量的有效性和成功率。

另外，在TPCM模块对BMC ROM1可信度量失败之后，在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BMC ROM度量失败的情况下，向控制模块发送BMC固件度量失败信号；控制模块，还用于控制第一开关、第二开关、第三开关闭合，以导通BMC、第一BMCROM与第二BMC ROM之间的通路，以使BMC根据第二BMC ROM对第一BMC ROM进行恢复操作。

在本实施例中，TPCM模块对BMC ROM1可信度量失败之后，说明BMC ROM1已经遭到破坏、篡改，此时，LSC在获取到TPCM模块发送的BMC固件度量失败信号之后，闭合SW1、SW2、SW3，导通BMC、BMC ROM1与BMC ROM2之间的通路，使得BMC通过BMC ROM2的内容对BMC ROM1的内容进行恢复操作。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块通过BMC ROM1对BMC进行可信度量失败的情况下，可从冗余的BMC ROM2复制备份到工作BMC ROM1中，实现BMC固件的快速恢复。

TPCM模块对BMC ROM1或是BMC ROM2可信度量成功，在度量成功之后，需要进行BMC的初始化操作，在其中一个可选的实施例中，TPCM模块，还用于确定对第一BMC ROM或第二BMC ROM度量成功的情况下，向控制模块发送BMC固件度量成功信号；控制模块，还用于控制第一开关和第二开关闭合，以导通BMC与第一BMC ROM之间的通路，或，控制第一开关和第三开关闭合，以导通BMC与第二BMC ROM之间的通路，以使BMC基于第一BMC ROM或第二BMC ROM进行初始化。

在本实施例中，TPCM模块对BMC ROM1度量成功之后，会向LSC发送BMC固件度量成功信号，从而LSC断开SW7，闭合SW1、SW2，导通BMC与BMC ROM1之间的通路，从而使得BMC通过BMC ROM1进行初始化；相应地，在TPCM模块对BMC ROM2度量成功之后，会向LSC发送BMC固件度量成功信号，从而LSC断开SW7，闭合SW1、SW3，导通BMC与BMC ROM2之间的通路，从而使得BMC通过BMC ROM2进行初始化。

在本实施例中，在SMC中增加BMC双ROM的冗余接口，在TPCM模块对BMC ROM1/BMCROM2进行可信度量成功的情况下，闭合相应的开关，导通相应的通路，使得BMC可以基于BMCROM1/BMC ROM2进行初始化，保证了BMC初始化的安全性和成功率。

SMC控制BMC的相应开关组件闭合，使得TPCM模块对BMC进行度量，在对BMC完成可信度量之后，TPCM模块还可以对可信服务器中的BIOS固件进行可信度量。

在其中一个可选的实施例中，可以参考图2所示，CPU组件包括CPU和第一BIOSROM；第二开关组件包括第四开关、第五开关；第四开关与CPU连接；第五开关与第一BIOSROM连接。

控制模块，用于控制第四开关和第三开关组件闭合，以导通TPCM模块与第一BIOSROM之间的通路；TPCM模块，还用于对第一BIOS ROM进行可信度量，得到BIOS度量结果。

其中，如图2所示，第二开关组件包括第四开关SW4、第五开关SW5，SW4与CPU连接，SW5与第一BIOS ROM(BIOS ROM1)连接，第三开关组件包括SW7。在对BIOS固件进行可信度量的过程中，LSC控制SW5和SW7闭合，其他开关断开，导通TPCM模块与BIOS ROM1之间的通路，从而通过TPCM模块对BIOS ROM1进行可信度量，得到BIOS度量结果。

在本实施例中，若需要对BIOS固件进行度量，LSC只需要闭合相关的开关，例如SW5和SW7，保持其他开关断开，实现TPCM模块对BIOS ROM点对点的访问，保障了可信度量信号的完整性。

在TPCM模块对BIOS ROM1进行可信度量的过程中，存在BIOS ROM1被黑客入侵遭到破坏的情况，在这种情况下，度量结果用于指示对BIOS固件度量失败，为了进一步保证可信度量的有效性，在其中一个可选的实施例中，如图3所示，CPU组件还包括第二BIOS ROM；第一开关组件还包括第六开关；第六开关与第二BIOS ROM连接。

TPCM模块，还用于在确定对第一BIOS ROM度量失败的情况下，向控制模块发送BIOS固件度量失败信号，控制模块，还用于控制第六开关和第三开关组件闭合，以导通TPCM模块与第二BIOS ROM之间的通路，TPCM模块，还用于对第二BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，第二BIOS ROM(BIOS ROM2)与第三开关SW6连接。在TPCM模块对BIOS ROM1可信度量失败之后，TPCM模块向LSC发送BIOS固件度量失败信号，在这种情况下，LSC可以控制SW5断开，SW6闭合，导通TPCM模块与BIOS ROM2之间的通路，从而使得TPCM模块对BIOS ROM2进行可信度量，得到BIOS度量结果。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1进行可信度量失败的情况下，可以及时对BIOS ROM2进行可信度量，进一步保证了BIOS固件的可信度量的有效性和成功率。

另外，在TPCM模块通过BIOS ROM1进行可信度量失败之后，在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BIOS ROM度量失败的情况下，向控制模块发送BIOS固件度量失败信号。

控制模块，还用于控制第四开关、第五开关、第六开关闭合，以导通CPU、第一BIOSROM与第二BIOS ROM之间的通路，以使CPU根据第二BIOS ROM对第一BIOS ROM进行恢复操作。

在本实施例中，TPCM模块对BIOS ROM1可信度量失败之后，说明BIOS ROM1已经遭到破坏、篡改，此时，LSC在获取到TPCM模块发送的BIOS固件度量失败信号之后，闭合SW4、SW5、SW6，导通CPU、BIOS ROM1与BIOS ROM2之间的通路，使得CPU通过BIOS ROM2的内容对BIOS ROM1的内容进行恢复操作。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1可信度量失败的情况下，可从冗余的BIOS ROM2复制备份到工作BIOS ROM1中，实现系统的快速恢复。

TPCM模块对BIOS ROM1或是BIOS ROM2进行可信度量成功，在度量成功之后，需要进行CPU的初始化操作，在其中一个可选的实施例中，TPCM模块，还用于在确定对第一BIOSROM或第二BIOS ROM度量成功的情况下，向控制模块发送BIOS固件度量成功信号。

控制模块，还用于控制第四开关和第五开关闭合，以导通CPU与第一BIOS ROM之间的通路，或，控制第五开关和第六开关闭合，以导通CPU与第二BIOS ROM之间的通路，以使CPU基于第一BIOS ROM或第二BIOS ROM进行初始化。

在本实施例中，TPCM模块对BIOS ROM1度量成功之后，会向LSC发送BIOS固件度量成功信号，从而LSC断开SW7，闭合SW4、SW5，导通CPU与BIOS ROM1之间的通路，从而使得CPU通过BIOS ROM1进行初始化；相应地，在TPCM模块对BIOS ROM2度量成功之后，会向LSC发送BIOS固件度量成功信号，从而LSC断开SW7，闭合SW4、SW6，导通CPU与BIOS ROM2之间的通路，从而使得CPU通过BIOS ROM2进行初始化。

在本实施例中，在SMC中增加CPU双ROM的冗余接口，在TPCM模块对BIOS ROM1或BIOS ROM2进行可信度量成功的情况下，闭合相应的开关，导通相应的通路，使得CPU可以基于BIOS ROM1或BIOS ROM2进行初始化，保证了CPU初始化的安全性和成功率。

另外，TPCM模块除了对BMC固件、BIOS固件进行可信度量之外，还可以对可信服务器的外接设备进行监控。在其中一个可选的实施例中，如图4所示，可信服务器安全控制装置还包括外接设备接口；

安全控制器，还用于获取与外接设备接口连接的外接设备的插拔状态，并获取外接设备插拔状态变化时对应的时间戳；

安全控制器，还用于将外接设备的标识、外接设备的插拔状态、以及外接设备插拔状态变化时对应的时间戳写入至可信服务器的寄存器中。

在本实施例中，SMC提供SPI、I2C以及GPIO访问的公共接口，SMC中设置设计I2CArbitrator(仲裁器)，用于协调TPCM模块、BMC以及System CPU对外部设备的访问。通过仲裁器确定主设备(Host Device)对I2C选路芯片MUX的控制权限，并可通过I2C MUX切换到硬盘背板HDD BP、PCIE转接卡PCIE Riser、OCP网卡OCP NIC、内存SPD寄存器Memory SPD等的I2C总线，实现对对应外接设备的插拔监控。

可选地，SMC实施对硬盘背板HDD BP、PCIE转接卡PCIE Riser、OCP网卡OCP NIC、内存SPD寄存器Memory SPD等可插拔设备的在位监控，在外接设备的插拔状态发生变化时，也即，在外接设备在发生插拔事件时，SMC可记录下事件发生的槽位、时间戳等信息，并将该信息记录在可信服务器的寄存器EEPROM中，TPCM模块、BMC或是System CPU均可从寄存器中读取该信息。此外，在外接设备在发生插拔事件时，SMC还可以直接将事件发生的槽位、时间戳等信息发送至TPCM模块与BMC。

可选地，考虑到在可信服务器断电状态下对外接设备插拔状态的监控，在其中一个可选的实施例中，如图5所示，可信服务器安全控制装置还包括外接电池电源；

外接电池电源，用于在可信服务器断电的状态下给安全控制器供电，以对外接设备接口连接的外接设备的插拔状态进行监控。

在本实施例中，如图5所示，SMC基于外接电池电源Battery，实现服务器断电后的全时监控，可对硬件设备的插拔进行全时监控、记录，防止系统在断电情况下硬盘、内存、PCIE Card以及OCP网络处于失控状态。

在本实施例中，基于SMC实现了对不同的外接设备的插拔状态的实时监控，尤其是在可信服务器断电的情况下，如图5所示，基于外接电池电源Battery，实现了断电情况下的SMC对外接设备的全面监控，对于一些特殊场景，例如，金融服务等重要应用场合下的数据中心服务器，在断电状态下的硬盘在位检测对于防止信息窃取也有重要的作用。

鉴于USB外接设备的安全性能，在其中一个可选的实施例中，如图6所示，可信服务器安全控制装置还包括通用串行总线USB接口；

安全控制器，还用于获取接入USB接口的USB外接设备的认证信息，将认证信息发送至TPCM模块；

TPCM模块，还用于对USB外接设备进行身份认证；若USB外接设备身份认证不通过，则不响应USB外接设备的接入操作；认证信息包括USB外接设备的预设序列号。

在本实施例中，SMC嵌入USB2的接口，实现对USB2接口外接的设备的监控与身份认证，其中，认证信息保存于寄存器中，当USB外接设备插入可信服务器时，SMC获取接入USB接口的USB外接设备的认证信息，将认证信息发送至TPCM模块，示例地，认证信息可以为USB设备的预设序列号，也可以为USB设备的预设标识位字符，TPCM模块若确定USB外接设备的序列号不属于合法序列号范围，或者，USB外接设备的标识位字符与合法字符不一致，则确定USB外接设备为未经认证的设备，TPCM模块或BMC可通过GPIO Monitor控制关闭USB接口对应的开关来切断外部USB与系统USB接口的通道，本实施例对此不做限定。

在本实施例中，SMC嵌入USB2的接口，实现对USB2接口外接设备监控与身份认证，在确定USB外接设备是未经认证的设备的情况下，可以及时通过切断外部USB与系统接口的通道，来实现不响应USB外接设备的接入操作的目的，进一步增强了可信服务器的安全性。

在一个实施例中，如图7所示，提供一种可信服务器，可信服务器包括第一方面提供的可信服务器安全控制装置、基板管理控制器固件存储器BMC ROM、基本输入输出系统固件存储器BIOS ROM；

可信服务器安全控制装置，用于对BMC ROM进行可信度量，得到BMC度量结果；对BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，可信服务器安全控制装置可以以嵌入式的方式设置于可信服务器中，与可信服务器的BMC ROM、BIOS ROM电连接，通过切换度量电路，实现通过TPCM模块分别对可信服务器的BMC ROM、BIOS ROM进行可信度量的目的。如图7所示，图7给出了综合以上图1-图6所有实施例提供的技术方案的结构示意图，其中，可信服务器包括安全控制器SMC、TPCM模块、System CPU、与System CPU对应设置的BIOS ROM1和BIOS ROM2、BMC、与BMC对应设置的BMC ROM1和BMC ROM2、外接电池电源Battery。其中，SMC中设置与硬盘背板HDD BP、PCIE转接卡PCIE Riser、OCP网卡OCP NIC、内存SPD寄存器Memory SPD等可插拔设备对应的接口，以及与USB外接设备对应的接口。

基于可信服务器在实现以上图1-图6提供的实施例以外，基于SMC还可以实现BMC对BIOS的带外更新，示例地，SMC控制SW1与SW5闭合，以导通BMC与BIOS ROM1之间的通路，以使BMC访问BIOS ROM1实现对BIOS的固件版本更新；或者，SMC控制SW1与SW6闭合，以导通BMC与BIOS ROM2之间的通路，以使BMC访问BIOS ROM2实现对BIOS的固件版本更新，本实施例对此不做限定。

在本实施例中，可信服务器中设置可信服务器安全控制装置，通过可信服务器安全控制装置中的安全控制器，协调可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

在一个实施例中，通过基于可信服务器所实现的安全控制方法来说明，需要说明的是，本申请图8实施例提供的可信服务器安全控制方法，其执行主体为可信服务器安全控制装置，也可以是可信服务器安全控制装置，该可信服务器安全控制装置可以通过软件、硬件或者软硬件结合的方式成为可信服务器安全控制装置的部分或全部。下述方法实施例中，均以执行主体是可信服务器安全控制装置为例来进行说明。

在一个实施例中，如图8所示，提供一种可信服务器安全控制方法，应用于第一方面提供的可信服务器安全控制装置中，包括以下步骤：

S201、通过可信服务器安全控制装置中的安全控制器，导通可信服务器安全控制装置中可信平台控制模块TPCM模块与BMC组件之间的通路，以使TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果。

S202、响应于TPCM模块发送的BMC度量成功指令，导通TPCM模块与CPU组件之间的通路，以使TPCM模块对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

在本实施例中，通过可信服务器安全控制装置中的安全控制器导通TPCM模块与可信服务器中的BMC组件之间的通路，通过TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果。通过安全控制器导通TPCM模块与可信服务器中的CPU组件之间的通路，通过TPCM模块用于对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

本实施例中提供的可信服务器安全控制方法，可参考图1-图7给出的可信服务器安全控制装置中各个组件的功能说明，这里不做赘述。

上述可信服务器安全控制方法，通过可信服务器安全控制装置协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

为了更好的说明上述方法，如图9所示，从可信服务器的状态变化维度来对可信服务器安全控制方法进行解释说明，具体包括：

Q0，可信服务器的系统处于离线状态(AC off)，SMC在外接电池电源支持下，可对可插拔部件进行在位监控；

Q1，系统上电，电源恢复，首先调用TPCM模块通过BMC ROM1对BMC进行可信度量；若BMC度量不通过，则进入Q2；若BMC度量通过，则进入Q3；

Q2，SMC则将对应开关切换到备用的BMC ROM2，调用TPCM模块通过BMC ROM2对BMC进行可信度量；若BMC度量通过，则进入Q3；

Q3，BMC基于可信度量通过的内存进行初始化；

Q4，BMC初始化结束后可信服务器进入待机状态；

Q5，在可信服务器电源按钮(Power Button)按下，或通过BMC上电指令发出后，电源时序控制主板上电；

Q6，上电结束后，TPCM/BMC通过I2C对硬件IO进行检测；

Q7，在硬件IO进行检测结束之后，SMC控制TPCM模块通过BIOS ROM1对BIOS固件进行可信度量；若BIOS固件度量不通过，则进入Q8；若BIOS固件度量通过，则进入Q9；

Q8，SMC则将对应开关切换到备用的BIOS ROM2，调用TPCM模块通过BIOS ROM2对BIOS固件进行可信度量；若BMC度量通过，则进入Q9；

Q9，BIOS基于可信度量通过的内存进行初始化；

Q10，部件Bootloader加载，部件度量与信任链传递；

Q11，BIOS完成系统初始化，各个部件bootloader加载结束，系统进入OS运行状态，结束硬件平台的初始化与安全检测。

在本实施例中，可信服务器中设置SMC，SMC中的集成电路协调了可信服务器的System CPU、BMC、TPCM之间的度量切换电路，实现对BMC ROM、BIOS ROM的点对点访问，保障了信号访问的质量。

上述实施例提供的可信服务器安全控制方法，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。

应该理解的是，虽然图8-9的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图8-9中的至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图10所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种可信服务器安全控制方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图10中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：

通过可信服务器安全控制装置中的安全控制器，导通可信服务器安全控制装置中可信平台控制模块TPCM模块与BMC组件之间的通路，以使TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

响应于TPCM模块发送的BMC度量成功指令，导通TPCM模块与CPU组件之间的通路，以使TPCM模块对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

上述实施例提供的计算机设备，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：

通过可信服务器安全控制装置中的安全控制器，导通可信服务器安全控制装置中可信平台控制模块TPCM模块与BMC组件之间的通路，以使TPCM模块对BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

响应于TPCM模块发送的BMC度量成功指令，导通TPCM模块与CPU组件之间的通路，以使TPCM模块对CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

上述实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或外部高速缓冲存储器。作为说明而非局限，RAM可以是多种形式，比如静态随机存取存储器(Static Random Access Memory，SRAM)或动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (17)

1.一种可信服务器安全控制装置，其特征在于，应用于可信服务器中；所述装置包括：可信平台控制模块TPCM模块和安全控制器；

所述安全控制器，用于导通所述TPCM模块与所述可信服务器中的BMC组件之间的通路，则所述TPCM模块用于对所述BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

所述安全控制器，还用于导通所述TPCM模块与所述可信服务器中的CPU组件之间的通路，则所述TPCM模块用于对所述CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

2.根据权利要求1所述的装置，其特征在于，所述安全控制器包括控制模块、与所述BMC组件连接的第一开关组件、与所述CPU组件连接的第二开关组件、与所述TPCM模块连接的第三开关组件；

所述控制模块，用于闭合所述第一开关组件和所述第三开关组件，以导通所述TPCM模块与所述BMC组件之间的通路，则所述TPCM模块用于对所述BMC ROM进行可信度量，得到所述BMC度量结果；

所述控制模块，用于闭合所述第二开关组件和所述第三开关组件，以导通所述TPCM模块与所述CPU组件之间的通路，则所述TPCM模块用于对所述BIOS ROM进行可信度量，得到所述BIOS度量结果。

3.根据权利要求2所述的装置，其特征在于，所述BMC组件包括所述BMC和第一BMC ROM；所述第一开关组件包括第一开关、第二开关；所述第一开关与所述BMC连接；所述第二开关与所述第一BMC ROM连接；

所述控制模块，用于控制所述第二开关和所述第三开关组件闭合，以导通所述TPCM模块与所述第一BMC ROM之间的通路；

所述TPCM模块，用于对所述第一BMC ROM进行可信度量，得到所述BMC度量结果。

4.根据权利要求3所述的装置，其特征在于，所述BMC组件还包括第二BMC ROM；所述第一开关组件还包括第三开关；所述第三开关与所述第二BMC ROM连接；

所述TPCM模块，用于在确定对所述第一BMC ROM度量失败的情况下，向所述控制模块发送BMC固件度量失败信号；

所述控制模块，还用于控制所述第三开关和所述第三开关组件闭合，以导通所述TPCM模块与所述第二BMC ROM之间的通路；

TPCM模块，还用于对所述第二BMC ROM进行可信度量，得到所述BMC度量结果。

5.根据权利要求4所述的装置，其特征在于，所述TPCM模块，还用于在确定对所述第一BMC ROM度量失败的情况下，向所述控制模块发送BMC固件度量失败信号；

所述控制模块，还用于控制所述第一开关、所述第二开关、所述第三开关闭合，以导通所述BMC、所述第一BMC ROM与所述第二BMC ROM之间的通路，以使所述BMC根据所述第二BMCROM对所述第一BMC ROM进行恢复操作。

6.根据权利要求4所述的装置，其特征在于，所述TPCM模块，还用于确定对所述第一BMCROM或所述第二BMC ROM度量成功的情况下，向所述控制模块发送BMC固件度量成功信号；

所述控制模块，还用于控制所述第一开关和所述第二开关闭合，以导通所述BMC与所述第一BMC ROM之间的通路，或，控制所述第一开关和所述第三开关闭合，以导通所述BMC与所述第二BMC ROM之间的通路，以使所述BMC基于所述第一BMC ROM或所述第二BMC ROM进行初始化。

7.根据权利要求1所述的装置，其特征在于，所述CPU组件包括CPU和第一BIOS ROM；所述第二开关组件包括第四开关、第五开关；所述第四开关与所述CPU连接；所述第五开关与所述第一BIOS ROM连接；

所述控制模块，用于控制所述第四开关和所述第三开关组件闭合，以导通所述TPCM模块与所述第一BIOS ROM之间的通路；

所述TPCM模块，还用于对所述第一BIOS ROM进行可信度量，得到所述BIOS度量结果。

8.根据权利要求7所述的装置，其特征在于，所述CPU组件还包括第二BIOS ROM；所述第一开关组件还包括第六开关；所述第六开关与所述第二BIOS ROM连接；

所述TPCM模块，还用于在确定对所述第一BIOS ROM度量失败的情况下，向所述控制模块发送BIOS固件度量失败信号；

所述控制模块，还用于控制所述第六开关和所述第三开关组件闭合，以导通所述TPCM模块与所述第二BIOS ROM之间的通路；

所述TPCM模块，还用于对所述第二BIOS ROM进行可信度量，得到所述BIOS度量结果。

9.根据权利要求8所述的装置，其特征在于，所述TPCM模块，还用于在确定对所述第一BIOS ROM度量失败的情况下，向所述控制模块发送BIOS固件度量失败信号；

所述控制模块，还用于控制所述第四开关、第五开关、第六开关闭合，以导通所述CPU、所述第一BIOS ROM与所述第二BIOS ROM之间的通路，以使所述CPU根据所述第二BIOS ROM对所述第一BIOS ROM进行恢复操作。

10.根据权利要求8所述的装置，其特征在于，TPCM模块，还用于在确定对所述第一BIOSROM或所述第二BIOS ROM度量成功的情况下，向所述控制模块发送BIOS固件度量成功信号；

所述控制模块，还用于控制所述第四开关和所述第五开关闭合，以导通所述CPU与所述第一BIOS ROM之间的通路，或，控制所述第五开关和所述第六开关闭合，以导通所述CPU与所述第二BIOS ROM之间的通路，以使所述CPU基于所述第一BIOS ROM或所述第二BIOS ROM进行初始化。

11.根据权利要求1-10中任一项所述的装置，其特征在于，所述可信服务器安全控制装置还包括外接设备接口；

所述安全控制器，还用于获取与所述外接设备接口连接的外接设备的插拔状态，并获取所述外接设备插拔状态变化时对应的时间戳；

所述安全控制器，还用于将所述外接设备的标识、所述外接设备的插拔状态、以及所述外接设备插拔状态变化时对应的时间戳写入至所述可信服务器的寄存器中。

12.根据权利要求11所述的装置，其特征在于，所述可信服务器安全控制装置还包括外接电池电源；

所述外接电池电源，用于在所述可信服务器断电的状态下给所述安全控制器供电，以对所述外接设备接口连接的外接设备的插拔状态进行监控。

13.根据权利要求1-10中任一项所述的装置，其特征在于，所述可信服务器安全控制装置还包括通用串行总线USB接口；

所述安全控制器，还用于获取接入所述USB接口的USB外接设备的认证信息，将所述认证信息发送至所述TPCM模块；

所述TPCM模块，还用于对所述USB外接设备进行身份认证；若所述USB外接设备身份认证不通过，则不响应所述USB外接设备的接入操作；所述认证信息包括所述USB外接设备的预设序列号。

14.一种可信服务器，其特征在于，所述可信服务器包括权利要求1-13中任一项所述的可信服务器安全控制装置、基板管理控制器固件存储器BMC ROM、基本输入输出系统固件存储器BIOS ROM；

所述可信服务器安全控制装置，用于对所述BMC ROM进行可信度量，得到BMC度量结果；对所述BIOS ROM进行可信度量，得到BIOS度量结果。

15.一种可信服务器安全控制方法，其特征在于，应用于权利要求1-11中任一项所述的可信服务器安全控制装置中，所述方法包括：

通过所述可信服务器安全控制装置中的安全控制器，导通所述可信服务器安全控制装置中可信平台控制模块TPCM模块与BMC组件之间的通路，以使所述TPCM模块对所述BMC组件中的BMC ROM进行可信度量，得到BMC度量结果；

响应于所述TPCM模块发送的BMC度量成功指令，导通所述TPCM模块与CPU组件之间的通路，以使所述TPCM模块对所述CPU组件中的BIOS ROM进行可信度量，得到BIOS度量结果。

16.一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求15所述的方法的步骤。

17.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求15所述的方法的步骤。

Images