CN114090488A - 可信度量扩展板、基本输入输出系统以及可信度量方法和装置 - Google Patents
可信度量扩展板、基本输入输出系统以及可信度量方法和装置 Download PDFInfo
- Publication number
- CN114090488A CN114090488A CN202111336026.XA CN202111336026A CN114090488A CN 114090488 A CN114090488 A CN 114090488A CN 202111336026 A CN202111336026 A CN 202111336026A CN 114090488 A CN114090488 A CN 114090488A
- Authority
- CN
- China
- Prior art keywords
- measurement
- trusted
- credibility
- pcie
- board
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4004—Coupling between buses
- G06F13/4022—Coupling between buses using switching circuits, e.g. switching matrix, connection or expansion network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/40—Bus structure
- G06F13/4063—Device-to-bus coupling
- G06F13/4068—Electrical coupling
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/572—Secure firmware programming, e.g. of basic input output system [BIOS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0026—PCI express
Abstract
本发明公开了一种可信度量扩展板、基本输入输出系统、以及基本输入输出系统的可信度量方法、装置、计算机设备。其中,所述基本输入输出系统包括主板和可信度量扩展板,可信度量扩展板包括用于与主板的板端PCIE物理槽位对接互连PCIE控制信号的金手指接口;用于与主板的板端连接器实现可信度量控制信号透传的第一接口;用于接入可信度量设备卡的可信度量卡PCIE物理槽位。上述基本输入输出系统,该基本输入输出系统在需要适配可信度量时,主板的PCIE物理槽位能接入可信度量扩展板,不需要适配可信度量时主板的PCIE物理槽位能接入其他标准PCIE设备,避免主板的PCIE物理槽位的浪费。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种可信度量扩展板、基本输入输出系统、基本输入输出系统可信度量的方法、装置、计算机设备。
背景技术
相关技术中,BIOS(Basic Input Output System,基本输入输出系统)可信度量是安全领域的一个应用,随着信息安全可控平台的应用需求,需要在主机BIOS固件中就需要增加可信度量的信息,有利提升主机系统的信息安全。
目前基于可信度量的方式,都是专用专配,需要固定的度量操作方式,从底层物理特性来阐释,就是需要专用的设备和PCIE(peripheral component interconnectexpress)物理槽位,不能与通用的机型进行共用。其模式如图1所示,至少两个CPU(CPU1和CPU2),与每个CPU对应的BIOS固件(BIOS1和BIOS2),以及两个内存模块,PCIE设备,其中PCIE设备包括至少一个PCIE物理槽位,和至少一个可信度量物理槽位,其中可信度量物理槽位是固定的不可变的。可信度量物理槽位专卡专用,做不到通用适配,不利扩展,若不需要适配可信度量方案的时,可信度量物理槽位不能接入其他标准PCIE设备,浪费资源。
发明内容
有鉴于此,本发明的目的在于提出一种可信度量扩展板、基本输入输出系统、基本输入输出系统可信度量的方法、装置和计算机设备,提高基本输入输出系统的PCIE槽位的利用率。
根据本发明的一个方面,提供一种可信度量扩展板,包括:
金手指接口,用于与主板的板端PCIE物理槽位对接,互连PCIE控制信号;
第一接口,用于与主板的可信度量控制信号对接,实现可信度量控制信号透传;
SLOT2 PCIEX8可信度量卡PCIE物理槽位,用于接入可信度量设备卡。
在其中一个实施例中,所述可信度量扩展板还包括:
扩展插槽,用于连接扩展的标准PCIE设备卡。
根据本发明的一个方面,提供一种基本输入输出系统,所述系统包括主板和上述可信度量扩展板,
其中,所述主板包括:
PICE设备和至少两个CPU,每个所述CPU包括至少一个BIOS固件,
所述PICE设备,包括板端连接器和板端PCIE物理槽位:
所述板端连接器,用于与所述可信度量扩展板的第一接口透传可信度量控制信号,
所述板端PCIE物理槽位,用于与所述可信度量扩展板的金手指接口互传PCIE控制信号。
在其中一个实施例中,所述板端连接器与所述可信度量扩展板的第一接口通过线缆连接。
在其中一个实施例中,所述板端PCIE物理槽位还用于与所述板端PCIE物理槽位互配的其他设备的标准PCIE物理槽位互传PCIE控制信号。
在其中一个实施例中,所述主板还包括可编辑逻辑模块,
所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU、所述BIOS固件和所述PICE设备动态连接。
在其中一个实施例中,所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU、所述BIOS固件和所述PICE设备动态连接,包括:
所述可编辑逻辑模块,用于与根据所述可信度量信号所述目标BIOS固件建立连接,所述目标BIOS固件为任一个所述CPU对应的任一个BIOS固件。
根据本发明的一个方面,提供一种基本输入输出系统的可信度量方法,应用于上述基本输入输出系统;
所述方法包括:
在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;
所述可信度量设备卡通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
所述CPU接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
所述可信度量设备卡对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
在其中一个实施例中,上述基本输入输出系统的可信度量方法,
在所述可信度量扩展板的扩展插槽上插有其他的标准PCIE设备卡时,
所述方法还包括:
所述可信度量设备卡向所述其他的标准PCIE设备卡发送第二可信度量信号;
通过所述其他的标准PCIE设备卡,根据所述第二可信度量信号获取所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容;
通过所述可信度量设备卡,对所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容进行可信度量,并返回可信度量的结果至所述其他的标准PCIE设备卡所连接的CPU。
根据本发明的一个方面,提供一种基本输入输出系统的可信度量装置,应用于上述基本输入输出系统;
在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;
所述可信度量装置,包括:
所述可信度量设备卡,用于通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
所述CPU,用于接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
所述可信度量设备卡,用于对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
根据本发明的又一个方面,提供一种计算机设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述任一项所述的基本输入输出系统的可信度量方法。
根据本发明的再一个方面,提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的基本输入输出系统的可信度量方法。
上述可信度量扩展板、基本输入输出系统、基本输入输出系统的可信度量方法、装置、计算机设备和存储介质。通过可信度量扩展板上的金手指接口实现与主板的板端PCIE物理槽位的连接,第一接口与主板透传的可信度量信号,从而实现对主板的BIOS固件的可信度量。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是基本输入输出系统的示意图;
图2是本发明可信度量扩展板的示意图;
图3是本发明基本输入输出系统的一个示意图;
图4是本发明基本输入输出系统的可信度量方法的一实施例的流程图。
具体实施方式
下面结合附图和实施例,对本发明作进一步的详细描述。特别指出的是,以下实施例仅用于说明本发明,但不对本发明的范围进行限定。同样的,以下作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参见图2,本发明提供一种可信度量扩展板200,包括:
金手指接口210,用于与主板的板端PCIE物理槽位对接,互连PCIE控制信号;
第一接口220,用于与主板的可信度量控制信号对接,实现可信度量控制信号透传;
可信度量卡PCIE物理槽位230,用于接入可信度量设备卡。
其中,金手指(connecting finger)是电脑硬件,常见的卡槽的信号都是通过金手指进行传送的。其中金手指接口可以是PCIE X16金手指接口或PCIE X8金手指接口等。主板的板端PCIE物理槽位为常见的通用的PCIE槽位,板端PCIE槽位和金手指接口对接后,可以通过金手指进行通信,如互传PCIE控制信号。PCIE控制信号用于控制PCIE槽位是否进行工作等。第一接口可以为SM-24PIN-CON接口。SM-24PIN-CON接口与主板的可信度量控制信号CON对接,实现可信度量控制信号透传。可信度量卡PCIE物理槽位专用于接入可信度量设备卡。可信度量设备卡可以是安全卡,安全卡是一块基于安全管控SOC(System on Chip)芯片的第三方监控板,用于主板的固件安全验证、数据监控等。可信度量设备卡还可是TCM(Trusted Cryptography Module),其中TCM是将研发的密码算法在嵌入式芯片上设计出的可信密码模块。
在本具体实施例中,用来连接可信度量设备的PCIE槽位的信号与可信度量设备定义信号一致性。用来互连主板端可信度量控制信号的信号定义一致性。金手指接口与板端PCIE物理操作,信号定义完整性。
上述可信度量扩展板上设置有专用的可信度量卡PCIE物理槽位,该槽位可以用于与可信度量设备卡连接,设置有与主板端连接的第一接口和金手指接口实现与主板端的通信,当主板端需要进行可信度量时,将该可信度量扩展板与主板连接,当主板端无需进行可信度量时,可以将该扩展板从主板端端口连接,从而避免浪费主板端的PCIE槽位浪费,且解决了主板端专用可信度量PCIE槽位在无需进行可信度量时的资源浪费问题。
在一个实施例中,参见图2,可信度量扩展板200,还包括:
扩展插槽240,用于连接扩展的标准PCIE设备卡。
其中,扩展插槽是一种用于与标准PCIE设备卡连接的插槽,如SLOT1PCIEX8可扩展应用插槽。此可信度量扩展板应用在主板端的任意一个标准的PCIE物理槽位,在此卡基础上,即可实现专用度量设备卡接入,同时可以扩展其他标准PCIE设备。
如图3所示,提供一种基本输入输出系统300,所述系统包括主板400和可信度量扩展板200,
其中,所述主板400包括:
PICE设备410和CPU420(其中CPU420至少两个,即CPU421和CPU402),每个所述CPU420包括至少一个BIOS固件,
所述PICE设备410,包括板端连接器411和板端PCIE物理槽位412:
所述板端连接器411,用于与所述可信度量扩展板200的第一接口220透传可信度量控制信号,
所述板端PCIE物理槽位412,用于与所述可信度量扩展板200的金手指接口210互传PCIE控制信号。
其中,板端连接器与可信度量扩展板的第一接口透传可信度量控制信号。板端连接器可以是SM_24PIN_CON连接器。板端PCIE物理槽位用来传递PCIE控制信号,板端PCIE物理槽位均为标准接口,可任意搭配标准的PCIE设备卡。
在一个实施例中,主板400还包括内存卡槽430,内存卡槽430用于插内存卡。
上述基本输入输出系统的主板和可信度量扩展板通过标准PCIE物理槽位连接,将可信度量设备卡的插槽设置在可信度量扩展板上,从而减少主板端标准PCIE物理槽位的占用。且可信度量扩展板上设置有扩展插槽,可以实现标准PCIE设备的扩展。即该基本输入输出系统在不需要适配可信度量方案的时候,PCIE物理槽位能接入其他标准PCIE设备,在PCIE资源充足的情况下,还可实现扩展性。
在一个实施例中,所述板端连接器411与所述可信度量扩展板200的第一接口220通过线缆连接。通过线缆连接可以便于设置可信度量扩展板的位置。
在一个实施例中,所述板端PCIE物理槽位412还用于与所述板端PCIE物理槽位412互配的其他设备的标准PCIE物理槽位互传PCIE控制信号。
在一个实施例中,所述主板400还包括可编辑逻辑模块(图中未示出),
所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU420、所述BIOS固件和所述PICE设备410动态连接。
在一个实施例中,所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU420、所述BIOS固件和所述PICE设备410动态连接,包括:
所述可编辑逻辑模块,用于与根据所述可信度量信号与目标BIOS固件建立连接,所述BIOS固件为任一个所述CPU420对应的任一个BIOS固件。
如图4所示,提供一种基本输入输出系统的可信度量方法,应用于上述基本输入输出系统;
所述方法包括:
S501:在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;所述可信度量设备卡通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
S502:所述CPU接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
S503:所述可信度量设备卡对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
具体地,基本输入输出系统可以是如图3所示的系统。在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下,即可信度量扩展板分别与主板和可信度量设备卡实现了物理连接。可信度量设备卡通过第一接口向PICE设备的板端连接器透传第一可信度量信号,该可信度量信号用于实现对主板的各硬件设备的可信度量,如对主板的BIOS固件的可信度量和主板的操作系统的可信度量等。主板的CPU在接收到可信度量信号后,开始执行可信度量。以BOIS固件的内容度量为例,获取CPU的BIOS固件的内容,将该BIOS固件的内容通过连接器向第一接口透传该BIOS固件的内容,并通过可信度量扩展板的可信度量卡PCIE物理槽位发送至可信度量设备卡,可信度量设备卡对内容进行度量,得到度量值,将度量值和标准值进行对比,根据对比结果确定该BIOS固件的内容是否可信。并将该BIOS固件的内容是否可信返回至CPU。
基于上述基本输入输出系统的可信度量方法,通过将可信度量设备从主板端剥离至可信度量扩展板。可信度量扩展板上设置有专用的可信度量卡PCIE物理槽位,该槽位可以用于与可信度量设备卡连接,设置有与主板端连接的第一接口和金手指接口实现与主板端的通信,当主板端需要进行可信度量时,将该可信度量扩展板与主板连接,当主板端无需进行可信度量时,可以将该扩展板从主板端端口连接,从而避免浪费主板端的PCIE槽位浪费,且解决了主板端专用可信度量PCIE槽位在无需进行可信度量时的资源浪费问题。
在一个具体的实施例中,上述基本输入输出系统的可信度量方法,基于输入输出系统包括主板和可信度量扩展板;
主板包括至少两个CPU、可编辑逻辑模块和至少两个BIOS固件和PCIE物理槽位;
可编辑逻辑模块与至少两个CPU、至少两个BIOS固件,以及可信度量扩展板动态连接;
所述方法包括:接收基本输入输出系统的启动信号后,生成度量信号并发送至可编辑逻辑模块;可编辑逻辑模块根据度量信号,动态连接可信度量扩展板和BIOS固件;可信度量扩展板获取并验证所述BIOS固件的内容;当每个BIOS固件的内容的验证结果均为通过时,验证每个BIOS固件的标识;当每个BIOS固件的标识验证通过时,启动基本输入输出系统。通过可编辑逻辑模块实现可信度量扩展板与BIOS固件的选通连接,实现对每个BIOS固件的可信度量,避免遗漏对部分BIOS固件的验证,从而加强基本输入输出系统可信度量的可信度,降低基本输入输出系统的运行风险。通过对每个BIOS固件的验证,可以有效的确定各个BIOS固件是否被篡改,若BIOS被篡改一般可以通过可信度量扩展板的可信度量结果反映出来,从而降低BIOS固件被篡改的风险。
在一个实施例中,每个所述BIOS固件的内容相同。因每个BIOS固件的标准度量值相同,也可以加快校验速度,提升校验速率。
在一个实施例中,当任一个BIOS固件的内容的验证结果为未通过时,或,当BIOS固件的标识验证结果为未通过时,停止启动基本输入输出系统。若基本输入输出系统中的至少一个BIOS固件的内容验证结果为未通过时,表征该基本输入输出系统中存在不可信的BIOS固件,故停止启动该服务器。还可以将该基本输入输出系统中不可信的BIOS固件的信息反馈给用户,反馈的形式可以根据需求或实际作业环境设置,如通过光、声或文字等方式传达给用户。同理,当BIOS固件的标识未通过验证时,停止启动基本输入输出系统,并可以将该基本输入输出系统中不可信的BIOS固件的信息反馈给用户,反馈形式不做具体限定。
在一个实施例中,当每个所述BIOS固件的标识验证通过时之后,还包括:验证基本输入输出系统的设备硬件,当基本输入输出系统的设备硬件验证通过时,执行启动基本输入输出系统。在对BIOS固件的内容和标识都进行验证,并验证通过后,还需要对基本输入输出系统的其他设备硬件进行可信度量,若其他设备硬件的可信度量结果也为通过,则继续启动基本输入输出系统。避免其他设备硬件不可信带来的运行安全。
在一个实施例中,当每个所述BIOS固件的标识验证通过时之后,还包括:验证所述基本输入输出系统的设备硬件和所述基本输入输出系统的操作系统,当所述基本输入输出系统的操作系统和所述基本输入输出系统的设备硬件均验证通过时,执行所述启动所述基本输入输出系统。在对BIOS固件的内容和标识都进行验证,并验证通过后,还需要对基本输入输出系统的操作系统和其他设备硬件进行可信度量,若操作系统的可信度量结果和其他设备硬件的可信度量结果均为通过时,则继续启动基本输入输出系统。避免操作系统和其他设备硬件不可信带来的运行安全。
在一个实施例中,当每个所述BIOS固件的标识验证通过时之后,还包括:验证所述基本输入输出系统的操作系统,当所述基本输入输出系统的操作系统验证通过时,执行所述启动所述基本输入输出系统。在对BIOS固件的内容和标识都进行验证,并验证通过后,还需要对基本输入输出系统的操作系统进行可信度量,若操作系统的可信度量结果也为通过,则继续启动基本输入输出系统。避免操作系统不可信带来的运行安全。
在一个实施例中,可编辑逻辑模块根据度量信号,动态连接可信度量扩展板和BIOS固件,可信度量扩展板获取并验证BIOS固件的内容,包括:度量信号发出第一个脉冲低电平到高电平跳变,可编程逻辑模块根据度量信号选通可信度量扩展板的安全卡的接口通路与第一BIOS固件接口通路,第一BIOS固件为所述至少两个BIOS固件中的任一个;可信度量扩展板的安全卡读取第一BIOS固件的内容,并对第一BIOS1固件的内容进行验证;若第一BIOS固件的内容的验证结果为通过时,度量信号发出第一个脉冲高电平到低电平跳变,并在保持低电平一段时长之后,发出第二个脉冲低电平到高电平跳变,可编程逻辑模块根据度量信号选通可信度量扩展板的安全卡的接口通路与第二BIOS固件接口通路,第二BIOS固件为至少两个BIOS固件中出第一BIOS固件之外的任一个;直至至少两个BIOS固件的每个BIOS固件的内容的验证结果为通过时,执行当每个所述BIOS固件的内容的验证结果均为通过时,验证每个所述BIOS固件的标识的步骤。
具体地,度量信号为脉冲信号,如脉冲信号可以为矩形脉冲。度量信号发出第一个脉冲低电平到高电平跳变,可编程逻辑模块根据脉冲信号选通可信度量扩展板的安全卡接口通路与基本输入输出系统的其中一个BIOS固件(第一BIOS固件)接口通路,安全卡读取第一BIOS固件的内容,并将该第一BIOS固件的内容进行可信度量,得到对应的度量值,将该度量值与标准度量值进行比较,根据比较结果确定验证是否通过。若度量值与标准度量值一致,则表示验证通过,反之则表示验证未通过。
在第一BIOS固件的内容验证通过的情况下,度量信号发出第一个脉冲高电平到低电平跳变,并保持电平的时长大于预设时长。其中预设时长可以自定义,如可以定义预设时长为10ms(10毫秒)、12ms、15ms或20ms等。从高电平跳变至低电平后,维持一段时间的低电平,可以更好的区分不同的BIOS固件的内容的度量。也可避免电流不稳定带来的跳变,引起的误判。
在保持电平的时长大于预设时长后,度量信号发出第二个脉冲低电平到高电平跳变。可编程逻辑模块根据脉冲信号选通可信度量扩展板的安全卡接口通路与基本输入输出系统的其中一个BIOS固件(第二BIOS固件)接口通路,安全卡读取第二BIOS固件的内容,并将该第二BIOS固件的内容进行可信度量,得到对应的度量值,将该度量值与标准度量值进行比较,根据比较结果确定验证是否通过。
通过上述方式对基本输入输出系统中的每个BIOS固件的内容进行验证。若每个BIOS固件的内容的验证结果都为通过,则执行当每个所述BIOS固件的内容的验证结果均为通过时,验证每个所述BIOS固件的标识的步骤。
在一个实施例中,可编程逻辑模块根据度量信号选通可信度量扩展板的安全卡的接口通路与至少两个BIOS固件中的任一个所述BIOS固件接口通路之后,还包括:计数脉冲序号和记录脉冲状态,其中脉冲序号分为上升沿序号和/或下降沿序号,脉冲状态包括上升沿前、上升沿后下降沿前和下降沿后三种;根据脉冲序号和所述脉冲状态确定提示信息,并提示。
其中,脉冲序号用于记录脉冲的数量和顺序,脉冲序号可以通过记录上升沿和/或下降沿的出现次数和出现序号。优选同时记录上升沿和下降沿。脉冲状态用于记录脉冲的真实状态,脉冲状态包括上升沿前、上升沿后下降沿前和下降沿后三种。不同的脉冲状态,代表不同的验证结果。根据记录的脉冲序号和脉冲状态确定各个BIOS固件的验证结果。
在一个实施例中,当至少两个BIOS固件中的任一BIOS固件的内容验证结果为未通过时,则以高电平保持度量信号。
具体地,若基本输入输出系统中的任一个BIOS固件的内容未能通过验证,则度量信号以高电平保持。即通过高电平来反馈BIOS固件的内容未能通过可信度量。
在一个实施例中,根据脉冲序号和脉冲状态确定提示信息,并提示,包括:根据脉冲序号和脉冲状态控制LED指示灯亮灭、以不同频率闪烁或是呈现不同颜色中的至少一种进行提示;和/或,根据脉冲序号和脉冲状态确定反馈至其他终端的提示信息,并通过语音或文字提示提示信息;
具体地,根据脉冲序号和脉冲状态控制LED指示灯亮灭、以不同频率闪烁或是呈现不同颜色中的至少一种进行提示,提示基本输入输出系统启动是否存在异常。同理,根据脉冲序号和脉冲状态确定反馈至其他终端的提示信息,并通过语音或文字提示基本输入输出系统启动是否存在异常。
在一个具体的实施例中,提示信息的反馈方式包括但不限于串口打印、LED指示、日志记录、重启及关机。
在一个实施例中,当每个BIOS固件的内容的验证结果均为首次通过时,当每个所述BIOS固件标识验证未通过,包括:当每个BIOS固件未检测到对应标识时,标识验证未通过;所述方法还包括:所述可信度量扩展板向所述可编辑逻辑模块发送反馈信息,所述反馈信息用于反馈标识验证未通过;所述可编辑逻辑模块根据所述反馈信息生成用于冷重启所述基本输入输出系统的信号;当收到所述冷重启的启动信号,对每个所述BIOS固件进行标识,得到每个所述BIOS固件的标识。
在一个实施例中,可信度量扩展板包括用于对BIOS固件进行标识的功能,通过该功能区分多个不同的BIOS固件。
具体地,由于基本输入输出系统在首次启动时,BIOS固件都未进行标识,故虽然BIOS固件的内容都通过验证,但是BIOS固件的标识未能通过验证,无法启动基本输入输出系统,为了避免该情况,则生成用于冷重启基本输入输出系统的启动信号,和对BIOS固件进行标识。根据该冷重启基本输入输出系统的启动信号,启动基本输入输出系统,此时BIOS固件已经打上了对应的标识,则BIOS固件的标识的验证通过,启动该基本输入输出系统,或执行基本输入输出系统的其他设备和/或基本输入输出系统的操作系统的可信度量。
在一个实施例中,在未通过可信度量导致启动失败条件下,等待一段预设时间后,若度量信号仍不符合度量完成条件,则可将系统进行冷重启操作。
在一个实施例中,上述基本输入输出系统的可信度量方法,在所述可信度量扩展板的扩展插槽上插有其他的标准PCIE设备卡时,所述方法还包括:
所述可信度量设备卡向所述其他的标准PCIE设备卡发送第二可信度量信号;
通过所述其他的标准PCIE设备卡,根据所述第二可信度量信号获取所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容;
通过所述可信度量设备卡,对所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容进行可信度量,并返回可信度量的结果至所述其他的标准PCIE设备卡所连接的CPU。
根据本发明的一个方面,提供一种基本输入输出系统的可信度量装置,应用于上述基本输入输出系统;
在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;
所述可信度量装置,包括:
所述可信度量设备卡,用于通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
所述CPU,用于接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
所述可信度量设备卡,用于对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
提供一种计算机设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上述任一项所述的基本输入输出系统的可信度量方法。
根据本发明的再一个方面,提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述的基本输入输出系统的可信度量方法。
在本发明所提供的几个实施方式中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本发明各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本发明各个实施方式方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的部分实施例,并非因此限制本发明的保护范围,凡是利用本发明说明书及附图内容所作的等效装置或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种可信度量扩展板,其特征在于,所述可信度量扩展板包括:
金手指接口,用于与主板的板端PCIE物理槽位对接,互连PCIE控制信号;
第一接口,用于与所述主板的可信度量控制信号对接,实现所述可信度量控制信号透传;
可信度量卡PCIE物理槽位,用于接入可信度量设备卡。
2.根据权利要求1所述的可信度量扩展板,其特征在于,所述可信度量扩展板还包括:
扩展插槽用于连接扩展的标准PCIE设备卡。
3.一种基本输入输出系统,其特征在于,所述系统包括主板和如权利要求1或2所述的可信度量扩展板,
其中,所述主板包括:
PICE设备和至少两个CPU,每个所述CPU包括至少一个BIOS固件,
所述PICE设备,包括板端连接器和板端PCIE物理槽位:
所述板端连接器,用于与所述可信度量扩展板的第一接口透传可信度量控制信号,
所述板端PCIE物理槽位,用于与所述可信度量扩展板的金手指接口互传PCIE控制信号。
4.根据权利要求3所述的基本输入输出系统,其特征在于,所述板端连接器与所述可信度量扩展板的第一接口通过线缆连接。
5.根据权利要求3或4所述的基本输入输出系统,其特征在于,所述板端PCIE物理槽位还用于与所述板端PCIE物理槽位互配的其他设备的标准PCIE物理槽位互传PCIE控制信号。
6.根据权利要求3或4所述的基本输入输出系统,其特征在于,所述主板还包括可编辑逻辑模块,
所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU、所述BIOS固件和所述PICE设备动态连接。
7.根据权利要求6所述的基本输入输出系统,其特征在于,所述可编辑逻辑模块,用于根据所述可信度量信号与所述CPU、所述BIOS固件和所述PICE设备动态连接,包括:
所述可编辑逻辑模块,用于与根据所述可信度量信号所述目标BIOS固件建立连接,所述目标BIOS固件为任一个所述CPU对应的任一个BIOS固件。
8.一种基本输入输出系统的可信度量方法,其特征在于,应用于权利要求3-7中任一项所述的基本输入输出系统;
所述方法包括:
在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;
所述可信度量设备卡通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
所述CPU接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
所述可信度量设备卡对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
9.根据权利要求7所述的方法,其特征在于,
在所述可信度量扩展板的扩展插槽上插有其他的标准PCIE设备卡时,
所述方法还包括:
所述可信度量设备卡向所述其他的标准PCIE设备卡发送第二可信度量信号;
通过所述其他的标准PCIE设备卡,根据所述第二可信度量信号获取所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容;
通过所述可信度量设备卡,对所述其他的标准PCIE设备卡所连接的CPU的BIOS固件的内容进行可信度量,并返回可信度量的结果至所述其他的标准PCIE设备卡所连接的CPU。
10.一种基本输入输出系统的可信度量装置,其特征在于,应用于权利要求3-7中任一项所述的基本输入输出系统;
在可信度量扩展板上的金手指接口插在主板的板端PCIE物理槽位上,且可信度量卡PCIE物理槽位上接有可信度量设备卡的情况下;
所述可信度量装置,包括:
所述可信度量设备卡,用于通过第一接口向PICE设备的板端连接器透传第一可信度量信号,并发送至所述CPU;
所述CPU,用于接收到所述第一可信度量信号后,获取所述CPU的BIOS固件的内容,并将所述BIOS固件的内容通过所述连接器向所述第一接口透传所述BIOS固件的内容,并通过所述可信度量扩展板的可信度量卡PCIE物理槽位发送至所述可信度量设备卡;
所述可信度量设备卡,用于对所述BIOS固件的内容进行可信度量,并返回可信度量结果至所述CPU。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111336026.XA CN114090488A (zh) | 2021-11-11 | 2021-11-11 | 可信度量扩展板、基本输入输出系统以及可信度量方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111336026.XA CN114090488A (zh) | 2021-11-11 | 2021-11-11 | 可信度量扩展板、基本输入输出系统以及可信度量方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114090488A true CN114090488A (zh) | 2022-02-25 |
Family
ID=80300129
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111336026.XA Pending CN114090488A (zh) | 2021-11-11 | 2021-11-11 | 可信度量扩展板、基本输入输出系统以及可信度量方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114090488A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101794362A (zh) * | 2010-01-22 | 2010-08-04 | 华北计算技术研究所 | 计算机用可信计算信任根设备及计算机 |
| CN106844241A (zh) * | 2017-02-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种安全卡、安全卡槽及板卡 |
| US20170193220A1 (en) * | 2014-09-16 | 2017-07-06 | Huawei Technologies Co., Ltd. | Method and apparatus for trusted measurement |
| CN109739791A (zh) * | 2018-12-13 | 2019-05-10 | 北京计算机技术及应用研究所 | 一种pcie和minipcie双接口的通用安全可信接口卡 |
| CN209044589U (zh) * | 2018-12-21 | 2019-06-28 | 贵州浪潮英信科技有限公司 | 一种三槽位pcie扩展装置 |
| CN110334521A (zh) * | 2019-07-08 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信计算系统构建方法、装置、可信计算系统及处理器 |
| CN111444515A (zh) * | 2020-03-20 | 2020-07-24 | 北京可信华泰信息技术有限公司 | 基于pcie接口的可信度量方法 |
| CN111737698A (zh) * | 2020-05-28 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种基于异构计算的安全可信卡及安全可信方法 |
| CN111859398A (zh) * | 2020-07-24 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种基于tpcm的双bios安全验证装置及方法 |
| CN113420297A (zh) * | 2020-09-16 | 2021-09-21 | 阿里巴巴集团控股有限公司 | 一种可信验证的系统、方法、主板、微型板卡及存储介质 |
-
2021
- 2021-11-11 CN CN202111336026.XA patent/CN114090488A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101794362A (zh) * | 2010-01-22 | 2010-08-04 | 华北计算技术研究所 | 计算机用可信计算信任根设备及计算机 |
| US20170193220A1 (en) * | 2014-09-16 | 2017-07-06 | Huawei Technologies Co., Ltd. | Method and apparatus for trusted measurement |
| CN106844241A (zh) * | 2017-02-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种安全卡、安全卡槽及板卡 |
| CN109739791A (zh) * | 2018-12-13 | 2019-05-10 | 北京计算机技术及应用研究所 | 一种pcie和minipcie双接口的通用安全可信接口卡 |
| CN209044589U (zh) * | 2018-12-21 | 2019-06-28 | 贵州浪潮英信科技有限公司 | 一种三槽位pcie扩展装置 |
| CN110334521A (zh) * | 2019-07-08 | 2019-10-15 | 北京可信华泰信息技术有限公司 | 可信计算系统构建方法、装置、可信计算系统及处理器 |
| CN111444515A (zh) * | 2020-03-20 | 2020-07-24 | 北京可信华泰信息技术有限公司 | 基于pcie接口的可信度量方法 |
| CN111737698A (zh) * | 2020-05-28 | 2020-10-02 | 苏州浪潮智能科技有限公司 | 一种基于异构计算的安全可信卡及安全可信方法 |
| CN111859398A (zh) * | 2020-07-24 | 2020-10-30 | 苏州浪潮智能科技有限公司 | 一种基于tpcm的双bios安全验证装置及方法 |
| CN113420297A (zh) * | 2020-09-16 | 2021-09-21 | 阿里巴巴集团控股有限公司 | 一种可信验证的系统、方法、主板、微型板卡及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8176207B2 (en) | System debug of input/output virtualization device | |
| US7594144B2 (en) | Handling fatal computer hardware errors | |
| US10223318B2 (en) | Hot plugging peripheral connected interface express (PCIe) cards | |
| US20140223032A1 (en) | Memory module status indication | |
| US6745345B2 (en) | Method for testing a computer bus using a bridge chip having a freeze-on-error option | |
| US20080059818A1 (en) | Device initiated mode switching | |
| CN114817105B (zh) | 设备枚举的方法、装置、计算机设备以及存储介质 | |
| CN114048484A (zh) | 多路服务器的可信度量的方法、装置、计算机设备 | |
| US10678739B1 (en) | Electronic system, host device and control method | |
| CN112380066B (zh) | 一种基于国产平台的服务器维护调试装置及服务器 | |
| CN108132899A (zh) | 一种传输模式配置方法、装置及系统 | |
| CN116644011B (zh) | 一种i2c设备的快速识别方法、装置、设备及存储介质 | |
| CN114090488A (zh) | 可信度量扩展板、基本输入输出系统以及可信度量方法和装置 | |
| CN112783721A (zh) | 一种i2c总线监控的方法、装置、系统及存储介质 | |
| CN116204214A (zh) | Bmc升级方法、装置、系统、电子设备及存储介质 | |
| CN115729872A (zh) | 一种计算设备及pcie线缆连接的检测方法 | |
| CN114003416B (zh) | 内存错误动态处理方法、系统、终端及存储介质 | |
| CN114996069A (zh) | 一种主板测试方法、装置以及介质 | |
| TWI755184B (zh) | 電子裝置及其開機方法 | |
| CN113806273A (zh) | 快速周边组件互连数据传输控制系统 | |
| CN111709030A (zh) | 一种可信平台模块板卡 | |
| CN117155714B (zh) | 通信装置、方法、系统、设备、介质、加密系统及服务器 | |
| CN108932200B (zh) | 一种测试电路及软件调试方法 | |
| TWI795886B (zh) | 硬碟機在位檢測裝置及方法 | |
| CN113849060B (zh) | 存储设备、cpld器件、存储设备的复位方法和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |