CN114139168B - 一种tpcm度量的方法、装置及介质 - Google Patents
一种tpcm度量的方法、装置及介质 Download PDFInfo
- Publication number
- CN114139168B CN114139168B CN202210110045.9A CN202210110045A CN114139168B CN 114139168 B CN114139168 B CN 114139168B CN 202210110045 A CN202210110045 A CN 202210110045A CN 114139168 B CN114139168 B CN 114139168B
- Authority
- CN
- China
- Prior art keywords
- chip
- firmware chip
- firmware
- tpcm
- bmc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 58
- JBWKIWSBJXDJDT-UHFFFAOYSA-N triphenylmethyl chloride Chemical compound C=1C=CC=CC=1C(C=1C=CC=CC=1)(Cl)C1=CC=CC=C1 JBWKIWSBJXDJDT-UHFFFAOYSA-N 0.000 title claims abstract 25
- 238000005259 measurement Methods 0.000 claims abstract description 75
- 230000009977 dual effect Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 12
- 238000013461 design Methods 0.000 abstract description 3
- 230000007246 mechanism Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 238000000691 measurement method Methods 0.000 description 5
- 101001106432 Homo sapiens Rod outer segment membrane protein 1 Proteins 0.000 description 4
- 102100021424 Rod outer segment membrane protein 1 Human genes 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 101100087530 Caenorhabditis elegans rom-1 gene Proteins 0.000 description 1
- 101100305983 Mus musculus Rom1 gene Proteins 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 210000000987 immune system Anatomy 0.000 description 1
- 230000036039 immunity Effects 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供的一种TPCM度量的方法、装置及介质,适用于系统设计领域。由于TPCM一次只能对一个固件芯片进行安全度量,在启动第一固件芯片之前,TPCM对第一固件芯片已经完成安全认证,若启动第一固件芯片失败,则在切换为第二固件芯片启动之前将BMC下电,复位TPCM进而对第二固件芯片完成安全认证。再次重新启动BMC的双boot,默认启动第一固件芯片,当启动第一固件芯片失败后,切换启动第二固件芯片,此时第一固件芯片和第二固件芯片都完成安全认证,避免出现TPCM无法确定安全度量何种固件导致的安全信息泄露问题,保证服务器的信息安全,提高服务器的可靠性。
Description
技术领域
本发明涉及系统设计领域,特别是涉及一种TPCM度量的方法、装置及介质。
背景技术
随着可信计算技术的发展,在可信计算2.0的基础上解决了可信体系与现有体系的融合问题、可信管理问题以及可信开发的简化问题,形成了基于主动免疫体系的可信计算技术——可信计算3.0。可信平台控制模块(Trusted Platform Control Module,TPCM)作为可信计算3.0的主动免疫机制的核心,由于中央处理器(Central Processing Unit,CPU)和基板管理控制器(Baseboard Manager Controller,BMC)启动,度量确认启动代码的可信性和完整性。
目前为了保证平台的可靠性,服务器中BMC支持双boot功能,即BMC默认从固件(Firmware,FW)ROM0启动,经过一定时间后没有启动成功,会自动切换到FW ROM1启动。由于TPCM在BMC上电之前对FW ROM进行安全度量,无法得知BMC将启动具体的何种FW ROM。由于TPCM一次只能安全度量一个FW ROM,如果TPCM只安全度量了FW ROM0,在实际启动过程中FWROM0启动失败,进而对FW ROM1启动成功,但是FW ROM1没有安全认证,因此会对服务器带来严重信息安全问题,可能导致信息泄露或被攻击等。
因此,寻求一种TPCM度量的方法是本领域技术人员亟需要解决的。
发明内容
本发明的目的是提供一种TPCM度量的方法、装置及介质,保证服务器的信息安全。
为解决上述技术问题,本发明提供一种TPCM度量的方法,包括:
控制TPCM对双boot内的第一固件芯片进行安全度量,其中,双boot包括第一固件芯片和第二固件芯片;
当检测到第一固件芯片度量通过时,则控制BMC启动第一固件芯片;
当第一固件芯片启动失败时,则控制BMC下电;
复位TPCM并对第二固件芯片进行安全度量;
当检测到第二固件芯片度量通过时,则控制BMC上电并重新启动第一固件芯片;
当第一固件芯片启动失败时,则切换至第二固件芯片启动。
优选地,通过如下步骤确定第一固件芯片度量通过:
获取TPCM的完成信号;
判断完成信号是否发生变化;
若完成信号发生变化,则确定第一固件芯片度量通过,否则第一固件芯片度量不通过。
优选地,通过如下步骤确定第一固件芯片启动失败:
读取BMC中第一固件芯片对应的第一片选信号;
判断第一片选信号是否发生变化;
若发生变化,则确定第一固件芯片启动失败。
优选地,控制BMC下电,包括:
在第一固件芯片启动失败时开始,当达到预设时间时控制BMC下电。
优选地,在当第一固件芯片启动失败时,则切换至第二固件芯片启动之后,还包括:
读取BMC中第二固件芯片对应的第二片选信号;
判断第二片选信号是否发生变化;
若发生变化,则确定第二固件芯片启动失败;
若未发生变化,则确定第二固件芯片启动成功。
优选地,还包括:
当检测到第一固件芯片或第二固件芯片度量未通过时,将服务器下电并重新启动。
优选地,在第二固件芯片启动失败之后,还包括:
更新双boot内的第一固件芯片和第二固件芯片,并返回至控制TPCM对双boot内的第一固件芯片进行安全度量的步骤。
为解决上述技术问题,本发明还提供一种TPCM度量的装置,包括:
第一控制模块,用于控制TPCM对双boot内的第一固件芯片进行安全度量,其中,双boot包括第一固件芯片和第二固件芯片;
第一启动模块,用于当检测到第一固件芯片度量通过时,则控制BMC启动第一固件芯片;
第二控制模块,用于当第一固件芯片启动失败时,则控制BMC下电;
复位模块,用于复位TPCM并对第二固件芯片进行安全度量;
第二启动模块,用于当检测到第二固件芯片度量通过时,则控制BMC上电并重新启动第一固件芯片;
切换模块,用于当第一固件芯片启动失败时,则切换至第二固件芯片启动。
为解决上述技术问题,本发明还提供一种TPCM度量的装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行计算机程序时实现如上述的TPCM度量的方法的步骤。
为解决上述技术问题,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述的TPCM度量的方法的步骤。
本发明提供的一种TPCM度量的方法,该方法在BMC启动双boot中的任意一个固件芯片之前,对固件芯片已经完成安全度量。由于TPCM一次只能对一个固件芯片进行安全度量,在启动第一固件芯片之前,TPCM对第一固件芯片已经完成安全认证,若启动第一固件芯片失败,则在切换为第二固件芯片启动之前将BMC下电,复位TPCM进而对第二固件芯片完成安全认证。再次重新启动BMC的双boot,默认启动第一固件芯片,当启动第一固件芯片失败后,切换启动第二固件芯片,此时第一固件芯片和第二固件芯片都完成安全认证,避免出现TPCM无法确定安全度量何种固件导致的安全信息泄露问题,保证服务器的信息安全,提高服务器的可靠性。
另外,本发明还提供了一种TPCM度量的装置及介质,具有如上述TPCM度量的方法相同的有益效果。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种TPCM度量的方法的流程图;
图2为本发明实施例提供的一种TPCM安全度量的方法的示意图;
图3为本发明实施例提供的一种TPCM度量的装置的结构图;
图4为本发明实施例提供的另一种TPCM度量的装置的结构图;
图5为本发明实施例提供的另一种TPCM度量的方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
本发明的核心是提供一种TPCM度量的方法、装置及介质,保证服务器的信息安全。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
需要说明的是,本发明提供的TPCM度量的方法,适用于服务器中的底层固件,TPCM的主要优势是主动性,在底层固件上电启动之前,对其进行安全度量,从而阻止被恶意篡改的固件影响服务器的信息安全。为了保证平台的可靠性,其进行固件芯片的冗余设计,在服务器中BMC和基本输入输出系统(Basic Input Output System,BIOS)一般支持双boot功能,即系统中存在两个BMC的固件和两个BIOS的固件,由于BIOS不存在两个固件之间自动切换,故本发明不考虑BIOS的安全度量,仅适用于支持双boot内的固件芯片。
图1为本发明实施例提供的一种TPCM度量的方法的流程图,如图1所示,该方法包括:
S11:控制TPCM对双boot内的第一固件芯片进行安全度量,其中,双boot包括第一固件芯片和第二固件芯片。
为了保证TPCM在进行安全度量时,BMC与固件芯片之间处于隔离状态,TPCM上电后,其CPLD将选取第一固件芯片的通道对第一固件芯片进行安全度量。双boot为双启动机制,包括第一固件芯片和第二固件芯片,具体地,第一固件芯片(FW ROM0)为存储第一固件程序的芯片。在BMC上电后,其BMC芯片产生两个SPI片选信号,支持通过SPI总线挂接两个固件芯片,分别对应第一固件芯片和第二固件芯片。由于BMC机制默认先启动第一固件芯片,其对应第一固件芯片的片选信号置0,对应第二固件芯片的片选信号置1,如果持续一定时间后,其第一固件芯片启动失败,则自动切换至第二固件芯片进行启动,其对应第一固件芯片的片选信号置1,对应第二固件芯片的片选信号置0。因此,在BMC上电之前,TPCM先对双boot内的第一固件芯片进行安全度量。
可以理解的是,在第一固件芯片安全度量之前,接收MUX芯片S引脚的信号为高电平时其TPCM的片选引脚连接第一固件芯片,进而开始度量。
S12:当检测到第一固件芯片度量通过时,则控制BMC启动第一固件芯片。
在步骤S11中TPCM对第一固件芯片进行安全度量,当检测到第一固件芯片度量通过时,BMC上电,此时接收S引脚的信号为低电平,BMC启动第一固件芯片。具体地,在BMC启动第一固件芯片时,在硬件系统中,TPCM需要断开与第一固件芯片(FW ROM0)的连接。
第一固件芯片度量的通过与否,查看TPCM的完成信号是否发生变化,其完成信号为TPCM芯片BMC_ROM_TM_DONE#引脚采集的信号,若完成信号发生变化,由高电平变为低电平,则第一固件芯片度量通过。若完成信号没有发生变化,一直高电平,则第一固件芯片度量不通过。
S13:当第一固件芯片启动失败时,则控制BMC下电。
当第一固件芯片通过安全度量时,BMC上电并启动第一固件芯片,CPLD读取BMC的片选信号是否发生变化,可以理解的是,BMC芯片有两个SPI片选信号。当启动第一固件芯片时,可以对其第一固件芯片对应的第一片选信号进行监控并判断该片选信号是否发生变化,也可以轮询读取第一片选信号或第二片选信号是否发生变化。本发明不做具体限定,只要能准确获取第一固件芯片的启动状态即可。
当CPLD读取BMC的两个片选信号时,由于双boot机制,若第一片选信号发生变化时,其第二片选信号也会发生变化。例如,第一片选信号由低电平变为高电平,或第二片选信号由高电平变为低电平,其中低电平为有效信号,则第一固件芯片启动失败,直接切换至第二固件芯片启动。
当第一固件芯片启动失败后,由于TPCM一次只能安全度量一个固件芯片,因此未对第二固件芯片进行安全度量,在切换为第二固件芯片之前,瞬间响应通知电源和控制机制将BMC下电。
S14:复位TPCM并对第二固件芯片进行安全度量。
当第一固件芯片启动失败时,将控制BMC下电,由于在硬件系统中,在BMC启动第一固件芯片时,TPCM断开与第一固件芯片的连接。故下电BMC后,需要将TPCM进行复位,接收MUX芯片S引脚的信号为高电平时其TPCM的片选引脚连接第二固件芯片,对第二固件芯片进行安全度量。
S15:当检测到第二固件芯片度量通过时,则控制BMC上电并重新启动第一固件芯片。
在步骤S14中TPCM对第二固件芯片进行安全度量,当检测到第二固件芯片度量通过时,BMC再次上电,此时接收S引脚的信号为低电平,由于BMC的双boot启动机制,第一固件芯片和第二固件芯片冗余设计,BMC启动时默认从第一固件芯片进行启动,其在BMC启动固件过程中,在硬件系统中,TPCM断开与第二固件芯片(FW ROM1)的连接。
第二固件芯片度量的通过与否,和上述第一固件芯片度量的通过与否的查看策略相同,需要查看TPCM的完成信号是否发生变化,在此不再赘述。
S16:当第一固件芯片启动失败时,则切换至第二固件芯片启动。
第二固件芯片安全度量通过后,BMC重新启动第一固件芯片,确定第一固件芯片启动失败的说明在上述已详细赘述,在此不再展开说明,进而根据BMC的双boot冗余机制,BMC直接切换至第二固件芯片进行启动。
本发明提供的一种TPCM度量的方法,该方法在BMC启动双boot中的任意一个固件芯片之前,对固件芯片已经完成安全度量。由于TPCM一次只能对一个固件芯片进行安全度量,在启动第一固件芯片之前,TPCM对第一固件芯片已经完成安全认证,若启动第一固件芯片失败,则在切换为第二固件芯片启动之前将BMC下电,复位TPCM进而对第二固件芯片完成安全认证。再次重新启动BMC的双boot,默认启动第一固件芯片,当启动第一固件失败后,切换启动第二固件芯片,此时第一固件芯片和第二固件芯片都完成安全认证,避免出现TPCM无法确定安全度量何种固件导致的安全信息泄露问题,保证服务器的信息安全,提高服务器的可靠性。
在上述实施例的基础上,步骤S12中的第一固件芯片度量通过,图2为本发明实施例提供的一种TPCM安全度量的方法的示意图,如图2所示,通过如下步骤确定第一固件芯片度量通过:
获取TPCM的完成信号;
判断完成信号是否发生变化;
若完成信号发生变化,则确定第一固件芯片度量通过,否则第一固件芯片度量不通过。
图2中的Switch芯片配合CPLD的逻辑控制,将TPCM的CS#信号分成两个TPCM_CS0_N和TPCM_CS1_N信号,通过MUX芯片分别实现对FW ROM0和FW ROM1的片选。Switch芯片的通道选通由CPLD控制,当OE1=1,OE2=0时,1A到1B的通道选通即第一固件芯片的连接;当OE1=0,OE2=1时,2A到2B的通道选通,即第二固件芯片的连接。MUX芯片的OE_N信号默认下拉处理,保证MUX芯片一直处于使能状态。
TPCM上电后对第一固件芯片安全度量,经过一定时间获取TPCM芯片BMC_ROM_TM_DONE#引脚采集的信号,这里的一定时间的长短根据实际情况进行设置,可以为固定的预设时间,具体地,在第二固件芯片进行安全度量时经过的一定时间相同。
获取完成信号后进而判断完成信号是否发生变化,若完成信号由高电平变为低电平,则说明第一固件芯片安全度量通过,若完成信号一直为高电平,没有变化,则说明第一固件芯片安全度量不通过,服务器平台下电或者重新启动TPCM进行第一固件芯片安全度量。
可以理解的是,当第一固件芯片安全度量不通过时,BMC启动第一固件芯片,其进入非可信工作模式进行可信计算不严格的执行进程。
本实施例提供的在BMC启动第一固件芯片之前对第一固件芯片进行安全度量且通过,避免服务器的信息泄露问题,保证服务器的信息安全。
在上述实施例的基础上,在步骤S13中的第一固件芯片启动失败,其通过如下步骤确定第一固件芯片启动失败:
读取BMC中第一固件芯片对应的第一片选信号;
判断第一片选信号是否发生变化;
若发生变化,则确定第一固件芯片启动失败。
第一固件芯片通过安全度量后,控制BMC启动第一固件芯片,可以理解的是,第一片选信号通过I2C总线读取,第一固件芯片对应的第一片选信号(图2中的BMC_FWSPICS0_N引脚产生的信号),判断第一片选信号是否发生变化,低电平有效,当第一片选信号由低电平转为高电平时,其第一片选信号发生变化,则第一固件芯片启动失败。
另外,确定第一固件芯片的启动状态也可以根据第一片选信号或第二片选信号判断是否发生变化,则需要轮询读取第一片选信号和第二固件芯片对应的第二片选信号。当第一片选信号工作时低电平有效,则第二片选信号不工作为高电平。若任意一个片选信号发生变化,其第一片选信号由低电平变为高电平,或第二片选信号由高电平变为低电平,则第一固件芯片启动失败。本发明只通过判断第一片选信号是否发生变化以此确定第一固件芯片的启动状态是一种优选地实施例。
本实施例提供的判断第一片选信号是否发生变化,若发生变化则确定第一固件芯片的启动失败,保证服务器的信息安全,提高服务器的可靠性,为后续服务器正常工作提供保障。
在上述实施例中提到,BMC支持双boot机制,当第一固件芯片启动失败后,则会自动切换至第二固件芯片启动,由于TPCM一次只能安全度量一个固件芯片,因此未对第二固件芯片进行安全度量,在切换为第二固件芯片的时间未到达之前,瞬间响应通知电源和控制机制将BMC下电。其控制BMC下电具体包括:
在第一固件芯片启动失败时开始,当达到预设时间时控制BMC下电。
可以理解的是,第一固件芯片启动失败时至切换到第二固件芯片启动时有一定的切换响应时间,在切换响应时间内到达预设时间时控制BMC下电,其预设时间小于切换响应时间。例如,切换响应时间为t1,预设时间为t2,从第一固件芯片启动失败时开始计算时间,由于t2<t1,当达到预设时间时还未达到切换响应时间,则控制BMC下电,也就是阻拦切换至第二固件芯片。
本实施例提供的在第一固件芯片启动失败时开始,当达到预设时间时控制BMC下电。避免出现在第一固件芯片启动失败的情况下,TPCM无法确定第二固件芯片是否安全度量导致的安全信息泄露问题,保证服务器的信息安全。
在上述实施例的基础上,当第一固件芯片和第二固件芯片度量都通过的情况下,在当第一固件芯片启动失败时,则切换至第二固件芯片启动之后,还包括:
读取BMC中第二固件芯片对应的第二片选信号;
判断第二片选信号是否发生变化;
若发生变化,则确定第二固件芯片启动失败;
若未发生变化,则确定第二固件芯片启动成功。
第二固件芯片通过安全度量之后,启动第一芯片失败,则自动切换至第二固件启动,进而通过I2C总线读取第二固件芯片对应的第二片选信号(图2中的BMC_FWSPICS1_N引脚产生的信号),判断第二片选信号是否发生变化,低电平有效,当第二片选信号由低电平转为高电平时,其第二片选信号发生变化,则第二固件芯片启动失败。若第二片选信号一直低电平未发生改变,则第二固件芯片启动成功,服务器的BMC正常工作。
可以理解的时,确定第二固件芯片的启动状态可以根据第一片选信号或第二片选信号判断是否发生变化,则需要轮询读取第一片选信号和第二固件芯片对应的第二片选信号。若任意一个片选信号发生变化,其第一片选信号由高电平变为低电平,或第二片选信号由低电平变为高电平,则第二固件芯片启动失败。本发明只通过判断第一片选信号是否发生变化以此确定第一固件芯片的启动状态是一种优选地实施例。
本实施例提供的判断第二片选信号是否发生变化,若发生变化则确定第二固件芯片的启动失败,若未发生变化,则确定第二固件芯片启动成功。保证服务器的信息安全,提高服务器的可靠性,为后续服务器正常工作提供保障。
在上述实施例的基础上,当检测到第一固件芯片或者第二固件芯片度量未通过时,则在后续启动第一固件芯片或第二固件芯片。虽启动成功但在服务器工作时会有被恶意篡改的危险,因此需要将服务器下电并重新启动。
需要说明的是,将服务器下电并重新启动是一种优选地实施例,TPCM启动安全防范策略,阻止服务器上电,或在宽松安全策略下进入非可信运行环境,或者TPCM重新更新启动代码重构可信环境。
本实施例提供的任一固件芯片不通过时将服务器下电并重新启动,避免服务器工作时会有被恶意篡改,保证服务器的信息安全。
在上述实施例的基础上,当第一固件芯片和第二固件芯片都通过安全度量,启动第一固件芯片失败,自动切换至第二固件芯片启动。当第二固件启动失败之后,还包括:
更新双boot内的第一固件芯片和第二固件芯片,并返回至控制TPCM对双boot内的第一固件芯片进行安全度量的步骤。
可以理解的是,当第二固件芯片启动失败后,其固件文件有问题,需要重新烧录固件文件的程序,也就是更新双boot内的第一固件芯片和第二固件芯片。更新后,则需要TPCM重新对BMC的双boot进行安全度量,也就返回至步骤S11中的控制TPCM对双boot内的第一固件芯片进行安全度量。
需要说明的是,本发明提供的更新固件芯片烧录固件文件的程序仅是一种优选地实施例,可以更换固件芯片,根据实际情况进行设置,不做具体要求限定。
本发明提供的当第二固件启动失败之后更新双boot内的第一固件芯片和第二固件芯片以重新进行安全度量,保证服务器的信息安全,提高服务器的可靠性。
上述详细描述了TPCM度量的方法对应的各个实施例,在此基础上,本发明还公开与上述方法对应的TPCM度量的装置,图3为本发明实施例提供的一种TPCM度量的装置的结构图。如图3所示,TPCM度量的装置包括:
第一控制模块11,用于控制TPCM对双boot内的第一固件芯片进行安全度量,其中,双boot包括第一固件芯片和第二固件芯片;
第一启动模块12,用于当检测到第一固件芯片度量通过时,则控制BMC启动第一固件芯片;
第二控制模块13,用于当第一固件芯片启动失败时,则控制BMC下电;
复位模块14,用于复位TPCM并对第二固件芯片进行安全度量;
第二启动模块15,用于当检测到第二固件芯片度量通过时,则控制BMC上电并重新启动第一固件芯片;
切换模块16,用于当第一固件芯片启动失败时,则切换至第二固件芯片启动。
由于装置部分的实施例与上述的实施例相互对应,因此装置部分的实施例请参照上述装置部分的实施例描述,在此不再赘述。
本发明提供的一种TPCM度量的装置,该装置在BMC启动双boot中的任意一个固件芯片之前,对固件芯片已经完成安全度量。由于TPCM一次只能对一个固件芯片进行安全度量,在启动第一固件芯片之前,TPCM对第一固件芯片已经完成安全认证,若启动第一固件芯片失败,则在切换为第二固件芯片启动之前将BMC下电,复位TPCM进而对第二固件芯片完成安全认证。再次重新启动BMC的双boot,默认启动第一固件芯片,当启动第一固件失败后,切换启动第二固件芯片,此时第一固件芯片和第二固件芯片都完成安全认证,避免出现TPCM无法确定安全度量何种固件导致的安全信息泄露问题,保证服务器的信息安全,提高服务器的可靠性。
图4为本发明实施例提供的另一种TPCM度量的装置的结构图,如图4所示,该装置包括:
存储器21,用于存储计算机程序;
处理器22,用于执行计算机程序时实现TPCM度量的方法的步骤。
本实施例提供的TPCM度量的装置可以包括但不限于智能手机、平板电脑、笔记本电脑或者台式电脑等。
其中,处理器22可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器22可以采用数字信号处理器 (Digital Signal Processor,DSP)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)、可编程逻辑阵列 (Programmable LogicArray,PLA)中的至少一种硬件形式来实现。处理器22也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU;协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器22可以在集成有图像处理器 (Graphics Processing Unit,GPU),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器22还可以包括人工智能 (Artificial Intelligence,AI)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器21可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器21还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器21至少用于存储以下计算机程序201,其中,该计算机程序被处理器22加载并执行之后,能够实现前述任一实施例公开的TPCM度量的方法的相关步骤。另外,存储器21所存储的资源还可以包括操作系统202和数据203等,存储方式可以是短暂存储或者永久存储。其中,操作系统202可以包括Windows、Unix、Linux等。数据203可以包括但不限于噪声检测方法所涉及到的数据等等。
在一些实施例中,TPCM度量的装置还可包括有显示屏23、输入输出接口24、通信接口25、电源26以及通信总线27。
领域技术人员可以理解,图4中示出的结构并不构成对TPCM度量的装置的限定,可以包括比图示更多或更少的组件。
处理器22通过调用存储于存储器21中的指令以实现上述任一实施例所提供的TPCM度量的方法。
本发明提供的一种TPCM度量的装置,该装置在BMC启动双boot中的任意一个固件芯片之前,对固件芯片已经完成安全度量。由于TPCM一次只能对一个固件芯片进行安全度量,在启动第一固件芯片之前,TPCM对第一固件芯片已经完成安全认证,若启动第一固件芯片失败,则在切换为第二固件芯片启动之前将BMC下电,复位TPCM进而对第二固件芯片完成安全认证。再次重新启动BMC的双boot,默认启动第一固件芯片,当启动第一固件失败后,切换启动第二固件芯片,此时第一固件芯片和第二固件芯片都完成安全认证,避免出现TPCM无法确定安全度量何种固件导致的安全信息泄露问题,保证服务器的信息安全,提高服务器的可靠性。
进一步的,本发明还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器22执行时实现如上述TPCM度量的方法的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不再赘述,其具有上述TPCM度量的方法相同的有益效果。
为了使本领域的技术人员更好的理解本发明的技术方案,下面结合附图、本发明实施例提供的TPCM度量的方法、装置及介质,作进一步的详细说明。
图5为本发明实施例提供的另一种TPCM度量的方法的流程图,如图5所示,该过程包括:
S21:控制TPCM上电;
S22:TPCM安全验证第一固件芯片;
S23:在指定时间内,判断TPCM的完成信号是否发生变化,若未发生变化,则进入步骤S24,若发生则进入步骤S25;
S24:度量失败并将服务器下电或重启;
S25:控制BMC上电;
S26:轮询读取片选信号是否发生变化,若未发生变化则进入至步骤S27,若发生变化,则进入至步骤S28;
S27:确定第一固件芯片启动成功;
S28:确定第一固件芯片启动失败;
S29:在第一固件芯片启动失败时开始,当达到预设时间时控制BMC下电;
S30:复位TPCM;
S31:控制Switch芯片选取第二固件芯片连接的通道;
S32:TPCM安全验证第二固件芯片;
S33:在指定时间内,判断TPCM的完成信号是否发生变化,若未发生变化,则进入步骤S24,若发生则进入步骤S34;
S34:控制BMC重新上电,启动第一固件芯片,若启动第一固件芯片失败则切换至第二固件芯片启动。
上文通过对本发明实施例提供的另一种TPCM度量的方法的流程图进行了介绍,具有与上述提到的TPCM度量的方法相同的有益效果。
以上对本发明所提供的一种TPCM度量的方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种TPCM度量的方法,其特征在于,包括:
控制TPCM对双boot内的第一固件芯片进行安全度量,其中,所述双boot包括所述第一固件芯片和第二固件芯片;
当检测到所述第一固件芯片度量通过时,则控制BMC启动所述第一固件芯片;
当所述第一固件芯片启动失败时,则控制所述BMC下电;
复位所述TPCM并对所述第二固件芯片进行安全度量;
当检测到所述第二固件芯片度量通过时,则控制所述BMC上电并重新启动所述第一固件芯片;
当所述第一固件芯片启动失败时,则切换至所述第二固件芯片启动。
2.根据权利要求1所述的TPCM度量的方法,其特征在于,通过如下步骤确定所述第一固件芯片度量通过:
获取所述TPCM的完成信号;
判断所述完成信号是否发生变化;
若所述完成信号发生变化,则确定所述第一固件芯片度量通过,否则所述第一固件芯片度量不通过。
3.根据权利要求1所述的TPCM度量的方法,其特征在于,通过如下步骤确定所述第一固件芯片启动失败:
读取所述BMC中所述第一固件芯片对应的第一片选信号;
判断所述第一片选信号是否发生变化;
若发生变化,则确定所述第一固件芯片启动失败。
4.根据权利要求3所述的TPCM度量的方法,其特征在于,所述控制所述BMC下电,包括:
在所述第一固件芯片启动失败时开始,当达到预设时间时控制所述BMC下电。
5.根据权利要求1所述的TPCM度量的方法,其特征在于,在所述当所述第一固件芯片启动失败时,则切换至所述第二固件芯片启动之后,还包括:
读取所述BMC中所述第二固件芯片对应的第二片选信号;
判断所述第二片选信号是否发生变化;
若发生变化,则确定所述第二固件芯片启动失败;
若未发生变化,则确定所述第二固件芯片启动成功。
6.根据权利要求1所述的TPCM度量的方法,其特征在于,还包括:
当检测到所述第一固件芯片或所述第二固件芯片度量未通过时,将服务器下电并重新启动。
7.根据权利要求5所述的TPCM度量的方法,其特征在于,在所述第二固件芯片启动失败之后,还包括:
更新所述双boot内的所述第一固件芯片和所述第二固件芯片,并返回至所述控制TPCM对双boot内的第一固件芯片进行安全度量的步骤。
8.一种TPCM度量的装置,其特征在于,包括:
第一控制模块,用于控制TPCM对双boot内的第一固件芯片进行安全度量,其中,所述双boot包括所述第一固件芯片和第二固件芯片;
第一启动模块,用于当检测到所述第一固件芯片度量通过时,则控制BMC启动所述第一固件芯片;
第二控制模块,用于当所述第一固件芯片启动失败时,则控制所述BMC下电;
复位模块,用于复位所述TPCM并对所述第二固件芯片进行安全度量;
第二启动模块,用于当检测到所述第二固件芯片度量通过时,则控制所述BMC上电并重新启动所述第一固件芯片;
切换模块,用于当所述第一固件芯片启动失败时,则切换至所述第二固件芯片启动。
9.一种TPCM度量的装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的TPCM度量的方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的TPCM度量的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210110045.9A CN114139168B (zh) | 2022-01-29 | 2022-01-29 | 一种tpcm度量的方法、装置及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210110045.9A CN114139168B (zh) | 2022-01-29 | 2022-01-29 | 一种tpcm度量的方法、装置及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114139168A CN114139168A (zh) | 2022-03-04 |
CN114139168B true CN114139168B (zh) | 2022-05-24 |
Family
ID=80381829
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210110045.9A Active CN114139168B (zh) | 2022-01-29 | 2022-01-29 | 一种tpcm度量的方法、装置及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114139168B (zh) |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109375953B (zh) * | 2018-09-03 | 2022-03-25 | 新华三技术有限公司 | 一种操作系统启动方法及装置 |
CN110109715A (zh) * | 2019-05-08 | 2019-08-09 | 苏州浪潮智能科技有限公司 | 一种服务器安全启动的系统和方法 |
CN111399919A (zh) * | 2020-03-06 | 2020-07-10 | 苏州浪潮智能科技有限公司 | 一种服务器的启动方法、系统、电子设备及存储介质 |
CN113641537A (zh) * | 2021-08-23 | 2021-11-12 | 浪潮商用机器有限公司 | 一种服务器的启动系统,方法及介质 |
-
2022
- 2022-01-29 CN CN202210110045.9A patent/CN114139168B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN114139168A (zh) | 2022-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2989579B1 (en) | Redundant system boot code in a secondary non-volatile memory | |
CN109670319B (zh) | 一种服务器flash安全管理方法及其系统 | |
CN108304282B (zh) | 一种双bios的控制方法及相关装置 | |
WO2016206514A1 (zh) | 启动处理方法及装置 | |
US8578182B2 (en) | Power lock-up setting method performed by baseboard management controller and electronic apparatus using the same | |
CN110472421B (zh) | 主板、固件安全检测方法及终端设备 | |
CN111158767A (zh) | 基于bmc的服务器安全启动方法及装置 | |
US10909247B2 (en) | Computing device having two trusted platform modules | |
CN104461594A (zh) | 嵌入式操作系统的升级方法及装置 | |
CN111338698A (zh) | 一种bios准确引导服务器启动的方法及系统 | |
CN113901473B (zh) | 一种服务器安全启动的方法、装置、设备及可读介质 | |
CN113641537A (zh) | 一种服务器的启动系统,方法及介质 | |
CN106020895B (zh) | 一种应用程序启动方法及用户终端 | |
CN111651769A (zh) | 获取安全启动的度量方法和装置 | |
TW202131170A (zh) | 韌體損壞恢復技術 | |
CN114139168B (zh) | 一种tpcm度量的方法、装置及介质 | |
CN113127879A (zh) | 一种固件可信启动方法、电子设备及可读存储介质 | |
CN103678018A (zh) | 一种进行数据恢复的方法及装置 | |
CN107179911B (zh) | 一种重启管理引擎的方法和设备 | |
CN115421793A (zh) | 一种启动状态的显示方法及计算设备 | |
CN114153503A (zh) | 一种bios控制方法、装置、介质 | |
CN116881928B (zh) | 一种可信快速度量方法及可信计算机 | |
CN114416189B (zh) | 一种服务器操作系统的启动装置、方法、介质及服务器 | |
CN113094109B (zh) | 电子设备及控制方法 | |
CN116701055A (zh) | 一种服务器的故障隔离方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |