TWI735279B - 自動偵測及警示計算裝置組件變更的方法和系統 - Google Patents
自動偵測及警示計算裝置組件變更的方法和系統 Download PDFInfo
- Publication number
- TWI735279B TWI735279B TW109122808A TW109122808A TWI735279B TW I735279 B TWI735279 B TW I735279B TW 109122808 A TW109122808 A TW 109122808A TW 109122808 A TW109122808 A TW 109122808A TW I735279 B TWI735279 B TW I735279B
- Authority
- TW
- Taiwan
- Prior art keywords
- identification information
- component
- computing device
- controller
- components
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/14—Handling requests for interconnection or transfer
- G06F13/16—Handling requests for interconnection or transfer for access to memory bus
- G06F13/1668—Details of memory controller
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3006—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4411—Configuring for operating with peripheral devices; Loading of device drivers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
- H04L41/0869—Validating the configuration within one network element
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F8/00—Arrangements for software engineering
- G06F8/60—Software deployment
- G06F8/65—Updates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
Abstract
一種用於追蹤一計算裝置的複數個組件的系統和方法。計算裝置的每一該些組件包括一識別資訊。至少一匯流排耦接至該些組件。一記憶體裝置儲存與每一該些組件相對應的識別資訊。一管理控制器耦接至匯流排和記憶體裝置。管理控制器透過匯流排週期性地從每一該些組件要求識別資訊。管理控制器從每一該些組件接收要求的識別資訊。管理控制器將接收的識別資訊與儲存的識別資訊進行比較,以確定該些組件是否有被變更。
Description
本發明是有關於一種計算裝置中之組件偵測。更具體地,本發明有關於一種系統,其允許偵測和警示一資料中心中之計算裝置內之組件的變更。
伺服器被大量用於例如基於網路的系統或資料中心的高需求應用。用於計算應用程序的雲的出現增加了對資料中心的需求。資料中心有許多伺服器,用於儲存資料並運行由遠端連接的計算機裝置使用者存取的應用程序。典型的資料中心具有物理機架結構,並帶有相應的電源和通訊連接。每個機架可以容納多個計算伺服器和儲存伺服器。每個伺服器通常包括硬體組件,例如處理器、儲存裝置、網路介面卡、電源和其他專用硬體。每個伺服器通常包括基板管理控制器,該基板管理控制器管理伺服器的運作,以及將運作資料傳送到管理機架式伺服器的一中央管理站。
資料中心中的伺服器為企業提供了許多服務,包括執行應用程序、提供虛擬化服務以及促進互聯網商務。在此角色中,資料中心中的應用伺服器和儲存伺服器儲存必須受到保護的重要資料。因此,資料中心的安全性日益重要。一種潛在的安全隱患可能是未經授權更換伺服器上的組件。伺服器上的某些組件可能包含重要的存取資訊,此重要的存取資訊可用於滲透到資料中心。因此,從伺服器上卸下的組件可能會包含一些資訊,以允許未經授權的存取資料中心。通過熱插拔來替換卸下的組件,伺服器仍可繼續正常運行,因此漏洞不會被發現。此外,一個組件也可以用另一個具有“特洛伊木馬”的組件(例如惡意軟體)替換,以收集敏感資料。資料中心管理員可能不知道伺服器中的組件已被更換,因此危害了安全性。
因此,需要一種系統,其使用例如伺服器的計算裝置的管理控制器來偵測伺服器中的組件是否被變更。還需要一種系統,當伺服器中的組件發生變更時,該系統會向資料中心管理員發出警示。進一步更需要一種系統,可以從遠端中央管理站追蹤伺服器之組件。
根據本發明之一實施例,提出一種用於確定遠端計算裝置之複數個組件的系統。該系統包括一遠端管理站以及與該遠端管理站通訊的一網路。該系統包括一計算裝置、一控制器及一記憶體。該計算裝置具有複數個組件。該記憶體儲存該些組
件中之至少一組件的一識別資訊。該控制器耦接至該網路並確定該至少一硬體組件的該識別資訊。該控制器透過將儲存的該識別資訊與確定的該識別資訊進行比較,來檢查該組件是否被變更。
根據本發明之另一實施例之系統,其中控制器是基板管理控制器。在一實施例中,計算裝置是伺服器。在一實施例中,當該組件被變更時,控制器發出一警示。在一實施例中,該警示是一電子郵件、一文字訊息、一智慧型平台管理介面(IPMI)平台事件陷阱(PET)協定警示或一簡單網路管理(SNMP)陷阱協定警示其中之一。在一實施例中,該警示可以包括一時間戳、該控制器之一IP位址、該計算裝置之一ID、該組件之該儲存的識別資訊、該組件之該確定的識別資訊、或該計算裝置中該組件的位置其中之一。在一實施例中,該系統包括一BIOS。該儲存的識別資訊是由該BIOS提供,該BIOS在一初始開機期間從該組件收集該識別資訊,並傳送該識別資訊至該控制器。在一實施例中,該識別資訊由該BIOS確定,該BIOS在該計算裝置的一後續開機期間從該組件收集該識別資訊。在一實施例中,該儲存的識別資訊是由該控制器提供,該控制器在該計算裝置之一初始開機期間從該組件收集該識別資訊,並儲存該識別資訊至該記憶體。該控制器在該計算裝置之一後續開機期間從該組件收集該識別資訊。在一實施例中,該識別資訊為一序號、一零件號、一型號ID、一製造商名稱或ID、一製造日期、或該計算裝置中之一位置其中之一。
在一實施例中,該控制器週期性地重複確定該至少一組件之該識別資訊,並檢查該組件是否被變更。
根據本發明之另一實施例,提出一種確定一計算裝置上之複數個組件的方法。將一組件的一識別資訊儲存在一記憶體中。透過一控制器確定該組件的該識別資訊。將該組件的該確定的識別資訊與該儲存的識別資訊進行比較,以確定該組件是否被變更。
根據本發明之另一實施例之方法,其中該控制器是一基板管理控制器,且該計算裝置是一伺服器。在一實施例中,在該組件被變更時,發出一警示。在一實施例中,該警示是一電子郵件、一文字訊息、一智慧型平台管理介面(IPMI)平台事件陷阱(PET)協定警示或一簡單網路管理(SNMP)陷阱協定警示其中之一。在一實施例中,該警示可以包括一時間戳、該控制器之一IP位址、該計算裝置之一ID、該組件之該儲存的識別資訊、該組件之該確定的識別資訊、或該計算裝置中該組件的位置其中之一。在一實施例中,該方法更包括以下步驟。該計算裝置被初始開機。在該初始開機期間,透過一BIOS或基板管理控制器從該組件中收集識別資訊;以及將該收集的識別資訊發送給該控制器進行儲存。在一實施例中,該識別資訊由該BIOS或該控制器確定,該BIOS或該控制器在該計算裝置的一後續開機期間從該組件收集該識別資訊。在一實施例中,該識別資訊為一序號、一零件號、一型號ID、一製造商名稱或ID、一製造日期、或該計算裝置
中之一位置其中之一。在一實施例中,該方法更包括週期性地重複該確定該組件之該識別資訊,並檢查該組件是否被變更之步驟。
根據本發明之另一實施例,提出一種計算裝置,該計算裝置具有複數個硬體組件。每一該些硬體組件包括一識別資訊。至少一匯流排,耦接至該些硬體組件。一記憶體裝置,儲存與每一該些硬體組件對應的該識別資訊。一管理控制器,耦接至該匯流排及該記憶體裝置。該管理控制器用以透過該匯流排週期性地從每一該些硬體組件要求該識別資訊。該控制器從每一該些硬體組件接收該要求的識別資訊。該控制器將該接收的識別資訊與該儲存的識別資訊進行比較,以確定該些硬體組件是否被變更。
以上發明內容並非旨在表示本發明的每個實施例或每個方面。而是,前述發明內容提供本文闡述一些新穎方面和特徵的示例。為了對本發明之上述特徵及優點及其他特徵及優點有更佳的瞭解,下文特舉實施例,並配合所附圖式詳細說明如下。
100:資料中心系統
102:遠端管理站
104:網路
112,114,116:機架
120,122:伺服器
124:交換器
128,220:基板管理控制器
130:安全例程
210,212:中央處理器
214:FPGA卡
216:PSU
222:PCH
224:非揮發性記憶體
226:韌體
228:組件識別表
230:SATA記憶體裝置
232:NVMe固態硬碟
234:RAID卡
236:DIMM
240:網路介面卡
250:基本輸入輸出系統
252:PMBus
254:I2C協定系統管理匯流排
256:PCIe匯流排
300,400:流程圖
310~328,410~416:步驟
為了對本發明之上述及其他方面有更佳的瞭解,下文特舉實施例,並配合所附圖式詳細說明如下:第1圖繪示根據本發明之一實施例之允許一遠端管理站追蹤計算裝置的組件的資料中心之方塊圖。
第2圖繪示根據本發明一實施例之第1圖中之資料中心系統的一計算裝
置的組件,包括可檢查組件的識別資訊之一管理控制器之方塊圖。
第3圖繪示根據本發明一實施例之用於週期性地檢查一計算裝置之組件的識別資訊之流程圖。
第4圖繪示根據本發明一實施例之用於確定計算裝置中的組件的識別資訊的BIOS和基板管理控制器的啟動例程之流程圖。
本發明可進行各種修改和替代形式。本發明已通過示例的方式在附圖中示出了一些代表性的實施例,並且在此將對其進行詳細描述。然而,應當理解的是,本發明並不限於所公開的特定形式。相反地,本發明將涵蓋由所附申請專利範圍所限定的本發明的精神和範圍內的所有修改、均等形式及替代形式。
本發明可以許多不同的形式實施。代表性實施例在附圖中示出,並且將在本文中詳細描述。本發明用以示例或說明原理,並非將本發明限於所示出的實施例。例如在摘要、發明內容和實施方式部分中揭露但在申請專利範圍中未明確提出的要素和限制,不應通過暗示、推論,單獨或共同地併入申請專利範圍中。為了本發明詳細描述的目的,除非特別聲明,否則單數包括複數,反之亦然。「包括」一詞的意思是「包括但不限於」。此外,在本文中可以使用諸如「大約」、「幾乎」、「實質上」、「近似」等的近似詞來表示例如「在...處」、「鄰近...」或「在...附近」或
「3-5%之內」或「在可接受的製造公差之內」或其任意的邏輯組合。
本文揭露的示例包括追蹤計算裝置中的硬體組件的系統和方法。計算裝置(例如伺服器)的管理控制器會定期確定計算裝置中的組件是否已變更。每個組件的標識訊息在開機例行程序期間由BIOS或BMC收集,並由管理控制器儲存。管理控制器定期獲取每個組件的標識訊息,並將此標識訊息與相應的儲存訊息進行比較。如果收集的標識訊息與計算裝置上儲存的組件的標識訊息不匹配,則系統允許管理控制器向管理員發出警示。
請參照第1圖,其繪示資料中心系統100。資料中心系統100包括遠端管理站102,遠端管理站102通過網路104連接到機架112、114和116上的伺服器組。每個機架(例如機架112)包括計算裝置(例如伺服器120及一伺服器122)。機架112、114和116還各包括一交換器124。在此實施例中,伺服器120和122可各自包括一專用控制器,例如基板管理控制器(BMC)128,其可經由交換器124通過網路104將操作資料傳遞到遠端管理站102。每個計算裝置,例如伺服器120和122,檢查計算裝置的組件之識別資訊。在此實施例中,交換器124連接至伺服器120和122中的每一個基板管理控制器,以允許其連接到網路104。
在資料中心系統100中,除了機架112、114和116之外,還可以有更多個機架。雖然僅示出伺服器120和122,但應理解的是,資料中心系統100中之每個機架可支援不同類型的多個
伺服器。遠端管理站102可以監視多個機架上的多個伺服器的運作。
在一實施例中,安全例程130可以在遠端管理站102上被執行,以確保機架112、114和116中的計算裝置不會被擅自變更。當計算裝置中的任何組件被變更時,計算裝置都會向安全例程130發出警示。更進一步解釋,每個計算裝置包括一例程,該例程可通過組件的識別資訊週期性地追蹤組件。且該例程可向遠端管理站102發出計算裝置中的組件的任何變更之警示。
在一實施例中,硬體組件可包括網路介面卡(NIC)、容錯式磁碟陣列(RAID)卡、現場可編程門陣列(FPGA)卡、電源供應單元(PSU)、硬碟(HDD)、固態硬碟(SSD)、雙列直插式記憶體模組(DIMM)、中央處理器(CPU)和圖形處理器(GPU)。如果在計算裝置上之任何組件被替換,則計算裝置上的BMC 128都會向安全例程130發出警示。安全例程130警示操作員並提供資訊,例如計算裝置的位置(機架和實際位置)、被變更的組件、以及時間戳的資訊。
第2圖繪示一實施例之計算裝置(如第1圖中的伺服器120)的方塊圖。伺服器120包括兩個中央處理器(CPU)210和212,其執行計算操作和執行應用程式。雖然僅示出了兩個中央處理器,但是伺服器120可以支援附加的中央處理器。如可以由安裝在現場可編程門陣列(FPGA)卡214上的圖形處理器(GPU)或現場可編程門陣列(FPGA)之類的專用處理器來執行專用功
能。伺服器120上的組件由電源供應單元(PSU)216供電。伺服器120的操作由基板管理控制器(BMC)220管理。平台路徑控制器(PCH)222輔助控制資料路徑並支援中央處理器210和212。基板管理控制器220耦接到儲存基板管理控制器之韌體226的非揮發性記憶體224。一組件識別表228也儲存在非揮發性記憶體224中。在此實施例中,非揮發性記憶體224可為快閃記憶體,但不限於此,可以是任何適當的非揮發性記憶體。
其他組件包括記憶體裝置,例如SATA記憶體裝置230,可為硬碟或固態硬碟、NVMe固態硬碟232和容錯式磁碟陣列(RAID)卡234。中央處理器210和212可以由雙列直插式記憶體模組(DIMM)236形式的快速記憶體支援。網路介面卡(NIC)240提供與外部裝置(如遠端管理站102或交換機和路由器)的通訊。基本輸入輸出系統(BIOS)250是在伺服器120開機之後在啟動過程(boot-up process)中使用的韌體。基本輸入輸出系統250包括多個例程,其當組件被初始化成為伺服器120之啟動過程的一部分時,該些例程從硬體組件收集資訊。
伺服器120包括不同的匯流排,其允許伺服器120中的組件之間交換資料。匯流排還允許基板管理控制器220從伺服器120中的不同組件接收狀態資訊。舉例來說,伺服器120可包括一電源管理匯流排(PMBus)252,其允許基板管理控制器220與電源供應單元216交換電源管理資料。I2C協定系統管理匯流排(I2C/SMBus)254可用於在基板管理控制器220與裝置(例如
FPGA卡214、SATA記憶體裝置230、NVMe固態硬碟232、RAID卡234和DIMM 236)之間交換資料。PCIe匯流排256允許處理組件(例如中央處理器210和212、PCH 222)之間交換資料,PCIe裝置例如NVMe固態硬碟232、NIC 240、RAID卡234、FPGA卡214和基板管理控制器220。各個PMBus 252、I2C協定系統管理匯流排254和PCIe匯流排256使用相應的軟體協定。其他硬體匯流排,例如I3C、PECI、UART、USB或RMII/RGMII也可被使用。其他軟體協定,例如MCTP、NC-SI、PLDM、DCMI和自定義協定也可被使用。
第2圖中所示之伺服器120,在伺服器120開機之後,由基板管理控制器220執行的韌體226週期性地從每個硬體組件收集識別資訊。在此實施例中,韌體226使基板管理控制器220通過PMBus 252、I2C協定系統管理匯流排254和PCIe匯流排256向每個組件發送命令以獲得組件的識別資訊。該識別資訊通過相應的軟體協定被發送到基板管理控制器220。
在此實施例中,組件識別資訊可以是序號、零件號、型號ID、製造商名稱或ID、製造日期或計算裝置中的位置。識別資訊可以是任何單個資訊或這些資訊的組合。在此實施例中,序號是首選,但是其他資訊可能對資料中心管理員有幫助。組件可透過適當的匯流排從基板管理控制器220接收命令,並回應此命令來回傳識別資訊。韌體226可以將所收集的組件識別資訊與組
件識別表228中的所儲存的組件識別資訊進行比較。收集的資訊與儲存的資訊之間的任何差異都表示組件已被變更。
儲存在組件識別表228中的初始資訊是由基本輸入輸出系統250或基板管理控制器220所執行的韌體226在伺服器120的初始開機例程期間收集的。組件的某些識別資訊僅能被基本輸入輸出系統250或基板管理控制器220獲得,因此基本輸入輸出系統250或基板管理控制器220之一或二者可以收集此識別資訊。例如,基本輸入輸出系統250可以從僅連接到基本輸入輸出系統250的組件中排他地收集資訊,例如通過SATA匯流排排他地連接到平台路徑控制器(例如平台路徑控制器222)的儲存裝置。在另一實施例中,基板管理控制器220可以排他地從基本輸入輸出系統250無法存取的電源供應單元216收集資訊。在此實施例中,在初始開機例程期間,作為BIOS UEFI過程的一部分,例如Pre-EFI初始化環境(PEI)或驅動程序執行環境(DXE)在平台初始化時,基本輸入輸出系統250獲得關於每個組件的識別資訊。在此實施例中,基本輸入輸出系統250接著在開機例程期間將收集的組件識別資訊發送到基板管理控制器220。基板管理控制器220通過將收集的組件識別資訊寫入組件識別表228中來儲存該組件識別資訊。可選地,基板管理控制器220可以在初始開機例程期間從組件收集識別資訊。
在開機例程和啟動之後,伺服器120開始運作。在伺服器120運作期間,韌體226週期性地(例如每分鐘)獲取每個組
件的識別資訊。韌體226使基板管理控制器220將收集的組件識別資訊儲存到非揮發性記憶體224。韌體226將收集的組件識別資訊與組件識別表228中之對應的組件識別資訊進行比較。如果任何資訊與保存的資訊不匹配(例如,序號不同),則基板管理控制器220將該事件記錄到非揮發性記憶體224,因為這表示原始組件已被變更。當資訊與組件識別表228不匹配時,韌體226更產生一警示。該警示被發送到第2圖中的安全例程130,以提醒資料中心操作員。可選地,安全例程130可向基板管理控制器220發送關於組件的變更被授權的回覆。如果安全例程130發送了授權回覆,則基板管理控制器220將用變更後組件的新識別資訊來更新組件識別表228。
接下來伺服器120開機時,基本輸入輸出系統250將伺服器120中每個組件的資訊發送到基板管理控制器220,如上所述。另外或可選地,組件資訊也可以在開機期間由基板管理控制器220收集。韌體226使基板管理控制器220將從基本輸入輸出系統250接收的每個組件的收集的識別資訊與組件識別表228中對應的保存的識別資訊進行比較。如果比較結果不同,則基板管理控制器220確定組件被變更。基板管理控制器220將該事件記錄到儲存在非揮發性記憶體224中的日誌中。基板管理控制器220更警示管理員或使用者,例如遠端管理站102的操作員。
警示可以以多種格式發出。該警示可以採用智慧型平台管理介面(IPMI)平台事件陷阱(PET)協定和格式。該警
示可以採用簡單網路管理(SNMP)陷阱協定和格式。該警示可以採用電子郵件(SMTP)協定的形式。事件訊息可以採用文字訊息的形式發送至手機文字訊息伺服器,然後該伺服器將文字訊息發送至管理員的手機。
警示訊息可包含有用的資訊,包括時間戳、基板管理控制器的IP位址、計算裝置(例如伺服器)ID、組件名稱或ID、有關變更後組件和原始組件的差異資訊、以及在計算裝置內部之標記的組件的位置。任何或所有資訊可與其他有用資訊一起包含在警示訊息中。
舉例來說,SATA記憶體裝置230可以是具有產品ID INTEL SSDSC2KG96和序號BTYG937001DV960CGN00的Intel SATA SSD。在初始開機時,基本輸入輸出系統250收集該序號及產品ID之識別資訊,並將其儲存在組件識別表228中。接著基板管理控制器220週期性地透過RAID卡234從SATA記憶體裝置230收集序號識別,並將其與儲存的序號進行比較。如果所收集的序號不同,則基板管理控制器220產生SATA記憶體裝置230已被變更的一警示。
類似地,NVMe固態硬碟232可以是序號為55-cd-2e-41-4d-26-e9-a8且物理插槽為17的Intel PCIe SSD(NVMe)。在初始開機時,基板管理控制器220收集此識別資訊並將其儲存在組件識別表228中。然後基板管理控制器220週期性地從NVMe固態硬碟232收集序號識別和插槽號,並將其與儲存的
序號和插槽號進行比較。如果收集的序號或插槽號不同,則基板管理控制器220會產生NVMe固態硬碟232已被變更的一警示。
在另一個實施中,可以是網路介面卡240,其可以是具有部件號MCX456A-ECAT和序號MT1750K08257的Mellanox NIC。在初始開機時,基板管理控制器220收集此識別資訊並將其儲存在組件識別表228中。然後基板管理控制器220週期性地從網路介面卡240收集序號標識和部件號,並將其與儲存的序號和部件號進行比較。如果收集的序號或部件號不同,則基板管理控制器220會產生網路介面卡240已被變更的一警示。
第3圖及第4圖中的流程圖表示機器可讀取指令之一實施例,該機器可讀取指令用於週期性地檢查組件識別並檢查第2圖中之伺服器120的開機。在此實施例中,機器可讀取指令包括一演算法,可由處理器、控制器、和/或一個或多個其他合適的處理裝置所執行。該演算法可由儲存在有形媒體(例如快閃記憶體、CD-ROM、軟碟、硬碟、DVD或其他記憶體裝置)上的軟體實現。但是,本領域普通技術人員將容易想到,整個演算法和/或其部分可以可選地由處理器以外的裝置執行和/或以眾所周知的方式實現在韌體或專用硬體中,例如可以由專用集成電路(ASIC)、可編程邏輯裝置(PLD)、現場可編程邏輯裝置(FPLD)、現場可編程門陣列(FPGA)、離散邏輯等實現。舉例來說,任何或全部地介面的組件可以通過軟體、硬體和/或韌體來實現。而且,流程圖所示的一些或全部的機器可讀取指令可以手動實現。
此外,儘管第3圖和第4圖所示的流程圖描述了一實施例之演算法。但本領域普通技術人員將容易理解,可選地也可使用許多其他方法實現機器可讀取指令。例如,可以改變區塊的執行順序,和/或可以改變、刪除或組合所描述的一些區塊。
第3圖中的流程圖300的步驟如下所示。當計算裝置被開機時,例如第2圖中的伺服器120被開機時(310),流程圖300開始。基板管理控制器220在開機例程期間從每個硬體組件收集識別資訊資料,並將其儲存在組件識別表228中(312)。基本輸入輸出系統250在開機例程期間從每個硬體組件收集識別資訊資料(314)。識別資訊資料被發送到基板管理控制器220,並且被加到由基板管理控制器220收集的識別資訊中(316)。基板管理控制器220將收集的資訊資料與儲存在非揮發性記憶體224中的組件識別表228中的資訊資料進行比較(318)。
如果收集的資訊資料與儲存的資訊資料匹配,則基板管理控制器220在正常運作期間通過各種匯流排(例如PMBus 252、I2C協定系統管理匯流排254和PCIe匯流排256)週期性地從每個硬體組件要求識別資訊(320)。然後,基板管理控制器220將接收到的每個組件的識別資訊與在非揮發性記憶體224中儲存的識別資訊進行比較(322)。如果每個組件的識別資訊都相同(324),則步驟流程返回到週期性地收集識別資訊(320)。
在開機(318)之後或在週期性收集(320)期間,如果接收的任何組件的識別資訊與儲存在非揮發性記憶體224中
的識別資訊不同,則表示該組件已被變更。然後,基板管理控制器220記錄組件已被變更的事件(326)。接著,基板管理控制器220例如通過與第1圖中的遠端管理站102的通訊來向管理員發送警示(328)。以此方式,可以警示管理員計算裝置的潛在篡改。步驟流程然後返回到週期性地收集識別資訊(320)。
第4圖繪示在初始開機時,基本輸入輸出系統250和基板管理控制器220在例如第1圖中的伺服器120之計算裝置中收集和儲存每個組件的識別的流程圖400。首先,計算裝置開機(410)。基本輸入輸出系統250被啟動並作為初始化例程的一部分從每個組件收集識別資訊(412)。基本輸入輸出系統250將識別資訊發送到基板管理控制器220(414)。基板管理控制器220接收組件資訊並建立組件識別表228。然後,基板管理控制器220將組件和對應的組件識別資訊填入組件識別表228(416)。
本發明中所使用的術語「組件」、「模組」、「系統」等通常是指與計算機有關的實體、或者是硬體(例如電路)、硬體和軟體的組合、軟體、或與具有一個或多個特定功能的操作機器有關的實體。例如,組件可以是但不限於在一處理器(例如,數位訊號處理器)上運行的一程序、一處理器、一物件、一可執行文件、一可執行緒、一程序和/或一電腦。作為說明,在控制器上運行的應用程序以及控制器都可以是組件。一個或多個組件可以在程序和/或執行緒中,並且組件可以位於一台計算機上和/或分佈在兩個或多個計算機之間。此外,「裝置」可以採用專門設計的硬體形式、通過在其上執行軟體使之專門化的通用硬體,其
能夠執行特定功能;儲存在計算機可讀取媒體上的軟體、或其組合。
在此使用的術語僅出於描述特定實施例為目的,而不是限制本發明。除非上下文另外明確指出,否則如本文所使用的單數形式的「一」、「一個」和「該」也意圖包括複數形式。此外,在詳細描述和/或請求項中所使用之術語「包括」、「包含」、「具有」、「具」或其變形而言,這些術語旨在於以類似於術語「包含」的方式包含在內。
除非另有定義,否則本文中使用的所有術語(包括技術和科學術語)與本發明所屬領域的普通技術人員通常所理解的具有相同含義。此外,諸如在常用字典中定義的那些術語應被解釋為與相關領域中它們的含義一致的含義,並且除非在此明確地定義,否則將不以理想化或過於正式的意義來解釋。
儘管上面已經描述了本發明的各種實施例,但是應當理解的是,它們僅是示例,並非限制本發明。儘管已經於一個或多個實施方式示出和描述了本發明,但是本領域的其他技術人員在閱讀和理解本說明書和附圖之後將想到同等的變更和修改。另外,儘管僅針對多種實施方式中的一種實施方式揭露了本發明的特定特徵,但是根據任何給定或特定的應用之優點,這種特徵可以與其他實施方式的一個或多個其他特徵組合。因此,本發明的廣度和範圍不應受到任何上述實施例的限制。而是,本發明的範圍應根據所附請求項及其同等物來限定。
綜上所述,雖然本發明已以實施例揭露如上,然其並非用以限定本發明。本發明所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾。因此,本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100:資料中心系統
102:遠端管理站
104:網路
112,114,116:機架
120,122:伺服器
124:交換器
128:基板管理控制器
130:安全例程
Claims (8)
- 一種確定遠端計算裝置之組件的系統,該系統包括:一遠端管理站;一網路,與該遠端管理站通訊;一計算裝置,具有一記憶體、一控制器和複數個組件;以及一BIOS;其中該記憶體儲存該些組件中之至少一組件的一識別資訊,該控制器耦接至該網路,且該控制器確定該些組件中之該至少一組件的該識別資訊,並透過將儲存的該識別資訊與確定的該識別資訊進行比較,以檢查該至少一組件是否被變更;以及其中該控制器為一基板管理控制器,儲存的該識別資訊是由該BIOS提供,該BIOS在一初始開機期間從該至少一組件收集該識別資訊,並傳送該識別資訊至該控制器,且該識別資訊由該BIOS確定,該BIOS在該計算裝置的一後續開機期間從該至少一組件收集該識別資訊。
- 如請求項1所述之系統,其中該計算裝置為一伺服器。
- 如請求項1所述之系統,其中當該至少一組件被變更,該控制器發出一警示, 其中該警示為一電子郵件、一文字訊息、一智慧型平台管理介面(IPMI)平台事件陷阱(PET)協定警示或一簡單網路管理(SNMP)陷阱協定警示其中之一,以及該警示包括一時間戳、該控制器之一IP位址、該計算裝置之一ID、該至少一組件之儲存的該識別資訊、該至少一組件之確定的該識別資訊、或該計算裝置中該至少一組件的位置其中之一,且該識別資訊為一序號、一零件號、一型號ID、一製造商名稱或ID、一製造日期、或該計算裝置中之一位置其中之一。
- 如請求項1所述之系統,其中該控制器週期性地重複確定該至少一組件之該識別資訊,並檢查該至少一組件是否被變更。
- 一種確定計算裝置上之組件的方法,包括:該計算裝置進行一初始開機;在該初始開機期間,透過一BIOS或該控制器從一組件中收集一識別資訊;將收集的該識別資訊發送給該控制器進行儲存;將該組件的該識別資訊儲存在一記憶體中;透過一控制器確定該組件的該識別資訊;以及將該組件之確定的該識別資訊與儲存的該識別資訊進行檢查,以確定該組件是否被變更;其中該控制器為一基板管理控制器。
- 如請求項5所述之方法,其中該計算裝置為一伺服器。
- 如請求項5所述之方法,更包括:當該組件被變更時,發出一警示;其中該警示為一電子郵件、一文字訊息、一智慧型平台管理介面(IPMI)平台事件陷阱(PET)協定警示或一簡單網路管理(SNMP)陷阱協定警示其中之一,以及該警示包括一時間戳、該控制器之一IP位址、該計算裝置之一ID、該組件之儲存的該識別資訊、該組件之確定的該識別資訊、或該計算裝置中該組件的位置其中之一,且該識別資訊為一序號、一零件號、一型號ID、一製造商名稱或ID、一製造日期、或該計算裝置中之一位置其中之一。
- 如請求項5所述之方法,更包括:週期性地重複確定該組件之該識別資訊,並檢查該組件是否被變更。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US202062993292P | 2020-03-23 | 2020-03-23 | |
US62/993,292 | 2020-03-23 | ||
US15/930,216 US11349733B2 (en) | 2020-03-23 | 2020-05-12 | Method and system for automatic detection and alert of changes of computing device components |
US15/930,216 | 2020-05-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI735279B true TWI735279B (zh) | 2021-08-01 |
TW202137034A TW202137034A (zh) | 2021-10-01 |
Family
ID=77746809
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW109122808A TWI735279B (zh) | 2020-03-23 | 2020-07-06 | 自動偵測及警示計算裝置組件變更的方法和系統 |
Country Status (3)
Country | Link |
---|---|
US (1) | US11349733B2 (zh) |
CN (1) | CN113434356A (zh) |
TW (1) | TWI735279B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11347570B1 (en) * | 2021-02-23 | 2022-05-31 | Dell Products L.P. | System and method for BIOS based messaging in an information handling system |
US11803667B2 (en) * | 2021-04-07 | 2023-10-31 | Dell Products L.P. | Overlay ownership certificates including hardware inventory profiles |
CN113890818A (zh) * | 2021-09-28 | 2022-01-04 | 广州超云科技有限公司 | 一种服务器中的设备更换报警方法、装置、设备及介质 |
US11954004B2 (en) * | 2021-10-20 | 2024-04-09 | Dell Products L.P. | Detection of modification to system configuration |
US20230127405A1 (en) * | 2021-10-22 | 2023-04-27 | Dell Products, L.P. | Validation and registration for information handling systems |
US12001560B2 (en) * | 2021-10-28 | 2024-06-04 | Quanta Computer Inc. | Method and system for avoiding boot failure from platform firmware resilience execution |
US20230297681A1 (en) * | 2022-03-16 | 2023-09-21 | Bank Of America Corporation | System and Method for Automatic Identification of Unauthorized Updates to Internet of Things Devices |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746823A (zh) * | 2011-12-31 | 2014-04-23 | 华茂云天科技(北京)有限公司 | 资源管理与运营系统 |
TW201516753A (zh) * | 2013-08-20 | 2015-05-01 | Janus Technologies Inc | 用於針對安全電腦介面選擇性地窺探及擷取資料的方法及設備 |
TWI677793B (zh) * | 2017-04-27 | 2019-11-21 | 廣達電腦股份有限公司 | 用於伺服器裝置之韌體以及自定義設定之設定方法 |
TWI685740B (zh) * | 2018-12-28 | 2020-02-21 | 營邦企業股份有限公司 | 運用於資料中心的機櫃異常狀態的遠端排除方法(一) |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI255996B (en) * | 2004-05-31 | 2006-06-01 | Wellsyn Technology Inc | Advanced IPMI system with multi-message processing and configurable performance and method for the same |
JP5347484B2 (ja) * | 2008-12-19 | 2013-11-20 | 富士通株式会社 | 制御支援システム、情報処理装置及びコンピュータプログラム |
US8793538B2 (en) * | 2012-01-30 | 2014-07-29 | Hewlett-Packard Development Company, L.P. | System error response |
US9043776B2 (en) | 2012-10-31 | 2015-05-26 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Transferring files to a baseboard management controller (‘BMC’) in a computing system |
CN103853636A (zh) | 2012-11-30 | 2014-06-11 | 英业达科技有限公司 | 机柜服务器系统及其检测方法 |
US20150106660A1 (en) * | 2013-10-16 | 2015-04-16 | Lenovo (Singapore) Pte. Ltd. | Controller access to host memory |
CN104657243A (zh) | 2013-11-25 | 2015-05-27 | 英业达科技有限公司 | 服务器与服务器检测方法 |
CN104679619A (zh) | 2013-11-28 | 2015-06-03 | 英业达科技有限公司 | 服务器与服务器检测方法 |
US10521273B2 (en) * | 2017-06-08 | 2019-12-31 | Cisco Technology, Inc. | Physical partitioning of computing resources for server virtualization |
US10331919B2 (en) * | 2017-10-19 | 2019-06-25 | Quanta Computer Inc. | Radiofrequency identification management of server components |
-
2020
- 2020-05-12 US US15/930,216 patent/US11349733B2/en active Active
- 2020-07-06 TW TW109122808A patent/TWI735279B/zh active
- 2020-07-23 CN CN202010716195.5A patent/CN113434356A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103746823A (zh) * | 2011-12-31 | 2014-04-23 | 华茂云天科技(北京)有限公司 | 资源管理与运营系统 |
TW201516753A (zh) * | 2013-08-20 | 2015-05-01 | Janus Technologies Inc | 用於針對安全電腦介面選擇性地窺探及擷取資料的方法及設備 |
TWI677793B (zh) * | 2017-04-27 | 2019-11-21 | 廣達電腦股份有限公司 | 用於伺服器裝置之韌體以及自定義設定之設定方法 |
TWI685740B (zh) * | 2018-12-28 | 2020-02-21 | 營邦企業股份有限公司 | 運用於資料中心的機櫃異常狀態的遠端排除方法(一) |
Also Published As
Publication number | Publication date |
---|---|
TW202137034A (zh) | 2021-10-01 |
US11349733B2 (en) | 2022-05-31 |
US20210297330A1 (en) | 2021-09-23 |
CN113434356A (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI735279B (zh) | 自動偵測及警示計算裝置組件變更的方法和系統 | |
CN107526665B (zh) | 机箱管理系统及机箱管理方法 | |
TWI610167B (zh) | 改善平台管理的計算裝置建置方法、保持電腦可執行指令之非暫存媒體及配置為提供強化管理資訊之計算裝置 | |
US20170090896A1 (en) | Automatic system software installation on boot | |
US10587935B2 (en) | System and method for automatically determining server rack weight | |
US11095445B2 (en) | Key management and recovery | |
US10852352B2 (en) | System and method to secure FPGA card debug ports | |
US10862900B2 (en) | System and method for detecting rogue devices on a device management bus | |
US10275330B2 (en) | Computer readable non-transitory recording medium storing pseudo failure generation program, generation method, and generation apparatus | |
US10776193B1 (en) | Identifying an remediating correctable hardware errors | |
US11593487B2 (en) | Custom baseboard management controller (BMC) firmware stack monitoring system and method | |
US20150149753A1 (en) | Server and inspecting method thereof | |
US11640377B2 (en) | Event-based generation of context-aware telemetry reports | |
CN112868013B (zh) | 经由边带接口恢复场域可程序门阵列固件的系统及方法 | |
US10853204B2 (en) | System and method to detect and recover from inoperable device management bus | |
TWI553490B (zh) | 遠端系統配置管理方法、遠端系統配置管理系統及非暫態電腦可讀式儲存多媒體 | |
US20230075055A1 (en) | Method and system for providing life cycle alert for flash memory device | |
US20230127223A1 (en) | Physical port validation for information handling systems | |
US11714696B2 (en) | Custom baseboard management controller (BMC) firmware stack watchdog system and method | |
US11307871B2 (en) | Systems and methods for monitoring and validating server configurations | |
US11226862B1 (en) | System and method for baseboard management controller boot first resiliency | |
TW202234242A (zh) | 電腦系統及其專用崩潰轉存硬體裝置與記錄錯誤資料之方法 | |
US20200137062A1 (en) | Remote access controller support registration system | |
US11422744B2 (en) | Network-wide identification of trusted disk group clusters | |
US9569112B1 (en) | Drive compatibility information maintenance |