TWI738243B

TWI738243B - 伺服系統

Info

Publication number: TWI738243B
Application number: TW109107792A
Authority: TW
Inventors: 蘇謙懷
Original assignee: 神雲科技股份有限公司
Priority date: 2020-03-10
Filing date: 2020-03-10
Publication date: 2021-09-01
Also published as: TW202134887A

Abstract

一種伺服系統包含一非斷電抹除記憶體及一基板管理控制器，該非斷電抹除記憶體包括一第一記憶區塊及一第二記憶區塊，該第一記憶區塊設定於一無法經由軟體指令控制取消的唯讀保護狀態，該基板管理控制器存取的該第一記憶區塊與該第二記憶區塊，當該基板管理控制器啟動初始化時讀取一驗證程式，依據該驗證程式對一開機韌體進行驗證，若驗證正確，則基板管理控制器執行韌體以進行自身後續的初始化程序，以使用較少的非斷電抹除記憶體達到韌體安全的防護機制，進而降低伺服系統內部整體配置電路佔用的面積，減少硬體設計成本。

Description

伺服系統

本發明是有關於一種電子數位資料處理的系統，特別是指一種關於基板管理控制器的開機程序的伺服系統。

現有的基板管理控制器(BMC：Baseboard Management Controller，以下以BMC簡稱)在伺服器中除了收集伺服器的整體運作情況及整體狀態資訊，例如：系統電壓、溫度、風扇速度等，還具備散熱控制及遠端控制系統電源等功能，因此BMC的韌體安全性尤其重要，為避免BMC的韌體被燒錄或竄改而加載惡意後門程式，進而造成BMC在運作階段有資料外流或造成伺服器整體系統損壞之虞。

因此，本發明的一目的，即在提供一種可改善先前技術至少一個缺點的伺服系統。

又，本發明的另一目的，即在提供一種可改善先前技術至少一個缺點的伺服系統。

此外，本發明的再另一目的，即在提供一種可改善先前技術至少一個缺點的伺服系統。

於是，本發明伺服系統包含一非斷電抹除記憶體，及一基板管理控制器。

該非斷電抹除記憶體包括一儲存一驗證程式的第一記憶區塊，及一儲存一主要基板管理控制器的第二記憶區塊，且該第一記憶區塊設定於一唯讀保護狀態。

該基板管理控制器電連接該非斷電抹除記憶體以存取該第一記憶區塊與該第二記憶區塊，當該基板管理控制器進行初始化以執行該驗證程式，並依據該驗證程式對該主要基板管理控制器韌體進行驗證，若驗證結果正確，則該基板管理控制器執行該主要基板管理控制器韌體以進行後續運作。

當該基板管理控制器執行該驗證程式對該主要基板管理控制器韌體進行驗證且驗證結果為失敗，則該基板管理控制器產生一對應的警示訊息。

再者，本發明伺服系統包含一非斷電抹除記憶體，及一基板管理控制器。

其中，該驗證程式還包含一相關於一遠端主機的下載位置，該遠端主機儲存一原始基板管理控制器韌體，當該基板管理控制器執行該驗證程式對該主要基板管理控制器韌體進行驗證且驗證結果為失敗時，該基板管理控制器以一小型檔案傳輸協定與該遠端主機通訊連線，以接收並燒錄該遠端主機的該原始基板管理控制器韌體到該第二記憶區塊。

此外，本發明伺服系統包含一非斷電抹除記憶體，及一基板管理控制器。

該伺服系統還包含一電耦接該基板管理控制器的中央處理器，與一電連接該中央處理器的備份記憶體，其中，該備份記憶體儲存一原始基板管理控制器韌體，當該基板管理控制器執行該驗證程式對該主要基板管理控制器韌體進行驗證且驗證結果為失敗，則由該中央處理器將該備份記憶體的該原始基板管理控制器韌體傳送到該基板管理控制器以供其燒錄至該第二記憶區塊。

本發明的功效在於：藉由該基板管理控制器對單一的該非斷電抹除記憶體中的開機韌體進行驗證，並在驗證通過時，以該開機韌體的設定執行後續開機程序，因而降低了伺服系統內部整體配置電路佔用的面積，減少硬體設計程序及成本，並兼顧基板管理控制器的資訊安全防護。

2:非斷電抹除記憶體

21:第一記憶區塊

22:第二記憶區塊

3:基板管理控制器

31:斷電抹除記憶體

4:遠端主機

5:中央處理器

6:備份記憶體

本發明的其他的特徵及功效，將於參照圖式的實施方式中清楚地呈現，其中：圖1是一方塊圖，說明本發明伺服系統的一實施例；圖2是一方塊圖，說明該實施例的一非斷電抹除記憶體的一第一記憶區塊；及圖3是一方塊圖，說明該非斷電抹除記憶體的一第二記憶區塊。

參閱圖1，為本發明伺服系統的一實施例，採用對內部特定區塊具有的保護功能的快閃記憶體，允許只能在關閉保護功能時可對該特定區塊進行資料寫入，在開啟保護功能時，該特定區塊則處於唯讀保護狀態，且保護功能無法經由程式指令或軟體/韌體運作過程的通訊溝通而被取消，伺服系統包含一非斷電抹除記憶體2、一基板管理控制器3、一遠端主機4、一中央處理器5、一備份記憶體6，及一斷電抹除記憶體7。

配合參閱圖2，該非斷電抹除記憶體2包括一在該非斷電抹除記憶體2開啟保護功能時處於一唯讀保護狀態的第一記憶區塊21，及一第二記憶區塊22，其中該第二記憶區塊22不論在該非斷電抹除記憶體2開啟或關閉保護功能時，均處於一可讀寫狀態，也就是說該第二記憶區塊22不會處於唯讀保護狀態。

再配合參閱圖3、圖4，該第一記憶區塊21儲存一驗證程式(boot loader)，該第二記憶區塊22儲存一主要基板管理控制器韌體，以下將該主要基板管理控制器韌體簡稱為「主要韌體」，在本實施例中，非斷電抹除記憶體2為一快閃記憶體(flash memory)，而該第一記憶區塊21即為前述的特定區塊。

須再說明的是，該保護功能進一步包括一軟體保護模式(Software Protected Mode)，與一硬體保護模式(Hardware Protected Mode)，該非斷電抹除記憶體2支援兩種保護模式：Software Protected Mode(以下以SPM簡稱)及Hardware Protected Mode(以下以HPM簡稱)，且該非斷電抹除記憶體2藉由同時開啟SPM及HPM來開啟該保護功能，當該非斷電抹除記憶體2的該SPM及HPM其中任一者未被開啟時，則該非斷電抹除記憶體2關閉該保護功能，配合參閱下表，開啟SPM則可以藉由該非斷電抹除記憶體2的狀態暫存器中儲存的設定來設定該第一記憶區塊21的區塊位址與大小，例如：BP3,BP2,BP1,BP0 and T/B設定該第一記憶區塊21的區塊位址與大小，而開啟HPM則是藉由該非斷電抹除記憶體2的WP#/SIO2實體腳位來保護前述SPM對應的狀態暫存器中所儲存用以設定該第一記憶區塊21的區塊位址與大小的設定不可被修改。

Protected Area Sizes(T/B bit=0)

Protected Area Sizes(T/B bit=1)

當同時開啟SPM及HPM功能後，即開啟該非斷電抹除記憶體2的該保護功能，此時，使用者就無法覆寫該第一記憶區塊21中的驗證程式，即前述的boot loader，在本實施例中，伺服器出廠後，會同時開啟該SPM及HPM以開啟該非斷電抹除記憶體2的該保護功能，藉此，在伺服器上電後，該基板管理控制器3先依據儲存於處於該唯獨保護狀態的該第一記憶區塊21的該驗證程式進行自身的初始化，也就是藉由執行該驗證程式而檢查第一記憶區塊21外的第二記憶區塊22儲存的主要韌體是否合法，如果判斷不合法，後續將執行以下處置：

一、透過燈號(系統狀態LED指示燈或BMC heartbeat LED指示燈)通知使用者檢驗到不合法韌體。

二、使用者可重新燒錄合法的主要韌體至第二記憶區塊22，進一步有以下二種做法：

(一)作業系統燒錄：於作業系統中使用socflash指令進行燒錄。

(二)小型檔案傳輸協定燒錄：於該基板管理控制器3執行驗證程式時，使用小型檔案傳輸協定(tftp：Trivial File Transfer Protocol)下載合法主要韌體並進行燒錄。

三、硬體設計採用容量為基板管理控制器3的主要韌體的檔案容量兩倍以上的快閃記憶體可維持原有的自動回復(Auto recovery)功能，舉例來說，若韌體檔案為32MB，則可採用64MB的快閃記憶體，其中32MB的記憶區設計為第一記憶區塊21，其內容為具檢查機制的驗證程式及合法的原始基板管理控制器韌體，以下簡稱為「原始韌體」，其餘32MB的記憶區則可設計為第二記憶區塊22，其內容為簽證過(但有可能不合法)的主要韌體，當驗證程式判斷主要韌體不合法，則將儲存於第一記憶區塊21的原始韌體覆寫至該第二記憶區塊22的主要韌體，以下說明在本實施例中，基板管理控制器3驗證該第二記憶區塊22的主要韌體詳細實施方式。

該基板管理控制器3電連接該非斷電抹除記憶體2，以存取該第一記憶區塊21與該第二記憶區塊22的內容，當該基板管理控制器3啟動初始化時，讀取該第一記憶區塊21的該驗證程式，並藉由執行該驗證程式對該第二記憶區塊22的該主要韌體進行驗證，若驗證結果合法，則該基板管理控制器3執行該主要韌體的相關設定以繼續運作，需再說明的是，在本實施例中該基板管理控制器3驗證該開機韌體的實施態樣係採用公開金鑰密碼學演算法，或稱非對稱式加密演算法進行驗證，更具體地說，該驗證程式記錄一原始驗證碼(Private key)與一相關於該主要韌體的位址資訊，該主要韌體載有一待比對驗證碼(Public key)，該基板管理控制器3根據該位址資訊存取該主要韌體，且依據該原始驗證碼對該待比對驗證碼進行驗證，當比對二者不相符，判斷該待驗證韌體驗證失敗，即待比對驗證碼為非合法簽證，則判斷該第二記憶區塊22的該主要韌體不合法，且該基板管理控制器3還產生一對應的警示訊息，即前述的透過燈號通知使用者，反之，當比對二者相符，則判斷該待比對驗證碼為合法簽證，則判斷該第二記憶區塊22的該主要韌體合法，且該基板管理控制器3執行該主要韌體以進行後續運作，雷同的，在本實施例中該基板管理控制器3驗證該開機韌體的實施態樣係採用校驗和(以下以checksum簡稱)，該驗證程式記錄一原始驗證碼(原始checksum)與一相關於該主要韌體的位址資訊，該基板管理控制器3根據該位址資訊存取該原始韌體並以一預設演算法對該原始韌體進行計算後取得一待比對驗證碼(計算checksum)，且依據該原始驗證碼對該待比對驗證碼進行驗證，當比對二者不相符，則判斷該第二記憶區塊22的該主要韌體不合法，則該基板管理控制器3不執行該第二記憶區塊22的該主要韌體，反之，則判斷該第二記憶區塊22的該主要韌體合法。

該第一記憶區塊21還儲存一原始韌體，當該基板管理控制器3判斷驗證失敗，則存取該原始韌體，並將該原始韌體載入該第二記憶區塊22以覆寫該主要韌體，值得一提的是，該原始韌體亦可存放於其他位置，具體來說，本實施例的第一變形為：該驗證程式還包含一相關於該遠端主機4的下載位置，該遠端主機4儲存對應於該原始驗證碼的原始韌體，當該原始韌體被驗證失敗時，該基板管理控制器3以小型檔案傳輸協定與該遠端主機4通訊連線，以下載並燒錄該遠端主機4的該原始韌體到該第二記憶區塊22，即前述的小型檔案傳輸協定燒錄之處置步驟。

本實施例的另一種變化態樣為：該中央處理器5電耦接該基板管理控制器3，其用以運作於一作業系統模式，該備份記憶體6電連接該中央處理器5，並儲存一對應於該原始驗證碼的原始韌體，其中，該中央處理器5可透過一平台路徑控制器(PCH：Platform Controller Hub)連接該基板管理控制器3，該中央處理器5也可以是以包括該平台路徑控制器的單晶片實施而直接電連接該基板管理控制器3，在本實施例中，當該基板管理控制器3驗證儲存於該第二記憶區塊22的該主要韌體失敗時，還可通知運作於該作業系統模式的該中央處理器5，並由該中央處理器5將該備份記憶體6的該原始韌體及一燒錄指令，例如：socflash指令，傳送給該基板管理控制器3，以使該基板管理控制器將該原始韌體燒錄到該第二記憶區塊22以更新該主要韌體，值得一提的是，當採用TFTP或是運作於作業系統模式的中央處理器5進行燒錄時，該基板管理控制器3對應的快閃記憶體僅需於第二記憶區塊22儲存主要韌體即可，而不用在第一記憶區塊21儲存原始韌體，如此一來，即可選用較小的快閃記憶體，卻可實施具有安全防護機制的基板管理控制器之韌體。

此外，本實施例中該基板管理控制器3還包含一斷電抹除記憶體31，其具體實施態樣可為一雙倍速率(DDR：Double Data Rate)形式的記憶體，但不限於此，當該基板管理控制器3初始化時，將該第一記憶區塊21的該驗證程式載入該斷電抹除記憶體7並於該斷電抹除記憶體7執行該驗證程式，以對該第二記憶區塊22的該主要韌體進行驗證。

需再補充說明的是，本實施例中，該非斷電抹除記憶體2實際在出廠前，其韌體燒錄及晶片腳位設定相關流程可歸納如下：(一)將具檢查機制的驗證程式燒錄於非斷電抹除記憶體2的第一記憶區塊21且將簽證過的主要韌體燒錄至非斷電抹除記憶體2的第二記憶區塊22、(二)修改狀態暫存器中的BP3、BP2、BP1、BP0、T/B的位元狀態、(三)將非斷電抹除記憶體2上件焊到主機板藉以將WP#/SIO2腳位接至預設電位，例如為低電位狀態，進而開啟硬體保護模式，由於整個流程只需燒錄一份該基板管理控制器3的主要韌體，因此降低了出錯的可能性。

在上述實施例中，於該非斷電抹除記憶體2的安全功能啟動的狀態下，藉由該基板管理控制器3執行處於唯讀保護狀態的第一記憶區塊21中的驗證程式，進而根據該驗證程式對儲存於第二記憶區塊22的該主要韌體進行驗證，當驗證成功該基板管理控制器3即切換執行該第二記憶區塊22的該主要韌體以運作該基板管理控制器3，當驗證失敗則以儲存於第一記憶區塊21或遠端主機4的原始韌體對該主要韌體進行覆寫，並由基板管理控制器3發出警示訊息，此外，還可由運作於作業系統模式的該中央處理器5，並將原始韌體傳送到該基板管理控制器3藉以燒錄更新該第二記憶區塊22 中的主要韌體，因此本案具有以下優點：

一、相關電路佔用主機板較少的面積，同時降低使用元件成本及有效達成安全驗證機制：即例如前述當驗證主要韌體不合法，所採用之第三種處置「韌體檔案大小為32MB，可選用64MB的單一的快閃記憶體以於該快閃記憶體中規畫該第一記憶區塊及該第二記憶區塊區塊」，再者，因儲存於第一記憶區塊中具有驗證機制的驗證程式受到保護，無論基板管理控制器3所執行的韌體內容如何更動，皆需通過驗證程式驗證後才可被啟用，若未通過驗證，則由基板管理控制器3對應發出警示(例如：蜂鳴聲、於螢幕顯示警示訊息、LED指示燈、發送通知信件、傳送訊息至遠端主機…等)。

二、工廠簡化生產步驟，只要對單一個該非斷電抹除記憶體2進行一次性的燒錄動作，減少出錯的可能性：由於本案僅需將具有驗證機制的該驗證程式(boot loader)儲存於處於唯讀保護狀態的單一個的非斷電抹除記憶體2的第一記憶區塊內，並將供基板管理控制器3初始化時執行的主要韌體，亦即主要韌體儲存於非斷電抹除記憶體2的第一記憶區塊外的該第二記憶區塊22，也就將該驗證程式及該主要韌體在一次性的燒錄過程中分別燒錄在該單一個非斷電抹除記憶體的不同記憶區塊內，進而使開發人員將來需要更新主要韌體時，可以在具有該驗證程式的安全防護機制下，簡單的以合法的新韌體來更換非處於唯讀保護狀態的第二記憶區塊中的主要韌體，故確實達成本發明的創作目的，且因為本案的該驗證程式儲存於處於唯讀保護狀態的第一記憶區塊內而該主要韌體儲存於該第二記憶區塊，因此可在開啟該保護功能的狀態下，避免意圖藉由刷新整顆非斷電抹除記憶體2來抹除該驗證程式的安全防護機制以更換不合法的主要韌體，故確實達成本發明的創作目的。

惟以上所述者，僅為本發明的實施例而已，當不能以此限定本發明實施的範圍，凡是依本發明申請專利範圍及專利說明書內容所作的簡單的等效變化與修飾，皆仍屬本發明專利涵蓋的範圍內。