WO2017049770A1

WO2017049770A1 - 一种对bios进行审计的方法

Info

Publication number: WO2017049770A1
Application number: PCT/CN2015/096565
Authority: WO
Inventors: 王雪松; 陈长发
Original assignee: 苏州中太服务器有限公司
Priority date: 2015-09-21
Filing date: 2015-12-07
Publication date: 2017-03-30
Also published as: CN105159808A; CN105159808B

Abstract

一种对BIOS进行审计的方法，包括下述步骤：(1)当服务器上电后，给所述BMC上电的同时给TPM模块上电，CPU未上电；(2)当BMC启动完毕后，BMC使能TPM模块，同时在等待一段TPM模块的初始化时间之后，BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令；(3)TPM模块接收所述审计请求指令，对BIOS FW进行审计，并在完成审计后将审计结果发送给BMC；(4)当审计不通过时，BMC将不给CPU上电；当审计通过时，BMC将先关闭BMC与TPM模块之间的数据通道，再给CPU上电；(5)CPU启动后，将TPM模块作为PCIe外设使用。利用服务器BMC永不下电以及优先上电的特殊性，在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前，对BIOS进行审计。

Description

一种对BIOS进行审计的方法

技术领域

本发明属于服务器产品技术领域，更具体地，涉及一种对BIOS进行审计的方法。

背景技术

现有技术是将TPM(Trusted Platform Module，可信赖平台模块)模块作为服务器的外设插在PCIe插槽中，只有BIOS启动后才能给TPM模块上电并使用TPM模块的审计功能。

现有技术的缺点是必须在BIOS启动后才能使用TPM模块，无法实现在BIOS启动前使用TPM模块，因而也无法在BIOS启动前实现对BIOS的审计。

发明内容

针对现有技术的缺陷，本发明的目的在于提供一种对BIOS进行审计的方法，旨在解决现有技术中由于只能在BIOS启动后使用TPM模块导致无法在BIOS启动前实现对BIOS的审计的问题。

本发明提供了一种对BIOS进行审计的方法，包括下述步骤：

(1)当服务器上电后，BMC优先上电，TPM模块也同时上电，而CPU并未上电；

(2)当BMC启动完毕后，BMC使能TPM模块，同时在等待一段TPM模块的初始化时间之后，BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令；

(3)TPM模块接收所述审计请求指令，对BIOS FW进行审计，并在完成审计后将审计结果发送给BMC；

(4)当审计不通过时，BMC将不给CPU上电；当审计通过时，BMC 将先关闭BMC与TPM模块之间的数据通道，再给CPU上电；

(5)CPU启动后，将TPM模块作为PCIe外设使用。

更进一步地，所述TPM模块对BIOS FW进行审计具体为：TPM模块检查BIOS FW是否被非法修改。

更进一步地，当CPU未上电时，BMC与TPM模块之间进行数据交互，BMC向TPM发出请求审计指令，TPM通过SPI数据通道访问BIOS FW。

更进一步地，当CPU上电后，BMC与TPM之间的数据通道被BMC关闭，CPU与TPM之间通过PCIe数据通道进行数据交互。

更进一步地，在BMC上电的同时给TPM模块上电，在CPU启动前由TPM模块对BIOS进行审计。

通过本发明所构思的以上技术方案，与现有技术相比，由于本发明利用服务器BMC永不下电以及优先上电的特性，在BMC上电的同时系统即为TPM模块上电，从而可以在BIOS启动前使用TPM模块，在BIOS启动前实现对BIOS的审计。

附图说明

图1是本发明实施例提供的对BIOS进行审计的方法所基于的系统的原理框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明提供的一种对BIOS进行审计的方法主要应用于服务器产品技术领域，利用服务器BMC永不下电以及优先上电的特殊性，在BMC上电的同时系统即为TPM模块上电以帮助在BIOS启动前，对BIOS进行审计。

如图1所示，服务器上电后，BMC优先上电，TPM模块也同时上电，此时CPU并未上电。BMC启动完毕后，BMC使能TPM模块，同时在等待一段TPM模块的初始化时间之后，BMC给TPM模块发出审计请求指令，请求TPM模块对BIOS FW进行审计。审计过程是现有技术，TPM就是完成这个功能的，具体如何审计是TPM的工作细节，在此不作赘述。简言之，就是TPM模块检查BIOS FW是否被非法修改。TPM模块完成审计后，TPM模块将审计结果告知BMC。如果审计(审计的意思就是TPM模块检查BIOS FW是否被非法修改。)不通过，BMC将不会给CPU上电。如果审计通过，BMC将首先关闭BMC与TPM模块之间的数据通道，然后再给CPU上电。CPU启动之后，将TPM模块作为一个普通的PCIe外设使用。

从数据流动的角度看，CPU未上电时，BMC与TPM模块进行数据交互，BMC向TPM发出请求审计指令，TPM通过SPI数据通道访问BIOS FW。CPU上电后，BMC与TPM之间的数据通道被BMC关闭，CPU与TPM之间通过PCIe数据通道进行数据交互，此时TPM模块与普通的PCIe外设没有区别。

本发明针对TPM模块的双数据通道设计，以及在BMC上电的同时即为TPM模块上电，使TPM模块既可以在CPU上电后作为通用的PCIe外设使用，又可以使TPM模块在CPU上电前即可被BMC使用，实现在CPU启动BIOS前对BIOS进行审计。

在本发明实施例中，TPM模块双数据通道设计；BMC上电的同时即给TPM模块上电。CPU启动前由TPM模块对BIOS进行审计。BMC给CPU上电前先关闭BMC与TPM模块之间的数据通道。

本发明利用服务器BMC永不下电以及优先上电的特性，在BMC上电的同时系统即为TPM模块上电，从而可以在BIOS启动前使用TPM模块，在BIOS启动前实现对BIOS的审计。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

一种对BIOS进行审计的方法，其特征在于，包括下述步骤：

(1)当服务器上电后，给所述BMC上电的同时给TPM模块上电，CPU未上电；

(2)当BMC启动完毕后，BMC使能TPM模块，同时在等待一段TPM模块的初始化时间之后，BMC给所述TPM模块发出用于请求TPM模块对BIOS FW进行审计的审计请求指令；

(3)TPM模块接收所述审计请求指令，对BIOS FW进行审计，并在完成审计后将审计结果发送给BMC；

(4)当审计不通过时，BMC将不给CPU上电；当审计通过时，BMC将先关闭BMC与TPM模块之间的数据通道，再给CPU上电；

(5)CPU启动后，将TPM模块作为PCIe外设使用。
如权利要求1所述的方法，其特征在于，所述TPM模块对BIOS FW进行审计具体为：TPM模块检查BIOS FW是否被非法修改。
如权利要求1所述的方法，其特征在于，当CPU未上电时，BMC与TPM模块之间进行数据交互，BMC向TPM发出请求审计指令，TPM通过SPI数据通道访问BIOS FW。
如权利要求1所述的方法，其特征在于，当CPU上电后，BMC与TPM之间的数据通道被BMC关闭，CPU与TPM之间通过PCIe数据通道进行数据交互。
如权利要求1-4任一项所述的方法，其特征在于，在BMC上电的同时给TPM模块上电，在CPU启动前由TPM模块对BIOS进行审计。