基于BMC平臺(tái)的可信度量裝置制造方法及圖紙

本實(shí)用新型專利技術(shù)提供了一種基于BMC平臺(tái)的可信度量裝置，包括基板管理控制器、第一存儲(chǔ)器與第二存儲(chǔ)器；第一存儲(chǔ)器與第二存儲(chǔ)器均連接至基板管理控制器；第一存儲(chǔ)器為只讀存儲(chǔ)器。本實(shí)用新型專利技術(shù)的基于BMC平臺(tái)的可信度量裝置，解決了CRTM的不可改變與BMC固件的更新存在沖突的問(wèn)題；并且，基板管理控制器本身能夠主動(dòng)對(duì)BMC固件進(jìn)行可信度量，不需額外連接TPM、TPCM等簡(jiǎn)化電路結(jié)構(gòu)，且成本較低。

【技術(shù)實(shí)現(xiàn)步驟摘要】
基于BMC平臺(tái)的可信度量裝置
本技術(shù)涉及計(jì)算機(jī)安全
，特別是涉及一種基于BMC平臺(tái)的可信度量裝置。
技術(shù)介紹
一般的，基于BMC(Baseboardmanagementcontroller，基板管理控制器)芯片的計(jì)算機(jī)裝置通常需要在硬件上加上TPM(TrustedPlatformModule，可信平臺(tái)模塊)、TCM(TrustedCryptographyModule，可信密碼模塊)或TPCM(TrustedPlatformControlModule，可信平臺(tái)控制模塊)等，以實(shí)現(xiàn)對(duì)BMC固件的可信度量。但TPM、TCM或TPCM需要比BMC芯片同時(shí)啟動(dòng)或優(yōu)先供電，并且TPM、TCM或TPCM需要連接至BMC芯片所連接的flash(FlashMemory，閃存)，這將導(dǎo)致計(jì)算機(jī)裝置的電路設(shè)計(jì)的復(fù)雜，成本較高。
技術(shù)實(shí)現(xiàn)思路
鑒于上述利用TPM、TCM或TPCM實(shí)現(xiàn)可信度量的可信度量系統(tǒng)結(jié)構(gòu)復(fù)雜、成本高的問(wèn)題，本技術(shù)的目的在于提供一種結(jié)構(gòu)簡(jiǎn)單且成本低的基于BMC平臺(tái)的可信度量裝置，該裝置能夠以BMC固件本身作為可信度量根實(shí)現(xiàn)對(duì)BIOS等系統(tǒng)固件的可信度量。為實(shí)現(xiàn)上述目的，本技術(shù)采用如下技術(shù)方案：一種基于BMC平臺(tái)的可信度量裝置，包括用于存儲(chǔ)可信度量根的核心的第一存儲(chǔ)器、用于存儲(chǔ)BMC固件的第二存儲(chǔ)器以及用于以所述BMC固件作為可信度量根對(duì)系統(tǒng)固件進(jìn)行可信度量的基板管理控制器；所述第一存儲(chǔ)器與所述第二存儲(chǔ)器均連接至所述基板管理控制器，所述第一存儲(chǔ)器為只讀存儲(chǔ)器。在其中一個(gè)實(shí)施例中，所述第一存儲(chǔ)器包含用于存儲(chǔ)可信度量根的核心的CRTM模塊；所述CRTM模塊包括用于存儲(chǔ)固件度量信息的固件度量單元，所述固件度量單元能夠?qū)λ龅诙鎯?chǔ)器中的BMC固件進(jìn)行可信度量。在其中一個(gè)實(shí)施例中，所述CRTM模塊還包括用于存儲(chǔ)第一啟動(dòng)控制信息的第一啟動(dòng)單元，所述第一啟動(dòng)單元能夠控制所述第二存儲(chǔ)器的啟動(dòng)并設(shè)定所述基板管理控制器的預(yù)設(shè)啟動(dòng)存儲(chǔ)器。在其中一個(gè)實(shí)施例中，所述第二存儲(chǔ)器包括用于存儲(chǔ)BMC固件的BMC固件模塊；所述BMC固件模塊包括用于存儲(chǔ)可信鏈度量信息的可信鏈度量單元，所述可信鏈度量單元用于以所述BMC固件作為可信度量根對(duì)所述系統(tǒng)固件進(jìn)行可信度量。在其中一個(gè)實(shí)施例中，所述BMC固件模塊還包括用于存儲(chǔ)第二啟動(dòng)控制信息的第二啟動(dòng)單元，所述第二啟動(dòng)單元用于將所述基板管理控制器的預(yù)設(shè)啟動(dòng)存儲(chǔ)器設(shè)定為第一存儲(chǔ)器。在其中一個(gè)實(shí)施例中，所述第一存儲(chǔ)器為一次性寫(xiě)入的快閃存儲(chǔ)器，所述第二存儲(chǔ)器為可讀寫(xiě)的快閃存儲(chǔ)器。在其中一個(gè)實(shí)施例中，所述基板管理控制器支持雙存儲(chǔ)器啟動(dòng)。本技術(shù)的有益效果是：本技術(shù)的基于BMC平臺(tái)的可信度量裝置，通過(guò)將可信度量根的核心存儲(chǔ)于第一存儲(chǔ)器中，并將第一存儲(chǔ)器設(shè)置為只讀存儲(chǔ)器，從而可以保證可信度量根的核心為不可改變的，保證可信度量的可靠性，同時(shí)將可更新的BMC固件存儲(chǔ)于第二存儲(chǔ)器中，從而解決了CRTM的不可改變與BMC固件的更新存在沖突的問(wèn)題；并且，基板管理控制器本身能夠主動(dòng)對(duì)BMC固件進(jìn)行可信度量，進(jìn)而使該BMC固件可以作為可信度量根以實(shí)現(xiàn)BIOS等系統(tǒng)固件的可信度量，利用可信鏈的傳遞，實(shí)現(xiàn)對(duì)整個(gè)BMC平臺(tái)進(jìn)行可信度量，不需額外連接TPM、TPCM等模塊，不僅簡(jiǎn)化電路結(jié)構(gòu)，且成本較低。附圖說(shuō)明圖1為本技術(shù)的基于BMC平臺(tái)的可信度量裝置一實(shí)施例的框圖；圖2為本技術(shù)的基于BMC平臺(tái)的可信度量裝置另一實(shí)施例的框圖；圖3為本技術(shù)的基于BMC平臺(tái)的可信度量裝置又一實(shí)施例的框圖。具體實(shí)施方式為了使本技術(shù)的技術(shù)方案更加清楚，以下結(jié)合附圖，對(duì)本技術(shù)的基于BMC平臺(tái)的可信度量裝置作進(jìn)一步詳細(xì)的說(shuō)明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅用以解釋本技術(shù)并不用于限定本技術(shù)。需要說(shuō)明的是，在不沖突的情況下，本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。如圖1所示，本技術(shù)提供了一種基于BMC平臺(tái)的可信度量裝置100包括基板管理控制器110(即BMC芯片)、第一存儲(chǔ)器120與第二存儲(chǔ)器130，第一存儲(chǔ)器120與第二存儲(chǔ)器130均連接至基板管理控制器110。本實(shí)施例中，第一存儲(chǔ)器120和第二存儲(chǔ)器130可以為非易失性的快閃存儲(chǔ)器(FlashMemory)。其中，第一存儲(chǔ)器120為一次性寫(xiě)入的只讀存儲(chǔ)器，第一存儲(chǔ)器120內(nèi)存儲(chǔ)有可信度量根的核心(CRTM，CoreRootofTrustforMeasurement)，可信度量根的核心為可信引導(dǎo)的基礎(chǔ)。其中，為保證CRTM是不可改變的，本實(shí)施例中的第一存儲(chǔ)器120為一次性寫(xiě)入的只讀存儲(chǔ)器，即將CRTM寫(xiě)入第一存儲(chǔ)器120中后即不能再對(duì)第一存儲(chǔ)器120進(jìn)行寫(xiě)入操作，從而可以保證可信引導(dǎo)過(guò)程的可靠性。第二存儲(chǔ)器130用于存儲(chǔ)可更新的BMC固件，其中，BMC固件為基板管理控制器110得以運(yùn)行的程序代碼或操作裝置。本實(shí)施例中的第二存儲(chǔ)器130可以為讀寫(xiě)存儲(chǔ)器，以便于實(shí)現(xiàn)BMC固件的更新。通過(guò)CRTM與BMC固件的單獨(dú)存儲(chǔ)于不同的存儲(chǔ)器中，可以同時(shí)保證CRTM的不變性以及BMC固件的可更新性，從而避免了CRTM與BMC固件的更新沖突。本實(shí)施例中，基板管理控制器110支持雙Flash啟動(dòng)或備援flash啟動(dòng)，因此，基板管理控制器110上電后，第一存儲(chǔ)器120作為第一順位啟動(dòng)的存儲(chǔ)器，第二存儲(chǔ)器130作為第二順位啟動(dòng)的存儲(chǔ)器。即在基板管理控制器110的啟動(dòng)過(guò)程中，基板管理控制器110首先與第一存儲(chǔ)器120建立連接，獲取并執(zhí)行第一存儲(chǔ)器120中的CRTM對(duì)第二存儲(chǔ)器130中的BMC固件進(jìn)行可信度量。當(dāng)基板管理控制器110判定第二存器130中的BMC固件為可信固件時(shí)，基板管理控制器110執(zhí)行該可信的BMC固件，以BMC固件作為可信度量根對(duì)基板管理控制器的系統(tǒng)固件進(jìn)行可信度量。其中，系統(tǒng)固件可以包括BIOS(BasicInputOutputSystem，基本輸入/輸出裝置)，UEFI(UnifiedExtensibleFirmwareInterface，統(tǒng)一的可擴(kuò)展固件接口)，Hostboot(主機(jī)啟動(dòng)，hostboot為硬件開(kāi)機(jī)和測(cè)試代碼塊)等等。之后，可以逐級(jí)實(shí)現(xiàn)對(duì)基板管理控制器的內(nèi)核、操作裝置及應(yīng)用程序等組件的可信度量，實(shí)現(xiàn)了可信鏈的傳遞。由于第一存儲(chǔ)器120中的CRTM為基板管理控制器110啟動(dòng)后執(zhí)行的第一段程序代碼，執(zhí)行最初的可信度量，并引導(dǎo)有RTM(RootsofMeasurement，可信度量根)功能的BMC固件開(kāi)始工作。因此，通過(guò)將第一存儲(chǔ)器120作為第一順位啟動(dòng)的存儲(chǔ)器，即將第一存儲(chǔ)器120作為基板管理控制器110的預(yù)設(shè)啟動(dòng)存儲(chǔ)器，并通過(guò)執(zhí)行第一存儲(chǔ)器120中的CRTM，可以實(shí)現(xiàn)對(duì)第二存儲(chǔ)器130中的BMC固件進(jìn)行可信度量。具體地，在基板管理控制器110對(duì)第二存儲(chǔ)器130中BMC固件進(jìn)行可信度量的過(guò)程中，基板管理控制器110能夠獲取BMC固件的被度量數(shù)據(jù)(BMC固件的數(shù)據(jù)或程序代碼)以及度量摘要值(上述數(shù)據(jù)的哈希值)。之后，基板管理控制器110能夠根據(jù)BMC固件的被度量數(shù)據(jù)及度量摘要值獲得BMC固件的實(shí)際度量結(jié)果，并將上述實(shí)際度量結(jié)果與預(yù)設(shè)度量結(jié)果進(jìn)行比較，當(dāng)判定實(shí)際度量結(jié)果與預(yù)設(shè)度量結(jié)果匹配時(shí)，則基板管理控制器110判定BMC固件為可信本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種基于BMC平臺(tái)的可信度量裝置，其特征在于，包括用于存儲(chǔ)可信度量根的核心的第一存儲(chǔ)器、用于存儲(chǔ)BMC固件的第二存儲(chǔ)器以及用于以所述BMC固件作為可信度量根對(duì)系統(tǒng)固件進(jìn)行可信度量的基板管理控制器；所述第一存儲(chǔ)器與所述第二存儲(chǔ)器均連接至所述基板管理控制器，所述第一存儲(chǔ)器為只讀存儲(chǔ)器。

【技術(shù)特征摘要】
1.一種基于BMC平臺(tái)的可信度量裝置，其特征在于，包括用于存儲(chǔ)可信度量根的核心的第一存儲(chǔ)器、用于存儲(chǔ)BMC固件的第二存儲(chǔ)器以及用于以所述BMC固件作為可信度量根對(duì)系統(tǒng)固件進(jìn)行可信度量的基板管理控制器；所述第一存儲(chǔ)器與所述第二存儲(chǔ)器均連接至所述基板管理控制器，所述第一存儲(chǔ)器為只讀存儲(chǔ)器。2.根據(jù)權(quán)利要求1所述的基于BMC平臺(tái)的可信度量裝置，其特征在于，所述第一存儲(chǔ)器包含用于存儲(chǔ)可信度量根的核心的CRTM模塊；所述CRTM模塊包括用于存儲(chǔ)固件度量信息的固件度量單元，所述固件度量單元能夠?qū)λ龅诙鎯?chǔ)器中的BMC固件進(jìn)行可信度量。3.根據(jù)權(quán)利要求2所述的基于BMC平臺(tái)的可信度量裝置，其特征在于，所述CRTM模塊還包括用于存儲(chǔ)第一啟動(dòng)控制信息的第一啟動(dòng)單元，所述第一啟動(dòng)單元能夠控制所述第二存儲(chǔ)器的啟動(dòng)并設(shè)定所述基板管理控制器...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：趙立宇，陳慶宏，于昇，
申請(qǐng)(專利權(quán))人：華勝信泰信息產(chǎn)業(yè)發(fā)展有限公司，
類型：新型
國(guó)別省市：北京,11