[发明专利]信息处理的方法、系统及计算机可读介质

说明书

本发明公开了一种信息处理的方法，可以包括：将与信息处理系统相关联的第一组秘密存储在管理控制器的凭证保险库中，所述管理控制器被配置为联结到信息处理系统的主机系统的处理器，以便经由在所述管理控制器和外部管理网络之间通信的管理流量提供对所述信息处理系统的管理，以便所述第一组秘密响应于管理控制器的验证引导能够被访问；以及将与信息处理系统相关的第二组秘密存储在由所述管理控制器拥有的加密处理器的存储器中，使得能够响应于管理员将授权提供给所述加密处理器而授予对所述第二组秘密的访问权，并且如果所述验证的授权不存在，则在所述主机系统的运行期间防止对所述第二组秘密的访问。

技术领域

本发明通常涉及信息处理系统，并且更具体地涉及用于能够在管理控制器拥有的加密处理器中存储管理员秘密的方法和系统。

背景技术

随着信息的价值和使用不断增加，个人和企业寻求其他方式来处理和存储信息。用户可以使用的一个选项是信息处理系统。信息处理系统通常为商业、个人或其他目的处理、编译、存储和/或传送信息或数据，从而允许用户利用信息的价值。由于不同用户或应用程序之间的技术和信息处理需求和要求各不相同，因此信息处理系统也可能因待处理的信息，信息处理方式，处理、存储或传送信息量、以及可以处理、存储或传送信息的处理速度和效率而异。信息处理系统的变化允许信息处理系统是通用的或被配置用于特定用户或特定用途，例如金融交易处理、航空公司预订、企业数据存储或全球通信。另外，信息处理系统可以包括各种硬件和软件组件，各种硬件和软件组件可以被配置为处理、存储和传送信息，并且可以包括一个或多个计算机系统、数据存储系统和网络系统。

用于信息处理系统的带外管理的管理员凭证和证书的安全性长期以来一直是一个问题。为了克服这些问题中的一些的问题，用于信息处理系统的带外管理的管理控制器包括凭证保险库，其基于管理控制器的芯片中的硬件信任根，从而确保安全存储级别通过在信息处理系统每次启动期间经过验证的信任链而受保护。然而，这些方法可能具有缺点。例如，这样的方法可以保护信息处理系统免受在启动时间检测的破坏，但是在主机系统运行时期间发生的破坏仍然能够访问凭证保险库内容内的秘密。此外，凭证保险库内的秘密不受由管理控制器的破坏或由对信息处理系统的物理访问的保护。

发明内容

根据本发明的教导，可以减少或消除与用于维护信息处理系统上的管理员秘密的现有方法相关联的缺点和问题。

根据本发明的实施方式，一种信息处理系统可以包括：主机系统，其包括主机系统处理器；管理控制器，其通信地联结到主机系统处理器，并且被配置为通过在管理控制器和信息处理系统外部的专用管理网络之间通信的管理流量来提供对信息处理系统的管理，以及加密处理器通信地联结到管理控制器处理器并且由管理控制器处理器拥有。所述管理控制器可以包括：管理控制器处理器；以及凭证保险库，其通信地联结到管理控制器处理器，并且被配置为存储与信息处理系统相关联的第一组秘密，其中，第一组秘密响应于管理控制器的硬件验证的引导能够被访问。加密处理器可以包括存储器，所述存储器被配置为存储与信息处理系统相关联的第二组秘密，使得能够响应于管理员将经过验证的授权提供给加密处理器而授予对第二组秘密的访问权，并且如果经过验证的授权不存在，则在主机系统的运行期间防止对第二组秘密的访问。

根据本发明的这些和其他实施方式，本发明提供了一种方法可以包括：将凭证保险库通信地联结到管理控制器的管理控制器处理器，所述管理控制器处理器被配置为联结到信息处理系统的主机系统的主机系统处理器，以便经由管理控制器和信息处理系统外部的专用管理网络之间通信的管理流量提供对信息处理系统的管理，其中，凭证保险库被配置为存储与信息处理系统相关联的第一组秘密，其中，第一组秘密响应于管理控制器的硬件验证引导能够被访问。所述方法还可以包括将加密处理器通信地联结到管理控制器处理器，使得它由管理控制器处理器拥有，所述加密处理器包括存储器，所述存储器被配置为存储与信息处理系统相关联的第二组秘密，使得能够响应于管理员将经过验证的授权提供给加密处理器而授予对第二组秘密的访问权，并且如果经过验证的授权不存在，则在主机系统的运行期间防止对第二组秘密的访问。