[发明专利]用于提供安全执行环境的服务器和用于保护服务器上的非易失性存储器中的固件的方法

说明书

本文公开了用于维护服务器上的安全执行环境的技术。在一个实施例中，所述服务器包含存储固件的非易失性存储器、联接到所述非易失性存储器的可编程安全逻辑、联接到所述可编程安全逻辑的适配器装置以及通过所述可编程安全逻辑以通信方式联接到所述非易失性存储器的处理器。所述适配器装置和/或所述可编程安全逻辑能够在将所述处理器和/或基板管理控制器(BMC)保持在电源复位状态的同时验证所述非易失性存储器中的所述固件，在验证所述固件之后使所述处理器和所述BMC从复位释放以启动所述处理器和所述BMC，且接着停用所述处理器与所述BMC之间的通信，并拒绝所述处理器或所述BMC写入所述非易失性存储器的至少一些请求。

背景技术

许多组织通过多个通信网络提供计算服务。计算服务可包含例如基于网络的服务，例如可通过互联网提供给不同客户端的网络存储或虚拟服务器。在一些情况下，服务器可能会根据需要或使用情况租借给客户端。

发明内容

本公开的一个方面提供了一种用于提供安全执行环境的服务器，其包括：非易失性存储器，其存储固件；可编程安全逻辑，其联接到非易失性存储器，可编程安全逻辑能够在无保护模式和受保护模式之间切换，在无保护模式下，可编程安全逻辑允许服务器的至少一些设备对非易失性存储器的访问，在受保护模式下，可编程安全逻辑拒绝服务器的至少一些设备对非易失性存储器的访问；适配器装置，其联接到可编程安全逻辑；以及处理器，其联接到可编程安全逻辑，并且通过可编程安全逻辑以通信方式联接到非易失性存储器，其中适配器装置包含指令，指令在执行时使适配器装置：在处理器保持在复位状态并且可编程安全逻辑处于无保护模式时验证非易失性存储器中的固件，其中无保护模式允许适配器装置经由可编程安全逻辑访问固件；在验证固件后，使可编程安全逻辑进入受保护模式，其中在受保护模式中，由可编程安全逻辑拒绝写入非易失性存储器的请求的至少一部分；以及在处理器从复位释放之后使处理器加载客户镜像。

在一个示例实施例中，适配器装置可以包含指令，指令在执行时使适配器装置：在可编程安全逻辑处于受保护模式下时，使服务器加载客户操作系统并使用客户操作系统启动服务器。

在一个示例实施例中，可编程安全逻辑可以配置成在进入受保护模式之前准予写入非易失性存储器的请求的至少一部分。

在一个示例实施例中，适配器装置可以包含指令，指令在执行时使适配器装置：在可编程安全逻辑中存储非易失性存储器中的受保护区域的列表。

在一个示例实施例中，可以还包括通过可编程安全逻辑以通信方式联接到非易失性存储器的基板管理控制器BMC，非易失性存储器存储用于BMC的固件，其中适配器装置包含指令，指令在执行时使适配器装置：在处理器保持在电源复位状态时，验证非易失性存储器中用于BMC的固件；在验证用于BMC的固件之后，使可编程安全逻辑将BMC从电源复位释放，由此使BMC启动；以及在受保护模式下，使可编程安全逻辑拒绝BMC写入非易失性存储器的请求的至少一部分。

在一个示例实施例中，适配器装置可以包含指令，指令在执行时使适配器装置：直接或通过可编程安全逻辑发送通用输入/输出(GPIO)信号以停用BMC与处理器之间的通信。

在一个示例实施例中，适配器装置可以包含指令，指令在执行时使适配器装置：使处理器从复位释放；以及使处理器执行擦除服务器上的易失性存储器的至少一部分的指令。

在一个示例实施例中，可以由可编程安全逻辑在受保护模式下准予写入非易失性存储器的请求的至少一部分。

在一个示例实施例中，适配器装置可以包含指令，指令在执行时使适配器装置：在处理器保持在复位状态时通过可编程安全逻辑修改非易失性存储器中的固件。

在一个示例实施例中，可以还包括：第二处理器，其中可编程安全逻辑或适配器装置配置成在受保护模式下停用处理器与第二处理器之间的通信。

在一个示例实施例中，可编程安全逻辑可以配置成在受保护模式下在某一时间段期间准予有限数目的读取或写入非易失性存储器中的区域的请求。