[发明专利]一种控制寄存器保护方法与装置

说明书

本发明公开了一种控制寄存器保护方法与装置，包括：使可信密码模块上电，并基于基板控制器第一次上电而获取串行外设接口的控制寄存器密码并存入可信密码模块的平台配置寄存器；响应于接收到通过基板控制器修改控制寄存器的参数的命令，而要求输入控制寄存器密码并接收输入内容；响应于接收到的输入内容与平台配置寄存器中存储的控制寄存器密码一致，而允许修改控制寄存器的参数。本发明能够提升对控制寄存器操作的安全可信程度，保障服务器系统安全运行。

技术领域

本发明涉及数据安全领域，更具体地，特别是指一种控制寄存器保护方法与装置。

背景技术

BMC(基板控制器)是集成在服务器主板上的芯片，是独立系统，拥有独立的IP(网络地址)，它不依赖于系统上的其他硬件(比如处理器、内存等)，也不依赖于BIOS(基本输入输出系统)、OS(操作系统)等，BMC里面运行的是一个类Unix系统，而该系统就存放在BMCSPI(串行外设接口)flash(闪存)里。BMC的作用就是方便服务器的远程管理、监控、安装、重启等。BMC SPI控制寄存器主要用于设置BMC flash的读写模式、向BMC flash发送的命令、设置BMC SPI flash的读写开关、flash片选及命令模式等，因此BMC SPI中的控制寄存器应当受到严格保护，如果有恶意程序修改了BMC SPI控制寄存器的值，那么将会对服务器系统产生非常严重的影响。但现有技术中缺乏足够安全的限制。

针对现有技术中控制寄存器的修改安全性低的问题，目前尚无有效的解决方案。

发明内容

有鉴于此，本发明实施例的目的在于提出一种控制寄存器保护方法与装置，能够提升对控制寄存器操作的安全可信程度，保障服务器系统安全运行。

基于上述目的，本发明实施例的第一方面提供了一种控制寄存器保护方法，包括执行以下步骤：

使可信密码模块上电，并基于基板控制器第一次上电而获取串行外设接口的控制寄存器密码并存入可信密码模块的平台配置寄存器；

响应于接收到通过基板控制器修改控制寄存器的参数的命令，而要求输入控制寄存器密码并接收输入内容；

响应于接收到的输入内容与平台配置寄存器中存储的控制寄存器密码一致，而允许修改控制寄存器的参数。

在一些实施方式中，还包括：在使可信密码模块上电的同时还使基本输入输出系统上电；

接收到通过基板控制器修改控制寄存器的参数的命令包括：在基本输入输出系统上电后接收到通过基板控制器修改控制寄存器的参数的命令。

在一些实施方式中，基板控制器在第一次上电之前存储有控制寄存器密码；获取串行外设接口的控制寄存器密码并存入可信密码模块的平台配置寄存器包括：使用可信密码模块从基板控制器读入串行外设接口的控制寄存器密码并存入平台配置寄存器中，同时删除基板控制器中存储的控制寄存器密码。

在一些实施方式中，响应于接收到通过基板控制器修改控制寄存器的参数的命令，而要求输入控制寄存器密码并接收输入内容包括：响应于接收到通过基板控制器修改控制寄存器的参数的命令而确认命令是否具有根权限，是则要求输入控制寄存器密码并接收输入内容，否则拒绝命令。

在一些实施方式中，控制寄存器密码在平台配置寄存器中以加密形式存储；接收到的输入内容与平台配置寄存器中存储的控制寄存器密码一致包括：接收到的输入内容经加密后与平台配置寄存器中存储的控制寄存器密码的密文相同。

本发明实施例的第二方面提供了一种控制寄存器保护装置，包括：

处理器；和

存储器，存储有处理器可运行的程序代码，程序代码在被运行时执行以下步骤：

使可信密码模块上电，并基于基板控制器第一次上电而获取串行外设接口的控制寄存器密码并存入可信密码模块的平台配置寄存器；