[发明专利]一种可信管理方法、装置、系统、设备和存储介质

权利要求书

1.一种可信管理方法，其特征在于，所述方法包括：

在服务器的BMC模块内部构建独立的可信管理代理；

所述可信管理代理对所述服务器进行可信管理；

其中，所述可信管理代理对服务器进行可信管理至少包括以下之一：

所述可信管理代理作为独立的TPM/TPCM物理可信根对所述服务器执行可信启动度量、对所述服务器中TPM/TPCM芯片进行管理、对所述服务器的固件/软件进行可信更新。

2.如权利要求1所述方法，其特征在于，所述可信管理代理利用BMC模块的独立网络连接通道与可信管理平台建立可信网络连接；

通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理。

3.如权利要求2所述方法，其特征在于，所述对所述服务器进行可信管理包括对所述服务器中TPM/TPCM芯片进行管理时，所述通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理，包括：

所述可信管理代理通过所述可信网络连接，接收所述可信管理平台发送的用于读取度量状态的指令；

响应所述读取度量状态的指令，通过相关协议从所述TPM/TPCM芯片中读取所述服务器启动过程中的度量状态；

通过所述可信网络连接将所述度量状态发送给所述可信管理平台。

4.如权利要求2所述方法，其特征在于，所述对所述服务器进行可信管理包括对所述服务器的固件/软件进行可信更新时，所述通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理，包括：

所述可信管理代理通过所述可信网络连接，接收服务器管理平台发送的固件/软件更新指令；

响应于所述固件/软件更新指令，通过服务器更新接口将固件/软件进行更新。

5.如权利要求2所述方法，其特征在于，所述对所述服务器进行可信管理包括对所述服务器执行可信启动度量时，所述通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理，包括：

在所述服务器的启动过程中，执行以下操作：

对所述服务器的BMC APP进行静态度量；

通过相关协议将BMC APP度量值写入所述TPM/TPCM芯片中，得到所述BMC APP的度量状态；

如果所述BMC APP的度量状态为度量成功，对所述服务器的BIOS的代码进行度量；

通过相关协议将所述BIOS的度量值写入所述TPM/TPCM芯片中，得到所述BIOS的度量状态；

如果BIOS的度量状态为度量成功，则通知所述BMC模块将所述服务器的CPU的控制权交给所述BIOS。

6.如权利要求5所述方法，其特征在于，所述对所述服务器进行可信管理包括对所述服务器执行可信启动度量时，所述通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理，包括：

所述可信管理代理通过所述可信网络连接，接收所述可信管理平台发来的度量预期值更新指令，所述度量预期值更新指令包括新的度量预期值；

响应所述度量预期更新指令，通过相关协议将所述新的度量预期值写入所述TPM/TPCM芯片中。

7.如权利要求5所述方法，其特征在于，所述通过所述可信网络连接为服务器的可信管理提供可信安全的数据传输通道，以实现对所述服务器进行可信管理，还包括：

在服务器启动过程中，监测所述服务器的固件/软件模块的度量值；

如果所述服务器的固件/软件模块的度量值不符合预期，通过所述可信网络连接将监测到的所述度量值不符合预期的异常进行上报，以实现对所述服务器的可信启动异常进行远程可信监测和故障定位。