[发明专利]一种基于TPM服务器资产信息多层保护的装置及方法

说明书

本发明提出了一种基于TPM服务器资产信息多层保护的装置，包括：BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM，所述BMC通过PCH、CPU获取接入设备的第一验证信息，第一TPM用于验证接入设备的第一验证信息；所述BIOS获取接入设备的第二验证信息以及第三验证信息，所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息；其中，第一验证信息验证通过后执行第二验证信息的验证，第二验证信息验证通过后执行第三验证信息的验证，本发明还提出了一种基于TPM服务器资产信息多层保护的方法，可以对当前接入的设备型号进行甄别，有效的保护当前服务器的完整性、安全性以及可靠性。

技术领域

本发明涉及服务器资产信息保护领域，尤其是涉及一种基于TPM服务器资产信息多层保护的装置及方法。

背景技术

随着信息技术的不断发展，目前大多数的服务器都已支持TPM(TrustedPlatformModule，可信赖平台模块)，旨在对系统安全性进行保护。TPM为一种独立产生密钥以进行资料的加密解密的装置或元件，可有效的避免计算机装置或服务器装置的资料被非法用户存取。

TPM是由可信计算组织(Trusted Computing Group)定义的可信芯片，其内部使用非对称加密算法，用以提供计算机装置或服务器装置的基本安全性相关功能。TPM包含TPM1.2和TPM2.0，TPM1.2使用I2C协议，在服务器上一般与BMC(基板管理控制器)相连，TPM2.0使用SPI(Serial Perripheral Interface，串行外围设备接口)协议，一般与BIOS(基本输入/输出系统)进行交互。二者既可单独使用，也可相辅相成，通过固件的配置，可对系统实现多方面的安全保护。

一般情况下，对于服务器硬件设备来说，TPM只会对设备的接入情况进行验证，确认已接入的设备是否异常丢失，并不会更进一步对设备进行区分，在目前设计中，一般是TPM1.2芯片与BMC连接，从而对接入设备的接入状态进行验证；TPM2.0与BIOS连接，从而确认开机过程中是否存在设备异常丢失或遭到恶意破坏的现象，保护当前系统的完整性。

但是现有技术缺点一方面是无法对当前接入的设备型号进行甄别，也无法避免同型号设备替换的问题；另一方面，现有技术中主要是针对接入设备进行单一验证，并不能实现接入设备的多层次保护，不利于服务器资产信息的立体化、全方面的保护。

发明内容

本发明为了解决现有技术中存在的问题，创新提出了一种基于TPM服务器资产信息多层保护的装置及方法，有效解决由于现有技术造成服务器资产信息不能多层次保护的问题，有效的提高的服务器资产信息保护的可靠性。

本发明第一方面提供了一种基于TPM服务器资产信息多层保护的装置，包括：BMC、CPU、PCH、BIOS、接入设备、第一TPM、第二TPM，所述BMC的数据读取端与PCH连接，用于通过PCH、CPU获取接入设备的第一验证信息，所述BMC的数据通信端与第一TPM的验证通信端连接，所述第一TPM用于验证接入设备的第一验证信息；所述BIOS的数据读取端与PCH连接，获取接入设备的第二验证信息以及第三验证信息，所述BIOS的数据通信端与第二TPM的验证通信端连接，所述第二TPM用于依次验证接入设备的第二验证信息以及第三验证信息；所述PCH的第一使能控制端与BIOS的使能端连接，第二使能控制端与第二TPM的使能端连接；其中，第一验证信息验证通过后执行第二验证信息的验证，第二验证信息验证通过后执行第三验证信息的验证。

可选地，所述接入设备包括内存和/或PCIE设备。

可选地，第一验证信息为接入设备的在位信息以及spec信息，第二验证信息为接入设备的SN号，第三验证信息为接入设备的驱动信息。

可选地，BIOS的数据读取端与数据通信端共用一个端口，即BIOS与第二TPM共用一路SPI线路，通过改变SPI线路的频率选择BIOS的通信对象。