[发明专利]一种服务器带外管理的可信接入方法

说明书

一种服务器带外管理的可信接入方法属于服务器带外管理技术领域，其特征在于，是在一个具有客户端、BMC和作为可行第三方的策略管理器共同组成的具有三元四层的可信连接架构内实现的。带外管理接入步骤依次为系统构建、系统初始化、用户输入、验证策略管理器证书、通信临时密钥协商、客户端和BMC的用户身份鉴别、客户端和BMC的平台完整性鉴别。这几个步骤的实现由于引入了可信第三方，从根本上解决了目前普通采用的二元认证模型的弊端，防止了任何一方的恶意行为。不仅对客户端和BMC用户进行相互验证，而且做到了“用户+平台”的双重安全验证，解决了用户所使用设备的安全鉴别问题，弥补了目前服务器带外管理接入的平台安全性不足的问题。

技术领域

本发明涉及信息安全领域，具体涉及一种服务器带外管理的可信接入方法。

背景技术

当今的互联网时代充斥者大量的网络资源，但是这些资源无一例外地都需要通过各种服务器来进行承载，涉及到存储、计算、安全、负载等等。假如这些服务器发生故障，将会对使用者和管理员产生严重影响，甚至有可能造成极大的混乱和灾难。服务器的管理方式通常分为带内管理(In-Band)和带外管理(Out-Of-Band)。其中带外管理通过部署专有物理通道，绕过服务器主机操作系统，直接对主板上的资源加以管控。带外管理功能目前广泛应用于服务器领域，主要是通过基板管理控制器(Baseboard Management Controller，BMC)加上智能平台管理接口(Intelligent Platform Management Interface，IPMI)来实现的。服务器的运行情况不会对带外管理有任何影响，只要连通电源，运维人员就可以通过BMC实时监测CPU、内存、风扇、网卡、硬盘等设备的运行情况，甚至可以进行远程开关机、重启等操作。

带外管理虽然功能强大，但却带来了一系列的网络安全问题。目前传统的带外管理接入方式是远程客户端和BMC之间进行双向认证来实现的，通过客户端与BMC交换含有用户名和密码的消息认证码，实现双方的身份认证。但是此方法具有以下两点缺陷：(1)认证过程不可靠：建立连接的双方交换身份信息进行身份鉴别，存在“中间人攻击”等网络威胁。(2)缺少平台安全鉴别：如果远程客户端平台安装了其他恶意软件，存在针对BMC攻击的风险。

攻击者一旦获得BMC的访问权限，可以绕过操作系统控制，修改服务器硬件配置，重新启动系统，甚至安装新的操作系统，危害了服务器的机密性、完整性和可用性。因此需要研究带外管理接入的新方法，防止危险的发生。

专利申请公开号为CN 110781465专利申请名称为“基于可信计算的BMC远程身份验证方法及系统”的专利申请使用客户端的外接可信设备生成验证信息，代替用户信息发送到BMC进行登录验证，避免了弱密码登录问题。但是此方法取消了传统的密码验证，安全性只依赖于外接可信设备的安全，如果非法用户获得了客户机的访问权限或者外接可信设备丢失，则不能保证系统的安全。而且此方法只包含了BMC对客户端的单向身份认证，没有针对BMC的身份认证和平台认证。

专利申请公开号为CN 104504323专利申请名称为“一种带有加密认证的IPMI管理系统”的专利申请提出带有扩展IPMI安全模块的IPMI协议栈，使用USB-key和公钥密码体系进行IPMI的用户认证和用户信息管理，提高了认证过程的安全性。但是系统依赖于外接USB-key的安全，如果USB-key丢失，则不能保证系统的安全；没有针对BMC的身份认证，存在伪装攻击的风险；忽略了平台安全问题，如果客户端的安全防护水平不高，易被攻击者利用从而间接访问BMC，甚至可以通过客户端直接对BMC发起攻击，安全防护能力并不突出。

专利申请公开号为CN 104038478专利申请名称为“一种嵌入式平台身份验证可信网络连接方法和系统”的专利申请设计了嵌入式平台的可信网络接入方法，在平台接入网络之前进行平台度量验证，保证了接入平台的可信性。但是只利用可信根的平台配置寄存器信息作为验证的唯一依据，忽略了针对用户的访问控制，非法用户获得了平台的使用权限也可以成功接入网络。