[发明专利]一种基于BMC的服务器硬件可信性保护方法及装置

摘要

本发明公开了一种基于BMC的服务器硬件可信性保护方法及装置，先进行可信硬件部件基准值设定，对基准值进行加密处理，再将其写入服务器FRU里可供使用的记录区域；然后进行硬件部件可信性度量，通过BMC获取服务器目标硬件部件信息，解析、提取所需目标字段；再完成硬件可信性验证，判断所获取的部件信息与基准值是否匹配，若不匹配，则服务器硬件不可信，进行关机操作，反之，即为可信，服务器继续运行。本发明使服务器硬件部件的可信性检查简便、自动、高效，节约时间、成本，不依赖于BIOS/EFI和操作系统，增加服务器硬件的安全性。

主权项

1.一种基于BMC的服务器硬件可信性保护方法，其特征在于，其步骤包括：

步骤1：进行可信硬件部件基准值设定，对基准值进行加密处理，再将其写入服务器FRU里可供使用的记录区域，具体是：从输入中获得可信的相关服务器硬件部件的基准值，根据FRU数据规范，加密、存储基准值，存储操作需获得授权，具体包括：

步骤1.1、输入服务器BMC用户口令，从预先存储好的文件中读取服务器硬件部件的可信基准值，可信基准值的输入不局限于从文件中获取，也可由管理员通过图形界面手动输入；对可信基准值进行加密、处理，在每条加了密的可信基准值之间添加分隔符，并在不同部件的加了密的可信基准值开始和结束部分添加起始符和结束符，用于区分不同部件的可信基准值；标识符格式可按需求自行定义；最后，将处理后的数据组织成FRU规范格式；

步骤1.2、使用IPMItool工具调用IPMI命令将处理后的可信基准值写入服务器FRU里可供使用的记录区域，完成FRU写操作，但本发明不限于使用IPMItool工具，也不限于使用IPMI接口，也可使用Redfish接口；

步骤2：进行硬件部件可信性度量，通过BMC获取服务器目标硬件部件信息，解析、提取所需目标字段，所述硬件部件信息是字节数据流，解析、提取字段；

步骤3：先从FRU中读取加密的基准值，再执行解密操作，然后完成硬件可信性验证，判断所获取的部件信息与基准值是否匹配，若不匹配，则服务器硬件不可信，进行关机操作，反之，即为可信，服务器继续运行。

2.根据权利要求1所述的一种基于BMC的服务器硬件可信性保护方法，其特征在于，所述步骤2具体包括：

步骤2.1、通过BMC访问SMBIOS(System Management BIOS)信息，获取服务器当前硬件部件的各种信息；实例中使用IPMItool调用IPMI raw命令，通过BMC访问SMBIOS来获取硬件部件信息；

步骤2.2、步骤2.1中所获取的硬件部件信息是字节数据流，过滤不规则、无关的信息，解析、提取目标字段信息。

3.根据权利要求1所述的一种基于BMC的服务器硬件可信性保护方法，其特征在于，所述步骤3具体包括：

步骤3.1、在判断所获取的当前硬件部件信息是否可信之前，先从FRU中读取加了密的基准值，根据标识符进行信息分隔，再执行解密操作；

步骤3.2、完成硬件可信性验证，判断所获取的部件信息与基准值是否匹配，若不匹配，则服务器硬件不可信，进行关机操作，反之，即为可信，服务器继续运行。

4.一种基于BMC的服务器硬件可信性保护装置，其特征在于，包括：

基准值设定模块：被配置为用于进行可信硬件部件基准值设定，对基准值进行加密处理，再将其写入服务器FRU里可供使用的记录区域，具体是：从输入中获得可信的相关服务器硬件部件的基准值，根据FRU数据规范，加密、存储基准值，存储操作需获得授权；

度量模块：被配置为用于进行硬件部件可信性度量，通过BMC获取服务器目标硬件部件信息，解析、提取所需目标字段，所述硬件部件信息是字节数据流，解析、提取字段；

验证模块：被配置为先从FRU中读取加密的基准值，再执行解密操作，然后完成硬件可信性验证，判断所获取的部件信息与基准值是否匹配，若不匹配，则服务器硬件不可信，进行关机操作，反之，即为可信，服务器继续运行。