The present invention provides a method and a server integrity measurement based on BMC and TCM, the method comprises: a connection between BMC and BIOS of the substrate management controller through the SPI bus to build a connection between BMC and TCM of the trusted cryptography module through the LPC bus to construct, and storing the SM3 hash algorithm and the reference value in TCM; BMC through the SPI bus to collect key code in BIOS; through the SM3 hash algorithm storage LPC bus calling in TCM, the key code metrics, obtain the measurement value; judge whether the measure is consistent, and stored in the TCM reference value if it is, it sends the control signal to the CPU to control CPU power. And the trust chain key code in BIOS to transfer; otherwise, no CPU start. The scheme provided by the invention realizes the transmission of trust.
【技术实现步骤摘要】
一种基于BMC和TCM进行完整性度量的方法和服务器
本专利技术涉及计算机
,特别涉及一种基于BMC和TCM进行完整性度量的方法和服务器。
技术介绍
随着服务器在各行各业应用越来越深入,使得服务器的安全性问题得到广泛的关注。尤其是在服务器启动过程中,很容易受到攻击,因此,对服务器进行完整性度量,以保证服务器的安全启动则显得尤为重要。目前,完整性度量的方是主要是,把静态核心度量根CRTM存储于BIOS中,这样默认CRTM为可信的,则由BIOS中的CRTM控制整个的启动过程,在服务器启动过程中,CRTM并不会将控制权释放给下一阶段的被度量部件,并不能实现信任传递。
技术实现思路
本专利技术实施例提供了一种基于BMC和TCM进行完整性度量的方法和服务器,实现了信任传递。一种基于BMC和TCM进行完整性度量的方法,通过SPI总线构建基板管理控制器BMC与BIOS之间的连接,通过LPC总线构建所述BMC与可信密码模块TCM之间的连接,并在所述TCM中存储SM3杂凑算法和基准值;还包括:所述BMC通过所述SPI总线收集所述BIOS中的关键代码;通过所述LPC总线调用所述TCM中存储的SM3杂凑算法,对所述关键代码进行度量,得到度量值;判断所述度量值与所述TCM中存储的基准值是否一致,如果是,则发送控制信号给CPU,以控制所述CPU上电,并将信任链传递给所述BIOS中的关键代码;否则,禁止所述CPU启动。优选地,上述方法进一步包括:在所述BMC中构建非易失存储器Flash,并在所述TCM中存储SM4加密算法;在所述通过所述LPC总线调用所述TCM中存储的SM3杂凑算法, ...
【技术保护点】
一种基于BMC和TCM进行完整性度量的方法,其特征在于,通过SPI总线构建基板管理控制器BMC与BIOS之间的连接,通过LPC总线构建所述BMC与可信密码模块TCM之间的连接,并在所述TCM中存储SM3杂凑算法和基准值;还包括:所述BMC通过所述SPI总线收集所述BIOS中的关键代码;通过所述LPC总线调用所述TCM中存储的SM3杂凑算法,对所述关键代码进行度量,得到度量值;判断所述度量值与所述TCM中存储的基准值是否一致,如果是,则发送控制信号给CPU,以控制所述CPU上电,并将信任链传递给所述BIOS中的关键代码;否则,禁止所述CPU启动。
【技术特征摘要】
1.一种基于BMC和TCM进行完整性度量的方法,其特征在于,通过SPI总线构建基板管理控制器BMC与BIOS之间的连接,通过LPC总线构建所述BMC与可信密码模块TCM之间的连接,并在所述TCM中存储SM3杂凑算法和基准值;还包括:所述BMC通过所述SPI总线收集所述BIOS中的关键代码;通过所述LPC总线调用所述TCM中存储的SM3杂凑算法,对所述关键代码进行度量,得到度量值;判断所述度量值与所述TCM中存储的基准值是否一致,如果是,则发送控制信号给CPU,以控制所述CPU上电,并将信任链传递给所述BIOS中的关键代码;否则,禁止所述CPU启动。2.根据权利要求1所述的方法,其特征在于,进一步包括:在所述BMC中构建非易失存储器Flash,并在所述TCM中存储SM4加密算法;在所述通过所述LPC总线调用所述TCM中存储的SM3杂凑算法,对所述关键代码进行度量之后,在所述判断所述度量值与所述TCM中存储的基准值是否一致之前,进一步包括:生成度量日志信息,并调用所述TCM中存储的SM4加密算法对所述度量日志信息进行加密;将加密后的度量日志信息存储到所述BMC中的Flash中,所述度量日志信息,包括:度量时间和所述度量值。3.根据权利要求1所述的方法,其特征在于,进一步包括:设置初次启动标识信息;在所述TCM中存储基准值之前,进一步包括:当读取到所述初次启动标识信息时,调用所述SM3杂凑算法,对所述关键代码进行杂凑运算,得到256bit的基准值。4.根据权利要求1所述的方法,其特征在于,在所述判断所述度量值与所述TCM中存储的基准值是否一致之后,在所述发送控制信号给CPU之前,进一步包括:所述BMC和所述TCM对所述度量值进行数字签名,并利用签名后的度量值生成可信控制信号;所述发送控制信号给CPU,包括:将所述可信控制信号发送给所述CPU。5.根据权利要求1至4任一所述的方法,其特征在于,进一步包括:隐藏所述BMC和所述TCM的地址空间,并为所述BMC和所述TCM的地址空间设置对应的指令集;外部通过解析所述指令集对所述BMC和所述TCM进行访问。6.根据权利要求1至4任一所...
【专利技术属性】
技术研发人员:苏振宇,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。