[发明专利]一种用于检测服务器硬件是否被攻击的系统及方法

权利要求书

1.一种用于检测服务器硬件是否被攻击的方法，其特征在于，步骤如下：

SS1：在服务器主板上嵌入TPM安全芯片，以TPM安全芯片作为信任链的信任根，建立信任链；

SS2：完整性度量；

SS3：将每一步的度量值扩展到TPM的PCR寄存器中；

SS4：可信检测。

2.根据权利要求1所述的方法，其中步骤SS1中还包括在被测服务器的BIOS源码中添加支持TPM芯片相关的可信代码，实现信任链的建立。

3.根据权利要求1所述的方法，其中步骤SS2的完整性度量具体为：以TPM芯片作为信任链的信任根，以CPU microcode为CRTM，度量BIOS核心代码、配置文件，度量硬件设备OpROM。

4.根据权利要求1所述的方法，其中步骤SS3还包括将度量过程记录到相应的日志文件中。

5.根据权利要求1所述的方法，其中步骤SS4具体为当启动服务器时，在Intel TXT组件构建的安全执行环境下，由LCP引擎检查本次启动过程中产生的度量值是否可信，如果检测发现度量值不可信，则硬件被攻击、完整性被破坏。

6.根据权利要求5所述的方法，其中步骤SS4中的由LCP引擎检查本次启动过程中产生的度量值是否可信具体为，由LCP引擎检查本次启动过程中硬件设备的度量值是否与基准值相同。

7.根据权利要求5所述的方法，其中步骤SS4中如果发现服务器硬件被攻击，将错误信息记录到Intel TXT相应的寄存器中，阻止服务器启动，并向用户提示启动过程中的关键事件信息，告知用户服务器的安全状况。

8.一种用于实现权利要求1-7任一项所述用于检测服务器硬件是否被攻击的方法的系统，其特征在于，包括被检测服务器以及TPM安全芯片，被检测服务器与TPM安全芯片通过服务器主板提供的LPC接口连接。

9.根据权利要求8所述的系统，其中通过在服务器BIOS源码中添加支持TPM芯片相关的可信代码，实现信任链的建立。

10.根据权利要求8所述的系统，其中检测服务器主板采用英特尔至强E5-2600v3系列处理器，24个内存插槽，最高支持DDR4-2133内存，最大可扩展1536GB内存。