[发明专利]一种基于服务处理器作为可更新信任根源的BIOS更新方法

说明书

技术领域

本发明涉及服务器安全技术领域，具体来说涉及一种基于服务处理器作为可更新信任根源的BIOS更新方法。

背景技术

BIOS在现代计算机系统架构中的独特与特权，使其成为一些病毒木马的重要攻击目标，恶意软件对BIOS固件未经授权的修改对其构成了重大威胁。恶意的BIOS修改可能是对组织进行复杂、有针对性攻击的一部分—永久拒绝服务或持续存在的恶意软件。

认证更新机制采用数字签名来确保固件更新映像的真实性。使用认证更新机制的固件映像的更新依赖于包含签名验证算法的信任根源更新(RTU)和包括在固件更新映像上验证签名所需公钥的密钥存储。密钥存储和签名验证算法以受保护的方式存储在计算机系统上，并且只能通过使用经认证的更新机制或安全的本地更新机制来修改。RTU中的密钥存储器包括用于在固件更新映像上验证签名的公共密钥，或者如果公钥的副本被提供有固件更新映像，则包括公钥的散列。在后一种情况下，更新机制对固件更新映像提供的公共密钥进行散列，并且在使用所提供的公钥之前确保它与出现在密钥存储器中的哈希匹配，以验证固件更新映像上的签名。

然而，由于需要远程管理服务器的架构和操作的复杂性，使得以与客户端相同的方式实现BIOS安全保护更加困难，增加困难的核心原因在于服务器通常具有多个BIOS更新机制。另外，一些服务器具有一个或多个服务处理器(SP)，SP对主机执行各种管理功能，其中包括BIOS的更新。基于此，本发明引入SP作为安全关键组件，提供一种基于服务处理器作为可更新信任根源的BIOS更新方法。

发明内容

本发明提供一种基于服务处理器作为可更新信任根源的BIOS更新方法，将服务处理器作为BIOS更新过程中的可信任更新根源，确保用户在客户端对BIOS进行更新的过程中所使用的BIOS镜像文件的合法性和完整性，保证服务器产品的安全。

本发明解决技术问题的技术方案是：

一种基于服务处理器作为可更新信任根源的BIOS更新方法，包括：

将客户端可控制的服务处理器作为BIOS更新过程的可信任更新根源；

RTU验证BIOS更新映像文件，确定BIOS更新映像文件可信后配置锁定机制，使得只有RTU具有对BIOS进行访问及写入操作的权利。

基于上述方案，本方法做如下优化：

如上所述的基于服务处理器作为可更新信任根源的BIOS更新方法，所述方法具体包括下述步骤：

将经数字签名的BIOS更新映像传送至RTU；

RTU将所接收的经过数字签名的BIOS更新映像存储至只能由RTU写入的位置；

RTU验证BIOS更新映像，如果BIOS更新映像验证失败，则不被写入BIOS闪存；如果BIOS更新映像验证成功，则RTU配置锁定机制，使得只有RTU可以访问并对BIOS进行写入操作；

RTU将BIOS更新映像写入BIOS闪存。

作为优化，为满足固件完整性的保护要求，所述RTU在将控制权转移到RTU外的代码之前将BIOS闪存锁定。所述服务处理器闪存上存储的代码、加密密钥和静态数据通过认证更新机制进行更新，服务处理器的环境中只执行认证代码，且用户获得授权后方可与服务处理器进行交互。

作为优化，所述RTU在验证BIOS更新映像文件之前，与服务处理器进行通信，以检查是否存在候选BIOS更新映像。如果服务处理器指示存在候选BIOS更新映像，则从服务处理器读取到主机存储器，并进行验证；如果服务处理器指示不存在候选BIOS更新映像，或者如果候选BIOS更新映像验证失败，则BIOS将通过SPI控制器交互锁定BIOS闪存，以锁定直到重置包含BIOS映像的扇区。当锁定置1时，对该SPI扇区锁定寄存器的访问变为只读，因此无法修改锁定至复位设置。所述扇区锁定在退出BIOS的RTU部分之前完成。

进一步的，当服务处理器指示存在候选BIOS更新映像且BIOS更新映像文件验证成功，则系统BIOS通过与SPI闪存控制器交互来执行系统闪存的更新，BIOS更新完成后，系统BIOS将强制重新启动系统并从新映像重新启动执行。

启动BIOS更新时，服务器主机上的系统管理软件可以与服务处理器进行交互，以发送BIOS更新映像存储至服务处理器环境中供BIOS访问。或者，候选BIOS更新图像经由服务处理器以太网的带外通信到达服务处理器。

作为系统BIOS一部分实现的RTU在系统复位时可以控制主机端，服务器的所有串行外设接口闪存扇区在系统复位时都被解锁。