[发明专利]系统安全信任链构建装置和构建方法

说明书

本公开提供了一种系统安全信任链构建装置和系统安全信任链构建方法。所述装置包括：FPGA单元，用于在服务器上电后为安全管理控制单元和可信度量芯片供电；安全管理控制单元，用于在所述FPGA单元为所述服务器的主板供电前，获取所述FPGA单元的固件信息以及所述服务器BIOS信息；可信度量芯片，用于对所述FPGA单元的固件信息以及BIOS信息进行可信度量，确定所述FPGA单元的固件信息以及BIOS信息是否被篡改。本公开的装置和方法能够有效地度量服务器启动的基础是否被篡改。

技术领域

本公开涉及计算机领域，具体地涉及一种系统安全信任链构建装置和构建方法。

背景技术

系统在构建安全信任链的过程中，可信度量根RTM(Root of Trust Measurement)作为系统完整性度量，构建信任链的原点，在整个系统中的作用尤为重要。现有的方案都是以CPU作为RTM，来开始构建信任链。由于CPU由制造商直接提供，用户对CPU的内部构造和内部信息等的掌握非常有限，尤其是在中国，当前计算机中的CPU都是外国的大型制造商供应。在这种情况下，以CPU作为RTM在国产化可信计算方面就会存在较大的不安全因素。

发明内容

本公开的一个方面提供了一种系统安全信任链构建装置，包括：FPGA单元，用于在服务器上电后为安全管理控制单元和可信度量芯片供电；安全管理控制单元，用于在所述FPGA单元为所述服务器的主板供电前，获取所述FPGA单元的固件信息以及所述服务器BIOS信息；可信度量芯片，用于对所述FPGA单元的固件信息以及BIOS信息进行可信度量，确定所述FPGA单元的固件信息以及BIOS信息是否被篡改。

可选地，所述安全管理控制单元还用于在所述可信度量芯片确定所述FPGA单元的固件信息以及所述服务器BIOS信息没有被篡改时，控制所述FPGA单元向所述服务器的主板供电。

可选地，所述安全管理控制单元设置在基板管理控制器BMC芯片上。

可选地，所述可信度量芯片为TPM或TCM芯片。

本公开的另一个方面提供了一种系统安全信任链构建方法，包括：

服务器上电后，FPGA单元向安全管理控制单元和可信度量芯片供电；

在所述FPGA单元为所述服务器的主板供电前，

所述安全管理控制单元获取所述FPGA单元的固件信息以及所述服务器BIOS信息，

可信度量芯片对所述FPGA单元的固件信息以及BIOS信息进行可信度量，确定所述FPGA单元的固件信息以及BIOS信息是否被篡改。

可选地，所述方法还包括：在所述可信度量芯片确定所述FPGA单元的固件信息以及所述服务器BIOS信息没有被篡改时，所述安全管理控制单元控制所述FPGA单元向所述服务器的主板供电。

可选地，所述安全管理控制单元设置在基板管理控制器BMC芯片上。

可选地，所述可信度量芯片为TPM或TCM芯片。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1示意性示出了根据本公开的各实施例的应用场景图；

图2示意性示出了根据本公开一实施例的系统安全信任链构建装置的结构框图；

图3示意性示出了根据本公开一实施例的系统安全信任链构建方法流程图；

图4示意性示出了根据本公开另一实施例的系统安全信任链构建方法流程图。

具体实施方式