[实用新型]服务器可信平台度量控制系统及包括该系统的服务器

说明书

技术领域

本实用新型总体上涉及信息安全领域，具体而言涉及一种服务器可信平台度量控制系统及包括该系统的服务器。

背景技术

基本输入输出系统(英文：Basic Input Output System，BIOS)以下统称启动代码,是一组固化到计算机内主板上的ROM芯片上的程序，它保存着计算机最重要的用于基本输入输出的程序、开机后自检程序和系统自启动程序。通过BIOS可从CMOS中读写系统设置的具体信息。BIOS的主要功能是为计算机提供最底层的、最直接的硬件设置和控制。当今，BIOS已成为一些病毒木马的目标。一旦BIOS被破坏篡改，往往造成严重后果，甚至硬件损坏。

基板管理控制器(英文：Baseboard Management Controller，BMC)是服务器的一个重要硬件组件，它利用传感器来监视服务器或者其它硬件驱动设备的状态，并且通过独立的连接线路与系统管理员通信,运行在BMC上的软件称为BMC代码。BMC是智能平台控制接口(英文：Intelligent Platform Management Interface，IPMI)的一部分并且通常被设置在服务器主板上。BMC代码如果被诸如黑客之类的恶意方例如通过病毒攻击篡改，则恶意方就可以通过远程控制整个服务器系统。

可信平台模块(Trusted Platform Module，TPM)是一种硬件设备，其与计算机主板相连，用于验证身份和处理由计算机在可信计算环境中使用的变量。TPM和存储在其中的数据通常与计算机的所有其它组件分开。

然而，现有技术中的用于服务器的可信平台模块是受服务器主板支配的一个单独模块，因此其无法保证安装在服务器主板上的BIOS及BMC代码的完整性。而在BIOS及BMC越来越容易受到攻击和篡改的今天，传统的TPM已不能保证服务器平台的可信性。

最近，提出了用于对服务器的BMC进行度量(即鉴定或验证)的可 信平台控制模块(Trusted Platform Control Module，TPCM)和相应方法，例如在名称为“一种基于TPCM实现BMC完整性度量的方法”的中国专利公开CN105550579A中就公开了一种这样的方法，其中调用TPCM的SM3算法模块对BMC的启动程序进行完整性度量以判断BMC程序是否完整，如果不完整则提示用户平台是不可信的并执行异常处理。然而，这样的TPCM或方法所具有的缺点是，1)没有对BMC Flash的供电进行预期的控制(例如控制上电的先后次序),这一方面会造成上电的BMC Flash电路可能对TPCM的度量产生干扰，另一方面，BMC可能在其代码被度量以前就已经读取了相应代码，使得BMC仍然可能执行经篡改的代码，从而威胁平台的可信度；2)在对一个主控设备进行度量时没有对其它主控设备进行隔离，这可能会造成主控设备的异常状态，例如在未隔离的情况下，当TPCM作为BMC Flash主控设备读取BMC代码时,南桥也会处于主控设备状态，这样同一个Flash设备同时存在两主控设备连接是无法正常工作的，其后果也难以预料。

实用新型内容

从现有技术出发，本实用新型的任务是提供一种服务器可信平台度量控制系统，通过该系统，可以防止上电的BMC或南桥芯片对TPCM模块产生干扰，并且防止BMC和CPU对未经度量的代码进行不期望的读取，从而保证服务器的可信运行环境，此外，还能降低采用可信平台度量方案所需的改造成本。

在本实用新型的第一方面，该任务通过一种服务器可信平台度量控制系统来解决，该系统包括：

第一开关，其布置在基板管理控制器与第一SPI闪存之间，其中第一SPI闪存用于存储用于基板管理控制器的第一代码；

第二开关，其布置在南桥芯片与第二SPI闪存之间，其中第二SPI闪存用于存储用于南桥芯片的第二代码；以及

TPCM模块，其与第一SPI闪存和第二SPI闪存连接以用于对第一SPI闪存和第二SPI闪存中的代码至少一部分进行可信度度量，其中所述TPCM模块与第一开关和第二开关的控制端连接以控制第一开关和第二开关的开关。