技術領域

本發明涉及計算機安全技術領域，特別是涉及一種基于BMC平臺的可信度量系統、方法及裝置。

背景技術

一般的，基于BMC(Baseboard management controller，基板管理控制器)芯片的計算機系統通常需要在硬件上加上TPM(Trusted Platform Module，可信平臺模塊)、TCM(Trusted Cryptography Module，可信密碼模塊)或TPCM(Trusted Platform Control Module，可信平臺控制模塊)等，以實現對BMC固件的可信度量。但TPM、TCM或TPCM需要比BMC芯片同時啟動或優先供電，并且TPM、TCM或TPCM需要連接至BMC芯片所連接的flash(Flash Memory，閃存)，這將導致計算機系統的電路設計的復雜，成本較高。

發明內容

鑒于上述利用TPM、TCM或TPCM實現可信度量的可信度量系統結構復雜、成本高的問題，本發明的目的在于提供一種結構簡單且成本低的基于BMC平臺的可信度量系統、方法及裝置，能夠以BMC固件本身作為可信度量根實現對系統固件的可信度量。

為實現上述目的，本發明采用如下技術方案：

一種基于BMC平臺的可信度量系統，包括基板管理控制器、第一存儲器與第二存儲器；

所述第一存儲器與所述第二存儲器均連接至所述基板管理控制器；所述第一存儲器為只讀存儲器，用于存儲可信度量根的核心；所述第二存儲器用于存儲BMC固件；

所述基板管理控制器用于根據所述可信度量根的核心對所述BMC固件進行可信度量，當判定所述BMC固件為可信固件時，以所述BMC固件作為可信度量根對系統固件進行可信度量。

在其中一個實施例中，所述第一存儲器包含用于存儲可信度量根的核心的CRTM模塊；

所述CRTM模塊包括用于存儲固件度量信息的固件度量單元，所述固件度量單元能夠對所述第二存儲器中的BMC固件進行可信度量。

在其中一個實施例中，所述CRTM模塊還包括用于存儲第一啟動控制信息的第一啟動單元，所述第一啟動單元能夠控制所述第二存儲器的啟動并設定所述基板管理控制器的預設啟動存儲器。

在其中一個實施例中，所述第二存儲器包括用于存儲BMC固件的BMC固件模塊；

所述BMC固件模塊包括用于存儲可信鏈度量信息的可信鏈度量單元，所述可信鏈度量單元用于以所述BMC固件作為可信度量根對所述系統固件進行可信度量。

在其中一個實施例中，所述BMC固件模塊還包括用于存儲第二啟動控制信息的第二啟動單元，所述第二啟動單元用于將所述基板管理控制器的預設啟動存儲器設定為第一存儲器。

本發明還提供了一種基于BMC平臺的可信度量方法，包括如下步驟：

獲取第一存儲器中的可信度量根的核心；

根據所述可信度量根的核心對第二存儲器中的BMC固件進行可信度量；

當判定所述BMC固件為可信固件時，以所述BMC固件作為可信度量根對系統固件進行可信度量。

在其中一個實施例中，根據所述可信度量根的核心對BMC固件進行可信度量的步驟包括：

執行所述可信度量根的核心中的固件度量信息，獲得所述BMC固件的實際度量結果；

當所述BMC固件的實際度量結果與預設度量結果匹配時，判定所述BMC固件為可信固件。

在其中一個實施例中，根據所述可信度量根的核心對第二存儲器中的BMC固件進行可信度量的步驟還包括：

根據所述可信度量根的核心中第一啟動控制信息判斷是否需要將所述基板管理控制器的預設啟動存儲器修改為第二存儲器；

根據所述可信度量根的核心中的固件度量信息判斷所述BMC固件中是否包含有第二啟動控制信息；

當判定需要將基板管理控制器的預設啟動存儲器修改為第二存儲器，且所述BMC固件中未包含第二啟動控制信息時，判定所述BMC固件為不可信固件。

在其中一個實施例中，當判斷所述BMC固件為可信固件時，以所述BMC固件作為可信度量根對系統固件進行可信度量的步驟包括：

執行所述可信度量根的核心中的第一啟動控制信息，根據所述第一啟動控制信息控制所述第二存儲器啟動；

獲取并執行所述第二存儲器中BMC固件的可信鏈度量信息，根據所述可信鏈度量信息對所述系統固件進行可信度量。