本發(fā)明涉及一種服務(wù)器可信平臺(tái)度量控制系統(tǒng)，包括：第一開(kāi)關(guān)，其布置在基板管理控制器與第一SPI閃存之間；第二開(kāi)關(guān)，其布置在南橋芯片與第二SPI閃存之間；以及TPCM模塊，其與第一SPI閃存和第二SPI閃存連接并被配置為執(zhí)行下列動(dòng)作：在TPCM模塊上電以后斷開(kāi)第一開(kāi)關(guān)和第二開(kāi)關(guān)；從第一SPI閃存中讀取第一代碼的至少一部分并且從第二SPI閃存中讀取第二代碼的至少一部分，并且生成第一代碼的所述至少一部分的第一散列值和第二代碼的所述至少一部分的第二散列值；將第一散列值與第一參考散列值相比較并且將第二散列值與第二參考散列值相比較；以及在度量成功時(shí)閉合第一開(kāi)關(guān)和第二開(kāi)關(guān)。本發(fā)明還涉及一種相應(yīng)的方法。

技術(shù)領(lǐng)域

本發(fā)明總體上涉及信息安全領(lǐng)域，具體而言涉及一種服務(wù)器可信平臺(tái)度量控制系統(tǒng)以及一種運(yùn)行服務(wù)器可信平臺(tái)度量控制系統(tǒng)的方法。

背景技術(shù)

基本輸入輸出系統(tǒng)(英文：Basic Input Output System，BIOS)以下統(tǒng)稱啟動(dòng)代碼,是一組固化到計(jì)算機(jī)內(nèi)主板上的ROM芯片上的程序，它保存著計(jì)算機(jī)最重要的用于基本輸入輸出的程序、開(kāi)機(jī)后自檢程序和系統(tǒng)自啟動(dòng)程序。通過(guò)BIOS可從CMOS中讀寫系統(tǒng)設(shè)置的具體信息。BIOS的主要功能是為計(jì)算機(jī)提供最底層的、最直接的硬件設(shè)置和控制。當(dāng)今，BIOS已成為一些病毒木馬的目標(biāo)。一旦BIOS被破壞篡改，往往造成嚴(yán)重后果，甚至硬件損壞。

基板管理控制器(英文：Baseboard Management Controller，BMC)是服務(wù)器的一個(gè)重要硬件組件，它利用傳感器來(lái)監(jiān)視服務(wù)器或者其它硬件驅(qū)動(dòng)設(shè)備的狀態(tài)，并且通過(guò)獨(dú)立的連接線路與系統(tǒng)管理員通信,運(yùn)行在BMC上的軟件稱為BMC代碼。BMC是智能平臺(tái)控制接口(英文：Intelligent Platform Management Interface，IPMI)的一部分并且通常被設(shè)置在服務(wù)器主板上。BMC代碼如果被諸如黑客之類的惡意方例如通過(guò)病毒攻擊篡改，則惡意方就可以通過(guò)遠(yuǎn)程控制整個(gè)服務(wù)器系統(tǒng)。

可信平臺(tái)模塊(Trusted Platform Module，TPM)是一種硬件設(shè)備，其與計(jì)算機(jī)主板相連，用于驗(yàn)證身份和處理由計(jì)算機(jī)在可信計(jì)算環(huán)境中使用的變量。TPM和存儲(chǔ)在其中的數(shù)據(jù)通常與計(jì)算機(jī)的所有其它組件分開(kāi)。

然而，現(xiàn)有技術(shù)中的用于服務(wù)器的可信平臺(tái)模塊是受服務(wù)器主板支配的一個(gè)單獨(dú)模塊，因此其無(wú)法保證安裝在服務(wù)器主板上的BIOS及BMC代碼的完整性。而在BIOS及BMC越來(lái)越容易受到攻擊和篡改的今天，傳統(tǒng)的TPM已不能保證服務(wù)器平臺(tái)的可信性。

最近，提出了用于對(duì)服務(wù)器的BMC進(jìn)行度量(即鑒定或驗(yàn)證)的可信平臺(tái)控制模塊(Trusted Platform Control Module，TPCM)和相應(yīng)方法，例如在名稱為“一種基于TPCM實(shí)現(xiàn)BMC完整性度量的方法”的中國(guó)專利公開(kāi)CN105550579A中就公開(kāi)了一種這樣的方法，其中調(diào)用TPCM的SM3算法模塊對(duì)BMC的啟動(dòng)程序進(jìn)行完整性度量以判斷BMC程序是否完整，如果不完整則提示用戶平臺(tái)是不可信的并執(zhí)行異常處理。然而，這樣的TPCM或方法所具有的缺點(diǎn)是，1)沒(méi)有對(duì)BMC Flash的供電進(jìn)行預(yù)期的控制(例如控制上電的先后次序),這一方面會(huì)造成上電的BMC Flash電路可能對(duì)TPCM的度量產(chǎn)生干擾，另一方面，BMC可能在其代碼被度量以前就已經(jīng)讀取了相應(yīng)代碼，使得BMC仍然可能執(zhí)行經(jīng)篡改的代碼，從而威脅平臺(tái)的可信度；2)在對(duì)一個(gè)主控設(shè)備進(jìn)行度量時(shí)沒(méi)有對(duì)其它主控設(shè)備進(jìn)行隔離，這可能會(huì)造成主控設(shè)備的異常狀態(tài)，例如在未隔離的情況下，當(dāng)TPCM作為BMC Flash主控設(shè)備讀取BMC代碼時(shí),南橋也會(huì)處于主控設(shè)備狀態(tài)，這樣同一個(gè)Flash設(shè)備同時(shí)存在兩主控設(shè)備連接是無(wú)法正常工作的，其后果也難以預(yù)料。

發(fā)明內(nèi)容

從現(xiàn)有技術(shù)出發(fā)，本發(fā)明的任務(wù)是提供一種服務(wù)器可信平臺(tái)度量控制系統(tǒng)及其運(yùn)行方法，通過(guò)該系統(tǒng)或該方法，可以防止上電的BMC或南橋芯片對(duì)TPCM模塊產(chǎn)生干擾，并且防止BMC和CPU對(duì)未經(jīng)度量的代碼進(jìn)行不期望的讀取，從而保證服務(wù)器的可信運(yùn)行環(huán)境，此外，還能降低采用可信平臺(tái)度量方案所需的改造成本。