本發明公開了一種基于BMC的服務器硬件可信性保護方法及裝置，先進行可信硬件部件基準值設定，對基準值進行加密處理，再將其寫入服務器FRU里可供使用的記錄區域；然后進行硬件部件可信性度量，通過BMC獲取服務器目標硬件部件信息，解析、提取所需目標字段；再完成硬件可信性驗證，判斷所獲取的部件信息與基準值是否匹配，若不匹配，則服務器硬件不可信，進行關機操作，反之，即為可信，服務器繼續運行。本發明使服務器硬件部件的可信性檢查簡便、自動、高效，節約時間、成本，不依賴于BIOS/EFI和操作系統，增加服務器硬件的安全性。

技術領域

本發明涉及計算機服務器技術領域，具體的說是一種基于BMC的服務器硬件可信性保護方法，。

背景技術

服務器硬件可信是云計算、大數據安全的基礎。如果有攻擊者將服務器的某個硬件部件替換成了一個植入有后門的部件，或者插入一個新的具有后門的部件，將會造成巨大的安全風險。就算有代理商只是將某個原廠硬件部件替換成了一個低品質的部件，對于數據和計算的可靠性也會形成一定的風險。現有服務器硬件可信性保護方法，主要是通過管理員人工檢查來完成。在有大量服務器存在的場景下，這會耗費巨大的人力資源，且不能及時發現服務器硬件可信受到損害的異常情況。基于此，現提供一種基于BMC的服務器硬件可信性保護方法。

BMC是服務器基板管理控制器，其并不依賴于服務器的處理器、BIOS或操作系統來工作，是一個單獨在系統內運行的管理子系統。用戶使用IPMI接口或Redfish API接口，可通過本地和網絡兩種方式，獲取服務器的監測信息，實現對服務器的帶外管理功能。

傳統服務器的現場可更換單元FRU里只存有服務器整機名稱、序列號、出場日期等信息。FRU存儲器通常通過I2C總線與BMC相連。用戶可通過BMC在獲得授權的情況下，對FRU進行寫操作。

發明內容

為了克服上述現有技術的不足，本發明提供一種基于BMC的服務器硬件可信性保護方法。

一種基于BMC的服務器硬件可信性保護方法，其特征在于，其步驟包括：

步驟1：進行可信硬件部件基準值設定，對基準值進行加密處理，再將其寫入服務器FRU里可供使用的記錄區域，具體是：從輸入中獲得可信的相關服務器硬件部件的基準值，根據FRU數據規范，加密、存儲基準值，存儲操作需獲得授權，具體包括：

步驟1.1、輸入服務器BMC用戶口令，從預先存儲好的文件中讀取服務器硬件部件的可信基準值，可信基準值的輸入不局限于從文件中獲取，也可由管理員通過圖形界面手動輸入。對可信基準值進行加密、處理，加密算法可以是SM4、AES、3DES，不局限于某一種特定算法。在每條加了密的可信基準值之間添加分隔符，并在不同部件的加了密的可信基準值開始和結束部分添加起始符和結束符，用于區分不同部件的可信基準值。這些標識符格式可按需求自行定義，不局限于某一種。最后，將處理后的數據組織成FRU規范格式；

步驟1.2、使用IPMItool工具調用IPMI命令將處理后的可信基準值寫入服務器FRU里可供使用的記錄區域，完成FRU寫操作，但本發明不限于使用IPMItool工具，也不限于使用IPMI接口，也可使用Redfish接口。

步驟2：進行硬件部件可信性度量，通過BMC獲取服務器目標硬件部件信息，解析、提取所需目標字段，所述硬件部件信息是字節數據流，解析、提取字段；

步驟3：先從FRU中讀取加密的基準值，再執行解密操作，然后完成硬件可信性驗證，判斷所獲取的部件信息與基準值是否匹配，若不匹配，則服務器硬件不可信，進行關機操作，反之，即為可信，服務器繼續運行。

在上述的一種基于BMC的服務器硬件可信性保護方法，所述步驟2具體包括：