本發明涉及基于清單比較執行安全動作。本文中公開的示例涉及一種方法，該方法用于獲取包括多個啟動組件的計算的啟動清單，其中啟動清單包括與至少一個處理元件、至少一個存儲器設備、系統板和總線上的總線設備有關的信息。將啟動清單與計算設備進入第一模式時獲取的存儲的清單進行比較，以確定啟動清單和存儲的清單是否匹配。安全動作響應于比較而被執行。

背景技術

服務提供商和制造商面臨例如通過對計算能力的訪問來向消費者交付質量和價值的挑戰。數據中心是用于容納計算機網絡、計算機系統和相關聯的組件(諸如電信和存儲系統)的設施。數據中心、辦公室等可以是由制造商制造的計算設備的終端位置。計算設備可能在其端點(例如，數據中心)處或在運送中受到攻擊。

附圖說明

下面的具體實施方式參考附圖，其中：

圖1和圖2是根據各種示例的、將啟動清單與存儲的清單進行比較以執行安全動作的計算設備的框圖；

圖3是根據示例的用于基于清單比較執行安全動作的方法的流程圖；并且

圖4是根據示例的能夠執行基于清單比較執行安全動作的方法的設備的框圖。

具體實施方式

服務提供商和制造商面臨例如通過對計算能力的訪問來向消費者交付質量和價值的挑戰。數據中心是用于容納計算機網絡、計算機系統和相關聯的組件(諸如電信和存儲系統)的設施。數據中心、辦公室、倉庫等可以是由制造商提供的計算設備的終端位置。計算設備可能在其端點(例如，數據中心)處或在傳輸中受到攻擊。

對于擔心安全性的客戶而言，一個問題是客戶如何可以自信地確定從制造商運送的計算機系統在從計算機制造商到終端客戶的運送的供應鏈中沒有被攻擊或修改。計算機系統從制造商到終端客戶的運送是對可在以后被利用的系統惡意攻擊的機會。示例漏洞利用可以包括交換或添加硬件(例如，諸如具有惡意組件的雙列直插式存儲器模塊的特殊存儲設備，諸如外圍組件互連高速(PCIe)卡的輸入/輸出(I/O)卡)，該硬件可以捕獲并泄露客戶數據或修改配置設置或固件修訂，以降低系統的安全保護。

另一挑戰是當客戶將系統從一個站點運送到另一個站點時或當系統位于非安全端點站點時，保護系統免受攻擊。如果系統正從一個站點被運送到另一個站點或者如果系統不在安全區域中，則其配置設置或硬件配置可能潛在地被修改，使系統處于較不安全的狀態。

因此，本文中描述的方法允許對硬件組件的未經授權的改變、硬件組件的盜用以及要被檢測的硬件組件和/或固件配置的修改。

在一個示例中，實體(例如，在制造過程期間或用戶使系統進入模式(例如，安全運送模式、安全待機模式等)期間的自動過程)，其中計算機系統的數字清單由固件組件(例如，基本輸入輸出系統(BIOS)、基板管理控制器(BMC)、其他固件組件等)創建并被安全地存儲。在該示例中，數字清單然后在每次系統引導時被檢查，并且BIOS將指示：清單是否已經改變。清單的改變指示：系統已經以某種方式被修改。

在一個示例中，當已經選擇安全運送方案作為按訂單配置過程的一部分的客戶接收系統時，或者當已經啟用該模式的用戶自己上電或重新引導(reboot)系統時，通知可以被提供以通知用戶系統處于該模式的操作中，并且系統將基于關于該引導計算的數字清單與安全存儲的數字清單是否匹配，在上電時報告它是否已被泄露。

如果系統未通過數字簽名檢查，則可以進行客戶可配置的安全動作。在一個示例中，安全動作可以包括在沒有密碼的情況下不能將系統上電到操作系統(OS)。在一個示例中，當模式被啟用時，可以通過系統實現該特征的密碼。一種形式的認證(例如，密碼)可以是有益的，因為沒有保護，惡意方可以使系統脫離安全運送/待機模式，危害系統，并且然后使用新的清單使系統回到安全運送/待機模式。