一種用于保護多個計算節點的方法包括對所述計算節點的多個部件中的每一個部件的硬件架構進行認證。所述方法還包括對所述多個部件中的每一個部件的固件進行認證。進一步地，所述方法包括生成認證數據庫，所述認證數據庫包括基于所述經認證的硬件架構和所述經認證的固件的多個認證描述。另外地，用于保護所述多個計算節點的指定子集的策略通過使用所述認證數據庫來實施。

背景技術

在計算節點、計算機系統或主機的機箱或外殼中，可能有數百個可插拔部件，從溫度傳感器和電源到存儲器模塊和處理器。在計算節點的機架或集群中，可能有數千個這樣的部件。然而，每個部件都可能代表安全漏洞，即，潛在的攻擊向量。如果部件是偽造的或包含可能損害計算節點的惡意軟件，則所述部件可能是潛在的攻擊向量。損害部件的一種潛在方式是破壞用于操作部件的固件。即使是如風扇和傳感器等簡單部件，如果被損害，也會因過熱或起火而對計算節點造成損壞。因此，識別被損害部件對于防止部件誤用可能是有用的。

附圖說明

當結合附圖閱讀時，從以下詳細描述中可以理解本公開。根據行業中的標準實踐，各種特征未按比例繪制。實際上，為了論述清楚，各種特征的尺寸可以任意增大或減小。

關于以下附圖描述了本申請的一些示例。

圖1是可以被保護的節點組的示例計算節點。

圖2是用于保護節點組的示例系統。

圖3是用于保護節點組的示例固件度量證書。

圖4是用于保護節點組的示例系統。

圖5是用于生成用于保護節點組的固件度量證書的方法的過程流程圖。

圖6是用于對用于保護節點組的系統中的部件進行認證的消息流程圖。

圖7是用于保護節點組的示例系統。

圖8是用于保護節點組的示例系統。

圖9是用于保護節點組的方法的過程流程圖。

圖10是包括存儲用于保護節點組的代碼的有形非暫態計算機可讀介質的示例系統。

具體實施方式

認證的示例包括使計算節點(即，主機)能夠對兼容的USB部件進行認證的通用串行總線(USB)C型認證。USB C型認證還構成了允許對快速外圍部件互連(PCIe)部件進行認證的潛在的PCIe認證機制的基礎。USB C型和PCIe中的認證模式可以擴展到內部總線以及其他協議和互連件。

部件認證的目的是建立對部件的信任。上文討論的認證機制可以證實部件的硬件來自已知且可信制造商。但是，證實部件來自已知且可信制造商并不意味著部件內部運行的固件是正確且值得信任的。正確可以意指部件中安裝了正確的固件和固件的正確版本。值得信任可以意指可以信任固件不會破壞其上正在運行固件的部件的安全性。

另外地，盡管對每個部件進行認證可能具有挑戰性，但是當考慮到一個計算節點中可能包括多個部件時，挑戰可能會更大。進一步地，計算節點可以組合為節點組，如具有兩個計算節點的機箱外殼，或所有計算節點均位于刀片服務器機架中的機架系統。節點組還可以包括節點集群，所述節點集群可以包括數百個或更多個計算節點，所述計算節點可以包括成千上萬個部件。

但是，這樣的規模可能會帶來附加挑戰。例如，在節點集群規模上，部件發生故障并被更換的總比率可以使得許多計算節點(即使是相同類型且來自相同制造商的計算節點)的系統配置可能與其原始工廠設置有所不同。因此，嘗試使用自動化方法來認證部件并驗證集群中部件的固件可能具有挑戰性。不同的配置可能會減少在集群規模上對原始工廠設置可能做出的假設。因此，在能夠在集群規模上做出這樣的假設的情況下可能會更高效的自動化方法可能沒有用。相反，認證和驗證可能成為定制的，這可能是繁瑣且高成本的。