本發(fā)明提出了一種基于TPM服務(wù)器資產(chǎn)信息多層保護(hù)的裝置，包括：BMC、CPU、PCH、BIOS、接入設(shè)備、第一TPM、第二TPM，所述BMC通過PCH、CPU獲取接入設(shè)備的第一驗(yàn)證信息，第一TPM用于驗(yàn)證接入設(shè)備的第一驗(yàn)證信息；所述BIOS獲取接入設(shè)備的第二驗(yàn)證信息以及第三驗(yàn)證信息，所述第二TPM用于依次驗(yàn)證接入設(shè)備的第二驗(yàn)證信息以及第三驗(yàn)證信息；其中，第一驗(yàn)證信息驗(yàn)證通過后執(zhí)行第二驗(yàn)證信息的驗(yàn)證，第二驗(yàn)證信息驗(yàn)證通過后執(zhí)行第三驗(yàn)證信息的驗(yàn)證，本發(fā)明還提出了一種基于TPM服務(wù)器資產(chǎn)信息多層保護(hù)的方法，可以對當(dāng)前接入的設(shè)備型號(hào)進(jìn)行甄別，有效的保護(hù)當(dāng)前服務(wù)器的完整性、安全性以及可靠性。

技術(shù)領(lǐng)域

本發(fā)明涉及服務(wù)器資產(chǎn)信息保護(hù)領(lǐng)域，尤其是涉及一種基于TPM服務(wù)器資產(chǎn)信息多層保護(hù)的裝置及方法。

背景技術(shù)

隨著信息技術(shù)的不斷發(fā)展，目前大多數(shù)的服務(wù)器都已支持TPM(TrustedPlatformModule，可信賴平臺(tái)模塊)，旨在對系統(tǒng)安全性進(jìn)行保護(hù)。TPM為一種獨(dú)立產(chǎn)生密鑰以進(jìn)行資料的加密解密的裝置或元件，可有效的避免計(jì)算機(jī)裝置或服務(wù)器裝置的資料被非法用戶存取。

TPM是由可信計(jì)算組織(Trusted Computing Group)定義的可信芯片，其內(nèi)部使用非對稱加密算法，用以提供計(jì)算機(jī)裝置或服務(wù)器裝置的基本安全性相關(guān)功能。TPM包含TPM1.2和TPM2.0，TPM1.2使用I2C協(xié)議，在服務(wù)器上一般與BMC(基板管理控制器)相連，TPM2.0使用SPI(Serial Perripheral Interface，串行外圍設(shè)備接口)協(xié)議，一般與BIOS(基本輸入/輸出系統(tǒng))進(jìn)行交互。二者既可單獨(dú)使用，也可相輔相成，通過固件的配置，可對系統(tǒng)實(shí)現(xiàn)多方面的安全保護(hù)。

一般情況下，對于服務(wù)器硬件設(shè)備來說，TPM只會(huì)對設(shè)備的接入情況進(jìn)行驗(yàn)證，確認(rèn)已接入的設(shè)備是否異常丟失，并不會(huì)更進(jìn)一步對設(shè)備進(jìn)行區(qū)分，在目前設(shè)計(jì)中，一般是TPM1.2芯片與BMC連接，從而對接入設(shè)備的接入狀態(tài)進(jìn)行驗(yàn)證；TPM2.0與BIOS連接，從而確認(rèn)開機(jī)過程中是否存在設(shè)備異常丟失或遭到惡意破壞的現(xiàn)象，保護(hù)當(dāng)前系統(tǒng)的完整性。

但是現(xiàn)有技術(shù)缺點(diǎn)一方面是無法對當(dāng)前接入的設(shè)備型號(hào)進(jìn)行甄別，也無法避免同型號(hào)設(shè)備替換的問題；另一方面，現(xiàn)有技術(shù)中主要是針對接入設(shè)備進(jìn)行單一驗(yàn)證，并不能實(shí)現(xiàn)接入設(shè)備的多層次保護(hù)，不利于服務(wù)器資產(chǎn)信息的立體化、全方面的保護(hù)。

發(fā)明內(nèi)容

本發(fā)明為了解決現(xiàn)有技術(shù)中存在的問題，創(chuàng)新提出了一種基于TPM服務(wù)器資產(chǎn)信息多層保護(hù)的裝置及方法，有效解決由于現(xiàn)有技術(shù)造成服務(wù)器資產(chǎn)信息不能多層次保護(hù)的問題，有效的提高的服務(wù)器資產(chǎn)信息保護(hù)的可靠性。

本發(fā)明第一方面提供了一種基于TPM服務(wù)器資產(chǎn)信息多層保護(hù)的裝置，包括：BMC、CPU、PCH、BIOS、接入設(shè)備、第一TPM、第二TPM，所述BMC的數(shù)據(jù)讀取端與PCH連接，用于通過PCH、CPU獲取接入設(shè)備的第一驗(yàn)證信息，所述BMC的數(shù)據(jù)通信端與第一TPM的驗(yàn)證通信端連接，所述第一TPM用于驗(yàn)證接入設(shè)備的第一驗(yàn)證信息；所述BIOS的數(shù)據(jù)讀取端與PCH連接，獲取接入設(shè)備的第二驗(yàn)證信息以及第三驗(yàn)證信息，所述BIOS的數(shù)據(jù)通信端與第二TPM的驗(yàn)證通信端連接，所述第二TPM用于依次驗(yàn)證接入設(shè)備的第二驗(yàn)證信息以及第三驗(yàn)證信息；所述PCH的第一使能控制端與BIOS的使能端連接，第二使能控制端與第二TPM的使能端連接；其中，第一驗(yàn)證信息驗(yàn)證通過后執(zhí)行第二驗(yàn)證信息的驗(yàn)證，第二驗(yàn)證信息驗(yàn)證通過后執(zhí)行第三驗(yàn)證信息的驗(yàn)證。

可選地，所述接入設(shè)備包括內(nèi)存和/或PCIE設(shè)備。

可選地，第一驗(yàn)證信息為接入設(shè)備的在位信息以及spec信息，第二驗(yàn)證信息為接入設(shè)備的SN號(hào)，第三驗(yàn)證信息為接入設(shè)備的驅(qū)動(dòng)信息。

可選地，BIOS的數(shù)據(jù)讀取端與數(shù)據(jù)通信端共用一個(gè)端口，即BIOS與第二TPM共用一路SPI線路，通過改變SPI線路的頻率選擇BIOS的通信對象。