一種主板啟動權(quán)限控制的授權(quán)加密方法
【專利摘要】本發(fā)明涉及計算機通信領(lǐng)域，具體是利用一種主板啟動權(quán)限控制的授權(quán)加密方法，來解決當前在服務器系統(tǒng)重啟過程中，無法實現(xiàn)服務器硬件的初始化配置啟動狀態(tài)的安全保護問題。本方法保證了服務器系統(tǒng)重啟過程中硬件初始化配置的安全設(shè)計，實現(xiàn)服務器系統(tǒng)可靠性、安全性設(shè)計，對于服務器系統(tǒng)的可維護性具有重要的意義。
【專利說明】 一種主板啟動權(quán)限控制的授權(quán)加密方法
[0001]【技術(shù)領(lǐng)域】
本發(fā)明涉及計算機通信領(lǐng)域，具體是利用一種主板啟動權(quán)限控制的授權(quán)加密方法，來解決當前在服務器系統(tǒng)重啟過程中，無法實現(xiàn)服務器硬件的初始化配置啟動狀態(tài)的安全保護問題。
【背景技術(shù)】
[0002]當今的服務器主板對使用權(quán)限的可靠性設(shè)計要求越來越高，服務器的運算服務承擔著業(yè)務數(shù)據(jù)的核心功能，服務器主板啟動權(quán)限必須經(jīng)過嚴格設(shè)計，防止非管理人員或其他人員的隨意操作帶來業(yè)務數(shù)據(jù)的損失。服務器重啟過程中，主板硬件及整個系統(tǒng)處于安全薄弱的環(huán)節(jié)，硬件的不正常初始化或人為的不正常設(shè)置，可能導致數(shù)據(jù)的不穩(wěn)定。很多情況下需要不斷的升級主板硬件或業(yè)務軟件的不斷升級部署，服務器重啟過程會使服務器處于無保護的操作環(huán)境，為當前的服務器的安全應用目前服務器系統(tǒng)的設(shè)計只能盡可能滿足出廠時配置規(guī)格需求，當用戶升級硬件配置時，這就需要用戶進行服務器硬件的初始化過程以兼容硬件配置。服務器硬件的初始化過程的授權(quán)加密保護至關(guān)重要。
[0003]當前對服務器硬件的初始化配置以兼容硬件配置，新的啟動過程，逐漸成為影響服務器管理安全的關(guān)鍵因素。當前的通常做法是在BIOS中設(shè)置CMOS密碼，運行硬件的初始化配置時，系統(tǒng)會提示并要求用戶輸入正確的操作授權(quán)密碼。該方式一是需要用戶不得清楚還原CMOS，如果設(shè)置后的BIOS firmware被還原，設(shè)置CMOS密碼也即清除，系統(tǒng)無授權(quán)啟動，該方法將不再有效，無法實現(xiàn)真正的系統(tǒng)保護。這種單一在BIOS中設(shè)置CMOS密碼保護方式，無法實現(xiàn)服務器系統(tǒng)的安全需求；隨著對服務器系統(tǒng)硬件的初始化配置安全要求不斷增加，為了保證服務器系統(tǒng)的穩(wěn)定運行，在實際操作運行過程中，如何實現(xiàn)服務器硬件的初始化配置啟動狀態(tài)的安全設(shè)計尤為重要，并成為決定服務器安全性的關(guān)鍵要素之一。

【發(fā)明內(nèi)容】

[0004]針對當前服務器授權(quán)加密設(shè)計過程中遇到的上述問題，結(jié)合數(shù)字方波、協(xié)議模擬等關(guān)鍵電氣因素，通過深入分析，提供了一種主板啟動權(quán)限控制的授權(quán)加密方法。
[0005]本發(fā)明是以控制理論支撐點，具體是利用一種主板啟動權(quán)限控制的授權(quán)加密方法，來解決當前在服務器系統(tǒng)重啟過程中，無法實現(xiàn)服務器硬件的初始化配置啟動狀態(tài)的安全保護問題。本方法保證了服務器系統(tǒng)重啟過程中硬件初始化配置的安全設(shè)計，實現(xiàn)服務器系統(tǒng)可靠性、安全性設(shè)計，對于服務器系統(tǒng)的可維護性具有重要的意義，具體
【發(fā)明內(nèi)容】
可以分為如下六個方面:
1、①在BIOS firmware啟動初始化配置中，設(shè)置授權(quán)加密分支子程序,且無條件進入該子程序，強制每次初始化前必須進入此程序；
②授權(quán)加密分支子程序在服務器系統(tǒng)出廠前完成對所有硬件配置掃描，并將配置信息保存于非易失性NVSRAM中。
[0006]③服務器系統(tǒng)出廠后，上電重啟過程中，授權(quán)加密分支子程序?qū)⒅匦峦瓿蓪λ杏布渲脪呙?，并將實時獲取的配置信息與保存于非易失性NVSRAM中配置信息相比對，若發(fā)現(xiàn)任何變動，將停留在報警界面。整個重啟過程被暫停。
[0007]④實際服務器主板的使用中，當用戶需要進行硬件擴配及減配時，需要獲取對應設(shè)備的啟用或停用指令來通知授權(quán)加密分支子程序，指令的獲取需要通過南橋外置的SMBUS總線存儲設(shè)備來實現(xiàn)。
[0008]⑤授權(quán)加密分支子程序同時完成對硬件寄存器配置的監(jiān)測，當新擴配的硬件地址分配在其他硬件已占有、新擴配的硬件試圖控制其他硬件做讀寫操作時，會提示并要求用戶授權(quán)指令，實現(xiàn)授權(quán)加密功能，用戶需要接入授權(quán)設(shè)備才可正常啟動服務器。
[0009]2、在BIOS firmware啟動初始化配置中，設(shè)置授權(quán)加密分支子程序，且無條件進入該子程序，強制每次初始化前必須進入此程序，授權(quán)加密分支子程序的位置為硬件掃描子程序前，防止其他硬件設(shè)備的對授權(quán)加密分支子程序干擾；只有當所有的硬件變動及寄存器合法時，才會正常退出該子程序。當監(jiān)測異常時會主動發(fā)出報警界面提示，同時控制主板上的蜂鳴器進行聲音報警。
[0010]3、授權(quán)加密分支子程序在服務器系統(tǒng)出廠前完成對所有硬件配置掃描，并將配置信息保存于非易失性NVSRAM中，根據(jù)用戶的配置要求，服務器出廠前將配置信息進行掃描，包括硬件的型號、緩存容量、操作權(quán)限等。通過南橋的SPI總線將上述硬件配置信息寫入外掛的非易失性NVSRAM中，NVSRAM的寫保護pin由南橋設(shè)置為有效，即NVSRAM的內(nèi)容不再允許更改，作為出場后的比對基礎(chǔ)。
[0011]4、服務器系統(tǒng)出廠后，上電重啟過程中，授權(quán)加密分支子程序?qū)⒅匦峦瓿蓪λ杏布渲脪呙?，并將實時獲取的配置信息與保存于非易失性NVSRAM中配置信息相比對，若發(fā)現(xiàn)任何參數(shù)的更改及變動，將停留在報警界面，為防止部分欺騙性硬件信息的認為加入，授權(quán)加密分支子程序會調(diào)用底層的硬件驅(qū)動去跟對應的配置做交互，確認硬件符合原有的規(guī)格。
[0012]5、實際服務器主板的使用中，當用戶需要進行硬件擴配及減配時，需要獲取對應設(shè)備的啟用或停用指令來通知授權(quán)加密分支子程序，指令的獲取需要通過南橋外置的SMBUS總線存儲設(shè)備來實現(xiàn)，外置的SMBUS存儲設(shè)備內(nèi)容由服務器硬件提供商根據(jù)擴配及減配硬件的產(chǎn)品標示，結(jié)合讀寫指令生成。
[0013]6、授權(quán)加密分支子程序同時完成對硬件寄存器配置的監(jiān)測，當新擴配的硬件地址分配在其他硬件已占有、新擴配的硬件試圖控制其他硬件做讀寫操作時，會提示并要求用戶授權(quán)指令，指令的獲取需要通過南橋外置的LPC總線存儲設(shè)備來實現(xiàn)，外置的LPC總線存儲設(shè)備內(nèi)容由新擴配的硬件供應商的硬件讀寫規(guī)則生成。
[0014]本發(fā)明的有益效果是:
本方法解決了當前在服務器系統(tǒng)重啟過程中，無法實現(xiàn)服務器硬件的初始化配置啟動狀態(tài)的安全保護問題。保證了服務器系統(tǒng)重啟過程中硬件初始化配置的安全設(shè)計，實現(xiàn)服務器系統(tǒng)可靠性、安全性設(shè)計，實現(xiàn)低成本要求，對于服務器系統(tǒng)的可維護性具有重要的意義。
[0015]【專利附圖】

【附圖說明】
附圖1是本發(fā)明的實施流程圖?！揪唧w實施方式】
[0016]下面對本發(fā)明的內(nèi)容進行更加詳細的闡述:
①研發(fā)工程師在BIOSfirmware啟動初始化配置中，設(shè)置無條件進入的授權(quán)加密分支子程序，強制每次初始化前必須進入此程序；
②授權(quán)加密分支子程序在服務器系統(tǒng)出廠前完成所有硬件配置掃描，并將配置信息保存于非易失性NVSRAM中。
[0017]③服務器系統(tǒng)出廠后，上電重啟過程中，授權(quán)加密分支子程序?qū)⒅匦峦瓿蓪λ杏布渲脪呙?，并將實時獲取的配置信息與保存于非易失性NVSRAM中配置信息相比對，若發(fā)現(xiàn)任何變動，將停留在報警界面。整個重啟過程被暫停。
[0018]④實際服務器主板的使用中，當用戶需要進行硬件擴配及減配時，需要獲取對應設(shè)備的啟用或停用指令來通知授權(quán)加密分支子程序，指令的獲取需要通過南橋外置的SMBUS總線存儲設(shè)備來實現(xiàn)。
[0019]⑤授權(quán)加密分支子程序同時完成對硬件寄存器配置的監(jiān)測，當新擴配的硬件地址分配在其他硬件已占有、新擴配的硬件試圖控制其他硬件做讀寫操作時，實現(xiàn)授權(quán)加密功能，用戶需要接入授權(quán)設(shè)備才可正常啟動服務器。
[0020]經(jīng)過上面詳細的實施，我們可以很方便的實現(xiàn)服務器授權(quán)安全設(shè)計，不僅達到了安全設(shè)計要求，而且實現(xiàn)低成本要求，實現(xiàn)服務器系統(tǒng)重啟過程中硬件初始化的可靠性、穩(wěn)定性。
【權(quán)利要求】
1.一種主板啟動權(quán)限控制的授權(quán)加密方法，其特征在于包括如下方面: ①在BIOSfirmware啟動初始化配置中，設(shè)置授權(quán)加密分支子程序,且無條件進入該子程序，強制每次初始化前必須進入此程序； ②授權(quán)加密分支子程序在服務器系統(tǒng)出廠前完成對所有硬件配置掃描，并將配置信息保存于非易失性NVSRAM中； ③服務器系統(tǒng)出廠后，上電重啟過程中，授權(quán)加密分支子程序?qū)⒅匦峦瓿蓪λ杏布渲脪呙?，并將實時獲取的配置信息與保存于非易失性NVSRAM中配置信息相比對，若發(fā)現(xiàn)任何變動，將停留在報警界面；整個重啟過程被暫停； ④實際服務器主板的使用中，當用戶需要進行硬件擴配及減配時，需要獲取對應設(shè)備的啟用或停用指令來通知授權(quán)加密分支子程序，指令的獲取需要通過南橋外置的SMBUS總線存儲設(shè)備來實現(xiàn)； ⑤授權(quán)加密分支子程序同時完成對硬件寄存器配置的監(jiān)測，當新擴配的硬件地址分配在其他硬件已占有、新擴配的硬件試圖控制其他硬件做讀寫操作時，會提示并要求用戶授權(quán)指令，實現(xiàn)授權(quán)加密功能，用戶需要接入授權(quán)設(shè)備才可正常啟動服務器。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于在第①方面中，授權(quán)加密分支子程序的位置為硬件掃描子程序前，防止其他硬件設(shè)備的對授權(quán)加密分支子程序干擾；只有當所有的硬件變動及寄存器合法時，才會正常退出該子程序；當監(jiān)測異常時會主動發(fā)出報警界面提示，同時控制主板上的蜂鳴器進行聲音報警。
3.根據(jù)權(quán)利要求1所述的方法，其特征在于在第②方面中，根據(jù)用戶的配置要求，服務器出廠前將配置信息進行掃描，包括硬件的型號、緩存容量、操作權(quán)限等；通過南橋的SPI總線將上述硬件配置信息寫入外掛的非易失性NVSRAM中，NVSRAM的寫保護pin由南橋設(shè)置為有效，即NVSRAM的內(nèi)容不再允許更改，作為出場后的比對基礎(chǔ)。
4.根據(jù)權(quán)利要求1所述的方法，其特征在于在第③方面中，為防止部分欺騙性硬件信息的認為加入，授權(quán)加密分支子程序會調(diào)用底層的硬件驅(qū)動去跟對應的配置做交互，確認硬件符合原有的規(guī)格。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于在第④方面中，外置的SMBUS存儲設(shè)備內(nèi)容由服務器硬件提供商根據(jù)擴配及減配硬件的產(chǎn)品標示，結(jié)合讀寫指令生成。
6.根據(jù)權(quán)利要求1所述的方法，其特征在于在第⑤方面中，指令的獲取需要通過南橋外置的LPC總線存儲設(shè)備來實現(xiàn)，外置的LPC總線存儲設(shè)備內(nèi)容由新擴配的硬件供應商的硬件讀寫規(guī)則生成。
【文檔編號】G06F21/71GK103996001SQ201410214133
【公開日】2014年8月20日 申請日期:2014年5月21日 優(yōu)先權(quán)日:2014年5月21日
【發(fā)明者】劉濤 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司