本發(fā)明涉及bmc領(lǐng)域,尤其涉及一種具有訪問(wèn)控制功能的bmc可信配置方法。
背景技術(shù):
bmc是基板管理控制器,目前已廣泛應(yīng)用于服務(wù)器領(lǐng)域。利用虛擬的鍵盤(pán)、界面、鼠標(biāo)、電源等為服務(wù)器提供遠(yuǎn)程管理功能。用戶利用bmc監(jiān)視服務(wù)器的物理特征,如各部件的溫度、電壓、風(fēng)扇工作狀態(tài)、電源供應(yīng)以及機(jī)箱入侵等。bmc作為服務(wù)器中相對(duì)獨(dú)立的管理控制單元本身存在著安全風(fēng)險(xiǎn),例如被植入惡意代碼,此外用戶在使用bmc對(duì)服務(wù)器進(jìn)行遠(yuǎn)程管理時(shí),可能因安全配置不當(dāng),如密碼復(fù)雜度低等不安全操作,造成運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)。隨著信息技術(shù)的發(fā)展bmc芯片雖然實(shí)現(xiàn)了在安全方面有部分提高,但是在應(yīng)用過(guò)程中還存在安全和可信度的提高,所以如何提高bmc芯片的安全和可信度是當(dāng)前丞待解決的技術(shù)問(wèn)題。
技術(shù)實(shí)現(xiàn)要素:
為了克服上述現(xiàn)有技術(shù)中的不足,本發(fā)明提供一種具有訪問(wèn)控制功能的bmc可信配置方法,bmc可信配置方法包括:
開(kāi)啟bmc可信功能模塊;
配置的bmc基準(zhǔn)值;
呈現(xiàn)bmc固件可信狀態(tài);
呈現(xiàn)bios可信狀態(tài)。
優(yōu)選地,步驟開(kāi)啟可信功能模塊還包括:
開(kāi)啟bmc固件的完整性度量功能以及開(kāi)啟biosbootblock完整性的度量功能。
優(yōu)選地,開(kāi)啟可信功能模塊還包括:
在web管理界面設(shè)置對(duì)應(yīng)的可信功能模塊開(kāi)啟/關(guān)閉按鍵供用戶選擇;
若選定關(guān)閉bmc可信功能模塊,bmc不執(zhí)行bmc可信功能模塊,僅作為普通的方式啟動(dòng)bmc。
優(yōu)選地,步驟配置的bmc基準(zhǔn)值還包括:以度量值作為基準(zhǔn)值和以手動(dòng)輸入為基準(zhǔn)值;
以度量值作為基準(zhǔn)值包括:在web管理界面內(nèi)提供特權(quán)碼輸入?yún)^(qū);
用戶在特權(quán)碼輸入?yún)^(qū)內(nèi)輸入特權(quán)碼,特權(quán)碼是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;
以手動(dòng)輸入為基準(zhǔn)值包括:在web管理界面內(nèi)提供手動(dòng)輸入基準(zhǔn)值輸入?yún)^(qū),供用戶手動(dòng)輸入基準(zhǔn)值。
優(yōu)選地,步驟呈現(xiàn)bmc固件可信狀態(tài)還包括:
呈現(xiàn)bmc固件基準(zhǔn)值;
呈現(xiàn)bmc固件度量值;
將bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),呈現(xiàn)并配置的比對(duì)結(jié)果;
呈現(xiàn)bmc固件基準(zhǔn)值包括:web管理界面中顯示的bmc固件基準(zhǔn)值是在出廠后由用戶設(shè)置的uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的應(yīng)用程序的擴(kuò)展哈希值;基準(zhǔn)值的更新通過(guò)預(yù)設(shè)可信代理程序提供的配置接口進(jìn)行;
呈現(xiàn)bmc固件度量值包括:web管理界面中顯示的bmc固件的度量值是uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的應(yīng)用程序的擴(kuò)展哈希值。
優(yōu)選地,將bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),呈現(xiàn)并配置的比對(duì)結(jié)果包括:bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),根據(jù)bmc固件的基準(zhǔn)值與bmc固件的度量值的比對(duì)結(jié)果,進(jìn)行配置操作。
優(yōu)選地,進(jìn)行配置操作包括:
bmc固件的基準(zhǔn)值和bmc固件的度量值比對(duì)一致時(shí),提示信息為“可信”;
bmc固件的基準(zhǔn)值和bmc固件的度量值比對(duì)不一致時(shí),提示信息為“不可信”,同時(shí)顯示“輸入特權(quán)碼”和“更新bmc固件基準(zhǔn)值”兩個(gè)功能按鍵;
如果選定“輸入特權(quán)碼”按鍵,需要輸入特權(quán)碼進(jìn)行特權(quán)啟動(dòng),使bmc固件進(jìn)入不可信狀態(tài);
如果選定“更新bmc固件基準(zhǔn)值”按鍵,在web管理界面內(nèi)提供bmc固件基準(zhǔn)值輸入?yún)^(qū);
用戶在bmc固件基準(zhǔn)值輸入?yún)^(qū)內(nèi)輸入bmc固件基準(zhǔn)值,bmc固件基準(zhǔn)值是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)bmc固件基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;
設(shè)置完成后重啟bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì)。
優(yōu)選地,步驟呈現(xiàn)bios可信狀態(tài)還包括:
當(dāng)bmc固件確認(rèn)可信后,開(kāi)啟bmc中的biosbootblock啟動(dòng),并在web頁(yè)面開(kāi)啟biosbootblock可信狀態(tài)比對(duì)。
優(yōu)選地,步驟biosbootblock可信狀態(tài)比對(duì)還包括:
呈現(xiàn)biosbootblock的基準(zhǔn)值;
呈現(xiàn)biosbootblock的度量值;
biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置;
呈現(xiàn)biosbootblock的基準(zhǔn)值包括:在web頁(yè)面中顯示的biosbootblock基準(zhǔn)值;biosbootblock基準(zhǔn)值的更新通過(guò)預(yù)設(shè)可信代理程序提供的配置接口進(jìn)行;
呈現(xiàn)biosbootblock的度量值包括:在web頁(yè)面中顯示bmc可信代理程序度量的biosbootblock哈希值;
biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置,根據(jù)biosbootblock的基準(zhǔn)值與biosbootblock的哈希值進(jìn)行比對(duì),根據(jù)對(duì)比結(jié)果進(jìn)行配置操作。
優(yōu)選地,biosbootblock的哈希值與biosbootblock的基準(zhǔn)值比對(duì)一致時(shí),提示信息為“可信”;
biosbootblock的哈希值與biosbootblock的基準(zhǔn)值比對(duì)不一致時(shí),提示信息為“不可信”,同時(shí)顯示“輸入特權(quán)碼”和“更新biosbootblock基準(zhǔn)值”,使用戶選擇操作;
當(dāng)選定“輸入特權(quán)碼”,輸入特權(quán)碼進(jìn)行特權(quán)啟動(dòng),使biosbootblock進(jìn)入不可信狀態(tài),維護(hù)系統(tǒng)相關(guān)配置;
當(dāng)選定“更新biosbootblock基準(zhǔn)值”,在web管理界面內(nèi)提供biosbootblock基準(zhǔn)值輸入?yún)^(qū);
用戶在biosbootblock基準(zhǔn)值輸入?yún)^(qū)內(nèi)輸入biosbootblock基準(zhǔn)值,biosbootblock基準(zhǔn)值是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;
設(shè)置完成后重啟biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置。
從以上技術(shù)方案可以看出,本發(fā)明具有以下優(yōu)點(diǎn):
本發(fā)明在bmcweb管理界面加入可信功能模塊,可信功能模塊的開(kāi)啟、基準(zhǔn)值的配置、bmc固件可信狀態(tài)的呈現(xiàn)和bios可信狀態(tài)的呈現(xiàn)。在bmc上電啟動(dòng)過(guò)程中對(duì)bmc固件和bios關(guān)鍵代碼進(jìn)行完整性度量,確保程序的完整性,從而建立起系統(tǒng)平臺(tái)的可信執(zhí)行環(huán)境。從而對(duì)bmc進(jìn)行加固,在bmc啟動(dòng)運(yùn)行過(guò)程中對(duì)bmc固件和bios進(jìn)行完整性的度量,確保程序的完整性和沒(méi)有被植入惡意代碼,建立起bmc啟動(dòng)過(guò)程的完整信任鏈,保證了系統(tǒng)平臺(tái)執(zhí)行環(huán)境的可信,
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明的技術(shù)方案,下面將對(duì)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1為具有訪問(wèn)控制功能的bmc可信配置方法流程圖;
圖2為可信功能模塊的開(kāi)啟/關(guān)閉示意圖;
圖3為基準(zhǔn)值配置呈現(xiàn)示意圖;
圖4為輸入特權(quán)碼的呈現(xiàn)方式示意圖;
圖5為手動(dòng)輸入基準(zhǔn)值的呈現(xiàn)方式示意圖;
圖6為bmc固件可信時(shí)呈現(xiàn)方式示意圖;
圖7為bmc固件不可信時(shí)的呈現(xiàn)方式示意圖;
圖8為biosbootblock可信時(shí)呈現(xiàn)方式示意圖;
圖9為biosbootblock不可信時(shí)呈現(xiàn)方式示意圖。
具體實(shí)施方式
為使得本發(fā)明的發(fā)明目的、特征、優(yōu)點(diǎn)能夠更加的明顯和易懂,下面將運(yùn)用具體的實(shí)施例及附圖,對(duì)本發(fā)明保護(hù)的技術(shù)方案進(jìn)行清楚、完整地描述,顯然,下面所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而非全部的實(shí)施例。基于本專(zhuān)利中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其它實(shí)施例,都屬于本專(zhuān)利保護(hù)的范圍。
本實(shí)施例提供一種具有訪問(wèn)控制功能的bmc可信配置方法,如圖1所示,bmc可信配置方法包括:
s1:開(kāi)啟bmc可信功能模塊;
s2:配置的bmc基準(zhǔn)值;
s3:呈現(xiàn)bmc固件可信狀態(tài);
s4:呈現(xiàn)bios可信狀態(tài)。
在本實(shí)施例中,步驟開(kāi)啟可信功能模塊還包括:開(kāi)啟bmc固件的完整性度量功能以及開(kāi)啟biosbootblock完整性的度量功能。
具體的,如附圖2所示,在web管理界面設(shè)置對(duì)應(yīng)的可信功能模塊開(kāi)啟/關(guān)閉按鍵供用戶選擇;若選定關(guān)閉bmc可信功能模塊,bmc不執(zhí)行bmc可信功能模塊,僅作為普通的方式啟動(dòng)bmc。
在本實(shí)施例中,步驟配置的bmc基準(zhǔn)值還包括:如附圖3所示,以度量值作為基準(zhǔn)值和以手動(dòng)輸入為基準(zhǔn)值;以度量值作為基準(zhǔn)值包括:在web管理界面內(nèi)提供特權(quán)碼輸入?yún)^(qū);用戶在特權(quán)碼輸入?yún)^(qū)內(nèi)輸入特權(quán)碼,如附圖4所示,特權(quán)碼是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;如附圖5所示,以手動(dòng)輸入為基準(zhǔn)值包括:在web管理界面內(nèi)提供手動(dòng)輸入基準(zhǔn)值輸入?yún)^(qū),供用戶手動(dòng)輸入基準(zhǔn)值。
在本實(shí)施例中,步驟呈現(xiàn)bmc固件可信狀態(tài)還包括:
呈現(xiàn)bmc固件基準(zhǔn)值;
呈現(xiàn)bmc固件度量值;
將bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),呈現(xiàn)并配置的比對(duì)結(jié)果;
呈現(xiàn)bmc固件基準(zhǔn)值包括:web管理界面中顯示的bmc固件基準(zhǔn)值是在出廠后由用戶設(shè)置的uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的應(yīng)用程序的擴(kuò)展哈希值;基準(zhǔn)值的更新通過(guò)預(yù)設(shè)可信代理程序提供的配置接口進(jìn)行;
呈現(xiàn)bmc固件度量值包括:web管理界面中顯示的bmc固件的度量值是uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的應(yīng)用程序的擴(kuò)展哈希值。
其中,將bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),呈現(xiàn)并配置的比對(duì)結(jié)果包括:bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì),根據(jù)bmc固件的基準(zhǔn)值與bmc固件的度量值的比對(duì)結(jié)果,進(jìn)行配置操作。
進(jìn)行配置操作包括:如附圖7所示,
bmc固件的基準(zhǔn)值和bmc固件的度量值比對(duì)一致時(shí),提示信息為“可信”;
bmc固件的基準(zhǔn)值和bmc固件的度量值比對(duì)不一致時(shí),提示信息為“不可信”,同時(shí)顯示“輸入特權(quán)碼”和“更新bmc固件基準(zhǔn)值”兩個(gè)功能按鍵;
如果選定“輸入特權(quán)碼”按鍵,需要輸入特權(quán)碼進(jìn)行特權(quán)啟動(dòng),使bmc固件進(jìn)入不可信狀態(tài);
如果選定“更新bmc固件基準(zhǔn)值”按鍵,在web管理界面內(nèi)提供bmc固件基準(zhǔn)值輸入?yún)^(qū);
用戶在bmc固件基準(zhǔn)值輸入?yún)^(qū)內(nèi)輸入bmc固件基準(zhǔn)值,bmc固件基準(zhǔn)值是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)bmc固件基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;設(shè)置完成后重啟bmc固件的基準(zhǔn)值和bmc固件的度量值進(jìn)行比對(duì)。
在本實(shí)施例中,步驟呈現(xiàn)bios可信狀態(tài)還包括:如附圖8和9所示,
當(dāng)bmc固件確認(rèn)可信后,開(kāi)啟bmc中的biosbootblock啟動(dòng),并在web頁(yè)面開(kāi)啟biosbootblock可信狀態(tài)比對(duì)。
步驟biosbootblock可信狀態(tài)比對(duì)還包括:
呈現(xiàn)biosbootblock的基準(zhǔn)值;
呈現(xiàn)biosbootblock的度量值;
biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置;
呈現(xiàn)biosbootblock的基準(zhǔn)值包括:在web頁(yè)面中顯示的biosbootblock基準(zhǔn)值;biosbootblock基準(zhǔn)值的更新通過(guò)預(yù)設(shè)可信代理程序提供的配置接口進(jìn)行;
呈現(xiàn)biosbootblock的度量值包括:在web頁(yè)面中顯示bmc可信代理程序度量的biosbootblock哈希值;
biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置,根據(jù)biosbootblock的基準(zhǔn)值與biosbootblock的哈希值進(jìn)行比對(duì),根據(jù)對(duì)比結(jié)果進(jìn)行配置操作。
biosbootblock的哈希值與biosbootblock的基準(zhǔn)值比對(duì)一致時(shí),提示信息為“可信”;
biosbootblock的哈希值與biosbootblock的基準(zhǔn)值比對(duì)不一致時(shí),提示信息為“不可信”,同時(shí)顯示“輸入特權(quán)碼”和“更新biosbootblock基準(zhǔn)值”,使用戶選擇操作;
當(dāng)選定“輸入特權(quán)碼”,輸入特權(quán)碼進(jìn)行特權(quán)啟動(dòng),使biosbootblock進(jìn)入不可信狀態(tài),維護(hù)系統(tǒng)相關(guān)配置;
當(dāng)選定“更新biosbootblock基準(zhǔn)值”,在web管理界面內(nèi)提供biosbootblock基準(zhǔn)值輸入?yún)^(qū);
用戶在biosbootblock基準(zhǔn)值輸入?yún)^(qū)內(nèi)輸入biosbootblock基準(zhǔn)值,biosbootblock基準(zhǔn)值是用戶設(shè)置的密碼,只有用戶自己擁有,對(duì)基準(zhǔn)值的操作增加了訪問(wèn)控制權(quán)限,保證bmc的管理安全;
設(shè)置完成后重啟biosbootblock的度量值與biosbootblock的基準(zhǔn)值進(jìn)行比對(duì)及配置。
對(duì)所公開(kāi)的實(shí)施例的上述說(shuō)明,使本領(lǐng)域?qū)I(yè)技術(shù)人員能夠?qū)崿F(xiàn)或使用本發(fā)明。對(duì)這些實(shí)施例的多種修改對(duì)本領(lǐng)域的專(zhuān)業(yè)技術(shù)人員來(lái)說(shuō)將是顯而易見(jiàn)的,本文中所定義的一般原理可以在不脫離本發(fā)明的精神或范圍的情況下,在其它實(shí)施例中實(shí)現(xiàn)。因此,本發(fā)明將不會(huì)被限制于本文所示的這些實(shí)施例,而是要符合與本文所公開(kāi)的原理和新穎特點(diǎn)相一致的最寬的范圍。