本发明涉及服务器安全技术领域,具体来说涉及一种基于服务处理器作为可更新信任根源的bios更新方法。
背景技术:
bios在现代计算机系统架构中的独特与特权,使其成为一些病毒木马的重要攻击目标,恶意软件对bios固件未经授权的修改对其构成了重大威胁。恶意的bios修改可能是对组织进行复杂、有针对性攻击的一部分—永久拒绝服务或持续存在的恶意软件。
认证更新机制采用数字签名来确保固件更新映像的真实性。使用认证更新机制的固件映像的更新依赖于包含签名验证算法的信任根源更新(rtu)和包括在固件更新映像上验证签名所需公钥的密钥存储。密钥存储和签名验证算法以受保护的方式存储在计算机系统上,并且只能通过使用经认证的更新机制或安全的本地更新机制来修改。rtu中的密钥存储器包括用于在固件更新映像上验证签名的公共密钥,或者如果公钥的副本被提供有固件更新映像,则包括公钥的散列。在后一种情况下,更新机制对固件更新映像提供的公共密钥进行散列,并且在使用所提供的公钥之前确保它与出现在密钥存储器中的哈希匹配,以验证固件更新映像上的签名。
然而,由于需要远程管理服务器的架构和操作的复杂性,使得以与客户端相同的方式实现bios安全保护更加困难,增加困难的核心原因在于服务器通常具有多个bios更新机制。另外,一些服务器具有一个或多个服务处理器(sp),sp对主机执行各种管理功能,其中包括bios的更新。基于此,本发明引入sp作为安全关键组件,提供一种基于服务处理器作为可更新信任根源的bios更新方法。
技术实现要素:
本发明提供一种基于服务处理器作为可更新信任根源的bios更新方法,将服务处理器作为bios更新过程中的可信任更新根源,确保用户在客户端对bios进行更新的过程中所使用的bios镜像文件的合法性和完整性,保证服务器产品的安全。
本发明解决技术问题的技术方案是:
一种基于服务处理器作为可更新信任根源的bios更新方法,包括:
将客户端可控制的服务处理器作为bios更新过程的可信任更新根源;
rtu验证bios更新映像文件,确定bios更新映像文件可信后配置锁定机制,使得只有rtu具有对bios进行访问及写入操作的权利。
基于上述方案,本方法做如下优化:
如上所述的基于服务处理器作为可更新信任根源的bios更新方法,所述方法具体包括下述步骤:
将经数字签名的bios更新映像传送至rtu;
rtu将所接收的经过数字签名的bios更新映像存储至只能由rtu写入的位置;
rtu验证bios更新映像,如果bios更新映像验证失败,则不被写入bios闪存;如果bios更新映像验证成功,则rtu配置锁定机制,使得只有rtu可以访问并对bios进行写入操作;
rtu将bios更新映像写入bios闪存。
作为优化,为满足固件完整性的保护要求,所述rtu在将控制权转移到rtu外的代码之前将bios闪存锁定。所述服务处理器闪存上存储的代码、加密密钥和静态数据通过认证更新机制进行更新,服务处理器的环境中只执行认证代码,且用户获得授权后方可与服务处理器进行交互。
作为优化,所述rtu在验证bios更新映像文件之前,与服务处理器进行通信,以检查是否存在候选bios更新映像。如果服务处理器指示存在候选bios更新映像,则从服务处理器读取到主机存储器,并进行验证;如果服务处理器指示不存在候选bios更新映像,或者如果候选bios更新映像验证失败,则bios将通过spi控制器交互锁定bios闪存,以锁定直到重置包含bios映像的扇区。当锁定置1时,对该spi扇区锁定寄存器的访问变为只读,因此无法修改锁定至复位设置。所述扇区锁定在退出bios的rtu部分之前完成。
进一步的,当服务处理器指示存在候选bios更新映像且bios更新映像文件验证成功,则系统bios通过与spi闪存控制器交互来执行系统闪存的更新,bios更新完成后,系统bios将强制重新启动系统并从新映像重新启动执行。
启动bios更新时,服务器主机上的系统管理软件可以与服务处理器进行交互,以发送bios更新映像存储至服务处理器环境中供bios访问。或者,候选bios更新图像经由服务处理器以太网的带外通信到达服务处理器。
作为系统bios一部分实现的rtu在系统复位时可以控制主机端,服务器的所有串行外设接口闪存扇区在系统复位时都被解锁。
上述技术方案具有如下优点或有益效果:
本发明的一种基于服务处理器作为可更新信任根源的bios更新方法,其将客户端可控制的服务处理器作为bios更新过程的可信任更新根源,然后通过rtu验证bios更新映像,如果bios更新映像验证失败则不被写入bios闪存;如果bios更新映像验证成功则rtu配置锁定机制,并将bios更新映像写入bios闪存。采用本bios更新方法,可以在服务器的许多操作状态期间发生bios闪存的安全更新。本发明将服务处理器作为bios更新过程的可信任更新根源,确保用户在从客户端对bios进行更新的过程中使用的bios镜像文件的合法性和完整性,对于包括一个或多个服务处理器的服务器来说具有更加安全的更新bios,确保了公司服务器产品的安全,提升了bios更新效率,减少bios更新过程中的出错率。
附图说明
图1是本发明实施例提供的一种基于服务处理器作为可更新信任根源的bios更新方法的实现流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了方便对实施例的理解,首先对实施例中涉及的缩略词和关键术语予以解释和说明。
sp:serviceprocessor,服务处理器;
rot:rootoftrust,可信任根源;
rtu:rootoftrustforupdate,可更新信任根源;
bios:basicinputoutputsystem,基本输入输出系统;
spi:serialperipheralinterface,串行外设接口.
如图1所示,本实施例提供的一种基于服务处理器作为可更新信任根源的bios更新方法,所述方法具体包括下述步骤:
将经数字签名的bios更新映像传送至rtu;
rtu将所接收的经过数字签名的bios更新映像存储至只能由rtu写入的位置;
rtu验证bios更新映像,如果bios更新映像验证失败,则不被写入bios闪存;如果bios更新映像验证成功,则rtu配置锁定机制,使得只有rtu可以访问并对bios进行写入操作;
rtu将bios更新映像写入bios闪存。
具体而言,为满足固件完整性的保护要求,所述rtu在将控制权转移到rtu外的代码之前将bios闪存锁定。所述服务处理器闪存上存储的代码、加密密钥和静态数据通过认证更新机制进行更新,服务处理器的环境中只执行认证代码,且用户获得授权后方可与服务处理器进行交互。
启动bios更新时,服务器主机上的系统管理软件可以与服务处理器进行交互,以发送bios更新映像存储至服务处理器环境中供bios访问。或者,候选bios更新图像经由服务处理器以太网的带外通信到达服务处理器。
作为系统bios一部分实现的rtu在系统复位时可以控制主机端,服务器的所有串行外设接口闪存扇区在系统复位时都被解锁。在系统闪存中,rtu不会与系统bios的其与部分分开,系统bios在执行不可信代码(例如optionrom)之前本身就是rtu。rtu在验证bios更新映像文件之前,与服务处理器进行通信,以检查是否存在候选bios更新映像。如果服务处理器指示存在候选bios更新映像,则从服务处理器读取到主机存储器,并进行验证;如果服务处理器指示不存在候选bios更新映像,或者如果候选bios更新映像验证失败,则bios将通过spi控制器交互锁定bios闪存,以锁定直到重置包含bios映像的扇区。当锁定置1时,对该spi扇区锁定寄存器的访问变为只读,因此无法修改锁定至复位设置。所述扇区锁定在退出bios的rtu部分之前完成。
进一步的,若服务处理器指示存在候选bios更新映像且bios更新映像文件验证成功,则系统bios通过与spi闪存控制器交互来执行系统闪存的更新,bios更新完成后,系统bios将强制重新启动系统并从新映像重新启动执行。
本实施例的基于服务处理器作为可更新信任根源的bios更新方法,可以在服务器的许多操作状态期间发生bios闪存的安全更新,包括能够在服务器运行时更新bios,而不需要重启系统。本实施例中虽然新的bios不会在重新启动之前执行,但可以使用系统管理中断处理程序,以便服务处理器或其他安全方法在运行时更新闪存。本实施例将服务处理器作为bios更新过程的可信任更新根源,验证bios镜像文件的数字签名,确保用户在从客户端对bios进行更新的过程中使用的bios镜像文件的合法性和完整性,确保了公司服务器产品的安全。
以上所述仅为本发明的较佳实施例而已,并不用以限定本发明,对于本技术领域的技术人员来说,在不脱离本发明原理的前提下所作的任何修改、改进和等同替换等,均包含在本发明的保护范围内。