一种主板启动权限控制的授权加密方法
【专利摘要】本发明涉及计算机通信领域,具体是利用一种主板启动权限控制的授权加密方法,来解决当前在服务器系统重启过程中,无法实现服务器硬件的初始化配置启动状态的安全保护问题。本方法保证了服务器系统重启过程中硬件初始化配置的安全设计,实现服务器系统可靠性、安全性设计,对于服务器系统的可维护性具有重要的意义。
【专利说明】 一种主板启动权限控制的授权加密方法
[0001]【技术领域】
本发明涉及计算机通信领域,具体是利用一种主板启动权限控制的授权加密方法,来解决当前在服务器系统重启过程中,无法实现服务器硬件的初始化配置启动状态的安全保护问题。
【背景技术】
[0002]当今的服务器主板对使用权限的可靠性设计要求越来越高,服务器的运算服务承担着业务数据的核心功能,服务器主板启动权限必须经过严格设计,防止非管理人员或其他人员的随意操作带来业务数据的损失。服务器重启过程中,主板硬件及整个系统处于安全薄弱的环节,硬件的不正常初始化或人为的不正常设置,可能导致数据的不稳定。很多情况下需要不断的升级主板硬件或业务软件的不断升级部署,服务器重启过程会使服务器处于无保护的操作环境,为当前的服务器的安全应用目前服务器系统的设计只能尽可能满足出厂时配置规格需求,当用户升级硬件配置时,这就需要用户进行服务器硬件的初始化过程以兼容硬件配置。服务器硬件的初始化过程的授权加密保护至关重要。
[0003]当前对服务器硬件的初始化配置以兼容硬件配置,新的启动过程,逐渐成为影响服务器管理安全的关键因素。当前的通常做法是在BIOS中设置CMOS密码,运行硬件的初始化配置时,系统会提示并要求用户输入正确的操作授权密码。该方式一是需要用户不得清楚还原CMOS,如果设置后的BIOS firmware被还原,设置CMOS密码也即清除,系统无授权启动,该方法将不再有效,无法实现真正的系统保护。这种单一在BIOS中设置CMOS密码保护方式,无法实现服务器系统的安全需求;随着对服务器系统硬件的初始化配置安全要求不断增加,为了保证服务器系统的稳定运行,在实际操作运行过程中,如何实现服务器硬件的初始化配置启动状态的安全设计尤为重要,并成为决定服务器安全性的关键要素之一。
【发明内容】
[0004]针对当前服务器授权加密设计过程中遇到的上述问题,结合数字方波、协议模拟等关键电气因素,通过深入分析,提供了一种主板启动权限控制的授权加密方法。
[0005]本发明是以控制理论支撑点,具体是利用一种主板启动权限控制的授权加密方法,来解决当前在服务器系统重启过程中,无法实现服务器硬件的初始化配置启动状态的安全保护问题。本方法保证了服务器系统重启过程中硬件初始化配置的安全设计,实现服务器系统可靠性、安全性设计,对于服务器系统的可维护性具有重要的意义,具体
【发明内容】
可以分为如下六个方面:
1、①在BIOS firmware启动初始化配置中,设置授权加密分支子程序,且无条件进入该子程序,强制每次初始化前必须进入此程序;
②授权加密分支子程序在服务器系统出厂前完成对所有硬件配置扫描,并将配置信息保存于非易失性NVSRAM中。
[0006]③服务器系统出厂后,上电重启过程中,授权加密分支子程序将重新完成对所有硬件配置扫描,并将实时获取的配置信息与保存于非易失性NVSRAM中配置信息相比对,若发现任何变动,将停留在报警界面。整个重启过程被暂停。
[0007]④实际服务器主板的使用中,当用户需要进行硬件扩配及减配时,需要获取对应设备的启用或停用指令来通知授权加密分支子程序,指令的获取需要通过南桥外置的SMBUS总线存储设备来实现。
[0008]⑤授权加密分支子程序同时完成对硬件寄存器配置的监测,当新扩配的硬件地址分配在其他硬件已占有、新扩配的硬件试图控制其他硬件做读写操作时,会提示并要求用户授权指令,实现授权加密功能,用户需要接入授权设备才可正常启动服务器。
[0009]2、在BIOS firmware启动初始化配置中,设置授权加密分支子程序,且无条件进入该子程序,强制每次初始化前必须进入此程序,授权加密分支子程序的位置为硬件扫描子程序前,防止其他硬件设备的对授权加密分支子程序干扰;只有当所有的硬件变动及寄存器合法时,才会正常退出该子程序。当监测异常时会主动发出报警界面提示,同时控制主板上的蜂鸣器进行声音报警。
[0010]3、授权加密分支子程序在服务器系统出厂前完成对所有硬件配置扫描,并将配置信息保存于非易失性NVSRAM中,根据用户的配置要求,服务器出厂前将配置信息进行扫描,包括硬件的型号、缓存容量、操作权限等。通过南桥的SPI总线将上述硬件配置信息写入外挂的非易失性NVSRAM中,NVSRAM的写保护pin由南桥设置为有效,即NVSRAM的内容不再允许更改,作为出场后的比对基础。
[0011]4、服务器系统出厂后,上电重启过程中,授权加密分支子程序将重新完成对所有硬件配置扫描,并将实时获取的配置信息与保存于非易失性NVSRAM中配置信息相比对,若发现任何参数的更改及变动,将停留在报警界面,为防止部分欺骗性硬件信息的认为加入,授权加密分支子程序会调用底层的硬件驱动去跟对应的配置做交互,确认硬件符合原有的规格。
[0012]5、实际服务器主板的使用中,当用户需要进行硬件扩配及减配时,需要获取对应设备的启用或停用指令来通知授权加密分支子程序,指令的获取需要通过南桥外置的SMBUS总线存储设备来实现,外置的SMBUS存储设备内容由服务器硬件提供商根据扩配及减配硬件的产品标示,结合读写指令生成。
[0013]6、授权加密分支子程序同时完成对硬件寄存器配置的监测,当新扩配的硬件地址分配在其他硬件已占有、新扩配的硬件试图控制其他硬件做读写操作时,会提示并要求用户授权指令,指令的获取需要通过南桥外置的LPC总线存储设备来实现,外置的LPC总线存储设备内容由新扩配的硬件供应商的硬件读写规则生成。
[0014]本发明的有益效果是:
本方法解决了当前在服务器系统重启过程中,无法实现服务器硬件的初始化配置启动状态的安全保护问题。保证了服务器系统重启过程中硬件初始化配置的安全设计,实现服务器系统可靠性、安全性设计,实现低成本要求,对于服务器系统的可维护性具有重要的意义。
[0015]【专利附图】
【附图说明】
附图1是本发明的实施流程图。【具体实施方式】
[0016]下面对本发明的内容进行更加详细的阐述:
①研发工程师在BIOSfirmware启动初始化配置中,设置无条件进入的授权加密分支子程序,强制每次初始化前必须进入此程序;
②授权加密分支子程序在服务器系统出厂前完成所有硬件配置扫描,并将配置信息保存于非易失性NVSRAM中。
[0017]③服务器系统出厂后,上电重启过程中,授权加密分支子程序将重新完成对所有硬件配置扫描,并将实时获取的配置信息与保存于非易失性NVSRAM中配置信息相比对,若发现任何变动,将停留在报警界面。整个重启过程被暂停。
[0018]④实际服务器主板的使用中,当用户需要进行硬件扩配及减配时,需要获取对应设备的启用或停用指令来通知授权加密分支子程序,指令的获取需要通过南桥外置的SMBUS总线存储设备来实现。
[0019]⑤授权加密分支子程序同时完成对硬件寄存器配置的监测,当新扩配的硬件地址分配在其他硬件已占有、新扩配的硬件试图控制其他硬件做读写操作时,实现授权加密功能,用户需要接入授权设备才可正常启动服务器。
[0020]经过上面详细的实施,我们可以很方便的实现服务器授权安全设计,不仅达到了安全设计要求,而且实现低成本要求,实现服务器系统重启过程中硬件初始化的可靠性、稳定性。
【权利要求】
1.一种主板启动权限控制的授权加密方法,其特征在于包括如下方面: ①在BIOSfirmware启动初始化配置中,设置授权加密分支子程序,且无条件进入该子程序,强制每次初始化前必须进入此程序; ②授权加密分支子程序在服务器系统出厂前完成对所有硬件配置扫描,并将配置信息保存于非易失性NVSRAM中; ③服务器系统出厂后,上电重启过程中,授权加密分支子程序将重新完成对所有硬件配置扫描,并将实时获取的配置信息与保存于非易失性NVSRAM中配置信息相比对,若发现任何变动,将停留在报警界面;整个重启过程被暂停; ④实际服务器主板的使用中,当用户需要进行硬件扩配及减配时,需要获取对应设备的启用或停用指令来通知授权加密分支子程序,指令的获取需要通过南桥外置的SMBUS总线存储设备来实现; ⑤授权加密分支子程序同时完成对硬件寄存器配置的监测,当新扩配的硬件地址分配在其他硬件已占有、新扩配的硬件试图控制其他硬件做读写操作时,会提示并要求用户授权指令,实现授权加密功能,用户需要接入授权设备才可正常启动服务器。
2.根据权利要求1所述的方法,其特征在于在第①方面中,授权加密分支子程序的位置为硬件扫描子程序前,防止其他硬件设备的对授权加密分支子程序干扰;只有当所有的硬件变动及寄存器合法时,才会正常退出该子程序;当监测异常时会主动发出报警界面提示,同时控制主板上的蜂鸣器进行声音报警。
3.根据权利要求1所述的方法,其特征在于在第②方面中,根据用户的配置要求,服务器出厂前将配置信息进行扫描,包括硬件的型号、缓存容量、操作权限等;通过南桥的SPI总线将上述硬件配置信息写入外挂的非易失性NVSRAM中,NVSRAM的写保护pin由南桥设置为有效,即NVSRAM的内容不再允许更改,作为出场后的比对基础。
4.根据权利要求1所述的方法,其特征在于在第③方面中,为防止部分欺骗性硬件信息的认为加入,授权加密分支子程序会调用底层的硬件驱动去跟对应的配置做交互,确认硬件符合原有的规格。
5.根据权利要求1所述的方法,其特征在于在第④方面中,外置的SMBUS存储设备内容由服务器硬件提供商根据扩配及减配硬件的产品标示,结合读写指令生成。
6.根据权利要求1所述的方法,其特征在于在第⑤方面中,指令的获取需要通过南桥外置的LPC总线存储设备来实现,外置的LPC总线存储设备内容由新扩配的硬件供应商的硬件读写规则生成。
【文档编号】G06F21/71GK103996001SQ201410214133
【公开日】2014年8月20日 申请日期:2014年5月21日 优先权日:2014年5月21日
【发明者】刘涛 申请人:浪潮电子信息产业股份有限公司