本发明涉及bmc领域,尤其涉及一种具有访问控制功能的bmc可信配置方法。
背景技术:
bmc是基板管理控制器,目前已广泛应用于服务器领域。利用虚拟的键盘、界面、鼠标、电源等为服务器提供远程管理功能。用户利用bmc监视服务器的物理特征,如各部件的温度、电压、风扇工作状态、电源供应以及机箱入侵等。bmc作为服务器中相对独立的管理控制单元本身存在着安全风险,例如被植入恶意代码,此外用户在使用bmc对服务器进行远程管理时,可能因安全配置不当,如密码复杂度低等不安全操作,造成运行过程中的安全风险。随着信息技术的发展bmc芯片虽然实现了在安全方面有部分提高,但是在应用过程中还存在安全和可信度的提高,所以如何提高bmc芯片的安全和可信度是当前丞待解决的技术问题。
技术实现要素:
为了克服上述现有技术中的不足,本发明提供一种具有访问控制功能的bmc可信配置方法,bmc可信配置方法包括:
开启bmc可信功能模块;
配置的bmc基准值;
呈现bmc固件可信状态;
呈现bios可信状态。
优选地,步骤开启可信功能模块还包括:
开启bmc固件的完整性度量功能以及开启biosbootblock完整性的度量功能。
优选地,开启可信功能模块还包括:
在web管理界面设置对应的可信功能模块开启/关闭按键供用户选择;
若选定关闭bmc可信功能模块,bmc不执行bmc可信功能模块,仅作为普通的方式启动bmc。
优选地,步骤配置的bmc基准值还包括:以度量值作为基准值和以手动输入为基准值;
以度量值作为基准值包括:在web管理界面内提供特权码输入区;
用户在特权码输入区内输入特权码,特权码是用户设置的密码,只有用户自己拥有,对基准值的操作增加了访问控制权限,保证bmc的管理安全;
以手动输入为基准值包括:在web管理界面内提供手动输入基准值输入区,供用户手动输入基准值。
优选地,步骤呈现bmc固件可信状态还包括:
呈现bmc固件基准值;
呈现bmc固件度量值;
将bmc固件的基准值和bmc固件的度量值进行比对,呈现并配置的比对结果;
呈现bmc固件基准值包括:web管理界面中显示的bmc固件基准值是在出厂后由用户设置的uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的应用程序的扩展哈希值;基准值的更新通过预设可信代理程序提供的配置接口进行;
呈现bmc固件度量值包括:web管理界面中显示的bmc固件的度量值是uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的应用程序的扩展哈希值。
优选地,将bmc固件的基准值和bmc固件的度量值进行比对,呈现并配置的比对结果包括:bmc固件的基准值和bmc固件的度量值进行比对,根据bmc固件的基准值与bmc固件的度量值的比对结果,进行配置操作。
优选地,进行配置操作包括:
bmc固件的基准值和bmc固件的度量值比对一致时,提示信息为“可信”;
bmc固件的基准值和bmc固件的度量值比对不一致时,提示信息为“不可信”,同时显示“输入特权码”和“更新bmc固件基准值”两个功能按键;
如果选定“输入特权码”按键,需要输入特权码进行特权启动,使bmc固件进入不可信状态;
如果选定“更新bmc固件基准值”按键,在web管理界面内提供bmc固件基准值输入区;
用户在bmc固件基准值输入区内输入bmc固件基准值,bmc固件基准值是用户设置的密码,只有用户自己拥有,对bmc固件基准值的操作增加了访问控制权限,保证bmc的管理安全;
设置完成后重启bmc固件的基准值和bmc固件的度量值进行比对。
优选地,步骤呈现bios可信状态还包括:
当bmc固件确认可信后,开启bmc中的biosbootblock启动,并在web页面开启biosbootblock可信状态比对。
优选地,步骤biosbootblock可信状态比对还包括:
呈现biosbootblock的基准值;
呈现biosbootblock的度量值;
biosbootblock的度量值与biosbootblock的基准值进行比对及配置;
呈现biosbootblock的基准值包括:在web页面中显示的biosbootblock基准值;biosbootblock基准值的更新通过预设可信代理程序提供的配置接口进行;
呈现biosbootblock的度量值包括:在web页面中显示bmc可信代理程序度量的biosbootblock哈希值;
biosbootblock的度量值与biosbootblock的基准值进行比对及配置,根据biosbootblock的基准值与biosbootblock的哈希值进行比对,根据对比结果进行配置操作。
优选地,biosbootblock的哈希值与biosbootblock的基准值比对一致时,提示信息为“可信”;
biosbootblock的哈希值与biosbootblock的基准值比对不一致时,提示信息为“不可信”,同时显示“输入特权码”和“更新biosbootblock基准值”,使用户选择操作;
当选定“输入特权码”,输入特权码进行特权启动,使biosbootblock进入不可信状态,维护系统相关配置;
当选定“更新biosbootblock基准值”,在web管理界面内提供biosbootblock基准值输入区;
用户在biosbootblock基准值输入区内输入biosbootblock基准值,biosbootblock基准值是用户设置的密码,只有用户自己拥有,对基准值的操作增加了访问控制权限,保证bmc的管理安全;
设置完成后重启biosbootblock的度量值与biosbootblock的基准值进行比对及配置。
从以上技术方案可以看出,本发明具有以下优点:
本发明在bmcweb管理界面加入可信功能模块,可信功能模块的开启、基准值的配置、bmc固件可信状态的呈现和bios可信状态的呈现。在bmc上电启动过程中对bmc固件和bios关键代码进行完整性度量,确保程序的完整性,从而建立起系统平台的可信执行环境。从而对bmc进行加固,在bmc启动运行过程中对bmc固件和bios进行完整性的度量,确保程序的完整性和没有被植入恶意代码,建立起bmc启动过程的完整信任链,保证了系统平台执行环境的可信,
附图说明
为了更清楚地说明本发明的技术方案,下面将对描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为具有访问控制功能的bmc可信配置方法流程图;
图2为可信功能模块的开启/关闭示意图;
图3为基准值配置呈现示意图;
图4为输入特权码的呈现方式示意图;
图5为手动输入基准值的呈现方式示意图;
图6为bmc固件可信时呈现方式示意图;
图7为bmc固件不可信时的呈现方式示意图;
图8为biosbootblock可信时呈现方式示意图;
图9为biosbootblock不可信时呈现方式示意图。
具体实施方式
为使得本发明的发明目的、特征、优点能够更加的明显和易懂,下面将运用具体的实施例及附图,对本发明保护的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本发明一部分实施例,而非全部的实施例。基于本专利中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本专利保护的范围。
本实施例提供一种具有访问控制功能的bmc可信配置方法,如图1所示,bmc可信配置方法包括:
s1:开启bmc可信功能模块;
s2:配置的bmc基准值;
s3:呈现bmc固件可信状态;
s4:呈现bios可信状态。
在本实施例中,步骤开启可信功能模块还包括:开启bmc固件的完整性度量功能以及开启biosbootblock完整性的度量功能。
具体的,如附图2所示,在web管理界面设置对应的可信功能模块开启/关闭按键供用户选择;若选定关闭bmc可信功能模块,bmc不执行bmc可信功能模块,仅作为普通的方式启动bmc。
在本实施例中,步骤配置的bmc基准值还包括:如附图3所示,以度量值作为基准值和以手动输入为基准值;以度量值作为基准值包括:在web管理界面内提供特权码输入区;用户在特权码输入区内输入特权码,如附图4所示,特权码是用户设置的密码,只有用户自己拥有,对基准值的操作增加了访问控制权限,保证bmc的管理安全;如附图5所示,以手动输入为基准值包括:在web管理界面内提供手动输入基准值输入区,供用户手动输入基准值。
在本实施例中,步骤呈现bmc固件可信状态还包括:
呈现bmc固件基准值;
呈现bmc固件度量值;
将bmc固件的基准值和bmc固件的度量值进行比对,呈现并配置的比对结果;
呈现bmc固件基准值包括:web管理界面中显示的bmc固件基准值是在出厂后由用户设置的uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的应用程序的扩展哈希值;基准值的更新通过预设可信代理程序提供的配置接口进行;
呈现bmc固件度量值包括:web管理界面中显示的bmc固件的度量值是uboot度量kernel和可信代理程序的哈希值、可信代理程序度量bmc的应用程序的扩展哈希值。
其中,将bmc固件的基准值和bmc固件的度量值进行比对,呈现并配置的比对结果包括:bmc固件的基准值和bmc固件的度量值进行比对,根据bmc固件的基准值与bmc固件的度量值的比对结果,进行配置操作。
进行配置操作包括:如附图7所示,
bmc固件的基准值和bmc固件的度量值比对一致时,提示信息为“可信”;
bmc固件的基准值和bmc固件的度量值比对不一致时,提示信息为“不可信”,同时显示“输入特权码”和“更新bmc固件基准值”两个功能按键;
如果选定“输入特权码”按键,需要输入特权码进行特权启动,使bmc固件进入不可信状态;
如果选定“更新bmc固件基准值”按键,在web管理界面内提供bmc固件基准值输入区;
用户在bmc固件基准值输入区内输入bmc固件基准值,bmc固件基准值是用户设置的密码,只有用户自己拥有,对bmc固件基准值的操作增加了访问控制权限,保证bmc的管理安全;设置完成后重启bmc固件的基准值和bmc固件的度量值进行比对。
在本实施例中,步骤呈现bios可信状态还包括:如附图8和9所示,
当bmc固件确认可信后,开启bmc中的biosbootblock启动,并在web页面开启biosbootblock可信状态比对。
步骤biosbootblock可信状态比对还包括:
呈现biosbootblock的基准值;
呈现biosbootblock的度量值;
biosbootblock的度量值与biosbootblock的基准值进行比对及配置;
呈现biosbootblock的基准值包括:在web页面中显示的biosbootblock基准值;biosbootblock基准值的更新通过预设可信代理程序提供的配置接口进行;
呈现biosbootblock的度量值包括:在web页面中显示bmc可信代理程序度量的biosbootblock哈希值;
biosbootblock的度量值与biosbootblock的基准值进行比对及配置,根据biosbootblock的基准值与biosbootblock的哈希值进行比对,根据对比结果进行配置操作。
biosbootblock的哈希值与biosbootblock的基准值比对一致时,提示信息为“可信”;
biosbootblock的哈希值与biosbootblock的基准值比对不一致时,提示信息为“不可信”,同时显示“输入特权码”和“更新biosbootblock基准值”,使用户选择操作;
当选定“输入特权码”,输入特权码进行特权启动,使biosbootblock进入不可信状态,维护系统相关配置;
当选定“更新biosbootblock基准值”,在web管理界面内提供biosbootblock基准值输入区;
用户在biosbootblock基准值输入区内输入biosbootblock基准值,biosbootblock基准值是用户设置的密码,只有用户自己拥有,对基准值的操作增加了访问控制权限,保证bmc的管理安全;
设置完成后重启biosbootblock的度量值与biosbootblock的基准值进行比对及配置。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。