一种确保服务器系统双BIOS安全可信运行的方法及系统与流程

本发明涉及一种确保服务器系统双bios安全可信运行的方法及系统，属于服务器系统技术领域。

背景技术：

在服务器领域，为了bios(basic-input-outputsystem，基本输入输出系统)的安全可信运行，常常使用双bios。使用一颗可读写的flashrom芯片和一颗只读eprom芯片来存储bios信息，只读eprom不可以对备份bios进行写入动作，既防误操作，又防病毒。备份芯片出厂时已写入bios信息，用来备用。主bios则作一般用途，可读可写，用户可在主bios上升级最新的bios信息，当用户误操作或感染病毒时，可切换到备用bios，再更新主bios，系统就可以重新开机。但是备用bios只读的特点决定了其内信息一直不变，用户对其特殊操作无法保留。

当出现误操作，或病毒感染导致系统无法重启时，切换到备用bios，但是备用bios只读的特点决定了其信息始终不变，只能是最初出厂版本。由于无法操作备用bios，系统重新开机后等同于bios信息恢复为出厂设置，客户自身一些特殊设置则无法保留。

技术实现要素：

针对上述不足，本发明提供了一种确保服务器系统双bios安全可信运行的方法及系统，其能确保服务器系统bios安全可信运行。

本发明解决其技术问题采取的技术方案是：

本发明的一种确保服务器系统双bios安全可信运行的方法，其特征是，在双bios结构中引入可信平台控制模块，双bios结构的主板管理控制器与远程主机连接，所述双bios结构包括主用bios和备用bios，所述远程主机对主用bios进行数据备份；在主用bios无法工作时首先将备用bios数据写入主用bios进行系统重启，然后采用可信平台控制模块对此时主用bios数据进行可信度量，最后获取远程主机存储的主用bios最后一次备份数据，并采用可信平台控制模块进行可信度量后更新此时主用bios数据。

优选地，所述的主用bios和备用bios分别与网桥switch连接，所述网桥switch通过南桥pch与cpu连接，网桥switch通过通过内存模块sodimm连接，所述内存模块连接有主板管理控制器bmc，所述主板管理控制器bmc分别与可信平台控制模块tpcm和远程主机连接。

优选地，所述远程主机通过以太网与主板管理控制器bmc连接。

优选地，所述可信平台控制模块采用设置在可信平台主板上的tpcm可信芯片，所述tpcm可信芯片安装有包括可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制的宿主基础软件，所述可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制通过总线进行数据交互，所述控制机制分别控制可信基准库、度量机制、支撑机制和判定机制。

优选地，在双bios结构中，南桥pch和bmc都可以读写主用bios，并可通过更改switch选通来只读备用bios，南桥和bmc均可通过switch对主、备用bios进行操作，switch芯片的gpio0接口由bmc控制，默认低电平，此时pch的spi链路导通，pch可更新读写主用bios；当bmc将gpio0设置为高电平，此时bmc的spi链路导通；当bmc将gpio1设置为高电平时pch和bmc可以实现备份bios发读取，但无法写入，此时无法访问读写主用bios；gpio1默认为0，pch和bmc均可读写主bios，但此时无法读bios-rom1；

当主用bios无法工作时，bmc设置gpio1为高电平，进行读取备用bios中的数据后暂存，bmc设置gpio1为低电平，然后将暂存备用bios中的数据写入主用bios，重新启动系统，系统重新启动后可信平台控制模块tpcm首先度量主用bios数据，然后通过远程主机获取主用bios的最后一次备份数据，并通过可信平台控制模块tpcm对其可信度量后由bmc写入到主用bios来替代暂存备用bios中的数据。

本发明的一种确保服务器系统双bios安全可信运行的系统，其特征是，包括双bios结构、可信平台控制模块和远程主机，所述双bios结构包括主用bios和备用bios，所述远程主机对主用bios进行数据备份；所述的主用bios和备用bios分别与网桥switch连接，所述网桥switch通过南桥pch与cpu连接，网桥switch通过通过内存模块sodimm连接，所述内存模块连接有主板管理控制器bmc，所述主板管理控制器bmc分别与可信平台控制模块tpcm和远程主机连接；

在主用bios无法工作时首先将备用bios数据写入主用bios进行系统重启，然后采用可信平台控制模块对此时主用bios数据进行可信度量，最后获取远程主机存储的主用bios最后一次备份数据，并采用可信平台控制模块进行可信度量后更新此时主用bios数据。

优选地，所述远程主机通过以太网与主板管理控制器bmc连接。

优选地，所述可信平台控制模块采用设置在可信平台主板上的tpcm可信芯片，所述tpcm可信芯片安装有包括可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制的宿主基础软件，所述可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制通过总线进行数据交互，所述控制机制分别控制可信基准库、度量机制、支撑机制和判定机制。

本发明的有益效果是：

本发明通过在双bios结构中引入可信平台控制模块，并利用远程主机进行远程bios数据更新，不仅确保了服务器系统双bios的可靠运行，而且使出现问题的服务器系统尽可能恢复到最近一次正常操作状态，这种方式大大完善了传统设计只能将bios恢复出厂设置的缺点，可以在服务器领域进行广泛应用。

本发明对于系统bios是否安全可信，通过tpcm模块可信度量，可以及时判断，使用tpcm可信度量加远程更新来完善现有服务器系统双bios方案。它通过远程更新，将最近一次bios备份数据再次更新到主用bios，重新开机，可有效恢复到客户需求的最近一次状态。

附图说明

下面结合说明书附图对本发明进行说明。

图1为本发明的结构示意图；

图2为本发明所述可信平台控制模块tpcm的框架图；

图3为本发明的tpcm与bmc数据交互的示意图。

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，本发明的一种确保服务器系统双bios安全可信运行的方法，它通过在双bios结构中引入可信平台控制模块tpcm(trustedplatformcontrolmodule)，并将双bios结构的主板管理控制器与远程主机连接，所述双bios结构包括主用bios和备用bios，所述远程主机对主用bios进行数据备份；在主用bios无法工作时首先将备用bios数据写入主用bios进行系统重启，然后采用可信平台控制模块对此时主用bios数据进行可信度量，最后获取远程主机存储的主用bios最后一次备份数据，并采用可信平台控制模块进行可信度量后更新此时主用bios数据。

优选地，所述的主用bios和备用bios分别与网桥switch连接，所述网桥switch通过南桥pch与cpu连接，网桥switch通过通过内存模块sodimm连接，所述内存模块连接有主板管理控制器bmc，所述主板管理控制器bmc分别与可信平台控制模块tpcm和远程主机连接。

优选地，所述远程主机通过以太网与主板管理控制器bmc连接。

优选地，如图2所示，所述可信平台控制模块采用设置在可信平台主板上的tpcm可信芯片，所述tpcm可信芯片安装有包括可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制的宿主基础软件，所述可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制通过总线进行数据交互，所述控制机制分别控制可信基准库、度量机制、支撑机制和判定机制。

优选地，在双bios结构中，南桥pch和bmc都可以读写主用bios，并可通过更改switch选通来只读备用bios，南桥和bmc均可通过switch对主、备用bios进行操作，switch芯片的gpio0接口由bmc控制，默认低电平，此时pch的spi链路导通，pch可更新读写主用bios；当bmc将gpio0设置为高电平，此时bmc的spi链路导通；当bmc将gpio1设置为高电平时pch和bmc可以实现备份bios发读取，但无法写入，此时无法访问读写主用bios；gpio1默认为0，pch和bmc均可读写主bios，但此时无法读bios-rom1；当主用bios无法工作时，bmc设置gpio1为高电平，进行读取备用bios中的数据后暂存，bmc设置gpio1为低电平，然后将暂存备用bios中的数据写入主用bios，重新启动系统，系统重新启动后可信平台控制模块tpcm首先度量主用bios数据，然后通过远程主机获取主用bios的最后一次备份数据，并通过可信平台控制模块tpcm对其可信度量后由bmc写入到主用bios来替代暂存备用bios中的数据。

如图1和图2所示，本发明的一种确保服务器系统双bios安全可信运行的系统，它包括双bios结构、可信平台控制模块和远程主机，所述双bios结构包括主用bios和备用bios，所述远程主机对主用bios进行数据备份；所述的主用bios和备用bios分别与网桥switch连接，所述网桥switch通过南桥pch与cpu连接，网桥switch通过通过内存模块sodimm连接，所述内存模块连接有主板管理控制器bmc，所述主板管理控制器bmc分别与可信平台控制模块tpcm和远程主机连接；在主用bios无法工作时首先将备用bios数据写入主用bios进行系统重启，然后采用可信平台控制模块对此时主用bios数据进行可信度量，最后获取远程主机存储的主用bios最后一次备份数据，并采用可信平台控制模块进行可信度量后更新此时主用bios数据。

优选地，所述远程主机通过以太网与主板管理控制器bmc连接。

优选地，所述可信平台控制模块采用设置在可信平台主板上的tpcm可信芯片，所述tpcm可信芯片安装有包括可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制的宿主基础软件，所述可信基准库、基本信任基、控制机制、度量机制、支撑机制和判定机制通过总线进行数据交互，所述控制机制分别控制可信基准库、度量机制、支撑机制和判定机制。

在服务器平台才双bios设计保证系统安全运行。如图1所示，本发明采用双bios设计，南桥pch和bmc都可以读写主bios即bios-flash0，并可以通过更改switch选通，只读备份bios即bios-rom1。南桥和bmc都可以通过switch对bios操作，swich芯片的gpio0接口由bmc控制，默认低电平，此时pch的spi链路导通，pch可以更新读写主bios。当bmc将gpio0设置为高电平，此时bmc的spi链路导通。当bmc将gpio1设置为高电平时pch和bmc可以实现备份bios即bios-rom1读取，但无法写入，此时无法访问读写bios-flash0。gpio1默认为0，pch和bmc可读写主bios，即bios-flash0，但此时无法读bios-rom1。

当主bios即bios-flash0无法工作，此时bmc设置gpio1为高电平，这样可以读取备份bios即bios-rom1中的数据后暂存，bmc设置gpio1为低电平，然后pch或bmc将暂存bios-rom1中的数据写入主bios即bios-flash0，重新启动tpcm模块会去度量主bios数据，通常无问题，因为是从只读rom获取数据，安全可信。然后通过远程主机获取最新一次bios-flash0的备份数据，并通过tpcm可信度量后由bmc写入到主bios，即bios-flash0。这种方式大大完善了传统设计，只能将bios恢复出厂设置的缺点，并保证安全可信。

图3为本发明tpcm与bmc的连接关系图，如图3所示，在tpcm与bmc通信过程中，lad[3:0]为bmc与tpcm信号传输路径，24mhzclk为bmc向tpcm发出lpc_clk时钟信号，pltrsn#为bmc发出的复位信号，lframe#为tpcm向bmc发出的开始信号传输信号，lpcpd#表示tpcm设备移除信号，lsmi#为tpcm发出smi#信号通知bmc使用该信号，smi#为系统管理中断信号。

以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。