具开机的可信验证与容错移转的计算机系统及方法与流程

本发明关于一种计算机系统，特别是指一种具开机的可信验证与容错移转的计算机系统及方法。

背景技术：

在现有技术的服务器、个人电脑(pc)、笔记本电脑(nb)、或其他手持装置(如智能手机)等计算机系统中，仅服务器的内部有tpm(trustedplatformmodule；可信平台模块)卡能单纯地验证操作系统(operatingsystem；os)的储存装置是否可信而没有被变更过，更遑论个人电脑(pc)、笔记本电脑(nb)、或其他手持装置是无验证装置的。

以服务器而言，服务器的基板管理控制器(baseboardmanagementcontroller；bmc)与基本输入输出系统(basicinput/outputsystem；bios)通常无可信验证与容错移转机制，一旦服务器开机至操作系统(os)之前的固件有被植入后门或被窜改过，tpm卡并无法侦测出来。

因此，现有技术实缺乏一种对计算机系统的开机程序提供可信验证与容错移转的保护机制。所以，如何解决上述现有技术的缺点，实已成为本领域技术人员的一大课题。

技术实现要素：

本发明提供一种具开机的可信验证与容错移转的计算机系统及方法，其能对计算机系统的开机程序提供可信验证与容错移转的保护机制。

本发明中具开机的可信验证与容错移转的计算机系统包括：一基板管理控制器(bmc)；一bmc固件储存装置，其储存有bmc固件数据；一bios(基本输入输出系统)固件储存装置，其储存有bios固件数据；一bmc备份固件储存装置，其储存有无法被修改及保证可信的bmc备份固件数据；一bios备份固件储存装置，其储存有无法被修改及保证可信的bios备份固件数据；以及一可编程逻辑门装置，其将基板管理控制器物理隔离bmc固件储存装置、bios固件储存装置、bmc备份固件储存装置与bios备份固件储存装置，其中，当计算机系统进行开机时，由可编程逻辑门装置对bmc固件储存装置的bmc固件数据与bios固件储存装置的bios固件数据执行可信验证，并在bmc固件数据或bios固件数据未通过可信验证时，由可编程逻辑门装置将无法被修改及保证可信的bmc备份固件储存装置的bmc备份固件数据或bios备份固件储存装置的bios备份固件数据对应覆盖未通过可信验证的bmc固件数据或bios固件数据以达到容错移转。

本发明中具开机的可信验证与容错移转的方法包括：提供一包括基板管理控制器(bmc)、bmc固件储存装置、bios(基本输入输出系统)固件储存装置、bmc备份固件储存装置、bios备份固件储存装置与可编程逻辑门装置的计算机系统，且可编程逻辑门装置将基板管理控制器物理隔离bmc固件储存装置、bios固件储存装置、bmc备份固件储存装置与bios备份固件储存装置；当计算机系统进行开机时，由可编程逻辑门装置对bmc固件储存装置的bmc固件数据与bios固件储存装置的bios固件数据执行可信验证；以及当bmc固件数据或bios固件数据未通过可信验证时，由可编程逻辑门装置将无法被修改及保证可信的bmc备份固件储存装置的bmc备份固件数据或bios备份固件储存装置的bios备份固件数据对应覆盖未通过可信验证的bmc固件数据或bios固件数据以达到容错移转。

为让本发明的上述特征和优点能更明显易懂，下文特举实施例，并配合所附图式作详细说明。在以下描述内容中将部分阐述本发明的额外特征及优点，且此等特征及优点将部分自所述描述内容显而易见，或可藉由对本发明的实践习得。本发明的特征及优点借助于在权利要求范围中特别指出的元件及组合来认识到并达到。应理解，前文一般描述与以下详细描述两者均仅为例示性及解释性的，且不欲约束本发明所主张的范围。

附图说明

图1为绘示本发明中具开机的可信验证与容错移转的计算机系统的方块示意图；以及

图2为绘示本发明中具开机的可信验证与容错移转的方法的示意流程图。

符号说明

1计算机系统

10中央处理器模块

20基板管理控制器

30可编程逻辑门装置

31数据验证演算法

40bmc固件储存装置

41bmc固件数据

50bios固件储存装置

51bios固件数据

60bmc备份固件储存装置

61bmc备份固件数据

70bios备份固件储存装置

71bios备份固件数据

b1电源键

b2重置键

c1至c3控制总线

d1至d6数据总线

s01至s17步骤。

具体实施方式

以下藉由特定的具体实施形态说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭示的内容轻易地了解本发明的其他优点与功效，也可藉由其他不同的具体实施形态加以施行或应用。

图1为绘示本发明中具开机的可信验证与容错移转的计算机系统1的方块示意图。如图所示，计算机系统1包括一中央处理器模块10、一基板管理控制器(bmc)20、一可编程逻辑门装置30、一bmc固件储存装置40、一bios(基本输入输出系统)固件储存装置50、一bmc备份固件储存装置60与一bios备份固件储存装置70。

计算机系统1可应用于服务器、个人电脑、笔记本电脑、平板电脑或智能手机等。中央处理器模块10可包括中央处理器(cpu)与南桥芯片组(platformcontrollerhub；pch)等。可编程逻辑门装置30可为现场可编程门阵列(field-programmablegatearray,fpga)、复杂可编程逻辑门元件(complexprogrammablelogicdevice,cpld)、可编程逻辑门元件(programmablelogicdevice,pld)、或通用阵列逻辑(genericarraylogic,gal)。但是，本发明并不以此为限。

bmc固件储存装置40储存有bmc固件数据41，bios固件储存装置50储存有bios固件数据51，bmc备份固件储存装置60储存有无法被修改及保证可信的bmc备份固件数据61，bios备份固件储存装置70储存有无法被修改及保证可信的bios备份固件数据71。

可编程逻辑门装置30在计算机系统1中具有最高的主导权，并可将基板管理控制器20物理隔离bmc固件储存装置40、bios固件储存装置50、bmc备份固件储存装置60与bios备份固件储存装置70，使基板管理控制器20无法直接读取或写入bmc固件储存装置40、bios固件储存装置50、bmc备份固件储存装置60或bios备份固件储存装置70等的固件数据，即bmc固件数据41、bios固件数据51、bmc备份固件数据61或bios备份固件数据71，以达到物理隔离保护该些固件数据的效果。

当计算机系统1进行开机时，由可编程逻辑门装置30对bmc固件储存装置40的bmc固件数据41与bios固件储存装置50的bios固件数据51执行可信验证，并在bmc固件数据41或bios固件数据51未通过可信验证时，由可编程逻辑门装置30将无法被修改及保证可信的bmc备份固件储存装置60的bmc备份固件数据61或bios备份固件储存装置70的bios备份固件数据71对应覆盖未通过可信验证的bmc固件数据41或bios固件数据51以达到容错移转。

详言之，可编程逻辑门装置30具有一数据验证演算法31，以透过数据验证演算法31对bmc固件数据41或bios固件数据51执行可信验证，使可编程逻辑门装置30能安全读取或写入bmc固件数据41或bios固件数据51。

可编程逻辑门装置30接上电源时会主动读取bmc固件储存装置40的bmc固件数据41，并在bmc固件数据41通过数据验证演算法31的可信验证时，由可编程逻辑门装置30控制基板管理控制器20开始运行，使基板管理控制器20藉由可编程逻辑门装置30读取bmc固件数据41。

中央处理器模块10连接基板管理控制器20，且可编程逻辑门装置30可将中央处理器模块10与基板管理控制器20物理隔离bmc固件储存装置40、bios固件储存装置50、bmc备份固件储存装置60与bios备份固件储存装置70，使中央处理器模块10与基板管理控制器20皆无法直接读取或写入bmc固件储存装置40、bios固件储存装置50、bmc备份固件储存装置60或bios备份固件储存装置70等的固件数据，以达到物理隔离保护该些固件数据的效果。

计算机系统1可包括连接可编程逻辑门装置30的电源键b1，且可编程逻辑门装置30会随时监控电源键b1的信号。当计算机系统1处于关机状态时，可编程逻辑门装置30接收到电源键b1的信号后才会读取bios固件储存装置50的bios固件数据51，并由可编程逻辑门装置30的数据验证演算法31对bios固件数据51执行可信验证。可编程逻辑门装置30将bios固件数据51的可信验证的结果传送至基板管理控制器20，并在bios固件数据51的可信验证的结果为通过或可信时，由基板管理控制器20控制中央处理器模块10开始运行，使中央处理器模块10依序透过基板管理控制器20与可编程逻辑门装置30读取bios固件储存装置50的bios固件数据51以进行开机。

计算机系统1可包括连接可编程逻辑门装置30的重置键b2，且可编程逻辑门装置30会随时监控重置键b2的信号。当计算机系统1处于开机状态时，可编程逻辑门装置30接收到重置键b2的信号后将其传送至基板管理控制器20，并由基板管理控制器20将重置键b2的信号传送至中央处理器模块10，而中央处理器模块10在完成重置或关机后会送出通知信号予基板管理控制器20，以供基板管理控制器20控制中央处理器模块10，使中央处理器模块10处于重置状态而无法运作。

计算机系统1可包括一控制总线c1，其分别连接中央处理器模块10与基板管理控制器20，以供基板管理控制器20透过控制总线c1控制中央处理器模块10。

计算机系统1可包括连接基板管理控制器20与可编程逻辑门装置30的控制总线c2及控制总线c3，以使可编程逻辑门装置30透过控制总线c3控制基板管理控制器20，或使基板管理控制器20经由控制总线c2传送重置通知信号予可编程逻辑门装置30。

计算机系统1可包括数据总线d1及数据总线d2，数据总线d1分别连接中央处理器模块10与基板管理控制器20，而数据总线d2分别连接基板管理控制器20与可编程逻辑门装置30，以进行数据的传送。

计算机系统1可包括四数据总线，即数据总线d3、数据总线d4、数据总线d5及数据总线d6，其分别连接可编程逻辑门装置30与bmc固件储存装置40、可编程逻辑门装置30与bios固件储存装置50、可编程逻辑门装置30与bmc备份固件储存装置60、以及可编程逻辑门装置30与bios备份固件储存装置70，以供可编程逻辑门装置30透过数据总线d3、数据总线d4、数据总线d5及数据总线d6分别读取或写入bmc固件数据41、bios固件数据51、bmc备份固件数据61与bios备份固件数据71。

图2为绘示本发明中具开机的可信验证与容错移转的方法的示意流程图，并参阅图1加以说明。

本发明中开机的可信验证与容错移转的方法提供一包括基板管理控制器(bmc)20、bmc固件储存装置40、bios(基本输入输出系统)固件储存装置50、bmc备份固件储存装置60、bios备份固件储存装置70与可编程逻辑门装置30的计算机系统1，且可编程逻辑门装置30将基板管理控制器20物理隔离bmc固件储存装置40、bios固件储存装置50、bmc备份固件储存装置60与bios备份固件储存装置70。当计算机系统1进行开机时，由可编程逻辑门装置30对bmc固件储存装置40的bmc固件数据41与bios固件储存装置50的bios固件数据51执行可信验证。而且，当bmc固件数据41或bios固件数据51未通过可信验证时，由可编程逻辑门装置30将无法被修改及保证可信的bmc备份固件储存装置60的bmc备份固件数据61或bios备份固件储存装置70的bios备份固件数据71对应覆盖未通过可信验证的bmc固件数据41或bios固件数据51以达到容错移转。

详言之，在图2的步骤s01中，在计算机系统1接上电源并启动计算机系统1的电源键b1的情况下，基板管理控制器20与可编程逻辑门装置30均有电且开始运作。

在图2的步骤s02中，由可编程逻辑门装置30控制计算机系统1的控制总线c3，以使基板管理控制器20处于重置状态而无法运行。接着，由可编程逻辑门装置30经由计算机系统1的数据总线d3读取bmc固件储存装置40的bmc固件数据41，并透过可编程逻辑门装置30的数据验证演算法31对bmc固件数据41执行可信验证。

在图2的步骤s03中，由可编程逻辑门装置30的数据验证演算法31判断bmc固件数据41是否通过可信验证。若否，则进入步骤s04；若是，则进入步骤s05。

在图2的步骤s04中，若bmc固件数据41未通过数据验证演算法31的可信验证，则可编程逻辑门装置30控制计算机系统1的数据总线d5以读取bmc备份固件储存装置60中无法被修改及保证可信的bmc备份固件数据61，并将无法被修改及保证可信的bmc备份固件数据61经由数据总线d3写入覆盖bmc固件储存装置40中未通过可信验证的bmc固件数据41。

在图2的步骤s05中，若bmc固件数据41通过数据验证演算法31的可信验证，则可编程逻辑门装置30控制计算机系统1的控制总线c3以释放基板管理控制器20而开始运行，使基板管理控制器20依序透过计算机系统1的数据总线d2与可编程逻辑门装置30读取bios固件储存装置50的bios固件数据51以执行运作。

在图2的步骤s06中，判断计算机系统1是否处于关机状态。若否，则进入步骤s15；若是，则进入步骤s07。

在图2的步骤s07中，若计算机系统1处于关机状态，则基板管理控制器20控制计算机系统1的控制总线c1，以使计算机系统1的中央处理器模块10处于重置状态而无法运作。

在图2的步骤s08中，由可编程逻辑门装置30持续监控计算机系统1的电源键b1是否被启动而送出开机信号。若否，则进入步骤s09；若是，则进入步骤s11。

在图2的步骤s09中，由可编程逻辑门装置30持续监控基板管理控制器20是否发生内部或非预期的外力重置。若否，则返回步骤s08；若是，则进入步骤s10。

在图2的步骤s10中，由基板管理控制器20透过控制总线c2传送重置通知信号予可编程逻辑门装置30，并返回步骤s02。

在图2的步骤s11中，若可编程逻辑门装置30收到电源键b1被启动而送出的开机信号，则可编程逻辑门装置30透过数据总线d4读取bios固件储存装置50的bios固件数据51，并由可编程逻辑门装置30的数据验证演算法31对bios固件数据51执行可信验证。

在图2的步骤s12中，由可编程逻辑门装置30的数据验证演算法31判断bios固件数据51是否通过可信验证。若否，则进入步骤s13；若是，则进入步骤s14。

在图2的步骤s13中，若bios固件数据51未通过可信验证，则可编程逻辑门装置30控制计算机系统1的数据总线d6以读取bios备份固件储存装置70中无法被修改及保证可信的bios备份固件数据71，并将无法被修改及保证可信的bios备份固件数据71经由计算机系统1的数据总线d4写入覆盖bios固件储存装置50中未通过可信验证的bios固件数据51。

在图2的步骤s14中，若bios固件数据51通过可信验证，则可编程逻辑门装置30控制计算机系统1的控制总线c3以通知基板管理控制器20有关bios固件数据51已通过可信验证，使基板管理控制器20控制计算机系统的控制总线c1以释放计算机系统1的中央处理器模块10而开始运作。中央处理器模块10开始运作后会控制数据总线d1，并依序透过基板管理控制器20、数据总线d2、可编程逻辑门装置30、数据总线d4去读取bios固件储存装置50的bios固件数据51以执行计算机系统1的开机，此时计算机系统1已安全开机。

在图2的步骤s15中，由可编程逻辑门装置30持续监控电源键b1或重置键b2是否被启动而送出相应的关机信号或重置信号。若否，则进入步骤s16；若是，则进入步骤s17。

在图2的步骤s16中，由可编程逻辑门装置30持续监控基板管理控制器20是否发生内部或非预期的外力重置。若否，则返回步骤s15；若是，则进入步骤s10。

在图2的步骤s17中，若可编程逻辑门装置30收到电源键b1的关机信号或重置键b2的重置信号，则可编程逻辑门装置30会控制该控制总线c3通知基板管理控制器20，使基板管理控制器20透过控制总线c1传送关机信号或重置信号至中央处理器模块10，而中央处理器模块10会依据关机信号或重置信号执行相应的关机或重置动作，并经由数据总线d1送出重置信号予基板管理控制器20，此时返回步骤s07。

由上可知，本发明具开机的可信验证与容错移转的计算机系统及方法中，当计算机系统进行开机时，经由可编程逻辑门装置对bmc固件数据与bios固件数据执行可信验证，并在bmc固件数据或bios固件数据未通过可信验证时，将无法被修改及保证可信的bmc备份固件数据或bios备份固件数据写入覆盖未通过可信验证的bmc固件数据或bios固件数据，藉以达到容错移转，据此提供对计算机系统的开机程序具有可信验证与容错移转的保护机制。

同时，本发明的可编程逻辑门装置可将基板管理控制器(或中央处理器模块)物理隔离bmc固件储存装置、bios固件储存装置、bmc备份固件储存装置与bios备份固件储存装置，使基板管理控制器(或中央处理器模块)无法直接读取或写入bmc固件储存装置、bios固件储存装置、bmc备份固件储存装置或bios备份固件储存装置等的固件数据，以达到物理隔离保护该些固件数据的效果。

此外，本发明的基板管理控制器(bmc)需透过可编程逻辑门装置才能读取其开机的bmc固件数据以达成第一层的分层保护，而中央处理器模块需透过基板管理控制器与可编程逻辑门装置才能读取其开机的bios固件数据以达成第二层的分层保护，藉此提供双层的保护机制。

上述实施形态仅例示性说明本发明的原理、特点及其功效，并非用以限制本发明的可实施范畴，任何熟习此项技艺的人士均可在不违背本发明的精神及范畴下，对上述实施形态进行修饰与改变。任何运用本发明所揭示内容而完成的等效改变及修饰，均仍应为权利要求范围所涵盖。因此，本发明的权利保护范围，应如权利要求书所列。