一种增强USB总线安全的方法、装置、设备及可读介质与流程

一种增强usb总线安全的方法、装置、设备及可读介质
技术领域
1.本发明涉及计算机领域，并且更具体地涉及一种增强usb总线安全的方法、装置、设备及可读介质。


背景技术：

2.服务器中除cpu以外还运行了一个独立于cpu的系统bmc，bmc用来对服务器的主板进行监控，bmc和cpu之间进行控制通讯的物理通路有多种，包括usb总线等。usb总线是通用串行总线，usb接口位于ps/2接口和串并口之间，允许外设在开机状态下热插拔，最多可串接下来127个外设，传输速率可达480mb/s，它可以向低压设备提供5伏电源，同时可以减少pc机i/o接口数量。
3.使用usb总线可以进行文件传输、通讯控制等，现有的方案中运行在cpu上的os的任何用户均可以不受控制的通过usb对bmc进行控制，存在安全隐患。


技术实现要素：

4.有鉴于此，本发明实施例的目的在于提出一种增强usb总线安全的方法、装置、设备及可读介质，通过使用本发明的技术方案，能够避免运行在cpu上的os的任何用户均可以不受控制的通过usb对bmc进行通讯的安全隐患，能够增强服务器的安全性，提高产品竞争力。
5.基于上述目的，根据本发明的一个方面，提供了一种增强usb总线安全的方法，包括以下步骤：
6.将os和bmc之间的usb总线通道的控制开关连接到cpld；
7.cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；
8.响应于os通过usb总线访问bmc，判断os是否具有访问权限；
9.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。
10.根据本发明的一个实施例，cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭包括：
11.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
12.根据本发明的一个实施例，响应于os通过usb总线访问bmc，判断os是否具有访问权限包括：
13.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
14.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
15.根据本发明的一个实施例，响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯包括：
16.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
17.bmc接到开启usb通道的命令后将usb通道打开；
18.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
19.根据本发明的另一个方面，还提供了一种增强usb总线安全的装置，装置包括：
20.连接模块，连接模块配置为将os和bmc之间的usb总线通道的控制开关连接到cpld；
21.控制模块，控制模块配置为将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；
22.判断模块，判断模块配置为响应于os通过usb总线访问bmc，判断os是否具有访问权限；
23.建立模块，建立模块配置为响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。
24.根据本发明的一个实施例，控制模块还配置为：
25.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
26.根据本发明的一个实施例，判断模块还配置为：
27.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
28.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
29.根据本发明的一个实施例，建立模块还配置为：
30.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
31.bmc接到开启usb通道的命令后将usb通道打开；
32.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
33.本发明的实施例的另一个方面，还提供了一种计算机设备，该计算机设备包括：
34.至少一个处理器；以及
35.存储器，存储器存储有可在处理器上运行的计算机指令，指令由处理器执行时实现上述任意一项方法的步骤。
36.本发明的实施例的另一个方面，还提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述任意一项方法的步骤。
37.本发明具有以下有益技术效果：本发明实施例提供的增强usb总线安全的方法，通过将os和bmc之间的usb总线通道的控制开关连接到cpld；cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；响应于os通过usb总线访问bmc，判断os是否具有访问权限；响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯的技术方案，能够避免运行在cpu上的os的任何用户均可以不受控制的通过usb对bmc进行通讯的安全隐患，能够增强服务器的安全性，提高产品竞争力。
附图说明
38.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。
39.图1为根据本发明一个实施例的增强usb总线安全的方法的示意性流程图；
40.图2为根据本发明一个实施例的增强usb总线安全的装置的示意图；
41.图3为根据本发明一个实施例的计算机设备的示意图；
42.图4为根据本发明一个实施例的计算机可读存储介质的示意图。
具体实施方式
43.为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明实施例进一步详细说明。
44.基于上述目的，本发明的实施例的第一个方面，提出了一种增强usb总线安全的方法的一个实施例。图1示出的是该方法的示意性流程图。
45.如图1中所示，该方法可以包括以下步骤：
46.s1将os和bmc之间的usb总线通道的控制开关连接到cpld。
47.s2 cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭。os和bmc之间的usb总线控制开关接到cpld，通道默认是关闭的，cpld可以通过gpio将控制开关的开关控制器开放给bmc，bmc可以通过gpio控制usb通道的打开和关闭。
48.s3响应于os通过usb总线访问bmc，判断os是否具有访问权限。
49.os需要通过usb访问bmc时，os需要通过用户认证的通道进行认证，认证通过后使用bmc的口令访问bmc提供的web、redfish和ipmi接口。认证的过程可以使用验证密码，秘钥和口令等方式。
50.s4响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。bmc接到开启通道命令后，将usb通道打开，通道打开后反馈给os，os加载usb驱动，建立和bmc的通讯。
51.通过本发明的技术方案，能够避免运行在cpu上的os的任何用户均可以不受控制的通过usb对bmc进行通讯的安全隐患，能够增强服务器的安全性，提高产品竞争力。
52.在本发明的一个优选实施例中，cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭包括：
53.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
54.在本发明的一个优选实施例中，响应于os通过usb总线访问bmc，判断os是否具有访问权限包括：
55.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
56.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
57.在本发明的一个优选实施例中，响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯包括：
58.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
59.bmc接到开启usb通道的命令后将usb通道打开；
60.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
61.通过本发明的技术方案，能够避免运行在cpu上的os的任何用户均可以不受控制的通过usb对bmc进行通讯的安全隐患，能够增强服务器的安全性，提高产品竞争力。
62.需要说明的是，本领域普通技术人员可以理解实现上述实施例方法中的全部或部
分流程，可以通过计算机程序来指令相关硬件来完成，上述的程序可存储于计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中存储介质可为磁碟、光盘、只读存储器(read-only memory，rom)或随机存取存储器(random access memory，ram)等。上述计算机程序的实施例，可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
63.此外，根据本发明实施例公开的方法还可以被实现为由cpu执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被cpu执行时，执行本发明实施例公开的方法中限定的上述功能。
64.基于上述目的，本发明的实施例的第二个方面，提出了一种增强usb总线安全的装置，如图2所示，装置200包括：
65.连接模块，连接模块配置为将os和bmc之间的usb总线通道的控制开关连接到cpld；
66.控制模块，控制模块配置为将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；
67.判断模块，判断模块配置为响应于os通过usb总线访问bmc，判断os是否具有访问权限；
68.建立模块，建立模块配置为响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。
69.在本发明的一个优选实施例中，控制模块还配置为：
70.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
71.在本发明的一个优选实施例中，判断模块还配置为：
72.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
73.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
74.在本发明的一个优选实施例中，建立模块还配置为：
75.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
76.bmc接到开启usb通道的命令后将usb通道打开；
77.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
78.基于上述目的，本发明实施例的第三个方面，提出了一种计算机设备。图3示出的是本发明提供的计算机设备的实施例的示意图。如图3所示，本发明实施例包括如下装置：至少一个处理器s21；以及存储器s22，存储器s22存储有可在处理器上运行的计算机指令s23，指令由处理器执行时实现以下方法：
79.将os和bmc之间的usb总线通道的控制开关连接到cpld；
80.cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；
81.响应于os通过usb总线访问bmc，判断os是否具有访问权限；
82.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。
83.在本发明的一个优选实施例中，cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭包括：
84.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
85.在本发明的一个优选实施例中，响应于os通过usb总线访问bmc，判断os是否具有访问权限包括：
86.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
87.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
88.在本发明的一个优选实施例中，响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯包括：
89.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
90.bmc接到开启usb通道的命令后将usb通道打开；
91.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
92.基于上述目的，本发明实施例的第四个方面，提出了一种计算机可读存储介质。图4示出的是本发明提供的计算机可读存储介质的实施例的示意图。如图4所示，计算机可读存储介质s31存储有被处理器执行时执行如下方法的计算机程序s32：
93.将os和bmc之间的usb总线通道的控制开关连接到cpld；
94.cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭；
95.响应于os通过usb总线访问bmc，判断os是否具有访问权限；
96.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯。
97.在本发明的一个优选实施例中，cpld将控制开关的开关控制器开放给bmc，bmc通过cpld控制usb总线通道的打开或关闭包括：
98.bmc通过cpld的gpio接口控制usb总线通道的打开或关闭。
99.在本发明的一个优选实施例中，响应于os通过usb总线访问bmc，判断os是否具有访问权限包括：
100.响应于os通过usb总线访问bmc，获取用户的信息以及验证密码；
101.响应于用户的信息以及验证密码在数据库中匹配成功，确定os具有访问权限。
102.在本发明的一个优选实施例中，响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口以与bmc建立通讯包括：
103.响应于os具有访问权限，使用bmc的口令访问bmc提供的web、redfish和ipmi接口；
104.bmc接到开启usb通道的命令后将usb通道打开；
105.将通道打开的消息反馈给os，os加载usb驱动并建立与bmc的通讯。
106.此外，根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序，该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时，执行本发明实施例公开的方法中限定的上述功能。
107.此外，上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
108.本领域技术人员还将明白的是，结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性，已经就各种示意性组件、方块、模块、电路和步骤的功能对其进
行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能，但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
109.在一个或多个示例性设计中，功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现，则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质，该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的，该计算机可读介质可以包括ram、rom、eeprom、cd-rom或其它光盘存储设备、磁盘存储设备或其它磁性存储设备，或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外，任何连接都可以适当地称为计算机可读介质。例如，如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(dsl)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件，则上述同轴线缆、光纤线缆、双绞线、dsl或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的，磁盘和光盘包括压缩盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘、蓝光盘，其中磁盘通常磁性地再现数据，而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
110.以上是本发明公开的示例性实施例，但是应当注意，在不背离权利要求限定的本发明实施例公开的范围的前提下，可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外，尽管本发明实施例公开的元素可以以个体形式描述或要求，但除非明确限制为单数，也可以理解为多个。
111.应当理解的是，在本文中使用的，除非上下文清楚地支持例外情况，单数形式“一个”旨在也包括复数形式。还应当理解的是，在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
112.上述本发明实施例公开实施例序号仅仅为了描述，不代表实施例的优劣。
113.本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成，也可以通过程序来指令相关的硬件完成，程序可以存储于一种计算机可读存储介质中，上述提到的存储介质可以是只读存储器，磁盘或光盘等。
114.所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子；在本发明实施例的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，并存在如上的本发明实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。因此，凡在本发明实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明实施例的保护范围之内。