一种服务器的硬件识别方法、系统及相关组件与流程

1.本发明涉及服务器应用领域，特别涉及一种服务器的硬件识别方法、系统及相关组件。


背景技术：

2.当前，随着服务器厂商及设备制造商在设备接口的结构、信号协议交互、设别形态上逐渐统一，硬件设备与服务器之间的适配性和兼容度越来越高，用户可选择不同的主板和不同厂商、系统或类型的硬件设备，在最大范围内满足用户的不同需求。
3.但对于服务器配置相对固定的数据中心，以及其他安全需求较高的服务器系统，这种高兼容度和通用性极大地增大了数据泄露和遭受攻击的可能，外接硬件设备对服务器进行数据窃取、病毒种植的风险大大增加。
4.因此，如何提供一种解决上述技术问题的方案是目前本领域技术人员需要解决的问题。


技术实现要素：

5.有鉴于此，本发明的目的在于提供一种服务器的硬件识别方法、系统及相关组件，以保证服务器的数据安全。其具体方案如下：
6.一种服务器的硬件识别方法，包括：
7.获取当前接入服务器的所有硬件设备的设备信息；
8.获取预存于系统flash中的设备白名单；
9.根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；
10.若是，则正常运行所述服务器及所有所述硬件设备；
11.若否，则令所述服务器处于关机状态。
12.优选的，当所述硬件设备为pcie设备，所述硬件识别方法通过cpld执行，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：
13.响应外部开机信号，控制所述服务器上电开机，同时释放bmc的复位信号；
14.所述令所述服务器处于关机状态的过程，包括：
15.不响应所述外部开机信号，将所述服务器锁存在s5状态，同时禁止释放所述bmc的复位信号。
16.优选的，当所述硬件设备为硬盘，所述硬件识别方法通过bmc执行，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：
17.继续运行所述服务器，并开通所述服务器与所有所述硬盘的通讯通路；
18.所述令所述服务器处于关机状态的过程，包括：
19.通过cpld启动整机下电程序，以使服务器进入关机状态。
20.优选的，所述硬盘包括：
21.由pch直接扩展的sata硬盘；
22.和/或，由raid卡及expander卡扩展的sas硬盘或sata硬盘；
23.和/或，由pcie端口引出的nvme硬盘或由pcie switch扩展的nvme硬盘。
24.优选的，所述设备信息包括：设备厂商、和/或设备型号、和/或设备id、和/或设备安全校验码。
25.优选的，所述硬件识别方法还包括：
26.通过管理员账户对所述系统flash中的所述设备白名单进行烧录更新。
27.相应的，本技术还公开了一种服务器的硬件识别系统，包括：
28.第一获取单元，用于获取当前接入服务器的所有硬件设备的设备信息；
29.第二获取单元，用于获取预存于系统flash中的设备白名单；
30.判断单元，用于根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；若是，则正常运行所述服务器及所有所述硬件设备；若否，则令所述服务器处于关机状态。
31.相应的，本技术还公开了一种服务器的硬件识别装置，包括：
32.存储器，用于存储计算机程序；
33.处理器，用于执行所述计算机程序时实现如上文任一项所述服务器的硬件识别方法的步骤。
34.相应的，本技术还公开了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上文任一项所述服务器的硬件识别方法的步骤。
35.本技术公开了一种服务器的硬件识别方法，包括：获取当前接入服务器的所有硬件设备的设备信息；获取预存于系统flash中的设备白名单；根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；若是，则正常运行所述服务器及所有所述硬件设备；若否，则令所述服务器处于关机状态。本技术利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
附图说明
36.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
37.图1为本发明实施例中一种服务器的硬件识别方法的步骤流程图；
38.图2为本发明实施例中一种服务器的系统架构图；
39.图3为本发明实施例中另一种服务器的系统架构图；
40.图4为本发明实施例中一种服务器的硬件识别系统的结构分布图。
具体实施方式
41.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完
整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
42.对于服务器配置相对固定的数据中心，以及其他安全需求较高的服务器系统，硬件设备的高兼容度和通用性极大地增大了数据泄露和遭受攻击的可能，外接硬件设备对服务器进行数据窃取、病毒种植的风险大大增加。
43.本技术利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
44.本发明实施例公开了一种服务器的硬件识别方法，参见图1所示，包括：
45.s1：获取当前接入服务器的所有硬件设备的设备信息；
46.具体的，接入服务器的硬件设备包括各类高兼容度、协议通用的硬件设备，例如不同类型的硬盘，又例如不同形式的pcie(peripheral component interconnect express，最新的总线和接口标准)设备；设备信息包括但不限于：设备厂商、和/或设备型号、和/或设备id、和/或设备安全校验码，这些设备信息存储于硬件设备的内部，作为硬件设备的识别码。
47.s2：获取预存于系统flash中的设备白名单；
48.其中，步骤s1和s2没有必然的动作先后顺序。
49.s3：根据设备信息，判断所有硬件设备是否均位于设备白名单中；
50.s4：若是，则正常运行服务器及所有硬件设备；
51.s5：若否，则令服务器处于关机状态。
52.可以理解的是，设备白名单中预存了用户或系统flash默认支持的安全可靠的硬件设备的设备信息。如果当前接入服务器的所有硬件设备均位于设备白名单中，则当前服务器接入的硬件设备可靠安全，允许服务器正常运行，一旦存在不属于设备白名单的硬件设备，为了保护服务器的信息安全，立即令服务器处于关机状态，即使再次启动，服务器依然重复步骤s1-s5的动作，直至不属于设备白名单的硬件设备断开连接或被更新进入设备白名单位置。
53.可以理解的是，步骤s2中的设备白名单可在更高权限下更新，也即硬件识别方法还包括：
54.s6：通过管理员账户对系统flash中的设备白名单进行烧录更新。
55.可以理解的是，设备白名单一般以加密编码的形式本机默认支持的硬件设备的存储设备信息，当用户需要新增、删除或修改系统flash中的设备白名单时，可在授权后通过bmc(baseboard management controller，基板管理控制器)管理端口登录管理员账户，通过bmc烧录更新系统flash内的白名单信息，并在下次断ac(alternating current，交流电)电源重启后生效。
56.本技术公开了一种服务器的硬件识别方法，包括：获取当前接入服务器的所有硬件设备的设备信息；获取预存于系统flash中的设备白名单；根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；若是，则正常运行所述服务器及所有所述硬
件设备；若否，则令所述服务器处于关机状态。本技术利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
57.本发明实施例公开了一种具体的服务器的硬件识别方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的，当所述硬件设备为pcie设备：
58.所述硬件识别方法通过cpld执行，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：
59.响应外部开机信号，控制所述服务器上电开机，同时释放bmc的复位信号；
60.所述令所述服务器处于关机状态的过程，包括：
61.不响应所述外部开机信号，将所述服务器锁存在s5状态，同时禁止释放所述bmc的复位信号。
62.参见图2所示的服务器系统架构图，其中包括与本实施例相关的所有组件，其中主板上的cpld(complex programmable logic device，复杂可编程逻辑器件)控制服务器开关机的上下电时序并监控部分功能模块的健康状况，在本实施例中，cpld作为pcie设备识别的核心控制模块，执行本实施例的硬件识别方法；主板上的bmc主要功能是实现对服务器整机的温度、电压、运行状态等各方面的带外监控；主板上的pcie槽位外接pcie设备，即pcie dev a-d，bmc和cpld基于i2c(inter-integrated circuit，两线式串行总线)协议访问pcie设备，i2c mux为i2c总线分支器，用于i2c的主从多设备之间的i2c信号转换，系统flash内预存设备白名单。
63.pcie设备的具体硬件识别方法的实施过程如下：
64.在服务器ac电源供电后，整机处于s5状态，s5状态指待机状态，主板只供应待机电源；在s5状态下，cpld首先工作，将bmc的复位信号控制在复位状态，即不工作状态，此时bmc不再作为通过i2c协议访问pcie设备的主设备；
65.cpld占用i2c总线对pcie设备进行访问，获取其设备信息，同时cpld读取系统flash中预存的设备白名单；通过比对设备白名单中的设备信息和外部实际获取的pcie设备的设备信息，对外接的pcie设备进行安全认证；当认证结束，如果所有pcie设备位于设备白名单中，则cpld响应外部开机信号并按照上电时序控制服务器开机，同时释放bmc的复位信号，使bmc可以正常启动并继续访问pcie设备；如果pcie设备的设备信息未完全位于设备白名单中，cpld将不响应外部开机信号，整机将一直锁存在s5状态无法开机，同时bmc的复位信号无法释放。
66.可以理解的是，pcie设备的高兼容性及通用性极大地增加了数据泄露及遭受攻击的风险。本技术针对通用的服务器系统设计缺少pcie设备准入审核的缺陷，提出了一种支持pcie设备安全认证及身份审核准入的硬件识别方法，极大增强了服务器自身的安全性和稳定性，可以有效地避免通过外接未知的pcie设备进行数据窃取及病毒种植的威胁。
67.本发明实施例公开了一种具体的服务器的硬件识别方法，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。具体的，当所述硬件设备为硬盘，所述硬件识别方法通过bmc执行：
68.其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：
69.继续运行所述服务器，并开通所述服务器与所有所述硬盘的通讯通路；
70.所述令所述服务器处于关机状态的过程，包括：
71.通过cpld启动整机下电程序，以使服务器进入关机状态。
72.参见图3所示的服务器系统架构图，其中包括与本实施例相关的所有组件，本实施例中所述硬盘包括：
73.由pch直接扩展的sata硬盘；
74.和/或，由raid卡及expander卡扩展的sas硬盘或sata硬盘；
75.和/或，由pcie端口引出的nvme硬盘或由pcie switch扩展的nvme硬盘；
76.其中，sata(serial advanced technology attachment，串行高级技术附件)硬盘或sas(serial attached scsi，串行连接scsi接口)硬盘可以硬盘阵列的形式接入服务器；nvme(non-volatile memory express，非易失性内存主机控制器接口规范)硬盘通过i2c协议与bmc进行通信，pcie switch扩展主要由i2c mux实现。
77.其中，主板上的bmc的主要功能是实现对服务器整机的温度、电压、运行状态等各方面的带外监控，同时可获取硬盘状态信息及触发故障告警，本实施例中bmc作为外插硬盘设备身份识别及认证的核心控制模块，执行硬件识别方法：
78.在服务器整机交付时，系统flash内已预存设备白名单，设备白名单内的设备信息包括设备厂商、和/或设备系列、和/或设备信号、和/或设备安全校验码等。服务器上电后，bmc将通过spi(serial peripheral interface，串行外设接口)总线或其他方式加载flash内的信息，bmc完成启动并同步获取预设白名单；
79.针对不同拓扑下挂接的硬盘，bmc获取实际硬盘的设备信息的途径存在差异：对于pch(platform controller hub，集成南桥)直出的sata硬盘，在开机过程中pch将通过高速总线直接获取到硬盘的设备信息，并通过bmc与pch之间的usb/i2c总线将硬盘信息传递给bmc；对于通过raid(redundant array of independent disks，独立磁盘冗余阵列)卡配合expander扩展的sas/sata硬盘，开机过程中raid卡将通过高速总线直接获取到下面挂载的硬盘的设备信息，同时bmc也将通过与raid卡之间的i2c总线同步获取到相关信息；而对于cpu的pcie端口直出或经过pcie switch扩展的nvme硬盘，在服务器开机过程中bmc将经由i2c switch通过i2c总线直接获取到nvme硬盘的设备信息；
80.bmc将获得本机默认支持的预设白名单中的设备信息及当前实际挂接的硬盘设备的设备信息，随后将基于bmc芯片进行设备信息的校验及认证。当实际挂载的硬盘属于白名单范围内时，整机将继续运行；当实际配置的硬盘超出白名单规定的范围时，bmc将通过一个gpio(general purpose input output，通用输入输出口)通知到cpld，cpld将启动整机下电程序，使服务器进入关机模式。每次开机过程中，bmc将会进行一次上述认证流程，确保搭配的硬盘符合安全要求。
81.服务器主板对不同来源的硬盘设备的高兼容性，极大地增加了数据泄露及遭受攻击的风险。本实施例主要针对于通用的服务器系统设计上缺少硬盘设备准入审核的缺陷，提出了一种应用于服务器的对主流的sas/sata/nvme硬盘进行安全认证的硬件识别方法。主板支持对接入硬盘设备进行安全认证及身份审核准入，极大增强了服务器自身的安全性和稳定性，可以有效地避免通过外接未知的硬盘设备进行数据窃取、违法操作及病毒植入的威胁。
82.相应的，本技术还公开了一种服务器的硬件识别系统，参见图4所示，包括：
83.第一获取单元1，用于获取当前接入服务器的所有硬件设备的设备信息；
84.第二获取单元2，用于获取预存于系统flash中的设备白名单；
85.判断单元3，用于根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；若是，则正常运行所述服务器及所有所述硬件设备；若否，则令所述服务器处于关机状态。
86.本技术实施例利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
87.在一些具体的实施例中，当所述硬件设备为pcie设备，所述硬件识别系统基于cpld实现，其中判断单元3所述正常运行所述服务器及所有所述硬件设备的过程，包括：响应外部开机信号，控制所述服务器上电开机，同时释放bmc的复位信号；所述令所述服务器处于关机状态的过程，包括：不响应所述外部开机信号，将所述服务器锁存在s5状态，同时禁止释放所述bmc的复位信号。
88.在一些具体的实施例中，当所述硬件设备为硬盘，所述硬件识别系统基于bmc实现，其中判断单元3所述正常运行所述服务器及所有所述硬件设备的过程，包括：继续运行所述服务器，并开通所述服务器与所有所述硬盘的通讯通路；所述令所述服务器处于关机状态的过程，包括：通过cpld启动整机下电程序，以使服务器进入关机状态。
89.在一些具体的实施例中，所述硬盘包括：
90.由pch直接扩展的sata硬盘；
91.和/或，由raid卡及expander卡扩展的sas硬盘或sata硬盘；
92.和/或，由pcie端口引出的nvme硬盘或由pcie switch扩展的nvme硬盘。
93.在一些具体的实施例中，所述设备信息包括：设备厂商、和/或设备型号、和/或设备id、和/或设备安全校验码。
94.在一些具体的实施例中，硬件识别系统还包括：
95.更新单元4，用于通过管理员账户对所述系统flash中的所述设备白名单进行烧录更新。
96.相应的，本技术还公开了一种服务器的硬件识别装置，包括处理器和存储器；其中，所述处理器执行所述存储器中保存的计算机程序时实现以下步骤：
97.获取当前接入服务器的所有硬件设备的设备信息；
98.获取预存于系统flash中的设备白名单；
99.根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；
100.若是，则正常运行所述服务器及所有所述硬件设备；
101.若否，则令所述服务器处于关机状态。
102.本实施例利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
103.在一些具体的实施例中，当所述硬件设备为pcie设备，处理器具体为cpld，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：响应外部开机信号，控制所述服务器上电开机，同时释放bmc的复位信号；所述令所述服务器处于关机状态的过程，包括：不响应所述外部开机信号，将所述服务器锁存在s5状态，同时禁止释放所述bmc的复位信号。
104.在一些具体的实施例中，当所述硬件设备为硬盘，处理器具体为bmc，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：继续运行所述服务器，并开通所述服务器与所有所述硬盘的通讯通路；所述令所述服务器处于关机状态的过程，包括：通过cpld启动整机下电程序，以使服务器进入关机状态。
105.在一些具体的实施例中，所述硬盘包括：
106.由pch直接扩展的sata硬盘；
107.和/或，由raid卡及expander卡扩展的sas硬盘或sata硬盘；
108.和/或，由pcie端口引出的nvme硬盘或由pcie switch扩展的nvme硬盘。
109.在一些具体的实施例中，所述设备信息包括：设备厂商、和/或设备型号、和/或设备id、和/或设备安全校验码。
110.在一些具体的实施例中，所述处理器执行所述存储器中保存的计算机子程序时，还可以实现以下步骤：通过管理员账户对所述系统flash中的所述设备白名单进行烧录更新。
111.进一步的，本技术实施例还公开了一种可读存储介质，这里所说的可读存储介质包括随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动硬盘、cd-rom或技术领域内所公知的任意其他形式的存储介质。可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
112.获取当前接入服务器的所有硬件设备的设备信息；
113.获取预存于系统flash中的设备白名单；
114.根据所述设备信息，判断所有所述硬件设备是否均位于所述设备白名单中；
115.若是，则正常运行所述服务器及所有所述硬件设备；
116.若否，则令所述服务器处于关机状态。
117.本技术实施例利用预存的设备白名单，对接入服务器的硬件设备进行检测，只有当所有硬件设备均位于设备白名单时，才允许正常运行，一旦存在硬件设备不在设备白名单中，服务器立刻关机，从而保证了服务器的信息安全，杜绝了硬件设备窃取数据或对服务器进行病毒终止的可能。
118.在一些具体的实施例中，当所述硬件设备为pcie设备，所述可读存储介质中存储的计算机子程序被cpld执行时，所述硬件识别方法通过cpld执行，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：响应外部开机信号，控制所述服务器上电开机，同时释放bmc的复位信号；所述令所述服务器处于关机状态的过程，包括：不响应所述外部开机信号，将所述服务器锁存在s5状态，同时禁止释放所述bmc的复位信号。
119.在一些具体的实施例中，当所述硬件设备为硬盘，所述可读存储介质中存储的计算机子程序被bmc执行时，其中所述正常运行所述服务器及所有所述硬件设备的过程，包括：继续运行所述服务器，并开通所述服务器与所有所述硬盘的通讯通路；所述令所述服务器处于关机状态的过程，包括：通过cpld启动整机下电程序，以使服务器进入关机状态。
120.在一些具体的实施例中，所述硬盘包括：
121.由pch直接扩展的sata硬盘；
122.和/或，由raid卡及expander卡扩展的sas硬盘或sata硬盘；
123.和/或，由pcie端口引出的nvme硬盘或由pcie switch扩展的nvme硬盘。
124.在一些具体的实施例中，所述设备信息包括：设备厂商、和/或设备型号、和/或设备id、和/或设备安全校验码。
125.在一些具体的实施例中，所述可读存储介质中存储的计算机子程序被处理器执行时，还可以实现以下步骤：
126.通过管理员账户对所述系统flash中的所述设备白名单进行烧录更新。
127.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
128.以上对本发明所提供的一种服务器的硬件识别方法、系统及相关组件进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。