一种安全控制模组的启动方法及相关装置与流程

1.本技术涉及计算机技术领域，特别涉及一种安全控制模组的启动方法、启动装置、计算模组及计算机可读存储介质。


背景技术：

2.随着信息技术的不断发展，为了保持服务器的运行可靠性，服务器中出现了越来越多的控制器。其中，bmc(baseboard management controller，基板管理控制器)是一个独立于服务器系统的小型操作系统，在服务器系统中起到远程管理、部署、重启等操作。
3.相关技术中，在现有的dc-scm2.0(datacenter-ready secure control module，数据中心预备安全控制模组)规范中只定义了从bmc接到rot(root of trust，可信根)来实现对flash(存储器)的保护和修复等，没有可信根的具体实现方式。也就是说，rot只是一个逻辑概念，没有在dc-scm实际应用中需要给出具体的rot实现方式。
4.因此，如何在dc-scm中应用可信根的安全操作是本领域技术人员关注的重点问题。


技术实现要素：

5.本技术的目的是提供一种安全控制模组的启动方法、启动装置、计算模组及计算机可读存储介质，以在安全控制模组中实现安全启动操作，提高模组的安全性。
6.为解决上述技术问题，本技术提供一种安全控制模组的启动方法，包括：
7.平台固件弹性装置进入启动状态；
8.当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验；
9.当校验成功时，进入正常启动模式；
10.当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
11.可选的，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式，包括：
12.当校验失败时，所述平台固件弹性装置擦除校验失败的存储器数据；
13.基于镜像文件对所述存储器数据进行恢复，直至校验成功并进入正常启动模式。
14.可选的，还包括：
15.所述平台固件弹性装置对总线的数据进行监控处理和过滤处理，得到符合白名单规则的数据；
16.将所述符合白名单规则的数据写入对应的存储器中。
17.可选的，平台固件弹性装置进入启动状态，包括：
18.当设备上电后，判断是否处于预启动状态；
19.若是，则启动所述平台固件弹性装置。
20.可选的，还包括：
21.当校验失败时，进行校验失败数据记录处理，得到日志数据。
22.可选的，对基板控制器的存储器和基本输入输出系统的存储器进行校验，包括：
23.基于预设的校验码对基板控制器的存储器和基本输入输出系统的存储器进行校验。
24.可选的，对基板控制器的存储器和基本输入输出系统的存储器进行校验，包括：
25.基于预设的校验标识对基板控制器的存储器和基本输入输出系统的存储器进行校验。
26.本技术还提供一种安全控制模组的启动装置，包括：
27.启动处理模块，用于进入启动状态；
28.数据校验模块，用于当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验；
29.校验成功处理模块，用于当校验成功时，进入正常启动模式；
30.校验失败处理模块，用于当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
31.本技术还提供一种计算模组，包括：
32.存储器，用于存储计算机程序；
33.处理器，用于执行所述计算机程序时实现如上所述的启动方法的步骤。
34.本技术还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的启动方法的步骤。
35.本技术所提供的一种安全控制模组的启动方法，包括：平台固件弹性装置进入启动状态；当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验；当校验成功时，进入正常启动模式；当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
36.通过平台固件弹性装置当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验，当校验成功时，进入正常启动模式，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式，在dc-scm实际应用中实现了rot，实现安全启动操作，提高模组的安全性。
37.本技术还提供一种安全控制模组的启动装置、计算模组及计算机可读存储介质，具有以上有益效果，在此不做赘述。
附图说明
38.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
39.图1为本技术实施例所提供的一种安全控制模组的启动方法的流程图；
40.图2为本技术实施例所提供的一种安全控制模组的启动装置的结构示意图。
具体实施方式
41.本技术的核心是提供一种安全控制模组的启动方法、启动装置、计算模组及计算机可读存储介质，以在安全控制模组中实现安全启动操作，提高模组的安全性。
42.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
43.相关技术中，在现有的dc-scm2.0规范中只定义了从bmc接到rot来实现对flash的保护和修复等，没有可信根的具体实现方式。也就是说，rot只是一个逻辑概念，没有在dc-scm实际应用中需要给出具体的rot实现方式。
44.因此，本技术提供一种安全控制模组的启动方法，通过平台固件弹性装置当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验，当校验成功时，进入正常启动模式，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式，在dc-scm实际应用中实现了rot，实现安全启动操作，提高模组的安全性。
45.以下通过一个实施例，对本技术提供的一种安全控制模组的启动方法进行说明。
46.请参考图1，图1为本技术实施例所提供的一种安全控制模组的启动方法的流程图。
47.本实施例中，该方法可以包括：
48.s101，平台固件弹性装置进入启动状态；
49.本步骤旨在平台固件弹性装置进入启动状态。其中，平台固件弹性装置可以为基于pfr(platform firmware resilience，平台固件弹性)技术的dc-scm模块中的pfr cpld(complex programmable logic device，复杂可编程逻辑器件)。
50.进一步的，本步骤可以包括：
51.步骤1，当设备上电后，判断是否处于预启动状态；
52.步骤2，若是，则启动平台固件弹性装置。
53.可见，本可选方案中主要是说明如何启动平台固件弹性装置。本可选方案中，当设备上电后，判断是否处于预启动状态，若是，则启动平台固件弹性装置。
54.s102，当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验；
55.在s101的基础上，本步骤旨在当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验。
56.进一步的，本步骤可以包括：
57.基于预设的校验码对基板控制器的存储器和基本输入输出系统的存储器进行校验。
58.可见，本可选方案中主要是说明如何进行校验。本可选方案中，基于预设的校验码对基板控制器的存储器和基本输入输出系统的存储器进行校验。
59.进一步的，本步骤可以包括：
60.基于预设的校验标识对基板控制器的存储器和基本输入输出系统的存储器进行校验。
61.可见，本可选方案中主要是说明如何进行校验。本可选方案中，基于预设的校验标识对基板控制器的存储器和基本输入输出系统的存储器进行校验。
62.s103，当校验成功时，进入正常启动模式；
63.在s102的基础上，本步骤旨在当校验成功时，进入正常启动模式。也就是执行后续正常的启动流程。
64.s104，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
65.在s102的基础上，本步骤旨在当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
66.进一步的，本步骤可以包括：
67.步骤1，当校验失败时，平台固件弹性装置擦除校验失败的存储器数据；
68.步骤2，基于镜像文件对存储器数据进行恢复，直至校验成功并进入正常启动模式。
69.可见，本可选方案中主要是说明如何进行恢复。本可选方案中，当校验失败时，平台固件弹性装置擦除校验失败的存储器数据，基于镜像文件对存储器数据进行恢复，直至校验成功并进入正常启动模式。
70.本实施例还可以包括：
71.当校验失败时，进行校验失败数据记录处理，得到日志数据。
72.可见，本可选方案中主要是说明还可以得到日志数据。本可选方案中，当校验失败时，进行校验失败数据记录处理，得到日志数据。
73.本实施例还可以包括：
74.步骤1，平台固件弹性装置对总线的数据进行监控处理和过滤处理，得到符合白名单规则的数据；
75.步骤2，将符合白名单规则的数据写入对应的存储器中。
76.可见，本可选方案中主要是说明如何使用白名单规则。本可选方案中，平台固件弹性装置对总线的数据进行监控处理和过滤处理，得到符合白名单规则的数据，将符合白名单规则的数据写入对应的存储器中。
77.综上，本实施例通过平台固件弹性装置当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验，当校验成功时，进入正常启动模式，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式，在dc-scm实际应用中实现了rot，实现安全启动操作，提高模组的安全性。
78.以下通过一个具体的实施例，对本技术提供的一种安全控制模组的启动方法的做进一步说明。
79.首先，bmc(基板管理控制器)是一个独立于服务器系统的小型操作系统，在服务器系统中起到远程管理、部署、重启等操作。随着服务器领域的发展，为了方便进行通用的软件管理，将bmc管理单元从主板中独立出来、进行bmc模块化的需求越来越迫切。相比于包含在主板中，将bmc管理单元独立模块化具有以下几点优势：模块开源，方便各厂商使用；应用灵活，便于器件配置和调试；可以轻松升级到最新的bmc芯片，更新换代独立于主板，可快速向市场推出；模块接口标准化，可跨平台兼容，有多种计算引擎可供选择；降低主板的设计
难度，减少主板板材的使用，从而降低成本。2020年开放计算项目组织正式发布了服务器管理模块—dc-scm(datacenter-ready secure control module，数据中心预备安全控制模组)的规范标准，也就是dc-scm 1.0规范。2021年，dc-scm 2.0的规范也被提出，目前已趋于成熟。dc-scm模块顺应bmc模块化的趋势，引领了bmc模块化的发展，极大可能在各服务器厂商中获得最广泛的应用。
80.其中，dc-scm 2.0规范定义了bmc子系统和ocp(open compute project，开放计算项目)硬件平台(例如网络或计算母板)之间的接口。dc-scm主要由bmc芯片、dram(dynamic random access memory，动态随机存取存储器)内存颗粒、cpld、rot、bmc flash和bios flash，tpm(trust platform module，可信平台模块)、phy(physical layer，端口物理层)芯片等组成。dc-scm模块与主板相连的接口称为dc-sci(datacenter-ready secure control interface，数据中心的安全控制接口)。
81.其中，rot是一种逻辑概念，它在系统安全和保护平台资产方面有着重要的意义，实现的功能包括：1、防止bmc flash和bios flash被恶意篡改；2、如果flash被篡改，rot可以修复。实现rot功能的实体可以是bmc本身，但是这要占用bmc的接口资源，同时会对其它连接带来威胁。而在dc-scm的规范中，规定通过一路spi(serial peripheral interface，串行外设接口)信号从bmc接到rot的实体上，再将bmc flash和bios flash挂在rot实体上。然而在dc-scm的规范中并没有指定rot的实体。
82.基于上述说明，本实施例提供一种基于pfr技术的dc-scm模块，该模块同标准dc-scm外形尺寸保持一致。在现有的dc-scm模块方案中使用pfr技术来实现rot的功能，从而实现对平台资产的保护、检测损坏固件等恶意或错误行为、以及恢复平台固件到到良好状态。
83.其中，使用一块cpld作为rot的实体，也是pfr技术的核心。pfr首先定义了一段特殊的预启动状态t-1，在上电之后，系统最先进入到t-1状态中。在这个时候，仅有pfr cpld启动，其它的固件(具有可能启动接口的)都处在复位状态上。启动成功后，pfr cpld先检验bmc flash和bios flash。倘若没有校验成功，那么pfr cpld将会擦除掉校验失败的flash部分，然后利用镜像文件来进行flash数据的恢复，直到校验成功。校验成功后则进入到正常启动模式。之后，pfr cpld会对smbus(system management bus，系统管理总线)和spi数据实行监控和过滤，不符合白名单规则(开发者设置)的将被阻止写入到flash中，从而来防止恶意更改flash的数据输入。
84.可见，本实施例通过平台固件弹性装置当启动成功后，对基板控制器的存储器和基本输入输出系统的存储器进行校验，当校验成功时，进入正常启动模式，当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式，在dc-scm实际应用中实现了rot，实现安全启动操作，提高模组的安全性。
85.下面对本技术实施例提供的安全控制模组的启动装置进行介绍，下文描述的安全控制模组的启动装置与上文描述的安全控制模组的启动方法可相互对应参照。
86.请参考图2，图2为本技术实施例所提供的一种安全控制模组的启动装置的结构示意图。
87.本实施例中，该装置可以包括：
88.启动处理模块100，用于进入启动状态；
89.数据校验模块200，用于当启动成功后，对基板控制器的存储器和基本输入输出系
统的存储器进行校验；
90.校验成功处理模块300，用于当校验成功时，进入正常启动模式；
91.校验失败处理模块400，用于当校验失败时，对校验失败的存储器数据进行恢复，直至校验成功并进入正常启动模式。
92.可选的，该校验失败处理模块400，具体用于当校验失败时，所述平台固件弹性装置擦除校验失败的存储器数据；基于镜像文件对所述存储器数据进行恢复，直至校验成功并进入正常启动模式。
93.可选的，该装置还可以包括：
94.数据过滤模块，用于所述平台固件弹性装置对总线的数据进行监控处理和过滤处理，得到符合白名单规则的数据；将所述符合白名单规则的数据写入对应的存储器中。
95.可选的，该启动处理模块100，具体用于当设备上电后，判断是否处于预启动状态；若是，则启动所述平台固件弹性装置。
96.可选的，该装置还可以包括：
97.日志数据记录模块，用于当校验失败时，进行校验失败数据记录处理，得到日志数据。
98.可选的，该数据校验模块200，具体用于基于预设的校验码对基板控制器的存储器和基本输入输出系统的存储器进行校验。
99.可选的，该数据校验模块200，具体用于基于预设的校验标识对基板控制器的存储器和基本输入输出系统的存储器进行校验。
100.本技术实施例还提供一种计算模组，包括：
101.存储器，用于存储计算机程序；
102.处理器，用于执行所述计算机程序时实现如以上实施例所述的启动方法的步骤。
103.本技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如以上实施例所述的启动方法的步骤。
104.说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
105.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
106.结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。
107.以上对本技术所提供的一种安全控制模组的启动方法、启动装置、计算模组及计算机可读存储介质进行了详细介绍。本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。