一种PCIE设备卡的可信认证方法、装置及介质与流程

一种pcie设备卡的可信认证方法、装置及介质
技术领域
1.本技术涉及计算机领域，特别是涉及一种pcie设备卡的可信认证方法、装置及介质。


背景技术：

2.随着信息时代的快速发展，金融、通信和互联网等行业的业务量逐日递增，且随着人们对信息安全的逐渐重视，服务器的可靠性和加密属性越来越重要。目前，主机系统对于插入的高速串行计算机扩展总线(peripheral component interconnect express，简称pcie)设备卡进行可信认证时，通常在操作系统(operating system，简称os)中对pcie设备卡进行可信认证，其中，pcie设备卡包括cpu卡、网卡和声卡等。
3.由于在os中对pcie设备卡进行可信认证效率较低，且需要对pcie设备卡加载驱动，此时pcie设备卡已上电接入主机系统，并拥有很高的权限，即可以执行访问主机系统中的硬盘等操作，当pcie设备卡中携带病毒时，会造成对主机系统的攻击和损坏，此外，若pcie设备卡的电路与主机系统不匹配时，会造成主机系统宕机或烧毁。
4.由此可见，如何对插入的pcie设备卡进行可信认证，提高系统安全性，是本领域技术人员亟待解决的问题。


技术实现要素：

5.本技术的目的是提供一种pcie设备卡的可信认证方法、装置及介质，通过bmc对pcie设备卡进行可信认证，在认证通过时发送认证通过信号至pcie switch，此时pcie switch允许pcie设备卡接入主机系统，避免pcie设备卡未认证通过就接入主机系统，对主机系统造成损坏，由此提高系统安全性。
6.为解决上述技术问题，本技术提供一种pcie设备卡的可信认证方法，应用于bmc，包括：
7.获取用于表征pcie设备卡在位状态的信号；
8.在确定所述pcie设备卡在位状态为是时，读取所述pcie设备卡的待认证信息；
9.在确定所述待认证信息认证通过后，发送认证通过信号至pcie switch，以便所述pcie switch允许所述pcie设备卡接入主机系统。
10.优选地，所述待认证信息包括所述pcie设备卡的出厂信息、接口信息、病毒信息、所需资源信息、带宽和速率。
11.优选地，确定所述待认证信息认证通过包括：
12.在确定所述出厂信息存在于预先建立的可信库，所述接口信息为未接入不可信设备，且所述病毒信息为未携带预先建立的病毒库中的病毒时，确定所述待认证信息认证通过。
13.优选地，在确定所述待认证信息认证通过之后还包括：
14.依据所述所需资源信息、所述带宽和所述速率，判断所述主机系统中是否存在所
述pcie设备卡所需的资源，若不存在，发送提示信号至所述主机系统。
15.优选地，在读取所述pcie设备卡的待认证信息之后还包括：
16.调取历史接入信息；
17.判断当前所述pcie设备卡历史认证失败原因是否为存在所述病毒库中的病毒，若是，则卸载所述pcie设备卡中对应的病毒，并确定当前所述pcie设备卡对应的所述待认证信息认证通过。
18.优选地，所述的pcie设备卡的可信认证方法，还包括：
19.获取所述主机系统发送的更新包；
20.对所述可信库和所述病毒库进行更新。
21.优选地，所述的pcie设备卡的可信认证方法，还包括：
22.记录接入的各所述pcie设备卡的接入信息；其中，所述接入信息包括可信认证结果和认证失败原因。
23.为了解决上述技术问题，本技术还提供了一种pcie设备卡的可信认证装置，包括：
24.获取模块，用于获取用于表征pcie设备卡在位状态的信号；
25.读取模块，用于在确定所述pcie设备卡在位状态为是时，读取所述pcie设备卡的待认证信息；
26.发送模块，用于在确定所述待认证信息认证通过后，发送认证通过信号至pcie switch，以便所述pcie switch允许所述pcie设备卡接入主机系统。
27.为了解决上述技术问题，本技术还提供了一种pcie设备卡的可信认证装置，包括存储器，用于存储计算机程序；
28.处理器，用于执行所述计算机程序时实现如所述的pcie设备卡的可信认证方法的步骤。
29.为了解决上述技术问题，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如所述的pcie设备卡的可信认证方法的步骤。
30.本发明所提供的一种pcie设备卡的可信认证方法，应用于bmc，包括：bmc在确定pcie设备卡插入时，即pcie设备卡的在位状态为是时，读取pcie设备卡中的待认证信息，并在确定该待认证信息认证通过后，发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统。由此可见，本技术所提供的技术方案，通过bmc对pcie设备卡进行可信认证，在认证通过时发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统，由此避免pcie设备卡未认证通过就接入主机系统，对主机系统造成损坏，由此提高系统安全性。
31.此外，本技术还提供一种pcie设备卡的可信认证方法装置和介质，与上述的pcie设备卡的可信认证方法相对应，效果同上。
附图说明
32.为了更清楚地说明本技术实施例，下面将对实施例中所需要使用的附图做简单的介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1为本技术实施例所提供的一种pcie设备卡的可信认证方法的流程图；
34.图2为本技术实施例所提供的一种pcie设备卡的可信认证系统的结构图；
35.图3为本技术实施例所提供的一种pcie设备卡的可信认证装置的结构图；
36.图4为本发明另一实施例提供的一种pcie设备卡的可信认证装置的结构图；
37.附图标记如下：1为bmc，2为pcie设备卡，3为pcie switch，4为主机系统。
具体实施方式
38.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下，所获得的所有其他实施例，都属于本技术保护范围。
39.本技术的核心是提供一种pcie设备卡的可信认证方法、装置及介质，在pcie设备卡接入主机系统前，通过带外控制器(basic manager controler，简称bmc)获取其待认证信息进行可信认证，在通过认证后，将认证通过的信号传输至pcie switch，此时pcie switch允许pcie设备卡接入主机系统，提高主机系统安全性。
40.为了使本技术领域的人员更好地理解本技术方案，下面结合附图和具体实施方式对本技术作进一步的详细说明。
41.随着信息时代的快速发展，金融、通信和互联网等行业的业务量逐日递增，且随着人们对信息安全的逐渐重视，服务器的可靠性和加密属性越来越重要。目前，主机系统对于插入的高速串行计算机扩展总线(peripheral component interconnect express，简称pcie)设备卡进行可信认证时，通常在操作系统(operating system，简称os)中对pcie设备卡进行可信认证，其中，pcie设备卡包括cpu卡、网卡和声卡等。
42.由于在os中对pcie设备卡进行可信认证效率较低，且需要对pcie设备卡加载驱动，此时pcie设备卡已上电接入主机系统，并拥有很高的权限，即可以执行访问主机系统中的硬盘等操作，当pcie设备卡中携带病毒时，会造成对主机系统的攻击和损坏，此外，若pcie设备卡的电路与主机系统不匹配时，会造成主机系统宕机或烧毁。
43.为了对插入的pcie设备卡进行可信认证，提高系统安全性，本技术实施例提供了一种pcie设备卡的可信认证方法，bmc在识别到pcie设备卡的在位状态为是时，获取pcie设备卡中的待识别信息进行可信认证，在认证通过时发送认证通过信号至pcie switch(pcie扩展芯片)，以便pcie switch允许pcie设备卡接入主机系统，由此避免pcie设备卡未通过认证接入主机系统，导致主机系统损坏。
44.图1为本技术实施例所提供的一种pcie设备卡的可信认证方法的流程图，如图1所示，该方法包括：
45.s10：获取用于表征pcie设备卡在位状态的信号。
46.s11：在确定pcie设备卡在位状态为是时，读取pcie设备卡的待认证信息。
47.图2为本技术实施例所提供的一种pcie设备卡的可信认证系统的结构图，本技术实施例所提供的pcie设备卡的可信认证方法应用于该系统中，如图2所示，在具体实施例中，pcie设备卡2和pcie switch3通过pcie总线连接，pcie switch3和主机系统4也通过pcie总线连接，bmc1通过系统管理(system management bus，smbus)总线获取用于表征
pcie设备卡2在位状态的信号，当有pcie设备卡2插入时，bmc1会第一时间获取到pcie设备卡2的在位状态信号，此时pcie设备卡2的在位信号为是，然后bmc1会对pcie设备卡2进行上电操作，以便给pcie设备卡2一个基本工作电压用于读取pcie设备卡2中待认证信息，pcie设备卡2上电后，bmc1通过smbus总线读取pcie设备卡2中的待认证信息。
48.事实上，在bmc1确定pcie设备卡2的在位信号为是时，读取待认证信息前，bmc1会发送一个信号至pcie switch3以通知pcie switch3实现隔离，即不允许pcie设备卡2接入主机系统4。
49.s12：在确定认证信息认证通过后，发送认证通过信号至pcie switch3，以便pcie switch3允许pcie设备卡2接入主机系统4。
50.bmc1得到待认证信息后对其进行可信认证，在认证通过后，bmc1通过pcie总线发送认证通过信号至pcie switch3，pcie switch3接收到认证通过的信号后，开放权限，即允许pcie设备卡2接入主机系统4。
51.值得注意的是，待认证信息包括pcie设备卡2的出厂信息、接口信息、病毒信息、所需资源信息，带宽和速率，当出厂信息存在于预先建立的可信库，接口信息为未接入不可信设备，且病毒信息为未携带预先建立的病毒库中的病毒同时满足时，即可确定认证信息认证通过。
52.在实施中，bmc1根据许pcie设备卡2所需资源信息、带宽和速率，判断主机系统4中是否存在pcie设备卡2所需的资源，若不存在，发送提示信号至主机系统4，以便提醒用户。此外，在实施中，主机系统4会定期给bmc1发送更新包，以便更新bmc1中的可信库和病毒库。
53.当插入的pcie设备卡2可信认证失败时，bmc1会存储记录认证失败的结果和认证失败的原因，当pcie设备卡2下一次插入时，bmc1会优先调取历史接入记录，并判断当前pcie设备卡2历史认证失败原因是否为存在病毒库中的病毒，若是，则将该pcie设备卡2中对应的病毒卸载，并对该pcie设备卡2认证通过。需要说明的是，当认证失败的原因仅为存在病毒库中的病毒时才可在卸载病毒后确认认证通过，若认证失败还包括其他原因，则不能确定认证通过。
54.在实施中，当pcie switch3接收到bmc1认证通过信息时，通过修改各寄存器的状态实现pcie设备卡2接入主机系统4。例如，在认证通过时，pcie switch3中的寄存器link disable为0x00，其中，0x00为寄存器link disable打开状态，0x01为关闭状态。
55.本技术实施例所提供的pcie设备卡的可信认证方法，应用于bmc，包括：bmc在确定pcie设备卡插入时，即pcie设备卡的在位状态为是时，读取pcie设备卡中的待认证信息，并在确定该待认证信息认证通过后，发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统。由此可见，本技术所提供的技术方案，通过bmc对pcie设备卡进行可信认证，在认证通过时发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统，由此避免pcie设备卡未认证通过就接入主机系统，对主机系统造成损坏，由此提高系统安全性。
56.在具体实施例中，待认证信息包括pcie设备卡的出厂信息、接口信息、病毒信息、所需资源信息、带宽和速率。其中，pcie设备卡的出厂信息包括设备厂商的vendor id和device id，在对pcie设备卡进行可信认证时，必须保证设备厂商的vendor id和device id属于可信库，可信库可以是表格的形式，也可以是其他形式，本技术对此不作限定。此外，对
于出厂信息的具体内容，本技术也不作限定。
57.在获取到pcie设备卡的病毒信息后，bmc会自动对病毒信息进行判断和认证，即确定pcie设备卡中是否已经存在已知的病毒，在对pcie设备卡进行可信认证时，必须保证接入的pcie设备卡不存在病毒库中的病毒，进而防止由于pcie设备卡携带病毒接入主机系统对主机系统造成攻击。
58.此外，pcie设备卡接入后，还需要获取pcie设备卡的接口信息，确定pcie设备卡上是否有连接外部的接口，以及接口的连接状态。可以理解的是，当pcie设备卡存在对外连接的接口，且该接口连接了例如携带病毒的u盘时，若该pcie设备卡接入主机系统，依旧会造成对主机系统的损坏。因此，在对pcie设备卡进行可信认证时，必须保证接口信息为未接入不可信设备。
59.也就是说，当出厂信息存在于预先建立的可信库，接口信息为未接入不可信设备，且病毒信息为未携带预先建立的病毒库中的病毒同时满足时，才能确定认证信息认证通过，任意一个条件不满足，即可确定认证失败。
60.本技术实施例所提供的pcie设备卡的可信认证方法，在确定插入的pcie设备卡的出厂信息存在于预先建立的可信库，接口信息为未接入不可信设备，且病毒信息为未携带预先建立的病毒库中的病毒时，确定认证信息认证通过。此时bmc发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统，进而避免pcie设备卡未认证通过就接入主机系统，对主机系统造成损坏。
61.在上述实施例的基础上，为了避免造成资源浪费，bmc在获取到pcie设备卡的待认证信息后，根据待认证信息中的所需资源信息、带宽和速率，判断主机系统中存在pcie设备卡所需的资源，若不存在，则发送提示信号至主机系统，以便提醒用户。
62.本技术实施例所提供的pcie设备卡的可信认证方法，bmc通过获取pcie设备卡中的所需资源信息、带宽和速率以判断主机系统中是否存在pcie设备卡所需要的资源，若不存在，发送提示信号至主机系统提醒用户，避免造成资源浪费。
63.在具体实施中，bmc确定pcie设备卡的待认证信息认证失败时，将认证失败结果和认证失败原因存储并发送至主机系统，便于用户及时查看的同时，当pcie设备卡插入时，bmc先调取历史接入信息，其中接入信息就包括可信认证结果和认证失败原因，当然还可以包括其他信息，对此本技术不作限定。根据调取的历史接入信息判断当前pcie设备卡历史认证失败原因是否为存在病毒库中的病毒，若是，则卸载pcie设备卡中对应的病毒，并在卸载病毒后确定该pcie设备卡的待认证信息认证通过。
64.需要说明的是，当认证失败的原因仅为存在病毒库中的病毒时才可在卸载病毒后确认认证通过，若认证失败原因中还包括其他原因，则不能在卸载病毒后确认待认证信息认证通过。
65.本技术实施例所提供的pcie设备卡的可信认证方法，bmc在确定pcie设备卡的在位状态为是时，优先调取历史接入信息，并依据历史接入信息判断当前接入的pcie设备卡历史认证失败原因是否为存在病毒库中的病毒，若是，则卸载pcie设备卡中对应的病毒，并确定当前pcie设备卡对应的认证信息认证通过，由此提高主机系统安全性的同时，提高接入使用pcie设备卡的效率。
66.可以理解的是，bmc在对接入的pcie设备卡进行可信认证时，主要依靠bmc中存储
logic array，简称pla)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称中央处理器(central processing unit，简称cpu)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器21可以集成有图像处理器(graphics processing unit，简称gpu)，gpu用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器21还可以包括人工智能(artificial intelligence，简称ai)处理器，该ai处理器用于处理有关机器学习的计算操作。
81.存储器20可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器20还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器20至少用于存储以下计算机程序201，其中，该计算机程序被处理器21加载并执行之后，能够实现前述任一实施例公开的pcie设备卡的可信认证方法的相关步骤。另外，存储器20所存储的资源还可以包括操作系统202和数据203等，存储方式可以是短暂存储或者永久存储。其中，操作系统202可以包括windows、unix、linux等。数据203可以包括但不限于pcie设备卡的可信认证方法中所涉及的相关数据等。
82.在一些实施例中，pcie设备卡的可信认证装置还可包括有显示屏22、输入输出接口23、通信接口24、电源25以及通信总线26。
83.本领域技术人员可以理解，图4中示出的结构并不构成对pcie设备卡的可信认证装置的限定，可以包括比图示更多或更少的组件。
84.本技术实施例提供的pcie设备卡的可信认证装置，包括存储器和处理器，处理器在执行存储器存储的程序时，能够实现如下方法：pcie设备卡的可信认证方法。
85.本技术实施例所提供的pcie设备卡的可信认证装置，通过bmc对pcie设备卡进行可信认证，在认证通过时发送认证通过信号至pcie switch，以便pcie switch允许pcie设备卡接入主机系统，由此避免pcie设备卡未认证通过就接入主机系统，对主机系统造成损坏，由此提高系统安全性。
86.最后，本技术还提供一种计算机可读存储介质对应的实施例。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现如上述方法实施例中记载的步骤。
87.可以理解的是，如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，简称rom)、随机存取存储器(random access memory，简称ram)、磁碟或者光盘等各种可以存储程序代码的介质。
88.以上对本技术所提供的一种pcie设备卡的可信认证方法、装置及介质进行了详细介绍。说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即
可。应当指出，对于本技术领域的普通技术人员来说，在不脱离本技术原理的前提下，还可以对本技术进行若干改进和修饰，这些改进和修饰也落入本技术权利要求的保护范围内。
89.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。