Nothing Special   »   [go: up one dir, main page]

CN118260774B - 服务器的启动方法及装置、存储介质及电子设备 - Google Patents

服务器的启动方法及装置、存储介质及电子设备 Download PDF

Info

Publication number
CN118260774B
CN118260774B CN202410696749.8A CN202410696749A CN118260774B CN 118260774 B CN118260774 B CN 118260774B CN 202410696749 A CN202410696749 A CN 202410696749A CN 118260774 B CN118260774 B CN 118260774B
Authority
CN
China
Prior art keywords
target
server
authentication
starting
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410696749.8A
Other languages
English (en)
Other versions
CN118260774A (zh
Inventor
宁兆男
张炳会
李博
陈闯
王淑贤
杨霖
王东清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Metabrain Intelligent Technology Co Ltd
Original Assignee
Suzhou Metabrain Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Metabrain Intelligent Technology Co Ltd filed Critical Suzhou Metabrain Intelligent Technology Co Ltd
Priority to CN202410696749.8A priority Critical patent/CN118260774B/zh
Publication of CN118260774A publication Critical patent/CN118260774A/zh
Application granted granted Critical
Publication of CN118260774B publication Critical patent/CN118260774B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44505Configuring for program initiating, e.g. using registry, configuration files

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)

Abstract

本申请实施例提供了一种服务器的启动方法及装置、存储介质及电子设备,其中,该方法包括:接收目标账号发送的目标请求,以启动目标服务器;在确定目标账号对目标服务器具有调用权限的情况下,从可信平台模块中调取目标账号对应的目标认证信息,从目标服务器中调取目标账号对应的目标认证文件;采用目标认证信息所指示的目标认证方式对目标认证文件进行解密认证,得到目标启动信息;对目标启动信息所指示的目标启动数据进行数据校验;在目标启动数据校验通过的情况下,使用目标启动数据启动目标服务器。通过本申请,解决相关技术中服务器运行环境安全性较低的问题,达到提高服务器运行环境的安全性的效果。

Description

服务器的启动方法及装置、存储介质及电子设备
技术领域
本申请实施例涉及计算机领域,具体而言,涉及一种服务器的启动方法及装置、存储介质及电子设备。
背景技术
服务器是计算机的一种,它比普通计算机运行更快、负载更高、价格更贵。服务器在网络中为其它客户机(如PC(Personal Computer,个人电脑)机、智能手机、ATM(Automated Teller Machine,自动取款机)等终端甚至是火车系统等大型设备)提供计算或者应用服务。在服务器启动过程中BIOS(Basic Input/Output System,基本输入输出系统)会初始化所有硬件设备和准备启动环境,被誉为连接硬件设备和操作系统的桥梁,属于服务器中最重要组成部分。在没有安全功能保护的情况下,病毒,木马程序等很容易破坏BIOS代码的完整性,带来一系列严重损失。为了保证服务器的运行环境的安全可靠,有厂商提出了服务器的保护功能,如Intel提供的Boot Guard等安全功能,Boot Guard引入了一个叫做ACM的封装,即在处理器上增加该功能,通过预先存储服务器BIOS的启动数据,进而在后续需要启动服务器时,BIOS将拿到的启动数据给处理器进行校验,并在校验通过后再运行,这种方案一定程度上虽然能够保证服务器的运行环境的安全,但是这种方式完全依赖于处理器,安全链路的信任链的信任根也源于处理器厂商,对于使用服务器的用户来说,无法感知和确定服务器的运行环境的安全,对于一些有安全需求的用户来说,服务器的运行环境仍然存在较大的安全隐患。
发明内容
本申请实施例提供了一种服务器的启动方法及装置、存储介质及电子设备,以至少解决相关技术中服务器运行环境安全性较低的问题。
根据本申请的一个实施例,提供了一种服务器的启动方法,应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,所述方法包括:接收目标账号发送的目标请求,以启动所述目标服务器;在确定所述目标账号对所述目标服务器具有调用权限的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;对所述目标启动信息所指示的目标启动数据进行数据校验;在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器。
可选的,所述从所述可信平台模块中调取所述目标账号对应的目标认证信息,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息。
可选的,所述从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息,包括:
确定实现所述目标业务功能所需的一个或者多个所述目标启动数据,其中,每个所述目标启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式;
从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息。
可选的,所述从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息,包括:
从具有对应关系的认证信息和所述可信平台模块内的存储区域中确定与所述目标认证信息对应的目标存储位置;
向所述可信平台模块发送目标获取请求,其中,所述目标获取请求用于请求获取所述目标存储位置中存储的认证信息;
接收所述可信平台模块响应所述目标获取请求返回的所述目标认证信息。
可选的,所述目标服务器主板上还部署有中央处理器,所述中央处理器通过串行外围设备接口总线分别与所述基本输入输出系统和所述可信平台模块连接,
所述向所述可信平台模块发送目标获取请求,包括:
生成串行外围设备接口协议格式的目标指令;
将所述目标指令通过所述串行外围设备接口总线发送至所述中央处理器,其中,所述目标指令用于指示所述中央处理器向所述可信平台模块发送所述串行外围设备接口协议格式的所述目标获取请求。
可选的,所述从所述目标服务器中调取所述目标账号对应的目标认证文件,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的一个或者多个所述目标认证文件,其中,每个所述参考认证文件为所述目标账号对参考启动信息进行加密得到的,所述参考启动信息用于指示所述目标服务器启动所使用的参考启动数据所记载的数据内容,每个所述参考启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式。
可选的,所述目标服务器主板上部署有基板管理控制器,所述基板管理控制器与所述基本输入输出系统连接,
所述从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的所述一个或者多个目标认证文件,包括:
从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件;
从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,其中,所述基板管理控制器中的所述存储位置和所述参考认证文件具有意义对应关系;
从所述目标存储位置中提取所述目标认证文件。
可选的,所述从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,包括:
获取所述基板管理控制器的内存映射表,其中,所述内存映射表用于指示所述基板管理控制器的内存空间分配情况;
从所述内存映射表中查找所述基板管理控制器的内存中用于存储所述目标认证文件的所述目标存储位置。
可选的,在所述获取所述可信平台模块的内存映射表之前,所述方法还包括:
接收参考服务器发送的所述参考认证文件,其中,所述参考服务器为用于维护所述目标服务器运行状态的服务器;
从所述基板管理控制器的内容空间中筛选出处于未被占用状态的参考存储位置;
将所述参考认证文件存储在所述参考存储位置中,并将所述参考存储位置和所述参考认证文件的对应关系更新至所述内存映射表中。
可选的,所述采用所述目标认证信息所指示的目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息,包括:
根据所述目标认证信息转换出所述目标认证文件对应的解密密钥;
使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息。
可选的,所述使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息,包括:
使用所述目标账号的账号公钥对所述目标认证文件进行解密,得到候选认证文件,其中,所述目标认证文件为所述目标账号使用所述账号公钥对应的账号私钥对所述候选认证文件进行加密得到的,所述解密密钥包括所述账号公钥;
从所述可信平台模块中获取参考服务器对所述候选认证文件的服务器公钥,其中,所述参考服务器为用于维护所述目标服务器的运行状态的服务器,所述参考服务器用于使用所述服务器公钥对应的服务器私钥对所述目标启动信息进行加密,并将加密后的所述候选认证文件发送给所述目标账号进行认证;
使用所述服务器公钥对所述候选认证文件进行解密,得到所述目标启动信息。
可选的,所述根据所述目标认证信息转换出所述目标认证文件对应的解密密钥,包括以下之一:
在所述目标认证信息为所述目标账号的账号公钥的情况下,将所述账号公钥确定为所述解密密钥;
在所述目标认证信息为指示所述目标账号对所述目标认证文件所采用的目标加密方式的信息的情况下,确定与所述目标加密方式对应的解密方式;按照所述解密方式生成用于对所述目标认证文件进行解密的所述解密密钥。
可选的,在所述从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件之前,所述方法还包括:
检测所述基板管理控制器和所述基本输入输出系统之间的通信状态;
在所述通信状态用于指示所述基本输入输出系统处于断路状态的情况下,从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件,其中,多个所述初始认证文件为所述基本输入输出系统在当前时刻之前的参考时间段内为所述目标账号启动所述目标服务器所使用的认证文件。
可选的,在所述从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件之后,所述方法还包括:
在检测到所述基本输入输出系统和所述基板管理控制器之间的恢复通信的情况下,提取所述基板管理控制器中存储的多个所述参考认证文件;
使用所述参考认证文件对所述初始认证文件进行更新。
可选的,所述对所述目标启动信息所指示的目标启动数据进行数据校验,包括:
将目标启动信息和所述目标服务器中的目标启动数据进行匹配;
在所述目标启动信息和所述目标启动数据匹配一致的情况下,确定所述目标启动数据校验通过;
在所述目标启动信息和所述目标启动数据匹配不一致的情况下,确定所述目标启动数据校验未通过。
可选的,所述将目标启动信息和所述目标服务器中的目标启动数据进行匹配,包括:
使用信息摘要算法对所述目标启动数据进行计算,得到候选信息摘要,其中,所述候选信息摘要用于指示所述目标启动数据所携带的数据内容;
将候选信息摘要和目标信息摘要进行匹配,其中,所述目标启动信息包括所述目标信息摘要;
在所述目标信息摘要和所述候选信息摘要相同的情况下,确定所述目标启动数据和所述目标启动信息匹配一致;
在所述目标信息摘要和所述候选信息摘要不同的情况下,确定所述目标启动数据和所述目标启动信息匹配不一致。
根据本申请的另一个实施例,提供了一种服务器的启动装置,应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,所述装置包括:
接收模块,用于接收目标账号发送的目标请求,以启动所述目标服务器;调取模块,用于在确定所述目标账号对所述目标服务器具有调用权限的的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;认证模块,用于采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;校验模块,用于对所述目标启动信息所指示的目标启动数据进行数据校验;启动模块,用于在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器。
根据本申请的又一个实施例,还提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
根据本申请的又一个实施例,还提供了一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现上述任一项方法实施例中的步骤。
通过本申请,在目标服务器上部署与基本输入输出系统具有连接关系的可信平台模块,由可信平台模块存储对目标服务器具有调用权限的账号的认证信息,并在目标服务器上还导入了该账号对目标服务器的启动信息进行校验通过后使用认证信息所指示的认证方式对启动信息进行加密得到的认证文件,从而使得目标服务器启动所使用启动数据的数据内容由使用服务器的账号认证,并由使用服务器的账号掌握对启动数据进行认证的认证方式,进而在接收到目标请求后,通过从可信平台模块中调取目标账号的目标认证信息,以及从服务器中调取目标账号对应的目标认证文件,并使用目标认证信息所指示的目标认证方式对目标认证文件进行解密认证,从而得到启动信息,用于对目标启动数据进行校验,实现根据目标账号预先使用私有的认证方式认证后的启动数据运行服务器,避免服务器启动时使用被篡改的启动数据对服务器的启动安全造成的影响,保证了服务器的运行环境的安全,因此,可以解决相关技术中服务器运行环境安全性较低的问题,达到提高服务器运行环境的安全性的效果。
附图说明
图1是本申请实施例的一种服务器的启动方法的服务器设备的硬件结构框图;
图2是根据本申请实施例的服务器的启动 方法的流程图;
图3是根据本申请实施例的一种可选的服务器系统示意图;
图4是根据本申请实施例的信息交互示意图;
图5是根据本申请实施例的一种可选的服务器硬件连接示意图;
图6是根据本申请实施例的一种可选的启动数据校验流程图;
图7是根据本申请实施例的服务器的启动装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本申请的实施例。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例中所提供的方法实施例可以在服务器设备或者类似的运算装置中执行。以运行在服务器设备上为例,图1是本申请实施例的一种服务器的启动方法的服务器设备的硬件结构框图。如图1所示,服务器设备可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,其中,上述服务器设备还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器设备的结构造成限定。例如,服务器设备还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本申请实施例中的服务器的启动方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输设备106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器设备的通信供应方提供的无线网络。在一个实例中,传输设备106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输设备106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种服务器的启动方法,图2是根据本申请实施例的服务器的启动 方法的流程图,如图2所示,应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,所述可信平台模块中存储了对所述目标服务器具有调用权限的参考账号的认证信息,所述认证信息用于指示所述参考账号对数据进行加密认证的认证方式,所述目标服务器中导入了所述参考账号对所述目标服务器的启动信息进行信息校验通过后使用所述认证方式对所述启动信息进行加密认证得到的认证文件,所述启动信息用于指示所述目标服务器的启动所使用的启动数据,该流程包括如下步骤:
步骤S202,接收目标账号发送的目标请求,以启动所述目标服务器;
步骤S204,在确定所述目标账号对所述目标服务器具有调用权限的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;
步骤S206,采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;
步骤S208,对所述目标启动信息所指示的目标启动数据进行数据校验;
步骤S210,在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器。
通过上述步骤,在目标服务器上部署与基本输入输出系统具有连接关系的可信平台模块,由可信平台模块存储对目标服务器具有调用权限的账号的认证信息,并在目标服务器上还导入了该账号对目标服务器的启动信息进行校验通过后使用认证信息所指示的认证方式对启动信息进行加密得到的认证文件,从而使得目标服务器启动所使用启动数据的数据内容由使用服务器的账号认证,并由使用服务器的账号掌握对启动数据进行认证的认证方式,进而在接收到目标请求后,通过从可信平台模块中调取目标账号的目标认证信息,以及从服务器中调取目标账号对应的目标认证文件,并使用目标认证信息所指示的目标认证方式对目标认证文件进行解密认证,从而得到启动信息,用于对目标启动数据进行校验,实现根据目标账号预先使用私有的认证方式认证后的启动数据运行服务器,避免服务器启动时使用被篡改的启动数据对服务器的启动安全造成的影响,保证了服务器的运行环境的安全,因此,可以解决相关技术中服务器运行环境安全性较低的问题,达到提高服务器运行环境的安全性的效果。
可选地,在本申请实施例中,所述可信平台模块中存储了对所述目标服务器具有调用权限的参考账号的认证信息,所述认证信息用于指示所述参考账号对数据进行加密认证的认证方式,所述目标服务器中导入了所述参考账号对所述目标服务器的启动信息进行信息校验通过后使用所述认证方式对所述启动信息进行加密认证得到的认证文件,所述启动信息用于指示所述目标服务器的启动所使用的启动数据。
可选地,在本申请实施例中,在服务器的启动过程中,可信平台模块(TPM,TrustedPlatform Module)为允许被基本输入输出系统访问的安全存储模块,根据可信平台模块的安全存储特性,从而保证可信平台模块中存储的认证信息不被窃取。
可选地,在本申请实施例中,可信平台模块中存储的认证信息可以是用于对目标服务器的运行进行维护的参考服务器在可信平台模块中存储的,或者还可以是用户根据对目标服务器的使用需求在可信平台模块中存储的,比如,参考服务器为使用服务器的账号配置认证信息,将该认证信息存储在可信平台模块中,或者还可以是请求使用目标服务器的账号将自身使用的认证信息发送给参考服务器进行审核,并在审核通过后由参考服务器向可信平台模块中存储。或者还可以是使用服务器的账号存储在可信平台模块中的,比如,参考账号向参考服务器发送请求调用目标服务器的调用请求,在目标服务器验证通过该调用请求,会向目标账号颁发授权信息,该授权信息用于指示参考账号对目标服务器具有调用权限,进而参考账号使用该授权信息对可信平台模块进行访问,将自身所使用的认证信息存储在可信平台模块中,本方案对此不做限定。
可选地,在本申请实施例中,认证信息可以但不限于包括参考账号对数据进行加密认证的加密密钥、加密密钥对应的解密密钥、生成参考账号对数据进行认证的加密密钥的密钥生成方式、生成解密密钥的密钥生成方式等等,本方案对此不做限定。
可选地,在本申请实施例中,启动数据用于指示对服务器进行启动的启动方式,不同启动数据所指示的启动方式用于实现服务器的不同的业务功能,比如,启动数据可以是用于启动服务上部署的对应的硬件设备的数据,本方案对此不做限定。
在上述步骤S202提供的实施例中,目标请求中可以但不限与携带有对请求调用服务器所办理的业务的业务功能,即在服务器中,可以根据业务功能对服务器所具有的启动数据进行划分,从而根据不同的业务功能调用不同的启动数据。或者服务器中还可以根据实现的业务功能的类型对服务器所具有的启动数据按照一定粒度进行切分,进而在请求调用服务器的目标业务功能的情况下,通过对服务器中的启动数据进行筛选,从而得到用于实现服务器的目标业务功能的启动数据的集合。
可选地,在本申请实施例中,目标账号为在服务器上注册并与目标服务器之间具有登陆关系,即目标账号可以是在目标服务器对应的服务器客户端中登陆的账号;或者目标账号还可以是在与目标服务器绑定的网页上登陆的账号;或者目标账号还可以是与目标服务器具有绑定关系的候选服务器中登陆的账号,候选服务器用于对调用服务器上的相关业务功能来完成候选服务器的业务功能,本方案对此不做限定。
在上述步骤S204提供的实施例中,可信平台模块可以提供一个API接口,供其他模块(如基本输入输出系统)调用以获取目标账号对应的目标认证信息。调用方可以通过发送特定的请求参数,如目标账号ID或用户名,来请求目标认证信息。
可选地,在本申请实施例中,认证文件在服务器中可以与对应的启动数据对应存储,即将具有对应关系的认证文件和启动数据存储在服务器中的同一位置,方便候选的数据调用,比如可以将具有对应关系的认证文件和启动数据存储在服务器的BMC(BaseboardManagement Controller)中,进而方便BMC候选调用启动数据对服务器执行启动操作,本方案对此不做限定。
在上述步骤S206提供的实施例中,启动信息可以是有使用目标服务器的目标账号和用于对目标服务器进行维护的维护方共同签名认证得到的,从而保证了认证文件的安全可靠性,比如,目标服务器的维护方使用维护方的私钥对启动信息进行加密认证,得到一个认证后的认证文件,并由维护方将认证文件发送给目标账号,由目标账号对认证文件使用目标账号的账号私钥进行签名认证,得到目标认证文件,此时,对目标认证文件进行解密是需要目标账号的解密密钥和维护方的解密密钥,因此可以通过认证信息转换出对应的解密密钥,从而对目标认证文件进行解密认证。
在上述步骤S208提供的实施例中,目标启动信息为目标账号预先认证得到的启动信息,该启动信息中记录了目标账号认证通过的用于启动服务器所使用的启动数据,进而通过使用目标启动信息对目标启动数据进行校验从而避免服务器启动过程中待调用的目标启动数据的安全性,避免服务器使用被篡改的启动数据执行启动操作,本方案对此不做限定。
本申请采用一种不依赖处理器保护服务器固件BIOS静态区域的方法。使用高质量可信平台模块TPM的特性,和开发的校验算法对BIOS静态区域进行校验。达到安全启动的目的,避免被木马等病毒入侵。图3是根据本申请实施例的一种可选的服务器系统示意图,如图3所示,该系统包括目标服务器、使用目标服务器的目标账号和用于对目标服务器进行维护的参考服务器,目标账号为在服务器上注册并与目标服务器之间具有登陆关系,即目标账号可以是在目标服务器对应的服务器客户端中登陆的账号;或者目标账号还可以是在与目标服务器绑定的网页上登陆的帐号;或者目标账号还可以是与目标服务器具有绑定关系的候选服务器中登陆的账号,候选服务器用于对调用服务器上的相关业务功能来完成候选服务器的业务功能。在服务器启动之前,参考服务器将用于指示服务器启动所使用的启动数据的数据内容的启动信息发送给目标账号进行认证,在目标账号对启动信息认证通过后使用目标账号认证方式对启动信息进行加密认证得到认证文件给参考服务器,由参考服务器将认证文件存储在目标服务器中,进而后续目标账号发出对服务器调用的目标请求后,可以调取认证文件和服务器中存储的认证信息,通过认证信息对认证文件解码得到启动信息从而实现使用该启动信息对服务器待调用的启动数据进行校验。
图4是根据本申请实施例的信息交互示意图,如图4所示,为了保证启动信息的安全中,本申请中可以设置两套密钥,对认证信息进行加密认证,用户(使用目标服务器的参考账号)生成一套秘钥为根秘钥对,是安全启动的信任根,负责加密二级秘钥的证书;服务器厂商(对目标服务器记性维护的参考服务器)生成一套秘钥为二级秘钥对,负责加密BIOS静态区域(启动数据)。为保证公钥的安全性,根秘钥和二级秘钥的公钥存放于可信平台模块TPM中。根秘钥的私钥保存在用户端,二级秘钥的私钥保存在服务器厂商端。根秘钥是本方案信任根的源头,同时根秘钥被用户控制,符合客户的安全要求。支持用户定制BIOS加密区域(启动数据),围绕一切以用户为中心,让用户选择重要的区域,这类重要的区域可能是BIOS内核心代码区域,也可能是用户定制化功能的代码区域等。在用户定制BIOS加密区域后,参考服务器依据用户选择的区域类型选择不同的二级秘钥的私钥加密成对应的二级证书,然后将所有二级证书传递给用户,用户使用根秘钥的私钥加密所有二级证书成对应的根证书后在传递给参考服务器,接下来参考服务器会通过带外的方式将所有的根证书写入到BMC中,同时将用户提供的根秘钥的公钥写入到可信平台模块TPM中。
作为一种可选的实施例,所述从所述可信平台模块中调取所述目标账号对应的目标认证信息,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息。
可选地,在本申请实施例中,目标账号可以使用一个固定的认证信息对服务器的全部业务功能的启动信息进行认证。
可选地,在本申请实施例中,目标账号可以为不同的业务功能配置不同的认证信息,即用不同的认证信息对服务器不同的业务功能的启动信息进行认证,进而可以根据业务功能的重要程度设置不同认证信息,业务功能的重要程度越高,则认证信息所指示的认证方式的安全等级越高,执行认证操作的复杂度也就越高,业务功能的重要程度越低,则认证服务所指示的认证方式的安全等级也就较低,执行认证操作的复杂度也就相对较低。
通过以上内容,通过为不同的业务功能配置对应的认证信息,从而避免目标账号使用相同的认证方式对不同业务功能对应的启动信息的加密认证,保证了认证文件的准确性,避免认证文件的文件内容被窃取或者被篡改,进而保证了服务器的运行环境的安全性。
作为一种可选的实施例,所述从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息,包括:
确定实现所述目标业务功能所需的一个或者多个所述目标启动数据,其中,每个所述目标启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式;
从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息。
可选地,在本申请实施例中,认证信息可以但不限于是根据对应的启动数据的数据内容生成的,比如,使用密钥生成算法对启动数据的数据内容进行计算,得到用于对启动数据对应的启动信息签名认证的密钥信息,认证信息包括密钥信息,本方案对此不做限定。
通过以上步骤,通过对服务器中的启动数据按照一定粒度进行拆分,并为启动数据配置对应的认证方式,从而避免使用相同的认证方式对不同启动信息进行认证,降低了启动信息被窃取或者被破译并篡改的风险。
作为一种可选的实施例,所述从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息,包括:
从具有对应关系的认证信息和所述可信平台模块内的存储区域中确定与所述目标认证信息对应的目标存储区域;
向所述可信平台模块发送目标获取请求,其中,所述目标获取请求用于请求获取所述目标存储区域中存储的认证信息;
接收所述可信平台模块响应所述目标获取请求返回的所述目标认证信息。
可选地,在本申请实施例中,认证信息在可信平台模块中的存储区域可以是连续的,或者同一个认证信息还可以存储在可信平台模块中的多个不连续的存储区域中,在获取可行平台模块中存储的认证信息时,如果拿到的认证信息是多个存储区域的子认证信息的情况下,可以通过对多个子认证信息按照存储区域在可信平台模块中的先后顺序进行拼接,从而得到目标认证信息,本方案对此不做限定。
通过以上内容,通过对可信平台模块的存储空间的划分和分配,从而一方面能够实现对可信平台模块的存储空间的有效利用,另一方面能够提高对认证信息的存储效率,避免认证信息的存储换乱,方便后续利用。
作为一种可选的实施例,所述目标服务器主板上还部署有中央处理器,所述中央处理器通过串行外围设备接口总线分别与所述基本输入输出系统和所述可信平台模块连接,
所述向所述可信平台模块发送目标获取请求,包括:
生成串行外围设备接口协议格式的目标指令;
将所述目标指令通过所述串行外围设备接口总线发送至所述中央处理器,其中,所述目标指令用于指示所述中央处理器向所述可信平台模块发送所述串行外围设备接口协议格式的所述目标获取请求。
作为一种可选的实施例,在所述向所述可信平台模块发送目标获取请求之前,所述方法还包括:
获取所述基本输入输出系统中存储的目标授权值,其中,所述目标授权值用于指示所述基本输入输出系统对所述可信平台模块的访问权限;
向所述可信平台模块发送携带有所述目标授权值的权限验证请求,其中,所述权限验证请求用于请求所述可信平台模块基于所述目标授权值验证所述基本输入输出系统的数据访问权限。
可选地,在本申请实施例中,目标授权值表征基本输入输出系统对可信平台模块的读取权限,基本输入输出系统可以使用固定的授权值对可信平台模块进行访问,或者,在可信平台模块上,对于存储的不同的认证信息具有不同的授权值,基本输入输出系统需要使用对应的授权值对可信平台模块中用于存储对应的认证信息的存储区域进行访问,本方案对此不做限定。
通过以上内容,通过在可信平台模块上为基本输入输出系统设置授权值,从而在基本输入输出系统向可信平台模块请求认证信息之前,通过使用授权值进行身份验证,从而保证了可信认证平台对认证信息的安全存储,避免可信平台模块中的认证信息被窃取。
作为一种可选的实施例,所述从所述目标服务器中调取所述目标账号对应的目标认证文件,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的一个或者多个所述目标认证文件,其中,每个所述参考认证文件为所述目标账号对参考启动信息进行加密得到的,所述参考启动信息用于指示所述目标服务器启动所使用的参考启动数据所记载的数据内容,每个所述参考启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式。
可选地,在本申请实施例中,参考启动数据是对服务器中部署的启动数据按照一定粒度进行分割得到的,比如按照启动数据所启动的硬件设备的设备类型进行分割,或者按照启动数据所启动的硬件设备所实现的业务功能进行分割,本方案对此不做限定。
通过以上步骤,通过将服务器中的启动数据进行分割,从而分割为多个参考启动数据,从而保证了服务器启动数据的管理的灵活性,服务器的维护方可以根据需求添加对应的参考启动数据,从而对多个参考启动信息进行组装拼接得到用于实现对应业务功能的启动数据集合,将降低维护人员对数据的维护量,另外,还可以对参考启动数据进行灵活组合,使得服务器支持不同的业务功能,提高服务器的业务功能的灵活性。
作为一种可选的实施例,所述目标服务器主板上部署有基板管理控制器,所述基板管理控制器与所述基本输入输出系统连接,
所述从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的所述一个或者多个目标认证文件,包括:
从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件;
从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,其中,所述基板管理控制器中的所述存储位置和所述参考认证文件具有意义对应关系;
从所述目标存储位置中提取所述目标认证文件。
通过以上内容,通过对基板管理控制器的存储位置进行分割,实现为对应的认证文件在基板管理控制器中配置对应的存储位置,一方面保证了基板管理控制器的存储位置的有效利用,另一方面提高对认证文件的存储效率,方面后续认证文件的读取。
作为一种可选的实施例,所述从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,包括:
获取所述基板管理控制器的内存映射表,其中,所述内存映射表用于指示所述基板管理控制器的内存空间分配情况;
从所述内存映射表中查找所述基板管理控制器的内存中用于存储所述目标认证文件的所述目标存储位置。
作为一种可选的实施例,在所述获取所述可信平台模块的内存映射表之前,所述方法还包括:
接收参考服务器发送的所述参考认证文件,其中,所述参考服务器为用于维护所述目标服务器运行状态的服务器;
从所述基板管理控制器的内容空间中筛选出处于未被占用状态的参考存储位置;
将所述参考认证文件存储在所述参考存储位置中,并将所述参考存储位置和所述参考认证文件的对应关系更新至所述内存映射表中。
可选地,在本申请实施例中,认证文件在基板管理控制器中占用的存储位置可以是连续的存储位置,或者认证文件在基板管理控制器中还可以占用多个不连续的存储位置。
通过以上内容,在向基板管理控制器中存储认证文件是,通过对基板管理控制器中的未被占用的存储位置的筛选,从而将认证文件存储在未被占用的存储位置上,从而保证了基板管理控制器的存储空间的有效占用,避免存储空间的浪费。
作为一种可选的实施例,所述采用所述目标认证信息所指示的目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息,包括:
根据所述目标认证信息转换出所述目标认证文件对应的解密密钥;
使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息。
可选地,在本申请实施例中,目标认证信息中可以是携带有对认证信息进行解密的解密密钥,或者还可以是存储生成解密密钥的密钥生成方式。
作为一种可选的实施例,所述使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息,包括:
使用所述目标账号的账号公钥对所述目标认证文件进行解密,得到候选认证文件,其中,所述目标认证文件为所述目标账号使用所述账号公钥对应的账号私钥对所述候选认证文件进行加密得到的,所述解密密钥包括所述账号公钥;
从所述可信平台模块中获取参考服务器对所述候选认证文件的服务器公钥,其中,所述参考服务器为用于维护所述目标服务器的运行状态的服务器,所述参考服务器用于使用所述服务器公钥对应的服务器私钥对所述目标启动信息进行加密,并将加密后的所述候选认证文件发送给所述目标账号进行认证;
使用所述服务器公钥对所述候选认证文件进行解密,得到所述目标启动信息。
通过以上步骤,通过在使用,目标服务器的目标账号和对目标服务器的运行功能进行维护的参考服务器对启动信息共同进行加密认证,即参考服务器先对启动信息进行加密认证,并将加密认证后的认证文件发送给目标账号进行认证,从而使得目标账号接收到的是启动信息的加密版本,避免将服务器的启动信息明码发给目标用户导致的启动信息泄露的问题,保证服务器的启动信息的安全性。
作为一种可选的实施例,所述根据所述目标认证信息转换出所述目标认证文件对应的解密密钥,包括以下之一:
在所述目标认证信息为所述目标账号的账号公钥的情况下,将所述账号公钥确定为所述解密密钥;
在所述目标认证信息为指示所述目标账号对所述目标认证文件所采用的目标加密方式的信息的情况下,确定与所述目标加密方式对应的解密方式;按照所述解密方式生成用于对所述目标认证文件进行解密的所述解密密钥。
作为一种可选的实施例,在所述从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件之前,所述方法还包括:
检测所述基板管理控制器和所述基本输入输出系统之间的通信状态;
在所述通信状态用于指示所述基本输入输出系统处于断路状态的情况下,从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件,其中,多个所述初始认证文件为所述基本输入输出系统在当前时刻之前的参考时间段内为所述目标账号启动所述目标服务器所使用的认证文件。
通过以上步骤,通过在基本输入输出系统的缓存区中对目标账号使用过的认证文件进行缓存,用于基本输入输出系统与基板管理控制器之间失去联络后进行启动数据的校验,从而提高服务器系统的运行稳定性,避免基本输入输出系统和基板管理控制器之间的链路断路对服务器启动造成的影响。
作为一种可选的实施例,在所述从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件之后,所述方法还包括:
在检测到所述基本输入输出系统和所述基板管理控制器之间的恢复通信的情况下,提取所述基板管理控制器中存储的多个所述参考认证文件;
使用所述参考认证文件对所述初始认证文件进行更新。
通过以上步骤,在基本输入输出系统和基板管理控制器之间恢复通信后,调用基板管理控制器中的参考认证文件对基本输入输出系统的缓存区中存储的认证文件进行更新,存入保证了基本输入输出系统的缓存区中存储的认证文件的准确性。
作为一种可选的实施例,所述对所述目标启动信息所指示的目标启动数据进行数据校验,包括:
将目标启动信息和所述目标服务器中的目标启动数据进行匹配;
在所述目标启动信息和所述目标启动数据匹配一致的情况下,确定所述目标启动数据校验通过;
在所述目标启动信息和所述目标启动数据匹配不一致的情况下,确定所述目标启动数据校验未通过。
作为一种可选的实施例,所述将目标启动信息和所述目标服务器中的目标启动数据进行匹配,包括:
使用信息摘要算法对所述目标启动数据进行计算,得到候选信息摘要,其中,所述候选信息摘要用于指示所述目标启动数据所携带的数据内容;
将候选信息摘要和目标信息摘要进行匹配,其中,所述目标启动信息包括所述目标信息摘要;
在所述目标信息摘要和所述候选信息摘要相同的情况下,确定所述目标启动数据和所述目标启动信息匹配一致;
在所述目标信息摘要和所述候选信息摘要不同的情况下,确定所述目标启动数据和所述目标启动信息匹配不一致。
作为一种可选的实施例,在所述确定所述目标启动数据校验未通过之后,所述方法还包括:
控制所述目标服务器宕机,并生成用于指示所述目标启动数据被篡改的目标通知消息;
将所述目标通知消息发送至用于对所述目标服务器进行维护的参考服务器,其中,所述参考服务器用于根据所述目标通知消息对所述目标服务器的启动数据进行维护。
可选地,在本申请实施例中,参考服务器对目标服务器启动数据维护操作可以但不限于包括重新配置启动数据,并重新获取目标账号对启动数据的启动信息进行认证得到的目标认证文件,本方案对此不做限定。
通过以上内容,通过在检测到服务器上的目标启动数据被篡改后,先对服务器进行宕机处理,避免服务器在错误的运行环境中运行造成的数据被窃取,进而通过向参考服务器发送目标通知消息请求对目标服务器进行启动数据维护,从而使得服务器尽快恢复正常运行,提高服务器的运行稳定性。
图5是根据本申请实施例的一种可选的服务器硬件连接示意图,如图5所示,从硬件的角度,CPU的SPI总线连接BIOS和TPM,eSPI总线连接BMC。从软件的角度,BIOS和BMC间的eSPI总线连接成功后。枚举时初始化BMC下挂的Host to bridge设备,然后使用设备的MMIO资源进行数据交互,本方案中会提前将每个区域的根证书写入到BMC中,在服务器启动阶段BIOS可以使用MMIO的方式读取写入到BMC中的每个区域的根证书;BIOS和TPM之前使用SPI命令进行数据交互,本方案中会提前将根密钥的公钥写入到TPM中,在服务器启动阶段BIOS可以使用SPI命令的方式读取写入到TPM中的根密钥的公钥。
图6是根据本申请实施例的一种可选的启动数据校验流程图,如图6所示,开机后BIOS会从BMC端读取每个加密区域的根证书,同时BIOS也会从自己的芯片NVRAM中读取每个加密区域(启动数据)的根证书,比较从BMC和BIOS的NVRAM中读取的每个加密区域的根证书,如果不一致,则将从BMC读取中的每个加密区域的根证书保存到BIOS的NVRAM中,也就是BMC端优先级高于BIOS的NVRAM端。保存到BIOS的NVRAM中主要是防止启动过程中无法跟BMC正常通信导致无法从BMC端获取正确的每个加密区域的根证书,当遇到和BMC通信失败的情况下,可以从BIOS的NVRAM中抓取每个加密区域的根证书。
接下来BIOS会从可信平台模块TPM中获取根秘钥和二级秘钥的公钥,从TPM中获取公钥能保障公钥的真实性和安全性。使用根秘钥的公钥去解密每个加密区域的根证书等到每个加密区域的二级证书,然后继续使用二级秘钥的公钥解密每个加密区域的二级证书得到每个加密区域的Hash值。例如区域1的Hash值为1_A,区域2的Hash值为2_A,区域3的Hash值为3_A……以此类推,区域N的Hash值为N_A。同时BIOS在运行加密区域代码前,计算加密区域1的Hash值为1_B,区域2的Hash值为2_B,区域3的Hash值为3_B……以此类推,区域N的Hash值为N_B。比较同一个区域的Hash值,例如比较区域1的1_A和1_B,比较区域2的2_A和2_B,Hash值相同代表校验通过,允许运行加密区域代码,否则属于校验失败,记录校验失败日志供用户查看,同时触发服务器宕机机制,避免因运行被病毒或者木马篡改的代码导致用户发生一系列严重损失。
本申请支持多套二级证书用于适配用户选择不同的加密区域,达到配合用户不同的定制化套餐需求。例如用户定制化了3种套餐,每种套餐的应用场景不一样,导致用户关注的加密区域组合也不一致。本方案为每个加密区域提供一个二级证书,例如1到10,共10个加密区域提供10个二级证书,用户的套餐1需要加密区域1,3,5,7,被命名为二级证书组合1;套餐2需要加密区域1,2,3,4,5,被命名为二级证书组合2;套餐3需要加密区域2,4,6,8,被命名为二级证书组合3;选择不同的加密区域组合形成不同的二级证书组合,本方案不限制二级证书组合的数量,一切以客户需求为中心配置。在出货时,如果用户本次订购套餐1,则将二级证书组合1写入到TPM中。如果用户本次订购套餐2,则将二级证书组合2写入到TPM。如果用户本次订购套餐3,则将二级证书组合3写入到TPM。
通过上述实施例提供的服务器安全启动的方式,可以帮助服务器在启动时检测和防止恶意软件和病毒的入侵。本发明的优点是优秀的安全实现方案,摆脱服务器处理器芯片厂商的限制,同时围绕一切以客户为中心,基于用户的要求保证BIOS静态区域的安全。
摆脱服务器处理器芯片厂商的限制能实现跨平台的方案统一,同时也能实现代码统一化,节省开发和测试人力,对于用户也容易了解和使用。
采用根和二级两种层级的加密,安全性增强的同时也支持随意定制加密区域组合,实现用户不同套餐采用不同区域的安全加密和校验。本方案满足客户不同套餐应用场景的需求,定制化方便,仅需在出货时写入不同的二级秘钥的公钥组合到TPM中,节省不同套餐重复版本发布的发版和自测时间。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本申请各个实施例所述的方法。
在本实施例中还提供了一种服务器的启动装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图7是根据本申请实施例的服务器的启动装置的结构框图,应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,如图7所示,该装置包括:
接收模块,用于接收目标账号发送的目标请求,以启动所述目标服务器;
调取模块,用于在确定所述目标账号对所述目标服务器具有调用权限的的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;
认证模块,用于采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;
校验模块,用于对所述目标启动信息所指示的目标启动数据进行数据校验;
启动模块,用于在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器。
通过以上内容,在目标服务器上部署与基本输入输出系统具有连接关系的可信平台模块,由可信平台模块存储对目标服务器具有调用权限的账号的认证信息,并在目标服务器上还导入了该账号对目标服务器的启动信息进行校验通过后使用认证信息所指示的认证方式对启动信息进行加密得到的认证文件,从而使得目标服务器启动所使用启动数据的数据内容由使用服务器的账号认证,并由使用服务器的账号掌握对启动数据进行认证的认证方式,进而在接收到目标请求后,通过从可信平台模块中调取目标账号的目标认证信息,以及从服务器中调取目标账号对应的目标认证文件,并使用目标认证信息所指示的目标认证方式对目标认证文件进行解密认证,从而得到启动信息,用于对目标启动数据进行校验,实现根据目标账号预先使用私有的认证方式认证后的启动数据运行服务器,避免服务器启动时使用被篡改的启动数据对服务器的启动安全造成的影响,保证了服务器的运行环境的安全,因此,可以解决相关技术中服务器运行环境安全性较低的问题,达到提高服务器运行环境的安全性的效果。
可选的,所述调取模块,包括:
第一获取单元,用于获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
调取单元,用于从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息。
可选的,所述调取单元,用于:
确定实现所述目标业务功能所需的一个或者多个所述目标启动数据,其中,每个所述目标启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式;
从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息。
可选的,所述调取单元,用于:
从具有对应关系的认证信息和所述可信平台模块内的存储区域中确定与所述目标认证信息对应的目标存储区域;
向所述可信平台模块发送目标获取请求,其中,所述目标获取请求用于请求获取所述目标存储区域中存储的认证信息;
接收所述可信平台模块响应所述目标获取请求返回的所述目标认证信息。
可选的,所述目标服务器主板上还部署有中央处理器,所述中央处理器通过串行外围设备接口总线分别与所述基本输入输出系统和所述可信平台模块连接,
所述调取单元,用于:
生成串行外围设备接口协议格式的目标指令;
将所述目标指令通过所述串行外围设备接口总线发送至所述中央处理器,其中,所述目标指令用于指示所述中央处理器向所述可信平台模块发送所述串行外围设备接口协议格式的所述目标获取请求。
可选的,所述装置还包括:
获取模块,用于在所述向所述可信平台模块发送目标获取请求之前,获取所述基本输入输出系统中存储的目标授权值,其中,所述目标授权值用于指示所述基本输入输出系统对所述可信平台模块的访问权限;
发送模块,用于向所述可信平台模块发送携带有所述目标授权值的权限验证请求,其中,所述权限验证请求用于请求所述可信平台模块基于所述目标授权值验证所述基本输入输出系统的数据访问权限。
可选的,所述调取模块,包括:
第二获取单元,用于获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
筛选单元,用于从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的一个或者多个所述目标认证文件,其中,每个所述参考认证文件为所述目标账号对参考启动信息进行加密得到的,所述参考启动信息用于指示所述目标服务器启动所使用的参考启动数据所记载的数据内容,每个所述参考启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式。
可选的,所述目标服务器主板上部署有基板管理控制器,所述基板管理控制器与所述基本输入输出系统连接,
所述筛选单元,用于:
从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件;
从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,其中,所述基板管理控制器中的所述存储位置和所述参考认证文件具有意义对应关系;
从所述目标存储位置中提取所述目标认证文件。
可选的,所述筛选单元,用于:
获取所述基板管理控制器的内存映射表,其中,所述内存映射表用于指示所述基板管理控制器的内存空间分配情况;
从所述内存映射表中查找所述基板管理控制器的内存中用于存储所述目标认证文件的所述目标存储位置。
可选的,所述装置还包括:
接收模块,用于在所述获取所述可信平台模块的内存映射表之前,接收参考服务器发送的所述参考认证文件,其中,所述参考服务器为用于维护所述目标服务器运行状态的服务器;
第一筛选模块,用于从所述基板管理控制器的内容空间中筛选出处于未被占用状态的参考存储位置;
更新模块,用于将所述参考认证文件存储在所述参考存储位置中,并将所述参考存储位置和所述参考认证文件的对应关系更新至所述内存映射表中。
可选的,所述认证模块,包括:
转换单元,用于根据所述目标认证信息转换出所述目标认证文件对应的解密密钥;
解密单元,用于使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息。
可选的,所述解密单元,用于:
使用所述目标账号的账号公钥对所述目标认证文件进行解密,得到候选认证文件,其中,所述目标认证文件为所述目标账号使用所述账号公钥对应的账号私钥对所述候选认证文件进行加密得到的,所述解密密钥包括所述账号公钥;
从所述可信平台模块中获取参考服务器对所述候选认证文件的服务器公钥,其中,所述参考服务器为用于维护所述目标服务器的运行状态的服务器,所述参考服务器用于使用所述服务器公钥对应的服务器私钥对所述目标启动信息进行加密,并将加密后的所述候选认证文件发送给所述目标账号进行认证;
使用所述服务器公钥对所述候选认证文件进行解密,得到所述目标启动信息。
可选的,所述转换单元,用于执行以下操作之一:
在所述目标认证信息为所述目标账号的账号公钥的情况下,将所述账号公钥确定为所述解密密钥;
在所述目标认证信息为指示所述目标账号对所述目标认证文件所采用的目标加密方式的信息的情况下,确定与所述目标加密方式对应的解密方式;按照所述解密方式生成用于对所述目标认证文件进行解密的所述解密密钥。
可选的,所述装置还包括:
第一检测模块,用于在所述从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件之前,检测所述基板管理控制器和所述基本输入输出系统之间的通信状态;
第二筛选模块,用于在所述通信状态用于指示所述基本输入输出系统处于断路状态的情况下,从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件,其中,多个所述初始认证文件为所述基本输入输出系统在当前时刻之前的参考时间段内为所述目标账号启动所述目标服务器所使用的认证文件。
可选的,所述装置还包括:
第二检测模块,用于在所述从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件之后,在检测到所述基本输入输出系统和所述基板管理控制器之间的恢复通信的情况下,提取所述基板管理控制器中存储的多个所述参考认证文件;
更新模块,用于使用所述参考认证文件对所述初始认证文件进行更新。
可选的,所述校验模块,包括:
匹配单元,用于将目标启动信息和所述目标服务器中的目标启动数据进行匹配;
第一确定单元,用于在所述目标启动信息和所述目标启动数据匹配一致的情况下,确定所述目标启动数据校验通过;
第二确定单元在所述目标启动信息和所述目标启动数据匹配不一致的情况下,确定所述目标启动数据校验未通过。
可选的,所述匹配单元,用于:
使用信息摘要算法对所述目标启动数据进行计算,得到候选信息摘要,其中,所述候选信息摘要用于指示所述目标启动数据所携带的数据内容;
将候选信息摘要和目标信息摘要进行匹配,其中,所述目标启动信息包括所述目标信息摘要;
在所述目标信息摘要和所述候选信息摘要相同的情况下,确定所述目标启动数据和所述目标启动信息匹配一致;
在所述目标信息摘要和所述候选信息摘要不同的情况下,确定所述目标启动数据和所述目标启动信息匹配不一致。
可选的,所述装置还包括:
处理模块,用于在所述确定所述目标启动数据校验未通过之后,控制所述目标服务器宕机,并生成用于指示所述目标启动数据被篡改的目标通知消息;
发送模块,用于将所述目标通知消息发送至用于对所述目标服务器进行维护的参考服务器,其中,所述参考服务器用于根据所述目标通知消息对所述目标服务器的启动数据进行维护。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本申请的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述计算机可读存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本申请的实施例还提供了一种电子设备,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
在一个示例性实施例中,上述电子设备还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
本申请的实施例还提供了一种计算机程序产品,上述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述任一项方法实施例中的步骤。
本申请的实施例还提供了另一种计算机程序产品,包括非易失性计算机可读存储介质,所述非易失性计算机可读存储介质存储计算机程序,所述计算机程序被处理器执行时实现上述任一项方法实施例中的步骤。
本中请的实施例还提供了一种计算机程序,该计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质;计算机设备的处理器从计算机可读存储介质读取该计算机指令,处埋器执行该计算机指令,使得该计算机设备执行上述任一项方法实施例中的步骤。
本实施例中的具体示例可以参考上述实施例及示例性实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本申请的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本申请不限制于任何特定的硬件和软件结合。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (18)

1.一种服务器的启动方法,其特征在于,
应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,所述方法包括:
接收目标账号发送的目标请求,以启动所述目标服务器;
在确定所述目标账号对所述目标服务器具有调用权限的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;
采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;
对所述目标启动信息所指示的目标启动数据进行数据校验;
在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器;
其中,所述采用所述目标认证信息所指示的目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息,包括:根据所述目标认证信息转换出所述目标认证文件对应的解密密钥;使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息;
所述使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息,包括:使用所述目标账号的账号公钥对所述目标认证文件进行解密,得到候选认证文件,其中,所述目标认证文件为所述目标账号使用所述账号公钥对应的账号私钥对所述候选认证文件进行加密得到的,所述解密密钥包括所述账号公钥;从所述可信平台模块中获取参考服务器对所述候选认证文件的服务器公钥,其中,所述参考服务器为用于维护所述目标服务器的运行状态的服务器,所述参考服务器用于使用所述服务器公钥对应的服务器私钥对所述目标启动信息进行加密,并将加密后的所述候选认证文件发送给所述目标账号进行认证;使用所述服务器公钥对所述候选认证文件进行解密,得到所述目标启动信息。
2.根据权利要求1所述的方法,其特征在于,
所述从所述可信平台模块中调取所述目标账号对应的目标认证信息,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息。
3.根据权利要求2所述的方法,其特征在于,
所述从所述可信平台模块中调取所述目标账号为所述目标业务功能配置的所述目标认证信息,包括:
确定实现所述目标业务功能所需的一个或者多个所述目标启动数据,其中,每个所述目标启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式;
从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息。
4.根据权利要求3所述的方法,其特征在于,
所述从所述可信平台模块中调取所述目标账号的与所述目标启动数据对应的所述目标认证信息,包括:
从具有对应关系的认证信息和所述可信平台模块内的存储区域中确定与所述目标认证信息对应的目标存储区域;
向所述可信平台模块发送目标获取请求,其中,所述目标获取请求用于请求获取所述目标存储区域中存储的认证信息;
接收所述可信平台模块响应所述目标获取请求返回的所述目标认证信息。
5.根据权利要求4所述的方法,其特征在于,
所述目标服务器上还部署有中央处理器,所述中央处理器通过串行外围设备接口总线分别与所述基本输入输出系统和所述可信平台模块连接,
所述向所述可信平台模块发送目标获取请求,包括:
生成串行外围设备接口协议格式的目标指令;
将所述目标指令通过所述串行外围设备接口总线发送至所述中央处理器,其中,所述目标指令用于指示所述中央处理器向所述可信平台模块发送所述串行外围设备接口协议格式的所述目标获取请求。
6.根据权利要求1所述的方法,其特征在于,
所述从所述目标服务器中调取所述目标账号对应的目标认证文件,包括:
获取所述目标请求所请求调用的所述目标服务器的目标业务功能;
从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的一个或者多个所述目标认证文件,其中,每个所述参考认证文件为所述目标账号对参考启动信息进行加密得到的,所述参考启动信息用于指示所述目标服务器启动所使用的参考启动数据所记载的数据内容,每个所述参考启动数据中记录对所述目标服务器上部署的对应的硬件设备的启动方式。
7.根据权利要求6所述的方法,其特征在于,
所述目标服务器上部署有基板管理控制器,所述基板管理控制器与所述基本输入输出系统连接,
所述从所述服务器中存储的多个参考认证文件中筛选出与所述目标业务功能对应的所述一个或者多个目标认证文件,包括:
从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件;
从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,其中,所述基板管理控制器中的所述存储位置和所述参考认证文件具有意义对应关系;
从所述目标存储位置中提取所述目标认证文件。
8.根据权利要求7所述的方法,其特征在于,
所述从所述基板管理控制器的多个存储位置中确定出用于存储所述目标认证文件的目标存储位置,包括:
获取所述基板管理控制器的内存映射表,其中,所述内存映射表用于指示所述基板管理控制器的内存空间分配情况;
从所述内存映射表中查找所述基板管理控制器的内存中用于存储所述目标认证文件的所述目标存储位置。
9.根据权利要求8所述的方法,其特征在于,
在所述获取所述可信平台模块的内存映射表之前,所述方法还包括:
接收参考服务器发送的所述参考认证文件,其中,所述参考服务器为用于维护所述目标服务器运行状态的服务器;
从所述基板管理控制器的内容空间中筛选出处于未被占用状态的参考存储位置;
将所述参考认证文件存储在所述参考存储位置中,并将所述参考存储位置和所述参考认证文件的对应关系更新至所述内存映射表中。
10.根据权利要求1所述的方法,其特征在于,
所述根据所述目标认证信息转换出所述目标认证文件对应的解密密钥,包括以下之一:
在所述目标认证信息为所述目标账号的账号公钥的情况下,将所述账号公钥确定为所述解密密钥;
在所述目标认证信息为指示所述目标账号对所述目标认证文件所采用的目标加密方式的信息的情况下,确定与所述目标加密方式对应的解密方式;按照所述解密方式生成用于对所述目标认证文件进行解密的所述解密密钥。
11.根据权利要求7所述的方法,其特征在于,
在所述从具有对应关系的账号、业务功能和认证文件中筛选出与所述目标账号调用所述目标业务功能对应的目标认证文件之前,所述方法还包括:
检测所述基板管理控制器和所述基本输入输出系统之间的通信状态;
在所述通信状态用于指示所述基本输入输出系统处于断路状态的情况下,从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件,其中,多个所述初始认证文件为所述基本输入输出系统在当前时刻之前的参考时间段内为所述目标账号启动所述目标服务器所使用的认证文件。
12.根据权利要求11所述的方法,其特征在于,
在所述从所述基本输入输出系统对应的缓存区中存储的多个初始认证文件中筛选出与所述目标业务功能对应的所述目标认证文件之后,所述方法还包括:
在检测到所述基本输入输出系统和所述基板管理控制器之间的恢复通信的情况下,提取所述基板管理控制器中存储的多个所述参考认证文件;
使用所述参考认证文件对所述初始认证文件进行更新。
13.根据权利要求1所述的方法,其特征在于,
所述对所述目标启动信息所指示的目标启动数据进行数据校验,包括:
将目标启动信息和所述目标服务器中的目标启动数据进行匹配;
在所述目标启动信息和所述目标启动数据匹配一致的情况下,确定所述目标启动数据校验通过;
在所述目标启动信息和所述目标启动数据匹配不一致的情况下,确定所述目标启动数据校验未通过。
14.根据权利要求13所述的方法,其特征在于,
所述将目标启动信息和所述目标服务器中的目标启动数据进行匹配,包括:
使用信息摘要算法对所述目标启动数据进行计算,得到候选信息摘要,其中,所述候选信息摘要用于指示所述目标启动数据所携带的数据内容;
将候选信息摘要和目标信息摘要进行匹配,其中,所述目标启动信息包括所述目标信息摘要;
在所述目标信息摘要和所述候选信息摘要相同的情况下,确定所述目标启动数据和所述目标启动信息匹配一致;
在所述目标信息摘要和所述候选信息摘要不同的情况下,确定所述目标启动数据和所述目标启动信息匹配不一致。
15.一种服务器的启动装置,其特征在于,
应用于基本输入输出系统,目标服务器上部署有所述基本输入输出系统和可信平台模块,所述基本输入输出系统与所述可信平台模块连接,所述装置包括:
接收模块,用于接收目标账号发送的目标请求,以启动所述目标服务器;
调取模块,用于在确定所述目标账号对所述目标服务器具有调用权限的情况下,从所述可信平台模块中调取所述目标账号对应的目标认证信息,从所述目标服务器中调取所述目标账号对应的目标认证文件,其中,所述目标认证文件为所述目标账号使用所述目标认证信息所指示的目标认证方式对所述目标服务器的启动信息进行加密认证得到的,所述启动信息用于指示所述目标服务器的启动所使用的启动数据;
认证模块,用于采用所述目标认证信息所指示的所述目标认证方式对所述目标认证文件进行解密认证,得到目标启动信息;
校验模块,用于对所述目标启动信息所指示的目标启动数据进行数据校验;
启动模块,用于在所述目标启动数据校验通过的情况下,使用所述目标启动数据启动所述目标服务器;
其中,所述认证模块,包括:转换单元,用于根据所述目标认证信息转换出所述目标认证文件对应的解密密钥;解密单元,用于使用所述解密密钥对所述目标认证文件进行解密,得到所述目标启动信息;
所述解密单元,用于:使用所述目标账号的账号公钥对所述目标认证文件进行解密,得到候选认证文件,其中,所述目标认证文件为所述目标账号使用所述账号公钥对应的账号私钥对所述候选认证文件进行加密得到的,所述解密密钥包括所述账号公钥;从所述可信平台模块中获取参考服务器对所述候选认证文件的服务器公钥,其中,所述参考服务器为用于维护所述目标服务器的运行状态的服务器,所述参考服务器用于使用所述服务器公钥对应的服务器私钥对所述目标启动信息进行加密,并将加密后的所述候选认证文件发送给所述目标账号进行认证;使用所述服务器公钥对所述候选认证文件进行解密,得到所述目标启动信息。
16.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现所述权利要求1至14任一项中所述的方法的步骤。
17.一种电子设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,
所述处理器执行所述计算机程序时实现所述权利要求1至14任一项中所述的方法的步骤。
18.一种计算机程序产品,包括计算机程序,其特征在于,
所述计算机程序被处理器执行时实现权利要求1至14任一项中所述的方法的步骤。
CN202410696749.8A 2024-05-31 2024-05-31 服务器的启动方法及装置、存储介质及电子设备 Active CN118260774B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410696749.8A CN118260774B (zh) 2024-05-31 2024-05-31 服务器的启动方法及装置、存储介质及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410696749.8A CN118260774B (zh) 2024-05-31 2024-05-31 服务器的启动方法及装置、存储介质及电子设备

Publications (2)

Publication Number Publication Date
CN118260774A CN118260774A (zh) 2024-06-28
CN118260774B true CN118260774B (zh) 2024-09-17

Family

ID=91613477

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410696749.8A Active CN118260774B (zh) 2024-05-31 2024-05-31 服务器的启动方法及装置、存储介质及电子设备

Country Status (1)

Country Link
CN (1) CN118260774B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110245495A (zh) * 2018-03-09 2019-09-17 阿里巴巴集团控股有限公司 Bios校验方法、配置方法、设备及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110610091A (zh) * 2019-09-12 2019-12-24 江苏域固威芯科技有限公司 一种基于国产网络平台的安全pxe方法
CN110929263A (zh) * 2019-11-21 2020-03-27 山东超越数控电子股份有限公司 一种基于主动度量的远程管理方法和设备
CN114048484A (zh) * 2021-11-11 2022-02-15 深圳市同泰怡信息技术有限公司 多路服务器的可信度量的方法、装置、计算机设备

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110245495A (zh) * 2018-03-09 2019-09-17 阿里巴巴集团控股有限公司 Bios校验方法、配置方法、设备及系统

Also Published As

Publication number Publication date
CN118260774A (zh) 2024-06-28

Similar Documents

Publication Publication Date Title
CN108810894B (zh) 终端授权方法、装置、计算机设备和存储介质
US11258792B2 (en) Method, device, system for authenticating an accessing terminal by server, server and computer readable storage medium
US20220209951A1 (en) Authentication method, apparatus and device, and computer-readable storage medium
CN107463838B (zh) 基于sgx的安全监控方法、装置、系统及存储介质
US8171295B2 (en) Information processing apparatus, a server apparatus, a method of an information processing apparatus, a method of a server apparatus, and an apparatus executable process
WO2021219086A1 (zh) 基于区块链的数据传输方法和系统
CN110737897B (zh) 基于可信卡的启动度量的方法和系统
US20100229242A1 (en) Program execution control system, program execution control method and computer program for program execution control
JP2016158270A (ja) データセンタへのプラットフォームの内包検証
US20140317413A1 (en) Secure remediation of devices requesting cloud services
CN110688660B (zh) 一种终端安全启动的方法及装置、存储介质
US20200074122A1 (en) Cryptographic operation processing method, apparatus, and system, and method for building measurement for trust chain
CN109842616B (zh) 账号绑定方法、装置及服务器
EP3966721B1 (en) Apparatus and method for disk attestation
CN112765637A (zh) 数据处理方法、密码服务装置和电子设备
CN111460410A (zh) 服务器登录方法、装置、系统与计算机可读存储介质
KR20170089352A (ko) 가상화 시스템에서 수행하는 무결성 검증 방법
CN111177709A (zh) 一种终端可信组件的执行方法、装置及计算机设备
CN112632573A (zh) 智能合约执行方法、装置、系统、存储介质及电子设备
CN111585995A (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CN111901304A (zh) 移动安全设备的注册方法和装置、存储介质、电子装置
US9692641B2 (en) Network connecting method and electronic device
US20160352522A1 (en) User Terminal For Detecting Forgery Of Application Program Based On Signature Information And Method Of Detecting Forgery Of Application Program Using The Same
CN113127844A (zh) 一种变量访问方法、装置、系统、设备和介质
CN118260774B (zh) 服务器的启动方法及装置、存储介质及电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant