一种BIOS固件的安全校验方法及服务器与流程

本技术涉及服务器，尤其涉及一种bios固件的安全校验方法及服务器。

背景技术：

1、随着网络以及数据中心的快速发展，作为服务器为数据中心的核心设备，正面临着内部或外部的各种安全危险。bios固件作为服务器启动和运行的底层基础，其安全性和完整性对于服务器操作系统的稳定和安全至关重要。如果bios固件被恶意篡改或损坏，可能会导致服务器无法正常启动，甚至被注入恶意代码，从而威胁整个操作系统的安全。

2、因此，需要提供一种对bios固件的安全校验方法，以为服务器以及操作系统的安全运行提供保障。

技术实现思路

1、有鉴于此，本技术实施例提供了一种bios固件的安全校验方法及服务器。

2、第一方面，本技术提供了一种bios固件的安全校验方法，该方法包括：

3、基板管理控制器bmc接收bios校验命令，所述bios校验命令用于指示对bios固件进行校验；

4、所述bmc将存储器的可访问对象由带内处理器切换为所述bmc，所述存储器用于存储bios固件，所述带内处理器用于访问所述存储器实现bios业务功能；

5、所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验。

6、本技术实施例提供了一种bios固件的安全校验方法，当需要进行bios固件校验时，bmc通过将存储有bios固件的存储器的访问权限从带内处理器移交给检测设备，将存储器与带内处理器进行隔离。当bios固件校验期间，带内处理器可以正常运行操作系统并实现其他功能，而检测设备通过访问存储器可以对存储器中的bios固件进行安全校验，实现了在带内处理器运行操作系统的过程中，对bios固件进行检测。既实现了对biso固件的安全校验，又不影响服务器以及带内处理器的正常运行，提高服务器运行的安全性。

7、在一种可能的实现方式中，所述bmc将存储器的可访问对象由带内处理器切换为所述bmc，包括：

8、所述bmc通过控制所述存储器的通用输入输出引脚将所述存储器的可访问对象切换为所述bmc。

9、在本技术实施例中，bmc通过通用输入输出引脚可以直接控制存储器的可访问对象，无须通过访问带内处理器进行修改，减少硬件设备之间的交互，提高系统的安全性。

10、在一种可能的实现方式中，所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验，包括：

11、所述bmc访问所述存储器，并利用一次性可编程otp存储区对所述bios固件进行安全校验。

12、在本技术实施例中，通过使用otp存储区对bios固件进行安全校验，可以确保校验数据的一次性写入，防止恶意篡改或者未经授权的访问，从而提升系统的安全性。

13、在一种可能的实现方式中，所述bmc利用所述otp存储区对所述bios固件进行安全校验，包括：

14、所述bmc读取所述otp存储区中的根公钥；

15、所述bmc利用所述根公钥对所述bios固件的二级密钥证书进行校验；

16、所述bmc在所述二级密钥证书校验通过后，从所述二级密钥证书中获取公钥，并利用所述公钥对所述bios固件进行安全校验。

17、在本技术实施例中，通过这种方式，bmc利用otp存储区中的根公钥建立信任链，校验bios固件的二级密钥证书，并利用提取的公钥对bios固件进行安全校验，从而确保bios固件的安全性和完整性。

18、在一种可能的实现方式中，所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验之前，所述方法还包括：

19、所述bmc向所述带内处理器发送第一控制指令，所述第一控制指令用于指示所述带内处理器停止进行需要访问所述存储器或所述bios固件的业务功能；

20、所述方法还包括：

21、所述bmc响应于所述bios固件通过校验，向所述带内处理器发送第二控制指令，所述第二控制指令用于指示所述带内处理器恢复进行需要访问所述存储器或所述bios固件的业务功能。

22、在本技术实施例中，bmc通过向带内处理器发送第一控制指令，使带内处理器停止执行需要访问存储器或bios固件的业务功能，在进行bios固件安全校验时暂停可能与校验操作冲突的其他业务功能。并在bios固件通过校验后，bmc向带内处理器发送第二控制指令，使带内处理器恢复执行需要访问存储器或bios固件的业务功能，确保在安全校验完成后，系统能够正常地继续执行其他业务功能。通过这种方式，bmc在执行bios固件安全校验时，确保了校验操作与其他业务功能的协调，从而提高了系统的安全性和稳定性。

23、在一种可能的实现方式中，所述存储器包括第一存储器和第二存储器，所述第一存储器和所述第二存储器分别存储有所述bios固件，所述bios校验命令用于指示对所述第一存储器中的bios固件进行安全校验；

24、所述bmc接收bios校验命令，将存储器的可访问对象切换为所述bmc，包括：

25、所述bmc将所述第一存储器的可访问对象切换为所述bmc，将所述第二存储器的可访问对象切换为所述带内处理器；

26、所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验，包括：

27、所述bmc访问所述第一存储器对所述第一存储器中的bios固件进行安全校验。

28、在本技术实施例中，bmc将第一存储器的可访问对象切换为自身，以便对第一存储器中的bios固件进行安全校验。同时，bmc将第二存储器的可访问对象切换为带内处理器，以确保其他系统功能的正常访问。通过将第一存储器访问对象切换为bmc，可以确保在对第一存储器中的bios固件继续宁安全校验时不会被其他系统功能所干扰。

29、在一种可能的实现方式中，所述存储器包括第一存储器和第二存储器，所述第一存储器和所述第二存储器分别存储有所述bios固件，所述bios校验命令用于指示先对所述第一存储器中的bios固件进行安全校验，再对所述第二存储器中的bios固件进行安全校验；

30、所述bmc接收bios校验命令，将存储器的可访问对象切换为所述bmc，包括：

31、所述bmc将所述第一存储器的可访问对象切换为所述bmc，将所述第二存储器的可访问对象切换为所述带内处理器；

32、并在所述第一存储器中的bios固件通过校验后，将所述第二存储器的可访问对象切换为所述bmc，将所述第一存储器的可访问对象切换为所述带内处理器；

33、所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验，包括：

34、所述bmc访问所述第一存储器对所述第一存储器中的bios固件进行安全校验；

35、并在所述bmc将所述第二存储器的可访问对象切换为所述bmc后，访问所述第二存储器对所述第二存储器中的bios固件进行安全校验。

36、在本技术实施例中，bmc能够分阶段地对两个存储器中的bios固件进行安全校验，并在校验通过后切换存储器的可访问对象，以确保校验操作的顺利进行，同时保证系统的安全性和稳定性。

37、在一种可能的实现方式中，所述bmc包括安全核和业务核；所述bmc接收于bios校验命令，将存储器的可访问对象切换为所述bmc，包括：

38、所述业务核接收所述bios校验命令，将所述bios校验命令发送给所述安全核；

39、所述安全核根据所述bios校验命令将所述存储器的可访问对象切换为所述安全核；

40、所述bmc通过访问所述存储器对所述存储器中的bios固件进行安全校验，包括：

41、所述安全核通过访问所述存储器对所述存储器中的bios固件进行安全校验。

42、在本技术实施例中，业务核和安全核各自承担了不同的角色：业务核负责接收和传递命令，而安全核则负责实际的bios固件安全校验，将bios固件校验实现与其他业务隔离，从而确保了在执行校验操作时的安全性和有效性。

43、在一种可能的实现方式中，所述方法还包括：

44、所述安全核响应于表征所述存储器中的bios固件通过安全校验的bios校验结果，将所述存储器的可访问对象切换为所述带内处理器。

45、在本技术实施例中，安全核可以将刚刚通过bios固件安全校验的存储器的访问权限移交给带内处理器，使带内处理器访问安全性更高的存储器以实现相关业务，提高系统的稳定性。

46、第二方面，本技术提供了一种bios固件的安全校验装置，所述装置包括：

47、接收模块，用于接收bios校验命令，所述bios校验命令用于指示对bios固件进行校验；

48、切换模块，用于将存储器的可访问对象由带内处理器切换为所述bmc，所述存储器用于存储bios固件，所述带内处理器用于访问所述存储器实现bios业务功能；

49、校验模块，用于通过访问所述存储器对所述存储器中的bios固件进行安全校验。

50、在一种可能的实现方式中，所述切换模块具体用于通过控制所述存储器的通用输入输出引脚将所述存储器的可访问对象切换为所述bmc。

51、在一种可能的实现方式中，所述校验模块具体用于访问所述存储器，并利用一次性可编程otp存储区对所述bios固件进行安全校验。

52、在一种可能的实现方式中，所述校验模块具体用于读取所述otp存储区中的根公钥；利用所述根公钥对所述bios固件的二级密钥证书进行校验；在所述二级密钥证书校验通过后，从所述二级密钥证书中获取公钥，并利用所述公钥对所述bios固件进行安全校验。

53、在一种可能的实现方式中，所述装置还包括启停模块，所述启停模块用于在通过访问所述存储器对所述存储器中的bios固件进行安全校验之前，向所述带内处理器发送第一控制指令，所述第一控制指令用于指示所述带内处理器停止进行需要访问所述存储器或所述bios固件的业务功能；并用于响应于所述bios固件通过校验，向所述带内处理器发送第二控制指令，所述第二控制指令用于指示所述带内处理器恢复进行需要访问所述存储器或所述bios固件的业务功能。

54、在一种可能的实现方式中，所述存储器包括第一存储器和第二存储器，所述第一存储器和所述第二存储器分别存储有所述bios固件，所述bios校验命令用于指示对所述第一存储器中的bios固件进行安全校验；

55、所述切换模块具体用于将所述第一存储器的可访问对象切换为所述bmc，将所述第二存储器的可访问对象切换为所述带内处理器；

56、所述校验模块具体用于所述bmc访问所述第一存储器对所述第一存储器中的bios固件进行安全校验。

57、在一种可能的实现方式中，所述存储器包括第一存储器和第二存储器，所述第一存储器和所述第二存储器分别存储有所述bios固件，所述bios校验命令用于指示对所述第一存储器中的bios固件进行安全校验；

58、所述切换模块具体用于将所述第一存储器的可访问对象切换为所述bmc，将所述第二存储器的可访问对象切换为所述带内处理器；并在所述第一存储器中的bios固件通过校验后，将所述第二存储器的可访问对象切换为所述bmc，将所述第一存储器的可访问对象切换为所述带内处理器；

59、所述校验模块具体用于访问所述第一存储器对所述第一存储器中的bios固件进行安全校验；并在所述bmc将所述第二存储器的可访问对象切换为所述bmc后，访问所述第二存储器对所述第二存储器中的bios固件进行安全校验。

60、在一种可能的实现方式中，所述bmc包括安全核和业务核，所述切换模块具体用于接收所述bios校验命令，通过所述业务核将所述bios校验命令发送给所述安全核；通过所述安全核根据所述bios校验命令将所述存储器的可访问对象切换为所述安全核；

61、所述校验模块具体用于通过所述安全核访问所述存储器对所述存储器中的bios固件进行安全校验。

62、在一种可能的实现方式中，所述切换模块还用于响应于表征所述存储器中的bios固件通过安全校验的bios校验结果，通过所述安全核将所述存储器的可访问对象切换为所述带内处理器。

63、第三方面，本技术实施例提供了一种服务器，包括处理器，以及与所述处理器通信连接的存储器；

64、所述存储器用于存储计算机执行指令；

65、所述处理器用于执行所述存储器存储的计算机执行指令，以实现上述第一方面中任一实施例所述的bios固件的安全校验方法。

66、第四方面，本技术实施例提供了一种计算机存储介质，所述计算机存储介质中存储有代码，当所述代码被运行时，运行所述代码的设备实现前述第一方面中任一项所述的bios固件的安全校验方法。