CN116821020A

CN116821020A - Bmc控制器、信息安全***以及信息交互方法

Info

Publication number: CN116821020A
Application number: CN202310525130.6A
Authority: CN
Inventors: 吴正中; 张辉; 尹李晓继; 唐才荣; 汪永刚; 王利峰; 王晓东
Original assignee: Beijing Urban Construction Intelligent Control Technology Co ltd
Current assignee: Beijing Urban Construction Intelligent Control Technology Co ltd
Priority date: 2023-05-10
Filing date: 2023-05-10
Publication date: 2023-09-29

Abstract

本发明提供了一种BMC控制器，该BMC控制器包括：BMC芯片，用于通过串口从所述加密算法模块中读取程序固件；加密算法模块，用于存储固件，并对与所述BMC芯片进行交互的交互信息进行加密，所述交互信息包括所述固件；以太网接口，用于在所述BMC芯片和上位机之间进行信息交互；I2C总线，用于采集服务器端的环境信息和/或功能参数。本发明实现了在BMC控制器传输信息时传输密文，避免被拦截泄露，并且存储固件采用了加密算法模块的内部存储空间，防止外部扫描，从固件存储和信息传输两个方面都提高了安全性。

Description

BMC控制器、信息安全***以及信息交互方法

技术领域

本发明涉及信息安全领域，具体而言，涉及一种BMC控制器、信息安全***以及信息交互方法。

背景技术

随着现代社会科技的发展，服务器的应用越来越广泛。基板管理控制器(basedboard management controller,BMC)利用虚拟键盘、界面、鼠标、电源等为服务器提供远程管理功能。用户利用BMC控制器监视服务器的物理特征，如各部件的温度、电压、风扇工作状态、电源状态等。无论服务器是否安装操作***，是否开机，只要BMC控制器上电就可以对服务器的运行状况进行监测和控制。因此，一旦BMC被恶意控制，可以导致服务器无法正常工作，甚至导致服务器损坏，因此，保护BMC的安全越来越受到重视。

常见的BMC控制器如图1所示，一般将程序固件存储在FLASH中，在启动时，单片机芯片通过bootloader读取FLASH中的固件到RAM中进行运行，并且BCM控制器与上位机管理***一般使用网口进行指令交互。该方案下，由于单片机芯片的安全性不足，极易导致FLASH中的固件被反编译，从而造成固件信息被恶意纂改；进行指令交互时的协议也极易被获取，从而获取关键的信息，导致***运行在不安全的状态下。

发明内容

本发明的主要目的在于提供一种，以解决现有技术中BMC控制器安全性不足的问题，实现BMC控制器的安全可靠运行。

为了实现上述目的，根据本发明的一个方面，提供了一种BMC控制器，其特征在于，该BMC控制器包括：BMC芯片，用于通过串口从所述加密算法模块中读取程序固件；加密算法模块，用于存储固件，并对与所述BMC芯片进行交互的交互信息进行加密，所述交互信息包括所述固件；以太网接口，用于在所述BMC芯片和上位机之间进行信息交互；I2C总线，用于采集服务器端的环境信息和/或功能参数。

进一步地，所述加密算法模块还包括：至少一个虚拟内核，所述固件存储在所述虚拟内核中。

进一步地，所述虚拟内核还包括：第一存储区域和第二存储区域，所述第一存储区域和所述第二存储区域不同存储区域被赋予不同等级的安全权限，所述固件被存储第一存储区域中，所述第一存储区域的安全权限等级高于所述第二存储区域。

进一步地，所述加密算法模块还用于：对所述固件采用安全密钥进行加密后，存储在所述第一存储区域。

进一步地，所述加密算法模块还用于：在所述第一存储区域被访问时，对访问指令的完整性进行持续动态检查，并拒绝异常访问。

进一步地，所述加密算法模块为SM1国密算法模块。

为了实现上述目的，根据本发明的一个方面，提供了所述***包括：上述的BMC控制器；上位机，通过以太网与所述BMC控制器的BMC芯片进行信息交互。

进一步地，所述***还包括：U-KEY，与所述上位机进行通信连接，所述U-KEY中灌装有安全密钥模块，所述安全密钥模块与所述BMC控制器中的加密算法模块相对应，当所述U-KEY的密钥与所述安全密钥模块的密钥一致时，所述上位机与所述BMC控制器之间的认证完成。

为了实现上述目的，根据本发明的一个方面，提供了一种基于所述BMC控制器的信息保护***的信息交互方法，所述方法包括：所述BMC控制器接收来自上位机的加密后的第一指令，其中，所述加密后的第一指令是由所述上位机利用加密算法进行加密得到的；所述BMC控制器将所述加密后的第一指令发送到加密算法模块中进行解密，得到第一指令；所述BMC控制器执行所述第一指令。

进一步地，在所述BMC控制器接收来自上位机的加密后的第一指令之前，所述方法包括：所述BMC控制器接收来自上位机的加密后的第一指令接收来自所述上位机的第一随机数；所述BMC控制器通过所述加密算法模块对所述第一随机数进行加密，得到加密随机数；所述BMC控制器将所述加密随机数发送给所述上位机，以便所述上位机解密得到第二随机数，其中，当所述第一随机数和第二随机数匹配时，所述上位机和所述BMC控制器之间的认证通过。

应用本发明的技术方案，实现了在BMC控制器传输信息时传输密文，避免被拦截泄露，并且存储固件采用了加密算法模块的内部存储空间，防止外部扫描，即从固件存储和信息传输两个方面都提高了安全性。

除了上面所描述的目的、特征和优点之外，本发明还有其它的目的、特征和优点。下面将参照图，对本发明作进一步详细的说明。

附图说明

构成本发明的一部分的说明书附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了现有技术中BMC控制器的信息安全***的实施例的架构图；

图2示出了本发明BMC控制器的信息安全***的实施例的架构图；

图3示出了本发明实施例的一种基于BMC控制器的信息保护***的信息交互方法的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，以便这里描述的本发明的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

本技术方案公开了一种BMC控制器，如图2所示，该BMC控制器包括：BMC芯片302，用于通过串口从加密算法模块中读取程序固件；加密算法模块304，用于存储固件，并对与BMC芯片进行交互的交互信息进行加密，交互信息包括固件；以太网接口306，用于在BMC芯片和上位机之间进行信息交互；I2C总线308，用于采集服务器端的环境信息和/或功能参数。

该BMC芯片302为主控芯片，通过以太网口与上位机管理***进行交互。该BMC控制器300内设置了加密算法模块，该加密算法模块可以是SM1国密算法模块。该加密算法模块304可以对在信息交互传输之前，对待传输的信息进行加密，保证信息传输过程中的安全性。另外，将固件存储在加密算法模块中，该加密算法模块的安全等级比较高，能够避免安全等级低的FLASH模块被反编译的风险。并且，本技术方案中加密算法模块采用SM1国密算法模块，该模块具有软内核技术，可以防止外部扫描，能够更加有效的避免固件被反编译破解，提高了固件的安全性。

从以上的描述中，可以看出，本发明上述的实施例实现了在BMC控制器传输信息时传输密文，避免被拦截泄露，并且存储固件采用了加密算法模块的内部存储空间，防止外部扫描，既从固件存储和信息传输两个方面都提高了安全性。

如图1所示，本技术方案的BMC芯片通过串口与加密算法模块进行信息交互，该BMC控制器还包括I2C总线、GPIO、IPMI、DDR总线等，BMC芯片通过I2C总线采集服务器端的外部温度传感器、电源、功率、CPLD的状态，通过GPIO采集开关机、上电、故障状态等，通过PWM进行风扇控制，通过IPMI总线与服务器进行交互。BMC控制器还设置时钟电路、看门狗电路等。

进一步地，加密算法模块304还包括：至少一个虚拟内核，固件存储在虚拟内核中。虚拟内核还包括：第一存储区域和第二存储区域，第一存储区域和第二存储区域不同存储区域被赋予不同等级的安全权限，固件被存储第一存储区域中，第一存储区域的安全权限等级高于第二存储区域。

加密算法模块304内提供的虚拟内核可以划分为多个区域，每个区域可以分配不同等级的安全权限。例如，在虚拟内核中划分出三个区域，分别赋予高等级安全权限，中等级安全权限，低等级安全权限。每个等级的安全权限范围可以不同，此处不再赘述。固件是需要较高等级的安全权限的，可以将该固件存储在高等级安全权限的区域中，也可以存储在中等级安全权限的区域中，但是不能存储在低等级安全权限的区域中。优选将固件存储在用于最高等级的安全权限的区域中。

需要说明的是，这里的第一存储区域和第二存储区域只是为了区分不同的存储区域以及安全权限的等级高低，并不限制虚拟内核中划分的存储区域个数。

在确定固件存储的区域时，可以根据该区域是否能触发对指令的完整性进行持续动态检查的功能。如果该区域具有该功能，则可将固件存储在该区域内。如果在动态检查的过程中发现异常访问，则拒绝该访问，以避免被入侵的风险。在存储前对固件进行加密，将加密后的固件存储在相应的区域内，进一步提高了该固件的安全性，降低了该固件被反编译的可能性。

本技术方案还提供了一种BMC控制器的信息保护***，该***包括上述的BMC控制器300；以及上位机102，通过以太网与BMC控制器的BMC芯片302进行信息交互。该***还包括：U-KEY 104，与上位机102进行通信连接，U-KEY中灌装有安全密钥模块，安全密钥模块与BMC控制器中的加密算法模块相对应，当U-KEY的密钥与安全密钥模块的密钥一致时，上位机与BMC控制器之间的认证完成。上位机102和U-KEY 104构成上位机***100。

上位机通过USB接口连接U-KEY，U-KEY中有SM1国密算法模块，该SM1国密算法模块与BMC控制器中的加密算法模块相对应。在信息交互之前，当BMC控制器和U-KEY的密钥一致时，先完成了BMC控制器和上位机之间的认证，再进行信息交互了，保证信息交互对象是通过认证的，进而提升了信息安全保护的强度。

本技术方案还提供了一种基于BMC控制器的信息保护***的信息交互方法，该方法包括：

S301，BMC控制器接收来自上位机的加密后的第一指令，其中，加密后的第一指令是由上位机利用加密算法进行加密得到的；

第一指令可以是调用固件的指令，或者为服务器提供远程管理功能，该第一指令可以是第三方向上位机请求所生成的指令。上位机通过U-KEY对第一指令加密后，得到加密后的第一指令。在与BMC控制器传输指令时对指令加密，提高传输过程中的信息安全。

S303，BMC控制器将加密后的第一指令发送到加密算法模块中进行解密，得到第一指令；BMC控制器的加密算法模块中的加密算法与U-KEY中的加密算法是对应的，所以利用BMC控制器中的加密算法模块可以解密得到第一指令。

S305，BMC控制器执行第一指令。

在得到第一指令后执行该指令，可见，本技术方案的实施例可以解决现有技术在信息传输过程中信息不安全的问题，提高了信息传输的安全性。

进一步地，在执行指令之前，BMC控制器和上位机之间还需要进行认证。具体包括：

BMC控制器接收来自上位机的加密后的第一指令接收来自上位机的第一随机数；BMC控制器通过加密算法模块对第一随机数进行加密，得到加密随机数；BMC控制器将加密随机数发送给上位机，以便上位机解密得到第二随机数，其中，当第一随机数和第二随机数匹配时，上位机和BMC控制器之间的认证通过。

上位机接收到第三方的访问请求后，先随机生成第一随机数，并将该随机数通过以太网口发送给BMC控制器的BMC芯片，BMC的芯片通过串口将收到的随机数发送至SM1国密算法模块，M1国密算法模块将随机数加密，BMC芯片通过串口读取加密后的随机数并发送给上位机。上位机接收到加密后的随机数，通过USB接口发送给U-KEY进行解密，得到解密后的随机数，即第二随机数。上位机对生成的第一随机数和解密得到的第二随机数进行对比匹配，如果对比通过则验证成功，可以进行下一步信息交互操作，否则验证失败，终止进行下一步的信息交互操作。

从以上的描述中，可以看出，本发明上述的实施例实现了在信息交互之前先进行认证，认证通过后才进行信息交互，避免恶意第三方访问BMC控制器。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

为了便于描述，在这里可以使用空间相对术语，如“在……之上”、“在……上方”、“在……上表面”、“上面的”等，用来描述如在图中所示的一个器件或特征与其他器件或特征的空间位置关系。应当理解的是，空间相对术语旨在包含除了器件在图中所描述的方位之外的在使用或操作中的不同方位。例如，如果附图中的器件被倒置，则描述为“在其他器件或构造上方”或“在其他器件或构造之上”的器件之后将被定位为“在其他器件或构造下方”或“在其他器件或构造之下”。因而，示例性术语“在……上方”可以包括“在……上方”和“在……下方”两种方位。该器件也可以其他不同方式定位(旋转90度或处于其他方位)，并且对这里所使用的空间相对描述作出相应解释。

在本发明的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本发明保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种BMC控制器，其特征在于，该BMC控制器包括：

BMC芯片，用于通过串口从加密算法模块中读取程序固件；

加密算法模块，用于存储固件，并对与所述BMC芯片进行交互的交互信息进行加密，所述交互信息包括所述固件；

以太网接口，用于在所述BMC芯片和上位机之间进行信息交互；

I2C总线，用于采集服务器端的环境信息和/或功能参数。

2.根据权利要求1所述的BMC控制器，其特征在于，所述加密算法模块还包括：

至少一个虚拟内核，所述固件存储在所述虚拟内核中。

3.根据权利要求2所述的BMC控制器，其特征在于，所述虚拟内核还包括：

第一存储区域和第二存储区域，所述第一存储区域和所述第二存储区域不同存储区域被赋予不同等级的安全权限，所述固件被存储第一存储区域中，所述第一存储区域的安全权限等级高于所述第二存储区域。

4.根据权利要求3所述的BMC控制器，其特征在于，所述加密算法模块还用于：对所述固件采用安全密钥进行加密后，存储在所述第一存储区域。

5.根据权利要求4所述的BMC控制器，其特征在于，所述加密算法模块还用于：在所述第一存储区域被访问时，对访问指令的完整性进行持续动态检查，并拒绝异常访问。

6.根据权利要求1-5中任一项所述的BMC控制器，其特征在于，所述加密算法模块为SM1国密算法模块。

7.一种BMC控制器的信息安全***，其特征在于，所述***包括：

权利要求1-6中任一项所述的BMC控制器；

上位机，通过以太网与所述BMC控制器的BMC芯片进行信息交互。

8.根据权利要求7所述的***，其特征在于，所述***还包括：

U-KEY，与所述上位机进行通信连接，所述U-KEY中灌装有安全密钥模块，所述安全密钥模块与所述BMC控制器中的加密算法模块相对应，当所述U-KEY的密钥与所述安全密钥模块的密钥一致时，所述上位机与所述BMC控制器之间的认证完成。

9.一种基于BMC控制器的信息保护***的信息交互方法，其特征在于，所述方法包括：

所述BMC控制器接收来自上位机的加密后的第一指令，其中，所述加密后的第一指令是由所述上位机利用加密算法进行加密得到的；

所述BMC控制器将所述加密后的第一指令发送到加密算法模块中进行解密，得到第一指令；

所述BMC控制器执行所述第一指令。

10.根据权利要求9所述的方法，其特征在于，在所述BMC控制器接收来自上位机的加密后的第一指令之前，所述方法包括：

所述BMC控制器接收来自上位机的加密后的第一指令接收来自所述上位机的第一随机数；

所述BMC控制器通过所述加密算法模块对所述第一随机数进行加密，得到加密随机数；

所述BMC控制器将所述加密随机数发送给所述上位机，以便所述上位机解密得到第二随机数，其中，当所述第一随机数和第二随机数匹配时，所述上位机和所述BMC控制器之间的认证通过。