[发明专利]应用于系统固件的安全芯片及电子设备

说明书

本发明提供一种应用于系统固件的安全芯片及电子设备，所述安全芯片连接于南桥芯片和BIOS闪存之间，所述安全芯片包括：信号获取模块，在服务器主板启动时，从南桥芯片获取所述南桥芯片所要传输至BIOS闪存的传输信号；签名验证模块，在获取到所述传输信号之后，获取基于公钥验证签名所得到的第一哈希值，并在所述第一哈希值与基于私钥签名所获得第二哈希值相同时，生成验证通过信号；信号传输模块，在接收到所述验证通过信号时，将所述传输信号传输至BIOS闪存。本发明的安全芯片会通过签名验证的方式来验证BIOS的合法性，在通过验证之后，该传输信号才会被释放，BIOS继续执行后续代码，提高服务器引导系统固件的安全性。

技术领域

本发明涉及服务器技术领域，特别是涉及服务器安全技术领域。

背景技术

服务器底层安全威胁已成为重要话题，企业信息基础设施是否可以被信任，是服务提供商要关注的重点，对服务器平台的攻击大多数呈现于对固件内容的篡改，以实现木马病毒的攻击，这带来了严重的数据安全的信任危机。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种应用于系统固件的安全芯片及电子设备，用于提高服务器引导系统固件的安全性。

为实现上述目的及其他相关目的，本发明提供一种应用于系统固件的安全芯片，连接于南桥芯片和BIOS闪存之间，所述安全芯片包括：信号获取模块，在服务器主板启动时，从南桥芯片获取所述南桥芯片所要传输至BIOS闪存的传输信号；签名验证模块，在获取到所述传输信号之后，获取基于公钥验证签名所得到的第一哈希值，并在所述第一哈希值与基于私钥签名所获得第二哈希值相同时，生成验证通过信号；信号传输模块，在接收到所述验证通过信号时，将所述传输信号传输至BIOS闪存。

于本发明的一实施例中，在所述服务器主板启动之前，所述签名验证模块还用于基于私钥签名获得第二哈希值。

于本发明的一实施例中，所述签名验证模块还用于基于私钥签名获得第二哈希值的过程为：计算镜像哈希值，利用私钥对所述镜像哈希值进行签名，生成第二哈希值，并将所述第二哈希值存于FIT Image中。

于本发明的一实施例中，所述签名验证模块包括：读取单元，用于从FIT Image中读取第二哈希值；公钥获取单元，用于获取计算所需的公钥；哈希值计算单元，用于基于所述公钥对所述镜像哈希值进行签名，生成第一哈希值；比较单元，用于比较所述第一哈希值与所述第二哈希值，在所述第一哈希值与基于私钥签名所获得第二哈希值相同时，生成验证通过信号。

于本发明的一实施例中，还包括：自检模块，在服务器主板启动时，检测安全芯片是否正常；所述自检模块通过给至少一个第一预设引脚发射高电平，并从至少一个第二预设引脚接收到高电平的方式检测安全芯片是否正常。

于本发明的一实施例中，所述自检模块还从多个引脚中获取一组电平序列，并基于所述一组电平序列检测安全芯片是否正常。

于本发明的一实施例中，还包括远程启动服务模块，在服务器主板启动后，基于物理可信根作为起点建立信任链，对服务器主板进行度量存储。

于本发明的一实施例中，所述远程启动服务模块包括：第一度量单元，在服务器主板启动后，基于物理可信根作为起点建立信任链，由物理可信根中的RTM度量OMM BootLoader，生成的度量结果存储于物理可信根中，同时存储度量日志；第二度量单元，所述OMMBoot Loader对OMM Kernel的完成性进行度量，并由所述OMM Kernel对应用程序的完成性再进行度量；第三度量单元，由RTM对Boot Rom的Boot Block进行度量，并将结果存储于所述物理可信根中，同时存储度量日志；第四度量单元，加载所述Boot Block并执行，由所述Boot Block的度量执行点对Main Block进行度量，由所述Main Block对外部设备以及OSLoader进行完成性测量。