服務(wù)器帶外管理設(shè)備安全性分析及解決方案

摘要：信息技術(shù)領(lǐng)域的發(fā)展極大提升了社會(huì)生產(chǎn)力，不僅對(duì)計(jì)算機(jī)算力提出了更高要求，同時(shí)也要求算力設(shè)備具備更強(qiáng)的可維護(hù)性和穩(wěn)定性。作為網(wǎng)絡(luò)中最為關(guān)鍵的高性能計(jì)算機(jī)，服務(wù)器在穩(wěn)定性和安全性方面無(wú)疑值得更多關(guān)注。服務(wù)器帶外管理，因其通過基板管理控制器實(shí)現(xiàn)遠(yuǎn)程監(jiān)控和管理，展現(xiàn)出極強(qiáng)的靈活性和管理效率，從而得到了廣泛應(yīng)用。然而，不斷暴露的帶外管理安全威脅，提醒服務(wù)器管理人員必須更加重視帶外管理設(shè)備的安全性研究。通過深入研究帶外管理IPMI規(guī)范和BMC系統(tǒng)，從IPMI規(guī)范自身存在的缺陷以及BMC系統(tǒng)設(shè)計(jì)上的不足兩個(gè)方面，全面分析了帶外管理存在的各種不安全因素。針對(duì)IPMI規(guī)范和BMC系統(tǒng)設(shè)計(jì)，文章提出了多種帶外管理保護(hù)措施，以期實(shí)現(xiàn)服務(wù)器管理安全性的顯著提升。

關(guān)鍵詞：服務(wù)器；帶外管理；智能平臺(tái)管理接口；基板管理控制器

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）35-0080-03開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1背景

進(jìn)入21世紀(jì)以來(lái)，信息技術(shù)領(lǐng)域迎來(lái)了爆炸式的發(fā)展，云計(jì)算、大數(shù)據(jù)、邊緣計(jì)算、人工智能以及5G網(wǎng)絡(luò)等技術(shù)，從概念逐步走向?qū)嶋H，并在各個(gè)領(lǐng)域得到了廣泛的部署和應(yīng)用。這些技術(shù)的迅猛發(fā)展，不僅極大提升了社會(huì)生產(chǎn)力，同時(shí)對(duì)計(jì)算機(jī)算力提出了更高的需求，也要求算力設(shè)備具備更強(qiáng)的可靠性。服務(wù)器，作為部署在網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)上，用于提供各種服務(wù)的高性能計(jì)算機(jī)，擁有高速的數(shù)據(jù)運(yùn)算能力和海量的信息儲(chǔ)存容量，存儲(chǔ)并處理著網(wǎng)絡(luò)上絕大部分的數(shù)據(jù)和信息，被譽(yù)為互聯(lián)網(wǎng)的靈魂[1]。與普通計(jì)算機(jī)相比，服務(wù)器在穩(wěn)定性、安全性以及性能等方面都有著更高的要求[2]。服務(wù)器設(shè)備管理主要分為帶外管理和帶內(nèi)管理兩種方式。由于帶外管理方式不占用服務(wù)器系統(tǒng)資源，且管理、控制、數(shù)據(jù)信息分別位于不同的物理通道，相互獨(dú)立，因此帶外管理方式逐漸成為服務(wù)器設(shè)備管理的主流方式。

帶外管理主要基于IPMI規(guī)范，其全稱為“Intelli?gentPlatformManagementInterface”，該規(guī)范于1998年由DELL、HP、NEC以及Intel共同提出。同時(shí)，IPMI論壇也負(fù)責(zé)創(chuàng)建和維護(hù)IPMI標(biāo)準(zhǔn)[1]。IPMI規(guī)范是一個(gè)硬件管理規(guī)范，它完整地涵蓋了服務(wù)器以及其他系統(tǒng)。該協(xié)議規(guī)定了消息格式規(guī)范，并且對(duì)于不同的傳輸接口，消息格式也會(huì)有所不同。通過IPMI規(guī)范，服務(wù)器管理員可以方便地監(jiān)視服務(wù)器的健康特征，如核心溫度、電源電壓、電源狀態(tài)以及散熱模組的工作狀態(tài)等。IPMI規(guī)范是一個(gè)免費(fèi)開放的標(biāo)準(zhǔn)，其最新版本為IPMI2.0。然而，在標(biāo)準(zhǔn)IPMI協(xié)議的基礎(chǔ)上，各大服務(wù)器廠商在獨(dú)立開發(fā)帶外管理產(chǎn)品時(shí)，對(duì)安全性能的忽視導(dǎo)致了安全漏洞的頻發(fā)。

在本文中，首先介紹IPMI規(guī)范，并詳細(xì)分析帶外管理所面臨的安全漏洞和不可靠性。最后，針對(duì)帶外管理漏洞的研究結(jié)果，提出一種更為安全的帶外管理解決方案。

2服務(wù)器管理技術(shù)分析

服務(wù)器帶內(nèi)管理方式中，服務(wù)器管理信息與業(yè)務(wù)信息需通過同一信道進(jìn)行傳輸。而在服務(wù)器帶外管理方式中，服務(wù)器管理控制信息與業(yè)務(wù)信息則通過不同的邏輯信道進(jìn)行傳送[3]。由于帶內(nèi)管理使用同一邏輯信道，因此其天生存在缺陷：當(dāng)網(wǎng)絡(luò)出現(xiàn)故障導(dǎo)致中斷時(shí)，數(shù)據(jù)傳輸和管理控制都將失效。相比之下，帶外管理策略通過設(shè)置專有通道，有效解決了這一問題。服務(wù)器管理員可以通過基板管理控制器（Base?boardManagementController，BMC）對(duì)服務(wù)器進(jìn)行遠(yuǎn)程監(jiān)控和管理。BMC配備獨(dú)立的硬件接口、軟件以及操作系統(tǒng)，遵循IPMI協(xié)議，對(duì)外提供統(tǒng)一的訪問接口。作為服務(wù)器的特有模塊，BMC提供了便捷的監(jiān)控和管理接口，極大地方便了管理人員的遠(yuǎn)程管理工作。同時(shí)，BMC使用獨(dú)立的供電設(shè)備，確保在服務(wù)器關(guān)機(jī)時(shí)仍能保持工作狀態(tài)。如圖1所示。

BMC主要有以下5個(gè)功能：1）設(shè)備信息管理：記錄服務(wù)器信息、BMC信息。2）服務(wù)器狀態(tài)監(jiān)控管理：對(duì)服務(wù)器各個(gè)模塊的工作狀態(tài)和健康狀態(tài)（溫度、電壓等）進(jìn)行檢測(cè)，接收溫度采集信息并綜合決策調(diào)整散熱系統(tǒng)工作狀態(tài)，保證服務(wù)器保持在正常溫度工作且控制服務(wù)器整體運(yùn)算和散熱功耗不能過高，如果服務(wù)器某部件出現(xiàn)異常狀態(tài)，及時(shí)上報(bào)給上層管理員。3）遠(yuǎn)程控制管理：服務(wù)器的開機(jī)、關(guān)機(jī)、重新啟動(dòng)、更新固件、安裝系統(tǒng)等。4）維護(hù)管理：服務(wù)器日志管理、服務(wù)器訪問用戶管理、BIOS管理、安全告警管理等。5）故障排除：擁有一定的故障指示能力。

總的來(lái)說(shuō)，BMC本身就是一個(gè)小型系統(tǒng)，依附但獨(dú)立于服務(wù)器系統(tǒng)并通過IPMI規(guī)范實(shí)施服務(wù)器遠(yuǎn)程控制管理、監(jiān)控等功能。BMC通過集成或PCIE接口等連接方式物理連接于服務(wù)器主板，對(duì)服務(wù)器管理員而言只是擁有獨(dú)立IP地址的一個(gè)標(biāo)準(zhǔn)的RJ45網(wǎng)口。

圖2展示了IPMI的軟硬件層面。BMC在IPMI規(guī)范下發(fā)揮功能，IPMI則是運(yùn)行在BMC上的規(guī)范。廣義IPMI由4個(gè)規(guī)范組成：智能平臺(tái)管理接口（IPMI），智能平臺(tái)管理總線規(guī)范（IPMB），可替換單元存儲(chǔ)定義規(guī)范（FRU），智能機(jī)箱管理總線規(guī)范（ICMB）[1]。BMC搭載管理系統(tǒng)作為帶外管理軟件與帶外管理硬件的通信中介，與智能平臺(tái)管理總線和智能機(jī)箱管理總線通信[4]。IPMI規(guī)范通過IPMB將其他管理控制器連接到系統(tǒng)支持平臺(tái)并管理擴(kuò)展。智能平臺(tái)管理總線通過I2C串行總線管理控制器之間通信[5]。IPMI規(guī)范現(xiàn)為2.0版本，相較1.0版本在網(wǎng)絡(luò)傳輸中的安全與加密功能得到增強(qiáng)。不僅如此，2.0版本中新增的遠(yuǎn)程桌面顯示和虛擬容器技術(shù)加強(qiáng)了服務(wù)器的遠(yuǎn)程監(jiān)控和管理的靈活性。

帶外管理常常在以下兩種情況部署：1）服務(wù)器管理員與服務(wù)器設(shè)備存在空間間隔限制，如通信基站、政企大規(guī)模網(wǎng)絡(luò)中心等。一旦服務(wù)器宕機(jī)，帶內(nèi)管理方式失效，管理員現(xiàn)場(chǎng)維護(hù)受到時(shí)間和空間限制。而帶外管理方式能夠避免這個(gè)問題并在提升服務(wù)器維護(hù)效率的同時(shí)降低運(yùn)維人員的時(shí)間成本。2）服務(wù)器管理員與服務(wù)器沒有空間限制，但是服務(wù)器管理員團(tuán)隊(duì)需要管理極大數(shù)量的服務(wù)器設(shè)備，例如云計(jì)算、大數(shù)據(jù)中心，因此需要帶外管理方式統(tǒng)一地管理這些服務(wù)器，形成規(guī)模建制。而正是因?yàn)閹夤芾矸绞绞沟梅?wù)器管理者擁有極高的權(quán)限，獲取管理員權(quán)限后攻擊者可以完全控制服務(wù)器設(shè)備。BMC比主機(jī)服務(wù)器享有更大的權(quán)限。BMC可以持續(xù)訪問主機(jī)服務(wù)器的文件、內(nèi)存（使用DMA）、鍵盤/顯示器和固件。此外，BMC能夠?qū)?shù)據(jù)發(fā)送到外部網(wǎng)絡(luò)，甚至可能重新配置主機(jī)服務(wù)器網(wǎng)絡(luò)接口。這為攻擊者提供了偷偷全面控制受害者系統(tǒng)所需要的全部工具。當(dāng)服務(wù)器出現(xiàn)漏洞，各種數(shù)據(jù)會(huì)丟失，電腦無(wú)法正常工作，這將危害到人們生活和工作的方方面面。2019年11月，芯片巨頭Intel發(fā)布警告稱，IntelServer產(chǎn)品中的基板管理控制器（BMC）固件存在13個(gè)漏洞，其中包含一個(gè)可導(dǎo)致信息泄露或攻擊者完全控制的嚴(yán)重漏洞。隨著服務(wù)器廠商不斷暴露出帶外管理安全威脅，因此對(duì)帶外管理設(shè)備安全性研究十分重要。

3帶外管理技術(shù)安全性分析

2015年，啟明星辰和網(wǎng)御星云共同發(fā)布“現(xiàn)場(chǎng)運(yùn)維審計(jì)與管理系統(tǒng)”，填補(bǔ)了我國(guó)在服務(wù)器帶外管理的空白[1]。但是該產(chǎn)品也并不是利用修復(fù)IPMI規(guī)范漏洞和提升服務(wù)器軟硬件安全性來(lái)保護(hù)帶外管理安全。該系統(tǒng)通過運(yùn)維審計(jì)功能、設(shè)備安全隔離功能和工業(yè)數(shù)據(jù)防泄露功能提升帶外管理安全性。作為一種底層規(guī)范，任何服務(wù)器設(shè)備都會(huì)因?yàn)镮PMI規(guī)范漏洞面臨同樣的威脅。接下來(lái)，從版本漏洞、通信漏洞、身份驗(yàn)證漏洞、BMC漏洞、AMT漏洞方面分析帶外管理技術(shù)的安全漏洞。

3.1版本漏洞

IPMI雖然賦予了帶外管理強(qiáng)大的功能和極高的靈活性，但同時(shí)也帶來(lái)了一系列的安全風(fēng)險(xiǎn)。即便服務(wù)器管理員關(guān)閉了服務(wù)器系統(tǒng)，只要服務(wù)器電源依然接通，IPMI仍然可以正常使用。這意味著，服務(wù)器攻擊者有可能繞過服務(wù)器系統(tǒng)的安全防護(hù)措施，從而獲取控制系統(tǒng)的能力，包括重啟系統(tǒng)、重新安裝系統(tǒng)，甚至進(jìn)一步威脅用戶信息和數(shù)據(jù)安全。具備IPMI訪問權(quán)限的攻擊者，能夠通過互聯(lián)網(wǎng)搜尋并打開帶外管理界面，進(jìn)而連接到目標(biāo)BMC。一旦攻擊者掌控了BMC的控制權(quán)，便可能對(duì)服務(wù)器及其用戶造成威脅。

3.2通信漏洞

IPMI規(guī)范允許服務(wù)器管理員通過命令遠(yuǎn)程獲取服務(wù)器狀態(tài)信息，然而這也為遠(yuǎn)程BMC帶來(lái)了潛在的風(fēng)險(xiǎn)。以“GetChannelAuthenticationCapabilities”命令為例，該命令在匿名登錄狀態(tài)下，會(huì)告知遠(yuǎn)程控制臺(tái)用戶賬戶當(dāng)前是否被配置為空用戶名和空密碼。此外，該模塊還提供一個(gè)比特位，用于揭示是否存在一個(gè)可用的且非空的用戶名。這種情況可能導(dǎo)致匿名用戶處于可用狀態(tài)，從而使得服務(wù)器攻擊者能夠自由登錄，或者使用供應(yīng)商提供的默認(rèn)賬戶來(lái)控制BMC。而“GetSystemGUID”命令雖然是可選的，但I(xiàn)PMI規(guī)范中卻強(qiáng)烈推薦使用。因?yàn)槿蛭ㄒ粯?biāo)識(shí)符（GUID）是標(biāo)識(shí)服務(wù)器系統(tǒng)的唯一編號(hào)，它能夠幫助服務(wù)器管理員輕松獲取服務(wù)器的唯一且不會(huì)混淆的標(biāo)識(shí)。這對(duì)于服務(wù)器管理員進(jìn)行大規(guī)模管理來(lái)說(shuō)非常有利，然而這個(gè)命令也可能帶來(lái)嚴(yán)重的安全隱患，使得服務(wù)器集群透明地暴露在攻擊者的視線之中。

3.3匿名身份驗(yàn)證漏洞

部分BMC系統(tǒng)默認(rèn)允許匿名用戶訪問。在BMC的初次配置過程中，為了簡(jiǎn)化配置流程，通常會(huì)將用戶名設(shè)置為空字符，密碼也設(shè)置為空密碼。BMC系統(tǒng)模塊會(huì)識(shí)別并存儲(chǔ)這些空白用戶和空白密碼，并可能留下重置指定用戶賬戶密碼或訪問其他服務(wù)的后門。

3.4BMC漏洞

歸根結(jié)底，BMC只是一個(gè)微型計(jì)算機(jī)，并運(yùn)行著某個(gè)操作系統(tǒng)。BMC上的所有系統(tǒng)配置命令、IPMI命令、系統(tǒng)升級(jí)以及任何更改都依賴于BMC系統(tǒng)上的程序。如果服務(wù)器攻擊者侵入BMC并修改或禁用某些腳本，將導(dǎo)致管理員和服務(wù)器用戶無(wú)法對(duì)服務(wù)器進(jìn)行有效的管理。即使服務(wù)器管理員擁有root權(quán)限，也可能因?yàn)锽MC的損壞而無(wú)法實(shí)現(xiàn)某些功能。

3.5AMT漏洞

Intel的處理器內(nèi)置了一個(gè)管理子系統(tǒng)。該子系統(tǒng)在硬件層面擁有獨(dú)立的處理器、內(nèi)存和總線等，并能夠訪問主系統(tǒng)內(nèi)存。這個(gè)子系統(tǒng)上運(yùn)行的是經(jīng)過定制的MINIX操作系統(tǒng)。通過MINIX，控制者可以完全掌控主系統(tǒng)，包括訪問主系統(tǒng)的文件系統(tǒng)、開關(guān)主系統(tǒng)，甚至追蹤記錄用戶在外部輸入設(shè)備上的操作。盡管該系統(tǒng)采用了RSA-2048進(jìn)行保護(hù)，但研究人員已經(jīng)能夠利用該管理子系統(tǒng)固件中的漏洞進(jìn)行部分控制，甚至長(zhǎng)期潛伏在處理器主系統(tǒng)內(nèi)（利用rootkit機(jī)制）。因此，一旦BMC系統(tǒng)遭到rootkit攻擊，服務(wù)器攻擊者便有可能進(jìn)一步獲取服務(wù)器的管理權(quán)限。

4帶外安全漏洞維護(hù)及安全BMC設(shè)計(jì)

4.1帶外安全漏洞修復(fù)

1）外部保護(hù)。帶外管理系統(tǒng)與服務(wù)器系統(tǒng)相互獨(dú)立，且不在同一層級(jí)，因此服務(wù)器系統(tǒng)內(nèi)部的安全保護(hù)措施在帶外管理中并不奏效。為此，應(yīng)制定合理的防護(hù)方案，部署在網(wǎng)絡(luò)訪問IPMI接口之前，確保IPMI與Internet之間得到有效且安全的隔離。服務(wù)器管理人員需構(gòu)建網(wǎng)絡(luò)防火墻，對(duì)訪問IPMI和BMC系統(tǒng)的流量進(jìn)行嚴(yán)格審核和過濾。同時(shí)，建議將IPMI配置在獨(dú)立的VLAN或物理網(wǎng)絡(luò)中，并通過操作系統(tǒng)（例如Linux）實(shí)施訪問信息的過濾，從外部層面加強(qiáng)對(duì)帶外管理IPMI的保護(hù)。

2）密碼保護(hù)。許多服務(wù)器管理員缺乏足夠的安全保護(hù)意識(shí)，錯(cuò)誤地認(rèn)為只要管理得當(dāng)就不會(huì)遭遇安全問題。這種心態(tài)往往導(dǎo)致他們?yōu)楹?jiǎn)化管理而設(shè)置通用密碼，用于服務(wù)器管理系統(tǒng)的用戶認(rèn)證，并在系統(tǒng)內(nèi)使用同一密碼訪問所有服務(wù)。為消除這一隱患，服務(wù)器管理員應(yīng)將所管理的服務(wù)器群劃分為若干子群，并為每個(gè)子群設(shè)置獨(dú)特的用戶名和密碼。此外，為IPMI的每項(xiàng)業(yè)務(wù)配置不同的用戶名和密碼。用戶登錄時(shí)首先進(jìn)行身份認(rèn)證，執(zhí)行管理任務(wù)時(shí)再進(jìn)行業(yè)務(wù)認(rèn)證，從而防止攻擊者通過獲取單一賬戶來(lái)實(shí)現(xiàn)對(duì)服務(wù)器管理系統(tǒng)的全面控制。無(wú)論是服務(wù)器管理系統(tǒng)的密碼還是業(yè)務(wù)密碼，在長(zhǎng)度和復(fù)雜性上都應(yīng)盡可能達(dá)到規(guī)范所允許的上限。IPMI規(guī)范限制密碼最長(zhǎng)為20個(gè)字符，因此服務(wù)器管理系統(tǒng)應(yīng)采用盡可能長(zhǎng)且復(fù)雜的密碼，并包含特殊字符以提高破解難度[5]。服務(wù)器管理團(tuán)隊(duì)還應(yīng)定期更換用戶名和密碼，以降低密碼長(zhǎng)期不變所帶來(lái)的潛在風(fēng)險(xiǎn)。

3）權(quán)限管理。服務(wù)器管理組應(yīng)共同討論并制定不同用戶的系統(tǒng)權(quán)限等級(jí)，實(shí)現(xiàn)權(quán)限的分層管理。用戶應(yīng)分為管理員、普通用戶和只讀用戶三類，其權(quán)限逐級(jí)遞減。只讀用戶分配給普通巡檢員，僅具備數(shù)據(jù)讀取權(quán)限，無(wú)權(quán)更改配置；普通用戶則擁有部分管理和故障修復(fù)權(quán)限；管理員作為唯一角色，擁有最高權(quán)限，即服務(wù)器管理系統(tǒng)的全部權(quán)限[6]。管理員權(quán)限賬戶應(yīng)由整個(gè)服務(wù)器管理組共享，并僅在群體決策后使用。在日常管理中，為每位服務(wù)器管理員分配普通用戶賬戶即可。

4）加密流量。IPMI支持密碼套件功能，允許用戶通過不加密的方式直接訪問BMC，但如前所述，這存在極大的安全隱患。因此，服務(wù)器管理團(tuán)隊(duì)?wèi)?yīng)禁用密碼套件功能和匿名賬戶，并在所有IPMI接口上實(shí)施加密措施，以增強(qiáng)帶外管理系統(tǒng)的安全性。當(dāng)服務(wù)器報(bào)廢時(shí)，應(yīng)物理銷毀其存儲(chǔ)模塊、主板、網(wǎng)卡等關(guān)鍵部件。

5）規(guī)范管理。服務(wù)器管理團(tuán)隊(duì)?wèi)?yīng)制定合理且嚴(yán)格的帶外管理功能使用規(guī)范。每位服務(wù)器管理員應(yīng)選擇安全的配置方式，并禁用不必要的命令功能（如前文提及的各種遠(yuǎn)程命令）。服務(wù)器管理系統(tǒng)應(yīng)引入安全驗(yàn)證機(jī)制，并定期使用帶外管理漏洞掃描工具進(jìn)行系統(tǒng)掃描和維護(hù)。管理人員還需密切關(guān)注業(yè)界公布的最新系統(tǒng)漏洞，并及時(shí)更新固件補(bǔ)丁[7]。

6）其他措施。鑒于帶外管理涉及硬件與軟件兩個(gè)層面，單一防范措施難以全面應(yīng)對(duì)所有已暴露的漏洞。當(dāng)前，國(guó)內(nèi)對(duì)網(wǎng)絡(luò)安全日益重視，中美在網(wǎng)絡(luò)安全領(lǐng)域的競(jìng)爭(zhēng)也日益激烈。因此，應(yīng)對(duì)服務(wù)器管理系統(tǒng)固件進(jìn)行安全認(rèn)證，從源頭上確保系統(tǒng)安全，防止使用的系統(tǒng)存在后門（如AMT漏洞）。對(duì)于需要保密的部門，在設(shè)備采購(gòu)時(shí)應(yīng)優(yōu)先考慮國(guó)內(nèi)服務(wù)器廠商（如華為等），掌握服務(wù)器和服務(wù)器管理系統(tǒng)的核心技術(shù)，才是確保安全最可靠的保障。

4.2BMC安全設(shè)計(jì)

考慮到英特爾處理器存在的各種漏洞和后門對(duì)涉密服務(wù)器群構(gòu)成了不小的安全隱患，且BMC系統(tǒng)能夠通過集成或某種硬件接口（如PCIE）連接到服務(wù)器上，實(shí)現(xiàn)服務(wù)器的帶外管理，有能力的服務(wù)器管理團(tuán)隊(duì)可以考慮自主設(shè)計(jì)BMC系統(tǒng)，從源頭上確保BMC的安全自主可控。在對(duì)BMC進(jìn)行設(shè)計(jì)時(shí)，應(yīng)著重考慮兩層安全性：第一層是系統(tǒng)整體運(yùn)行的安全，第二層是內(nèi)部信息傳遞的安全[8]。

在兩種主流處理器芯片架構(gòu)中（x86和ARM），ARM架構(gòu)在輕量級(jí)處理器領(lǐng)域得到了廣泛應(yīng)用。ARM架構(gòu)采用精簡(jiǎn)指令集設(shè)計(jì)理念，具備計(jì)算高效能、低功耗的優(yōu)勢(shì)。在安全性方面，ARM架構(gòu)內(nèi)置了多種安全機(jī)制，能夠有效保護(hù)數(shù)據(jù)免受惡意攻擊和泄露。這些安全機(jī)制不僅能有效抵御黑客入侵和病毒攻擊，還能確保數(shù)據(jù)傳輸和存儲(chǔ)過程的安全性。因此，無(wú)論是在移動(dòng)設(shè)備上還是在服務(wù)器上，ARM架構(gòu)都能提供可靠的安全保障，用戶可以放心地使用和存儲(chǔ)重要數(shù)據(jù)。此外，ARM架構(gòu)的處理器采用了冗余設(shè)計(jì)，這意味著當(dāng)某個(gè)硬件出現(xiàn)故障時(shí)，系統(tǒng)能夠自動(dòng)切換到備用處理器，從而確保系統(tǒng)的連續(xù)運(yùn)行。這種設(shè)計(jì)使得ARM架構(gòu)在應(yīng)對(duì)突發(fā)情況時(shí)更加穩(wěn)定和可靠，能夠有效避免系統(tǒng)突然崩潰或數(shù)據(jù)丟失的情況。同時(shí)，ARM架構(gòu)還經(jīng)過了嚴(yán)格的測(cè)試和驗(yàn)證，以確保其在各種環(huán)境下都能穩(wěn)定運(yùn)行。無(wú)論是高溫、低溫還是高濕度等惡劣環(huán)境，ARM架構(gòu)都能保持出色的性能和穩(wěn)定性。綜上，ARM架構(gòu)在安全性、可靠性以及系統(tǒng)特點(diǎn)方面都表現(xiàn)得相當(dāng)出色。因此，無(wú)論是在移動(dòng)設(shè)備、服務(wù)器還是物聯(lián)網(wǎng)領(lǐng)域，ARM架構(gòu)都得到了廣泛的應(yīng)用[9]。

如圖3所示，BMC系統(tǒng)由WEB交互、系統(tǒng)控制和UEFI交互構(gòu)成，并完成信息采集、遠(yuǎn)程管理、控制管理、事件管理和訪問管理。在設(shè)計(jì)并完成BMC系統(tǒng)的基礎(chǔ)功能后，基于ARM處理器的BMC設(shè)計(jì)過程中，開發(fā)人員可以部署TrustZone安全擴(kuò)展模型，并將Linux內(nèi)核及基于IPMI規(guī)范的模塊植入主板上的對(duì)應(yīng)FLASH芯片中。在使用IPMI命令時(shí)，增加一層判別機(jī)制，一旦網(wǎng)絡(luò)參數(shù)出現(xiàn)異常，系統(tǒng)將生成相應(yīng)的警告消息。管理人員可以通過WEB接口分析這些事件。在訪問管理功能方面，用戶的有效性和其對(duì)應(yīng)的權(quán)限至關(guān)重要，這一功能對(duì)BMC的安全性具有決定性影響。為此，引入了用戶認(rèn)證機(jī)制，通過交互接口進(jìn)行通信，以增強(qiáng)用戶的有效性并確保用戶密碼的安全性。在軟件設(shè)計(jì)方面，將版本升級(jí)設(shè)計(jì)為在線升級(jí)方式，以避免對(duì)FLASH芯片的多次燒錄，從而提高固件的穩(wěn)定性與可靠性，并減少芯片的損耗[10]。

5總結(jié)與展望

服務(wù)器作為網(wǎng)絡(luò)上提供各種服務(wù)的高性能計(jì)算機(jī)，為用戶提供數(shù)據(jù)存儲(chǔ)、算力支持、網(wǎng)絡(luò)訪問與信息交互等多重功能。隨著云計(jì)算、大數(shù)據(jù)、邊緣計(jì)算、人工智能及5G網(wǎng)絡(luò)等技術(shù)的飛速發(fā)展，用戶對(duì)服務(wù)器性能提出了更高要求，同時(shí)也對(duì)服務(wù)器安全性帶來(lái)了新的挑戰(zhàn)。因?yàn)橐坏┓?wù)器出現(xiàn)故障，將會(huì)對(duì)經(jīng)濟(jì)、安全和用戶體驗(yàn)造成難以估量的損失。服務(wù)器的功能特性要求其能夠保證24小時(shí)穩(wěn)定運(yùn)行，因此服務(wù)器的運(yùn)行管理和維護(hù)顯得尤為重要。隨著技術(shù)的不斷進(jìn)步，服務(wù)器管理已經(jīng)從人工管理發(fā)展到自動(dòng)化管理，由單純的軟件管理發(fā)展到軟硬件結(jié)合的管理，最終形成了軟硬件和固件的一體化管理體系，服務(wù)器管理規(guī)范也逐步得到完善。

本文通過研究帶外管理IPMI規(guī)范和BMC系統(tǒng)，從IPMI規(guī)范自身的缺陷和BMC系統(tǒng)設(shè)計(jì)的不足兩個(gè)方面深入分析了帶外管理存在的各種不安全因素。隨后，在以往研究成果的基礎(chǔ)上，從IPMI規(guī)范和BMC系統(tǒng)設(shè)計(jì)兩個(gè)方面提出了多種帶外管理保護(hù)措施，以提高服務(wù)器的管理安全性。然而，在帶外管理安全性方面仍然存在著潛在的漏洞等待發(fā)現(xiàn)。接下來(lái)，計(jì)劃對(duì)各大廠商服務(wù)器獨(dú)立設(shè)計(jì)的帶外管理系統(tǒng)進(jìn)行詳細(xì)的研究和分析，從不同廠商的不同帶外管理固件、硬件、加密方式、通信協(xié)議以及具體實(shí)現(xiàn)差異等多個(gè)方面進(jìn)行深入研究，最終為我國(guó)服務(wù)器管理團(tuán)隊(duì)形成一套完整、有針對(duì)性的服務(wù)器帶外管理體系規(guī)范，以提升國(guó)家的網(wǎng)絡(luò)安全水平。

【通聯(lián)編輯：代影】