• 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
    • / 9
    • 下载费用:30 金币  

    重庆时时彩五星胆码分析: 一种面向服务器的安全固件设计方法.pdf

    关 键 词:
    一种 面向 服务器 安全 设计 方法
      专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    摘要
    申请专利号:

    CN201410173181.8

    申请日:

    2014.04.28

    公开号:

    CN103944913A

    公开日:

    2014.07.23

    当前法律状态:

    授权

    有效性:

    有权

    法律详情: 授权|||实质审查的生效 IPC(主分类):H04L 29/06申请日:20140428|||公开
    IPC分类号: H04L29/06; H04L29/08; G06F21/70(2013.01)I 主分类号: H04L29/06
    申请人: 浪潮电子信息产业股份有限公司
    发明人: 陈刚
    地址: 250014 山东省济南市高新区舜雅路1036号
    优先权:
    专利代理机构: 济南信达专利事务所有限公司 37100 代理人: 姜明
    PDF完整版下载: PDF下载
    法律状态
    申请(专利)号:

    CN201410173181.8

    授权公告号:

    ||||||

    法律状态公告日:

    2018.02.23|||2015.11.04|||2014.07.23

    法律状态类型:

    授权|||实质审查的生效|||公开

    摘要

    本发明提出了一种面向服务器的安全固件设计方法,通过多种措施保障服务器用的固件安全性,主要通过Https访问方式,保障服务器远程WEB访问安全;通过管理功能??榈挠没ㄏ蘩纯刂撇煌ㄏ藜侗鹩没У姆梦拾踩?,并且封堵访问界面中恶意代码注入点;通过对固件编译及镜像生成过程中用户名及密码进行MD5加密算法来提高用户信息安全性;通过对特定功能??樽芳邮谌?、发放License的方式进行安全?;?;通过关闭IPMI协议中关于添加、修改及默认用户授权的功能来增强第三方IPMI访问安全;通过关闭系统中接入性服务程序来加强服务器固件的外部接入安全。

    权利要求书

    权利要求书
    1.  一种面向服务器的安全固件设计方法,其特征在于,其内容主要内容包括:基于WEB固件安全性增强机制、面向IPMI及其它接入型服务的安全性修改方法、以及其他安全固件设计方法;其中,所述基于WEB固件安全性增强机制包括:基于Https的访问方式、屏蔽WEB交互界面恶意代码注入位置、基于功能??榈挠没ㄏ蘅刂苹?;
    所述面向IPMI的安全性修改方法是基于标准IPMI协议的修改,是指关闭IPMI命令关于用户管理的命令、删除IPMI支持的匿名用户访问机制,即关闭标准IPMI协议中关于添加、修改及默认用户授权的功能;
    所述其它接入性服务的安全性修改方法,基于对系统中SSH、Telnet及TFTP接入性服务程序的关闭和开启机制,是指在固件系统中关闭SSH、Telnet及TFTP等可接入性服务;
    所述其他安全固件设计方法包括:对定制化Linux系统下固件编译及镜像生成过程中用户名、密码和系统配置进行基于MD5的加密算法;通过iptables访问地址对照表限制访问端的IP地址;对特定功能??椴捎米芳邮谌胺⒎臠icense方式。

    2.  根据权利要求1所述的面向服务器的安全固件设计方法,其特征在于,所述基于功能??榈挠没ㄏ蘅刂苹?,是指功能??榘醇侗鹑ㄏ薰芾?,通过管理功能??榈挠没ㄏ蘩纯刂撇煌ㄏ藜侗鹩没У姆梦拾踩?。

    3.  根据权利要求1所述的面向服务器的安全固件设计方法,其特征在于,对特定功能??椴捎米芳邮谌胺⒎臠icense方式,是指用户在启用KVM OVER IP、虚拟介质特定功能??槭?,需要首先向WEBServer发送请求,在得到校验License通过后获得访问功能授权,授权License发放由固件提供者产生。

    4.  根据权利要求2或3所述的面向服务器的安全固件设计方法,其特征在于,所述服务器安全固件制作流程为:
    步骤1:WEBHTTPS安全加固,即配置WEBServer为Https访问方式;
    步骤2:用户界面恶意代码注入风险消除;
    步骤3:功能??榘醇侗鹑ㄏ薰芾?;
    步骤4:特定功能增加授权认证,即在WEBServer增加授权认证入口,对用户上传的认证文件的有效性进行验证;
    步骤5:加固IPMI协议,删除匿名用户登录权限、修改基于IPMIStack对用户管理的代码,即屏蔽用户通过IPMItool、openIPMI、freeIPMI对用户管理操作的权限;
    步骤6:SSH、TFTP、Telnet服务接入加固,关闭系统中接入性服务程序SSH、Telnet、TFTP来加强服务器固件的外部接入安全;
    步骤7:指定区域生成镜像进行MD5加密,在Linux系统编译镜像中对固件系统提供的用户管理、告警配置关键功能??橹付ㄆ鹗技爸罩沟刂?,执行编译通过MD5加密。

    说明书

    说明书一种面向服务器的安全固件设计方法
    技术领域
    本发明设计一种服务器技术,具体地说是一种面向服务器的安全固件设计方法。
    背景技术
    当今社会的各个方面服务器都发挥着重要的作用,无论是国防、科技、教育、金融保险,还是银行、医疗、烟草、政府企业,几乎所有和我们生活休戚相关的方面都有服务器的存在。服务器的类型有很多种,从塔式的到机架式的、从刀片式的到RACK级的、从单独工作的到集群合作等等,虽热它们的形态和作用有所不同,但是它们都有这非常相似且十分重要的组成部分:固件系统。服务器固件系统通常是指包括系统BIOS及带基板管理控制器BMC内固化的程序,其中BIOS主要包括系统基本输入输出的程序、系统设置信息、开机后自检程序和系统自启动程序;BMC主要负责系统远程操作、系统警告和系统健康监视、系统故障诊断及修复等。
    由于BIOS固化在系统ROM芯片上,在正常引导系统启动后基本完成使命,因此系统BIOS的安全性相对很高,而由于BMC本身提供标准IPMI协议支持,及WEB、SSH、RS232、TFTP等多种访问方式,这些访问方式就给恶意侵入者留下了很多访问安全的隐患,例如,入侵者可以通过注入恶意代码直接获取用户的登陆信息和系统配置信息,也可以通过SSH登录获取服务器带外管理控制权,因此如果这些安全隐患没有得到安全性的修补的话,势必会给服务器的访问带来很大的?;头缦?。因此,如何既能准确的识别服务器系统所面临的固件系统安全,又能针对这些安全性隐患提供有效、可行的固件安全性提高方法就成了亟需解决的问题。
    发明内容 
    针对如何准确的识别服务器固件系统安全,又能针对安全隐患提供增强固件安全性,本发明提出了一种面向服务器的安全固件设计方法。
    本发明所述面向服务器的安全固件设计方法,解决所述技术问题采用的技术方案如下:所述面向服务器的安全固件设计方法的主要内容包括:基于WEB固件安全性增强机制、面向IPMI及其它接入型服务的安全性修改方法、以及其他安全固件设计方法;其中,所述基于WEB固件安全性增强机制包括:基于Https的访问方式、屏蔽WEB交互界面恶意代码注入位置、基于功能??榈挠没ㄏ蘅刂苹?;
    所述面向IPMI的安全性修改方法是基于标准IPMI协议的修改,是指关闭IPMI命令关于用户管理的命令、删除IPMI支持的匿名用户访问机制,并简化用户权限级;所述面向IPMI的安全性修改方法,通过关闭标准IPMI协议中关于添加、修改及默认用户授权的功能来增强第三方IPMI访问安全;
    所述其它接入性服务的安全性修改方法,基于对系统中SSH、Telnet及TFTP接入性服务程序的关闭和开启机制,是指在固件系统中关闭SSH、Telnet及TFTP等可接入性服务;本发明通过关闭系统中不用的接入性服务程序如SSH、Telnet、TFTP等来加强服务器固件的外部接入安全;
    所述其他安全固件设计方法包括:对定制化Linux系统下固件编译及镜像生成过程中用户名、密码和系统配置进行基于MD5的加密算法;通过iptables访问地址对照表限制访问端的IP地址;对特定功能??镵VM OVER IP、虚拟媒体接入型服务采用追加授权及发放License方式。
    进一步,所述基于Https的访问方式,将通常的Http访问方式设计为安全的Https访问方式,所述Https安全协议是基于Http协议+SSL协议,采用Embedthis的WEBServer GoAhead v3.1.0,该版本良好支持SSL v3;本发明通过将WEB服务器Http升级为Https超文本传输安全协议方式,保障服务器远程WEB访问安全。
    进一步,所述屏蔽WEB交互界面恶意代码注入位置,是指封堵用户访问界面中恶意代码注入点消除界面恶意代码注入风险,关闭接入性服务。
    进一步,所述基于功能??榈挠没ㄏ蘅刂苹?,即功能??榘醇侗鹑ㄏ薰芾?,通过管理功能??榈挠没ㄏ蘩纯刂撇煌ㄏ藜侗鹩没У姆梦拾踩?。
    进一步,所述服务器安全固件制作流程为:
    步骤1:WEBHTTPS安全加固,即配置WEBServer为Https访问方式;
    步骤2:用户界面恶意代码注入风险消除;
    步骤3:功能??榘醇侗鹑ㄏ薰芾?;
    步骤4:特定功能增加授权认证,即在WEBServer增加授权认证入口,对用户上传的认证文件的有效性进行验证;
    步骤5:加固IPMI协议,删除匿名用户登录权限、修改基于IPMIStack对用户管理的代码,即屏蔽用户通过IPMItool、openIPMI、freeIPMI对用户管理操作的权限;
    步骤6:SSH、TFTP、Telnet服务接入加固,关闭系统中接入性服务程序SSH、Telnet、TFTP来加强服务器固件的外部接入安全;
    步骤7:指定区域生成镜像MD5加密,在Linux系统编译镜像中对固件系统提供的用户管理、告警配置关键功能??橹付ㄆ鹗技爸罩沟刂?,执行编译通过MD5加密。
    本发明所述面向服务器的安全固件设计方法,针对当今服务器领域固件实现中存在的诸多安全隐患,通过多种措施保障服务器用的固件安全性。本发明所述面向服务器的安全固件设计方法,主要通过将WEB服务器Http升级为Https超文本传输安全协议方式,保障服务器远程WEB访问安全;通过管理功能??榈挠没ㄏ蘩纯刂撇煌ㄏ藜侗鹩没У姆梦拾踩?,并且封堵用户访问界面中存在恶意代码注入点;通过定制化Linux系统下固件编译及镜像生成过程中用户名及密码进行基于MD5的加密算法来提高用户信息安全性;通过对特定功能??槿鏚VM OVER IP、虚拟媒体、SOL等功能采用追加授权、发放License的方式进行安全?;?;通过关闭标准IPMI协议中关于添加、修改及默认用户授权的功能来增强第三方IPMI访问安全;通过关闭系统中不用的接入性服务程序如SSH、Telnet、TFTP等来加强服务器固件的外部接入安全。
    本发明公开的一种面向服务器的安全固件设计方法的有益效果是:
    所述面向服务器的安全固件设计方法,可以对大规模服务器部署的多种应用场景有效增强系统固件的安全,通过对WEB、IPMI、及其他接入型服务等方面实施安全性加固方法,从系统访问入口、Web恶意代码注入入口、第三方标准协议入口、及系统镜像生成入口等多个方面多固件系统进行安全性增强,不仅能准确的识别服务器固件系统安全,又能针对安全隐患提供增强固件安全性。除此之外,本发明也涉及固件安全加密的算法,其中通过提高本文选用的MD5算法或改用其他更安全算法模型可更进一步提高固件安全的有效性。
    本方法适合于所有支持用BMC进行监控管理的服务器类型,特别适用于大数据处理中心、高性能集群计算等对服务器实际数量需求大的场合,通过消除各节点BMC固件的安全性隐患,增强服务器访问和管理的安全性,更好地到达的服务器安全自主可控的要求。
    附图说明
    附图1为本发明的基于WEB固件安全性增强实施流程图;
    附图2为本发明的服务器安全固件制作流程图。
    具体实施方式
    下面通过附图和实施例,对本发明所述面向服务器的安全固件设计方法进一步详细说明,并不构成对本发明的限制。
    本发明提出一种面向服务器的安全固件设计方法,针对当今服务器领域固件实现中存在的诸多安全隐患,通过多种措施保障服务器用的固件安全性。所述面向服务器的安全固件设计方法,在开发设计时涉及到如下几个方面:服务器的固件系统的工作内容和及其特征、安全固件设计的几个重要方面及其特征、固件安全性增强实现的方法和步骤。
    下面分别对上述几个方面进行详细说明:
    本发明中所述服务器固件系统,是指固化在服务器基板控制器BMC内部的系统,该系统是,具备基于WEB的 Http协议、标准IPMI协议、标准SNMP协议可访问的定制化嵌入式Linux系统;
    所述固件系统的工作内容,主要包括:检测服务器系统硬件资产、监控服务器系统及各关键部件工作状态、配置及服务器系统监控管理信息、辅助定位系统故障及问题修复。
    所述安全固件设计的几个重要方面及其特征:
    1.  WEB访问安全性:基于Https(超文本传输安全协议)的访问方式,所述Https超文本传输安全协议是基于Http协议+SSL协议,本设计采用Embedthis的WEBServer GoAhead v3.1.0,该版本良好支持SSL v3;
    2.  功能访问安全性:基于功能??榈挠没ㄏ蘅刂苹?,通过管理功能??榈挠没ㄏ蘩纯刂撇煌ㄏ藜侗鹩没У姆梦拾踩?;
    3.  镜像安全性:基于MD5加密算法,对固件编译及镜像生成过程中用户名及密码进行加密;设计生成的固件系统镜像是按功能进行??榛值?,每个??槎加泄潭ǖ哪诓康刂?;
    4.  远程操作安全性:基于追加授权及发放License给KVM OVER IP、虚拟介质、SOL等功能??榈谋;せ?;所述追加授权及发放License方式,是指用户需要启用KVM OVER IP、虚拟介质等功能??槭?,会首先向WEBServer发送请求,在得到校验License通过后获得访问功能授权,授权License发放由固件提供者产生;
    5.  IPMI访问安全性:基于标准IPMI协议的修改,即关闭协议中关于添加、修改用户及默认用户授权的功能机制;
    6.  网络访问安全性:基于对系统中接入性服务程序的关闭和开启机制;所述接入性服务程序主要包括SSH、Telnet及TFTP等网络服务。
    所述固件安全性增强实现步骤,主要涉及几项固件安全性措施的实施前后关系:
    1.  对固件系统功能??榻腥ㄏ藁?;
    2.  配置WEB服务器为Https访问方式;
    3.  制作iptables限定Https访问的IP地址;
    4.  在WEB服务器端增加对特定功能??榈腖icense授权;
    5.  在WEB界面端封堵恶意代码注入风险处,关闭接入性服务;
    6.  在WEB界面端实现功能??橛胗没ㄏ薜墓亓?;
    7.  设计固件镜像生成算法对特定部分MD5算法加密;
    8.  修补IPMI用户管理漏洞。
    本发明改进了传统的服务器固件制作的流程,相对于传统的流程增加了诸多步骤,如配置WebServer为Https访问方式;在WebServer端增加对特定功能??榈腖icense授权;在Web界面端封堵恶意代码注入风险处,关闭接入性服务;在Web界面端实现功能??橛胗没ㄏ薜墓亓?;设计固件镜像生成算法对特定部分MD5算法加密;修补IPMI用户管理漏洞等,从固件系统生成和使用等多方面增强了安全性。
    实施例:
    下面通过一个实施例对本发明的其他特征及优点进行说明,且本发明的目的和优点可通过附图中指出的结构变得显而易见,易于实现和获得。
    附图1为本发明的基于WEB固件安全性增强实施流程图,如图1所示,主要包括WEBHTTPS安全加固,以及在HTTPS访问基础上对WEB端用户界面恶意代码注入风险消除、功能??榘醇侗鹑ㄏ薰芾?,具体过程描述如下:
    步骤1:WEBHTTPS安全加固,在原有的HTTP协议基础上增加SSL / TLS,即增加用于处理加密信息的???。WEBClient和WEBServer的信息传输都会通过TLS进行加密后再传输,本例中通过对原有的WEBServer GoAhead进行升级后达到3.1.0版本,良好的支持SSLV3级加解密,加密后的WEB访问流程如下;
    1.  Client:发送访问交互界面的HTTPS请求;
    2.  Server:维护一个私钥和一个CA证书(含有公钥),并将包含服务器公钥的的CA证书发送到Client;
    3.  Client:浏览器检验证书是否有效?如果有效则产生公有密钥,如果无效则发送错误信息给界面显示;
    4.  Client:使用服务器公钥加密1个随机数,并将随机数发送到Server;
    5.  Server:使用服务器私钥解密获得的随机数;
    6.  Server:对返回的内容使用随机数进行对称加密,并由Client的相应HTTPS请求返回加密后的内容;
    7.  Cilent:解密服务器返回的内容,并发送界面显示;
    步骤2:限定访问的IP地址:制作iptables对照表,对接入的Client IP进行检测,如不在列表中则拒绝访问WEBServer;
    步骤3:消除用户界面恶意代码注入风险,由于本例的WEB界面开发HTML+BootStrap(基于JavaScript语言开发),针对可能的风险点:用户管理、系统配置信息、故障报警等进行JavaScript代码安全性加固,主要包括;
    1.  修复注入代码获得用户登录信息;
    2.  加固代码避免故障报警转移发送或截??;
    3.  加密浏览器端用户登录信息明文显示;
    步骤4:功能??榘醇侗鹑ㄏ薰芾?,本例中WEB端实现功能??榘炊列床僮鹘谐醪交?,写操作的优先级大于读操作、写操作再按影响范围进行划分,对于会影响大的分配更高的权限。对于面向监控管理系统的功能??槿ㄏ藁秩缦卤硭荆罕纠龅闹挥辛郊队没ㄏ?,即Root级和User级,当然实际不仅限如此,可以存在Admin级、Operater级等多级用户管理级别;
            功能说明             Root级         User级
          系统资产检测          ●                ●
          系统网络配置          ●
          固件更新                 ●
         用户管理                  ●
         系统日志查看           ●                 ●
    附图2为本发明的服务器安全固件制作流程图,如图2所示,链接关系如下:
    步骤1:WEBHTTPS安全加固;
    步骤2:用户界面恶意代码注入风险消除;
    步骤3:功能??榘醇侗鹑ㄏ薰芾?;
    步骤4:特定功能增加授权认证,即在WEBServer增加授权认证入口,对用户上传的认证文件的有效性进行验证,有效验证包括有效日期验证、授权内容验证、及文件完成性验证;
    步骤5:加固IPMI协议,删除匿名用户登录权限、修改基于IPMIStack对用户管理的代码,即屏蔽用户通过IPMItool、openIPMI、freeIPMI等工具对用户管理操作的权限;
    步骤6:SSH、TFTP、Telnet服务接入加固,在WEB端增加对SSH、TFTP、Telnet等服务的开启和关闭入口,此类加固功能需要高级权限用户支持,需在WEB端和底层两级关联;
    步骤7:指定区域生成镜像MD5加密,对固件系统提供的关键功能???,如用户管理、告警配置等部分在Linux系统编译镜像中指定起始及终止地址,执行编译是通过MD5加密。
    利用本实施例的面向服务的安全固件设计方法,可以对大规模服务器部署的多种应用场景有效增强系统固件的安全,通过对WEB、IPMI、及其他接入型服务等方面实施安全性加固方法,不仅能准确的识别服务器固件系统安全,又能针对安全隐患提供增强固件安全性。除此之外,本发明也涉及固件安全加密的算法,其中通过提高本文选用的MD5算法或改用其他更安全算法模型可更进一步提高固件安全的有效性。
    以上所述仅为本发明的实施例而已,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的?;し段е?。

    关于本文
    本文标题:一种面向服务器的安全固件设计方法.pdf
    链接地址://www.4mum.com.cn/p-6143434.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    [email protected] 2017-2018 www.4mum.com.cn网站版权所有
    经营许可证编号:粤ICP备17046363号-1 
     


    收起
    展开
  • 四川郎酒股份有限公司获第十二届人民企业社会责任奖年度环保奖 2019-05-13
  • 银保监会新规剑指大企业多头融资和过度融资 2019-05-12
  • 韩国再提4国联合申办世界杯 中国网友无视:我们自己来 2019-05-11
  • 中国人为什么一定要买房? 2019-05-11
  • 十九大精神进校园:风正扬帆当有为 勇做时代弄潮儿 2019-05-10
  • 粽叶飘香幸福邻里——廊坊市举办“我们的节日·端午”主题活动 2019-05-09
  • 太原设禁鸣路段 设备在测试中 2019-05-09
  • 拜耳医药保健有限公司获第十二届人民企业社会责任奖年度企业奖 2019-05-08
  • “港独”没出路!“梁天琦们”该醒醒了 2019-05-07
  • 陈卫平:中国文化内涵包含三方面 文化复兴表现在其中 2019-05-06
  • 人民日报客户端辟谣:“合成军装照”产品请放心使用 2019-05-05
  • 【十九大·理论新视野】为什么要“建设现代化经济体系”?   2019-05-04
  • 聚焦2017年乌鲁木齐市老城区改造提升工程 2019-05-04
  • 【专家谈】上合组织——构建区域命运共同体的有力实践者 2019-05-03
  • 【华商侃车NO.192】 亲!楼市火爆,别忘了买车位啊! 2019-05-03
  • 博彩 反点稳赚钱手段 河北时时计算公式 重庆时时乐娱网址 北京快车pk10走势图 时时彩改欢乐生肖 今天内蒙古时时开奖结果 广东时时官方网站 3d投注技巧准确五线 重庆时时五星龙虎计划 快三稳赚不赔免费计划 幸运分分彩计划软件安卓 11选5手机计划软件苹果版 北京pk赛车官网彩世界 飞艇计划人工在线 双色球走势图表 分分彩计划软件大全