基于BMC的服务器密码安全管理方法和装置与流程

本发明涉及服务器安全，尤其涉及基于bmc的服务器密码安全管理方法和装置。

背景技术：

1、基板管理控制器(baseboard management controller，bmc)管理系统是服务器主板上独立于主机操作系统的嵌入式管理系统，支持行业标准的ipmi(intelligentplatformmanagement interface，智能平台管理接口)协议，作用是利用虚拟的键盘、鼠标等为服务器提供远程管理功能。在服务器管理过程中，服务器系统安全尤为重要，管理员密码强度也在越来越大，远程登录界面是管理员管理系统的接口，为保证服务器安全，高强度的密码设计尤为重要。同时，服务器设备对安全的要求十分高，尤其，应用于金融、交通和电力等重要国家机构的高性能服务器，管理员的权限显得尤其重要。各公司或企事业单位的服务器管理员在操作自己所负责的服务器时，只有高权限的管理员才能操作控制服务器。

2、在服务器进行登录启动时，固件通过启动存储在固件闪存芯片中的linuxpetitboot内核来加载操作系统，petitboot是基于linux kexec热启动机制的独立于平台的启动加载程序,通过petitboot以查找保存用户想要启动的操作系统的磁盘和kexec，在petitboot阶段需要对服务器进行密码验证，然而，目前对于服务器的密码设计就是通用的数字、字符和特殊符号等密码组合，通过在bmc远程浏览器界面输入密码再统一验证该密码组合，即可对服务器进行操作，简单且单一的密码设计和验证方式，导致服务器容易被破解，密码安全级别低，安全性不高，无法保证对服务器的安全管理。

技术实现思路

1、本发明提供了基于bmc的服务器密码安全管理方法和装置，实现服务器密码设置与验证的安全有效管理，服务器不易被破解，提高服务器的安全性。

2、为了解决上述技术问题，本发明实施例提供了一种基于bmc的服务器密码安全管理方法，包括：

3、响应第一用户在启动加载程序界面上的认证操作，调用bmc中的智能图形计算服务，本地获取或者远程获取第一用户的第一生物特征数据；

4、计算第一生物特征数据对应的第一哈希密码值，并将第一哈希密码值与预存的第二哈希密码值进行比对；其中，第二哈希密码值是根据bmc中的智能图形计算服务，对第二用户进行第二生物特征数据的本地获取或远程获取，并对获取的第二生物特征数据进行计算而获得；

5、在比对通过时，授权第一用户在启动加载程序界面上的控制操作。

6、实施本发明实施例，响应第一用户在启动加载程序界面(petitboot界面)上的认证操作，调用bmc中的智能图形计算服务，本地获取或者远程获取第一用户的第一生物特征数据；计算第一生物特征数据对应的第一哈希密码值，并将第一哈希密码值与预存的第二哈希密码值进行比对；其中，第二哈希密码值是根据bmc中的智能图形计算服务，对第二用户进行第二生物特征数据的本地获取或远程获取，并对获取的第二生物特征数据进行计算而获得。预存的第二用户的第二哈希密码值是服务器管理员的哈希密码值，为保证服务器安全，在当前服务器操作者(第一用户)需要操作服务器时必须与管理员哈希密码值比对。在比对通过时，授权当前服务器操作者在启动加载程序界面上的控制操作。服务器进行petitboot登录时，通过智能图形计算服务，进行远程或者本地获取用户生物特征数据，并进行相应的计算和比对，实现服务器密码设置与验证的安全有效管理，密码安全级别高，在bmc远程浏览器界面启动智能计算服务做登录验证，不需要用户手动输入，只有管理员才能进驻系统，不会被破解，提高服务器的安全性。

7、作为优选方案，远程获取第一用户的第一生物特征数据，具体为：

8、调用bmc中的生物信息收集服务，通过第一网络将智能图形计算服务和第一用户远程设备的第一核心服务进行交互通信；

9、按照通信协议发送第一启动命令至第一用户远程设备的第一核心服务，使第一用户远程设备接收第一启动命令并启动第一核心服务，调用第一用户远程设备接挂的第一外接设备的驱动接口，启动第一外接设备工作，以使第一外接设备采集第一用户的第一生物特征数据，通过第一核心服务，将采集的第一用户的第一生物特征数据返回至智能图形计算服务。

10、作为优选方案，本地获取第一用户的第一生物特征数据，具体为：

11、调用bmc中的生物信息收集服务，通过第二网络调用bmc接挂的第二外接设备的驱动接口，启动第二外接设备工作，以使第二外接设备采集第一用户的第一生物特征数据，调用生物信息收集服务，将采集的第一用户的第一生物特征数据返回至智能图形计算服务。

12、作为优选方案，计算第一生物特征数据对应的第一哈希密码值，具体为：

13、将第一生物特征数据组合成字符串并存放至内存缓冲区，根据预存的密钥，对内存缓冲区中的数据进行逐个字节签名，获得签名数据；其中，预存的密钥是在对获取的第二生物特征数据进行计算时，通过非对称加密算法生成；

14、将签名数据进行第一预设次数的哈希计算，得到第一哈希密码值。

15、作为优选方案，响应第一用户在启动加载程序界面上的认证操作，具体为：

16、根据认证操作，启动内核镜像文件，当内核镜像文件的初始化完成时，通过标准协议与bmc进行通信，bmc通过解析标准协议的标准数据，得到启动验证命令，根据启动验证命令，启动服务器中bmc的智能图形计算服务。

17、作为优选方案，还包括：在比对不通过时，则统计比对不通过的次数，得到认证失败次数；

18、当认证失败次数大于第二预设次数，则关机；

19、当认证失败次数不大于第二预设次数，则再一次进行调用bmc中的智能图形计算服务，本地获取或者远程获取第一用户的第一生物特征数据；计算第一生物特征数据对应的第一哈希密码值，并将第一哈希密码值与预存的第二哈希密码值进行比对。

20、作为优选方案，第一外接设备采集第一用户的第一生物特征数据，具体为：

21、启动热插拔相机，采集第一用户的面部特征数据；

22、启动指纹采集设备，采集第一用户的指纹数据；

23、启动用户手环，采集第一用户的心跳数据。

24、作为优选方案，根据bmc中的智能图形计算服务，对第二用户进行第二生物特征数据的远程获取，具体为：

25、调用bmc中的生物信息收集服务，通过第三网络将智能图形计算服务和第二用户远程设备的第二核心服务进行交互通信；

26、按照通信协议发送第二启动命令至第二用户远程设备的第二核心服务，使第二用户远程设备接收第二启动命令并启动第二核心服务，调用第二用户远程设备接挂的第三外接设备的驱动接口，启动第三外接设备工作，以使第三外接设备采集第二用户的第二生物特征数据，通过第二核心服务，将采集的第二用户的第二生物特征数据返回至智能图形计算服务。

27、为了解决相同的技术问题，本发明实施例还提供了一种基于bmc的服务器密码安全管理装置，包括：获取生物特征数据模块、密码比对模块和授权控制模块；

28、其中，获取生物特征数据模块用于响应第一用户在启动加载程序界面上的认证操作，调用bmc中的智能图形计算服务，本地获取或者远程获取第一用户的第一生物特征数据；

29、密码比对模块用于计算第一生物特征数据对应的第一哈希密码值，并将第一哈希密码值与预存的第二哈希密码值进行比对；其中，第二哈希密码值是根据bmc中的智能图形计算服务，对第二用户进行第二生物特征数据的本地获取或远程获取，并对获取的第二生物特征数据进行计算而获得；

30、授权控制模块用于在比对通过时，授权第一用户在启动加载程序界面上的控制操作。

31、作为优选方案，还包括重复认证模块；

32、重复认证模块用于在比对不通过时，则统计比对不通过的次数，得到认证失败次数；

33、当认证失败次数大于第二预设次数，则关机；

34、当认证失败次数不大于第二预设次数，则再一次进行调用bmc中的智能图形计算服务，本地获取或者远程获取第一用户的第一生物特征数据；计算第一生物特征数据对应的第一哈希密码值，并将第一哈希密码值与预存的第二哈希密码值进行比对。