(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210516283.X (22)申请日 2022.02.28 (62)分案原申请数据 202210188449.X 202 2.02.28 (71)申请人 华为技术有限公司 地址 518129 广东省深圳市龙岗区坂田华 为总部办公楼 (72)发明人 吴玲玲　李小川　张超　李宏　 (51)Int.Cl. G06F 21/44(2013.01) G06F 9/4401(2018.01) G06F 9/445(2018.01) (54)发明名称 一种组件认证方法及装置 (57)摘要 本申请提供一种组件认证方法及装置。 在该 方法中， 在计算机 上电后， 该计算机中的BMC向该 计算机中的其中一个组件发送认证请求， 以发起 对该组件进行接入认证； 该组件向BMC发送接入 请求， 该接入请求携带该组件的接入认证证书； BMC在对该组件的接入认证证书认证通过后， 向 该组件发送接入响应。 本申请在组件启动之前， BMC对组件的接入认证证书进行验证， 若验证通 过， 才允许该组件启动， 该方式有效消减了组件 被仿冒篡改带来的安全风险， 有效保障了组件的 接入安全。 权利要求书3页 说明书15页 附图6页 CN 115062290 A 2022.09.16 CN 115062290 A 1.一种组件认证方法， 其特征在于， 所述计算机包括基板管理控制器BMC、 多个组件， 所 述方法包括： 所述BMC向所述多个组件中的第一组件发送第一认证请求， 所述第一认证请求用于发 起对所述第一组件进行接入认证； 所述第一组件向所述BMC发送第一接入请求， 所述第一接入请求包括所述第一组件的 接入认证 证书； 在所述第一组件的接入认证证书验证通过后， 所述BMC向所述第一组件发送第一接入 响应， 所述第一接入响应用于触发所述组件启动； 或者， 若所述接入认证证书未验证通过， 所述BMC拒绝接入所述组件。 2.如权利要求1所述的方法， 其特 征在于， 还 包括： 所述BMC向管理模块发送第二接入请求以及所述BM C的接入认证 证书； 在所述BMC的接入认证证书验证通过后， 所述管理模块向所述BMC发送第二接入响应， 所述第二接入响应用于触发所述BM C对所述第一组件进行接入认证。 3.如权利要求1或2所述的方法， 其特征在于， 所述BMC拒绝接入所述第一组件， 包括下 列中的一项或多 项： 所述BMC对所述第一组件进行告警； 所述BMC禁止所述第一组件启动； 所述BMC将所述第一组件下电。 4.如权利要求1 ‑3任一项所述的方法， 其特征在于， 所述第一组件包括计算组件、 存储 组件、 IO组件、 加速组件。 5.如权利要求 4所述的方法， 其特 征在于， 还 包括： 所述第一组件为所述计算组件， 所述第一组件加载并运行基本输入输出系统BIOS文 件； 或者 所述第一组件为存储组件、 IO组件、 加速组件中的其中一种组件， 所述第一组件加载并 运行固件文件。 6.如权利要求1 ‑5任一项所述的方法， 其特征在于， 所述第一认证请求包括所述BMC生 成的第一 随机数； 所述第一接入请求还包括签名数据， 所述签名数据是使用所述第一组件 的私钥对所述第一随机数进行签名得到的； 所述第一组件向所述BM C发送第一接入请求之后， 还 包括： 所述BMC基于所述第一接入请求获取所述第一组件的公钥以及第二随机数； 其中， 所述 第一组件的公钥为所述BMC使用证书颁 发中心CA的公钥对 所述第一组件的接入认证证书进 行解密后得到的； 所述第二随机数为所述BMC使用所述第一组件的公钥对所述签名数据进 行解密后得到的； 若所述第 二随机数与所述第 一随机数一致， 则确定所述接入认证证书验证通过； 否则， 确定所述接入认证 证书未验证通过。 7.如权利要求6所述的方法， 其特征在于， 所述第 一组件的接入认证证书为出厂前预置 于所述第一组件中的； 其中， 所述第一组件的接入认证证书是使用所述CA的私钥对所述第 一组件的信息进行签名得到的； 所述BMC的接入认证 证书和所述CA的公钥为出厂前 预置于所述BM C中的。权　利　要　求　书 1/3 页 2 CN 115062290 A 28.如权利要求7所述的方法， 其特征在于， 所述第 一组件的组件标识出厂前预置于所述 第一组件中的， 所述组件标识 为所述第一组件从所述CA获取的； 所述第一组件的公钥、 所述 第一组件的私钥均是由所述组件标识派生的。 9.一种计算机中的组件认证装置， 其特征在于， 所述计算机包括基板管理控制器BMC、 多个组件， 所述BMC用于向所述多个组件中的第一组件发送第一认证请求， 所述第一认证请求用 于发起对所述第一组件进行接入认证； 所述第一组件用于向所述BMC发送第一接入请求， 所述第一接入请求包括所述第一组 件的接入认证 证书； 在所述第一组件的接入认证证书验证通过后， 所述BMC还用于向所述第一组件发送第 一接入响应， 所述第一接入响应用于触发所述组件启动； 或者， 若 所述接入认证证书 未验证 通过， 所述BM C还用于拒绝接入所述组件。 10.如权利要求9所述的装置， 其特 征在于， 所述BMC还用于向管理模块发送第二接入请求以及所述BM C的接入认证 证书； 所述管理模块还用于在所述BMC的接入认证证书验证通过后， 向所述BMC发送第二接入 响应， 所述第二接入响应用于触发所述BM C对所述第一组件进行接入认证。 11.如权利要求9或10所述的装置， 其特 征在于， 所述BM C具体用于： 所述BMC对所述第一组件进行告警； 或 所述BMC禁止所述第一组件启动； 或 所述BMC将所述第一组件下电。 12.如权利要求9 ‑11任一所述的装置， 其特征在于， 所述第一组件包括计算组件、 存储 组件、 IO组件、 加速组件。 13.如权利要求12所述的装置， 其特征在于， 所述第一组件为所述计算组件， 所述第一 组件还用于加载并运行基本 输入输出系统BIOS文件； 或者 所述第一组件为存储组件、 IO组件、 加速组件中的其中一种组件， 所述第一组件还用于 加载并运行固件文件。 14.如权利要求9 ‑13任一所述的装置， 其特征在于， 所述第一认证请求包括所述BMC生 成的第一 随机数； 所述第一接入请求还包括签名数据， 所述签名数据是使用所述第一组件 的私钥对所述第一随机数进行签名得到的； 所述BMC还用于， 在所述第一组件向所述BMC发送第一接入请求之后， 基于所述第一接 入请求获取所述第一组件的公钥以及第二随机数； 其中， 所述第一组件的公钥为所述BMC使 用证书颁发 中心CA的公钥对所述第一组件的接入认证证书进 行解密后得到的； 所述第二随 机数为所述BMC使用所述第一组件的公钥对所述签名数据进行解密后得到的； 若所述第二 随机数与所述第一随机数一致， 则确定所述接入认证证书验证通过； 否则， 确定所述接入认 证证书未验证通过。 15.如权利要求14所述的装置， 其特征在于， 所述第 一组件的接入认证证书为出厂前预 置于所述第一组件中的； 其中， 所述第一组件的接入认证证书是使用所述CA的私钥对所述 第一组件的信息进行签名得到的； 所述BMC的接入认证 证书和所述CA的公钥为出厂前 预置于所述BM C中的。权　利　要　求　书 2/3 页 3 CN 115062290 A 3