計算機基本輸入輸出系統(tǒng)(BIOS)技術要求 第2部分:服務器_第1頁
計算機基本輸入輸出系統(tǒng)(BIOS)技術要求 第2部分:服務器_第2頁
計算機基本輸入輸出系統(tǒng)(BIOS)技術要求 第2部分:服務器_第3頁
計算機基本輸入輸出系統(tǒng)(BIOS)技術要求 第2部分:服務器_第4頁
計算機基本輸入輸出系統(tǒng)(BIOS)技術要求 第2部分:服務器_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1服務器基本輸入輸出系統(tǒng)(BIOS)技術要求本文件規(guī)定了服務器BIOS的基本技術要求。本文件適用于服務器的規(guī)劃、設計,可作為測試、選型及驗收的依據(jù)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。ACPISpecificationVersion6.3IPMISpefificationV2.0RedfishSpecificationRFC5970DHCPv6OptionsforNetworkBootSMBIOSReferenceSpecification,Version3.3.0UEFISpecificationVersion2.83術語和定義下列術語和定義適用于本文件。3.1固件firmware固化到計算機中的非易失性存儲器中的一組程序或軟件。3.2基本輸入/輸出系統(tǒng)basicinput/outputsystem存于計算機主板上的固件,負責計算機開機時的硬件檢測和初始化、操作系統(tǒng)安裝和引導,并向操作系統(tǒng)提供計算機主板信息和服務接口。3.3統(tǒng)一可擴展固件接口unifiedextensiblefirmwareinterface當前應用最廣泛的一種BIOS固件接口標準,描述操作系統(tǒng)和固件之間的接口。3.4基板管理控制器baseboardmanagementcontroller部署于服務器主板上的具有獨立供電、獨立處理器、獨立I/O接口的控制單元。3.5熱鍵hotkeyBIOS啟動過程中能夠響應的特定功能按鍵。3.6安全啟動根rootofsecureboot安全啟動的起點,是安全啟動第一個被執(zhí)行的程序,從它開始建立安全啟動的可信鏈,保證整個2系統(tǒng)安全。4縮略語下列縮略語適用于本文件。ACPI:高級配置與電源接口(AdvancedConfigurationandPowerInterface)BIOS:基本輸入輸出系統(tǒng)(BasicInputOutputSystem)BMC:基板管理控制器(BaseboardManagementController)CPU:中央處理單元(CentralProcessingUnit)ECC:錯誤檢查和糾正技術(ErrorCheckingandCorrecting)HDD:機械硬盤(HardDiskDrive)HTTPS:安全超文本傳輸協(xié)議(HypertextTransferProtocolSecure)IPMI:智能平臺管理接口(IntelligentPlatformManagementInterface)JEDEC:聯(lián)合電子設備工程委員會(JointElectronDeviceEngineeringCouncil)KB:千字節(jié)(Kilobyte)OS:操作系統(tǒng)(OperatingSystem)PXE:預加載執(zhí)行環(huán)境(PrebooteXecutionEnvironment)SMBIOS:系統(tǒng)管理基本輸入/輸出系統(tǒng)(SystemManagementBIOS)SPD:串行存在檢測(SerialPresenceDetect)SPI:串行外接口(SerialPeripherialInterface)SSD:固態(tài)硬盤(SolidStateDrive)TCM:可信加密模塊(TrustedCryptographyModule)UEFI:統(tǒng)一可擴展固件接口(UnifiedExtensibleFirmwareInterface)USB:通用串行總線(UniversalSerialBus)5設備支持要求5.1處理器支持本規(guī)范適用于ARM、X86、MIPS、SunWay等處理器架構。5.2測試工具1、BIOS能正確的識別和初始化處理器所能支持的內(nèi)存模組類型。2、BIOS對內(nèi)存的初始化應基于JEDEC規(guī)范定義的SPD數(shù)據(jù),SPD數(shù)據(jù)來源可以從內(nèi)存模組讀取,也可以按SPD格式在代碼中預設,以支持顆粒形式的內(nèi)存。3、內(nèi)存工作頻率默認初始化成CPU、內(nèi)存共同支持且不高于BIOS配置界面設置的最高頻率。5.3BIOSFlash芯片支持BIOS能正確的識別和初始化不同總線協(xié)議的Flash芯片,例如SPIFlash。5.4存儲設備支持1、BIOS能正確識別和初始化不同接口或不同總線協(xié)議的存儲設備,至少應支持SAS、SATA、PCIe接口的HDD或SSD。2、BIOS能從源存儲設備將操作系統(tǒng)安裝至目標存儲設備中。例如,可通過光驅(qū)、閃存盤安裝操3作系統(tǒng)到目標硬盤。5.5輸入輸出設備支持1、BIOS支持USB鍵盤。2、在硬件和平臺支持的情況下,BIOS能支持串口和VGA控制臺輸出。5.6板卡支持1、BIOS能正確地識別常見的PCIe板卡,包括網(wǎng)卡、Raid卡和顯卡等。2、BIOS應對板卡進行正確的識別和基本的資源分配,使其在操作系統(tǒng)階段具備相應的功能。3、在存在相應CPU指令集的板卡UEFI驅(qū)動時,BIOS應能加載并運行相應UEFI驅(qū)動,在開啟安全啟動時,只有通過簽名校驗的板卡UEFI驅(qū)動才能被運行。(level2)5.7BMC支持(適用時)1、當計算機使用BMC中的顯示或串口設備作為主機系統(tǒng)的顯示或串口設備時,BIOS能正確的初始化BMC中的顯示和串口,使其在BIOS下具備相應的功能。2、BIOS能識別和初始化BMC端遠程掛載的虛擬輸入設備(鍵盤、鼠標)。3、BIOS能識別和初始化BMC端遠程掛載的虛擬媒體設備。4、初始化BIOS和BMC通信接口,通信協(xié)議符合IPMI或Redfish規(guī)范。6一般功能要求6.1啟動OS要求1、BIOS加載啟動OS的方式符合UEFI規(guī)范定義。2、BIOS按啟動項的先后順序依次嘗試啟動項,完成OS啟動。6.2文件系統(tǒng)支持要求BIOS應支持UEFI規(guī)范定義支持的文件系統(tǒng)。6.3BIOS升級要求1、BIOS升級包括帶內(nèi)升級和帶外升級兩種方式。帶內(nèi)升級宜在操作系統(tǒng)下執(zhí)行,帶外升級宜由BMC負責,由相應BMC規(guī)范進行約定。帶內(nèi)升級和帶外升級支持其一即可。2、BIOS升級應符合以下要求:a)BIOS升級之前應有醒目提示信息,提示用戶切勿斷電或重啟機器。b)BIOS開始升級之后到升級完成應無需人工干預。c)BIOS升級過程應有進度顯示,如百分比。d)BIOS升級完成之后應重啟后生效。e)默認情況下,經(jīng)用戶設置的BIOS配置在BIOS升級后保持不變,升級前后版本不兼容時可例外。f)BIOS升級應具備簽名校驗功能,只有目標鏡像簽名校驗通過之后才能進行升級。(Level2)3、采用帶內(nèi)安全升級且開啟BIOS代碼區(qū)域保護時,最終更新BIOS的操作應在BIOS下完成。(Level2)6.4網(wǎng)絡引導要求1、BIOS支持標準的PXE引導,CPU類型定義應符合RFC59703.3.ClientSystemArchitectureTypeOption規(guī)范定義。2、BIOS支持HTTPSboot。(Level2)6.5診斷功能要求為了在系統(tǒng)發(fā)生故障時能夠快速定位故障位置和故障原因,BIOS應具備必要的診斷功能。1、診斷信息輸出方式至少包含下面其中一種:4a)調(diào)試端口BIOS在運行過程中的關鍵點輸出到特定調(diào)試端口。b)串口日志BIOS在運行過程中將重要的日志信息以文本形式輸出到串口。c)內(nèi)存日志BIOS在運行過程中將重要的日志信息以文本方式輸出到內(nèi)存,并能將內(nèi)存中日志信息保存到非易失存儲設備中或傳遞給BMC或傳遞給操作系統(tǒng)。2、應記錄的診斷信息包括但不限于:a)檢測到無內(nèi)存設備level2)b)內(nèi)存初始化成功或失??;c)檢測到無顯示輸出設備level2)d)檢測到無啟動設備level2)6.6電源管理要求在硬件平臺支持的情況下,BIOS應支持ACPI電源管理模式中的S0、S5模式。6.7主板管理要求在計算機具備BMC的情況下,用戶可以通過BMC對主機系統(tǒng)進行一些帶外管理操作,BIOS要求能支持這些帶外管理功能:1、BIOS支持從BMC端的遠程媒體掛載設備進行操作系統(tǒng)的安裝。2、BIOS支持BMC端進行設備啟動順序的修改。7接口要求7.1SMBIOS要求BIOS應向操作系統(tǒng)或應用提供SMBIOS規(guī)范定義的常規(guī)表格接口,以便操作系統(tǒng)或應用能通過SMBIOS表格獲取硬件平臺的一些基本信息。7.2ACPI要求(Level2)在硬件平臺支持ACPI規(guī)范的情況下,BIOS應向操作系統(tǒng)或應用提供常規(guī)的ACPI表格和配置方法接口,以便操作系統(tǒng)或應用能通過ACPI表格和配置方法接口來實現(xiàn)對主機的一些高級配置功能和電源管理功能。7.3內(nèi)存映射要求BIOS應向操作系統(tǒng)提供系統(tǒng)的內(nèi)存布局和內(nèi)存屬性等信息,滿足UEFI規(guī)范定義。BIOS提供的內(nèi)存映射信息中操作系統(tǒng)運行階段需保留的內(nèi)存應滿足按內(nèi)存屬性64KiB對齊,即同一個64KiB地址空間內(nèi)只有一種內(nèi)存屬性,使操作系統(tǒng)可以使用64KiB或4KiB的頁表。(Level2)7.4運行時服務要求BIOS能向操作系統(tǒng)或應用提供UEFI規(guī)范中描述的運行時服務(RuntimeService)函數(shù)接口。基本運行時服務應包括GetTime/SetTime、GetVariable/SetVariable、ResetSystem等。8安全功能要求8.1BIOS密碼功能1、BIOS支持管理員密碼和普通用戶密碼兩種密碼,兩種密碼相互獨立,普通用戶密碼由管理員進入BIOS配置界面設置,在使用者無需求的情況下,亦可不設置。2、如果設置了密碼,使用者進入BIOS配置界面需要進行密碼驗證,只有驗證成功后才能進行功能配置和信息查詢等操作,采用管理員密碼驗證通過時被確認為管理員操作,采用普通用戶5密碼驗證通過時被確認為普通用戶操作。3、管理員具有修改BIOS配置界面所有可改選項的權限,包括設置、修改和清除普通用戶密碼。4、普通用戶可以查看BIOS配置選項,可以修改但不可清除普通用戶密碼。5、支持對密碼進行復雜度校驗,避免使用者設置過于簡單的密碼,當設置的密碼不符合要求時應提示用戶不符合的原因。密碼復雜度要求為Level2)(1)密碼長度至少8個字符;(2)至少包含以下4種字符中的2種:a)特殊字符:`~!@#$%^&*()-_=+\|[{}];:'",<.>/?和空格;b)小寫字母:a~z;c)大寫字母:A~Z;d)數(shù)字:0~9.6、管理員密碼和普通用戶密碼不應以明文方式存儲。7、新設置的管理員密碼與歷史管理員密碼至少3次不重復,對普通用戶密碼無要求。(Level2)8、出廠禁止存在缺省密碼,采用“首次登錄設置”模式,首次登錄必須強制設置管理員密碼。(Level2)9、密碼支持防暴力破解,使用者每次密碼操作應進行日志記錄,如果連續(xù)3次以上登錄失敗應告警并鎖定,鎖定后,可等待超時解鎖或者重啟系統(tǒng)才能進行再次操作,單次超時解鎖時間不少于3分鐘。(Level2)8.2安全啟動1、BIOS啟動過程中應對待運行的程序進行簽名校驗,只有認證通過才能被運行。2、BIOS支持UEFI規(guī)范定義的SecureBoot功能。3、BIOS配置界面中支持對第三方證書的注冊、刪除。4、安全啟動根應內(nèi)置于CPU芯片內(nèi)或第三方硬件內(nèi),且滿足出廠固化、啟動不可繞過、內(nèi)容不可被外部讀取、內(nèi)容無法被篡改的要求。(Level2)5、管理員可以通過BIOS配置界面設置安全啟動關閉或開啟。8.3可信度量(Level2)1、BIOS在啟動過程中自動識別和初始化可信模塊。2、在可信模塊可用的情況下,BIOS應向操作系統(tǒng)報告可信模塊信息。3、在可信模塊可用的情況下,BIOS啟動過程中,為關鍵部件進行度量,并將結果存入可信模塊,同時記錄度量事件,支撐建立信任鏈。4、BIOS管理員配置界面支持可信模塊的可用性配置。5、BIOS管理員配置界面支持可信模塊的可用性配置。8.4密碼算法強度要求BIOS安全啟動校驗、安全升級和用戶密碼認證都會使用到密碼算法。1、禁止使用私有的、非標準的密碼算法。2、哈希、簽名算法需滿足安全強度以及對應生存周期要求,應采用如下推薦算法或同等強度的算法:表1算法安全強度對應生存周期要求推薦算法6非對稱加密數(shù)字簽名RSA(≥2048bits)ECDSA(≥256bits)注:“同等強度的算法”指由算法采用者舉證該算法具備與推薦算法同等安全強度,下同。8.5BIOS密碼加密算法要求(Level2)1、存儲BIOS密碼時,應采用加鹽加密算法,宜使用PBKDF2或scrypt算法,或具備同等強度的算法加密存儲。2、BIOS密碼做單向不可逆加密時,迭代次數(shù)缺省宜設為10000次,對于有性能約束的產(chǎn)品,迭代次數(shù)至少1000次。3、應確保不同用戶使用不同鹽值,鹽值salt的長度至少8字節(jié),且應滿足本規(guī)范中隨機數(shù)要求。8.6密碼算法中使用到的隨機數(shù)要求硬件支持真隨機數(shù)的情況下,應采用真隨機數(shù),硬件不支持真隨機數(shù)的情況下,可采用偽隨機數(shù)。1、偽隨機數(shù)應由密碼學安全偽隨機數(shù)生成器(CSPRNG)生成,如OpenSSL的rand庫函數(shù)。2、真隨機數(shù)應由真隨機數(shù)發(fā)生器(TRNG)生成。(Level2)8.7BIOS代碼區(qū)域保護(Level2)在硬件支持的情況下,要求系統(tǒng)運行時對BIOS代碼所在的CPU和內(nèi)存以外的存儲區(qū)域進行寫保護,防止OS下惡意軟件破壞BIOS代碼。8.8敏感信息處理內(nèi)存中的敏感信息使用完畢后應及時清除,并不可通過任何手段恢復,包括但不限于密碼、密鑰。9能效要求(Level2)9.1支持CPU調(diào)頻功能在硬件支持的情況下,BIOS支持CPU調(diào)頻功能,按照ACPI規(guī)范提供CPU調(diào)頻功能接口給操作系9.2支持CPU休眠功能在硬件支持的情況下,BIOS支持CPU中部分核休眠喚醒功能,按照ACPI規(guī)范提供休眠喚醒功能接口給操作系統(tǒng)。9.3支持功耗封頂功能在硬件支持的情況下,BIOS可以接受帶外或帶內(nèi)下發(fā)的功耗封頂要求,對單板實施功耗控制,達到實際功耗不超過目標功耗的效果。10可靠性可用性要求(Level2)在硬件支持的情況下,BIOS應當支持下列功能,提高系統(tǒng)的可靠性和可用性。10.1支持硬件故障處理與上報功能1、系統(tǒng)硬件發(fā)生故障并觸發(fā)中斷信號時,BIOS應首先響應并進行處理,故障處理不限于故障恢復、故障隔離、故障上報等可以降低故障影響、有利于提高系統(tǒng)可靠性、可用性的措施;2、BIOS應向OS報告故障信息,信息內(nèi)容滿足ACPI規(guī)范中APEI(ACPIPlatformErrorInterfaces)要求;3、在具備BMC的系統(tǒng)中,BIOS同樣應將故障信息報告給BMC,信息格式由BIOS與BMC自行約定。710.2支持啟動階段故障核隔離功能1、當啟動階段故障核隔離功能開啟時,BIOS啟動過程中,如果檢測到會導致CPU核無法工作的故障,例如CPU核對應的cache故障,則BIOS應將該故障核隔離,使其不再工作,其他正常核工作不受影響。2、在隔離故障核時,BIOS應更新ACPI表,為OS屏蔽故障核信息,避免OS因使用故障核而發(fā)生異常。3、如果故障核為BIOS啟動所用的核,那么不適用此條規(guī)則。4、BIOS可通過配置界面控制核故障隔離功能的開啟和關閉。10.3支持內(nèi)存ECC功能B

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論