[0001] 本发明涉及计算机系统安全性(system security)，特别涉及控制计算机系统的系统开机(system boot)。

[0002] 对于计算机系统而言，安全性(security)一向都是很重要的，尤其是对于服务器计算机系统而言。虽然大部分的安全性是聚焦于来自远端系统的已授权的电子侵入(authorized electronic intrusions)，来自本地端恶意行动者未经授权地侵入计算机系统仍然是安全性很重要的一环。一个完整的安全性视角，必须使计算机系统的硬件免于遭受本地端的攻击，例如计算机系统被骇客开启，并且进行未经授权的变更。

[0003] 有鉴于此，需要基于对计算机系统未经授权的取用，以控制计算机系统的系统开机。本发明的特征，解决诸如此类的问题。

[0030] 各种实施例是参考附加的附图所叙述，其中类似的参考标号在通篇附图中，是用以表示类似或均等的元件。附图并非按比例绘制，且它们仅被提供用以阐明各种实施例。应被理解的是，在此所阐述的许多具体细节、关系以及方法是提供对各种实施例的全面理解。然而，相关领域的普通技术人员将轻易地理解，可以在没有一个或多个具体细节的情况下，或者利用其他方法来实践各种实施例。在其他实例中，未详细示出已知的结构或操作以避免使各种实施例的某些特征难以理解。各种实施例不受附图所绘示的动作或者事件的顺序所限制，因为某些动作可以不同的顺序发生，及/或与其他动作或事件同时发生。此外，实施根据本发明的方法并非需要所有绘示出的动作或事件。

[0031] 例如在摘要、发明内容及实施方式等段落中被揭露，但并未明确地在权利要求中列举的元件及限制，不应被单独地、集体地、暗示地、推论地或其他方式地并入至权利要求中。为了本详细叙述的目的，除非被具体地否认，否则单数形包含多个形，反之亦然。「包含」一词意指「无限制地包含」。此外，表近似的词汇，例如「约」、「几乎」、「大体上」、「大概」及类似的词汇，可在此用于意指「在」、「近」、「近于」、「3‑5％的范围内」或「可接受的制造公差内」，或者其任何的逻辑组合。

[0032] 请参考图1。根据本发明的特征，图1示出一计算机系统100的一部分系统示意图。计算机系统100可以是一服务器计算机系统。替代地，计算机系统100可以是任何计算机系统，像是桌上型计算机、笔记型计算机，或者个人计算机等诸如此类。

[0033] 计算机系统100包含一计算机主机板102，像是母板、子板等。在计算机主机板102之上的，是一安全性控制器104。安全性控制器104可以是实施在此所叙述的功能的任一或多种型态的一或多个处理器，以控制计算机系统100的系统开机。在一或多个实施例中，安全性控制器104可基于软件、固件，及/或硬件的执行以实施功能。在一或多个实施例中，安全性控制器104可以是中央处理单元(CPU)、微控制器、特殊应用集成电路(ASIC)，或者被设置以实施所揭露功能的任何其他的处理器及/或控制器。

[0034] 计算机主机板102也包含基板管理控制器(baseboard management controller；BMC)106。然而，在一或多个实施例中，安全性控制器104与BMC 106可以是相同的组件。举例来说，安全性控制器104所实施在此所叙述的功能，可以被替换为以BMC 106所实施，而计算机主机板102可以缺少分离的安全性控制器104。替代地，在一或多个实施例中，安全性控制器104与BMC 106可以是相同的组件，且BMC 106所实施所叙述的任何功能，可以被替换为以安全性控制器104所实施。在这种案例中，计算机主机板102可以缺少分离的BMC106。

[0035] 计算机系统100还包含一开关108。开关108被设置来指示计算机系统100的机箱(如图2)被开启。如以下更参考图2所讨论，当机箱(如图2)被开启时，计算机系统100的内部组件可被取用。因此，开关108的存在指示出机箱(如图2)何时被开启。如以下更参考图3所讨论，当有未经授权取用(例如开启)计算机系统100的情事，安全性控制器104、BMC 106及开关108共同作用以阻止计算机系统100的系统开机。

[0036] 请参考图2。根据本发明的特征，图2示出计算机系统100的机箱210的俯视图。机箱210容纳了以上参考图1所揭露的组件。机箱210包含一可被移除的顶盖212。当顶盖212从机箱210上移除，使用者可取用机箱210的内部组件。举例来说，未经授权的使用者(例如骇客)可取用机箱210的内部组件，以进行未经授权的变更。具有顶盖212的机箱210搭配计算机系统100的元件的组合，可限制或防止这种未经授权的取用后所发生的系统开机。防止系统开机，可防止或限制未经授权的使用者的恶意行动发生。虽然始终被揭露为「顶盖」，顶盖212可被替换为任何嵌板(panel)，当其被开启时可提供对机箱212内部的取用。

[0037] 顶盖212包含两个门闩214。然而，顶盖212可替代地包含一个门闩214，或者多于两个的门闩214。顶盖212从机箱210上移除，提供了对计算机系统100的内部组件(未在附图中示出)的取用权，而门闩214是抵抗顶盖212从机箱210上移除的机械装置，除非门闩214被机械地操作。在一或多个实施例中，一或两个门闩214可构成图1的开关108。举例来说，用以移除顶盖212的门闩214的机械操作，可提供信号给安全性控制器104，安全性控制器104指示已提供机箱210内部的取用权。替代地，开关108可以是分离于门闩214的元件，像是桥接机箱210的顶盖212与固定的嵌板218之间的空隙216的短路(short circuit)。在这种案例中，通过移除顶盖212而打断电路，会开启开关108，并且指示顶盖212已被移除。

[0038] 在一或多个实施例中，一或两个门闩214可被上锁，或者可以有分离的锁(未在附图中示出)以防止或记录顶盖212未经授权的移除。在一或多个实施例中，该锁可以是机械锁，以使得该锁必须被机械地操作(例如以钥匙、多个鼓(drums)的组合等进行操作)，方能解锁并允许门闩214开启及/或顶盖212被移除。在一或多个实施例中，该锁可以是电子锁，以使得该锁必须被电子地操作(例如无线信号、在面板上正确的数字序列或编码等)，方能解锁并允许门闩214开启及/或顶盖212被移除。

[0039] 根据本发明的特征，图3是绘示控制一计算机系统的系统开机的方法的流程图。如以上所讨论，该方法可被计算机系统中的安全性控制器104所实施，或者若BMC 106实施了安全性控制器104的功能，则可被BMC 106所实施。方法300起始于步骤302，于步骤302，安全性控制器判断计算机系统的机箱被开启。安全性控制器可通过机箱上的开关的触发或反触发，来判断机箱被开启。如以上所讨论，开关可以是一分离的开关，或者是被整合进一用以松开机箱的组件的门闩。举例来说，在一或多个实施例中，机箱的开启包含移除机箱的顶盖。机箱顶盖的移除，可触发开关。

[0040] 在一或多个实施例中，开关的触发(或反触发)被记录在一数据库中，以记录机箱被开启。之后，该记录可被使用者审视，以了解机箱于过去何时被开启。这可被用于手动验证使用者于何时得到了计算机系统内部的取用权。

[0041] 于步骤304，安全性控制器判断机箱的开启是否已授权。举例来说，机箱被开启的判断结果可引发机箱的开启是否已授权的判断。这可以在系统开机之前，出现作为计算机系统的系统开机的部分的初始化程序(initialization)，以防止来自计算机系统的未经授权取用所进行任何型态的恶意活动影响了计算机系统。

[0042] 在一或多个实施例中，当以机械钥匙进行机械解锁完成，则授权机箱的开启。举例来说，已授权的使用者可将机械钥匙插入机箱上的锁中。对机械钥匙所进行的操作，可赋予计算机系统内部的取用权，而计算机系统内部的取用权可反触发开关，反之则指示计算机系统未经授权的取用。由于开关未被触发，也就没有计算机系统未经授权的取用的指示。因此，在计算机系统开机后，系统开机即可正常进行。在一或多个实施例中，当以电子解锁机箱完成，则授权机箱的开启。举例来说，已授权的使用者可输入电子编码，而电子编码能反触发开关，反之则指示计算机系统未经授权的取用。由于开关未被触发，也就没有计算机系统未经授权的取用的指示。

[0043] 在一或多个实施例中，是否已授权开启机箱的判断，包含判断是否发生一关键事件。关键事件的发生，导致机箱的开启被授权。反之，关键事件未发生，则导致机箱的开启不被授权。关键事件可以是指示授权机箱内部取用的机械指示及/或电子指示，但关键事件可分离于任何类型的机箱解锁。举例来说，机箱内部取用可以不需要解锁，但是机箱内部取用以指示该取用已授权，会需要关键事件，像是机械指示及/或电子指示。

[0044] 在一或多个实施例中，可至少部分地基于一既定时段内机箱的开启的时间安排，以授权机箱的电子解锁、机箱的机械解锁，及/或关键事件。举例来说，已授权的机箱内部取用，仅可发生在一天当中的一既定时段内。于既定时段外，无论机箱内部取用是否与关联于机箱的已授权的机械解锁及/或电子解锁，及/或已授权的关键事件，机箱内部取用都不会被授权。

[0045] 于步骤306，安全性控制器基于机箱的开启是否已授权，控制计算机系统的系统开机。响应于机箱的开启未经授权，禁止计算机系统的系统开机。反之，响应于机箱的开启已授权，则允许计算机系统的系统开机。基于侦测计算机系统内部取用后即对系统开机所进行的控制，可限制或防止未经授权者试图在系统开机后即伤害计算机系统的行动发生。

[0046] 虽然本发明的各种实施例已被叙述如上，应被理解的是，该等实施例仅被呈现以作为范例，而非限制。在不脱离精神及范围的前提下，根据在此所揭露的内容，可对已揭露的实施例进行各种改变。因此，本发明的广度及范围不应受限于任何以上叙述的实施例。反之，本发明的范围应根据附上的权利要求及其均等物所定义。

[0047] 即使本发明已参考一种或更多种实施方式所绘示及叙述，当阅读及理解本说明书及附加的附图时，均等的替换及修改将可被其他熟悉此项技术者想到或知晓。此外，虽然本发明的特定的特征可仅被数个实施例的其中之一所揭露，这种特征可与其他实施例的一个或更多个其他特征组合，而此其他特征对于任何给定的或特定的应用可能是期望的或有利的。

[0048] 在此所使用的术语仅以叙述特定的实施例为目的，而并非意图限制本发明。如在此所使用的，单数形「一」及「该」意图也包含多个形，除非文意明显另有所指。此外，倘若「包含」、「具有」一词或者其变形，被使用在详细叙述及/或权利要求中，这类术语意图被包含在类似于「包括」一词的方式中。

[0049] 除非另有定义，在此所使用的所有词汇(包含技术性及科学性的词汇)，与本技术领域的普通技术的人一般所理解的，具有相同的含意。此外，像是被定义在一般所使用的字典中的词汇，应被解读为具有与它们在相关技术的文意中一致的含意，且除非在此被明确地如此定义，否则该等词汇不会被解读为理想化或过度正式的概念。