CN105049443A - 可信资源池的构建方法 - Google Patents
可信资源池的构建方法 Download PDFInfo
- Publication number
- CN105049443A CN105049443A CN201510494110.2A CN201510494110A CN105049443A CN 105049443 A CN105049443 A CN 105049443A CN 201510494110 A CN201510494110 A CN 201510494110A CN 105049443 A CN105049443 A CN 105049443A
- Authority
- CN
- China
- Prior art keywords
- trusted
- resource pond
- trusted resource
- sub
- hosts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种可信资源池的构建方法,数据中心的主机为配置有可信芯片的主机,所有主机在启动过程中进行完整性度量,并通过远程认证服务器进行完整性的验证,验证通过的划分入可信资源池,验证未通过的划分入普通资源池,在此基础上,进一步按照计算性能、存储性能、网络性能等条件进行过滤,将可信资源池划分为具有不同属性特征的子可信资源池,后续根据负载的实际需要,从满足其条件的资源池中为其分配资源。可信芯片中保存有地理位置信息,既便于管理又能够保证主机地理位置的可靠性。本发明从硬件和软件两个技术角度增加数据中心的安全性,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用效率。
Description
技术领域
本发明涉及一种可信资源池的构建方法,属于数据中心安全性管理技术领域。
背景技术
数据中心是存储核心数据、资源信息等重要数据的数据仓库,作为信息系统的核心及枢纽单元,数据中心的安全性必须得到多个层面的保障,按照OSI信息安全体系框架和国家信息安全保障体系,数据中心安全防范体系结构由技术体系、组织体系和管理体系构成;从技术角度讲,对数据中心的非法性访问,各种已有的和新兴的网络攻击、病毒等,都会对数据中心的安全性造成威胁,如何有效预防数据中心的安全隐患,是本领域技术人员致力于解决的技术问题。
发明内容
鉴于上述原因,本发明的目的在于提供一种可信资源池的构建方法,将经过可信启动并通过验证的可信主机划分于可信资源池中,在此基础上,将具有不同安全性要求的负载运行于不同的主机上,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用效率。
为实现上述目的,本发明采用以下技术方案:
一种可信资源池的构建方法,所有主机为包括可信芯片的主机,
将经过完整性验证的可信主机划分于可信资源池中,
按照不同的属性条件将该可信资源池划分为相应的子可信资源池。
按照计算性能、存储性能、网络性能条件,对所述可信资源池中的可信主机进行过滤,以划分为对应属性的子可信资源池。
进一步的,
所述计算性能条件包括CPU核数、CPU线程数、CPU主频,将所有满足该计算性能条件的可信主机,划分为计算密集型子可信资源池。
所述存储性能条件包括硬盘容量、磁盘读写速率,将所有满足该存储性能条件的可信主机,划分为存储密集型子可信资源池。
所述网络性能条件为网络吞吐量、网络延迟,将所有满足该网络性能条件的可信主机,划分为网络I/O密集型子可信资源池。
该方法还包括:为对计算性能要求较高的安全性数据或应用分配所述计算密集型子可信资源池中的资源,为对存储性能要求较高的安全性数据或应用分配所述存储密集型子可信资源池,为对网络性能要求较高的安全性数据或应用分配所述网络I/O密集型子可信资源池中的资源。
将所述主机的地理位置信息保存于所述可信芯片中,按照地理位置信息条件,将所有可信主机划分为不同地理位置的子可信资源池,将所有未通过完整性验证的普通主机划分为不同地理位置的子普通资源池。
所述完整性验证的方法是:通过可信启动过程对所有主机进行完整性度量,通过远程认证服务器对主机的完整性进行验证。
所述可信启动的方法是,在主机的启动过程中,对要执行部分的代码或数据进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片中,主机启动结束,得到多个度量值。
将所述远程认证服务器中保存的基准度量值与所述主机的度量值进行比较,二者一致时,主机验证通过,成为所述可信主机,二者不一致时,验证未通过,成为普通主机。
本发明的优点在于:
本发明的可信资源池的构建方法,将经过可信启动并通过验证的可信主机划分于可信资源池中,并按照不同的属性条件进一步划分出若干子可信资源池,在此基础上,将具有不同安全性要求的负载保存并运行于满足条件的主机上,本发明从硬件和软件两个技术角度增加数据中心的安全性,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用率。
附图说明
图1是本发明的方法流程图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的说明。
图1是本发明的方法流程图。如图所示,本发明公开的可信资源池的构建方法,包括以下步骤:
S1:通过可信启动过程对所有主机进行完整性度量;
本发明中的主机是指包括可信芯片(TPM:TrustedPlatformModule)的主机,该可信芯片中设置有PCR(platformconfigurationregister)寄存器,包括可信芯片的主机,其硬件架构已属于现有技术,本发明不对包括可信芯片的主机结构进行详细说明。
主机的可信启动过程为:在主机的启动过程中,对要执行部分的代码或数据进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片的PCR寄存器中,主机启动完成,得到启动过程的多个度量值,建立了从BIOS(BasicInputOutputSystem)到BootLoader最后到OS(OperatingSystem)的一条完整的可信度量链,能够反应主机的完整性信息。
S2:通过远程认证服务器对主机的完整性进行验证;
远程认证服务器中存储有主机的基准度量值,远程认证服务器从各主机的可信芯片中获取对应主机的多个度量值,通过将主机的度量值与基准度量值进行比较,验证主机的完整性,当主机的度量值与基准度量值一致时,主机验证通过,成为可信主机,当主机的度量值与基准度量值不一致时,认为主机存在安全风险(主机有可能因受到攻击或病毒入侵而被篡改了数据),验证未通过,成为普通主机。
S3:将所有通过验证的可信主机划分入可信资源池,所有未通过验证的普通主机划分入普通资源池;
S4:按照计算性能、存储性能、网络性能等条件,对可信资源池中的可信主机进行二次过滤,生成不同属性的子可信资源池;
具体的说,
S41:获取可信资源池中所有可信主机的基本信息;
主机的基本信息包括计算性能(CPU核数、CPU主频、线程数等指标项)、存储性能(硬盘容量、硬盘读写速率等指标项)、网络性能(网络吞吐量、网络延迟等指标项)等,步骤S1中,主机启动结束后,主机的基本信息均对应保存于数据库中。
S42:所有可信主机分别按照计算性能、存储性能、网络性能条件进行二次过滤,生成不同属性的子可信资源池;
按照计算性能条件过滤时,将所有满足计算性能条件的可信主机,划分为计算密集型子可信资源池,具体的说,计算性能条件包括CPU核数、线程数等,计算性能条件可根据需要进行配置,例如,配置CPU主频为1000MHz、CPU核数为四核,线程数为四,则,可信主机按照CPU主频、CPU核数、线程数条件进行比对,将CPU主频大于等于1000MHz、CPU核数大于等于四核、线程数大于等于四的可信主机划分入计算密集型子可信资源池,该计算密集型子可信资源池适于运行Web服务器、邮件服务器、图像/视频处理等应用。
按照存储性能条件过滤时,将所有满足存储性能条件的可信主机,划分为存储密集型子可信资源池,具体的说,存储性能条件包括硬盘容量、硬盘读写速率等,存储性能条件可根据需要进行配置,例如,配置硬盘容量为36TB、硬盘读写速率为300MB/s,则,可信主机按照硬盘容量、硬盘读写速率条件进行比对,将硬盘容量大于等于36TB、硬盘读写速率大于等于300MB/s的可信主机划分入存储密集型子可信资源池,该存储密集型子可信资源池适于运行数据库服务、文件服务等应用。
按照网络性能条件过滤时,将所有满足网络性能条件的可信主机,划分为网络I/O密集型子可信资源池,具体的说,网络性能条件即为网络吞吐量、网络延迟,网络性能条件可根据需要配置,例如,配置网络吞吐量为1000mbps、网络延迟为10ms,则,可信主机按照网络吞吐量、网络延迟条件进行比对,将网络吞吐量大于等于1000mbps、网络延迟小于等于10ms的可信主机划分入网络I/O密集型子可信资源池。
S5:根据负载的实际需求,为负载分配相应资源池中的资源
可信资源池及各属性的子可信资源池构建完成后,即可根据负载的实际需要,分配资源,例如,不影响安全性的常规数据或应用保存并运行于普通资源池中的普通主机上,安全敏感性数据或应用(例如,用户的个人相关信息,密码验证应用等)保存并运行于可信资源池中的可信主机上,进一步的,对计算性能要求较高的安全性数据或应用(如,订票网站)保存并运行于计算密集型子可信资源池中的可信主机上,对存储性能要求较高的安全性数据或应用(如,百度网盘、QQ网盘等)保存并运行于存储密集型子可信资源池中的可信主机上,对网络性能要求较高的安全性数据或应用(如,游戏网站,视频网站等)保存并运行于网络I/O密集型子可信资源池中的可信主机上。
对于具有一定规模的数据中心,其主机分布于多个地点,为提高数据中心对所有主机的管理便利性,将所有主机所处的实际地理位置信息保存于主机的可信芯片中(管理员通过输入正确的操作密码,可对可信芯片执行写操作),在上述步骤S3之后,对所有可信主机及普通主机分别按照地理位置信息条件进行过滤,将处于同一地理位置的可信主机划分为同一子可信资源池,将处于同一地理位置的普通主机划分为同一子普通资源池,例如,所有处于北京地区的可信主机划分为北京子可信资源池等。这样,既有利于对同一地理位置的主机进行有效管理,又能够实时监控主机位置以确保某些特定的应用运行在指定的地理位置范围内。
本发明的可信资源池的构建方法,数据中心的主机为包括可信芯片的主机,所有主机在启动过程中进行完整性度量,并通过远程认证服务器进行度量值的验证,验证通过的划分入可信资源池,验证未通过的划分入普通资源池,在此基础上,进一步按照计算性能、存储性能、网络性能等条件进行过滤,将可信资源池划分为具有不同属性特征的子可信资源池,后续根据负载的实际需要,从满足其条件的资源池中为其分配资源。本发明从硬件和软件两个技术角度增加数据中心的安全性,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用效率。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
Claims (10)
1.可信资源池的构建方法,所有主机为包括可信芯片的主机,其特征在于,
将经过完整性验证的可信主机划分于可信资源池中,
按照不同的属性条件将该可信资源池划分为相应的子可信资源池。
2.如权利要求1所述的可信资源池的构建方法,其特征在于,按照计算性能、存储性能、网络性能条件,对所述可信资源池中的可信主机进行过滤,以划分为对应属性的子可信资源池。
3.如权利要求2所述的可信资源池的构建方法,其特征在于,所述计算性能条件包括CPU核数、CPU线程数、CPU主频,将所有满足该计算性能条件的可信主机,划分为计算密集型子可信资源池。
4.如权利要求3所述的可信资源池的构建方法,其特征在于,所述存储性能条件包括硬盘容量、磁盘读写速率,将所有满足该存储性能条件的可信主机,划分为存储密集型子可信资源池。
5.如权利要求4所述的可信资源池的构建方法,其特征在于,所述网络性能条件为网络吞吐量、网络延迟,将所有满足该网络性能条件的可信主机,划分为网络I/O密集型子可信资源池。
6.如权利要求5所述的可信资源池的构建方法,其特征在于,该方法还包括:为对计算性能要求较高的安全性数据或应用分配所述计算密集型子可信资源池中的资源,为对存储性能要求较高的安全性数据或应用分配所述存储密集型子可信资源池,为对网络性能要求较高的安全性数据或应用分配所述网络I/O密集型子可信资源池中的资源。
7.如权利要求1所述的可信资源池的构建方法,其特征在于,将所述主机的地理位置信息保存于所述可信芯片中,按照地理位置信息条件,将所有可信主机划分为不同地理位置的子可信资源池,将所有未通过完整性验证的普通主机划分为不同地理位置的子普通资源池。
8.如权利要求1所述的可信资源池的构建方法,其特征在于,所述完整性验证的方法是:通过可信启动过程对所有主机进行完整性度量,通过远程认证服务器对主机的完整性进行验证。
9.如权利要求8所述的可信资源池的构建方法,其特征在于,所述可信启动的方法是,在主机的启动过程中,对要执行部分的代码或数据进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片中,主机启动结束,得到多个度量值。
10.如权利要求9所述的可信资源池的构建方法,其特征在于,将所述远程认证服务器中保存的基准度量值与所述主机的度量值进行比较,二者一致时,主机验证通过,成为所述可信主机,二者不一致时,验证未通过,成为普通主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510494110.2A CN105049443A (zh) | 2015-08-12 | 2015-08-12 | 可信资源池的构建方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510494110.2A CN105049443A (zh) | 2015-08-12 | 2015-08-12 | 可信资源池的构建方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105049443A true CN105049443A (zh) | 2015-11-11 |
Family
ID=54455654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510494110.2A Pending CN105049443A (zh) | 2015-08-12 | 2015-08-12 | 可信资源池的构建方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105049443A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105827455A (zh) * | 2016-04-27 | 2016-08-03 | 乐视控股(北京)有限公司 | 一种资源模型修正方法和装置 |
| CN106027420A (zh) * | 2016-04-27 | 2016-10-12 | 乐视控股(北京)有限公司 | 一种资源模型创建方法和装置 |
| CN106936766A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信云自动部署系统及方法 |
| CN108874316A (zh) * | 2018-06-06 | 2018-11-23 | 郑州云海信息技术有限公司 | 存储资源集中管理的方法、装置、设备及可读存储介质 |
| CN108900569A (zh) * | 2018-05-29 | 2018-11-27 | 张迅 | 服务提供端设备及服务提供方法 |
| US11388008B2 (en) * | 2019-07-16 | 2022-07-12 | International Business Machines Corporation | Trusted platform module swarm |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1952941A (zh) * | 2005-10-21 | 2007-04-25 | 中国科学院计算技术研究所 | 一种用于共享存储的资源分配方法和分配系统 |
| CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
| CN104168135A (zh) * | 2014-08-06 | 2014-11-26 | 中国船舶重工集团公司第七0九研究所 | 网卡资源池化管理方法及系统 |
-
2015
- 2015-08-12 CN CN201510494110.2A patent/CN105049443A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1952941A (zh) * | 2005-10-21 | 2007-04-25 | 中国科学院计算技术研究所 | 一种用于共享存储的资源分配方法和分配系统 |
| CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
| CN104168135A (zh) * | 2014-08-06 | 2014-11-26 | 中国船舶重工集团公司第七0九研究所 | 网卡资源池化管理方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 顾炯炯: "《云计算架构技术与实践》", 30 September 2014, 北京:清华大学出版社 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106936766A (zh) * | 2015-12-29 | 2017-07-07 | 大唐高鸿信安(浙江)信息科技有限公司 | 基于可信芯片的可信云自动部署系统及方法 |
| CN105827455A (zh) * | 2016-04-27 | 2016-08-03 | 乐视控股(北京)有限公司 | 一种资源模型修正方法和装置 |
| CN106027420A (zh) * | 2016-04-27 | 2016-10-12 | 乐视控股(北京)有限公司 | 一种资源模型创建方法和装置 |
| CN108900569A (zh) * | 2018-05-29 | 2018-11-27 | 张迅 | 服务提供端设备及服务提供方法 |
| CN108874316A (zh) * | 2018-06-06 | 2018-11-23 | 郑州云海信息技术有限公司 | 存储资源集中管理的方法、装置、设备及可读存储介质 |
| US11388008B2 (en) * | 2019-07-16 | 2022-07-12 | International Business Machines Corporation | Trusted platform module swarm |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105049443A (zh) | 可信资源池的构建方法 | |
| US11282004B1 (en) | Opportunistic job processing of input data divided into partitions and distributed amongst task level managers via a peer-to-peer mechanism supplied by a cluster cache | |
| US9256900B2 (en) | Managing service demand load relative to infrastructure capacity in a networked computing environment | |
| US9813423B2 (en) | Trust-based computing resource authorization in a networked computing environment | |
| US8843621B2 (en) | Event prediction and preemptive action identification in a networked computing environment | |
| US9654367B2 (en) | System and method for determining and visualizing efficiencies and risks in computing environments | |
| CN105183546A (zh) | 基于可信资源池的虚拟机安全迁移方法 | |
| US8918862B2 (en) | Managing access to storage media | |
| Xu et al. | Data placement for privacy‐aware applications over big data in hybrid clouds | |
| US8539556B1 (en) | Disabling administrative access to computing resources | |
| US10606657B2 (en) | Methods and modules relating to allocation of host machines | |
| CN106603618A (zh) | 一种基于云平台的应用弹性伸缩方法 | |
| US20170147452A1 (en) | Host swap hypervisor that provides high availability for a host of virtual machines | |
| US11868474B2 (en) | Securing node groups | |
| CN105897670A (zh) | 网站用户登录认证方法及系统 | |
| CN114327803A (zh) | 区块链访问机器学习模型的方法、装置、设备和介质 | |
| KR20220086686A (ko) | 멀티-클라우드 환경에서 워크로드들의 구현 | |
| US20230123303A1 (en) | Adjusting resources within a hyperconverged infrastructure system based on environmental information | |
| WO2021174882A1 (zh) | 数据分片校验方法、装置、计算机设备及可读存储介质 | |
| CN113420050A (zh) | 数据查询管理方法、装置、计算机设备及可读存储介质 | |
| CN109582464B (zh) | 一种云平台管理多种虚拟化平台的方法和装置 | |
| CN208460016U (zh) | 一种基于可信平台模块芯片的服务器系统及交换器 | |
| US10754776B2 (en) | Cache balance when using hardware transactional memory | |
| CN106845926A (zh) | 一种第三方支付监管系统分布式数据流处理方法及系统 | |
| US11650975B2 (en) | Online file system consistency check for container data on a clustered filesystem |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20160701 Address after: 550025, Guizhou province Guiyang city Huaxi District Lei flower intersection Applicant after: Datang Gaohong Data Network Technology Co., Ltd. Applicant after: BEIJING YINTE XIN'AN SOFTWARE SCIENCE & TECHNOLOGY CO., LTD. Address before: 100185, Beijing, Haidian District, North Village Road, 23 North Bay Innovation Park, building two, one layer Applicant before: BEIJING YINTE XIN'AN SOFTWARE SCIENCE & TECHNOLOGY CO., LTD. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151111 |