CN105430008A - 计算池应用方法及系统、云管理平台、服务器、认证平台 - Google Patents
计算池应用方法及系统、云管理平台、服务器、认证平台 Download PDFInfo
- Publication number
- CN105430008A CN105430008A CN201510997860.1A CN201510997860A CN105430008A CN 105430008 A CN105430008 A CN 105430008A CN 201510997860 A CN201510997860 A CN 201510997860A CN 105430008 A CN105430008 A CN 105430008A
- Authority
- CN
- China
- Prior art keywords
- trusted servers
- information
- safety label
- authentication
- trusted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明提供了一种可信计算池的应用方法及系统、云管理平台、可信服务器、认证平台;其中,方法包括:获取可信计算池中每一台可信服务器分别对应的安全等级信息,根据每一台可信服务器分别对应的安全等级信息将可信计算池划分为至少一个虚拟安全域;获取业务请求信息,其中,业务请求信息包括功能需求信息及安全等级需求信息;根据功能需求信息配置工作负载,对工作负载进行对应安全等级需求信息的加固处理;确定对应安全等级需求信息的目标虚拟安全域;获取目标虚拟安全域中通过可信认证的每一台可信服务器分别对应的标识信息;根据至少一个标识信息,将经过加固处理后的工作负载部署到目标虚拟安全域中通过可信认证的至少一台可信服务器上。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种可信计算池的应用方法及系统、云管理平台、认证平台、可信服务器。
背景技术
随着云计算技术的不断发展,越来越多的用户已日渐习惯使用具备虚拟化及通用性的云服务。
目前,向用户提供云服务的过程主要包括:利用多台经过可信认证的可信服务器构建可信计算池,在云管理中心接收到用户业务请求后,配置相应的工作负载(虚拟机),并对工作负载进行相应的加固处理以使工作负载满足用户的安全等级需求,进而将加固处理后的工作负载运行到可信计算池中预先经过可信认证的至少一台可信服务器上,用户即可通过运行在可信服务器上的工作负载完成相应的业务。
但是,在上述技术方案中,并未考虑工作负载依赖的可信服务器的安全等级,可能对运行在该可信服务器上的工作负载造成安全隐患;比如,工作负载对应的安全等级为访问验证保护级,而对应的可信服务器的安全等级为结构化保护级时,由于可信服务器的安全等级低于工作负载的安全等级,入侵者可能通过控制安全等级较低的可信服务器,利用设置在可信服务器上的虚拟机监控器等终止工作负载的正常运行;可见,如何提高工作负载的安全性成为亟待解决的问题。
发明内容
本发明提供了一种可信计算池的应用方法及系统、云管理平台、可信服务器、认证平台,可提高工作负载的安全性。
第一方面,本发明提供了一种可信计算池的应用方法,包括:
S0:获取可信计算池中每一台可信服务器分别对应的安全等级信息,根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,同一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;
S1:获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
S2:根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
S3:确定对应所述安全等级需求信息的目标虚拟安全域;
S4:从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
S5:根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
进一步的,所述从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息,包括:
从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
解析每一个所述安全标签,获取对应的至少一个标识信息。
第二方面,本发明提供了一种云管理平台,包括:
第一获取单元,用于获取可信计算池中每一台可信服务器分别对应的安全等级信息;
第一处理单元,用于根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,每一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;
第二获取单元,用于获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
第二处理单元,用于根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
确定单元,用于确定对应所述安全等级需求信息的目标虚拟安全域;
第三获取单元,用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
第三处理单元,用于根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
进一步的,所述第三获取单元,包括:
获取子单元,用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
解析子单元,用于解析每一个所述安全标签,获取对应的至少一个标识信息。
第三方面,本发明提供了一种可信服务器,包括:
信息采集单元,用于采集当前可信服务器的属性信息,并将所述属性信息发送至外部认证平台,其中,所述属性信息包括当前可信服务器的标识信息;
安全标签获取单元,用于从外部认证平台获取对应所述属性信息的安全标签,其中,所述安全标签携带所述属性信息以及当前可信服务器对应的安全等级信息;
可信芯片,用于存储所述安全标签。
第四方面,本发明提供了一种认证平台,包括:
信息采集装置,用于接收至少一台可信服务器发送的对应当前可信服务器的属性信息,其中,所述属性信息携带当前可信服务器的标识信息;
安全等级评测装置,用于对信息采集装置接收到的每一条所述属性信息进行安全评测,并生成对应当前属性信息的安全等级信息;
安全标签生成装置,用于生成分别对应每一台所述可信服务器的安全标签,其中,每一张所述安全标签分别包括对应当前可信服务器的属性信息以及安全等级信息;
存储单元,用于存储所述安全标签生成装置生成的每一张安全标签;
认证单元,用于周期性的对每一台所述可信服务器中的安全标签进行可信认证;
处理单元,用于向云管理平台提供通过可信认证的至少一台可信服务器分别对应的标识信息;将每一张安全标签分别下发至对应的可信服务器中。
进一步的,
所述处理单元,用于向云管理平台提供通过可信认证的至少一台可信服务器分别对应的安全标签。
进一步的,
所述存储单元,进一步用于记录所述安全标签生成装置生成的每一张安全标签分别对应的有效期;
所述认证单元,用于周期性的判断每一台所述可信服务器对应的安全标签是否在有效期内。
第五方面,本发明提供了一种可信计算池的应用系统,包括:
如上述第二方面中任一所述的云管理平台、可信计算池以及如上述第四方面中任一所述的认证平台;
其中,所述可信计算池包括:至少一个如上述第三方面中所述的可信服务器。
本发明提供了一种可信计算池的应用方法及系统、云管理平台、可信服务器、认证平台,通过获取可信计算池中每一台可信服务器对应的安全等级信息,将可信计算池中具备相同安全等级的可信服务器划分为同一个虚拟安全域,实现根据用户业务需求配置具备相应安全等级的工作负载,并将工作负载部署到具备相应安全等级的可信服务器上;可见,通过本发明的技术方案,可实现同时控制工作负载及工作负载依赖的可信服务器分别对应的安全等级,提高了工作负载的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种可信计算池的应用方法;
图2是本发明一实施例提供的一种云管理平台;
图3是本发明一实施例提供的一种可信服务器;
图4是本发明一实施例提供的一种认证平台;
图5是本发明一实施例提供的一种可信计算池的应用系统;
图6是本发明一实施例提供的一种基于可信计算池的应用系统实现根据用户业务需求分配计算资源的方法。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明实施例提供了一种可信计算池的应用方法,该方法可以包括以下步骤:
S0:获取可信计算池中每一台可信服务器分别对应的安全等级信息,根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,同一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;
S1:获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
S2:根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
S3:确定对应所述安全等级需求信息的目标虚拟安全域;
S4:从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
S5:根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
本发明一实施例中,通过获取可信计算池中每一台可信服务器对应的安全等级信息,将可信计算池中具备相同安全等级的可信服务器划分为同一个虚拟安全域,实现根据用户业务需求配置具备相应安全等级的工作负载,并将工作负载部署到具备相应安全等级的可信服务器上;可见,通过本发明的技术方案,可实现同时控制工作负载及工作负载依赖的可信服务器分别对应的安全等级,提高了工作负载的安全性。
具体地,可通过确保工作负载依赖的至少一个可信服务器对应的安全等级不低于当前工作负载对应的安全等级来提高当前工作负载的安全性;避免对应的可信服务器安全等级过低时,入侵者通过控制该可信服务器上的虚拟机监控器恶意终止运行在该可信服务器上的工作负载,以及通过在该可信服务器上恶意运行相应的业务软件窃取数据等。
进一步的,本发明一个优选实施例中,步骤S4中还可以通过如下方法来获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息:
A1:从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
A2:解析每一个所述安全标签,获取对应的至少一个标识信息。
如图2所示,本发明实施例提供了一种云管理平台20,包括:
第一获取单元201,用于获取可信计算池中每一台可信服务器分别对应的安全等级信息;
第一处理单元202,用于根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,每一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;
第二获取单元203,用于获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
第二处理单元204,用于根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
确定单元205,用于确定对应所述安全等级需求信息的目标虚拟安全域;
第三获取单元206,用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
第三处理单元207,用于根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
进一步的,本发明一个优选实施例中,所述第三获取单元206,包括:
获取子单元(附图中未示出),用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
解析子单元(附图中未示出),用于解析每一个所述安全标签,获取对应的至少一个标识信息。
如图3所示,本发明实施例提供了一种可信服务器30,包括:
信息采集单元301,用于采集当前可信服务器30的属性信息,并将所述属性信息发送至外部认证平台,其中,所述属性信息包括当前可信服务器30的标识信息;
安全标签获取单元302,用于从外部认证平台获取对应所述属性信息的安全标签,其中,所述安全标签携带所述属性信息以及当前可信服务器30对应的安全等级信息;
可信芯片303,用于存储所述安全标签。
本发明一实施例中,通过数据采集装置将采集到的当前可信服务器的属性信息发送至外部认证平台,以及接收并存储外部认证平台下发的对应当前可信服务器的安全标签;一方面,安全标签携带当前可信服务器对应的安全等级信息,有益于上述实施例中所述的一种可信计算池的应用方法,可直接根据每一台服务器内存储的对应当前可信服务器的安全等级信息将可信计算池划分为至少一个虚拟安全域;另一方面,有益于外部认证平台根据对应的安全标签对当前可信服务器进行可信认证。
如图4所示,本发明实施例提供了一种认证平台40,包括:
信息采集装置401,用于接收至少一台可信服务器发送的对应当前可信服务器的属性信息,其中,所述属性信息携带当前可信服务器的标识信息;
安全等级评测装置402,用于对信息采集装置401接收到的每一条所述属性信息进行安全评测,并生成对应当前属性信息的安全等级信息;
安全标签生成装置403,用于生成分别对应每一台所述可信服务器的安全标签,其中,每一张所述安全标签分别包括对应当前可信服务器的属性信息以及安全等级信息;
存储单元404,用于存储所述安全标签生成装置403生成的每一张安全标签;
认证单元405,用于周期性的对每一台所述可信服务器中的安全标签进行可信认证;
处理单元406,用于向云管理平台提供通过可信认证的至少一台可信服务器分别对应的标识信息;将每一张安全标签分别下发至对应的可信服务器中。
本发明一实施例中,通过第三方认证平台来评测可信服务器的安全等级信息以及对可信服务器进行可信认证,有益于体现云服务提供商根据用户业务需求向用户提供对应的云服务的公平性。
值的说明的是,处理单元将每一个安全标签分别下发至对应的可信服务器的过程中为数据分发过程,即处理单元向可信服务器下发对应的安全标签的过程中,存储单元内依然保留每一台可信服务器分别对应的安全标签。
本发明一实施例中,对可信服务器进行认证时,可将存储单元中存储的相应的安全标签作为判断每一台可信服务器是否可信的依据。
进一步的,本发明一个优选实施例中,所述处理单元406,用于向云管理平台提供通过可信认证的至少一台可信服务器分别对应的安全标签。
进一步的,本发明一个优选实施例中,所述存储单元404,进一步用于记录所述安全标签生成装置403生成的每一张安全标签分别对应的有效期;
所述认证单元405,用于周期性的判断每一台所述可信服务器中的安全标签是否在有效期内。
本发明一实施例中,当任一可信服务器通过可信认证时,即可将存储单元中对应当前可信服务器的安全标签分发至云管理平台;当然,也可以按照云管理平台的业务需求向云管理平台提供满足相应安全等级且已通过可信认证的可信服务器对应的安全标签。
如图5所示,本发明提供了一种可信计算池的应用系统,包括:如上述实施例中任一所述的云管理平台20、可信计算池501以及如上述实施例中任一所述的认证平台40;
其中,所述可信计算池501包括:至少一个如上述实施例中任一所述的可信服务器30。
如图6所示,结合本发明一实施例中所述的一种可信计算池的应用系统,通过应用系统中的各个设备相互配合以利用可信计算池完整实现根据用户业务需求分配计算资源(即可信服务器)的具体过程可以包括:
步骤601,在可信计算池中的每一台可信服务器上设置信息采集单元。
步骤602,每一台可信服务器分别利用设置的信息采集单元采集当前可信服务器的属性信息,并将采集到的属性信息发送至认证平台。
这里,属性信息包括当前可信服务器对应的各项配置信息以及标识信息,比如,可信服务器对应的各项硬件配置、以及为当前可信服务器配置的各应用软件的信息;当前可信服务器对应的IP地址、服务器名称等标识信息。
步骤603,认证平台针对接收到的每一条属性信息分别进行安全检测,分别生成对应每一条属性信息的安全等级信息。
这里,认证平台可以使用通用的计算机安全等级评测标准,比如,这里可以使用将计算机安全等级划分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级以及访问验证保护级的中国国家安全等级标准。
步骤604,认证平台生成分别对应每一台可信服务器的安全标签。
这里,每一张安全标签分别携带对应可信服务器的属性信息以及安全等级信息。
步骤605,认证平台将每一张安全标签分别下发到对应的可信服务器中。
本发明一实施例中,为了方便对可信服务器进行可信认证,还可以记录每一张安全标签分别对应的有效期。
相应的,针对每一台可信服务器配置相应的安全标签后,认证平台应周期性或间歇性的检测每一台可信服务器是否可信,即周期性或间歇性的对每一台可信服务器进行可信认证;举例来说,认证平台应存储每一台可信服务器分别对应的安全标签,认证平台周期性或间歇性的根绝存储的安全标签检测每一台可信服务器分别对应的安全标签的有效期,只有当安全标签在有效期内时,才能表明该安全标签对应的可信服务器可通过可信认证。
步骤606,每一台可信服务器分别接收对应当前可信服务器的安全标签,并将安全标签存储至当前可信服务器对应的安全芯片中。
步骤607,云管理平台根据每一台可信服务器分别对应的安全等级信息,将可信计算池划分为至少一个虚拟安全域。
这里,同一个虚拟安全域中的每一台可信服务器应具备相同的安全等级。
本发明一实施例中,在将可信计算池划分为至少一个虚拟安全域的过程中,一方面,可根据每一台可信服务器中的可信芯片上存储的安全标签内携带的对应当前可信服务器的安全等级信息来划分虚拟安全域;另一方面,可通过从认证平台获取每一台可信服务器分别对应的安全等级信息,进而根据获取到的每一台可信服务器分别对应的安全等级信息来划分虚拟安全域;相应的,还可以通过强制访问技术来将不同的虚拟安全域进行隔离。
步骤608,云管理平台接收用户发送的业务请求信息。
这里,业务请求信息可以包括功能需求信息及安全等级需求信息。
具体地,功能需求信息表征完成本次云服务需要申请的资源,比如:处理器、物理存储空间、内存以及网络等;安全等级需求信息可表征完成本次云服务时对应的工作负载以及可信服务器应满足的最低安全等级。
步骤609,云管理平台根据功能需求信息配置工作负载,对工作负载进行对应所述安全等级需求信息的加固处理。
这里,工作负载即分配给当前用户的虚拟机及该虚拟机的管理资源。
对工作负载进行加固时可以通过配置相应的安全基线或安全软件来实现,只要满足用户的安全等级需求即可。
步骤610,云管理平台确定对应所述安全等级需求信息的目标虚拟安全域。
步骤611,云管理平台从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签。
步骤612,云管理平台解析每一个所述安全标签,获取对应的至少一个标识信息。
步骤613,云管理平台根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
通过上述各步骤,实现针对可信服务器的可信认证以及根据用户安全等级需求将具备相应安全等级的工作负载部署到具备相应安全等级的至少一台可信服务器上,可确保工作负载的安全性。
值的说明的是,本发明一实施例中通过将可信计算池中具备相同安全等级信息的每一台可信服务器划分为同一个虚拟安全域,在针对运行在可信计算池中任一可信服务器上的工作负载进行迁移时,还可以实现安全等级边界控制;举例来说,可将待迁移的工作负载迁移到可信计算池中的其他可信服务器上,其中,迁移后的工作负载依赖的可信服务器对应的安全等级应不低于该工作负载原本依赖的可信服务器对应的安全等级,可确保工作负载的安全性。
综上所述,本发明各实施例至少具有如下有益效果:
1、通过获取可信计算池中每一台可信服务器对应的安全等级信息,将可信计算池中具备相同安全等级的可信服务器划分为同一个虚拟安全域,实现根据用户业务需求配置具备相应安全等级的工作负载,并将工作负载部署到具备相应安全等级的可信服务器上;可见,通过本发明的技术方案,可实现同时控制工作负载及工作负载依赖的可信服务器分别对应的安全等级,提高了工作负载的安全性。
2、通过引入第三方业务平台来透明评测可信计算池中每一台可信服务器分别对应的安全等级,在云服务提供商根据用户安全等级需求将具备相应安全等级的工作负载部署到具备相应安全等级的至少一台可信服务器上时,有助于体现其公平性。
3、实现安全等级边界控制,当工作负载在可信计算池中作相应的迁移处理时,可确保迁移后的工作负载依赖的可信服务器对应的安全等级应不低于该工作负载原本依赖的可信服务器对应的安全等级,确保工作负载的安全性。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个〃〃〃〃〃〃”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
最后需要说明的是:以上所述仅为本发明的较佳实施例,仅用于说明本发明的技术方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (9)
1.一种可信计算池的应用方法,其特征在于,包括:获取可信计算池中每一台可信服务器分别对应的安全等级信息,根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,同一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;还包括:
获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
确定对应所述安全等级需求信息的目标虚拟安全域;
从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
2.根据权利要求1所述的方法,其特征在于,所述从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息,包括:
从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
解析每一个所述安全标签,获取对应的至少一个标识信息。
3.一种云管理平台,其特征在于,包括:
第一获取单元,用于获取可信计算池中每一台可信服务器分别对应的安全等级信息;
第一处理单元,用于根据每一台可信服务器分别对应的安全等级信息将所述可信计算池划分为至少一个虚拟安全域,其中,每一个所述虚拟安全域中的每一台可信服务器具备相同的安全等级;
第二获取单元,用于获取业务请求信息,其中,所述业务请求信息包括功能需求信息及安全等级需求信息;
第二处理单元,用于根据所述功能需求信息配置工作负载,对所述工作负载进行对应所述安全等级需求信息的加固处理;
确定单元,用于确定对应所述安全等级需求信息的目标虚拟安全域;
第三获取单元,用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的标识信息;
第三处理单元,用于根据所述至少一个标识信息,将经过加固处理后的工作负载部署到所述目标虚拟安全域中通过可信认证的至少一台可信服务器上。
4.根据权利要求3所述的云管理平台,其特征在于,所述第三获取单元,包括:
获取子单元,用于从外部认证平台获取所述目标虚拟安全域中通过可信认证的至少一台可信服务器分别对应的安全标签;
解析子单元,用于解析每一个所述安全标签,获取对应的至少一个标识信息。
5.一种可信服务器,其特征在于,包括:
信息采集单元,用于采集当前可信服务器的属性信息,并将所述属性信息发送至外部认证平台,其中,所述属性信息包括当前可信服务器的标识信息;
安全标签获取单元,用于从外部认证平台获取对应所述属性信息的安全标签,其中,所述安全标签携带所述属性信息以及当前可信服务器对应的安全等级信息;
可信芯片,用于存储所述安全标签。
6.一种认证平台,其特征在于,包括:
信息采集装置,用于接收至少一台可信服务器发送的对应当前可信服务器的属性信息,其中,所述属性信息携带当前可信服务器的标识信息;
安全等级评测装置,用于对信息采集装置接收到的每一条所述属性信息进行安全评测,并生成对应当前属性信息的安全等级信息;
安全标签生成装置,用于生成分别对应每一台所述可信服务器的安全标签,其中,每一张所述安全标签分别包括对应当前可信服务器的属性信息以及安全等级信息;
存储单元,用于存储所述安全标签生成装置生成的每一张安全标签;
认证单元,用于周期性的对每一台所述可信服务器中的安全标签进行可信认证;
处理单元,用于向云管理中心提供通过可信认证的至少一台可信服务器分别对应的标识信息;将每一张安全标签分别下发至对应的可信服务器中。
7.根据权利要求6所述的认证平台,其特征在于,
所述处理单元,用于向云管理平台提供通过可信认证的至少一台可信服务器分别对应的安全标签。
8.根据权利要求6所述的认证平台,其特征在于,
所述存储单元,进一步用于记录所述安全标签生成装置生成的每一张安全标签分别对应的有效期;
所述认证单元,用于周期性的判断每一台所述可信服务器对应的安全标签是否在有效期内。
9.一种可信计算池的应用系统,其特征在于,包括:
如上述权利要求3至4中任一所述的云管理平台、可信计算池以及如上述权利要求6至8中任一所述的认证平台;
其中,所述可信计算池包括至少一个如上述权利要求5中所述的可信服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510997860.1A CN105430008A (zh) | 2015-12-24 | 2015-12-24 | 计算池应用方法及系统、云管理平台、服务器、认证平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510997860.1A CN105430008A (zh) | 2015-12-24 | 2015-12-24 | 计算池应用方法及系统、云管理平台、服务器、认证平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105430008A true CN105430008A (zh) | 2016-03-23 |
Family
ID=55507949
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510997860.1A Pending CN105430008A (zh) | 2015-12-24 | 2015-12-24 | 计算池应用方法及系统、云管理平台、服务器、认证平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105430008A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847255A (zh) * | 2016-03-24 | 2016-08-10 | 广东三盟信息科技有限公司 | 一种基于虚拟交换网络的虚拟安全域的划分方法及装置 |
CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457560A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算的安全管理方法和系统 |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
US8806593B1 (en) * | 2011-05-19 | 2014-08-12 | Zscaler, Inc. | Guest account management using cloud based security services |
CN104935589A (zh) * | 2015-06-12 | 2015-09-23 | 浪潮电子信息产业股份有限公司 | 构建可信计算池的方法及系统、认证服务器 |
CN104954461A (zh) * | 2015-06-10 | 2015-09-30 | 浪潮电子信息产业股份有限公司 | 可信计算池的应用方法及系统、宿主机及云管理平台 |
-
2015
- 2015-12-24 CN CN201510997860.1A patent/CN105430008A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102457560A (zh) * | 2010-10-29 | 2012-05-16 | 中兴通讯股份有限公司 | 一种云计算的安全管理方法和系统 |
US8806593B1 (en) * | 2011-05-19 | 2014-08-12 | Zscaler, Inc. | Guest account management using cloud based security services |
CN102843387A (zh) * | 2011-06-20 | 2012-12-26 | 倪海宇 | 一种基于安全分级的云计算安全控制平台 |
CN104954461A (zh) * | 2015-06-10 | 2015-09-30 | 浪潮电子信息产业股份有限公司 | 可信计算池的应用方法及系统、宿主机及云管理平台 |
CN104935589A (zh) * | 2015-06-12 | 2015-09-23 | 浪潮电子信息产业股份有限公司 | 构建可信计算池的方法及系统、认证服务器 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105847255A (zh) * | 2016-03-24 | 2016-08-10 | 广东三盟信息科技有限公司 | 一种基于虚拟交换网络的虚拟安全域的划分方法及装置 |
CN111147252A (zh) * | 2019-12-19 | 2020-05-12 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
CN111147252B (zh) * | 2019-12-19 | 2022-03-15 | 北京可信华泰信息技术有限公司 | 一种云环境可信连接方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025673B2 (en) | Compliance configuration management | |
US10341366B2 (en) | Managing security breaches in a networked computing environment | |
US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
US8631458B1 (en) | Method and apparatus for elastic (re)allocation of enterprise workloads on clouds while minimizing compliance costs | |
CN103139159B (zh) | 云计算架构中的虚拟机之间的安全通信 | |
EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
US10491621B2 (en) | Website security tracking across a network | |
CN111666578A (zh) | 数据管理的方法、装置、电子设备及计算机可读存储介质 | |
US11165776B2 (en) | Methods and systems for managing access to computing system resources | |
CN111868727B (zh) | 用于数据匿名化的方法和系统 | |
US11050573B2 (en) | Determining trustworthiness of a cryptographic certificate | |
CN112640388A (zh) | 计算机网络中的可疑活动检测 | |
EP3065077B1 (en) | Gap analysis of security requirements against deployed security capabilities | |
US10397259B2 (en) | Cyber security event detection | |
CN111683047B (zh) | 越权漏洞检测方法、装置、计算机设备及介质 | |
CN103414585A (zh) | 建立业务系统的安全基线的方法和装置 | |
CN110049028B (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
US20160218928A1 (en) | Providing information on published configuration patterns of storage resources to client systems in a network computing environment | |
DE102016105062A1 (de) | Nähengestützte Berechtigungsprüfung für einheitenübergreifend verteilte Daten | |
DE112020005373T5 (de) | Mechanismus zur authentifizierung durch nutzung von positionsbestätigung | |
CN104573395A (zh) | 大数据平台安全评估定量分析方法 | |
CN107358105B (zh) | 异构功能等价体相异性测量方法,分配方法、装置及设备 | |
CN105430008A (zh) | 计算池应用方法及系统、云管理平台、服务器、认证平台 | |
WO2021053422A1 (en) | Correspondence of external operations to containers and mutation events | |
CN112134968A (zh) | 域名访问方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160323 |
|
WD01 | Invention patent application deemed withdrawn after publication |