CN105791013A - 一种基于amqp的可信计算池管控系统 - Google Patents
一种基于amqp的可信计算池管控系统 Download PDFInfo
- Publication number
- CN105791013A CN105791013A CN201610131028.8A CN201610131028A CN105791013A CN 105791013 A CN105791013 A CN 105791013A CN 201610131028 A CN201610131028 A CN 201610131028A CN 105791013 A CN105791013 A CN 105791013A
- Authority
- CN
- China
- Prior art keywords
- computing node
- control system
- trust computing
- amqp
- managing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/508—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement
- H04L41/5083—Network service management, e.g. ensuring proper service fulfilment according to agreements based on type of value added network service under agreement wherein the managed service relates to web hosting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/50—Queue scheduling
- H04L47/62—Queue scheduling characterised by scheduling criteria
- H04L47/6245—Modifications to standard FIFO or LIFO
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multi Processors (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于AMQP的可信计算池管控系统,涉及信息安全技术领域,本发明主要包括三个部件:(1)集中管理平台;(2)分布式可信计算节点;(3)消息队列服务器。本发明基于开放的AMQP协议,利用分布式可信计算节点,集中式的管理平台,设计可信计算池管控系统,可以有效的构建安全可靠的云主机环境。具有高可靠、易实施的特点。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于AMQP的可信计算池管控系统。其中,分布式可信计算节点承载安全可信的运行环境,集中管理平台提供统一的构建服务。
背景技术
随着云数据中心的不断建成,云主机安全问题也越受关注。目前,缺乏一种有效的机制,来保证数据中心主机环境的安全可靠。因此从信息安全方面出发,构建一种安全可信,自主可靠的可信计算环境具有十分重要的意义。
发明内容
为了解决该问题,本发明提出了一种基于AMQP的可信计算池管控系统。本发明基于开放的AMQP协议,利用分布式可信计算节点,集中式的管理平台,设计可信计算池管控系统,可以有效的构建安全可靠的云主机环境。具有高可靠、易实施的特点。
本发明基于高级消息队列协议AMQP(AdvancedMessageQueuingProtocol),提出了一种可信计算池管控系统设计方案。该设计方案构建的可信计算池,可以提供安全可靠的可信环境。该系统由三部分组成:(1)集中管理平台(iTrustCenter)、(2)可信计算节点(iTrustNode)、(3)消息队列服务器(iMessageServer)。其中:
(1)、集中管理平台:提供可信计算节点的集中管理。首先,能够颁发可信计算节点的身份证书;其次,具备判定可信计算节点的可信状态;最后,可以构建可信计算节池,即:纳入安全可信的计算节点,剔除不可信的计算节点。
(2)、分布式可信计算节点:提供基本的可信计算环境。首先,具备标示当前计算节点的身份信息;其次,可以申请当前管控系统平台的身份证书;最后,能够提供当前计算节点的运行状态。
(3)、消息队列服务器:提供传输消息队列的路由与分发。消息队列是一个先入先出的数据结构。路由封装了消息队列中的相关信息,这些信息按照约定的设置进行分发,保证大批量数据传输的可靠性和消息传递的准确性。
集中管理平台提供集中式的可信监控、管理;可信计算节点承载可信计算环境;消息队列服务器提供消息队列管理。高级消息队列协议AMQP规定一种数据传输标准。集中管理平台、可信计算节点通过消息队列服务器进行信息传递时,必须遵循此协议。
分布式可信计算节点通过完整性度量,将该计算节点上模块(硬件、固件和软件)的执行状态记录下来,为构建可信计算池提供数据支撑。完整性度量对象包括:从BIOS,BootLoader,OS到应用程序启动过程中的每个实体。完整性度量的结果以摘要方式扩展存储在PCR寄存器中。任何一个度量对象被篡改,摘要指必将发生改变,从而来表明当前计算节点不可信。
为防止非法者冒充分布式可信计算节点,与集中管理平台进行通讯,该计算节点提供一种表征当前计算节点真实身份的机制。可信计算节点身份信息通过TPM的身份秘钥来标识的。身份秘钥私钥对PCR寄存器(完整性度量结果)进行签名,实现该完整性信息是由该计算节点签署、发出的。
为了保证构建可信计算池的安全性,集中管理平台提供证书颁发、校验功能,从而确保当前可信计算池中可信计算节点的真实身份。同时,集中管理平台记录每个可信计算节点完整性信息的标准值(可信计算节点首次度量值),平台利用该标准值来判定当前完整行度量值是否可信。
消息队列服务器负责可信计算节点与集中管理平台的消息传递。通过消息队列服务器统一路由和分发,使应用程序之间或应用程序与中间件之间,进行充分解耦。提供了系统良好的扩展性和兼容性。
该发明的有益效果是:
1、基于高级消息队列协议的数据传输,遵从了开放的应用层传输标准,系统具有很强的兼容性;2、通过构建集中管理平台,可以便捷的对可信计算池进行监控和管理;3、分布式的可信计算节点,提供安全可靠的可信计算环境。
附图说明
图1.为基于AMQP的可信计算池管控系统拓扑;
图2为集中管理平台的系统架构;
图3为可信计算节点的系统架构;
图4为消息队列服务器工作示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明做进一步地详细描述。
图1所示,一种基于AMQP的可信计算池管控系统包括三个部件:集中管理平台、分布式可信计算节点、消息队列服务器。
图2为集中管理平台的系统架构。系统分为Web、Server和数据库三个模块,其中:
(1)Web模块:负责接收用户发出的请求,进行格式转换后发送给Server,同时接受来自Server的数据,显示给用户。Web模块分为Web页面和Controller两个子模块:
Web页面子模块:提供友好的Web视图界面给用户;
Controller子模块:接受页面的Http请求,进行数据转换后调用Server的REST接口、接受来自Server的返回并回传给Web页面。
(2)Server模块:负责业务逻辑、数据库访问等。Server模块分为Handler子模块、Services子模块和Dao子模块,其中:
Handler子模块负责接收请求,包括:Web层的Http请求和消息队列服务器的请求。收到请求后,Handler子模块调用Services子模块进行业务处理,然后返回执行结果给请求发起者;
Services子模块,接受Handler子模块的调用,执行具体的业务逻辑(例如数据校验、数据库访问等),并将结果返回Handler;
Dao子模块,负责与数据库进行交互;
(3)数据库模块:存放业务数据。数据库支持本地或远程,可以使用配置文件进行配置。
图3为可信计算节点的系统架构。该可信计算节点承担可信环境的安全构建。按照自身架构可以分为四个层级:管理层,业务层,中间层以及OSLoader。其中:
(1)管理层:负责整个节点的管理,包括Engine、Agent、Ctl_cmd,其中:
Engine负责与消息队列服务器进行交互、业务管理;
Agent负责节点服务的管理(启动、停止、升级、卸载);
Ctl_cmd负责可信计算节点本地管理功能。
(2)业务层:业务具体的执行单元,包括注册,心跳等基本功能、可信证明业务、策略配置业务以及日志管理业务。
(3)中间件:提供业务层对TPM可信芯片访问的通道。包括MidWare、TSS以及TPMDriver,其中:
MidWare:可信中间件,封装了TSS上下文调用,供业务层直接使用;
TSS:TCG软件协议栈,提供了访问TPM安全功能的接口;
TPMDriver:TPM驱动,驱动TPM硬件平台;
(3)OSLoader:定制化的Grub启动程序,提供完整性度量功能,同时把完整性度量值扩展到TPM中,以供业务层的可信证明调用。
图4为消息队列服务器工作示意图。该服务器提供消息交互的通道以及数据传递的格式。其中:
上传队列:各个分布式可信计算机节点公用,消息内容中包含各节点的标识;
下发队列:每个节点对应一个专属队列,该专属队列经过下发判决后产生。
Claims (4)
1.一种基于AMQP的可信计算池管控系统,其特征在于,主要包括三个部件:(1)集中管理平台;(2)分布式可信计算节点;(3)消息队列服务器;其中:
(1)、集中管理平台:提供可信计算节点的集中管理;
(2)、分布式可信计算节点:提供基本的可信计算环境;
(3)、消息队列服务器:提供传输消息队列的路由与分发。
2.根据权利要求1所述的管控系统,其特征在于,(1)、集中管理平台:首先,能够颁发可信计算节点的身份证书;其次,具备判定可信计算节点的可信状态;最后,可以构建可信计算节池,即:纳入安全可信的计算节点,剔除不可信的计算节点。
3.根据权利要求1所述的管控系统,其特征在于,(2)、分布式可信计算节点:首先,具备标示当前计算节点的身份信息;其次,可以申请当前管控系统平台的身份证书;最后,能够提供当前计算节点的运行状态。
4.根据权利要求1所述的管控系统,其特征在于,(3)、消息队列服务器:消息队列是一个先入先出的数据结构;路由封装了消息队列中的相关信息,这些信息按照约定的设置进行分发,保证大批量数据传输的可靠性和消息传递的准确性。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610131028.8A CN105791013A (zh) | 2016-03-08 | 2016-03-08 | 一种基于amqp的可信计算池管控系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610131028.8A CN105791013A (zh) | 2016-03-08 | 2016-03-08 | 一种基于amqp的可信计算池管控系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105791013A true CN105791013A (zh) | 2016-07-20 |
Family
ID=56388254
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610131028.8A Pending CN105791013A (zh) | 2016-03-08 | 2016-03-08 | 一种基于amqp的可信计算池管控系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105791013A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059777A (zh) * | 2016-08-23 | 2016-10-26 | 浪潮电子信息产业股份有限公司 | 一种云平台的可信中间件设计方法 |
CN110768963A (zh) * | 2019-09-29 | 2020-02-07 | 北京可信华泰信息技术有限公司 | 一种分布式架构的可信安全管理平台 |
CN111461884A (zh) * | 2020-03-31 | 2020-07-28 | 杭州溪塔科技有限公司 | 一种基于区块链的可信计算服务共享方法、装置和系统 |
CN111831609A (zh) * | 2020-06-18 | 2020-10-27 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120036561A1 (en) * | 2008-09-12 | 2012-02-09 | Renata Budko | Methods and systems for securely managing virtualization platform |
CN104735069A (zh) * | 2015-03-26 | 2015-06-24 | 浪潮集团有限公司 | 一种基于安全可信的高可用性计算机集群 |
CN105227365A (zh) * | 2015-10-14 | 2016-01-06 | 成都中科创达软件有限公司 | 基于安卓平台的物联网终端管控系统 |
-
2016
- 2016-03-08 CN CN201610131028.8A patent/CN105791013A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120036561A1 (en) * | 2008-09-12 | 2012-02-09 | Renata Budko | Methods and systems for securely managing virtualization platform |
CN104735069A (zh) * | 2015-03-26 | 2015-06-24 | 浪潮集团有限公司 | 一种基于安全可信的高可用性计算机集群 |
CN105227365A (zh) * | 2015-10-14 | 2016-01-06 | 成都中科创达软件有限公司 | 基于安卓平台的物联网终端管控系统 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106059777A (zh) * | 2016-08-23 | 2016-10-26 | 浪潮电子信息产业股份有限公司 | 一种云平台的可信中间件设计方法 |
CN106059777B (zh) * | 2016-08-23 | 2019-02-15 | 浪潮电子信息产业股份有限公司 | 一种云平台的可信中间件设计方法 |
CN110768963A (zh) * | 2019-09-29 | 2020-02-07 | 北京可信华泰信息技术有限公司 | 一种分布式架构的可信安全管理平台 |
CN110768963B (zh) * | 2019-09-29 | 2021-10-22 | 北京可信华泰信息技术有限公司 | 一种分布式架构的可信安全管理平台 |
CN111461884A (zh) * | 2020-03-31 | 2020-07-28 | 杭州溪塔科技有限公司 | 一种基于区块链的可信计算服务共享方法、装置和系统 |
CN111831609A (zh) * | 2020-06-18 | 2020-10-27 | 中国科学院数据与通信保护研究教育中心 | 一种虚拟化环境中二进制文件度量值统一管理和分发的方法和系统 |
CN111831609B (zh) * | 2020-06-18 | 2024-01-02 | 中国科学院数据与通信保护研究教育中心 | 虚拟化环境中二进制度量值统一管理和分发的方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11469964B2 (en) | Extension resource groups of provider network services | |
US10977372B2 (en) | Technologies for secure bootstrapping of virtual network functions | |
US8543916B2 (en) | System and method for recording collaborative information technology processes in an intelligent workload management system | |
CN110024356A (zh) | 使用机会装置来卸载服务的网络 | |
CN105791013A (zh) | 一种基于amqp的可信计算池管控系统 | |
US20200159555A1 (en) | Provider network service extensions | |
US20120239814A1 (en) | Clustered computer environment partition resolution | |
CN106059777A (zh) | 一种云平台的可信中间件设计方法 | |
CN103685608A (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
US11451405B2 (en) | On-demand emergency management operations in a distributed computing system | |
CN118012572A (zh) | 用于自动配置用于容器应用的最小云服务访问权限的技术 | |
CN111709023A (zh) | 一种基于可信操作系统的应用隔离方法及系统 | |
EP3391275A1 (en) | Trust based computing | |
CN115567398A (zh) | 一种数据中心网络构建系统及其实现方法 | |
CN115981776A (zh) | 位于服务器网络接口卡处的基板管理控制器 | |
US20220308938A1 (en) | Systems and methods for power management for modern workspaces | |
CN116158103A (zh) | 用于设备到设备认证的技术 | |
CN110115012B (zh) | 一种秘密信息的分发方法和设备 | |
NL2027692B1 (en) | Pre-provisioning server hardware for deployment on an edge network | |
US20230267101A1 (en) | Management of distributed database nodes within a customer network | |
KR102441860B1 (ko) | 공급자 네트워크 서비스 확장 | |
US11593187B2 (en) | Systems and methods for thread management for modern workspaces | |
US20240007462A1 (en) | Connecting a software-defined data center to cloud services through an agent platform appliance | |
US20230239302A1 (en) | Role-based access control for cloud features | |
US20240004684A1 (en) | System and method for exchanging messages between cloud services and software-defined data centers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160720 |