CN106936766A - 基于可信芯片的可信云自动部署系统及方法 - Google Patents
基于可信芯片的可信云自动部署系统及方法 Download PDFInfo
- Publication number
- CN106936766A CN106936766A CN201511009385.9A CN201511009385A CN106936766A CN 106936766 A CN106936766 A CN 106936766A CN 201511009385 A CN201511009385 A CN 201511009385A CN 106936766 A CN106936766 A CN 106936766A
- Authority
- CN
- China
- Prior art keywords
- credible
- cloud
- cloud server
- server node
- components
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种基于可信芯片的可信云自动部署系统及方法,系统包括部署服务器和若干云服务器节点,部署服务器包括Cobbler组件、Puppet组件、认证模块,配置服务器通过Cobbler组件将可信操作系统安装于各云服务器节点,通过Puppet组件将各种云资源安装于各云服务器节点,通过认证模块对各云服务器节点进行完整性度量。本发明能够实现云平台环境的自动部署,不仅大大提高了部署效率,同时能够保证云服务器节点的完整性和安全性,进而保证整个云平台环境的安全性。
Description
技术领域
本发明涉及一种基于可信芯片的可信云自动部署系统及方法,属于信息安全技术领域。
背景技术
随着互联网技术的发展,云计算平台以其高可靠性、易扩展性、服务多样性、高性价比等优势,得到了广泛的推广应用,随着云平台规模的不断扩大,云服务器节点的数量大大增加,采用传统的手动方式部署每台云服务器节点,不仅部署效率低、且一旦某台服务器节点部署错误就会影响整个云平台的部署效果,显然,手动部署方式已经无法满足大规模云计算平台的部署要求。
发明内容
鉴于上述原因,本发明的目的在于提供一种基于可信芯片的可信云自动部署系统及方法,可于局域网中自动部署云平台,不仅能够提高部署效率,且能够保证云平台的安全性。
为实现上述目的,本发明采用以下技术方案:
一种基于可信芯片的可信云自动部署系统,包括:
基于可信芯片实现的部署服务器和若干云服务器节点,
该部署服务器包括Cobbler组件、Puppet组件、认证模块,
该Cobbler组件用于将可信操作系统安装于各云服务器节点,
该Puppet组件用于将各种云资源安装于各云服务器节点,
该认证模块用于对各云服务器节点进行完整性度量。
进一步的,
所述部署服务器与若干云服务器节点通过可信网络建立连接。
基于可信芯片的可信云自动部署系统实现的可信云自动部署方法,包括以下步骤:
通过Cobbler组件将可信操作系统安装于各云服务器节点,
通过Puppet组件将各种云资源安装于各云服务器节点,
对云服务器节点进行完整性度量。
所述对云服务器节点进行完整性度量的方法是:
将所述云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值相比较,若一致则判断云服务器节点的完整性未发生变化,若不一致则判断云服务器节点的完整性发生变化。
所述对云服务器节点进行完整性度量的步骤是:
所述云服务器节点将初次可信启动过程中的度量值发送至所述配置服务器,所述云服务器节点将本次可信启动过程中的度量值发送至所述配置服务器,所述认证模块将本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比较。
所述云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至所述配置服务器。
本发明的优点在于:
1、云平台中的部署服务器和云服务器节点均基于可信芯片实现,通过可信芯片与认证模块实现的信任链度量,能够保证云服务器节点的完整性和安全性,进而保证整个云平台环境的安全性;
2、通过自动安装可信操作系统、自动安装云资源过程,实现了云平台环境的自动部署,大大提高了部署效率,避免了手动部署易出错的问题。
附图说明
图1是本发明的系统架构示意图。
图2是本发明的方法流程示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
图1是本发明的系统架构示意图,如图所示,本发明的可信云自动部署系统及方法应用于局域网中,系统包括部署服务器和若干云服务器节点,部署服务器与若干云服务器节点通过网络建立连接,部署服务器与各云服务器节点均为包括可信芯片(TPM:Trusted Platform Module)的主机,部署服务器中设置有用于对云服务器节点进行完整性验证的认证模块。
如图2所示,本发明公开的基于可信芯片的可信云自动部署方法,包括以下步骤:
S1:配置服务器通过Cobbler组件将可信操作系统安装于各云服务器节点;
配置服务器按照局域网中各云服务器节点的MAC地址,为每台云服务器节点安装可信操作系统,该可信操作系统为现有技术,本发明中不再详述。
S2:配置服务器通过Puppet组件将各种云资源安装于各云服务器节点;
云资源包括:配置文件、应用程序、系统服务等运行于云服务器节点上的应用和服务,云服务器节点可定期通过配置服务器的Puppet组件更新云资源。
S3:配置服务器的认证模块对云服务器节点进行完整性度量。
认证模块对云服务器节点进行完整性度量的方法是:
S31:云服务器节点在初始可信启动过程中,将可信启动过程中的度量值发送至配置服务器;
主机的可信启动过程为:在主机的启动过程中,对要执行部分的代码或数据利用可信芯片的国密算法(如,SMx算法等)进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片的PCR寄存器中,主机启动完成,得到启动过程的多个度量值,建立了从BIOS(Basic Input OutputSystem)到BootLoader最后到OS(Operating System)的一条完整的可信度量链,能够反应主机的完整性信息。
由于BIOS、Kernel、CPU中设置有安全性开关,如:BIOS包括可扩展固件接口(UEFI:Unified Extensible Firmware Interface)开关、CPU包括可信任执行组件(TXT:Trusted Execution Technology)开关,可扩展固件接口(EFI:Extensible Firmware Interface)开关,Kernel包括可信度量模块(TMM:TrustedMeasurement Module)、完整性度量框架(IMA:Integrity MeasurementArchitecture)、强制访问控制(SElinux,Security-Enhanced Linux)开关等,如果BIOS、Kernel、CPU的完整性发生变化,会导致系统的安全性开关关闭,部分安全性保护功能失效,影响系统的安全性,所以,云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至配置服务器,由其认证模块依次对BIOS、KERNEL、CPU进行信任链度量。
S32:云服务器节点在每次可信启动过程中,将可信启动过程中的度量值发送至配置服务器,由配置服务器的认证模块对云服务器节点进行完整性验证。
认证模块将云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比对,若二者一致则验证通过,云服务节点可正常工作;若二者不一致,表示云服务器节点的系统完整性发生变化,可对该云服务器节点采取安全性策略,如向该云服务器节点发送安全性告警信息、记录日志等。
本发明的基于可信芯片的可信云自动部署方法,通过自动安装可信操作系统、自动安装各种云资源,实现云平台中各云服务器节点的自动化部署配置,大大提高了部署效率,同时,通过可信启动过程中的完整性度量过程,保证各服务器节点的系统完整性,进而保证整个云平台的完整性和安全性。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
Claims (6)
1.基于可信芯片的可信云自动部署系统,其特征在于,包括:
基于可信芯片实现的部署服务器和若干云服务器节点,
该部署服务器包括Cobbler组件、Puppet组件、认证模块,
该Cobbler组件用于将可信操作系统安装于各云服务器节点,
该Puppet组件用于将各种云资源安装于各云服务器节点,
该认证模块用于对各云服务器节点进行完整性度量。
2.根据权利要求1所述的基于可信芯片的可信云自动部署系统,其特征在于,所述部署服务器与若干云服务器节点通过可信网络建立连接。
3.根据权利要求1所述的基于可信芯片的可信云自动部署系统实现的可信云自动部署方法,其特征在于,包括以下步骤:
通过Cobbler组件将可信操作系统安装于各云服务器节点,
通过Puppet组件将各种云资源安装于各云服务器节点,
对云服务器节点进行完整性度量。
4.根据权利要求3所述的基于可信芯片的可信云自动部署方法,其特征在于,所述对云服务器节点进行完整性度量的方法是:
将所述云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值相比较,若一致则判断云服务器节点的完整性未发生变化,若不一致则判断云服务器节点的完整性发生变化。
5.根据权利要求4所述的基于可信芯片的可信云自动部署方法,其特征在于,所述对云服务器节点进行完整性度量的步骤是:
所述云服务器节点将初次可信启动过程中的度量值发送至所述配置服务器,所述云服务器节点将本次可信启动过程中的度量值发送至所述配置服务器,所述认证模块将本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比较。
6.根据权利要求5所述的基于可信芯片的可信云自动部署方法,其特征在于,所述云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至所述配置服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511009385.9A CN106936766A (zh) | 2015-12-29 | 2015-12-29 | 基于可信芯片的可信云自动部署系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201511009385.9A CN106936766A (zh) | 2015-12-29 | 2015-12-29 | 基于可信芯片的可信云自动部署系统及方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106936766A true CN106936766A (zh) | 2017-07-07 |
Family
ID=59458390
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201511009385.9A Pending CN106936766A (zh) | 2015-12-29 | 2015-12-29 | 基于可信芯片的可信云自动部署系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106936766A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107590392A (zh) * | 2017-08-14 | 2018-01-16 | 大唐高鸿信安(浙江)信息科技有限公司 | 利用脚本校验硬件完整性的系统及方法 |
CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
CN110944330A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | Mec平台部署方法及装置 |
WO2023160166A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种可信计算方法、芯片以及服务器 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685148A (zh) * | 2012-05-31 | 2012-09-19 | 清华大学 | 一种云存储环境下的安全网盘系统的实现方法 |
CN103037002A (zh) * | 2012-12-21 | 2013-04-10 | 中标软件有限公司 | 一种云计算集群环境中服务器集群的部署方法及系统 |
CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
CN104541247A (zh) * | 2012-08-07 | 2015-04-22 | 超威半导体公司 | 用于调整云计算系统的系统和方法 |
CN105049443A (zh) * | 2015-08-12 | 2015-11-11 | 北京因特信安软件科技有限公司 | 可信资源池的构建方法 |
-
2015
- 2015-12-29 CN CN201511009385.9A patent/CN106936766A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102685148A (zh) * | 2012-05-31 | 2012-09-19 | 清华大学 | 一种云存储环境下的安全网盘系统的实现方法 |
CN104541247A (zh) * | 2012-08-07 | 2015-04-22 | 超威半导体公司 | 用于调整云计算系统的系统和方法 |
CN103037002A (zh) * | 2012-12-21 | 2013-04-10 | 中标软件有限公司 | 一种云计算集群环境中服务器集群的部署方法及系统 |
CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
CN105049443A (zh) * | 2015-08-12 | 2015-11-11 | 北京因特信安软件科技有限公司 | 可信资源池的构建方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107590392A (zh) * | 2017-08-14 | 2018-01-16 | 大唐高鸿信安(浙江)信息科技有限公司 | 利用脚本校验硬件完整性的系统及方法 |
CN110944330A (zh) * | 2018-09-21 | 2020-03-31 | 华为技术有限公司 | Mec平台部署方法及装置 |
CN110347479A (zh) * | 2019-07-10 | 2019-10-18 | 大唐高鸿信安(浙江)信息科技有限公司 | 一种可信链的构建方法及系统 |
WO2023160166A1 (zh) * | 2022-02-28 | 2023-08-31 | 华为技术有限公司 | 一种可信计算方法、芯片以及服务器 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110752961B (zh) | 用于安全监视虚拟网络功能的安全个性化的技术 | |
US10776488B2 (en) | Extend root of trust to include firmware of individual components of a device | |
US20160335066A1 (en) | System and method for automatically deploying cloud | |
CN106936766A (zh) | 基于可信芯片的可信云自动部署系统及方法 | |
US9998488B2 (en) | Protection system including machine learning snapshot evaluation | |
US9916451B2 (en) | Information handling system boot pre-validation | |
CN101488173B (zh) | 支持零宕机的可信虚拟域启动文件完整性度量的方法 | |
CN101504704B (zh) | 由星型信任链支持的嵌入式平台应用程序完整性验证方法 | |
WO2017008578A1 (zh) | 网络功能虚拟化架构中数据检查的方法和装置 | |
JP2013538404A (ja) | 起動プロセスの際の対話型コンポーネントの使用の認証 | |
CN107451479A (zh) | 一种信任链的构建方法及系统 | |
US20230161614A1 (en) | Detecting vulnerabilities in configuration code of a cloud environment utilizing infrastructure as code | |
WO2016109955A1 (zh) | 一种软件校验方法和装置 | |
CN104966022A (zh) | 一种基于芯片的信任链构建方法和装置 | |
US20190138730A1 (en) | System and Method to Support Boot Guard for Original Development Manufacturer BIOS Development | |
CN106936768B (zh) | 基于可信芯片的白名单网络管控系统及方法 | |
CN104182242A (zh) | 一种系统启动方法及装置 | |
US20220066766A1 (en) | Systems and methods for disaggregating system firmware configuration data into a management subsystem for seamless updates | |
US11227051B2 (en) | Method for detecting computer virus, computing device, and storage medium | |
WO2022266490A1 (en) | Systems and methods for virtual network function platform security solutions | |
CN104268461A (zh) | 一种可信度量方法及装置 | |
US20090327686A1 (en) | Updating A Basic Input/Output System ('BIOS') Boot Block Security Module In Compute Nodes Of A Multinode Computer | |
CN109766702B (zh) | 基于虚拟机状态数据的全过程可信启动检验方法 | |
CN110363011B (zh) | 用于验证基于uefi的bios的安全性的方法和设备 | |
CN107360167B (zh) | 一种认证方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170707 |