CN106936766A - 基于可信芯片的可信云自动部署系统及方法 - Google Patents

基于可信芯片的可信云自动部署系统及方法 Download PDF

Info

Publication number
CN106936766A
CN106936766A CN201511009385.9A CN201511009385A CN106936766A CN 106936766 A CN106936766 A CN 106936766A CN 201511009385 A CN201511009385 A CN 201511009385A CN 106936766 A CN106936766 A CN 106936766A
Authority
CN
China
Prior art keywords
credible
cloud
cloud server
server node
components
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201511009385.9A
Other languages
English (en)
Inventor
郑驰
梁思谦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Original Assignee
Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Datang High Hung Principal (zhejiang) Mdt Infotech Ltd filed Critical Datang High Hung Principal (zhejiang) Mdt Infotech Ltd
Priority to CN201511009385.9A priority Critical patent/CN106936766A/zh
Publication of CN106936766A publication Critical patent/CN106936766A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提供一种基于可信芯片的可信云自动部署系统及方法,系统包括部署服务器和若干云服务器节点,部署服务器包括Cobbler组件、Puppet组件、认证模块,配置服务器通过Cobbler组件将可信操作系统安装于各云服务器节点,通过Puppet组件将各种云资源安装于各云服务器节点,通过认证模块对各云服务器节点进行完整性度量。本发明能够实现云平台环境的自动部署,不仅大大提高了部署效率,同时能够保证云服务器节点的完整性和安全性,进而保证整个云平台环境的安全性。

Description

基于可信芯片的可信云自动部署系统及方法
技术领域
本发明涉及一种基于可信芯片的可信云自动部署系统及方法,属于信息安全技术领域。
背景技术
随着互联网技术的发展,云计算平台以其高可靠性、易扩展性、服务多样性、高性价比等优势,得到了广泛的推广应用,随着云平台规模的不断扩大,云服务器节点的数量大大增加,采用传统的手动方式部署每台云服务器节点,不仅部署效率低、且一旦某台服务器节点部署错误就会影响整个云平台的部署效果,显然,手动部署方式已经无法满足大规模云计算平台的部署要求。
发明内容
鉴于上述原因,本发明的目的在于提供一种基于可信芯片的可信云自动部署系统及方法,可于局域网中自动部署云平台,不仅能够提高部署效率,且能够保证云平台的安全性。
为实现上述目的,本发明采用以下技术方案:
一种基于可信芯片的可信云自动部署系统,包括:
基于可信芯片实现的部署服务器和若干云服务器节点,
该部署服务器包括Cobbler组件、Puppet组件、认证模块,
该Cobbler组件用于将可信操作系统安装于各云服务器节点,
该Puppet组件用于将各种云资源安装于各云服务器节点,
该认证模块用于对各云服务器节点进行完整性度量。
进一步的,
所述部署服务器与若干云服务器节点通过可信网络建立连接。
基于可信芯片的可信云自动部署系统实现的可信云自动部署方法,包括以下步骤:
通过Cobbler组件将可信操作系统安装于各云服务器节点,
通过Puppet组件将各种云资源安装于各云服务器节点,
对云服务器节点进行完整性度量。
所述对云服务器节点进行完整性度量的方法是:
将所述云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值相比较,若一致则判断云服务器节点的完整性未发生变化,若不一致则判断云服务器节点的完整性发生变化。
所述对云服务器节点进行完整性度量的步骤是:
所述云服务器节点将初次可信启动过程中的度量值发送至所述配置服务器,所述云服务器节点将本次可信启动过程中的度量值发送至所述配置服务器,所述认证模块将本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比较。
所述云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至所述配置服务器。
本发明的优点在于:
1、云平台中的部署服务器和云服务器节点均基于可信芯片实现,通过可信芯片与认证模块实现的信任链度量,能够保证云服务器节点的完整性和安全性,进而保证整个云平台环境的安全性;
2、通过自动安装可信操作系统、自动安装云资源过程,实现了云平台环境的自动部署,大大提高了部署效率,避免了手动部署易出错的问题。
附图说明
图1是本发明的系统架构示意图。
图2是本发明的方法流程示意图。
具体实施方式
以下结合附图和实施例对本发明作进一步详细的描述。
图1是本发明的系统架构示意图,如图所示,本发明的可信云自动部署系统及方法应用于局域网中,系统包括部署服务器和若干云服务器节点,部署服务器与若干云服务器节点通过网络建立连接,部署服务器与各云服务器节点均为包括可信芯片(TPM:Trusted Platform Module)的主机,部署服务器中设置有用于对云服务器节点进行完整性验证的认证模块。
如图2所示,本发明公开的基于可信芯片的可信云自动部署方法,包括以下步骤:
S1:配置服务器通过Cobbler组件将可信操作系统安装于各云服务器节点;
配置服务器按照局域网中各云服务器节点的MAC地址,为每台云服务器节点安装可信操作系统,该可信操作系统为现有技术,本发明中不再详述。
S2:配置服务器通过Puppet组件将各种云资源安装于各云服务器节点;
云资源包括:配置文件、应用程序、系统服务等运行于云服务器节点上的应用和服务,云服务器节点可定期通过配置服务器的Puppet组件更新云资源。
S3:配置服务器的认证模块对云服务器节点进行完整性度量。
认证模块对云服务器节点进行完整性度量的方法是:
S31:云服务器节点在初始可信启动过程中,将可信启动过程中的度量值发送至配置服务器;
主机的可信启动过程为:在主机的启动过程中,对要执行部分的代码或数据利用可信芯片的国密算法(如,SMx算法等)进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片的PCR寄存器中,主机启动完成,得到启动过程的多个度量值,建立了从BIOS(Basic Input OutputSystem)到BootLoader最后到OS(Operating System)的一条完整的可信度量链,能够反应主机的完整性信息。
由于BIOS、Kernel、CPU中设置有安全性开关,如:BIOS包括可扩展固件接口(UEFI:Unified Extensible Firmware Interface)开关、CPU包括可信任执行组件(TXT:Trusted Execution Technology)开关,可扩展固件接口(EFI:Extensible Firmware Interface)开关,Kernel包括可信度量模块(TMM:TrustedMeasurement Module)、完整性度量框架(IMA:Integrity MeasurementArchitecture)、强制访问控制(SElinux,Security-Enhanced Linux)开关等,如果BIOS、Kernel、CPU的完整性发生变化,会导致系统的安全性开关关闭,部分安全性保护功能失效,影响系统的安全性,所以,云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至配置服务器,由其认证模块依次对BIOS、KERNEL、CPU进行信任链度量。
S32:云服务器节点在每次可信启动过程中,将可信启动过程中的度量值发送至配置服务器,由配置服务器的认证模块对云服务器节点进行完整性验证。
认证模块将云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比对,若二者一致则验证通过,云服务节点可正常工作;若二者不一致,表示云服务器节点的系统完整性发生变化,可对该云服务器节点采取安全性策略,如向该云服务器节点发送安全性告警信息、记录日志等。
本发明的基于可信芯片的可信云自动部署方法,通过自动安装可信操作系统、自动安装各种云资源,实现云平台中各云服务器节点的自动化部署配置,大大提高了部署效率,同时,通过可信启动过程中的完整性度量过程,保证各服务器节点的系统完整性,进而保证整个云平台的完整性和安全性。
以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。

Claims (6)

1.基于可信芯片的可信云自动部署系统,其特征在于,包括:
基于可信芯片实现的部署服务器和若干云服务器节点,
该部署服务器包括Cobbler组件、Puppet组件、认证模块,
该Cobbler组件用于将可信操作系统安装于各云服务器节点,
该Puppet组件用于将各种云资源安装于各云服务器节点,
该认证模块用于对各云服务器节点进行完整性度量。
2.根据权利要求1所述的基于可信芯片的可信云自动部署系统,其特征在于,所述部署服务器与若干云服务器节点通过可信网络建立连接。
3.根据权利要求1所述的基于可信芯片的可信云自动部署系统实现的可信云自动部署方法,其特征在于,包括以下步骤:
通过Cobbler组件将可信操作系统安装于各云服务器节点,
通过Puppet组件将各种云资源安装于各云服务器节点,
对云服务器节点进行完整性度量。
4.根据权利要求3所述的基于可信芯片的可信云自动部署方法,其特征在于,所述对云服务器节点进行完整性度量的方法是:
将所述云服务器节点本次可信启动过程中的度量值与初次可信启动过程中的度量值相比较,若一致则判断云服务器节点的完整性未发生变化,若不一致则判断云服务器节点的完整性发生变化。
5.根据权利要求4所述的基于可信芯片的可信云自动部署方法,其特征在于,所述对云服务器节点进行完整性度量的步骤是:
所述云服务器节点将初次可信启动过程中的度量值发送至所述配置服务器,所述云服务器节点将本次可信启动过程中的度量值发送至所述配置服务器,所述认证模块将本次可信启动过程中的度量值与初次可信启动过程中的度量值进行比较。
6.根据权利要求5所述的基于可信芯片的可信云自动部署方法,其特征在于,所述云服务器节点至少将BIOS、KERNEL、CPU的度量值发送至所述配置服务器。
CN201511009385.9A 2015-12-29 2015-12-29 基于可信芯片的可信云自动部署系统及方法 Pending CN106936766A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201511009385.9A CN106936766A (zh) 2015-12-29 2015-12-29 基于可信芯片的可信云自动部署系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201511009385.9A CN106936766A (zh) 2015-12-29 2015-12-29 基于可信芯片的可信云自动部署系统及方法

Publications (1)

Publication Number Publication Date
CN106936766A true CN106936766A (zh) 2017-07-07

Family

ID=59458390

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201511009385.9A Pending CN106936766A (zh) 2015-12-29 2015-12-29 基于可信芯片的可信云自动部署系统及方法

Country Status (1)

Country Link
CN (1) CN106936766A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107590392A (zh) * 2017-08-14 2018-01-16 大唐高鸿信安(浙江)信息科技有限公司 利用脚本校验硬件完整性的系统及方法
CN110347479A (zh) * 2019-07-10 2019-10-18 大唐高鸿信安(浙江)信息科技有限公司 一种可信链的构建方法及系统
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
WO2023160166A1 (zh) * 2022-02-28 2023-08-31 华为技术有限公司 一种可信计算方法、芯片以及服务器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685148A (zh) * 2012-05-31 2012-09-19 清华大学 一种云存储环境下的安全网盘系统的实现方法
CN103037002A (zh) * 2012-12-21 2013-04-10 中标软件有限公司 一种云计算集群环境中服务器集群的部署方法及系统
CN103281306A (zh) * 2013-05-03 2013-09-04 四川省电力公司信息通信公司 云数据中心虚拟化基础架构平台
CN104541247A (zh) * 2012-08-07 2015-04-22 超威半导体公司 用于调整云计算系统的系统和方法
CN105049443A (zh) * 2015-08-12 2015-11-11 北京因特信安软件科技有限公司 可信资源池的构建方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102685148A (zh) * 2012-05-31 2012-09-19 清华大学 一种云存储环境下的安全网盘系统的实现方法
CN104541247A (zh) * 2012-08-07 2015-04-22 超威半导体公司 用于调整云计算系统的系统和方法
CN103037002A (zh) * 2012-12-21 2013-04-10 中标软件有限公司 一种云计算集群环境中服务器集群的部署方法及系统
CN103281306A (zh) * 2013-05-03 2013-09-04 四川省电力公司信息通信公司 云数据中心虚拟化基础架构平台
CN105049443A (zh) * 2015-08-12 2015-11-11 北京因特信安软件科技有限公司 可信资源池的构建方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107590392A (zh) * 2017-08-14 2018-01-16 大唐高鸿信安(浙江)信息科技有限公司 利用脚本校验硬件完整性的系统及方法
CN110944330A (zh) * 2018-09-21 2020-03-31 华为技术有限公司 Mec平台部署方法及装置
CN110347479A (zh) * 2019-07-10 2019-10-18 大唐高鸿信安(浙江)信息科技有限公司 一种可信链的构建方法及系统
WO2023160166A1 (zh) * 2022-02-28 2023-08-31 华为技术有限公司 一种可信计算方法、芯片以及服务器

Similar Documents

Publication Publication Date Title
CN110752961B (zh) 用于安全监视虚拟网络功能的安全个性化的技术
US10776488B2 (en) Extend root of trust to include firmware of individual components of a device
US20160335066A1 (en) System and method for automatically deploying cloud
CN106936766A (zh) 基于可信芯片的可信云自动部署系统及方法
US9998488B2 (en) Protection system including machine learning snapshot evaluation
US9916451B2 (en) Information handling system boot pre-validation
CN101488173B (zh) 支持零宕机的可信虚拟域启动文件完整性度量的方法
CN101504704B (zh) 由星型信任链支持的嵌入式平台应用程序完整性验证方法
WO2017008578A1 (zh) 网络功能虚拟化架构中数据检查的方法和装置
JP2013538404A (ja) 起動プロセスの際の対話型コンポーネントの使用の認証
CN107451479A (zh) 一种信任链的构建方法及系统
US20230161614A1 (en) Detecting vulnerabilities in configuration code of a cloud environment utilizing infrastructure as code
WO2016109955A1 (zh) 一种软件校验方法和装置
CN104966022A (zh) 一种基于芯片的信任链构建方法和装置
US20190138730A1 (en) System and Method to Support Boot Guard for Original Development Manufacturer BIOS Development
CN106936768B (zh) 基于可信芯片的白名单网络管控系统及方法
CN104182242A (zh) 一种系统启动方法及装置
US20220066766A1 (en) Systems and methods for disaggregating system firmware configuration data into a management subsystem for seamless updates
US11227051B2 (en) Method for detecting computer virus, computing device, and storage medium
WO2022266490A1 (en) Systems and methods for virtual network function platform security solutions
CN104268461A (zh) 一种可信度量方法及装置
US20090327686A1 (en) Updating A Basic Input/Output System ('BIOS') Boot Block Security Module In Compute Nodes Of A Multinode Computer
CN109766702B (zh) 基于虚拟机状态数据的全过程可信启动检验方法
CN110363011B (zh) 用于验证基于uefi的bios的安全性的方法和设备
CN107360167B (zh) 一种认证方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170707