CN111600775A - 一种集群加密迁移的安全性测试方法、装置、设备和介质 - Google Patents
一种集群加密迁移的安全性测试方法、装置、设备和介质 Download PDFInfo
- Publication number
- CN111600775A CN111600775A CN202010412107.2A CN202010412107A CN111600775A CN 111600775 A CN111600775 A CN 111600775A CN 202010412107 A CN202010412107 A CN 202010412107A CN 111600775 A CN111600775 A CN 111600775A
- Authority
- CN
- China
- Prior art keywords
- text file
- migration
- test data
- cluster
- computing node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005012 migration Effects 0.000 title claims abstract description 121
- 238000013508 migration Methods 0.000 title claims abstract description 121
- 238000012360 testing method Methods 0.000 title claims abstract description 119
- 230000000694 effects Effects 0.000 claims abstract description 14
- 238000000034 method Methods 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008859 change Effects 0.000 claims description 4
- 238000010998 test method Methods 0.000 abstract 1
- 230000006870 function Effects 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种集群加密迁移的安全性测试方法,包括:将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效;为TLS协议部署CA证书;在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件;将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件;根据是否可以内存测试数据以及磁盘测试数据来确认集群的加密迁移的安全性。本发明还公开了一种装置、设备和介质。本发明增加了云平台数据的安全性和可靠性。
Description
技术领域
本发明涉及数据迁移技术领域,更具体地,特别是指一种集群加密迁移的安全性测试方法、装置、设备和介质。
背景技术
InCloud Sphere企业版,虚拟机的热迁移(计算迁移和整机迁移)和离线迁移(存储迁移)默认使用的是TCP协议,迁移过程中没有进行数据的加密,可以通过网络抓捕获取到虚拟机的明文数据,这种迁移方法具有数据泄密的风险。
数据加密是网络防御和敏感数据保护的最重要的一个方面。为了增加云平台数据的安全性和可靠性,提升核心竞争力,版本增加了支持加密迁移的功能,使用TLS协议进行虚拟机迁移。加密迁移的测试方法也显得尤为重要。
发明内容
有鉴于此,本发明实施例的目的在于提供一种基于集群加密迁移的安全性的测试方法。
基于上述目的,本发明一方面提供了一种集群加密迁移的安全性测试方法,该方法包括:
将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效;
运行CA证书的生成脚本为TLS协议部署CA证书;
在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件;
将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件;
根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来确认集群的加密迁移的安全性。
在本发明的集群加密迁移的安全性测试方法的一些实施方式中,将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效还包括:
响应于由TCP协议更改为TLS协议失败或配置TLS协议生效失败,判定虚拟机的迁移为TCP协议明文迁移并结束后续测试步骤。
在本发明的集群加密迁移的安全性测试方法的一些实施方式中,运行CA证书的生成脚本为TLS协议部署CA证书还包括:
将CA证书的生成脚本的参数配置为计算节点的IP和密码。
在本发明的集群加密迁移的安全性测试方法的一些实施方式中,在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件还包括:
根据目的主机的管理网的IP获取特定的计算节点的抓包信息。
在本发明的集群加密迁移的安全性测试方法的一些实施方式中,根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来测试集群的加密迁移的安全性还包括:
响应于搜索到第一本文文件中的内存测试数据和/或第二文本文件中的磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到第一本文文件中的内存测试数据和第二文本文件中的磁盘测试数据,判定迁移为加密迁移。
本发明实施例的另一方面,还提供了一种集群加密迁移的安全性测试装置,该装置包括:
TLS协议配置模块,TLS协议配置模块配置为将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效;
CA证书部署模块,CA证书部署模块配置为运行CA证书的生成脚本为TLS协议部署CA证书;
测试数据模块,测试数据模块配置为在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
抓包模块,抓包模块配置为在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件;
迁移模块,迁移模块配置为将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件;
判定模块,判定模块配置为根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来确认集群的加密迁移的安全性。
在本发明的集群加密迁移的安全性测试装置的一些实施方式中,抓包模块还配置为:
根据目的主机的管理网的IP获取特定的计算节点的抓包信息。
在本发明的集群加密迁移的安全性测试装置的一些实施方式中,判定模块还配置为:
响应于搜索到第一本文文件中的内存测试数据和/或第二文本文件中的磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到第一本文文件中的内存测试数据和第二文本文件中的磁盘测试数据,判定迁移为加密迁移。
本发明实施例的另一方面,还提供了一种计算机设备,该计算机设备包括:
至少一个处理器;以及
存储器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行前述的集群加密迁移的安全性测试方法。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,其特征在于,计算机程序被处理器执行时执行前述的集群加密迁移的安全性测试方法。
本发明至少具有以下有益技术效果:该方法可以快速有效的测试加密迁移的安全性,增加云平台数据的安全性和可靠性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1示出了根据本发明的集群加密迁移的安全性测试方法的实施例的示意性框图;
图2示出了根据本发明的集群加密迁移的安全性测试方法的实施例的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”和“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种集群加密迁移的安全性测试方法的实施例。图1示出了根据本发明的集群加密迁移的安全性测试方法的实施例的示意性框图。图2示出了根据本发明的集群加密迁移的安全性测试方法的实施例的流程图。如图1和图2所示的实施例中,该方法至少包括如下步骤:
S100、将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效;
S200、运行CA证书的生成脚本为TLS协议部署CA证书;
S300、在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
S400、在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件;
S500、将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件;
S600、根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来确认集群的加密迁移的安全性。
在本发明的一些实施例中,根据步骤S100,配置集群中待测试主机的迁移模式,重启iva服务;根据步骤S200,生成CA证书;根据步骤S300,在计算节点创建虚拟机,在虚拟机相关目录写入数据;根据步骤S400,在计算节点运行抓包命令,输出到文本文件;根据步骤S500,迁移虚拟机;根据步骤S600,加密迁移从抓包文件中搜索不到写入数据,不配置加密迁移则可以搜索到写入数据这六个步骤来实现加密迁移测试。在一些实施例中,每个步骤的具体实施方式如下:
首先,步骤S100,将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效。具体实施方式为在集群的每个计算节点上编辑配置文件/etc/iva/compute.ini,更改migrate_protocal=tcp为migrate_protocal=tls,即将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议。更改tls_enable=False为tls_enable=True,即配置计算节点支持TLS协议。然后重启iva服务。通过重启使上述配置的TLS协议生效。其中,编辑文件部分的脚本为:vim/etc/iva/compute.ini。重启服务部分的脚本为:systemctl restart iva。
步骤S200,运行CA证书的生成脚本为TLS协议部署CA证书。TLS密文迁移需要生成CA证书,具体实施方式为登陆shell工具一个集群的计算节点(在一些实施例中,计算节点的密码配置为不要有下划线和#号),将generate_tls_cert脚本放置到计算节点任一目录,运行generate_tls_cert脚本进行集群CA证书的部署。
步骤S300,在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件。在一些具体的实施例中,在计算节点A上创建一个linux系统的虚拟机,然后在虚拟机/dev/shm/下创建一个第一文本文件写入字符串用于作为内存测试数据,在虚拟机的/home目录创建一个第二文本文件并写入数据作为磁盘测试数据。
步骤S400,在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件。在一些具体的实施例中,在计算节点A上运行命令进行抓包,获取明文数据。
步骤S500,将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件。在一些实施例中,通过vim命令打开第三文本文件testData.txt,搜索第一本文文件以及第二文本文件。搜索是否包含步骤S300中写入的内存测试数据和磁盘测试数据。
步骤S600,根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来确认集群的加密迁移的安全性。
根据本发明的集群加密迁移的安全性测试方法的一些实施方式,将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效还包括:
响应于由TCP协议更改为TLS协议失败或配置TLS协议生效失败,判定虚拟机的迁移为TCP协议明文迁移并结束后续测试步骤。
在本发明的一些实施例中,如图2所示,如果步骤S100中任意一项条件不满足,则虚拟机的迁移为TCP协议明文迁移,如果创建虚拟机写入数据并做网络抓包,查看抓包信息则一定可以获取到测试写入数据。因此当已知步骤S100中将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议失败,和/或配置计算节点支持TLS协议失败,和/或使TLS协议生效失败,则虚拟机的迁移为TCP协议明文迁移。
根据本发明的集群加密迁移的安全性测试方法的一些实施方式,运行CA证书的生成脚本为TLS协议部署CA证书还包括:
将CA证书的生成脚本的参数配置为计算节点的IP和密码。
在本发明的一些实施例中,脚本的参数为计算节点的IP和密码,IP和密码用下划线分割,多个计算节点用空格隔开。其形式为generate_tls_cert“nodeIp_inspurnode1Ip_inspur”。例如在一些实施例中:计算节点192.168.100.2、192.168.100.3,密码为inspur,则其脚本的形式为:generate_tls_cert“192.168.100.2_inspur 192.168.100.3_inspur”。
根据本发明的集群加密迁移的安全性测试方法的一些实施方式,在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件还包括:
根据目的主机的管理网的IP获取特定的计算节点的抓包信息。
在本发明的一些实施例中,dst_Ip为目的主机的管理网IP,testData.txt为抓包信息对应的第三文本文件。因此,抓包命令的脚本形式为tcpdump-i manageNetwork-n-nnhost dst_IP–w testData.txt。
根据本发明的集群加密迁移的安全性测试方法的一些实施方式,根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来测试集群的加密迁移的安全性还包括:
响应于搜索到第一本文文件中的内存测试数据和/或第二文本文件中的磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到第一本文文件中的内存测试数据和第二文本文件中的磁盘测试数据,判定迁移为加密迁移。
在本发明的一些实施例中,当TCP迁移没有对数据进行加密,则可以搜索到相应的内存和磁盘数据;当TLS迁移对数据进行加密,则输出文本文件为密文,故搜索不到被测试数据。
本发明实施例的另一方面,提出了一种集群加密迁移的安全性测试装置的实施例。该装置包括:
TLS协议配置模块,TLS协议配置模块配置为将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置计算节点支持TLS协议并使TLS协议生效;
CA证书部署模块,CA证书部署模块配置为运行CA证书的生成脚本为TLS协议部署CA证书;
测试数据模块,测试数据模块配置为在集群的任一计算节点上创建虚拟机,并为虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
抓包模块,抓包模块配置为在创建虚拟机的计算节点中运行抓包命令,并将抓包命令获取的抓包信息输出到第三文本文件;
迁移模块,迁移模块配置为将虚拟机迁移到目的主机,在第三文本文件中搜索第一本文文件以及第二文本文件;
判定模块,判定模块配置为根据是否可以搜索到第一本文文件中的内存测试数据以及第二文本文件中的磁盘测试数据来确认集群的加密迁移的安全性。
根据本发明的集群加密迁移的安全性测试装置的一些实施方式,抓包模块还配置为:
根据目的主机的管理网的IP获取特定的计算节点的抓包信息。
根据本发明的集群加密迁移的安全性测试装置的一些实施方式,判定模块还配置为:
响应于搜索到第一本文文件中的内存测试数据和/或第二文本文件中的磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到第一本文文件中的内存测试数据和第二文本文件中的磁盘测试数据,判定迁移为加密迁移。
基于上述目的,本发明实施例的另一方面,还提出了一种计算机设备,该计算机设备包括:至少一个处理器;以及存储器,存储器存储有可在处理器上运行的计算机程序,处理器执行程序时执行前述的集群加密迁移的安全性测试方法。
本发明实施例的再一方面,还提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,其特征在于,计算机程序被处理器执行时执行前述的集群加密迁移的安全性测试方法。
同样地,本领域技术人员应当理解,以上针对根据本发明的集群加密迁移的安全性测试方法阐述的所有实施方式、特征和优势同样地适用于根据本发明的装置、计算机设备和介质。为了本公开的简洁起见,在此不再重复阐述。
需要特别指出的是,上述集群加密迁移的安全性测试方法、装置、设备和介质的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于集群加密迁移的安全性测试方法、装置、设备和介质也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在实施例之上。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,集群加密迁移的安全性测试方法的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,程序的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。上述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,根据本发明实施例公开的方法还可以被实现为由处理器执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被处理器执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及系统单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDRSDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)、以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种集群加密迁移的安全性测试方法,其特征在于,所述方法包括:
将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置所述计算节点支持所述TLS协议并使所述TLS协议生效;
运行CA证书的生成脚本为所述TLS协议部署所述CA证书;
在所述集群的任一所述计算节点上创建虚拟机,并为所述虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
在创建所述虚拟机的所述计算节点中运行抓包命令,并将所述抓包命令获取的抓包信息输出到第三文本文件;
将所述虚拟机迁移到目的主机,在所述第三文本文件中搜索所述第一本文文件以及所述第二文本文件;
根据是否可以搜索到所述第一本文文件中的所述内存测试数据以及所述第二文本文件中的所述磁盘测试数据来确认所述集群的加密迁移的安全性。
2.根据权利要求1所述的集群加密迁移的安全性测试方法,其特征在于,所述将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置所述计算节点支持所述TLS协议并使所述TLS协议生效还包括:
响应于由TCP协议更改为TLS协议失败或配置所述TLS协议生效失败,判定所述虚拟机的迁移为TCP协议明文迁移并结束后续测试步骤。
3.根据权利要求1所述的集群加密迁移的安全性测试方法,其特征在于,所述运行CA证书的生成脚本为所述TLS协议部署所述CA证书还包括:
将所述CA证书的生成脚本的参数配置为所述计算节点的IP和密码。
4.根据权利要求1所述的集群加密迁移的安全性测试方法,其特征在于,所述在创建所述虚拟机的所述计算节点中运行抓包命令,并将所述抓包命令获取的抓包信息输出到第三文本文件还包括:
根据目的主机的管理网的IP获取特定的所述计算节点的所述抓包信息。
5.根据权利要求1所述的集群加密迁移的安全性测试方法,其特征在于,所述根据是否可以搜索到所述第一本文文件中的所述内存测试数据以及所述第二文本文件中的所述磁盘测试数据来测试所述集群的加密迁移的安全性还包括:
响应于搜索到所述第一本文文件中的所述内存测试数据和/或所述第二文本文件中的所述磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到所述第一本文文件中的所述内存测试数据和所述第二文本文件中的所述磁盘测试数据,判定迁移为加密迁移。
6.一种集群加密迁移的安全性测试装置,其特征在于,所述装置包括:
TLS协议配置模块,所述TLS协议配置模块配置为将集群中待测试的计算节点的迁移协议由TCP协议更改为TLS协议,配置所述计算节点支持所述TLS协议并使所述TLS协议生效;
CA证书部署模块,所述CA证书部署模块配置为运行CA证书的生成脚本为所述TLS协议部署所述CA证书;
测试数据模块,所述测试数据模块配置为在所述集群的任一所述计算节点上创建虚拟机,并为所述虚拟机创建包含内存测试数据的第一本文文件以及包含磁盘测试数据的第二文本文件;
抓包模块,所述抓包模块配置为在创建所述虚拟机的所述计算节点中运行抓包命令,并将所述抓包命令获取的抓包信息输出到第三文本文件;
迁移模块,所述迁移模块配置为将所述虚拟机迁移到目的主机,在所述第三文本文件中搜索所述第一本文文件以及所述第二文本文件;
判定模块,所述判定模块配置为根据是否可以搜索到所述第一本文文件中的所述内存测试数据以及所述第二文本文件中的所述磁盘测试数据来确认所述集群的加密迁移的安全性。
7.根据权利要求6所述的集群加密迁移的安全性测试装置,其特征在于,所述抓包模块还配置为:
根据目的主机的管理网的IP获取特定的所述计算节点的所述抓包信息。
8.根据权利要求6所述的集群加密迁移的安全性测试装置,其特征在于,所述判定模块还配置为:
响应于搜索到所述第一本文文件中的所述内存测试数据和/或所述第二文本文件中的所述磁盘测试数据,判定迁移为非加密迁移;
响应于搜索不到所述第一本文文件中的所述内存测试数据和所述第二文本文件中的所述磁盘测试数据,判定迁移为加密迁移。
9.一种计算机设备,其特征在于,包括:
至少一个处理器;以及
存储器,所述存储器存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-5任意一项所述的方法。
10.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-5任意一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010412107.2A CN111600775B (zh) | 2020-05-15 | 2020-05-15 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010412107.2A CN111600775B (zh) | 2020-05-15 | 2020-05-15 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111600775A true CN111600775A (zh) | 2020-08-28 |
CN111600775B CN111600775B (zh) | 2022-02-22 |
Family
ID=72182697
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010412107.2A Active CN111600775B (zh) | 2020-05-15 | 2020-05-15 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111600775B (zh) |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101369960A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 在下一代网络中处理消息的方法、装置及系统 |
CN101587453A (zh) * | 2009-06-18 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 数据备份处理方法、数据存储节点设备及数据存储装置 |
CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
CN103457933A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种虚拟机迁移安全策略动态配置系统和方法 |
CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
CN106844004A (zh) * | 2016-12-29 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
US9912638B2 (en) * | 2012-04-30 | 2018-03-06 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
CN109800058A (zh) * | 2019-01-23 | 2019-05-24 | 山东超越数控电子股份有限公司 | 一种虚拟机自动迁移方法 |
CN109992350A (zh) * | 2017-12-29 | 2019-07-09 | 北京华胜天成科技股份有限公司 | 云计算系统的资源池中虚拟机的迁移方法及装置 |
-
2020
- 2020-05-15 CN CN202010412107.2A patent/CN111600775B/zh active Active
Patent Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101369960A (zh) * | 2007-08-17 | 2009-02-18 | 华为技术有限公司 | 在下一代网络中处理消息的方法、装置及系统 |
CN101587453A (zh) * | 2009-06-18 | 2009-11-25 | 成都市华为赛门铁克科技有限公司 | 数据备份处理方法、数据存储节点设备及数据存储装置 |
US9912638B2 (en) * | 2012-04-30 | 2018-03-06 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
CN102711106A (zh) * | 2012-05-21 | 2012-10-03 | 中兴通讯股份有限公司 | 建立IPSec隧道的方法及系统 |
CN103065086A (zh) * | 2012-12-24 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 应用于动态虚拟化环境的分布式入侵检测系统及方法 |
CN104113574A (zh) * | 2013-04-19 | 2014-10-22 | 中国科学院计算技术研究所 | 一种广域网可信虚拟机的安全迁移方法及系统 |
CN103457933A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种虚拟机迁移安全策略动态配置系统和方法 |
CN106844004A (zh) * | 2016-12-29 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
CN109992350A (zh) * | 2017-12-29 | 2019-07-09 | 北京华胜天成科技股份有限公司 | 云计算系统的资源池中虚拟机的迁移方法及装置 |
CN109783192A (zh) * | 2018-12-18 | 2019-05-21 | 北京可信华泰信息技术有限公司 | 一种虚拟机安全迁移系统 |
CN109800058A (zh) * | 2019-01-23 | 2019-05-24 | 山东超越数控电子股份有限公司 | 一种虚拟机自动迁移方法 |
Non-Patent Citations (2)
Title |
---|
SHANE MILLER,: ""Multilayer Perceptron Neural Network for Detection of Encrypted VPN Network Traffic"", 《 2018 INTERNATIONAL CONFERENCE ON CYBER SITUATIONAL AWARENESS, DATA ANALYTICS AND ASSESSMENT (CYBER SA)》 * |
周帆,: "" 基于SAML实现信任迁移的安全引擎"", 《中国优秀硕士学位论文全文数据库-信息科技辑》 * |
Also Published As
Publication number | Publication date |
---|---|
CN111600775B (zh) | 2022-02-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483509A (zh) | 一种身份验证方法、服务器及可读存储介质 | |
US20180227366A1 (en) | Providing access to a resource for a computer from within a restricted network | |
US9219611B1 (en) | Systems and methods for automating cloud-based code-signing services | |
US20210328813A1 (en) | Blockchain integrated stations and automatic node adding methods and apparatuses | |
US20190199687A1 (en) | Dynamically opening ports for trusted application processes hosted in containers | |
US11856015B2 (en) | Anomalous action security assessor | |
US11729221B1 (en) | Reconfigurations for network devices | |
JP6967074B2 (ja) | 不正なクライアント・アプリケーションからのウェブ・サーバの保護 | |
US10812272B1 (en) | Identifying computing processes on automation servers | |
CN111125725A (zh) | 一种镜像校验的加解密方法、设备及介质 | |
CN110765449A (zh) | 一种基于安全芯片的身份认证的方法、设备及介质 | |
Prigent et al. | IpMorph: fingerprinting spoofing unification | |
US11997215B2 (en) | Secret protection during software development life cycle | |
CN111600775B (zh) | 一种集群加密迁移的安全性测试方法、装置、设备和介质 | |
KR20140140974A (ko) | 클라우드 환경에 비밀분산 기법을 이용한 데이터 보호 방법 | |
CN116455677B (zh) | 电力调控数据泄露追踪方法、装置、电子设备和存储介质 | |
CN111176904B (zh) | 一种私有云架构下的数据备份的方法、系统、设备及介质 | |
CN111858538B (zh) | 一种集群配置BeeGFS配额的方法、装置、设备和介质 | |
CN109525478A (zh) | 一种ssl vpn连接方法及装置 | |
CN109726572A (zh) | 数据管控方法、装置、设备、计算机存储介质及系统 | |
CN115114657A (zh) | 数据保护方法、电子设备及计算存储介质 | |
US11909764B1 (en) | Man-in-the-middle interceptor for application security testing | |
CN111292082A (zh) | 一种块链式账本中的公钥管理方法、装置及设备 | |
CN111130976A (zh) | 一种配置白盒交换机虚拟局域网的方法、设备及介质 | |
CN113347203B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |