CN111737081B - 云服务器监控方法、装置、设备及存储介质 - Google Patents
云服务器监控方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN111737081B CN111737081B CN202010547614.7A CN202010547614A CN111737081B CN 111737081 B CN111737081 B CN 111737081B CN 202010547614 A CN202010547614 A CN 202010547614A CN 111737081 B CN111737081 B CN 111737081B
- Authority
- CN
- China
- Prior art keywords
- hardware
- cloud server
- software
- reference value
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3003—Monitoring arrangements specially adapted to the computing system or computing system component being monitored
- G06F11/3037—Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a memory, e.g. virtual memory, cache
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及人工智能领域,公开了一种云服务器监控方法、装置、设备及存储介质。云服务器监控方法包括:检测当前是否存在云服务器定时监控任务;若存在,则根据预置硬件可信完整性校验策略和/或软件可信完整性校验策略,得到对应的硬件环境监控值和/或软件环境监控值,并分别判断其与硬件环境基准值和/或软件环境基准值是否一致,若不一致,则判断当前云服务器是否满足预置告警条件;若满足告警条件,则生成硬件可信报告和/或软件可信报告并发送至对应用户。本方案可实现用户对云服务器的安全性监控,以保障在云服务器上数据的安全性。此外,本发明还涉及区块链技术,硬件环境基准值和/或软件环境基准值可存储于区块链中。
Description
技术领域
本发明涉及人工智能领域,尤其涉及一种云服务器监控方法、装置、设备及存储介质。
背景技术
随着互联网的发展,越来越多的公司需要搭建服务器,以对外提供线上服务。然而对于中小型用户而言,购买、搭建、维护服务器的成本过于昂贵。因此云服务器就应运而生。简单来说,提供云服务器的云服务商负责购买硬件设备,并提供计算、存储、在线备份等基础互联网服务,而用户只需要通过连接接口,对提供商的服务器进行系统部署、软件配置和维护运营,甚至可以完全托管给提供商。从而减少了用户在线上服务的支出成本,且提高服务效率。
然而,由于用户将服务半托管,甚至完全托管给云服务商,因此在服务过程中,若出现信息泄露、环境破坏等问题,用户可能无法得知。例如云服务商发现某个服务器的硬盘出现故障,他们会将该硬盘的备份硬盘替换原有的硬盘。若该硬盘上存储有商业机密,则存在严重的数据泄漏风险。因此,亟需一种对云服务器的环境完整性进行有力的监控的机制,从而减少提供云服务过程中出现风险的可能。
发明内容
本发明的主要目的在于解决用户无法对云服务器的环境完整性进行监控的问题。
本发明第一方面提供了一种云服务器监控方法,包括:
检测当前是否存在云服务器定时监控任务;
若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;
若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
可选的,在本发明第一方面的第一种实现方式中,所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,在所述检测当前是否存在定时监控任务之前,还包括:
获取预置硬件可信完整性校验策略;
根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值。
可选的,在本发明第一方面的第二种实现方式中,所述软件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,在所述根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值之后,还包括:
获取所述服务器租赁用户选择的云服务器校验策略配置参数,其中,所述云服务器校验策略配置参数包括开启或关闭软件可信完整性校验策略;
当开启软件可信完整性校验策略时,根据所述云服务器校验策略配置参数,开启云服务器定时监控任务;
根据所述软件可信完整性校验策略中指定的软件名称,获取当前云服务器中对应软件文件;
根据所述软件可信完整性校验策略中指定的第二度量算法,对所述软件文件进行计算,得到所述软件环境基准值。
可选的,在本发明第一方面的第三种实现方式中,所述云服务器校验策略配置参数还包括开启或关闭硬件可信完整性校验策略。
可选的,在本发明第一方面的第四种实现方式中,所述若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件包括:
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则将预置不可信次数加1;
判断当前不可信次数是否达到预置不可信次数阈值;
若增加后的不可信次数达到预置不可信次数阈值,则确定当前云服务器满足告警条件。
可选的,在本发明第一方面的第五种实现方式中,所述若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户包括:
若当前云服务器满足告警条件,则获取预置可信报告模板;
将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到硬件可信报告和/或软件可信报告;
根据预置邮件地址和预置电话号码,将所述硬件可信报告和/或软件可信报告和预置报警短信发送至所述服务器租赁用户。
可选的,在本发明第一方面的第六种实现方式中,所述云服务器监控方法还包括:
获取所述服务器租赁用户更新后的云服务器校验策略配置参数;
根据更新后的云服务器校验策略配置参数,对所述硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新;
根据更新后的硬件可行完整性校验策略和/或软件可行完整性校验策略,对所述硬件环境基准值和/或所述软件环境基准值进行更新。
本发明第二方面提供了一种云服务器监控装置,包括:
检测模块,用于检测当前是否存在云服务器定时监控任务;
校验模块,用于若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验;
其中,所述校验模块包括:
硬件校验单元,用于执行云服务器硬件可信完整性校验,具体包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
软件校验单元,用于执行云服务器软件可信完整性校验,具体包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
待机模块,用于若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
判断模块,用于若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
告警模块,用于若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
可选的,在本发明第二方面的第一种实现方式中,所述检测模块之前包括硬件度量模块,所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,所述硬件度量模块具体用于:
获取预置硬件可信完整性校验策略;
根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值。
可选的,在本发明第二方面的第二种实现方式中,所述软件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,所述硬件度量模块之后还连接有软件度量模块,所述软件度量模块具体用于:
获取所述服务器租赁用户选择的云服务器校验策略配置参数,其中,所述云服务器校验策略配置参数包括开启或关闭软件可信完整性校验策略;
当开启软件可信完整性校验策略时,根据所述云服务器校验策略配置参数,开启云服务器定时监控任务;
根据所述软件可信完整性校验策略中指定的软件名称,获取当前云服务器中对应软件文件;
根据所述软件可信完整性校验策略中指定的第二度量算法,对所述软件文件进行计算,得到所述软件环境基准值。
可选的,在本发明第二方面的第三种实现方式中,所述云服务器校验策略配置参数还包括开启或关闭硬件可信完整性校验策略。
可选的,在本发明第二方面的第四种实现方式中,所述判断模块具体用于:
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则将预置不可信次数加1;
判断当前不可信次数是否达到预置不可信次数阈值;
若增加后的不可信次数达到预置不可信次数阈值,则确定当前云服务器满足告警条件。
可选的,在本发明第二方面的第五种实现方式中,所述告警模块具体用于:
若当前云服务器满足告警条件,则获取预置报告模板;
将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到报警报告;
根据预置邮件地址和预置电话号码,将所述报警报告发送至对应的服务器租赁用户并将预置报警短信发送至所述服务器租赁用户。
可选的,在本发明第二方面的第六种实现方式中,所述云服务器监控装置还包括更新模块,所述更新模块具体用于:
若当前云服务器满足告警条件,则获取预置可信报告模板;
将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到硬件可信报告和/或软件可信报告;
根据更新后的硬件可行完整性校验策略和/或软件可行完整性校验策略,对所述硬件环境基准值和/或所述软件环境基准值进行更新。
本发明第三方面提供了一种云服务器监控设备,包括:存储器和至少一个处理器,所述存储器中存储有指令,所述存储器和所述至少一个处理器通过线路互连;所述至少一个处理器调用所述存储器中的所述指令,以使得所述云服务器监控设备执行上述的云服务器监控方法。
本发明的第四方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述的云服务器监控方法。
本发明方案中,先检测是否存在定时监控任务,若存在,则进行硬件可信完整性校验,以判断当前云服务器的硬件环境是否完整,通过后,再进行软件可信完整性校验,以判断当前云服务器的软件环境是否完整,如果都通过,再等待下一次监控。如果不通过,则生成硬件可信报告和/或软件可信报告,并发送给用户。因此本发明能够从硬件环境和软件环境两个层面实现对云服务器的定时监控,从而降低数据泄露风险,提高用户的数据的安全性。此外,由于硬件/软件环境完整性校验是建立于可信的预置硬件/软件环境基准值的基础上,因此为保障硬件/软件环境基准值的可信性,本方案采用将硬件/软件环境基准值存储于可信芯片的NV空间或区块链上。为提高监控的灵活性,本发明还为用户提供的硬件/软件可信完整性校验策略都是可自由选择和更新。此外,本发明为保障监控的严谨性,设置当监控发现的不可信次数达到一定阈值才发出硬件可信报告和/或软件可信报告。
附图说明
图1为本发明实施例中云服务器监控方法的第一个实施例示意图;
图2为本发明实施例中云服务器监控方法的第二个实施例中硬件/软件可信完整性校验策略配置部分的示意图;
图3为本发明实施例中云服务器监控方法的第二个实施例中对云服务器进行监控的示意图;
图4为本发明实施例中云服务器监控方法的第三个实施例示意图;
图5为本发明实施例中云服务器监控方法的第四个实施例示意图;
图6为本发明实施例中云服务器监控装置的第一个实施例示意图;
图7为本发明实施例中云服务器监控装置的第一个实施例示意图;
图8为本发明实施例中云服务器监控设备的一个实施例示意图。
具体实施方式
本发明实施例提供了一种云服务器监控方法、装置、设备及存储介质,本发明方案中,先检测是否存在定时监控任务,若存在,则进行硬件可信完整性校验,以判断当前云服务器的硬件环境是否完整,通过后,再进行软件可信完整性校验,以判断当前云服务器的软件环境是否完整,如果都通过,再等待下一次监控。如果不通过,则生成硬件可信报告和/或软件可信报告,并发送给用户。因此本发明能够从硬件环境和软件环境两个层面实现对云服务器的定时监控,从而降低数据泄露风险,提高用户的数据的安全性。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本发明实施例的具体流程进行描述,请参阅图1,本发明实施例中云服务器监控方法的第一个实施例包括:
101、检测当前是否存在云服务器定时监控任务;
可以理解的是,本发明的执行主体可以为云服务器监控装置,还可以是终端或者服务器等,具体此处不做限定。本发明实施例以云服务器监控装置为执行主体为例进行说明。
在本实施例中,本装置中装有云服务器租赁用户预先设定的云服务器校验策略。在该校验策略中,包含有监控周期,每隔一段监控周期,对会发起对云服务器的监控任务。因此,在本装置运行过程中,检测当前是否存在云服务器定时监控任务。
102、若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:
根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
在本实施例中,开发者预设的硬件可信完整性校验策略至本装置。在云服务器被租赁之前,先本装置先获取硬件可信完整性校验策略中指定的硬件的属性值。然后采用硬件可信完整性校验策略中指定的第一度量算法对硬件的属性值进行计算,得到硬件环境基准值。为保护硬件环境基准值的可靠性,本方案优选的,将硬件环境基准值存储于可信安全芯片或区块链上。
然后采用第一度量算法对当前云服务器对应的硬件的属性值进行计算,得到对应的硬件环境监控值,并将其与硬件环境基准值进行比对。
若硬件环境监控值和硬件环境基准值一致,则说明当前云服务器的硬件环境完整,再进行云服务器软件可信完整性校验。
在云服务器租赁用户刚开始使用云服务器时,会收集其选定云服务器校验策略配置参数,其中包含软件可信完整性校验策略。该策略包括第二度量算法和指定的软件名称。在初次运行时,先根据指定的软件名称,获取对应的软件文件,然后在通过第二度量算法,得到对应的软件环境监测值。
103、若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
若软件环境监控值与软件环境一致,则说明当前软件环境完整,故等待进入下一轮的定时监控任务。
104、若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
若硬件环境监控值与硬件环境基准值不一致,或者软件环境监控值与软件环境基准值不一致,就说明当前云服务器可能存在风险。为提供监控的严谨性,避免因为误报引起的错误预警。对每一次不一致的情形都会计数,当技术达到预置阈值时,才判定当前云服务器满足预置告警条件。
105、若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
若满足告警条件,则获取预置的报告模板,并将不一致的硬件/软件环境监控值和硬件/软件环境基准值写入报告模板中,得到硬件可信报告和/或软件可信报告,并将其发送给对应的云服务器租赁用户。
本发明实施例中,提供一种云服务器的监控方法,检测存在定时监控任务,先进行硬件可信完整性校验,通过后,再进行软件可信完整性校验,如果都通过,再等待下一次。如果不通过,则生成硬件可信报告和/或软件可信报告,并发送给用户。因此本发明能够从硬件环境和软件环境两个层面实现对云服务器的定时监控,从而降低数据泄露风险,提高用户的数据的安全性。
请参阅图2和图3,本发明实施例中云服务器监控方法的第二个实施例包括:
201、获取预置硬件可信完整性校验策略;
开发者预先将需要监控的硬件对象的名称写入硬件可信完整性校验策略中,并将该硬件可信完整性校验策略存储于本装置。在本实施例中,硬件名称包括系统引导扇区、BIOS固件、硬盘序列号等。
安全芯片,又称为可信任平台模块,是一个可独立进行密钥生成、加密解密的装置,内部拥有独立的处理器和存储单元,可存储密钥和特征数据。目前常用的可信安全芯片有两种,一种是TPM(Trusted Platform Module)安全芯片,是指符合TPM规范的可信安全芯片,主要由国外厂商出厂;另一种是TCM(Trusted Cryptography Module,可信安全模块),是由长城、中兴等公司联合推出。由于可信安全芯片的加密措施,本方案采用它们存储硬件环境基准值和/或软件环境基准值。本方案不限制采用的可信芯片的类型,本实施例仅以TPM芯片为例进行方案描述。
当TPM芯片插入需要进行监控的云服务器时,本装置获取开发者预置的硬件可信完整性校验策略。
202、根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据硬件可信完整性校验策略中指定的硬件名称,获取安装有TPM芯片的云服务器中对应硬件的属性值。以硬盘序列号(Hard Disk Serial Number)进行简单描述。硬盘序列号的简称为SN号,硬盘厂家为区别不同的硬盘产品,为硬盘增加的编码,该编码是唯一且不可变的。先读取/etc/mtab文件,找到挂在的设备文件,然后通过系统调用ioctl获取设备文件中的信息。再在得到的信息中提取对应的属性值,该值即为当前服务器中硬盘序列号。引导扇区、BIOS固件等硬件所对应的属性值都可通过类似的方式获得,由于本技术已非常成熟,因此不在一一赘述。
203、根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值,其中所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中;
目前常采用的对服务器的硬件信息和软件信息进行度量的度量算法为哈希算法。目前可信安全芯片所支持的哈希算法有SHA256、SM3等。由于TPM的标配是SHA256算法,因此本实施例以SHA256作为第一度量算法,对硬件属性值进行度量。
SHA256是SHA-2下细分出来的一种算法,SHA256能够将任意长度的字符串或文件转化为一个256bit长度的哈希值。在Python、java等常用计算机语言中都可进行SHA256加密。以Python为例,在Python的预置的hash算法库hashlib中已包含有SHA256算法。先导入hashlib算法库,并采用x=hashlib.sha256(),提取SHA256算法,并赋予第一度量算法对应的变量x。然后通过第一度量算法,对得到的SN号,以123为例,进行计算。最后得到SN号对应的硬件环境基准值“a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3”。
为保障硬件环境基准值不被恶意篡改或丢失,将其导入可信安全芯片中的NV空间。NV空间(Non-Volatile Random Access Memory,非易失性(或非发挥性)随机访问存储器),也简写为NVRAM。NVRAM具有不易丢失的特性。在本实施例中,NVRAM用于存储硬件环境基准值和软件环境基准值。
TPM可维持一条静态信任链。静态信任链用于平台开机后度量。在信任链上包含多个PCR(Platform Configuration Register,平台配置寄存器),如第一个用于存储BIOS,属性值为A,哈希值为B;第二个用于扩展了平台配置,属性值为B,此时将(A+B)作为整体,对其采用第一度量算法进行度量,得到哈希值C。而PCR上存储的数据同时会被存储与NV空间中。由于TPM上的数据都会进行加密,因此会被进行较强保密和监控,从而增加硬件环境基准值和软件环境基准值的可信性,提高环境的完整性校验的准确性。需要强调的是,为进一步保证上述硬件环境基准值私密和安全性,上述硬件环境基准值还可以存储于一区块链的节点中。
204、获取所述服务器租赁用户选择的云服务器校验策略配置参数,其中,所述云服务器校验策略配置参数包括开启或关闭软件可信完整性校验策略,开启或关闭硬件可信完整性校验策略;
操作系统内核为设备上的第一层软件,是整个操作系统和设备的核心构件之一。由于操作系统内核在运行过程中可能受到缓冲区溢出、直接内存存取外设攻击等攻击行为,使操作系统进入非预期状态,从而造成整个软件环境的不可信。因此本方案提供能够实现软件层面的可信完整性校验策略。
硬件环境基准值写入预置可信安全芯片后,该服务器可进行上架租赁,提供云服务。在服务器租赁用户开启云服务器时,首先会弹出选项框,以便用户选择云服务器校验策略配置参数。其中云服务器校验策略配置参数包括有开启或关闭软件可信完整性校验策略,开启或关闭硬件可信完整性校验策略。
此外,在硬件可信完整性校验策略中还可选择是否进行硬件可信完整性校验策略。部分用户在开始使用时,可能较为关注使用前的硬件环境完整性,以此为用户提供更多的监控选择。
205、当开启软件可信完整性校验策略时,根据所述云服务器校验策略配置参数,开启云服务器定时监控任务;
当用户选择开启软件可信完整性校验策略时,弹出具体的软件可信完整性校验策略配置参数,例如采用的第二度量算法的类型,需要对那些文件进行度量,监控周期等等。常使用的待度量的软件文件有操作系统的内核文件。如在ubuntu中,内核文件的文件名为.config。
206、根据所述软件可信完整性校验策略中指定的软件名称,获取当前云服务器中对应软件文件;
将“.config”文件默认的保存路径“/usr/src/linux-headers-VERSION-generic/.config”赋值至String filePath,从而获得软件清单中文件名称对应的软件文件。
207、根据所述软件可信完整性校验策略中指定的第二度量算法,对所述软件文件进行计算,得到所述软件环境基准值,其中所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中;
在本实施例中,第二度量算法是仍然是SHA256算法。采用SHA256对得到的StringfilePath进行计算,从而得到“.config”对应的哈希值,即软件环境基准值。
需要强调的是,为进一步保证上述软件环境基准值的私密和安全性,上述软件环境基准值还可以存储于一区块链的节点或/和区块链中。
208、检测当前是否存在云服务器定时监控任务;
209、若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
210、若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
211、若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
212、若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
本发明实施例中,在进行监控之前,根据预置硬件可信完整性校验策略,获得硬件环境基准值,以便用户在开始使用云服务器之前对硬件环境进行一次完整度量。此外,本实施例还提供用户自由选择是否开启硬件可信完整性校验策略或软件可信完整性校验策略。若其选择开启软件可信完整性校验策略,则根据其选择的云服务器校验策略配置参数,得到软件环境基准值,并开启监控服务。其中,由于本方案中软件环境基准值和硬件环境基准值存储于可信任安全芯片和区块链中,因此可对两者进行更好的保护,从而减少被篡改的风险,提高后期校验结果的可信性。
请参阅图3,本发明实施例中云服务器监控方法的第三个实施例包括:
301、检测当前是否存在云服务器定时监控任务;
302、若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
303、若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
304、若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则将预置不可信次数加1;
若硬件环境监控值和硬件环境基准值不一致,或者软件环境监控值与软件环境基准值不一致,则说明当前可能存在环境变化。但是在现实应用中,可能存在误报的可能,因此为保证严谨性,在用户选择云服务器校验策略配置参数,可设定不可信次数阈值。每发生一次都在不可信次数上加1,逐步累积。
305、判断当前不可信次数是否达到预置不可信次数阈值;
每一次增加不可信次数,都对当前的不可信次数与预置不可信次数阈值进行对比,并判断其是否达到不可信次数阈值。
306、若增加后的不可信次数达到预置不可信次数阈值,则确定当前云服务器满足告警条件;
307、若当前云服务器满足告警条件,则获取预置可信报告模板;
开发者预先将可信报告模板写入本装置中。可信报告模板包含标题、字符串名(在本实施例中为硬件环境监控值和硬件环境基准值)、各个字符串名对应的写入规则、判断结果等等。若当前云服务器满足告警条件,则获取该可信报告模板
308、将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到硬件可信报告和/或软件可信报告;
按照各个字符串名对应的写入规则,将不一致的硬件环境监控值和硬件环境基准值,或者所述软件环境监控值和软件环境基准值写入可信报告模板中,从而得到硬件可信报告和/或软件可信报告。
此外,可信报警报告中还对每对硬件(软件)环境监控值和硬件(软件)环境基准值进行判定,一致的,判定为可信,不一致的,判定为不可信,以便用户快速找出存在问题的硬件或软件。
309、根据预置邮件地址和预置电话号码,将所述硬件可信报告和/或软件可信报告和预置报警短信发送至所述服务器租赁用户。
最后根据预置的邮件地址,将硬件可信报告和/或软件可信报告发送至服务器租赁用户。同时,为加快服务器租赁用户的处理速度,还发送报警短信给对方。
在本实施例中,对监控过程中的报警过程进行了描述和补充。一方面,为保证监控结果的严谨性,减少误报的发生,设置了不可信次数阈值,只有当不可信次数达到阈值,才会进行报警。另一方面,为方便服务器租赁用户快速找到不可信的硬件或软件,可信报告中存在不一致的硬件(软件)环境监控值和硬件(软件)环境基准值,且在发送可信报告至邮箱后,还会发送短信进行提醒。
请参阅图4,本发明实施例中云服务器监控方法的第五个实施例包括:
401、检测当前是否存在云服务器定时监控任务;
402、若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
403、若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
404、若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
405、若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户;
406、获取所述服务器租赁用户更新后的云服务器校验策略配置参数;
由于在云服务器在提供云服务的过程中,不可避免会出现硬件更新换代,软件更新,增加补丁等情形。因此为增减监控的灵活,本发明还提供一种对云服务器校验策略的更新方案。
首先获取所述服务器租赁用户更新后的云服务器校验策略配置参数。
407、根据更新后的云服务器校验策略配置参数,对所述硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新;
然后更新后的云服务器校验策略配置参数,对所述硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新,可更新的云服务器校验策略配置参数包括度量算法、待度量的软件名称、监控周期等等。
408、根据更新后的硬件可行完整性校验策略和/或软件可行完整性校验策略,对所述硬件环境基准值和/或所述软件环境基准值进行更新。
由于硬件可行完整性校验策略和/或软件可行完整性校验策略发生了变更,因此硬件环境基准值和/或所述软件环境基准值也需要根据更新后的硬件可行完整性校验策略和/或软件可行完整性校验策略,对NV空间中的硬件环境基准值和/或所述软件环境基准值进行更新。
在本实施例中,为提高云服务器监控的灵活性,提供了一种对硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新的方案。此外,在对策略进行更新的同时,也会对硬件环境基准值和/或所述软件环境基准值进行更新。
上面对本发明实施例中云服务器监控方法进行了描述,下面对本发明实施例中云服务器监控装置进行描述,请参阅图6,本发明实施例中云服务器监控装置第一个实施例包括:
检测模块601,用于检测当前是否存在云服务器定时监控任务;
校验模块602,用于若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述校验模块602包括:
硬件校验单元6021,用于执行云服务器硬件可信完整性校验,具体包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
软件校验单元6022,用于执行云服务器软件可信完整性校验,具体包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
待机模块603,用于若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
判断模块604,用于若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
告警模块605,用于若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
本发明实施例中,提供一种云服务器的监控方法,检测存在定时监控任务,先进行硬件可信完整性校验,通过后,再进行软件可信完整性校验,如果都通过,再等待下一次。如果不通过,则生成硬件可信报告和/或软件可信报告,并发送给用户。因此本发明能够从硬件环境和软件环境两个层面实现对云服务器的定时监控,从而降低数据泄露风险,提高用户的数据的安全性。
请参阅图7,本发明实施例中云服务器监控装置的第二个实施例包括:
检测模块701,用于检测当前是否存在云服务器定时监控任务;
校验模块702,用于若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述校验模块702包括:
硬件校验单元7021,用于执行云服务器硬件可信完整性校验,具体包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
软件校验单元7022,用于执行云服务器软件可信完整性校验,具体包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
待机模块703,用于若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
判断模块704,用于若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
告警模块705,用于若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户。
其中,所述检测模块701之前包括硬件度量模块707,所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,所述硬件度量模块707具体用于:
获取预置硬件可信完整性校验策略;
根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值。
其中,所述硬件度量模块707之后还连接有软件度量模块708,所述软件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,所述软件度量模块708具体用于:
获取所述服务器租赁用户选择的云服务器校验策略配置参数,其中,所述云服务器校验策略配置参数包括开启或关闭软件可信完整性校验策略;
当开启软件可信完整性校验策略时,根据所述云服务器校验策略配置参数,开启云服务器定时监控任务;
根据所述软件可信完整性校验策略中指定的软件名称,获取当前云服务器中对应软件文件;
根据所述软件可信完整性校验策略中指定的第二度量算法,对所述软件文件进行计算,得到所述软件环境基准值。
可选的,所述云服务器校验策略配置参数还包括开启或关闭硬件可信完整性校验策略。
可选的,所述判断模块705具体用于:
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则将预置不可信次数加1;
判断当前不可信次数是否达到预置不可信次数阈值;
若增加后的不可信次数达到预置不可信次数阈值,则确定当前云服务器满足告警条件。
可选的,所述告警模块706具体用于:
若当前云服务器满足告警条件,则获取预置报告模板;
将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到报警报告;
根据预置邮件地址和预置电话号码,将所述报警报告发送至对应的服务器租赁用户并将预置报警短信发送至所述服务器租赁用户。
其中,所述云服务器监控装置还包括更新模块709,所述更新模块709具体用于:
获取所述服务器租赁用户更新后的云服务器校验策略配置参数;
根据更新后的云服务器校验策略配置参数,对所述硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新,并生成对应的硬件更新值和/或软件更新值;
将所述硬件更新值和/或所述软件更新值分别替换对应的所述硬件环境基准值和/或所述软件环境基准值。
在上一实施例基础上,本实施例还提供用户自由选择是否开启硬件可信完整性校验策略或软件可信完整性校验策略。若其选择开启软件可信完整性校验策略,则根据其选择的云服务器校验策略配置参数,得到软件环境基准值,并开启监控服务。其中,由于本方案中软件环境基准值和硬件环境基准值存储于可信任安全芯片和区块链中,因此可对两者进行更好的保护,从而减少被篡改的风险,提高后期校验结果的可信性。此外,为保证监控结果的严谨性,减少误报的发生,设置了不可信次数阈值,只有当不可信次数达到阈值,才会进行报警。最后,为提高云服务器监控的灵活性,提供了一种对硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新的方案。
上面图6和图7从模块化功能实体的角度对本发明实施例中的云服务器监控装置进行详细描述,下面从硬件处理的角度对本发明实施例中云服务器监控设备进行详细描述。
图8是本发明实施例提供的一种云服务器监控设备的结构示意图,该云服务器监控设备800可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)810(例如,一个或一个以上处理器)和存储器820,一个或一个以上存储应用程序833或数据832的存储介质830(例如一个或一个以上海量存储设备)。其中,存储器820和存储介质830可以是短暂存储或持久存储。存储在存储介质830的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对云服务器监控设备800中的一系列指令操作。更进一步地,处理器810可以设置为与存储介质830通信,在云服务器监控设备800上执行存储介质830中的一系列指令操作。
基于云服务器监控设备800还可以包括一个或一个以上电源830,一个或一个以上有线或无线网络接口850,一个或一个以上输入输出接口860,和/或,一个或一个以上操作系统831,例如Windows Serve,Mac OS X,Unix,Linux,FreeBSD等等。本领域技术人员可以理解,图8示出的云服务器监控设备结构并不构成对基于云服务器监控设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
本发明还提供一种计算机可读存储介质,该计算机可读存储介质可以为非易失性计算机可读存储介质,该计算机可读存储介质也可以为易失性计算机可读存储介质,所述计算机可读存储介质中存储有指令,当所述指令在计算机上运行时,使得计算机执行所述云服务器监控方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种云服务器监控方法,其特征在于,所述云服务器监控方法包括:
检测当前是否存在云服务器定时监控任务;
若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述云服务器硬件可信完整性校验包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
其中,所述云服务器软件可信完整性校验包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户;
所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,在所述检测当前是否存在定时监控任务之前,还包括:
获取预置硬件可信完整性校验策略;
根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值。
2.根据权利要求1所述的云服务器监控方法,其特征在于,所述软件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,在所述根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值之后,还包括:
获取所述服务器租赁用户选择的云服务器校验策略配置参数,其中,所述云服务器校验策略配置参数包括开启或关闭软件可信完整性校验策略;
当开启软件可信完整性校验策略时,根据所述云服务器校验策略配置参数,开启云服务器定时监控任务;
根据所述软件可信完整性校验策略中指定的软件名称,获取当前云服务器中对应软件文件;
根据所述软件可信完整性校验策略中指定的第二度量算法,对所述软件文件进行计算,得到所述软件环境基准值。
3.根据权利要求2所述的云服务器监控方法,其特征在于,所述云服务器校验策略配置参数还包括开启或关闭硬件可信完整性校验策略。
4.根据权利要求1所述的云服务器监控方法,其特征在于,所述若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件包括:
若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则将预置不可信次数加1;
判断当前不可信次数是否达到预置不可信次数阈值;
若增加后的不可信次数达到预置不可信次数阈值,则确定当前云服务器满足告警条件。
5.根据权利要求1所述的云服务器监控方法,其特征在于,所述若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户包括:
若当前云服务器满足告警条件,则获取预置可信报告模板;
将所述硬件环境监控值和所述硬件环境基准值,或者所述软件环境监控值和所述软件环境基准值写入所述报告模板中,得到硬件可信报告和/或软件可信报告;
根据预置邮件地址和预置电话号码,将所述硬件可信报告和/或软件可信报告和预置报警短信发送至所述服务器租赁用户。
6.根据权利要求1-5中任一项所述的云服务器监控方法,其特征在于,所述云服务器监控方法还包括:
获取所述服务器租赁用户更新后的云服务器校验策略配置参数;
根据更新后的云服务器校验策略配置参数,对所述硬件可行完整性校验策略和/或软件可行完整性校验策略进行更新;
根据更新后的硬件可行完整性校验策略和/或软件可行完整性校验策略,对所述硬件环境基准值和/或所述软件环境基准值进行更新。
7.一种云服务器监控装置,其特征在于,所述云服务器监控装置包括:
检测模块,用于检测当前是否存在云服务器定时监控任务;
校验模块,用于若当前存在云服务器定时监控任务,则触发执行云服务器硬件可信完整性校验和/或云服务器软件可信完整性校验;
其中,所述校验模块包括:
硬件校验单元,用于执行云服务器硬件可信完整性校验,具体包括:根据预置硬件可信完整性校验策略,生成当前云服务器对应的硬件环境监控值,并判断所述硬件环境监控值与预置硬件环境基准值是否一致;若所述硬件环境监控值与所述硬件环境基准值一致,则触发执行云服务器软件可信完整性校验;
软件校验单元,用于执行云服务器软件可信完整性校验,具体包括:根据预置软件可信完整性校验策略,生成当前云服务器对应的软件环境监控值,并判断所述软件环境监控值与预置软件环境基准值是否一致;
待机模块,用于若所述硬件环境监控值与所述硬件环境基准值一致,和/或若所述软件环境监控值与预置软件环境基准值一致,则等待进入下一轮定时监控任务;
判断模块,用于若所述硬件环境监控值与所述硬件环境基准值不一致,或者所述软件环境监控值与所述软件环境基准值不一致,则判断当前云服务器是否满足预置告警条件;
告警模块,用于若满足所述告警条件,则生成当前云服务器对应的硬件可信报告和/或软件可信报告并发送至对应云服务器租赁用户;
所述硬件环境基准值存储于区块链和/或预置可信安全芯片中的NV空间中,在所述检测当前是否存在定时监控任务之前,还包括:
获取预置硬件可信完整性校验策略;
根据所述硬件可信完整性校验策略中指定的硬件名称,获取当前云服务器中对应硬件的属性值;
根据所述硬件可信完整性校验策略中指定的第一度量算法,对所述硬件的属性值进行计算,得到所述硬件的硬件环境基准值。
8.一种云服务器监控设备,其特征在于,所述云服务器监控设备包括:存储器和至少一个处理器,所述存储器中存储有指令,所述存储器和所述至少一个处理器通过线路互连;
所述至少一个处理器调用所述存储器中的所述指令,以使得所述云服务器监控设备执行如权利要求1-6中任一项所述的云服务器监控方法。
9.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的云服务器监控方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010547614.7A CN111737081B (zh) | 2020-06-16 | 2020-06-16 | 云服务器监控方法、装置、设备及存储介质 |
| PCT/CN2020/122338 WO2021139308A1 (zh) | 2020-06-16 | 2020-10-21 | 云服务器监控方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010547614.7A CN111737081B (zh) | 2020-06-16 | 2020-06-16 | 云服务器监控方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111737081A CN111737081A (zh) | 2020-10-02 |
| CN111737081B true CN111737081B (zh) | 2022-05-17 |
Family
ID=72649373
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010547614.7A Active CN111737081B (zh) | 2020-06-16 | 2020-06-16 | 云服务器监控方法、装置、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN111737081B (zh) |
| WO (1) | WO2021139308A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111737081B (zh) * | 2020-06-16 | 2022-05-17 | 平安科技(深圳)有限公司 | 云服务器监控方法、装置、设备及存储介质 |
| CN114389971B (zh) * | 2022-03-23 | 2022-12-23 | 苏州浪潮智能科技有限公司 | 一种智能监控微调整方法、装置、设备及存储介质 |
| CN115174210B (zh) * | 2022-06-30 | 2024-06-04 | 珠海奔图电子有限公司 | 可信报告生成方法和电子设备 |
| CN115883416A (zh) * | 2022-11-25 | 2023-03-31 | 东信和平科技股份有限公司 | 服务终端监控方法、系统及可读存储介质 |
| CN117539721A (zh) * | 2023-11-29 | 2024-02-09 | 郑州迪维勒普科技有限公司 | 基于数字孪生技术的数据中心可视化运维管理系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515933A (zh) * | 2009-03-16 | 2009-08-26 | 中兴通讯股份有限公司 | 一种网络设备的软硬件完整性检测方法及系统 |
| CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
| CN103905461A (zh) * | 2014-04-14 | 2014-07-02 | 北京工业大学 | 一种基于可信第三方的云服务行为可信证明方法和系统 |
| WO2018121445A1 (zh) * | 2016-12-29 | 2018-07-05 | 中兴通讯股份有限公司 | 一种多租户访问控制方法和装置 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8839363B2 (en) * | 2011-04-18 | 2014-09-16 | Bank Of America Corporation | Trusted hardware for attesting to authenticity in a cloud environment |
| CN103501303B (zh) * | 2013-10-12 | 2017-02-22 | 武汉大学 | 一种针对云平台虚拟机度量的主动远程证明方法 |
| TWI521480B (zh) * | 2014-03-28 | 2016-02-11 | D Link Corp | 能主動偵測終端裝置所在位置之安全看護系統 |
| CN106656915A (zh) * | 2015-10-30 | 2017-05-10 | 深圳市中电智慧信息安全技术有限公司 | 基于可信计算的云安全服务器 |
| CN109144813B (zh) * | 2018-07-26 | 2022-08-05 | 郑州云海信息技术有限公司 | 一种云计算系统服务器节点故障监控系统及方法 |
| CN109491866A (zh) * | 2018-11-09 | 2019-03-19 | 郑州云海信息技术有限公司 | 监控存储硬件的方法、装置、终端及计算机可读存储介质 |
| CN110197073A (zh) * | 2019-05-30 | 2019-09-03 | 苏州浪潮智能科技有限公司 | 一种基于自校验机制保护主机完整性的方法与系统 |
| CN110515699B (zh) * | 2019-08-20 | 2021-09-07 | 苏州浪潮智能科技有限公司 | 一种获取虚拟机所在平台可信状态的方法和设备 |
| CN111008379B (zh) * | 2019-11-22 | 2023-02-28 | 腾讯科技(深圳)有限公司 | 电子设备的固件安全检测方法及相关设备 |
| CN111737081B (zh) * | 2020-06-16 | 2022-05-17 | 平安科技(深圳)有限公司 | 云服务器监控方法、装置、设备及存储介质 |
-
2020
- 2020-06-16 CN CN202010547614.7A patent/CN111737081B/zh active Active
- 2020-10-21 WO PCT/CN2020/122338 patent/WO2021139308A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101515933A (zh) * | 2009-03-16 | 2009-08-26 | 中兴通讯股份有限公司 | 一种网络设备的软硬件完整性检测方法及系统 |
| CN103605784A (zh) * | 2013-11-29 | 2014-02-26 | 北京航空航天大学 | 一种多重云环境下数据完整性验证方法 |
| CN103905461A (zh) * | 2014-04-14 | 2014-07-02 | 北京工业大学 | 一种基于可信第三方的云服务行为可信证明方法和系统 |
| WO2018121445A1 (zh) * | 2016-12-29 | 2018-07-05 | 中兴通讯股份有限公司 | 一种多租户访问控制方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2021139308A1 (zh) | 2021-07-15 |
| CN111737081A (zh) | 2020-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111737081B (zh) | 云服务器监控方法、装置、设备及存储介质 | |
| US11714910B2 (en) | Measuring integrity of computing system | |
| US8601273B2 (en) | Signed manifest for run-time verification of software program identity and integrity | |
| US8966642B2 (en) | Trust verification of a computing platform using a peripheral device | |
| US8364973B2 (en) | Dynamic generation of integrity manifest for run-time verification of software program | |
| TWI791975B (zh) | 藉由監測對基本輸入/輸出系統(bios)或統一可延伸韌體介面(uefi)屬性進行之組態改變之鏈來偵測安全威脅 | |
| US8161285B2 (en) | Protocol-Independent remote attestation and sealing | |
| JP6703616B2 (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| US9270467B1 (en) | Systems and methods for trust propagation of signed files across devices | |
| EP2815349A1 (en) | Roots-of-trust for measurement of virtual machines | |
| US9385869B1 (en) | Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions | |
| CN110647750B (zh) | 文件完整性度量方法、装置、终端及安全管理中心 | |
| US10713352B2 (en) | Method and apparatus for trusted measurement | |
| JP2020004009A (ja) | 異常検知装置、および、異常検知方法 | |
| US9910994B1 (en) | System for assuring security of sensitive data on a host | |
| US10812466B2 (en) | Using trusted platform module to build real time indicators of attack information | |
| US11509480B2 (en) | Remote attestation based on runtime configuration | |
| US11455395B2 (en) | Perform verification check in response to change in page table base register | |
| CN109784061A (zh) | 控制服务器可信启动的方法及装置 | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| US20090144332A1 (en) | Sideband access based method and apparatus for determining software integrity | |
| CN110874474A (zh) | 勒索者病毒防御方法、装置、电子设备及存储介质 | |
| US20220237286A1 (en) | Kernel based exploitation detection and prevention using grammatically structured rules | |
| CN116737526A (zh) | 一种代码段动态度量方法、装置及电子设备 | |
| US20240119155A1 (en) | Generating alerts for unexpected kernel modules |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40031378 Country of ref document: HK |
|
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |