WO2014121510A1

WO2014121510A1 - 实现云计算网络防攻击的方法、设备和网络

Info

Publication number: WO2014121510A1
Application number: PCT/CN2013/071558
Authority: WO
Inventors: 叶思海; 施迅
Original assignee: 华为技术有限公司
Priority date: 2013-02-08
Filing date: 2013-02-08
Publication date: 2014-08-14
Also published as: CN103518359A; CN103518359B

Abstract

一种实现云计算网络防攻击的方法、设备和网络，以解决防卫成功率低的问题。方法包括：为计算节点配置初始化的安全基线，安全基线包括至少一个配置参数；向计算节点发送动态安全检测请求，其中动态安全检测请求包括至少一个配置参数用于计算节点执行动态安全检测；接收计算节点根据动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；根据动态安全检测结果确定计算节点的安全基线是否更改；如果计算节点的安全基线已被更改，则检测更改是否是用户主动修改；如果更改为用户非主动修改，则将计算节点的安全基线恢复到初始化的安全基线。上述技术方案在受到攻击后，将攻击的危害减到最小，由此提高了防卫成功率。

Description

实现云计算网络防攻击的方法、设备和网络技术领域

本发明实施例涉及计算机网络领域，并且更具体地，涉及实现云计算网络防攻击的方法、设备和网络。背景技术

云计算是计算模型的一次重要革新，通过将各种互联的计算资源进行有效整合并实现多层次的虚拟化与抽象，云计算网络有效地将大规模的计算资源以可靠服务的形式提供给用户，从而将用户从复杂的底层硬件逻辑、软件栈与网络协议解放出来。其中虚拟化技术给计算资源的共享与管理带来很多的便利之处，成为 "云计算"的重要组成部分。虚拟机监控器（VMM, Virtual Machine Monitor )是虚拟化技术的核心，通过对服务器物理资源的抽象，将中央处理器（ Central Processing Unit, CPU )、内存和输入输出（ Input/Output, I/O )等服务器物理资源转化为一组可统一管理、灵活调度、动态分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。从而，可实现更高的资源利用率、更低的硬件采购成本和能耗以及更低的维护成本。

然而，网络^艮容易受到攻击，攻击者墓改云平台软件或植入恶意代码，攻击的目的是窃取数据或破坏软件的正常运行。其中，云平台软件指云计算基础架构的软件环境，包括计算节点上的虚拟化平台软件和管理节点上的云管理软件。

现有技术中，对已知的攻击行为，防卫比较容易实现；但对未知的攻击行为，通常采用的是开发智能行为分析系统，比如：分析用户行为或软件行为，判断是否为不友好的攻击行为等。这种方法代价大、算法复杂且防卫成功率低。发明内容

有鉴于此，本发明实施例提供一种实现云计算网络防攻击的方法、设备和网络，以解决防卫成功率低的问题。

第一方面，提供了一种实现云计算网络防攻击的方法，包括：为计算节点配置初始化的安全基线，安全基线包括至少一个配置参数；向计算节点发送动态安全检测请求，其中动态安全检测请求包括至少一个配置参数用于计算节点执行动态安全检测；接收计算节点根据动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；根据动态安全检测结果确定计算节点的安全基线是否更改；如果计算节点的安全基线已被更改，则检测更改是否是用户主动修改；如果更改为用户非主动修改，则将计算节点的安全基线恢复到初始化的安全基线。

在第一种可能的实现方式中，由用于加密且存储信息的硬件密码模块保护安全基线安全可信。

结合第一方面或第一方面的第一种可能的实现方式，在第二种可能的实现方式中，安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

结合第一方面或第一方面的上述可能的实现方式，在第三种可能的实现方式中，将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

结合第一方面或第一方面的第二至第三种的任一可能的实现方式，在第四种可能的实现方式中，在为计算节点配置初始化的安全基线前，方法还包括：向计算节点发送初始化请求；接收计算节点完成初始化后获得的初始化安全检测结果；相应，为计算节点配置初始化的安全基线包括：将初始化安全检测结果配置为初始化的安全基线。

结合第一方面或第一方面的上述可能的实现方式，在第五种可能的实现方式中，向计算节点周期性发送动态安全检测请求；或向计算节点发送要求周期性动态安全检测的请求。

结合第一方面或第一方面的上述可能的实现方式，在第六种可能的实现方式中，隔离计算节点；将计算节点上正运行的虚拟机迁移到其他计算节点；将计算节点的安全基线恢复到初始化的安全基线，其中方法还包括：将计算节点重新加入云计算网络。

结合第一方面或第一方面的上述可能的实现方式，在第七种可能的实现方式中，如果更改为用户主动修改，则以更改后的安全基线取代计算节点的初始化的安全基线。第二方面，提供了一种实现云计算网络防攻击的方法，包括：接收管理节点的动态安全检测请求，动态安全检测请求包括用于动态安全检测的安全基线的配置参数；根据动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果；向管理节点发送动态安全检测结果。

在第一种可能的实现方式中，由用于加密且存储信息的硬件密码模块保护动态安全检测结果安全可信。

结合第二方面或第二方面的第一种可能的实现方式，在第二种可能的实现方式中，安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

结合第二方面或第二方面的上述可能的实现方式，在第三种可能的实现方式中，接收管理节点周期性发送的动态安全检测请求；或接收管理节点发送的要求周期性动态安全检测的请求。

结合第二方面或第二方面的上述可能的实现方式，在第四种可能的实现方式中，创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

第三方面，提供了一种实现云计算网络防攻击的管理节点，包括：配置模块，用于为计算节点配置初始化的安全基线，安全基线包括至少一个配置参数；发送模块，用于向计算节点发送动态安全检测请求，其中动态安全检测请求包括所述至少一个配置参数用于计算节点执行动态安全检测；接收模块，用于接收计算节点根据发送模块发送的动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；确定模块，用于根据接收模块接收的动态安全检测结果确定计算节点的安全基线是否更改；检测模块，用于如果确定模块确定计算节点的安全基线已被更改，则检测更改是否是用户主动修改；配置模块还用于如果检测模块检测到更改为用户非主动修改，则将计算节点的安全基线恢复到初始化的安全基线。

在第一种可能的实现方式中，管理节点还包括保护模块，保护模块用于加密且存储信息以保护安全基线安全可信。

结合第三方面或第三方面的第一种可能的实现方式，在第二种可能的实现方式中，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

结合第三方面或第三方面的上述可能的实现方式，在第三种可能的实现方式中，

结合第三方面或第三方面的第二种和第三种任一可能的实现方式，在第四种可能的实现方式中，发送模块，还用于在为计算节点配置初始化的安全基线前，向计算节点发送初始化请求；接收模块，还用于接收计算节点根据始化安全检测结果配置为初始化的安全基线。

结合第三方面或第三方面的上述可能的实现方式，在第五种可能的实现方式中，发送模块具体用于向计算节点周期性发送动态安全检测请求；或向计算节点发送要求周期性动态安全检测的请求。

结合第三方面或第三方面的上述可能的实现方式，在第六种可能的实现方式中，管理节点还包括隔离模块：隔离模块，用于隔离计算节点；将计算节点上正运行的虚拟机迁移到其他计算节点，还将计算节点的安全基线恢复到初始化的安全基线，然后将计算节点重新加入云计算网络。

结合第三方面或第三方面的上述可能的实现方式，在第七种可能的实现方式中，配置模块，还用于如果更改为用户主动修改，则以更改后的安全基线取代计算节点的初始化的安全基线。

第四方面，提供了一种实现云计算网络防攻击的计算节点，包括：接收模块，用于接收管理节点的动态安全检测请求，动态安全检测请求包括用于动态安全检测的安全基线的配置参数并发送到动态检测模块；动态检测模块，用于根据接收模块接收的动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果；发送模块，用于向管理节点发送动态安全检测结果。

在第一种可能的实现方式中，计算节点还包括保护模块：保护模块用于加密且存储信息以保护动态安全检测结果安全可信。

结合第四方面或第四方面的第一种可能的实现方式，在第二种可能的实现方式中，所述安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。结合第四方面或第四方面的上述可能的实现方式，在第三种可能的实现方式中，接收模块具体用于接收管理节点周期性发送的动态安全检测请求；或接收管理节点发送的要求周期性动态安全检测的请求。

结合第四方面或第四方面的上述可能的实现方式，在第四种可能的实现方式中，动态检测模块，具体用于创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

第五方面，提供了一种实现云计算网络防攻击的管理节点，包括：处理器、存储器、发送接口、接收接口：存储器，用于存储处理器执行以下步骤的指令；处理器，用于为计算节点配置初始化的安全基线，安全基线包括至少一个配置参数；发送接口，用于向计算节点发送动态安全检测请求，其中动态安全检测请求包括所述至少一个配置参数用于计算节点执行动态安全检测；接收接口，用于接收计算节点根据发送接口发送的动态安全检测请求发送的、在安全执行环境中通过执行动态安全检测获得的动态安全检测结果；处理器，还用于根据接收接口接收的动态安全检测结果确定计算节点的安全基线是否更改；如果处理器确定计算节点的安全基线已被更改，则检测更改是否是用户主动修改；且还用于处理器检测到更改为用户非主动修改，则将计算节点的安全基线恢复到初始化的安全基线。

在第一种可能的实现方式中，管理节点还包括硬件密码模块：硬件密码模块用于加密且存储信息以保护安全基线安全可信。

结合第五方面或第五方面的第一种可能的实现方式，在第二种可能的实现方式中，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

结合第五方面或第五方面的上述可能的实现方式，在第三种可能的实现方式中，处理器具体用于将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

结合第五方面或第五方面的第二种至第三种任一可能的实现方式，在第四种可能的实现方式中，发送接口，还用于在为计算节点配置初始化的安全基线前，向计算节点发送初始化请求；接收接口，还用于接收计算节点根据化安全检测结果配置为初始化的安全基线。

结合第五方面或第五方面的上述可能的实现方式，在第五种可能的实现方式中，发送接口具体用于向计算节点周期性发送动态安全检测请求；或向计算节点发送要求周期性动态安全检测的请求。

结合第五方面或第五方面的上述可能的实现方式，在第六种可能的实现方式中，处理器，还用于隔离计算节点；将计算节点上正运行的虚拟机迁移到其他计算节点，还将计算节点的安全基线恢复到初始化的安全基线，然后将计算节点重新加入云计算网络。

结合第五方面或第五方面的上述可能的实现方式，在第七种可能的实现方式中，处理器，还用于如果更改为用户主动修改，则以更改后的安全基线取代计算节点的初始化的安全基线。

第六方面，提供了一种实现云计算网络防攻击的计算节点，包括处理器、存储器、接收接口和发送接口：存储器，用于存储处理器执行下述步骤的指令；接收接口，用于接收管理节点的动态安全检测请求，动态安全检测请求包括用于动态安全检测的安全基线的配置参数；处理器，用于根据接收接口接收的动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果；发送接口，用于向管理节点发送动态安全检测结果。

在第一种可能的实现方式中，计算节点还包括硬件密码模块：硬件密码模块用于加密且存储信息以保护动态安全检测结果安全可信。

结合第六方面或第六方面的第一种可能的实现方式，在第二种可能的实现方式中，所述安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

结合第六方面或第六方面的上述可能的实现方式，在第三种可能的实现方式中，接收接口具体用于接收管理节点周期性发送的动态安全检测请求；或接收管理节点发送的要求周期性动态安全检测的请求。

结合第六方面或第六方面的上述可能的实现方式，在第四种可能的实现方式中，处理器，具体用于创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。第七方面，提供了一种云计算网络，包括上述任一项管理节点或计算节点。

通过上述技术方案，管理节点设置安全基线后，要求计算节点执行动态安全检测，管理节点向计算节点发送动态安全检测请求，计算节点根据动态安全检测请求中安全基线的配置参数，在安全执行环境中执行动态安全检测，管理节点根据动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作筒单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1是本发明实施例的实现云计算网络防攻击的方法的示意流程图。图 2 是本发明实施例的实现云计算网络防攻击的另一方法的示意流程图。

图 3是本发明实施例的实现云计算网络防攻击的方法的示意交互图。图 4 是本发明另一实施例的实现云计算网络防攻击的方法的示意交互图。

图 5 是本发明实施例的计算节点执行动态安全检测的方法的示意流程图。

图 6A和图 6B是本发明实施例的云计算网络中管理节点的示意框图。图 7A和图 7B是本发明实施例的云计算网络中计算节点的示意框图。图 8是本发明实施例的云计算网络中另一管理节点的示意框图。

图 9是本发明实施例的云计算网络中另一计算节点的示意框图。

图 10是本发明实施例的云计算网络的示意框图。具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

恶意软件会在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，恶意收集用户信息，侵害用户信息和财产安全。常见的安全软件具备防恶意软件功能，通过特征码识别恶意软件的存在，阻止其安装和运行。

恶意攻击是指通过计算机网络发起的，利用计算机系统的漏洞，例如软件缺陷、配置错误等，获取计算机系统权限的行为。当前，针对恶意软件例如病毒、木马软件等，以及网络攻击行为，采用的都是特征码匹配技术进行检测和防护，例如采用 IDS ( Intrusion Detection System, 入侵检测系统）或 IPS ( Intrusion Prevention System, 入侵防御系统），实时检测入侵行为，根据入侵行为进行防护；采用防病毒软件实时检测文件、内存中恶意代码的出现，禁止其运行。

这种方法，针对已知的攻击行为，比较容易实现。对未知的攻击行为，却无法判断。恶意软件防护只能防卫安全软件可识别的恶意软件，存在漏判的可能性。例如危害极大的 Oday ( 0日）攻击，是利用未公开的软件系统漏洞实施的攻击，在 IDS或 IPS或防病毒软件中还没有能够识别的特征码，无法被检测到。针对未知的攻击行为，通常采用的开发智能识别系统代价大、算法复杂且防卫成功率低。如果系统的配置被人为或恶意软件修改，网络安全存在极大隐患。

现有技术要么对已知的攻击方法进行防卫，要么预测未知的攻击行为进行防卫，本发明实施例提供了一种新的防卫方式。在本发明实施例中，提供了一种防卫的方法，可以不用针对攻击方法进行，而是在受到攻击后，在危害发生之前，即时发现攻击并及时清除。通常情况下，在攻击发生的初始阶段，危害还没有发生，例如数据还没有泄露，如果及时处理，可以将攻击的危害减到最小。

图 1是本发明实施例的实现云计算网络防攻击的方法 10的示意流程图。执行方法 10的设备可以是云计算网络中的云管理服务器，筒称为管理节点。

511 , 为计算节点配置初始化的安全基线，安全基线包括至少一个配置参数。

512, 向计算节点发送动态安全检测请求，其中动态安全检测请求包括至少一个配置参数用于计算节点执行动态安全检测。

513 , 接收计算节点根据动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果。

514 , 根据动态安全检测结果确定计算节点的安全基线是否更改。

S15 , 当计算节点的安全基线已被更改时，则检测更改是否是用户主动修改。

S16, 当更改为用户非主动修改时，则将计算节点的安全基线恢复到初始化的安全基线。

本发明实施例通过管理节点设置安全基线后，要求计算节点执行动态安全检测，管理节点根据接收的动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

可选的，作为不同的实施例，由用于加密且存储信息的硬件密码模块保护所述安全基线安全可信。

可选的，作为不同的实施例，安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库等，但不限于上述内容。

可选的，作为不同的实施例，将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

可选的，作为不同的实施例，在所述为计算节点配置初始化的安全基线前，向所述计算节点发送初始化请求；接收所述计算节点完成初始化后获得的初始化安全检测结果；相应，所述为计算节点配置初始化的安全基线包括：将所述初始化安全检测结果配置为所述初始化的安全基线。

可选的，作为不同的实施例，向所述计算节点发送动态安全检测请求，具体包括：向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求。

可选的，作为不同的实施例，将所述计算节点的安全基线恢复到所述初始化的安全基线，包括：隔离所述计算节点；将所述计算节点上正运行的虚拟机迁移到其他计算节点；将所述计算节点的安全基线恢复到所述初始化的安全基线，其中所述方法还包括：将所述计算节点重新加入云计算网络。可选的，作为不同的实施例，当所述更改为用户主动修改时，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

图 2是本发明实施例的实现云计算网络防攻击的另一方法 20的示意流程图。执行方法 20的设备可以是云计算网络中的云计算服务器，筒称为计算节点。

521 , 接收管理节点的动态安全检测请求，动态安全检测请求包括用于动态安全检测的安全基线的配置参数。

522, 根据动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果。

S23, 向管理节点发送动态安全检测结果。

本发明实施例通过计算节点接收管理节点发送的动态安全检测请求，根据动态安全检测请求中安全基线的配置参数，在安全执行环境中执行动态安全检测，管理节点根据动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

可选的，作为不同的实施例，由用于加密且存储信息的硬件密码模块保护所述动态安全检测结果安全可信。

可选的，作为不同的实施例，安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库，但不限于上述内容。

可选的，作为不同的实施例，接收管理节点的动态安全检测请求，包括：接收所述管理节点周期性发送的动态安全检测请求；或接收所述管理节点发送的要求周期性动态安全检测的请求。

可选的，作为不同的实施例，执行动态安全检测，包括：创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

图 3是本发明实施例的实现云计算网络防攻击的方法 300 的示意交互图。本文中术语"系统"和"网络"在本文中常被可互换使用。云计算网络中包括一个管理节点 301和其所管理的多个计算节点 302, 接下来出于筒洁，仅通过一个管理节点和一个计算节点说明本发明实施例中两者的交互。 S315 , 管理节点为计算节点配置初始化的安全基线。

管理节点在配置之前需要选择配置对象和配置内容。配置对象可以是该管理节点管理之下的所有计算节点，也可以是一台或多台指定的计算节点；配置内容可以选择。安全基线包括至少一个配置参数，配置参数可以涉及但不限于以下一个或多个方面的配置内容：基本输入输出系统（BIOS )程序、 BIOS 配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库等。

作为一种优选的实现方法，上述配置参数可以是基本输入输出系统 ( BIOS )程序、 BIOS配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库等内容的数字指纹等，但不限于上述内容。安全基线通过可信计算技术中的硬件密码模块进行保护。

在本实施例中，管理节点使用的配置参数可以来自于云计算节点供应商，为在新产品供应或版本升级时发布的安全基线值。或者，可选的，管理节点使用的配置参数来自于云计算节点的初始化安全检测结果。

S320, 管理节点使用硬件密码模块保护安全基线安全可信。

可信计算技术是用来保护计算机系统的重要方法，其重要应用是保护软件的完整性。

硬件密码模块例如可信平台模块（ Trusted Platform Module, TPM )或可信密码模块（Trusted Cryptography Module, TCM )等是可信计算的关键部件，它以密码技术为核心，具有计算与存储功能，支持数据保护、身份证明和完整性度量等，可对软件进行完整性度量并提供度量报告，这在云计算环境中具有重要的应用价值。

通过虚拟化技术与可信计算技术的融合，我们可以对一些传统非虚拟化计算机环境下的安全问题提出新的解决方法。传统的可信计算主要在系统启动阶段进行，利用硬件密码模块对运行的程序等进行度量以及检测。而在虚拟机系统中，可以进一步使用硬件密码模块来主动检测目标程序或系统，从而对系统进行保护。同时通过虚拟化技术、 SMM模式（ System Management Module, 系统管理模块 )或 Intel TXT ( Trusted Execution Technology, 可信计算技术）等，使得动态安全检测程序可以在独立、不受干扰的环境中，对目标程序进行检测，避免了恶意软件对其进行攻击与墓改。

硬件密码模块是一块安装在服务器主板上的硬件芯片。该硬件芯片同时是一个以安全保密功能为特色的嵌入式计算系统，在物理安全方面例如硬件封装、功能接口标准化等方面具有防攻击、防墓改、防探测的能力，可以保证硬件密码模块自身以及内部数据不被非法攻击。在技术安全方面，硬件密码模块采用了多种密码和访问控制技术。这些保护措施共同确保了硬件密码模块自身的安全，从而可以成为系统的硬件存储信任根和系统可信的基点。

通过用于加密且存储信息的硬件密码模块对安全基线进行保护，进一步提高了网络防攻击的能力。

S325 , 管理节点向计算节点发送动态安全检测请求。

管理节点向上述选定的一台或多台计算节点发送动态安全检测请求。动态安全检测请求中包括安全基线的所有配置参数用于计算节点进行动态安全检测。

可选的，作为不同的实施例，管理节点可以周期性地向计算节点发送动态安全检测请求，或者管理节点可以发送要求计算节点周期性动态安全检测的请求。合理平衡动态安全检测的频率有助于获得稳定的防卫成功率。

S330 , 计算节点根据动态安全检测请求，在安全执行环境中执行动态安全检测。

计算节点根据管理节点发送的请求中的内容，对安全基线的配置参数进行动态安全检测。本发明实施例可以使动态安全检测程序在独立、不受干扰的环境中，也就是在安全执行环境中对目标程序进行检测，避免了恶意软件对动态安全检测程序进行攻击与墓改。具体内容稍后由图 5的实施例说明。

S335 , 计算节点使用硬件密码模块保护动态安全检测结果安全可信。如前所述，通过使用可信计算技术中的硬件密码模块对动态安全检测结果保护，可以提高计算节点自身以及计算节点与管理节点之间通信时的防攻击能力。

S340 , 计算节点将动态安全检测结果发送到管理节点。

S345 , 管理节点根据动态安全检测结果，确定安全基线是否改变。管理节点将初始化的安全基线中配置参数与计算节点反馈的动态安全检测结果中的配置参数进行比较，如果两者不符，则确定安全基线被改变，反之安全基线未更改。

如果安全基线未更改，即 S345的 "否"，则执行 S350。如果安全基线已更改，即 S345的 "是" , 则执行 S355。 S350 , 安全基线未更改，记录计算节点安全状态为正常。

该计算节点的动态安全检测结果符合其配置的安全基线，则在管理节点，即云管理服务器中记录该计算节点的安全状态为正常。对于该计算节点的本次动态安全检测流程结束

S355 , 当安全基线已更改时，则管理节点检测该更改是否是用户主动修改。

如果该更改为用户主动修改，即 S355的 "是" 则执行 S360; 如果该更改为用户非主动修改，即 S355的 "否" 则执行 S365。

可选的，可以人工判断来确定修改是否为用户主动操作，例如已知对计算节点的软件或硬件正在进行升级。或者，可选的，在获知例如计划中的主动修改后设置一个时限，该时限内的修改均认为是用户主动修改。对各种判断的实现方法，本发明不做限定。

S360 ,管理节点以更改后的安全基线取代该计算节点的初始化的安全基线。

接下来，在随后的动态安全检测中，管理节点以更改后的安全基线作为标准，与再次获得的动态安全检测结果进行比较。

S365 , 管理节点将该计算节点隔离。

计算节点的动态安全检测结果不符合其配置的安全基线，当获知安全基线的更改为用户非主动修改，可以记录计算节点安全状态为异常。同时，优选的，查询预先配置的安全策略，再执行查询到的安全策略。

举例来说，例如虚拟机管理程序检测异常，而安全策略配置为 "当虚拟机管理程序检测异常时隔离计算节点"，则管理节点隔离该计算节点：不再使用该计算节点的计算资源，迁移正运行在该计算节点上的虚拟机到其它计算节点。

安全策略是可选项，安全策略的内容也是可选项，本发明对此不做限定。

S370,管理节点将所述计算节点的安全基线恢复到所述初始化的安全基线。

管理节点将计算节点已更改的配置参数恢复，从而将该计算节点的安全基线恢复到初始化的安全基线。

S375 , 恢复的计算节点重新加入云计算网络。

本发明实施例通过管理节点设置安全基线后，要求计算节点执行动态安全检测，管理节点根据接收的动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，例如隔离该计算节点，修复该计算节点的安全基线，然后将该计算节点重新加入云计算网络，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

图 4是本发明另一实施例的实现云计算网络防攻击的方法 400的示意交互图。方法 400与方法 300不同之处在于如何配置安全基线。方法 400中管理节点使用的配置参数来自于云计算节点的初始化安全检测结果。

S401 , 管理节点向计算节点发送节点初始化请求。

初始化请求中包括安全基线的配置参数，要求计算节点根据配置参数执行安全检测并上报检测结果。

S405 , 计算节点根据初始化请求进行初始化并获得初始化安全检测结果。

计算节点的初始化过程中可以包括常规的初始化检测。安全基线的配置参数可以包括常规的初始化检测的内容，检测后获得初始化安全检测结果。

S410, 计算节点向管理节点发送初始化安全检测结果。

S415 , 管理节点根据初始化安全检测结果配置安全基线。

可选的，作为另一实施例，当多个计算节点具有相同的软、硬件配置时，只要初始化安全检测一个计算节点获得初始化安全检测结果，接下来，将初始化安全检测结果配置为该计算节点的安全基线后，可以将该安全基线配置给其余的计算节点，而不需要对每个节点执行初始化安全检测。

接下来，方法 400与方法 300类似。

S320，管理节点使用硬件密码模块保护安全基线安全可信。

可信计算技术是用来保护计算机系统的重要方法。可信计算技术的重要应用是保护软件的完整性。

通过虚拟化技术与可信计算技术的融合，我们可以对一些传统非虚拟化计算机环境下的安全问题提出新的解决方法。传统的可信计算主要在系统启动阶段进行，利用硬件密码模块对运行的程序等进行度量以及检测。而在虚拟机系统中，可以进一步使用硬件密码模块来主动检测目标程序或系统，从而对系统进行保护。同时通过虚拟化技术、 SMM模式（ System Management Module, 系统管理模块）或 Intel TXT ( Trusted Execution Technology, 可信计算技术）等，使得动态安全检测程序可以在独立、不受干扰的环境中，对目标程序进行检测，避免了恶意软件对其进行攻击与墓改。

通过硬件密码模块对安全基线进行保护，进一步提高了网络防攻击的能力。

S325 , 管理节点向计算节点发送动态安全检测请求。

S330, 计算节点根据动态安全检测请求，在安全执行环境中执行动态安全检测。

S340 , 计算节点将动态安全检测结果发送到管理节点。

S345 , 管理节点根据动态安全检测结果，确定安全基线是否改变。

如果安全基线未更改，即 S345的 "否"，则执行 S350。如果安全基线已更改，即 S345的 "是"，则执行 S355。

S350 , 安全基线未更改，记录计算节点安全状态为正常。

S365 , 管理节点将该计算节点隔离。

S370 ,管理节点将所述计算节点的安全基线恢复到所述初始化的安全基线。

S375 , 恢复的计算节点重新加入云计算网络。

本发明实施例管理节点首先向计算节点发送初始化请求，要求计算节点执行初始化安全检测，根据得到的初始化安全检测结果，管理节点设置安全基线，接下来管理节点发送请求要求计算节点执行动态安全检测，并根据接收的动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，例如隔离该计算节点，修复该计算节点的安全基线，然后将该计算节点重新加入云计算网络，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

图 5是本发明实施例的计算节点执行动态安全检测的方法 500的示意流程图。其中，计算节点首先创建安全执行环境，接着通过在该安全执行环境中运行动态安全检测程序以检测系统的安全状态，最后输出检测后获得的动态安全检测结果，具体内容如下。

S510 , 计算节点启动安全状态检测过程。

如前所述，可选的，该过程可以由周期性接收到的管理节点的请求触发。或者，当从动态安全检测请求中获知要求周期性检测的周期和内容后，计算节点内的周期性定时器触发检测过程。 S515 , 计算节点中断和保存当前计算节点的执行环境。

当前计算节点的执行环境包括 CPU状态寄存器的值、中断处理程序入口地址等，以便检测完成后能够恢复系统运行，且不影响业务的连续性。

S520, 计算节点冻结除 BSP ( Boot Strap Processor, 启动捆绑处理器）之外其它的中央处理器（ CPU )。

即保证只有 BSP在运行，避免其他处理器继续运行业务从而干扰安全状态检测的执行。

S525 , 计算节点设置 BSP进入安全执行环境。

本发明实施例的安全执行环境是一种特殊的执行模式，其中运行的代码是预先设置的安全可信代码，运行中不会受到中断等干扰。在安全执行环境中运行安全可信代码可以成为动态安全状态检测过程的度量信任根，代替了计算节点启动时位于 BIOS中的度量信任根，也就是安全检测信任根。可以选用的安全执行环境有： SMM模式（System Management Module, 系统管理模块；)、 Intel TXT ( Trusted Execution Technology, 可信计算技术）等。

S530, 在安全执行环境中加载安全可信代码，检验安全可信代码的数字签名以保证安全可信代码安全可信。

其中，安全可信代码也就是上下文中的动态安全检测程序。

S535 , 通过安全执行环境中运行安全可信代码检测系统的安全状态。动态安全检测内容可包括： BIOS软件、 BIOS配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库等。可选的，对这些内容的动态安全检测优选地是通过哈希（Hash )算法，如： SHA-1、 SHA-256, SM3等计算被检测信息内容的数字指纹。

S540, 检测完成后唤醒除 BSP之外的中央处理器，恢复检测前的执行环境。

S545, 输出动态安全检测结果。

将各部分的 Hash计算结果，也就是数字指纹作为动态安全检测结果输出。可选的，动态安全检测结果由该计算节点的硬件密码模块保护，即执行加密和存储。硬件密码模块从硬件封装、功能接口标准化等各方面都保证了保存于其中的信息不能被随意更改，利用这个特点可以保护动态检测结果。此外，硬件密码模块具有身份数字证书，传输动态检测结果前进行数字签名，可以确保传输信息的完整性，也就是不被墓改。动态安全检测和启动时安全检测所检测的配置内容可以相同，也可以不同。即使动态安全检测和启动时安全检测可以检测相同的配置内容，例如：虚拟机管理软件、虚拟机管理配置、节点管理域程序、节点管理域配置等，但它们必须采用不同的方式进行。这是因为，启动时安全检测的度量信任根来自于 BIOS, 而动态检测时无法利用 BIOS 中的度量信任根，必须采取新的方法构建这个度量信任根。此外，启动时安全检测的检查内容都只能在系统启动期间，启动之后不会再次检测。因此，图 5中，本发明实施例中实现的动态安全检测是对计算节点启动时安全检测的必要补充，确保了计算节点在运行期间软件和配置的一致性，达到实时防攻击的效果。

图 6A是本发明实施例的云计算网络中管理节点 60的示意框图。管理节点 60包括配置模块 61、发送模块 62、接收模块 63、确定模块 64和检测模块 65。

配置模块 61 为计算节点配置初始化的安全基线，所述安全基线包括至少一个配置参数。

发送模块 62向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述配置模块使用的所述至少一个配置参数用于所述计算节点执行动态安全检测。

接收模块 63接收所述计算节点根据所述发送模块发送的所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果。

确定模块 64根据所述接收模块接收的所述动态安全检测结果确定所述计算节点的安全基线是否更改。

检测模块 65当所述确定模块确定所述计算节点的安全基线已被更改时，则检测所述更改是否是用户主动修改。

所述配置模块 61还用于当所述检测模块检测到所述更改为用户非主动修改时，则将所述计算节点的安全基线恢复到所述初始化的安全基线。

本发明实施例的管理节点设置安全基线，接下来管理节点发送请求要求计算节点执行动态安全检测，并根据接收的动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。可选的，如图 6B所示，另一种实现方式中，管理节点 60还可以包括保护模块 66和隔离模块 67。

可选的，作为不同的实施例，保护模块 66加密且存储信息以保护所述安全基线安全可信。

可选的，作为不同的实施例，配置模块 61使用的所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库，但不限于上述内容。

可选的，作为不同的实施例，配置模块 64将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

可选的，作为不同的实施例，发送模块 62还在所述为计算节点配置初始化的安全基线前，向所述计算节点发送初始化请求；接收模块 63还接收所述计算节点根据所述初始化请求完成初始化后获得的初始化安全检测结果；相应，配置模块 64将所述初始化安全检测结果配置为所述初始化的安全基线。

可选的，作为不同的实施例，发送模块 62具体向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求

可选的，作为不同的实施例，隔离模块 67 隔离所述计算节点；将所述计算节点上正运行的虚拟机迁移到其他计算节点，还将所述计算节点的安全基线恢复到所述初始化的安全基线，然后将所述计算节点重新加入云计算网络。

可选的，作为不同的实施例，配置模块，还用于当所述更改为用户主动修改时，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

管理节点 60实现了图 1至图 4中的实施例，具体细节参见上述说明。图 7是本发明实施例的云计算网络中计算节点 70的示意框图。计算节点包括接收模块 71、动态检测模块 72和发送模块 73。

接收模块 71接收管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数并发送到所述动态检测模块；

动态检测模块 72根据所述接收模块接收的所述动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果并发送到所述发送模块；本发明实施例的计算节点接收管理节点发送的动态安全检测请求，根据动态安全检测请求中安全基线的配置参数，在安全执行环境中执行动态安全检测，管理节点根据动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

可选的，作为另一种实现方式，如图 7B所示，计算节点 70还可以包括保护模块 74。

保护模块 74加密且存储信息以保护所述动态安全检测结果安全可信此外，作为不同的实施例，可选的，接收模块 71接收的所述安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS 程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库，但不限于上述内容。

作为不同的实施例，可选的，接收模块 71具体接收所述管理节点周期性发送的动态安全检测请求；或接收所述管理节点发送的要求周期性动态安全检测的请求。

作为不同的实施例，可选的，动态检测模块 72具体创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

计算节点 70实现了图 1至图 5中任一的实施例，具体细节参见上述说明。

图 8是本发明实施例的云计算网络中另一管理节点 80的示意框图。管理节点 80包括处理器 81、存储器 82、发送接口 83、接收接口 84, 可选的，还可以包括硬件密码模块 85。

存储器 82存储所述处理器执行以下步骤的指令。

处理器 81 为计算节点配置初始化的安全基线，所述安全基线包括至少一个配置参数。

发送接口 83向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述处理器使用的所述至少一个配置参数用于所述计算节点执行动态安全检测。

接收接口 84接收所述计算节点根据所述发送接口发送的所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果。

处理器 81还根据所述接收接口接收的所述动态安全检测结果确定所述计算节点的安全基线是否更改；当所述处理器确定所述计算节点的安全基线已被更改时，则检测所述更改是否是用户主动修改；且还用于当所述处理器检测到所述更改为用户非主动修改时，则将所述计算节点的安全基线恢复到所述初始化的安全基线。

上述本发明实施例揭示的方法可以应用于处理器 81 中，或者由处理器

81实现。在实现过程中，上述方法的各步骤可以通过处理器 81中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器 81可以是通用处理器、数字信号处理器（DSP )、专用集成电路（ ASIC )、现成可编程门阵列 ( FPGA )或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用硬件处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器 82, 处理器 81读取存储器 82中的信息，结合其硬件完成上述方法的步骤。

可选的，作为另一种实现方式，管理节点 80还可以包括硬件密码模块 85, 硬件密码模块 85加密且存储信息以保护所述安全基线安全可信。

可选的，作为不同的实施例，处理器 81使用的所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容:基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库等，但不限于以上内容。

可选的，作为不同的实施例，处理器 81可以将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

可选的，作为不同的实施例，发送接口 83还在所述为计算节点配置初始化的安全基线前，向所述计算节点发送初始化请求；所述接收接口，还用于接收所述计算节点根据所述初始化请求完成初始化后获得的初始化安全检测结果；相应，所述处理器将所述初始化安全检测结果配置为所述初始化的安全基线。

可选的，作为不同的实施例，发送接口 83具体向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求。

可选的，作为不同的实施例，处理器 81还隔离所述计算节点；将所述计算节点上正运行的虚拟机迁移到其他计算节点，还将所述计算节点的安全基线恢复到所述初始化的安全基线，然后将所述计算节点重新加入云计算网络。

可选的，作为不同的实施例，处理器 81还当所述更改为用户主动修改时，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

管理节点 80实现了图 1至图 4中的任一实施例，具体细节参见上述说明。

图 9是本发明实施例的云计算网络中另一计算节点 90的示意框图。计算节点 90包括处理器 91、存储器 92、接收接口 93和发送接口 94, 可选的，还可以包括硬件密码模块 95。

存储器 92存储所述处理器执行下述步骤的指令。

接收接口 93接收管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数并发送到所述处理器。

处理器 91根据所述接收接口接收的所述动态安全检测请求，在安全执发送接口 94向所述管理节点发送所述动态安全检测结果。

上述本发明实施例揭示的方法可以应用于处理器 91 中，或者由处理器

81实现。在实现过程中，上述方法的各步骤可以通过处理器 91中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器 91可以是通用处理器、数字信号处理器（DSP )、专用集成电路（ ASIC )、现成可编程门阵列 ( FPGA )或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用硬件处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器 92, 处理器 91读取存储器 92中的信息，结合其硬件完成上述方法的步骤。

可选的，作为另一种实现方式，计算节点 90还可以包括硬件密码模块 95, 硬件密码模块 95加密且存储信息以保护所述动态安全检测结果安全可信。

可选的，作为不同的实施例，接收接口 93接收的所述安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库，但不限于上述内容。

可选的，作为不同的实施例，接收接口 93具体接收所述管理节点周期性发送的动态安全检测请求；或接收所述管理节点发送的要求周期性动态安全检测的请求。

可选的，作为不同的实施例，处理器 91具体创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

计算节点 90实现了图 1至图 5中任一的实施例，具体细节参见上述说明。

图 10是本发明实施例的云计算网络 100的示意框图。云计算网络 100 也可以称为云计算系统，包括一个管理节点和多个计算节点，可以实现图 1 至图 5中本发明的实施例。其中，管理节点 101也可以称为云管理服务器，所管理的计算节点有 n-1个，如图中 102至 10η所示，其中 n为正整数。管理节点和计算节点之间可以通过既有的各种网络连接方式通信。

作为本发明实施例的一种实现方式，管理节点 101可以包括节点初始化模块 1011、硬件密码模块 1012,安全策略管理模块 1013和安全隔离模块 1014 等；计算节点 102至 10η可以包括安全状态动态检测模块 1021和硬件密码模块 1022。下面筒单介绍一下各节点及其单元的主用作用。

管理节点 101: 用于管理、维护和分配 IT ( Information Technology, 信息技术）资源的系统， IT资源包括计算资源、存储资源、网络资源等。通常只有具有特定权限的云管理员才能通过管理节点发起安全状态动态检测和节点初始化等流程。

安全策略管理模块 1013: 可以是可选项，用于管理安全状态动态检测结果发生异常时系统采取的应对策略，可以预设置，例如一种安全策略为：隔离该节点，并对该节点进行配置初始化，恢复到安全配置基线的状态,重新加入云计算网络。

安全隔离模块 1014: 为安全策略的执行单元，用于执行隔离计算节点的安全策略。安全隔离模块 1014与前述管理节点中的隔离模块或处理器的功能相同或相似。

节点初始化模块 1011:用于当新计算节点加入到云管理服务器的管理之下时，或者计算节点的软件版本、配置发生改变之后，生成或刷新安全状态检测的安全基线的配置参数。安全基线的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统 BIOS程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。安全隔离模块 1014与前述管理节点中的配置模块或处理器的功能相同或相似。

硬件密码模块 1012:硬件形式的密码模块，提供随机数生成、密码算法、机密信息存储等功能，如 TPM或 TCM。在本发明实施例中，管理节点的硬件密码模块 1012用于保护安全基线的安全可信。硬件密码模块 1012与前述管理节点中的保护模块或硬件密码模块的功能相同或相似。

计算节点 102: 用于提供云环境中计算资源的物理服务器。

安全状态动态监测模块 1021: 创建安全运行环境，避免业务运行流程或恶意软件对检测过程的干扰；在安全运行环境中对计算节点的安全状态进行检测，并将检测结果安全可信的传送给云管理服务器。安全状态动态监测模块 1021与前述计算节点中的动态检测模块或处理器的功能相同或相似。

硬件密码模块 1022:硬件形式的密码模块，提供随机数生成、密码算法、机密信息存储等功能，如 TPM/TCM。在本发明实施例中，计算节点中的硬件密码模块用于保护动态安全检测结果的安全可信。硬件密码模块 1022与前述计算节点中的保护模块或硬件密码模块的功能相同或相似。

在该云计算网络中，管理节点设置安全基线后，要求计算节点执行动态安全检测，管理节点向计算节点发送动态安全检测请求，计算节点根据动态安全检测请求中安全基线的配置参数，在安全执行环境中执行动态安全检测，管理节点根据动态安全检测的结果确定安全基线是否被更改，进而执行后续的安全步骤，从而可以在受到攻击后，在危害发生之前，即时发现攻击并及时清除，将攻击的危害减到最小，由此提高了防卫成功率。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和筒洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM , Read-Only Memory )、随机存取存储器（RAM, Random Access Memory ), 磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。

Claims

权利要求

1、一种实现云计算网络防攻击的方法，其特征在于，包括：

为计算节点配置初始化的安全基线，所述安全基线包括至少一个配置参数；

向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述至少一个配置参数用于所述计算节点执行动态安全检测；

接收所述计算节点根据所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；

根据所述动态安全检测结果确定所述计算节点的安全基线是否更改；如果所述计算节点的安全基线已被更改，则检测所述更改是否是用户主动修改；

如果所述更改为用户非主动修改，则将所述计算节点的安全基线恢复到所述初始化的安全基线。

2、根据权利要求 1所述的方法，其特征在于，由用于加密且存储信息的硬件密码模块保护所述安全基线安全可信。

3、根据权利要求 1或 2所述的方法，其特征在于，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：

基本输入输出系统程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库。

4、根据权利要求 1至 3任一项所述的方法，其特征在于，所述为计算节点配置初始化的安全基线，包括：

将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

5、根据权利要求 1至 3任一项所述的方法，其特征在于，在所述为计算节点配置初始化的安全基线前，所述方法还包括：

向所述计算节点发送初始化请求；

接收所述计算节点完成初始化后获得的初始化安全检测结果；相应地，所述为计算节点配置初始化的安全基线包括：将所述初始化安全检测结果配置为所述计算节点的初始化的安全基线。

6、根据权利要求 1至 4任一项所述的方法，其特征在于，所述向所述计算节点发送动态安全检测请求，具体包括：向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求。

7、根据权利要求 1至 5任一项所述的方法，其特征在于，所述将所述计算节点的安全基线恢复到所述初始化的安全基线 , 包括：

隔离所述计算节点；

将所述计算节点上正运行的虚拟机迁移到其他计算节点；

将所述计算节点的安全基线恢复到所述初始化的安全基线，其中所述方法还包括：将所述计算节点重新加入云计算网络。

8、根据权利要求 1至 6任一项所述的方法，其特征在于，所述方法还包括：

如果所述更改为用户主动修改，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

9、一种实现云计算网络防攻击的方法，其特征在于，包括：

接收管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数；

根据所述动态安全检测请求执行动态安全检测获得动态安全检测结果；向所述管理节点发送所述动态安全检测结果。

10、根据权利要求 9所述的方法，其特征在于，由用于加密且存储信息的硬件密码模块保护所述动态安全检测结果安全可信。

11、根据权利要求 9或 10所述的方法，其特征在于，所述安全基线的配置参数涉及以下一个或多个方面的配置内容：

12、根据权利要求 9至 11任一项所述的方法，其特征在于，所述接收管理节点的动态安全检测请求，包括：

接收所述管理节点周期性发送的动态安全检测请求；或

接收所述管理节点发送的要求周期性动态安全检测的请求。

13、根据权利要求 9至 12任一项所述的方法，其特征在于，所述执行动态安全检测，包括：

创建安全执行环境；

通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；

输出检测后获得的动态安全检测结果。

14、一种实现云计算网络防攻击的管理节点，其特征在于，包括：配置模块，用于为计算节点配置初始化的安全基线，所述安全基线包括至少一个配置参数；

发送模块，用于向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述至少一个配置参数用于所述计算节点执行动态安全检测；

接收模块，用于接收所述计算节点根据所述发送模块发送的所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；

确定模块，用于根据所述接收模块接收的所述动态安全检测结果确定所述计算节点的安全基线是否更改；

检测模块，用于如果所述确定模块确定所述计算节点的安全基线已被更改，则检测所述更改是否是用户主动修改；

所述配置模块还用于如果所述检测模块检测到所述更改为用户非主动修改，则将所述计算节点的安全基线恢复到所述初始化的安全基线。

15、根据权利要求 14所述的管理节点，其特征在于，所述管理节点还包括：

保护模块，用于加密且存储信息以保护所述安全基线安全可信。

16、根据权利要求 14或 15所述的管理节点，其特征在于，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：

17、根据权利要求 14至 16任一项所述的管理节点，其特征在于：所述配置模块具体用于将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

18、根据权利要求 14至 16任一项所述的管理节点，其特征在于：所述发送模块，还用于在所述为计算节点配置初始化的安全基线前，向所述计算节点发送初始化请求；

所述接收模块，还用于接收所述计算节点根据所述初始化请求完成初始化后获得的初始化安全检测结果；

相应地，所述配置模块将所述初始化安全检测结果配置为所述初始化的安全基线。

19、根据权利要求 14至 18任一项所述的管理节点，其特征在于：所述发送模块具体用于向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求。

20、根据权利要求 14至 19任一项所述的管理节点，其特征在于，所述管理节点还包括：

隔离模块，用于隔离所述计算节点；将所述计算节点上正运行的虚拟机迁移到其他计算节点，还将所述计算节点的安全基线恢复到所述初始化的安全基线，然后将所述计算节点重新加入云计算网络。

21、根据权利要求 14至 20任一项所述的管理节点，其特征在于：所述配置模块，还用于如果所述更改为用户主动修改，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

22、一种实现云计算网络防攻击的计算节点，其特征在于，包括：接收模块，用于接收管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数；

动态检测模块，用于根据所述接收模块接收的所述动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果；

23、根据权利要求 22所述的计算节点，其特征在于，所述计算节点还包括：

保护模块，用于加密且存储信息以保护所述动态安全检测结果安全可信。

24、根据权利要求 22或 23所述的计算节点，其特征在于，所述安全基线的配置参数涉及以下一个或多个方面的配置内容：

25、根据权利要求 22至 24任一项所述的计算节点，其特征在于：所述接收模块具体用于接收所述管理节点周期性发送的动态安全检测请求；或接收所述管理节点发送的要求周期性动态安全检测的请求。

26、根据权利要求 22至 25任一项所述的计算节点，其特征在于：所述动态检测模块，具体用于创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

27、一种实现云计算网络防攻击的管理节点，其特征在于，包括处理器、存储器、发送接口、接收接口：

所述存储器，用于存储所述处理器执行以下步骤的指令；

所述处理器，用于为计算节点配置初始化的安全基线，所述安全基线包括至少一个配置参数；

所述发送接口，用于向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述至少一个配置参数用于所述计算节点执行动态安全检测；

所述接收接口，用于接收所述计算节点根据所述发送接口发送的所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果；

所述处理器，还用于根据所述接收接口接收的所述动态安全检测结果确定所述计算节点的安全基线是否更改；如果所述处理器确定所述计算节点的安全基线已被更改，则检测所述更改是否是用户主动修改；且还用于如果所述处理器检测到所述更改为用户非主动修改，则将所述计算节点的安全基线恢复到所述初始化的安全基线。

28、根据权利要求 27所述的管理节点，其特征在于，还包括：硬件密码模块，用于加密且存储信息以保护所述安全基线安全可信。

29、根据权利要求 27或 28所述的管理节点，其特征在于，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：

30、根据权利要求 27至 29任一项所述的管理节点，其特征在于：所述处理器具体用于将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

31、根据权利要求 27至 29任一项所述的管理节点，其特征在于：所述发送接口，还用于在所述为计算节点配置初始化的安全基线前，向所述计算节点发送初始化请求；

所述接收接口，还用于接收所述计算节点根据所述初始化请求完成初始化后获得的初始化安全检测结果；

相应地，所述处理器将所述初始化安全检测结果配置为所述初始化的安全基线。

32、根据权利要求 27至 31任一项所述的管理节点，其特征在于：所述发送接口具体用于向所述计算节点周期性发送动态安全检测请求；或向所述计算节点发送要求周期性动态安全检测的请求。

33、根据权利要求 27至 32任一项所述的管理节点，其特征在于：所述处理器，还用于隔离所述计算节点；将所述计算节点上正运行的虚拟机迁移到其他计算节点，还将所述计算节点的安全基线恢复到所述初始化的安全基线，然后将所述计算节点重新加入云计算网络。

34、根据权利要求 27至 33任一项所述的管理节点，其特征在于：所述处理器，还用于如果所述更改为用户主动修改，则以更改后的安全基线取代所述计算节点的初始化的安全基线。

35、一种实现云计算网络防攻击的计算节点，其特征在于，包括处理器、存储器、接收接口和发送接口：

所述存储器，用于存储所述处理器执行下述步骤的指令；

所述接收接口，用于接收管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数；

所述处理器，用于根据所述接收接口接收的所述动态安全检测请求，在安全执行环境中执行动态安全检测获得动态安全检测结果；

36、根据权利要求 35所述的计算节点，其特征在于，所述计算节点还包括：

硬件密码模块，用于加密且存储信息以保护所述动态安全检测结果安全可信。

37、根据权利要求 35或 36所述的计算节点，其特征在于，所述安全基线的配置参数涉及以下一个或多个方面的配置内容：

38、根据权利要求 35至 37任一项所述的计算节点，其特征在于：所述接收接口具体用于接收所述管理节点周期性发送的动态安全检测请求；或接收所述管理节点发送的要求周期性动态安全检测的请求。

39、根据权利要求 35至 38任一项所述的计算节点，其特征在于：所述处理器，具体用于创建安全执行环境；通过在所述安全执行环境中运行动态安全检测程序以检测系统的安全状态；输出检测后获得的动态安全检测结果。

40、一种云计算网络，其特征在于，包括如权利要求 14到 39任一项的管理节点或计算节点。