可信資源池的構(gòu)建方法技術(shù)

本發(fā)明專利技術(shù)提供一種可信資源池的構(gòu)建方法，數(shù)據(jù)中心的主機(jī)為配置有可信芯片的主機(jī)，所有主機(jī)在啟動(dòng)過(guò)程中進(jìn)行完整性度量，并通過(guò)遠(yuǎn)程認(rèn)證服務(wù)器進(jìn)行完整性的驗(yàn)證，驗(yàn)證通過(guò)的劃分入可信資源池，驗(yàn)證未通過(guò)的劃分入普通資源池，在此基礎(chǔ)上，進(jìn)一步按照計(jì)算性能、存儲(chǔ)性能、網(wǎng)絡(luò)性能等條件進(jìn)行過(guò)濾，將可信資源池劃分為具有不同屬性特征的子可信資源池，后續(xù)根據(jù)負(fù)載的實(shí)際需要，從滿足其條件的資源池中為其分配資源?？尚判酒斜４嬗械乩砦恢眯畔?，既便于管理又能夠保證主機(jī)地理位置的可靠性。本發(fā)明專利技術(shù)從硬件和軟件兩個(gè)技術(shù)角度增加數(shù)據(jù)中心的安全性，可有效預(yù)防數(shù)據(jù)中心的安全隱患，提高數(shù)據(jù)中心的安全性和資源利用效率。

【技術(shù)實(shí)現(xiàn)步驟摘要】

本專利技術(shù)涉及一種，屬于數(shù)據(jù)中心安全性管理

技術(shù)介紹
數(shù)據(jù)中心是存儲(chǔ)核心數(shù)據(jù)、資源信息等重要數(shù)據(jù)的數(shù)據(jù)倉(cāng)庫(kù)，作為信息系統(tǒng)的核心及樞紐單元，數(shù)據(jù)中心的安全性必須得到多個(gè)層面的保障，按照0SI信息安全體系框架和國(guó)家信息安全保障體系，數(shù)據(jù)中心安全防范體系結(jié)構(gòu)由技術(shù)體系、組織體系和管理體系構(gòu)成；從技術(shù)角度講，對(duì)數(shù)據(jù)中心的非法性訪問(wèn)，各種已有的和新興的網(wǎng)絡(luò)攻擊、病毒等，都會(huì)對(duì)數(shù)據(jù)中心的安全性造成威脅，如何有效預(yù)防數(shù)據(jù)中心的安全隱患，是本領(lǐng)域技術(shù)人員致力于解決的技術(shù)問(wèn)題。
技術(shù)實(shí)現(xiàn)思路
鑒于上述原因，本專利技術(shù)的目的在于提供一種，將經(jīng)過(guò)可信啟動(dòng)并通過(guò)驗(yàn)證的可信主機(jī)劃分于可信資源池中，在此基礎(chǔ)上，將具有不同安全性要求的負(fù)載運(yùn)行于不同的主機(jī)上，可有效預(yù)防數(shù)據(jù)中心的安全隱患，提高數(shù)據(jù)中心的安全性和資源利用效率。為實(shí)現(xiàn)上述目的，本專利技術(shù)采用以下技術(shù)方案：—種，所有主機(jī)為包括可信芯片的主機(jī)，將經(jīng)過(guò)完整性驗(yàn)證的可信主機(jī)劃分于可信資源池中，按照不同的屬性條件將該可信資源池劃分為相應(yīng)的子可信資源池。按照計(jì)算性能、存儲(chǔ)性能、網(wǎng)絡(luò)性能條件，對(duì)所述可信資源池中的可信主機(jī)進(jìn)行過(guò)濾，以劃分為對(duì)應(yīng)屬性的子可信資源池。進(jìn)一步的，所述計(jì)算性能條件包括CPU核數(shù)、CPU線程數(shù)、CPU主頻，將所有滿足該計(jì)算性能條件的可信主機(jī)，劃分為計(jì)算密集型子可信資源池。所述存儲(chǔ)性能條件包括硬盤(pán)容量、磁盤(pán)讀寫(xiě)速率，將所有滿足該存儲(chǔ)性能條件的可信主機(jī)，劃分為存儲(chǔ)密集型子可信資源池。所述網(wǎng)絡(luò)性能條件為網(wǎng)絡(luò)吞吐量、網(wǎng)絡(luò)延遲，將所有滿足該網(wǎng)絡(luò)性能條件的可信主機(jī)，劃分為網(wǎng)絡(luò)I/o密集型子可信資源池。該方法還包括：為對(duì)計(jì)算性能要求較高的安全性數(shù)據(jù)或應(yīng)用分配所述計(jì)算密集型子可信資源池中的資源，為對(duì)存儲(chǔ)性能要求較高的安全性數(shù)據(jù)或應(yīng)用分配所述存儲(chǔ)密集型子可信資源池，為對(duì)網(wǎng)絡(luò)性能要求較高的安全性數(shù)據(jù)或應(yīng)用分配所述網(wǎng)絡(luò)I/O密集型子可信資源池中的資源。將所述主機(jī)的地理位置信息保存于所述可信芯片中，按照地理位置信息條件，將所有可信主機(jī)劃分為不同地理位置的子可信資源池，將所有未通過(guò)完整性驗(yàn)證的普通主機(jī)劃分為不同地理位置的子普通資源池。所述完整性驗(yàn)證的方法是：通過(guò)可信啟動(dòng)過(guò)程對(duì)所有主機(jī)進(jìn)行完整性度量，通過(guò)遠(yuǎn)程認(rèn)證服務(wù)器對(duì)主機(jī)的完整性進(jìn)行驗(yàn)證。所述可信啟動(dòng)的方法是，在主機(jī)的啟動(dòng)過(guò)程中，對(duì)要執(zhí)行部分的代碼或數(shù)據(jù)進(jìn)行度量值計(jì)算，對(duì)計(jì)算得到的度量值進(jìn)行哈希運(yùn)算，將生成的哈希值保存于可信芯片中，主機(jī)啟動(dòng)結(jié)束，得到多個(gè)度量值。將所述遠(yuǎn)程認(rèn)證服務(wù)器中保存的基準(zhǔn)度量值與所述主機(jī)的度量值進(jìn)行比較，二者一致時(shí)，主機(jī)驗(yàn)證通過(guò)，成為所述可信主機(jī)，二者不一致時(shí)，驗(yàn)證未通過(guò)，成為普通主機(jī)。本專利技術(shù)的優(yōu)點(diǎn)在于：本專利技術(shù)的，將經(jīng)過(guò)可信啟動(dòng)并通過(guò)驗(yàn)證的可信主機(jī)劃分于可信資源池中，并按照不同的屬性條件進(jìn)一步劃分出若干子可信資源池，在此基礎(chǔ)上，將具有不同安全性要求的負(fù)載保存并運(yùn)行于滿足條件的主機(jī)上，本專利技術(shù)從硬件和軟件兩個(gè)技術(shù)角度增加數(shù)據(jù)中心的安全性，可有效預(yù)防數(shù)據(jù)中心的安全隱患，提高數(shù)據(jù)中心的安全性和資源利用率?！靖綀D說(shuō)明】圖1是本專利技術(shù)的方法流程圖?！揪唧w實(shí)施方式】以下結(jié)合附圖和實(shí)施例對(duì)本專利技術(shù)作進(jìn)一步詳細(xì)的說(shuō)明。圖1是本專利技術(shù)的方法流程圖。如圖所示，本專利技術(shù)公開(kāi)的，包括以下步驟：S1 :通過(guò)可信啟動(dòng)過(guò)程對(duì)所有主機(jī)進(jìn)行完整性度量；本專利技術(shù)中的主機(jī)是指包括可信芯片（TPM :Trusted Platform Module)的主機(jī)，該可信芯片中設(shè)置有PCR(platform configuration register)寄存器，包括可信芯片的主機(jī)，其硬件架構(gòu)已屬于現(xiàn)有技術(shù)，本專利技術(shù)不對(duì)包括可信芯片的主機(jī)結(jié)構(gòu)進(jìn)行詳細(xì)說(shuō)明。主機(jī)的可信啟動(dòng)過(guò)程為：在主機(jī)的啟動(dòng)過(guò)程中，對(duì)要執(zhí)行部分的代碼或數(shù)據(jù)進(jìn)行度量值計(jì)算，對(duì)計(jì)算得到的度量值進(jìn)行哈希運(yùn)算，將生成的哈希值保存于可信芯片的PCR寄存器中，主機(jī)啟動(dòng)完成，得到啟動(dòng)過(guò)程的多個(gè)度量值，建立了從BIOS (Basic InputOutput System)到 BootLoader 最后到 OS (Operating System)的一條完整的可信度量鏈，能夠反應(yīng)主機(jī)的完整性信息。S2 :通過(guò)遠(yuǎn)程認(rèn)證服務(wù)器對(duì)主機(jī)的完整性進(jìn)行驗(yàn)證；遠(yuǎn)程認(rèn)證服務(wù)器中存儲(chǔ)有主機(jī)的基準(zhǔn)度量值，遠(yuǎn)程認(rèn)證服務(wù)器從各主機(jī)的可信芯片中獲取對(duì)應(yīng)主機(jī)的多個(gè)度量值，通過(guò)將主機(jī)的度量值與基準(zhǔn)度量值進(jìn)行比較，驗(yàn)證主機(jī)的完整性，當(dāng)主機(jī)的度量值與基準(zhǔn)度量值一致時(shí)，主機(jī)驗(yàn)證通過(guò)，成為可信主機(jī)，當(dāng)主機(jī)的度量值與基準(zhǔn)度量值不一致時(shí)，認(rèn)為主機(jī)存在安全風(fēng)險(xiǎn)（主機(jī)有可能因受到攻擊或病毒入侵而被篡改了數(shù)據(jù)），驗(yàn)證未通過(guò)，成為普通主機(jī)。S3 :將所有通過(guò)驗(yàn)證的可信主機(jī)劃分入可信資源池，所有未通過(guò)驗(yàn)證的普通主機(jī)劃分入普通資源池；S4:按照計(jì)算性能、存儲(chǔ)性能、網(wǎng)絡(luò)性能等條件，對(duì)可信資源池中的可信主機(jī)進(jìn)行二次過(guò)濾，生成不同屬性的子可信資源池；具體的說(shuō)，S41 :獲取可信資源池中所有可信主機(jī)的基本信息；主機(jī)的基本信息包括計(jì)算性能（CPU核數(shù)、CPU主頻、線程數(shù)等指標(biāo)項(xiàng))、存儲(chǔ)性能(硬盤(pán)容量、硬盤(pán)讀寫(xiě)速率等指標(biāo)項(xiàng)）、網(wǎng)絡(luò)性能（網(wǎng)絡(luò)吞吐量、網(wǎng)絡(luò)延遲等指標(biāo)項(xiàng)）等，步驟S1中，主機(jī)啟動(dòng)結(jié)束后，主機(jī)的基本信息均對(duì)應(yīng)保存于數(shù)據(jù)庫(kù)中。S42 :所有可信主機(jī)分別按照計(jì)算性能、存儲(chǔ)性能、網(wǎng)絡(luò)性能條件進(jìn)行二次過(guò)濾，生成不同屬性的子可信資源池；按照計(jì)算性能條件過(guò)濾時(shí)，將所有滿足計(jì)算性能條件的可信主機(jī)，劃分為計(jì)算密集型子可信資源池，具體的說(shuō)，計(jì)算性能條件包括CPU核數(shù)、線程數(shù)等，計(jì)算性能條件可根據(jù)需要進(jìn)行配置，例如，配置CPU主頻為1000MHz、CPU核數(shù)為四核，線程數(shù)為四，則，可信主機(jī)按照CPU主頻、CPU核數(shù)、線程數(shù)條件進(jìn)行比對(duì)，將CPU主頻大于等于1000MHz、CPU核數(shù)大于等于四核、線程數(shù)大于等于四的可信主機(jī)劃分入計(jì)算密集型子可信資源池，該計(jì)算密集型子可信資源池適于運(yùn)行Web服務(wù)器、郵件服務(wù)器、圖像/視頻當(dāng)前第1頁(yè)1 2 本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
可信資源池的構(gòu)建方法，所有主機(jī)為包括可信芯片的主機(jī)，其特征在于，將經(jīng)過(guò)完整性驗(yàn)證的可信主機(jī)劃分于可信資源池中，按照不同的屬性條件將該可信資源池劃分為相應(yīng)的子可信資源池。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：鄭馳，梁思謙，
申請(qǐng)(專利權(quán))人：北京因特信安軟件科技有限公司，
類型：發(fā)明
國(guó)別省市：北京;11