計(jì)算池應(yīng)用方法及系統(tǒng)、云管理平臺(tái)、服務(wù)器、認(rèn)證平臺(tái)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別涉及一種可信計(jì)算池的應(yīng)用方法及系統(tǒng)、云管理平臺(tái)、認(rèn)證平臺(tái)、可信服務(wù)器。
【背景技術(shù)】
[0002]隨著云計(jì)算技術(shù)的不斷發(fā)展,越來越多的用戶已日漸習(xí)慣使用具備虛擬化及通用性的云服務(wù)。
[0003]目前,向用戶提供云服務(wù)的過程主要包括:利用多臺(tái)經(jīng)過可信認(rèn)證的可信服務(wù)器構(gòu)建可信計(jì)算池,在云管理中心接收到用戶業(yè)務(wù)請(qǐng)求后,配置相應(yīng)的工作負(fù)載(虛擬機(jī)),并對(duì)工作負(fù)載進(jìn)行相應(yīng)的加固處理以使工作負(fù)載滿足用戶的安全等級(jí)需求,進(jìn)而將加固處理后的工作負(fù)載運(yùn)行到可信計(jì)算池中預(yù)先經(jīng)過可信認(rèn)證的至少一臺(tái)可信服務(wù)器上,用戶即可通過運(yùn)行在可信服務(wù)器上的工作負(fù)載完成相應(yīng)的業(yè)務(wù)。
[0004]但是,在上述技術(shù)方案中,并未考慮工作負(fù)載依賴的可信服務(wù)器的安全等級(jí),可能對(duì)運(yùn)行在該可信服務(wù)器上的工作負(fù)載造成安全隱患;比如,工作負(fù)載對(duì)應(yīng)的安全等級(jí)為訪問驗(yàn)證保護(hù)級(jí),而對(duì)應(yīng)的可信服務(wù)器的安全等級(jí)為結(jié)構(gòu)化保護(hù)級(jí)時(shí),由于可信服務(wù)器的安全等級(jí)低于工作負(fù)載的安全等級(jí),入侵者可能通過控制安全等級(jí)較低的可信服務(wù)器,利用設(shè)置在可信服務(wù)器上的虛擬機(jī)監(jiān)控器等終止工作負(fù)載的正常運(yùn)行;可見,如何提高工作負(fù)載的安全性成為亟待解決的問題。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供了一種可信計(jì)算池的應(yīng)用方法及系統(tǒng)、云管理平臺(tái)、可信服務(wù)器、認(rèn)證平臺(tái),可提高工作負(fù)載的安全性。
[0006]第一方面,本發(fā)明提供了一種可信計(jì)算池的應(yīng)用方法,包括:
[0007]S0:獲取可信計(jì)算池中每一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全等級(jí)信息,根據(jù)每一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全等級(jí)信息將所述可信計(jì)算池劃分為至少一個(gè)虛擬安全域,其中,同一個(gè)所述虛擬安全域中的每一臺(tái)可信服務(wù)器具備相同的安全等級(jí);
[0008]S1:獲取業(yè)務(wù)請(qǐng)求彳目息,其中,所述業(yè)務(wù)請(qǐng)求彳目息包括功能需求彳目息及安全等級(jí)需求信息;
[0009]S2:根據(jù)所述功能需求信息配置工作負(fù)載,對(duì)所述工作負(fù)載進(jìn)行對(duì)應(yīng)所述安全等級(jí)需求信息的加固處理;
[0010]S3:確定對(duì)應(yīng)所述安全等級(jí)需求信息的目標(biāo)虛擬安全域;
[0011]S4:從外部認(rèn)證平臺(tái)獲取所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的標(biāo)識(shí)信息;
[0012]S5:根據(jù)所述至少一個(gè)標(biāo)識(shí)信息,將經(jīng)過加固處理后的工作負(fù)載部署到所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器上。
[0013]進(jìn)一步的,所述從外部認(rèn)證平臺(tái)獲取所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的標(biāo)識(shí)信息,包括:
[0014]從外部認(rèn)證平臺(tái)獲取所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全標(biāo)簽;
[0015]解析每一個(gè)所述安全標(biāo)簽,獲取對(duì)應(yīng)的至少一個(gè)標(biāo)識(shí)信息。
[0016]第二方面,本發(fā)明提供了一種云管理平臺(tái),包括:
[0017]第一獲取單元,用于獲取可信計(jì)算池中每一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全等級(jí)信息;
[0018]第一處理單元,用于根據(jù)每一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全等級(jí)信息將所述可信計(jì)算池劃分為至少一個(gè)虛擬安全域,其中,每一個(gè)所述虛擬安全域中的每一臺(tái)可信服務(wù)器具備相同的安全等級(jí);
[0019]第二獲取單兀,用于獲取業(yè)務(wù)請(qǐng)求?目息,其中,所述業(yè)務(wù)請(qǐng)求?目息包括功能需求?目息及安全等級(jí)需求信息;
[0020]第二處理單元,用于根據(jù)所述功能需求信息配置工作負(fù)載,對(duì)所述工作負(fù)載進(jìn)行對(duì)應(yīng)所述安全等級(jí)需求信息的加固處理;
[0021]確定單元,用于確定對(duì)應(yīng)所述安全等級(jí)需求信息的目標(biāo)虛擬安全域;
[0022]第三獲取單元,用于從外部認(rèn)證平臺(tái)獲取所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的標(biāo)識(shí)信息;
[0023]第三處理單元,用于根據(jù)所述至少一個(gè)標(biāo)識(shí)信息,將經(jīng)過加固處理后的工作負(fù)載部署到所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器上。
[0024]進(jìn)一步的,所述第三獲取單元,包括:
[0025]獲取子單元,用于從外部認(rèn)證平臺(tái)獲取所述目標(biāo)虛擬安全域中通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全標(biāo)簽;
[0026]解析子單元,用于解析每一個(gè)所述安全標(biāo)簽,獲取對(duì)應(yīng)的至少一個(gè)標(biāo)識(shí)信息。
[0027]第三方面,本發(fā)明提供了一種可信服務(wù)器,包括:
[0028]信息采集單元,用于采集當(dāng)前可信服務(wù)器的屬性信息,并將所述屬性信息發(fā)送至外部認(rèn)證平臺(tái),其中,所述屬性信息包括當(dāng)前可信服務(wù)器的標(biāo)識(shí)信息;
[0029]安全標(biāo)簽獲取單元,用于從外部認(rèn)證平臺(tái)獲取對(duì)應(yīng)所述屬性信息的安全標(biāo)簽,其中,所述安全標(biāo)簽攜帶所述屬性信息以及當(dāng)前可信服務(wù)器對(duì)應(yīng)的安全等級(jí)信息;
[0030]可信芯片,用于存儲(chǔ)所述安全標(biāo)簽。
[0031]第四方面,本發(fā)明提供了一種認(rèn)證平臺(tái),包括:
[0032]信息采集裝置,用于接收至少一臺(tái)可信服務(wù)器發(fā)送的對(duì)應(yīng)當(dāng)前可信服務(wù)器的屬性信息,其中,所述屬性信息攜帶當(dāng)前可信服務(wù)器的標(biāo)識(shí)信息;
[0033]安全等級(jí)評(píng)測(cè)裝置,用于對(duì)信息采集裝置接收到的每一條所述屬性信息進(jìn)行安全評(píng)測(cè),并生成對(duì)應(yīng)當(dāng)前屬性信息的安全等級(jí)信息;
[0034]安全標(biāo)簽生成裝置,用于生成分別對(duì)應(yīng)每一臺(tái)所述可信服務(wù)器的安全標(biāo)簽,其中,每一張所述安全標(biāo)簽分別包括對(duì)應(yīng)當(dāng)前可信服務(wù)器的屬性信息以及安全等級(jí)信息;
[0035]存儲(chǔ)單元,用于存儲(chǔ)所述安全標(biāo)簽生成裝置生成的每一張安全標(biāo)簽;
[0036]認(rèn)證單元,用于周期性的對(duì)每一臺(tái)所述可信服務(wù)器中的安全標(biāo)簽進(jìn)行可信認(rèn)證;
[0037]處理單元,用于向云管理平臺(tái)提供通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的標(biāo)識(shí)信息;將每一張安全標(biāo)簽分別下發(fā)至對(duì)應(yīng)的可信服務(wù)器中。
[0038]進(jìn)一步的,
[0039]所述處理單元,用于向云管理平臺(tái)提供通過可信認(rèn)證的至少一臺(tái)可信服務(wù)器分別對(duì)應(yīng)的安全標(biāo)簽。
[0040]進(jìn)一步的,
[0041]所述存儲(chǔ)單元,進(jìn)一步用于記錄所述安全標(biāo)簽生成裝置生成的每一張安全標(biāo)簽分別對(duì)應(yīng)的有效期;
[0042]所述認(rèn)證單元,用于周期性的判斷每一臺(tái)所述可信服務(wù)器對(duì)應(yīng)的安全標(biāo)簽是否在有效期內(nèi)。
[0043]第五方面,本發(fā)明提供了一種可信計(jì)算池的應(yīng)用系統(tǒng),包括:
[0044]如上述第二方面中任一所述的云管理平臺(tái)、可信計(jì)算池以及如上述第四方面中任一所述的認(rèn)證平臺(tái);
[0045]其中,所述可信計(jì)算池包括:至少一個(gè)如上述第三方面中所述的可信服務(wù)器。
[0046]本發(fā)明提供了一種可信計(jì)算池的應(yīng)用方法及系統(tǒng)、云管理平臺(tái)、可信服務(wù)器、認(rèn)證平臺(tái),通過獲取可信計(jì)算池中每一臺(tái)可信服務(wù)器對(duì)應(yīng)的安全等級(jí)信息,將可信計(jì)算池中具備相同安全等級(jí)的可信服務(wù)器劃分為同一個(gè)虛擬安全域,實(shí)現(xiàn)根據(jù)用戶業(yè)務(wù)需求配置具備相應(yīng)安全等級(jí)的工作負(fù)載,并將工作負(fù)載部署到具備相應(yīng)安全等級(jí)的可信服務(wù)器上;可見,通過本發(fā)明的技術(shù)方案,可實(shí)現(xiàn)同時(shí)控制工作負(fù)載及工作負(fù)載依賴的可信服務(wù)器分別對(duì)應(yīng)的安全等級(jí),提高了工作負(fù)載的安全性