本文描述的主题的方面涉及集群。在各方面中,创建图像以将软件安装到集群的节点上。集群的根秘密被注入到图像中。在将图像的软件安装到集群的节点上之后,节点可以引导到安全模式中,检测对于要加入集群的节点而言需要个性化,创建用于与集群的其它节点进行认证的身份,经由根秘密链接身份,并且然后在承担节点职责之前从节点安全地擦除根秘密。除其它之外,这允许单个图像用于将软件安装在集群的所有节点上,而没有使整个集群受损的单个节点的受损。
【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
准备(provision)集群的节点通常是单调乏味且耗时的。除在集群的每一个节点上安装操作系统和应用之外,集群管理员还可能涉及配置针对集群的节点的安全性。当每次更换节点或者添加新节点时,可能要求集群管理员再次执行以上步骤中的一个或多个。如果用于配置安全性的过程太耗时或单调乏味,则集群管理员可能选择较不安全的配置。本文要求保护的主题不限于解决任何缺点或者仅在诸如以上描述的那些环境之类的环境中操作的实施例。相反,该
技术介绍
仅被提供以说明其中可以实践本文描述的一些实施例的一个示例性
技术实现思路
简要地说,本文描述的主题的方面涉及集群。在各方面中,创建图像以将软件安装到集群的节点上。集群的根秘密被注入到图像中。在将图像的软件安装到集群的节点上之后,节点可以引导到安全模式中,检测对于节点而言需要个性化,创建用于与集群的其它节点进行认证的身份,经由根秘密链接身份,并且然后在承担节点职责之前从节点安全地擦除根秘密。除其它之外,这允许使用单个图像来将软件安装在集群的所有节点上,而没有使整个集群受损的单个节点的受损。提供该
技术实现思路
以便简要地标识在下文具体实施方式中进一步描述的主题的一些方面。该
技术实现思路
不旨在标识所要求保护的主题的关键或必要特征,也不旨在用于限制所要求保护的主题的范围。短语“本文描述的主题”是指在具体实施方式中描述的主题,除非上下文清楚地以其它方式指示。术语“方面”应当解读为“至少一个方面”。标识在具体实施方式中描述的主题的方面不旨在标识所要求保护的主题的关键或必要特征。本文描述的主题的上文描述的方面和其它方面通过示例进行说明并且不在附图中受限,其中相同参考标号指示类似元件并且其中。附图说明图1是表示本文描述的主题的方面可以并入到其中的示例性计算环境的框图;图2是大体表示依照本文描述的主题的方面配置的系统的示例性组件的框图;并且图3图示了依照本文描述的主题的方面可能发生的事件的时间线;并且图4-5是大体表示依照本文描述的主题的方面可能发生的示例性动作的流程图。具体实施方式定义如本文使用的,术语“包括”及其变形要解读为开放式术语,其意指“包括但不限于”。术语“或”要解读为“和/或”,除非上下文清楚地以其它方式指示。术语“基于”要解读为“至少部分地基于”。术语“一个实施例”和“一实施例”要解读为“至少一个实施例”。术语“另一实施例”要解读为“至少一个其它实施例”。如本文中使用的,诸如“一”、“一个”和“所述”之类的术语包括所指示的项目或动作中的一个或多个。特别地,在权利要求中,对项目的引用一般意味着存在至少一个这样的项目并且对动作的引用意味着执行该动作的至少一个实例。术语数据要广泛地解读成包括可以由一个或多个计算机存储元件表示的任何事物。在逻辑上,数据可以表示为易失性或非易失性存储器中的1和0的序列。在具有非二进制存储介质的计算机中,数据可以根据存储介质的能力来表示。数据可以组织到不同类型的数据结构中,包括诸如数字、字母等的简单数据类型,分层的、链接的或其它相关数据类型,包括多个其它数据结构或简单数据类型的数据结构,等等。数据的一些示例包括信息、程序状态、程序数据、其它数据等。标题仅出于方便性;关于给定话题的信息可以在其标题指示该话题的章节之外找到。下文可以包括其它明显和隐含的定义。示例性操作环境图1图示了可以在其上实现本文描述的主题的方面的合适计算系统环境100的示例。计算系统环境100仅是合适计算环境的一个示例并且不旨在建议关于本文描述的主题的方面的功能性或使用的范围的任何限制。也不应当将计算环境100解释为具有涉及示例性操作环境100中所图示的组件中的任何一个或组合的任何依赖性或要求。本文描述的主题的方面可与众多其它通用或专用计算系统环境或配置一同操作。可以适用于与本文描述的主题的方面一同使用的公知的计算系统、环境或配置的示例包括个人计算机、服务器计算机—无论在裸露金属上或者作为虚拟机、手持式或膝上型设备、多处理器系统、基于微控制器的系统、机顶盒、可编程和不可编程的消费者电子产品、网络PC、小型计算机、大型计算机、个人数字助理(PDA)、游戏设备、打印机、包括机顶、媒体中心或其它器具的器具、嵌入或附连到机动车的计算设备、其它移动设备、包括手机、无线电话和有线电话的电话设备、包括以上系统或设备中的任一个的分布式计算环境等等。尽管各种实施例可能限于以上设备中的一个或多个,但是术语计算机旨在覆盖以上设备,除非以其它方式指示。可以在由计算机执行的诸如程序模块之类的计算机可执行指令的一般上下文中描述本文描述的主题的方面。一般地,程序模块包括例程、程序、对象、组件、数据结构等,其执行特定任务或者实现特定抽象数据类型。本文描述的主题的方面还可以在分布式计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块可以位于包括存储器存储设备的本地和远程计算机存储介质二者中。可替换地或者此外,本文描述的功能性可以至少部分地通过一个或多个硬件逻辑组件来执行。例如并且没有限制,可以使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、程序特定集成电路(ASIC)、程序特定标准产品(ASSP)、片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)等。参照图1,用于实现本文描述的主题的方面的示例性系统包括计算机110形式的通用计算设备。计算机可以包括能够执行指令的任何电子设备。计算机110的组件可以包括处理单元120、系统存储器130以及将包括系统存储器的各种系统组件耦合到处理单元120的一个或多个系统总线(由系统总线121表示)。系统总线121可以是若干类型总线结构中的任一种,包括存储器总线或存储器控制器、外围总线以及使用多种总线架构中任何一种的局部总线。作为示例而非限制,这样的架构包括工业标准架构(ISA)总线、微通道架构(MCA)总线、增强ISA(EISA)总线、视频电子标准协会(VESA)局部总线、也被称为夹层总线的外围组件互连(PCI)总线、外围组件互连扩展(PCI-X)总线、高级图形端口(AGP)和PCIexpress(PCIe)。处理单元120可以连接到硬件安全设备122。安全设备122可以存储并且能够生成可以用于保护计算机110的各种方面的密码化密钥。在一个实施例中,安全设备122可以包括受信平台模块(TPM)芯片、TPM安全设备等。计算机110典型地包括多种计算机可读介质。计算机可读介质可以是可以由计算机110访本文档来自技高网...
【技术保护点】
一种至少部分地由计算机实现的方法,该方法包括:在安全模式中引导节点;检测对节点而言需要个性化;创建用于与集群的其它节点进行认证的身份;经由可用于节点的根秘密链接身份;以及从节点安全地擦除根秘密。
【技术特征摘要】
【国外来华专利技术】2013.12.17 US 14/1098411.一种至少部分地由计算机实现的方法,该方法包括:
在安全模式中引导节点;
检测对节点而言需要个性化;
创建用于与集群的其它节点进行认证的身份;
经由可用于节点的根秘密链接身份;以及
从节点安全地擦除根秘密。
2.如权利要求1所述的方法,其中检测需要个性化包括检测用于节点的个性化身份的
缺失。
3.如权利要求1所述的方法,其中检测需要个性化包括检测指示节点的准备完成的数
据的存在或缺失。
4.如权利要求1所述的方法,其中检测需要个性化包括检测根秘密存储在计算机的存
储器中。
5.如权利要求1所述的方法,其中创建身份包括执行使用随机数据来生成用于节点的
身份秘密的功能。
6.如权利要求5所述的方法,其中经由根秘密链接身份包括执行密码化功能,该密码化
功能使用身份秘密和根秘密来创建验证数据,使得使用根秘密的验证数据和知识启用集群
的任何其它节点以使被创建用于和集群的其它节点进行认证的身份与节点的身份秘密相
关联。
7.如权利要求1所述的方法,其中创建身份包括节点从可用于节点的随机数据创建私
有密钥/公共密钥对并且创建节点证书。
8.如权利要求7所述的方法,其中经由根秘密链接身份包括使用根秘密来链接节点证
书与和根秘密相关联的根证书。
9.如权利要求1所述的方法,其中创建身份包括节点创建对称密钥,并且其中经由可用
于节点的根秘密链接身份包括利用根秘密签名对称密钥的表示以创建用于使身份与节点
的身份秘密相关联的验...
【专利技术属性】
技术研发人员:NJ伊德,M尼斯特罗姆,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。