本公开提供一种可信度量方法,在可信度量装置可信启动的情况下,连接计算服务器,并确定计算服务器的第一引导加载程序的启动模式;响应于第一引导加载程序为可信引导模式,获取计算服务器中存储的第一组可信度量结果;响应于第一组可信度量结果与预先存储的第一组可信度量期望值相同,确定计算服务器可信启动,其中,第一组可信度量期望值由安全总控服务器下发给可信度量装置。本公开实施例中可信度量不占用计算资源,既能实施安全管控又能最大限度保留计算资源,安全总控服务器不需要时刻在线,降低被入侵攻击的可能。本公开还提供一种可信度量装置、计算机设备和可读介质。计算机设备和可读介质。计算机设备和可读介质。
【技术实现步骤摘要】
可信度量方法、装置、计算机设备和可读介质
[0001]本公开涉及云计算
,具体涉及一种可信度量方法、装置、计算机设备和可读介质。
技术介绍
[0002]云计算通过虚拟化层统一管理和屏蔽底层硬件,按需为用户提供计算服务,实现资源共享,提高了资源利用率。但是,云平台管理程序部署在服务器上,通常会带来服务器性能损耗,而且云平台管理程序和业务虚拟机部署在同一服务器上,没有物理隔离,存在安全隐患。为了解决上述问题,业界较先进的方案是将云平台控制、计算、网络、存储等模块从服务器卸载到控制子卡上,实现服务器性能零损耗,物理机全部的计算能力均可交付用户虚拟机使用。虚拟化软件卸载到智能网卡后,和用户计算资源完全隔离,确保性能零干扰。在这种情况下如何实现对计算服务器的可信度量进行有效监管,从而保证整个云平台的安全可信,则成为必须解决的问题。
技术实现思路
[0003]本公开提供一种可信度量方法、装置、计算机设备和可读介质。
[0004]第一方面,本公开实施例提供一种可信度量方法,应用于可信度量装置,所述方法包括:
[0005]在所述可信度量装置可信启动的情况下,连接计算服务器,并确定所述计算服务器的第一引导加载程序的启动模式;
[0006]响应于所述第一引导加载程序为可信引导模式,获取所述计算服务器中存储的第一组可信度量结果;
[0007]响应于所述第一组可信度量结果与预先存储的第一组可信度量期望值相同,确定所述计算服务器可信启动,其中,所述第一组可信度量期望值由安全总控服务器下发给所述可信度量装置。
[0008]在一些实施例中,在获取所述计算服务器中存储的第一组可信度量结果之后,所述方法还包括:
[0009]响应于所述第一组可信度量结果中的至少一个与所述第一组可信度量期望值中的至少一个不同,执行第一安全管控策略。
[0010]在一些实施例中,所述第一安全管控策略包括以下至少之一:
[0011]向预设服务器发送第一安全告警;
[0012]指示所述计算服务器升级所述计算服务器的操作系统;
[0013]指示所述计算服务器调整所述计算服务器的可信度量范围。
[0014]在一些实施例中,在所述可信度量装置可信启动的情况下,所述方法还包括:响应于满足预设第一条件,执行第二安全管控策略;
[0015]其中,所述预设第一条件至少包括以下之一:
[0016]超过预设第一时长未成功连接所述计算服务器;
[0017]未获取到所述计算服务器中存储的第一组可信度量结果;
[0018]所述第一组可信度量结果的数量小于所述第一组可信度量期望值的数量;
[0019]所述第一引导加载程序为非可信引导模式。
[0020]在一些实施例中,所述第二安全管控策略至少包括以下之一:
[0021]向预设服务器发送第二安全告警;
[0022]指示所述计算服务器关闭并锁死启动。
[0023]在一些实施例中,在确定所述计算服务器可信启动之后,所述方法还包括:
[0024]响应于确定出所述计算服务器的虚拟化运行环境可信,指示所述计算服务器执行用于维护虚拟机生命周期的操作;其中,当虚拟机的生命周期发生变化时,所述计算服务器对所述虚拟机进行可信度量。
[0025]在一些实施例中,在指示所述计算服务器执行用于维护虚拟机生命周期的操作之后,所述方法还包括:
[0026]访问所述虚拟机,确定所述虚拟机的第二引导加载程序的启动模式;
[0027]响应于所述第二引导加载程序为可信引导模式,获取所述虚拟机中存储的第二组可信度量结果;
[0028]响应于所述第二组可信度量结果与预先存储的第二组可信度量期望值相同,确定所述虚拟机可信启动,其中,所述第二组可信度量期望值由安全总控服务器下发给所述可信度量装置。
[0029]在一些实施例中,在指示所述计算服务器执行用于维护虚拟机生命周期的操作之后,所述方法还包括:响应于满足预设第二条件,执行第三安全管控策略;其中,所述预设第二条件至少包括以下之一:超过预设时长未成功访问所述虚拟机;所述虚拟机的第二引导加载程序为非可信引导模式;确定出所述虚拟机未可信启动。
[0030]在一些实施例中,所述第三安全管控策略至少包括以下之一:
[0031]向预设服务器发送第三安全告警;
[0032]指示所述计算服务器暂停所述虚拟机的CPU运行。
[0033]在一些实施例中,在获取所述虚拟机中存储的第二组可信度量结果之后,所述方法还包括:
[0034]响应于所述第二组可信度量结果中的至少一个与所述第二组可信度量期望值中的至少一个不同,执行第四安全管控策略。
[0035]在一些实施例中,所述第四安全管理策略至少包括以下之一:
[0036]向预设服务器发送第四安全告警;
[0037]指示所述计算服务器升级虚拟机的操作系统;
[0038]指示所述计算服务器调整所述虚拟机的应用程序的可信度量范围;
[0039]向所述计算服务器发送度量期望值更新指令,所述度量期望值更新指令用于使所述计算服务器更新所述虚拟机内存储的度量期望值。
[0040]在一些实施例中,所述方法还包括:
[0041]通过加密网络接收所述安全总控服务器发送的至少一组可信度量期望值,并在本地存储所述至少一组可信度量期望值。
[0042]又一方面,本公开实施例还提供一种可信度量装置,包括第一通信模块和第一处理模块,所述第一通信模块用于,在所述可信度量装置可信启动的情况下,连接计算服务器;以及,获取所述计算服务器中存储的第一组可信度量结果;
[0043]所述第一处理模块用于,确定所述计算服务器的第一引导加载程序的启动模式,在所述第一引导加载程序为可信引导模式的情况下,指示所述第一通信模块获取所述计算服务器中存储的第一组可信度量结果;响应于所述第一组可信度量结果与预先存储的第一组可信度量期望值相同,确定所述计算服务器可信启动,其中,所述第一组可信度量期望值由安全总控服务器下发给所述可信度量装置。
[0044]又一方面,本公开实施例还提供一种计算机设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如前所述的可信度量方法。
[0045]又一方面,本公开实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,所述程序被执行时实现如前所述的可信度量方法。
[0046]本公开实施例提供的可信度量方法,应用于可信度量装置,所述方法包括:在可信度量装置可信启动的情况下,连接计算服务器,并确定计算服务器的第一引导加载程序的启动模式;响应于第一引导加载程序为可信引导模式,获取计算服务器中存储的第一组可信度量结果;响应于第一组可信度量结果与预先存储的第一组可信度量期望值相同,确定计算服务器可信启动,其中,第一组可信度量期望值由安全总本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信度量方法,其特征在于,应用于可信度量装置,所述方法包括:在所述可信度量装置可信启动的情况下,连接计算服务器,并确定所述计算服务器的第一引导加载程序的启动模式;响应于所述第一引导加载程序为可信引导模式,获取所述计算服务器中存储的第一组可信度量结果;响应于所述第一组可信度量结果与预先存储的第一组可信度量期望值相同,确定所述计算服务器可信启动,其中,所述第一组可信度量期望值由安全总控服务器下发给所述可信度量装置。2.如权利要求1所述的方法,其特征在于,在获取所述计算服务器中存储的第一组可信度量结果之后,所述方法还包括:响应于所述第一组可信度量结果中的至少一个与所述第一组可信度量期望值中的至少一个不同,执行第一安全管控策略。3.如权利要求2所述的方法,其特征在于,所述第一安全管控策略包括以下至少之一:向预设服务器发送第一安全告警;指示所述计算服务器升级所述计算服务器的操作系统;指示所述计算服务器调整所述计算服务器的可信度量范围。4.如权利要求1所述的方法,其特征在于,在所述可信度量装置可信启动的情况下,所述方法还包括:响应于满足预设第一条件,执行第二安全管控策略;其中,所述预设第一条件至少包括以下之一:超过预设第一时长未成功连接所述计算服务器;未获取到所述计算服务器中存储的第一组可信度量结果;所述第一组可信度量结果的数量小于所述第一组可信度量期望值的数量;所述第一引导加载程序为非可信引导模式。5.如权利要求4所述的方法,其特征在于,所述第二安全管控策略至少包括以下之一:向预设服务器发送第二安全告警;指示所述计算服务器关闭并锁死启动。6.如权利要求1所述的方法,其特征在于,在确定所述计算服务器可信启动之后,所述方法还包括:响应于确定出所述计算服务器的虚拟化运行环境可信,指示所述计算服务器执行用于维护虚拟机生命周期的操作;其中,当虚拟机的生命周期发生变化时,所述计算服务器对所述虚拟机进行可信度量。7.如权利要求6所述的方法,其特征在于,在指示所述计算服务器执行用于维护虚拟机生命周期的操作之后,所述方法还包括:访问所述虚拟机,确定所述虚拟机的第二引导加载程序的启动模式;响应于所述第二引导加载程序为可信引导模式,获取所述虚拟机中存储的第二组可信度量结果;响应于所述第二组可信度量结果与预先存储的第二组可信度量期望值相同,确定所述虚拟机可信启动,其中,所述第二组可信度量期望值由安全总控服务器下发给所述可信度量装置。
8.如权利要求7所述的方法,其特征在于,在指...
【专利技术属性】
技术研发人员:张敏,王亮,谈虎,刘建军,蔡衢,周佳,薛志宏,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。