【技术实现步骤摘要】
本专利技术属于通信与信息安全,具体涉及一种面向广义确定性网络的业务流程安全保护系统和方法。
技术介绍
1、确定性网络是:确定性网络是指在网络中提供确定性服务等级协定(servicelevel agreement,sla)保障的服务能力,确定性服务质量(quality of service,qos)要求包括带宽确定性、时延确定性、有序传输、低丢包率和高可用性等,其中时延确定性要求具备确定的时延上界和时延抖动值。
2、广义确定性网络是:传统确定性网络没有考虑算力资源、存储能力等因素,工作机制相对“静态、僵化”。广义确定性网络在传统确定性网络的基础,加入算力资源、存储资源及其他业务流程所需的业务资源的考量,具有高效智能和灵活兼容的能力,能够动态感知上层服务需求与底层网络状态,能够动态适配用户多样化服务需求,呈现出云网并存、算网融合的特点。
3、为了保障广义确定性网络中各业务数据计算的安全性,在业务流程中所涉及的信息系统需要能够提供指定的安全等级保护。至少需要提供以下能力:
4、1、需要保障网络节点、计算节点、存储节点的关键软硬件安全;
5、2、业务流程当中所涉及的加密软件、服务软件、安全防护软件的安全;
6、3、在当前业务流程中,该业务的结果需要满足指定的时延、抖动等要求。
7、针对第一点和第二点,可参照可信计算(trust computing)或安全启动(secureboot)的技术思路。通过可信计算或安全启动,可保障计算节点软硬件完整性和来源合法性,从而有效保
8、针对第三点,在广域网络范围中,可将网络控制平面、服务编排进行融合,并加入传统确定性网络的保障机制;在数据中心范围中,可以通过数据中心管理系统(datacenter manager,dcm)实现计算设备健康状态的自动化监测、告警和定位,实时、无遗漏地发现并定位设备故障,保障计算节点、存储节点和网络节点的设备安全运行。
9、以上1、2、3点中均涉及了计算节点、存储节点和网络节点,从形态上看均为计算设备。
10、固件是计算设备中的核心环节和基础组成部件。
11、在计算节点、存储节点和网络节点中的固件主要包括基本输入输出系统(basicinput output system,bios)、基板管理控制器(baseboard management controller,bmc)固件和远程管理控制器(remote management controller,rmc)。
12、其中,bios固件是计算设备核心环节和基础组成部件。bios固件一般以软件形式固化存储在计算设备(包括计算机、服务器、存储设备、信息安全设备、网络设备等)的存储芯片中,实现初始化和配置计算设备硬件,引导操作系统启动。bios固件能够直接支配调用计算设备硬件资源,具有极高权限,是实现计算设备功能的基础,是保障计算设备安全性和可靠性的核心关键软件。
13、bmc是部署于服务器的具有独立供电、独立i/o接口的控制单元,实现对服务器的运行状况进行监控,可执行获取服务器详细运行信息、软硬件资源控制、网络配置、软件部署、用户管理、安全管理等功能和控制操作。bmc的一个重要功能就是服务器健康状态监控和日志收集,bmc传感器可以监控服务器硬件的各种参数,当出现硬件故障的时候,bmc可以通过传感器上报告警,以及日志收集来分析硬件故障。
14、rmc固件是实现服务器所在机柜的统一管理,能够汇聚中转该机柜内的服务器bmc固件的传输信息,以及对该机柜的电压、温度、风扇转速等传感器进行管控。
15、计算节点、存储节点和网络节点开机上电后,bios运行过程中,初始化硬件参数并引导操作系统启动。可基于可信计算或安全启动在计算节点、存储节点和网络节点的关键软硬件进行度量,防止其被篡改或替换。
16、针对服务器,bmc固件在上电后自动运行,完成对服务器的传感器的远程控制,并与机柜的rmc固件进行通信。
17、针对机柜,rmc固件在上电后自动运行,完成对机柜的传感器的远程控制,并与机柜内的服务器的bmc固件进行通信。rmc将直接接收数据中心管理系统的管理指令。
18、可信计算是指计算设备在运算的同时进行安全防护,使操作和过程行为在任意条件下,其结果总是与预期一样, 计算全程可测可控,不被干扰。其基本思想是: 首先构建一个信任根, 再建立一条信任链, 从信任根开始到硬件平台及固件, 到操作系统, 再到应用, 一级认证一级,一级信任一级,把这种信任扩展到整个计算机系统, 从而确保整个计算机系统的可信。可信计算的三个关键技术是可信度量、可信存储、可信报告。系统开机时执行可信度量,以确保系统开机时的系统资源静态完整性,在可信的存储部件中存储度量结果,在实体询问时由可信计算平台提供可信报告。可信启动(trusted boot)是指从计算机上电开机到系统启动完成后所实施的可信度量、可信报告、可信存储的全过程。在计算设备上电开机后,可信模块将先于cpu启动,首先对计算设备uefi进行验证,确保固件完整、没有被破坏。在此基础上,uefi将调用可信模块提供的安全功能接口,对关键硬件和核心软件工具进行完整性度量,构建信任链。
19、安全启动是通过数字签名验证操作系统和启动加载程序的过程,以确保它们未被恶意软件篡改。uefi通过安全启动功能,能够验证启动加载程序的签名,确保只有经过认证的程序可以被加载。uefi提供了安全启动、安全启动验证和安全启动密钥管理等功能,有助于构建和维护可信计算环境。
20、在可信计算和安全启动中,uefi均是其核心基础实现部件。通过安全启动、可信计算等方式,增强uefi的安全性,确保其不容易受到恶意攻击或未经授权的更改和篡改,有助于保护信息系统免受潜在的安全威胁,提高其整体可靠性和可用性。
21、数据中心管理是指对数据中心资源进行有效管理的任务集合,涵盖了对服务器、网络设备、存储设备等基础设施的实时监控、能耗管理、容量规划、设备迁移等方面的功能。帮助管理员更好地了解数据中心资源使用情况,优化能源利用和设备布局,提高效率并降低成本。dcm可通过计算设备(如服务器)上的带外管理接口,即bmc接口,实现对服务器设备的远程管理监测。
22、目前,现有的确定性网络相关技术,仅考虑了在工业网络、广义互联网的数据传输时的时间容忍问题,考虑的对象主要是网络节点,没有考虑将计算节点、存储节点及其他业务流程所需的业务资源的考量。特别是没有在确定性网络的要求下,将业务的安全一致性和服务的时间要求统一考虑,具体包括:
23、1、在确定性网络中,未能保障网络节点、计算节点、存储节点的关键软硬件安全;
24、2、在确定性网络中,没有考虑业务流程中所涉及的软件安全,特别是,加密软件、服务软件、安全防护软件的安全;
25、3、在确定性网络中,没有考虑不同加密算法、不同设备、不同配本文档来自技高网...
【技术保护点】
1.一种面向广义确定性网络的服务序列安全保护系统,其特征在于,包括用户、广域网和数据中心;所述广域网包括广义确定性网络业务控制系统以及多个网络节点;数据中心包括管理系统、多个网络节点以及服务器;
2.一种面向广义确定性网络的服务序列安全保护方法,其特征在于,包括:
3.如权利要求2所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,在数据中心内部,其包含的计算节点、存储节点和网络节点信息发送给数据中心管理系统;在广域网中部署的计算节点、存储节点和网络节点信息发送给广域网控制系统;
4.如权利要求3所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,所述信息包括硬件信息和软件信息,两者信息合成为设备标识DeviceID:;
5.如权利要求4所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,在广域网中的设备,采用表示第k台设备能够提供的能力矩阵,包括网络传输能力、计算能力、存储能力、软件服务能力和安全能力;每项能力包括多个维度的能力;k表示广域网中设备的序号;
6.如权利要求2所述的面向广义确定性网
7.如权利要求2所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,所述步骤3中,计算可能满足用户需求的数据中心的方法为:
8.如权利要求2-7中任意权利要求所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,所述步骤5中,规划服务序列传输到哪些服务器中进行计算的方法包括:
9.如权利要求2所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,所述步骤4中,将该业务请求发送给所在的数据中心的管理系统的过程中,还包括:
10.如权利要求2所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,在执行步骤1之前,还包括准备过程,包括:
...【技术特征摘要】
1.一种面向广义确定性网络的服务序列安全保护系统,其特征在于,包括用户、广域网和数据中心;所述广域网包括广义确定性网络业务控制系统以及多个网络节点;数据中心包括管理系统、多个网络节点以及服务器;
2.一种面向广义确定性网络的服务序列安全保护方法,其特征在于,包括:
3.如权利要求2所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,在数据中心内部,其包含的计算节点、存储节点和网络节点信息发送给数据中心管理系统;在广域网中部署的计算节点、存储节点和网络节点信息发送给广域网控制系统;
4.如权利要求3所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,所述信息包括硬件信息和软件信息,两者信息合成为设备标识deviceid:;
5.如权利要求4所述的面向广义确定性网络的服务序列安全保护方法,其特征在于,在广域网中的设备,采用表示第k台设备能够提供的能力矩阵,包括网络传输能力、计算能力、存储能力、软件服...
【专利技术属性】
技术研发人员:杨冬,张超,朱立森,孙亮,张子浩,王洪超,张维庭,任彤,黄佳,
申请(专利权)人:昆仑太科北京技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。