一种集群模式下计算节点可信状态监控的方法与流程

技术领域

本发明涉及服务器安全技术领域，具体地说是一种集群模式下计算节点可信状态监控的方法。

背景技术：

随着云计算和大数据的兴起，核心计算资源逐步由分散式向集总式发展，即核心计算任务由一个或多个计算中心完成，而终端更多的是负责数据的上传及计算结果的处理。因此，核心数据都集中在了关键的计算节点上，一旦数据中心的主机遭受入侵，则用户的数据也面临着被窃取的风险。

公开的相关专利文件：名称为“云计算操作系统的控制器服务状态监控和故障恢复方法”，该文件公开了“一种云计算操作系统的控制器服务状态监控和故障恢复方法。本发明在云控制器和集群控制器上分别设置服务监控模块；集群控制器故障恢复时，重启集群控制器，恢复集群控制管理的网络信息、计算节点资源和集群虚拟机信息；节点控制器故障恢复时，重启节点控制器，恢复计算节点控制器所管理的节点资源和虚拟机信息。本发明有效解决了服务恢复内存数据丢失的问题，保证云计算操作系统服务的高可靠性；可广泛应用于云计算操作系统中”。

名称为“一种集群监控管理方法及系统”，该文件公开了“一种集群监控管理方法及系统。该方法及系统是在监控节点和各计算节点分别创建键值型数据库，通过键值型数据库之间的直接同步，来将各计算节点的更新数据实时同步到监控节点。由于键值型数据库是内存型非关系型数据库，具有快速的读写速度和灵活的数据存储类型，利用其实现数据同步的时间短，多个计算节点之间竞争关系不大，能够有效减轻监控节点的压力，降低网络带宽利用率，还有利于实现数据零冗余、高可用性和高可扩展性，另外提供一种易于分组管理的原理及方法”。

上述公开文件与本

技术实现要素：
要解决的技术问题，采用的技术手段都不相同。

发明内容

本发明的技术任务是提供一种集群模式下计算节点可信状态监控的方法。

本发明的技术任务是按以下方式实现的，该计算节点可信状态监控的方法包括：可信计算节点、计算节点代理程序和集群可信管理程序三部分；

可信计算节点：装有TPM芯片的计算机或服务器，其BIOS和BootLoader需符合可信计算组织的规范。根据可信计算组织的规范，计算机在启动过程中，每一级将控制权交给下一级前需计算下一级的度量值，并将该值扩展至对应的PCR中；

计算节点代理程序：安装在可信计算节点上的程序，接收可信管理程序下发的策略，并将其存放到TPM芯片的非易失性空间中；

集群可信管理程序：集群可信状态管理端，用以管理各个计算节点，下发可信配置文件，完成可信状态校验的功能。

所述的计算节点代理程序在计算节点开机后会主动收集PCR中存放的本次启动过程的静态度量信息，并将其上报给集群可信管理程序；同时，定时或根据管理程序下发的请求按照度量配置文件计算关键系统文件的哈希值，并将其上报给集群可信管理程序。

所述的计算节点可信状态监控的方法流程如下：

1）启动系统程序；

2）可信计算节点代理程序向管理程序上报注册信息；

3）判断节点是否已经注册；

4）若节点已经注册，则节点代理程序按条件上报度量值；

5）若节点没有注册，则管理程序记录节点信息；

6）管理程序下发TPM初始化命令及配置文件；

7）判断节点初始化是否成功；

8）若节点初始化成功，则管理程序删除该节点信息，之后计算节点可信状态监控结束；

9）若节点初始化没成功，则节点代理程序根据配置文件上报静态和动态度量值；

10）管理程序将度量值存入白名单中；

11）节点代理程序按条件上报度量值；

12）判断度量值是否一致；

13）度量值不一致，则管理程序向前端发送完整性异常信息，之后计算节点可信状态监控结束；

14）度量值一致，则计算节点可信状态监控结束。

本发明的一种集群模式下计算节点可信状态监控的方法和现有技术相比，可以实时反应各关键部件和文件的完整性，一旦其遭受篡改，可及时反映被篡改的主机及攻击点，数据中心管理员可根据该报告修复被篡改的内容。

附图说明

附图1为一种集群模式下计算节点可信状态监控的方法的系统结构图；

附图2为一种集群模式下计算节点可信状态监控的方法的流程图。

具体实施方式

实施例1：

该计算节点可信状态监控的方法包括：可信计算节点、计算节点代理程序和集群可信管理程序三部分；

可信计算节点：装有TPM芯片的计算机或服务器，其BIOS和BootLoader需符合可信计算组织的规范。根据可信计算组织的规范，计算机在启动过程中，每一级将控制权交给下一级前需计算下一级的度量值，并将该值扩展至对应的PCR中。

计算节点代理程序：安装在可信计算节点上的程序，接收可信管理程序下发的策略，并将其存放到TPM芯片的非易失性空间中；在计算节点开机后会主动收集PCR中存放的本次启动过程的静态度量信息，并将其上报给集群可信管理程序；同时，定时或根据管理程序下发的请求按照度量配置文件计算关键系统文件的哈希值，并将其上报给集群可信管理程序。

集群可信管理程序：集群可信状态管理端，用以管理各个计算节点，下发可信配置文件，完成可信状态校验的功能。

所述的计算节点可信状态监控的方法流程如下：

1）启动系统程序；

2）可信计算节点代理程序向管理程序上报注册信息；

3）判断节点是否已经注册；

4）若节点已经注册，则节点代理程序按条件上报度量值；

5）若节点没有注册，则管理程序记录节点信息；

6）管理程序下发TPM初始化命令及配置文件；

7）判断节点初始化是否成功；

8）若节点初始化成功，则管理程序删除该节点信息，之后计算节点可信状态监控结束；

9）若节点初始化没成功，则节点代理程序根据配置文件上报静态和动态度量值；

10）管理程序将度量值存入白名单中；

11）节点代理程序按条件上报度量值；

12）判断度量值是否一致；

13）度量值不一致，则管理程序向前端发送完整性异常信息，之后计算节点可信状态监控结束；

14）度量值一致，则计算节点可信状态监控结束。

通过上面具体实施方式，所述技术领域的技术人员可容易的实现本发明。但是应当理解，本发明并不限于上述的几种具体实施方式。在公开的实施方式的基础上，所述技术领域的技术人员可任意组合不同的技术特征，从而实现不同的技术方案。