处理等应用。
[0035]按照存储性能条件过滤时,将所有满足存储性能条件的可信主机,划分为存储密集型子可信资源池,具体的说,存储性能条件包括硬盘容量、硬盘读写速率等,存储性能条件可根据需要进行配置,例如,配置硬盘容量为36TB、硬盘读写速率为300MB/S,则,可信主机按照硬盘容量、硬盘读写速率条件进行比对,将硬盘容量大于等于36TB、硬盘读写速率大于等于300MB/S的可信主机划分入存储密集型子可信资源池,该存储密集型子可信资源池适于运行数据库服务、文件服务等应用。
[0036]按照网络性能条件过滤时,将所有满足网络性能条件的可信主机,划分为网络1/0密集型子可信资源池,具体的说,网络性能条件即为网络吞吐量、网络延迟,网络性能条件可根据需要配置,例如,配置网络吞吐量为lOOOmbps、网络延迟为10ms,则,可信主机按照网络吞吐量、网络延迟条件进行比对,将网络吞吐量大于等于lOOOmbps、网络延迟小于等于10ms的可信主机划分入网络1/0密集型子可信资源池。
[0037]S5 :根据负载的实际需求,为负载分配相应资源池中的资源
[0038]可信资源池及各属性的子可信资源池构建完成后,即可根据负载的实际需要,分配资源,例如,不影响安全性的常规数据或应用保存并运行于普通资源池中的普通主机上,安全敏感性数据或应用(例如,用户的个人相关信息,密码验证应用等)保存并运行于可信资源池中的可信主机上,进一步的,对计算性能要求较高的安全性数据或应用(如,订票网站)保存并运行于计算密集型子可信资源池中的可信主机上,对存储性能要求较高的安全性数据或应用(如,百度网盘、QQ网盘等)保存并运行于存储密集型子可信资源池中的可信主机上,对网络性能要求较高的安全性数据或应用(如,游戏网站,视频网站等)保存并运行于网络1/0密集型子可信资源池中的可信主机上。
[0039]对于具有一定规模的数据中心,其主机分布于多个地点,为提高数据中心对所有主机的管理便利性,将所有主机所处的实际地理位置信息保存于主机的可信芯片中(管理员通过输入正确的操作密码,可对可信芯片执行写操作),在上述步骤S3之后,对所有可信主机及普通主机分别按照地理位置信息条件进行过滤,将处于同一地理位置的可信主机划分为同一子可信资源池,将处于同一地理位置的普通主机划分为同一子普通资源池,例如,所有处于北京地区的可信主机划分为北京子可信资源池等。这样,既有利于对同一地理位置的主机进行有效管理,又能够实时监控主机位置以确保某些特定的应用运行在指定的地理位置范围内。
[0040]本发明的可信资源池的构建方法,数据中心的主机为包括可信芯片的主机,所有主机在启动过程中进行完整性度量,并通过远程认证服务器进行度量值的验证,验证通过的划分入可信资源池,验证未通过的划分入普通资源池,在此基础上,进一步按照计算性能、存储性能、网络性能等条件进行过滤,将可信资源池划分为具有不同属性特征的子可信资源池,后续根据负载的实际需要,从满足其条件的资源池中为其分配资源。本发明从硬件和软件两个技术角度增加数据中心的安全性,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用效率。
[0041]以上所述是本发明的较佳实施例及其所运用的技术原理,对于本领域的技术人员来说,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案基础上的等效变换、简单替换等显而易见的改变,均属于本发明保护范围之内。
【主权项】
1.可信资源池的构建方法,所有主机为包括可信芯片的主机,其特征在于, 将经过完整性验证的可信主机划分于可信资源池中, 按照不同的属性条件将该可信资源池划分为相应的子可信资源池。2.如权利要求1所述的可信资源池的构建方法,其特征在于,按照计算性能、存储性能、网络性能条件,对所述可信资源池中的可信主机进行过滤,以划分为对应属性的子可信资源池。3.如权利要求2所述的可信资源池的构建方法,其特征在于,所述计算性能条件包括CPU核数、CPU线程数、CPU主频,将所有满足该计算性能条件的可信主机,划分为计算密集型子可信资源池。4.如权利要求3所述的可信资源池的构建方法,其特征在于,所述存储性能条件包括硬盘容量、磁盘读写速率,将所有满足该存储性能条件的可信主机,划分为存储密集型子可信资源池。5.如权利要求4所述的可信资源池的构建方法,其特征在于,所述网络性能条件为网络吞吐量、网络延迟,将所有满足该网络性能条件的可信主机,划分为网络I/O密集型子可信资源池。6.如权利要求5所述的可信资源池的构建方法,其特征在于,该方法还包括:为对计算性能要求较高的安全性数据或应用分配所述计算密集型子可信资源池中的资源,为对存储性能要求较高的安全性数据或应用分配所述存储密集型子可信资源池,为对网络性能要求较高的安全性数据或应用分配所述网络I/O密集型子可信资源池中的资源。7.如权利要求1所述的可信资源池的构建方法,其特征在于,将所述主机的地理位置信息保存于所述可信芯片中,按照地理位置信息条件,将所有可信主机划分为不同地理位置的子可信资源池,将所有未通过完整性验证的普通主机划分为不同地理位置的子普通资源池。8.如权利要求1所述的可信资源池的构建方法,其特征在于,所述完整性验证的方法是:通过可信启动过程对所有主机进行完整性度量,通过远程认证服务器对主机的完整性进行验证。9.如权利要求8所述的可信资源池的构建方法,其特征在于,所述可信启动的方法是,在主机的启动过程中,对要执行部分的代码或数据进行度量值计算,对计算得到的度量值进行哈希运算,将生成的哈希值保存于可信芯片中,主机启动结束,得到多个度量值。10.如权利要求9所述的可信资源池的构建方法,其特征在于,将所述远程认证服务器中保存的基准度量值与所述主机的度量值进行比较,二者一致时,主机验证通过,成为所述可信主机,二者不一致时,验证未通过,成为普通主机。
【专利摘要】本发明提供一种可信资源池的构建方法,数据中心的主机为配置有可信芯片的主机,所有主机在启动过程中进行完整性度量,并通过远程认证服务器进行完整性的验证,验证通过的划分入可信资源池,验证未通过的划分入普通资源池,在此基础上,进一步按照计算性能、存储性能、网络性能等条件进行过滤,将可信资源池划分为具有不同属性特征的子可信资源池,后续根据负载的实际需要,从满足其条件的资源池中为其分配资源。可信芯片中保存有地理位置信息,既便于管理又能够保证主机地理位置的可靠性。本发明从硬件和软件两个技术角度增加数据中心的安全性,可有效预防数据中心的安全隐患,提高数据中心的安全性和资源利用效率。
【IPC分类】H04L29/06, G06F21/57
【公开号】CN105049443
【申请号】CN201510494110
【发明人】郑驰, 梁思谦
【申请人】北京因特信安软件科技有限公司
【公开日】2015年11月11日
【申请日】2015年8月12日