可信資源池的構建方法
【技術領域】
[0001]本發明涉及一種可信資源池的構建方法，屬于數據中心安全性管理技術領域。
【背景技術】
[0002]數據中心是存儲核心數據、資源信息等重要數據的數據倉庫，作為信息系統的核心及樞紐單元，數據中心的安全性必須得到多個層面的保障，按照0SI信息安全體系框架和國家信息安全保障體系，數據中心安全防范體系結構由技術體系、組織體系和管理體系構成；從技術角度講，對數據中心的非法性訪問，各種已有的和新興的網絡攻擊、病毒等，都會對數據中心的安全性造成威脅，如何有效預防數據中心的安全隱患，是本領域技術人員致力于解決的技術問題。

【發明內容】

[0003]鑒于上述原因，本發明的目的在于提供一種可信資源池的構建方法，將經過可信啟動并通過驗證的可信主機劃分于可信資源池中，在此基礎上，將具有不同安全性要求的負載運行于不同的主機上，可有效預防數據中心的安全隱患，提高數據中心的安全性和資源利用效率。
[0004]為實現上述目的，本發明采用以下技術方案：
[0005]—種可信資源池的構建方法，所有主機為包括可信芯片的主機，
[0006]將經過完整性驗證的可信主機劃分于可信資源池中，
[0007]按照不同的屬性條件將該可信資源池劃分為相應的子可信資源池。
[0008]按照計算性能、存儲性能、網絡性能條件，對所述可信資源池中的可信主機進行過濾，以劃分為對應屬性的子可信資源池。
[0009]進一步的，
[0010]所述計算性能條件包括CPU核數、CPU線程數、CPU主頻，將所有滿足該計算性能條件的可信主機，劃分為計算密集型子可信資源池。
[0011]所述存儲性能條件包括硬盤容量、磁盤讀寫速率，將所有滿足該存儲性能條件的可信主機，劃分為存儲密集型子可信資源池。
[0012]所述網絡性能條件為網絡吞吐量、網絡延遲，將所有滿足該網絡性能條件的可信主機，劃分為網絡I/o密集型子可信資源池。
[0013]該方法還包括：為對計算性能要求較高的安全性數據或應用分配所述計算密集型子可信資源池中的資源，為對存儲性能要求較高的安全性數據或應用分配所述存儲密集型子可信資源池，為對網絡性能要求較高的安全性數據或應用分配所述網絡I/O密集型子可信資源池中的資源。
[0014]將所述主機的地理位置信息保存于所述可信芯片中，按照地理位置信息條件，將所有可信主機劃分為不同地理位置的子可信資源池，將所有未通過完整性驗證的普通主機劃分為不同地理位置的子普通資源池。
[0015]所述完整性驗證的方法是：通過可信啟動過程對所有主機進行完整性度量，通過遠程認證服務器對主機的完整性進行驗證。
[0016]所述可信啟動的方法是，在主機的啟動過程中，對要執行部分的代碼或數據進行度量值計算，對計算得到的度量值進行哈希運算，將生成的哈希值保存于可信芯片中，主機啟動結束，得到多個度量值。
[0017]將所述遠程認證服務器中保存的基準度量值與所述主機的度量值進行比較，二者一致時，主機驗證通過，成為所述可信主機，二者不一致時，驗證未通過，成為普通主機。
[0018]本發明的優點在于：
[0019]本發明的可信資源池的構建方法，將經過可信啟動并通過驗證的可信主機劃分于可信資源池中，并按照不同的屬性條件進一步劃分出若干子可信資源池，在此基礎上，將具有不同安全性要求的負載保存并運行于滿足條件的主機上，本發明從硬件和軟件兩個技術角度增加數據中心的安全性，可有效預防數據中心的安全隱患，提高數據中心的安全性和資源利用率。
【附圖說明】
[0020]圖1是本發明的方法流程圖。
【具體實施方式】
[0021]以下結合附圖和實施例對本發明作進一步詳細的說明。
[0022]圖1是本發明的方法流程圖。如圖所示，本發明公開的可信資源池的構建方法，包括以下步驟：
[0023]S1 :通過可信啟動過程對所有主機進行完整性度量；
[0024]本發明中的主機是指包括可信芯片（TPM :Trusted Platform Module)的主機，該可信芯片中設置有PCR(platform configuration register)寄存器，包括可信芯片的主機，其硬件架構已屬于現有技術，本發明不對包括可信芯片的主機結構進行詳細說明。
[0025]主機的可信啟動過程為：在主機的啟動過程中，對要執行部分的代碼或數據進行度量值計算，對計算得到的度量值進行哈希運算，將生成的哈希值保存于可信芯片的PCR寄存器中，主機啟動完成，得到啟動過程的多個度量值，建立了從BIOS (Basic InputOutput System)到 BootLoader 最后到 OS (Operating System)的一條完整的可信度量鏈，能夠反應主機的完整性信息。
[0026]S2 :通過遠程認證服務器對主機的完整性進行驗證；
[0027]遠程認證服務器中存儲有主機的基準度量值，遠程認證服務器從各主機的可信芯片中獲取對應主機的多個度量值，通過將主機的度量值與基準度量值進行比較，驗證主機的完整性，當主機的度量值與基準度量值一致時，主機驗證通過，成為可信主機，當主機的度量值與基準度量值不一致時，認為主機存在安全風險（主機有可能因受到攻擊或病毒入侵而被篡改了數據），驗證未通過，成為普通主機。
[0028]S3 :將所有通過驗證的可信主機劃分入可信資源池，所有未通過驗證的普通主機劃分入普通資源池；
[0029]S4:按照計算性能、存儲性能、網絡性能等條件，對可信資源池中的可信主機進行二次過濾，生成不同屬性的子可信資源池；
[0030]具體的說，
[0031]S41 :獲取可信資源池中所有可信主機的基本信息；
[0032]主機的基本信息包括計算性能（CPU核數、CPU主頻、線程數等指標項)、存儲性能(硬盤容量、硬盤讀寫速率等指標項）、網絡性能（網絡吞吐量、網絡延遲等指標項）等，步驟S1中，主機啟動結束后，主機的基本信息均對應保存于數據庫中。
[0033]S42 :所有可信主機分別按照計算性能、存儲性能、網絡性能條件進行二次過濾，生成不同屬性的子可信資源池；
[0034]按照計算性能條件過濾時，將所有滿足計算性能條件的可信主機，劃分為計算密集型子可信資源池，具體的說，計算性能條件包括CPU核數、線程數等，計算性能條件可根據需要進行配置，例如，配置CPU主頻為1000MHz、CPU核數為四核，線程數為四，則，可信主機按照CPU主頻、CPU核數、線程數條件進行比對，將CPU主頻大于等于1000MHz、CPU核數大于等于四核、線程數大于等于四的可信主機劃分入計算密集型子可信資源池，該計算密集型子可信資源池適于運行Web服務器、郵件服務器、圖像/視頻