本发明实施例涉及计算机网络领域， 并且更具体地， 涉及实现云计算网 络防攻击的方法、 设备和网络。 背景技术

云计算是计算模型的一次重要革新，通过将各 种互联的计算资源进行有 效整合并实现多层次的虚拟化与抽象， 云计算网络有效地将大规模的计算资 源以可靠服务的形式提供给用户， 从而将用户从复杂的底层硬件逻辑、 软件 栈与网络协议解放出来。其中虚拟化技术给计 算资源的共享与管理带来很多 的便利之处，成为 "云计算"的重要组成部分。虚拟机监控器（VMM, Virtual Machine Monitor )是虚拟化技术的核心， 通过对服务器物理资源的抽象， 将 中央处理器（ Central Processing Unit, CPU )、 内存和输入输出（ Input/Output, I/O )等服务器物理资源转化为一组可统一管理、 灵活调度、 动态分配的逻 辑资源， 并基于这些逻辑资源在单个物理服务器上构建 多个同时运行、 相互 隔离的虚拟机执行环境。 从而， 可实现更高的资源利用率、 更低的硬件采购 成本和能耗以及更低的维护成本。

然而， 网络^艮容易受到攻击， 攻击者墓改云平台软件或植入恶意代码， 攻击的目的是窃取数据或破坏软件的正常运行 。 其中， 云平台软件指云计算 基础架构的软件环境， 包括计算节点上的虚拟化平台软件和管理节点 上的云 管理软件。

现有技术中， 对已知的攻击行为， 防卫比较容易实现； 但对未知的攻击 行为， 通常采用的是开发智能行为分析系统， 比如： 分析用户行为或软件行 为， 判断是否为不友好的攻击行为等。 这种方法代价大、 算法复杂且防卫成 功率低。 发明内容

有鉴于此， 本发明实施例提供一种实现云计算网络防攻击 的方法、 设备 和网络， 以解决防卫成功率低的问题。

第一方面， 提供了一种实现云计算网络防攻击的方法， 包括： 为计算节 点配置初始化的安全基线， 安全基线包括至少一个配置参数； 向计算节点发 送动态安全检测请求，其中动态安全检测请求 包括至少一个配置参数用于计 算节点执行动态安全检测； 接收计算节点根据动态安全检测请求发送的、 通 过在安全执行环境中执行动态安全检测获得的 动态安全检测结果； 根据动态 安全检测结果确定计算节点的安全基线是否更 改； 如果计算节点的安全基线 已被更改， 则检测更改是否是用户主动修改； 如果更改为用户非主动修改， 则将计算节点的安全基线恢复到初始化的安全 基线。

在第一种可能的实现方式中， 由用于加密且存储信息的硬件密码模块保 护安全基线安全可信。

结合第一方面或第一方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 安全基线包括的配置参数涉及以下一个或多个 方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据库。

结合第一方面或第一方面的上述可能的实现方 式，在第三种可能的实现 方式中，将新产品供应或版本升级时发布的安 全基线值配置为所述计算节点 的初始化的安全基线。

结合第一方面或第一方面的第二至第三种的任 一可能的实现方式，在第 四种可能的实现方式中， 在为计算节点配置初始化的安全基线前， 方法还包 括： 向计算节点发送初始化请求； 接收计算节点完成初始化后获得的初始化 安全检测结果； 相应， 为计算节点配置初始化的安全基线包括： 将初始化安 全检测结果配置为初始化的安全基线。

结合第一方面或第一方面的上述可能的实现方 式，在第五种可能的实现 方式中， 向计算节点周期性发送动态安全检测请求； 或向计算节点发送要求 周期性动态安全检测的请求。

结合第一方面或第一方面的上述可能的实现方 式，在第六种可能的实现 方式中，隔离计算节点；将计算节点上正运行 的虚拟机迁移到其他计算节点； 将计算节点的安全基线恢复到初始化的安全基 线， 其中方法还包括： 将计算 节点重新加入云计算网络。

结合第一方面或第一方面的上述可能的实现方 式，在第七种可能的实现 方式中， 如果更改为用户主动修改， 则以更改后的安全基线取代计算节点的 初始化的安全基线。 第二方面， 提供了一种实现云计算网络防攻击的方法， 包括： 接收管理 节点的动态安全检测请求， 动态安全检测请求包括用于动态安全检测的安 全 基线的配置参数； 根据动态安全检测请求， 在安全执行环境中执行动态安全 检测获得动态安全检测结果； 向管理节点发送动态安全检测结果。

在第一种可能的实现方式中， 由用于加密且存储信息的硬件密码模块保 护动态安全检测结果安全可信。

结合第二方面或第二方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 安全基线的配置参数涉及以下一个或多个方面 的配置内容： 基本 输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟 机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据库。

结合第二方面或第二方面的上述可能的实现方 式，在第三种可能的实现 方式中， 接收管理节点周期性发送的动态安全检测请求 ； 或接收管理节点发 送的要求周期性动态安全检测的请求。

结合第二方面或第二方面的上述可能的实现方 式，在第四种可能的实现 方式中， 创建安全执行环境； 通过在所述安全执行环境中运行动态安全检测 程序以检测系统的安全状态； 输出检测后获得的动态安全检测结果。

第三方面， 提供了一种实现云计算网络防攻击的管理节点 ， 包括： 配置 模块， 用于为计算节点配置初始化的安全基线， 安全基线包括至少一个配置 参数； 发送模块， 用于向计算节点发送动态安全检测请求， 其中动态安全检 测请求包括所述至少一个配置参数用于计算节 点执行动态安全检测；接收模 块， 用于接收计算节点根据发送模块发送的动态安 全检测请求发送的、 通过 在安全执行环境中执行动态安全检测获得的动 态安全检测结果； 确定模块， 用于根据接收模块接收的动态安全检测结果确 定计算节点的安全基线是否 更改； 检测模块， 用于如果确定模块确定计算节点的安全基线已 被更改， 则 检测更改是否是用户主动修改； 配置模块还用于如果检测模块检测到更改为 用户非主动修改， 则将计算节点的安全基线恢复到初始化的安全 基线。

在第一种可能的实现方式中， 管理节点还包括保护模块， 保护模块用于 加密且存储信息以保护安全基线安全可信。

结合第三方面或第三方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 所述安全基线包括的配置参数涉及以下一个或 多个方面的配置内 容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程 序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据 库。

结合第三方面或第三方面的上述可能的实现方 式，在第三种可能的实现 方式中，

结合第三方面或第三方面的第二种和第三种任 一可能的实现方式，在第 四种可能的实现方式中， 发送模块， 还用于在为计算节点配置初始化的安全 基线前， 向计算节点发送初始化请求； 接收模块， 还用于接收计算节点根据 始化安全检测结果配置为初始化的安全基线。

结合第三方面或第三方面的上述可能的实现方 式，在第五种可能的实现 方式中， 发送模块具体用于向计算节点周期性发送动态 安全检测请求； 或向 计算节点发送要求周期性动态安全检测的请求 。

结合第三方面或第三方面的上述可能的实现方 式，在第六种可能的实现 方式中， 管理节点还包括隔离模块： 隔离模块， 用于隔离计算节点； 将计算 节点上正运行的虚拟机迁移到其他计算节点， 还将计算节点的安全基线恢复 到初始化的安全基线， 然后将计算节点重新加入云计算网络。

结合第三方面或第三方面的上述可能的实现方 式，在第七种可能的实现 方式中， 配置模块， 还用于如果更改为用户主动修改， 则以更改后的安全基 线取代计算节点的初始化的安全基线。

第四方面， 提供了一种实现云计算网络防攻击的计算节点 ， 包括： 接收 模块， 用于接收管理节点的动态安全检测请求， 动态安全检测请求包括用于 动态安全检测的安全基线的配置参数并发送到 动态检测模块； 动态检测模 块， 用于根据接收模块接收的动态安全检测请求， 在安全执行环境中执行动 态安全检测获得动态安全检测结果； 发送模块， 用于向管理节点发送动态安 全检测结果。

在第一种可能的实现方式中， 计算节点还包括保护模块： 保护模块用于 加密且存储信息以保护动态安全检测结果安全 可信。

结合第四方面或第四方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 所述安全基线的配置参数涉及以下一个或多个 方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据库。 结合第四方面或第四方面的上述可能的实现方 式，在第三种可能的实现 方式中， 接收模块具体用于接收管理节点周期性发送的 动态安全检测请求； 或接收管理节点发送的要求周期性动态安全检 测的请求。

结合第四方面或第四方面的上述可能的实现方 式，在第四种可能的实现 方式中， 动态检测模块， 具体用于创建安全执行环境； 通过在所述安全执行 环境中运行动态安全检测程序以检测系统的安 全状态； 输出检测后获得的动 态安全检测结果。

第五方面， 提供了一种实现云计算网络防攻击的管理节点 ， 包括： 处理 器、 存储器、 发送接口、 接收接口： 存储器， 用于存储处理器执行以下步骤 的指令； 处理器， 用于为计算节点配置初始化的安全基线， 安全基线包括至 少一个配置参数； 发送接口， 用于向计算节点发送动态安全检测请求， 其中 动态安全检测请求包括所述至少一个配置参数 用于计算节点执行动态安全 检测； 接收接口， 用于接收计算节点根据发送接口发送的动态安 全检测请求 发送的、 在安全执行环境中通过执行动态安全检测获得 的动态安全检测结 果； 处理器， 还用于根据接收接口接收的动态安全检测结果 确定计算节点的 安全基线是否更改； 如果处理器确定计算节点的安全基线已被更改 ， 则检测 更改是否是用户主动修改； 且还用于处理器检测到更改为用户非主动修改 ， 则将计算节点的安全基线恢复到初始化的安全 基线。

在第一种可能的实现方式中， 管理节点还包括硬件密码模块： 硬件密码 模块用于加密且存储信息以保护安全基线安全 可信。

结合第五方面或第五方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 所述安全基线包括的配置参数涉及以下一个或 多个方面的配置内 容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程 序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据 库。

结合第五方面或第五方面的上述可能的实现方 式，在第三种可能的实现 方式中，处理器具体用于将新产品供应或版本 升级时发布的安全基线值配置 为所述计算节点的初始化的安全基线。

结合第五方面或第五方面的第二种至第三种任 一可能的实现方式，在第 四种可能的实现方式中， 发送接口， 还用于在为计算节点配置初始化的安全 基线前， 向计算节点发送初始化请求； 接收接口， 还用于接收计算节点根据 化安全检测结果配置为初始化的安全基线。

结合第五方面或第五方面的上述可能的实现方 式，在第五种可能的实现 方式中， 发送接口具体用于向计算节点周期性发送动态 安全检测请求； 或向 计算节点发送要求周期性动态安全检测的请求 。

结合第五方面或第五方面的上述可能的实现方 式，在第六种可能的实现 方式中， 处理器， 还用于隔离计算节点； 将计算节点上正运行的虚拟机迁移 到其他计算节点， 还将计算节点的安全基线恢复到初始化的安全 基线， 然后 将计算节点重新加入云计算网络。

结合第五方面或第五方面的上述可能的实现方 式，在第七种可能的实现 方式中， 处理器， 还用于如果更改为用户主动修改， 则以更改后的安全基线 取代计算节点的初始化的安全基线。

第六方面，提供了一种实现云计算网络防攻击 的计算节点，包括处理器、 存储器、 接收接口和发送接口： 存储器， 用于存储处理器执行下述步骤的指 令； 接收接口， 用于接收管理节点的动态安全检测请求， 动态安全检测请求 包括用于动态安全检测的安全基线的配置参数 ； 处理器， 用于根据接收接口 接收的动态安全检测请求，在安全执行环境中 执行动态安全检测获得动态安 全检测结果； 发送接口， 用于向管理节点发送动态安全检测结果。

在第一种可能的实现方式中， 计算节点还包括硬件密码模块： 硬件密码 模块用于加密且存储信息以保护动态安全检测 结果安全可信。

结合第六方面或第六方面的第一种可能的实现 方式，在第二种可能的实 现方式中， 所述安全基线的配置参数涉及以下一个或多个 方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据库。

结合第六方面或第六方面的上述可能的实现方 式，在第三种可能的实现 方式中， 接收接口具体用于接收管理节点周期性发送的 动态安全检测请求； 或接收管理节点发送的要求周期性动态安全检 测的请求。

结合第六方面或第六方面的上述可能的实现方 式，在第四种可能的实现 方式中， 处理器， 具体用于创建安全执行环境； 通过在所述安全执行环境中 运行动态安全检测程序以检测系统的安全状态 ； 输出检测后获得的动态安全 检测结果。 第七方面， 提供了一种云计算网络， 包括上述任一项管理节点或计算节 点。

通过上述技术方案， 管理节点设置安全基线后， 要求计算节点执行动态 安全检测， 管理节点向计算节点发送动态安全检测请求， 计算节点根据动态 安全检测请求中安全基线的配置参数， 在安全执行环境中执行动态安全检 测， 管理节点根据动态安全检测的结果确定安全基 线是否被更改， 进而执行 后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻击 并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。 附图说明

为了更清楚地说明本发明实施例的技术方案， 下面将对实施例或现有技 术描述中所需要使用的附图作筒单地介绍， 显而易见地， 下面描述中的附图 仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造 性劳动的前提下， 还可以根据这些附图获得其他的附图。

图 1是本发明实施例的实现云计算网络防攻击的� �法的示意流程图。 图 2 是本发明实施例的实现云计算网络防攻击的另 一方法的示意流程 图。

图 3是本发明实施例的实现云计算网络防攻击的� �法的示意交互图。 图 4 是本发明另一实施例的实现云计算网络防攻击 的方法的示意交互 图。

图 5 是本发明实施例的计算节点执行动态安全检测 的方法的示意流程 图。

图 6A和图 6B是本发明实施例的云计算网络中管理节点的� ��意框图。 图 7A和图 7B是本发明实施例的云计算网络中计算节点的� ��意框图。 图 8是本发明实施例的云计算网络中另一管理节� �的示意框图。

图 9是本发明实施例的云计算网络中另一计算节� �的示意框图。

图 10是本发明实施例的云计算网络的示意框图。 具体实施方式

下面将结合本发明实施例中的附图，对本发明 实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例是本发明一部分实施例， 而不是 全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做出创 造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

恶意软件会在未明确提示用户或未经用户许可 的情况下，在用户计算机 或其他终端上安装运行， 恶意收集用户信息， 侵害用户信息和财产安全。 常 见的安全软件具备防恶意软件功能， 通过特征码识别恶意软件的存在， 阻止 其安装和运行。

恶意攻击是指通过计算机网络发起的， 利用计算机系统的漏洞， 例如软 件缺陷、 配置错误等， 获取计算机系统权限的行为。 当前， 针对恶意软件例 如病毒、 木马软件等， 以及网络攻击行为， 采用的都是特征码匹配技术进行 检测和防护， 例如采用 IDS ( Intrusion Detection System, 入侵检测系统）或 IPS ( Intrusion Prevention System, 入侵防御系统）， 实时检测入侵行为， 根 据入侵行为进行防护； 采用防病毒软件实时检测文件、 内存中恶意代码的出 现， 禁止其运行。

这种方法， 针对已知的攻击行为， 比较容易实现。 对未知的攻击行为， 却无法判断。 恶意软件防护只能防卫安全软件可识别的恶意 软件， 存在漏判 的可能性。 例如危害极大的 Oday ( 0日）攻击， 是利用未公开的软件系统漏 洞实施的攻击， 在 IDS或 IPS或防病毒软件中还没有能够识别的特征码， 无 法被检测到。 针对未知的攻击行为， 通常采用的开发智能识别系统代价大、 算法复杂且防卫成功率低。 如果系统的配置被人为或恶意软件修改， 网络安 全存在极大隐患。

现有技术要么对已知的攻击方法进行防卫，要 么预测未知的攻击行为进 行防卫， 本发明实施例提供了一种新的防卫方式。 在本发明实施例中， 提供 了一种防卫的方法， 可以不用针对攻击方法进行， 而是在受到攻击后， 在危 害发生之前， 即时发现攻击并及时清除。 通常情况下， 在攻击发生的初始阶 段， 危害还没有发生， 例如数据还没有泄露， 如果及时处理， 可以将攻击的 危害减到最小。

图 1是本发明实施例的实现云计算网络防攻击的� �法 10的示意流程图。 执行方法 10的设备可以是云计算网络中的云管理服务器� �� 筒称为管理节点。

511 , 为计算节点配置初始化的安全基线， 安全基线包括至少一个配置 参数。

512, 向计算节点发送动态安全检测请求， 其中动态安全检测请求包括 至少一个配置参数用于计算节点执行动态安全 检测。

513 , 接收计算节点根据动态安全检测请求发送的、 通过在安全执行环 境中执行动态安全检测获得的动态安全检测结 果。

514 , 根据动态安全检测结果确定计算节点的安全基 线是否更改。

S15 , 当计算节点的安全基线已被更改时， 则检测更改是否是用户主动 修改。

S16, 当更改为用户非主动修改时， 则将计算节点的安全基线恢复到初 始化的安全基线。

本发明实施例通过管理节点设置安全基线后， 要求计算节点执行动态安 全检测， 管理节点根据接收的动态安全检测的结果确定 安全基线是否被更 改， 进而执行后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻击并及时清除，将攻击的危害减到 最小，由此提高了防卫成功率。

可选的， 作为不同的实施例， 由用于加密且存储信息的硬件密码模块保 护所述安全基线安全可信。

可选的， 作为不同的实施例， 安全基线包括的配置参数涉及以下一个或 多个方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配 置、虚拟机管理程序、虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系统和数据库等， 但不限于上述内容。

可选的， 作为不同的实施例， 将新产品供应或版本升级时发布的安全基 线值配置为所述计算节点的初始化的安全基线 。

可选的， 作为不同的实施例， 在所述为计算节点配置初始化的安全基线 前， 向所述计算节点发送初始化请求； 接收所述计算节点完成初始化后获得 的初始化安全检测结果；相应，所述为计算节 点配置初始化的安全基线包括： 将所述初始化安全检测结果配置为所述初始化 的安全基线。

可选的， 作为不同的实施例， 向所述计算节点发送动态安全检测请求， 具体包括： 向所述计算节点周期性发送动态安全检测请求 ； 或向所述计算节 点发送要求周期性动态安全检测的请求。

可选的， 作为不同的实施例， 将所述计算节点的安全基线恢复到所述初 始化的安全基线， 包括： 隔离所述计算节点； 将所述计算节点上正运行的虚 拟机迁移到其他计算节点； 将所述计算节点的安全基线恢复到所述初始化 的 安全基线， 其中所述方法还包括： 将所述计算节点重新加入云计算网络。 可选的， 作为不同的实施例， 当所述更改为用户主动修改时， 则以更改 后的安全基线取代所述计算节点的初始化的安 全基线。

图 2是本发明实施例的实现云计算网络防攻击的� �一方法 20的示意流 程图。 执行方法 20的设备可以是云计算网络中的云计算服务器� �� 筒称为计 算节点。

521 , 接收管理节点的动态安全检测请求， 动态安全检测请求包括用于 动态安全检测的安全基线的配置参数。

522, 根据动态安全检测请求， 在安全执行环境中执行动态安全检测获 得动态安全检测结果。

S23, 向管理节点发送动态安全检测结果。

本发明实施例通过计算节点接收管理节点发送 的动态安全检测请求，根 据动态安全检测请求中安全基线的配置参数， 在安全执行环境中执行动态安 全检测， 管理节点根据动态安全检测的结果确定安全基 线是否被更改， 进而 执行后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现 攻击并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。

可选的， 作为不同的实施例， 由用于加密且存储信息的硬件密码模块保 护所述动态安全检测结果安全可信。

可选的， 作为不同的实施例， 安全基线的配置参数涉及以下一个或多个 方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操 作系统和数据库， 但不限于上述内容。

可选的，作为不同的实施例，接收管理节点的 动态安全检测请求， 包括： 接收所述管理节点周期性发送的动态安全检测 请求； 或接收所述管理节 点发送的要求周期性动态安全检测的请求。

可选的， 作为不同的实施例， 执行动态安全检测， 包括： 创建安全执行 环境； 通过在所述安全执行环境中运行动态安全检测 程序以检测系统的安全 状态； 输出检测后获得的动态安全检测结果。

图 3是本发明实施例的实现云计算网络防攻击的� �法 300 的示意交互 图。 本文中术语"系统"和"网络"在本文中常被可互� �使用。 云计算网络中包 括一个管理节点 301和其所管理的多个计算节点 302, 接下来出于筒洁， 仅 通过一个管理节点和一个计算节点说明本发明 实施例中两者的交互。 S315 , 管理节点为计算节点配置初始化的安全基线。

管理节点在配置之前需要选择配置对象和配置 内容。 配置对象可以是该 管理节点管理之下的所有计算节点， 也可以是一台或多台指定的计算节点； 配置内容可以选择。 安全基线包括至少一个配置参数， 配置参数可以涉及但 不限于以下一个或多个方面的配置内容： 基本输入输出系统（BIOS )程序、 BIOS 配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管 理域配置、 操作系统和数据库等。

作为一种优选的实现方法， 上述配置参数可以是基本输入输出系统 ( BIOS )程序、 BIOS配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理 域程序、 节点管理域配置、 操作系统和数据库等内容的数字指纹等， 但不限 于上述内容。 安全基线通过可信计算技术中的硬件密码模块 进行保护。

在本实施例中， 管理节点使用的配置参数可以来自于云计算节 点供应 商， 为在新产品供应或版本升级时发布的安全基线 值。 或者， 可选的， 管理 节点使用的配置参数来自于云计算节点的初始 化安全检测结果。

S320, 管理节点使用硬件密码模块保护安全基线安全 可信。

可信计算技术是用来保护计算机系统的重要方 法， 其重要应用是保护软 件的完整性。

硬件密码模块例如可信平台模块（ Trusted Platform Module, TPM )或可 信密码模块（Trusted Cryptography Module, TCM )等是可信计算的关键部 件， 它以密码技术为核心， 具有计算与存储功能， 支持数据保护、 身份证明 和完整性度量等， 可对软件进行完整性度量并提供度量报告， 这在云计算环 境中具有重要的应用价值。

通过虚拟化技术与可信计算技术的融合，我们 可以对一些传统非虚拟化 计算机环境下的安全问题提出新的解决方法。 传统的可信计算主要在系统启 动阶段进行， 利用硬件密码模块对运行的程序等进行度量以 及检测。 而在虚 拟机系统中， 可以进一步使用硬件密码模块来主动检测目标 程序或系统， 从 而对系统进行保护。 同时通过虚拟化技术、 SMM模式（ System Management Module, 系统管理模块 )或 Intel TXT ( Trusted Execution Technology, 可信 计算技术）等， 使得动态安全检测程序可以在独立、 不受干扰的环境中， 对 目标程序进行检测， 避免了恶意软件对其进行攻击与墓改。

硬件密码模块是一块安装在服务器主板上的硬 件芯片。该硬件芯片同时 是一个以安全保密功能为特色的嵌入式计算系 统，在物理安全方面例如硬件 封装、 功能接口标准化等方面具有防攻击、 防墓改、 防探测的能力， 可以保 证硬件密码模块自身以及内部数据不被非法攻 击。 在技术安全方面， 硬件密 码模块采用了多种密码和访问控制技术。这些 保护措施共同确保了硬件密码 模块自身的安全， 从而可以成为系统的硬件存储信任根和系统可 信的基点。

通过用于加密且存储信息的硬件密码模块对安 全基线进行保护， 进一步 提高了网络防攻击的能力。

S325 , 管理节点向计算节点发送动态安全检测请求。

管理节点向上述选定的一台或多台计算节点发 送动态安全检测请求。动 态安全检测请求中包括安全基线的所有配置参 数用于计算节点进行动态安 全检测。

可选的， 作为不同的实施例， 管理节点可以周期性地向计算节点发送动 态安全检测请求， 或者管理节点可以发送要求计算节点周期性动 态安全检测 的请求。 合理平衡动态安全检测的频率有助于获得稳定 的防卫成功率。

S330 , 计算节点根据动态安全检测请求， 在安全执行环境中执行动态安 全检测。

计算节点根据管理节点发送的请求中的内容， 对安全基线的配置参数进 行动态安全检测。 本发明实施例可以使动态安全检测程序在独立 、 不受干扰 的环境中， 也就是在安全执行环境中对目标程序进行检测 ， 避免了恶意软件 对动态安全检测程序进行攻击与墓改。 具体内容稍后由图 5的实施例说明。

S335 , 计算节点使用硬件密码模块保护动态安全检测 结果安全可信。 如前所述，通过使用可信计算技术中的硬件密 码模块对动态安全检测结 果保护，可以提高计算节点自身以及计算节点 与管理节点之间通信时的防攻 击能力。

S340 , 计算节点将动态安全检测结果发送到管理节点 。

S345 , 管理节点根据动态安全检测结果， 确定安全基线是否改变。 管理节点将初始化的安全基线中配置参数与计 算节点反馈的动态安全 检测结果中的配置参数进行比较， 如果两者不符， 则确定安全基线被改变， 反之安全基线未更改。

如果安全基线未更改， 即 S345的 "否"， 则执行 S350。 如果安全基线 已更改， 即 S345的 "是" , 则执行 S355。 S350 , 安全基线未更改， 记录计算节点安全状态为正常。

该计算节点的动态安全检测结果符合其配置的 安全基线， 则在管理节 点， 即云管理服务器中记录该计算节点的安全状态 为正常。 对于该计算节点 的本次动态安全检测流程结束

S355 , 当安全基线已更改时， 则管理节点检测该更改是否是用户主动修 改。

如果该更改为用户主动修改， 即 S355的 "是" 则执行 S360; 如果该更 改为用户非主动修改， 即 S355的 "否" 则执行 S365。

可选的， 可以人工判断来确定修改是否为用户主动操作 ， 例如已知对计 算节点的软件或硬件正在进行升级。 或者， 可选的， 在获知例如计划中的主 动修改后设置一个时限， 该时限内的修改均认为是用户主动修改。 对各种判 断的实现方法， 本发明不做限定。

S360 ,管理节点以更改后的安全基线取代该计算节� �的初始化的安全基 线。

接下来， 在随后的动态安全检测中， 管理节点以更改后的安全基线作为 标准， 与再次获得的动态安全检测结果进行比较。

S365 , 管理节点将该计算节点隔离。

计算节点的动态安全检测结果不符合其配置的 安全基线， 当获知安全基 线的更改为用户非主动修改， 可以记录计算节点安全状态为异常。 同时， 优 选的， 查询预先配置的安全策略， 再执行查询到的安全策略。

举例来说， 例如虚拟机管理程序检测异常， 而安全策略配置为 "当虚拟 机管理程序检测异常时隔离计算节点"， 则管理节点隔离该计算节点： 不再 使用该计算节点的计算资源， 迁移正运行在该计算节点上的虚拟机到其它计 算节点。

安全策略是可选项，安全策略的内容也是可选 项，本发明对此不做限定。

S370,管理节点将所述计算节点的安全基线恢� ��到所述初始化的安全基 线。

管理节点将计算节点已更改的配置参数恢复， 从而将该计算节点的安全 基线恢复到初始化的安全基线。

S375 , 恢复的计算节点重新加入云计算网络。

本发明实施例通过管理节点设置安全基线后， 要求计算节点执行动态安 全检测， 管理节点根据接收的动态安全检测的结果确定 安全基线是否被更 改， 进而执行后续的安全步骤， 例如隔离该计算节点， 修复该计算节点的安 全基线， 然后将该计算节点重新加入云计算网络， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻击并及时清除， 将攻击的危害减到最小， 由此 提高了防卫成功率。

图 4是本发明另一实施例的实现云计算网络防攻� �的方法 400的示意交 互图。 方法 400与方法 300不同之处在于如何配置安全基线。 方法 400中管 理节点使用的配置参数来自于云计算节点的初 始化安全检测结果。

S401 , 管理节点向计算节点发送节点初始化请求。

初始化请求中包括安全基线的配置参数，要求 计算节点根据配置参数执 行安全检测并上报检测结果。

S405 , 计算节点根据初始化请求进行初始化并获得初 始化安全检测结 果。

计算节点的初始化过程中可以包括常规的初始 化检测。安全基线的配置 参数可以包括常规的初始化检测的内容， 检测后获得初始化安全检测结果。

S410, 计算节点向管理节点发送初始化安全检测结果 。

S415 , 管理节点根据初始化安全检测结果配置安全基 线。

可选的，作为另一实施例， 当多个计算节点具有相同的软、硬件配置时， 只要初始化安全检测一个计算节点获得初始化 安全检测结果， 接下来， 将初 始化安全检测结果配置为该计算节点的安全基 线后， 可以将该安全基线配置 给其余的计算节点， 而不需要对每个节点执行初始化安全检测。

接下来， 方法 400与方法 300类似。

S320， 管理节点使用硬件密码模块保护安全基线安全 可信。

可信计算技术是用来保护计算机系统的重要方 法。可信计算技术的重要 应用是保护软件的完整性。

硬件密码模块例如可信平台模块（ Trusted Platform Module, TPM )或可 信密码模块（Trusted Cryptography Module, TCM )等是可信计算的关键部 件， 它以密码技术为核心， 具有计算与存储功能， 支持数据保护、 身份证明 和完整性度量等， 可对软件进行完整性度量并提供度量报告， 这在云计算环 境中具有重要的应用价值。

通过虚拟化技术与可信计算技术的融合，我们 可以对一些传统非虚拟化 计算机环境下的安全问题提出新的解决方法。 传统的可信计算主要在系统启 动阶段进行， 利用硬件密码模块对运行的程序等进行度量以 及检测。 而在虚 拟机系统中， 可以进一步使用硬件密码模块来主动检测目标 程序或系统， 从 而对系统进行保护。 同时通过虚拟化技术、 SMM模式（ System Management Module, 系统管理模块）或 Intel TXT ( Trusted Execution Technology, 可信 计算技术）等， 使得动态安全检测程序可以在独立、 不受干扰的环境中， 对 目标程序进行检测， 避免了恶意软件对其进行攻击与墓改。

硬件密码模块是一块安装在服务器主板上的硬 件芯片。该硬件芯片同时 是一个以安全保密功能为特色的嵌入式计算系 统，在物理安全方面例如硬件 封装、 功能接口标准化等方面具有防攻击、 防墓改、 防探测的能力， 可以保 证硬件密码模块自身以及内部数据不被非法攻 击。 在技术安全方面， 硬件密 码模块采用了多种密码和访问控制技术。这些 保护措施共同确保了硬件密码 模块自身的安全， 从而可以成为系统的硬件存储信任根和系统可 信的基点。

通过硬件密码模块对安全基线进行保护， 进一步提高了网络防攻击的能 力。

S325 , 管理节点向计算节点发送动态安全检测请求。

管理节点向上述选定的一台或多台计算节点发 送动态安全检测请求。动 态安全检测请求中包括安全基线的所有配置参 数用于计算节点进行动态安 全检测。

可选的， 作为不同的实施例， 管理节点可以周期性地向计算节点发送动 态安全检测请求， 或者管理节点可以发送要求计算节点周期性动 态安全检测 的请求。 合理平衡动态安全检测的频率有助于获得稳定 的防卫成功率。

S330, 计算节点根据动态安全检测请求， 在安全执行环境中执行动态安 全检测。

计算节点根据管理节点发送的请求中的内容， 对安全基线的配置参数进 行动态安全检测。 本发明实施例可以使动态安全检测程序在独立 、 不受干扰 的环境中， 也就是在安全执行环境中对目标程序进行检测 ， 避免了恶意软件 对动态安全检测程序进行攻击与墓改。 具体内容稍后由图 5的实施例说明。

S335 , 计算节点使用硬件密码模块保护动态安全检测 结果安全可信。 如前所述，通过使用可信计算技术中的硬件密 码模块对动态安全检测结 果保护，可以提高计算节点自身以及计算节点 与管理节点之间通信时的防攻 击能力。

S340 , 计算节点将动态安全检测结果发送到管理节点 。

S345 , 管理节点根据动态安全检测结果， 确定安全基线是否改变。

如果安全基线未更改， 即 S345的 "否"， 则执行 S350。 如果安全基线 已更改， 即 S345的 "是"， 则执行 S355。

S350 , 安全基线未更改， 记录计算节点安全状态为正常。

S355 , 当安全基线已更改时， 则管理节点检测该更改是否是用户主动修 改。

如果该更改为用户主动修改， 即 S355的 "是" 则执行 S360; 如果该更 改为用户非主动修改， 即 S355的 "否" 则执行 S365。

S360 ,管理节点以更改后的安全基线取代该计算节� �的初始化的安全基 线。

S365 , 管理节点将该计算节点隔离。

S370 ,管理节点将所述计算节点的安全基线恢复到� �述初始化的安全基 线。

S375 , 恢复的计算节点重新加入云计算网络。

本发明实施例管理节点首先向计算节点发送初 始化请求，要求计算节点 执行初始化安全检测， 根据得到的初始化安全检测结果， 管理节点设置安全 基线， 接下来管理节点发送请求要求计算节点执行动 态安全检测， 并根据接 收的动态安全检测的结果确定安全基线是否被 更改， 进而执行后续的安全步 骤， 例如隔离该计算节点， 修复该计算节点的安全基线， 然后将该计算节点 重新加入云计算网络， 从而可以在受到攻击后， 在危害发生之前， 即时发现 攻击并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。

图 5是本发明实施例的计算节点执行动态安全检� �的方法 500的示意流 程图。 其中， 计算节点首先创建安全执行环境， 接着通过在该安全执行环境 中运行动态安全检测程序以检测系统的安全状 态， 最后输出检测后获得的动 态安全检测结果， 具体内容如下。

S510 , 计算节点启动安全状态检测过程。

如前所述，可选的，该过程可以由周期性接收 到的管理节点的请求触发。 或者， 当从动态安全检测请求中获知要求周期性检测 的周期和内容后， 计算 节点内的周期性定时器触发检测过程。 S515 , 计算节点中断和保存当前计算节点的执行环境 。

当前计算节点的执行环境包括 CPU状态寄存器的值、 中断处理程序入 口地址等， 以便检测完成后能够恢复系统运行， 且不影响业务的连续性。

S520, 计算节点冻结除 BSP ( Boot Strap Processor, 启动捆绑处理器） 之外其它的中央处理器（ CPU )。

即保证只有 BSP在运行，避免其他处理器继续运行业务从而 干扰安全状 态检测的执行。

S525 , 计算节点设置 BSP进入安全执行环境。

本发明实施例的安全执行环境是一种特殊的执 行模式， 其中运行的代码 是预先设置的安全可信代码， 运行中不会受到中断等干扰。 在安全执行环境 中运行安全可信代码可以成为动态安全状态检 测过程的度量信任根，代替了 计算节点启动时位于 BIOS中的度量信任根， 也就是安全检测信任根。 可以 选用的安全执行环境有： SMM模式（System Management Module, 系统管 理模块；)、 Intel TXT ( Trusted Execution Technology, 可信计算技术）等。

S530, 在安全执行环境中加载安全可信代码， 检验安全可信代码的数字 签名以保证安全可信代码安全可信。

其中， 安全可信代码也就是上下文中的动态安全检测 程序。

S535 , 通过安全执行环境中运行安全可信代码检测系 统的安全状态。 动态安全检测内容可包括： BIOS软件、 BIOS配置、 虚拟机管理程序、 虚拟机管理配置、节点管理域程序、节点管理 域配置、操作系统和数据库等。 可选的， 对这些内容的动态安全检测优选地是通过哈希 （Hash )算法， 如： SHA-1、 SHA-256, SM3等计算被检测信息内容的数字指纹。

S540, 检测完成后唤醒除 BSP之外的中央处理器， 恢复检测前的执行 环境。

S545, 输出动态安全检测结果。

将各部分的 Hash计算结果， 也就是数字指纹作为动态安全检测结果输 出。 可选的， 动态安全检测结果由该计算节点的硬件密码模 块保护， 即执行 加密和存储。 硬件密码模块从硬件封装、 功能接口标准化等各方面都保证了 保存于其中的信息不能被随意更改， 利用这个特点可以保护动态检测结果。 此外，硬件密码模块具有身份数字证书，传输 动态检测结果前进行数字签名， 可以确保传输信息的完整性， 也就是不被墓改。 动态安全检测和启动时安全检测所检测的配置 内容可以相同，也可以不 同。 即使动态安全检测和启动时安全检测可以检测 相同的配置内容， 例如： 虚拟机管理软件、 虚拟机管理配置、 节点管理域程序、 节点管理域配置等， 但它们必须采用不同的方式进行。 这是因为， 启动时安全检测的度量信任根 来自于 BIOS, 而动态检测时无法利用 BIOS 中的度量信任根， 必须采取新 的方法构建这个度量信任根。 此外， 启动时安全检测的检查内容都只能在系 统启动期间， 启动之后不会再次检测。 因此， 图 5中， 本发明实施例中实现 的动态安全检测是对计算节点启动时安全检测 的必要补充，确保了计算节点 在运行期间软件和配置的一致性， 达到实时防攻击的效果。

图 6A是本发明实施例的云计算网络中管理节点 60的示意框图。管理节 点 60包括配置模块 61、 发送模块 62、 接收模块 63、 确定模块 64和检测模 块 65。

配置模块 61 为计算节点配置初始化的安全基线， 所述安全基线包括至 少一个配置参数。

发送模块 62向所述计算节点发送动态安全检测请求， 其中所述动态安 全检测请求包括所述配置模块使用的所述至少 一个配置参数用于所述计算 节点执行动态安全检测。

接收模块 63接收所述计算节点根据所述发送模块发送的� ��述动态安全 检测请求发送的、通过在安全执行环境中执行 动态安全检测获得的动态安全 检测结果。

确定模块 64根据所述接收模块接收的所述动态安全检测� ��果确定所述 计算节点的安全基线是否更改。

检测模块 65当所述确定模块确定所述计算节点的安全基� ��已被更改时， 则检测所述更改是否是用户主动修改。

所述配置模块 61还用于当所述检测模块检测到所述更改为用� ��非主动 修改时， 则将所述计算节点的安全基线恢复到所述初始 化的安全基线。

本发明实施例的管理节点设置安全基线，接下 来管理节点发送请求要求 计算节点执行动态安全检测， 并根据接收的动态安全检测的结果确定安全基 线是否被更改， 进而执行后续的安全步骤， 从而可以在受到攻击后， 在危害 发生之前， 即时发现攻击并及时清除， 将攻击的危害减到最小， 由此提高了 防卫成功率。 可选的， 如图 6B所示， 另一种实现方式中， 管理节点 60还可以包括保 护模块 66和隔离模块 67。

可选的， 作为不同的实施例， 保护模块 66加密且存储信息以保护所述 安全基线安全可信。

可选的， 作为不同的实施例， 配置模块 61使用的所述安全基线包括的 配置参数涉及以下一个或多个方面的配置内容 ： 基本输入输出系统 BIOS程 序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理 域程序、 节点管理域配置、 操作系统和数据库， 但不限于上述内容。

可选的， 作为不同的实施例， 配置模块 64将新产品供应或版本升级时 发布的安全基线值配置为所述计算节点的初始 化的安全基线。

可选的， 作为不同的实施例， 发送模块 62还在所述为计算节点配置初 始化的安全基线前， 向所述计算节点发送初始化请求； 接收模块 63还接收 所述计算节点根据所述初始化请求完成初始化 后获得的初始化安全检测结 果； 相应， 配置模块 64将所述初始化安全检测结果配置为所述初始� ��的安 全基线。

可选的， 作为不同的实施例， 发送模块 62具体向所述计算节点周期性 发送动态安全检测请求； 或向所述计算节点发送要求周期性动态安全检 测的 请求

可选的， 作为不同的实施例， 隔离模块 67 隔离所述计算节点； 将所述 计算节点上正运行的虚拟机迁移到其他计算节 点，还将所述计算节点的安全 基线恢复到所述初始化的安全基线， 然后将所述计算节点重新加入云计算网 络。

可选的， 作为不同的实施例， 配置模块， 还用于当所述更改为用户主动 修改时， 则以更改后的安全基线取代所述计算节点的初 始化的安全基线。

管理节点 60实现了图 1至图 4中的实施例， 具体细节参见上述说明。 图 7是本发明实施例的云计算网络中计算节点 70的示意框图。 计算节 点包括接收模块 71、 动态检测模块 72和发送模块 73。

接收模块 71接收管理节点的动态安全检测请求， 所述动态安全检测请 求包括用于动态安全检测的安全基线的配置参 数并发送到所述动态检测模 块；

动态检测模块 72根据所述接收模块接收的所述动态安全检测� ��求， 在 安全执行环境中执行动态安全检测获得动态安 全检测结果并发送到所述发 送模块； 本发明实施例的计算节点接收管理节点发送的 动态安全检测请求，根据 动态安全检测请求中安全基线的配置参数，在 安全执行环境中执行动态安全 检测， 管理节点根据动态安全检测的结果确定安全基 线是否被更改， 进而执 行后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻 击并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。

可选的， 作为另一种实现方式， 如图 7B所示， 计算节点 70还可以包括 保护模块 74。

保护模块 74加密且存储信息以保护所述动态安全检测结� ��安全可信 此外， 作为不同的实施例， 可选的， 接收模块 71接收的所述安全基线 的配置参数涉及以下一个或多个方面的配置内 容： 基本输入输出系统 BIOS 程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管 理域程序、 节点管理域配置、 操作系统和数据库， 但不限于上述内容。

作为不同的实施例， 可选的， 接收模块 71具体接收所述管理节点周期 性发送的动态安全检测请求； 或接收所述管理节点发送的要求周期性动态安 全检测的请求。

作为不同的实施例， 可选的， 动态检测模块 72具体创建安全执行环境； 通过在所述安全执行环境中运行动态安全检测 程序以检测系统的安全状态； 输出检测后获得的动态安全检测结果。

计算节点 70实现了图 1至图 5中任一的实施例， 具体细节参见上述说 明。

图 8是本发明实施例的云计算网络中另一管理节� � 80的示意框图。 管 理节点 80包括处理器 81、 存储器 82、 发送接口 83、 接收接口 84, 可选的， 还可以包括硬件密码模块 85。

存储器 82存储所述处理器执行以下步骤的指令。

处理器 81 为计算节点配置初始化的安全基线， 所述安全基线包括至少 一个配置参数。

发送接口 83向所述计算节点发送动态安全检测请求， 其中所述动态安 全检测请求包括所述处理器使用的所述至少一 个配置参数用于所述计算节 点执行动态安全检测。

接收接口 84接收所述计算节点根据所述发送接口发送的� ��述动态安全 检测请求发送的、通过在安全执行环境中执行 动态安全检测获得的动态安全 检测结果。

处理器 81还根据所述接收接口接收的所述动态安全检� ��结果确定所述 计算节点的安全基线是否更改； 当所述处理器确定所述计算节点的安全基线 已被更改时， 则检测所述更改是否是用户主动修改； 且还用于当所述处理器 检测到所述更改为用户非主动修改时， 则将所述计算节点的安全基线恢复到 所述初始化的安全基线。

上述本发明实施例揭示的方法可以应用于处理 器 81 中， 或者由处理器

81实现。 在实现过程中， 上述方法的各步骤可以通过处理器 81中的硬件的 集成逻辑电路或者软件形式的指令完成。 上述的处理器 81可以是通用处理 器、 数字信号处理器 （DSP )、 专用集成电路（ ASIC )、 现成可编程门阵列 ( FPGA )或者其他可编程逻辑器件、 分立门或者晶体管逻辑器件、 分立硬 图。 通用处理器可以是微处理器或者该处理器也可 以是任何常规的处理器 等。 结合本发明实施例所公开的方法的步骤可以直 接体现为硬件处理器执行 完成， 或者用硬件处理器中的硬件及软件模块组合执 行完成。 软件模块可以 位于随机存储器， 闪存、 只读存储器， 可编程只读存储器或者电可擦写可编 程存储器、 寄存器等本领域成熟的存储介质中。 该存储介质位于存储器 82, 处理器 81读取存储器 82中的信息， 结合其硬件完成上述方法的步骤。

可选的， 作为另一种实现方式， 管理节点 80还可以包括硬件密码模块 85, 硬件密码模块 85加密且存储信息以保护所述安全基线安全可� ��。

可选的， 作为不同的实施例， 处理器 81使用的所述安全基线包括的配 置参数涉及以下一个或多个方面的配置内容:� �本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程 序、 节点管理域配置、 操作系统和数据库等， 但不限于以上内容。

可选的， 作为不同的实施例， 处理器 81可以将新产品供应或版本升级 时发布的安全基线值配置为所述计算节点的初 始化的安全基线。

可选的， 作为不同的实施例， 发送接口 83还在所述为计算节点配置初 始化的安全基线前， 向所述计算节点发送初始化请求； 所述接收接口， 还用 于接收所述计算节点根据所述初始化请求完成 初始化后获得的初始化安全 检测结果； 相应， 所述处理器将所述初始化安全检测结果配置为 所述初始化 的安全基线。

可选的， 作为不同的实施例， 发送接口 83具体向所述计算节点周期性 发送动态安全检测请求； 或向所述计算节点发送要求周期性动态安全检 测的 请求。

可选的， 作为不同的实施例， 处理器 81还隔离所述计算节点； 将所述 计算节点上正运行的虚拟机迁移到其他计算节 点，还将所述计算节点的安全 基线恢复到所述初始化的安全基线， 然后将所述计算节点重新加入云计算网 络。

可选的， 作为不同的实施例， 处理器 81还当所述更改为用户主动修改 时， 则以更改后的安全基线取代所述计算节点的初 始化的安全基线。

管理节点 80实现了图 1至图 4中的任一实施例， 具体细节参见上述说 明。

本发明实施例通过管理节点设置安全基线后， 要求计算节点执行动态安 全检测， 管理节点根据接收的动态安全检测的结果确定 安全基线是否被更 改， 进而执行后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻击并及时清除，将攻击的危害减到 最小，由此提高了防卫成功率。

图 9是本发明实施例的云计算网络中另一计算节� � 90的示意框图。 计 算节点 90包括处理器 91、存储器 92、接收接口 93和发送接口 94, 可选的， 还可以包括硬件密码模块 95。

存储器 92存储所述处理器执行下述步骤的指令。

接收接口 93接收管理节点的动态安全检测请求， 所述动态安全检测请 求包括用于动态安全检测的安全基线的配置参 数并发送到所述处理器。

处理器 91根据所述接收接口接收的所述动态安全检测� ��求， 在安全执 发送接口 94向所述管理节点发送所述动态安全检测结果� ��

上述本发明实施例揭示的方法可以应用于处理 器 91 中， 或者由处理器

81实现。 在实现过程中， 上述方法的各步骤可以通过处理器 91中的硬件的 集成逻辑电路或者软件形式的指令完成。 上述的处理器 91可以是通用处理 器、 数字信号处理器 （DSP )、 专用集成电路（ ASIC )、 现成可编程门阵列 ( FPGA )或者其他可编程逻辑器件、 分立门或者晶体管逻辑器件、 分立硬 图。 通用处理器可以是微处理器或者该处理器也可 以是任何常规的处理器 等。 结合本发明实施例所公开的方法的步骤可以直 接体现为硬件处理器执行 完成， 或者用硬件处理器中的硬件及软件模块组合执 行完成。 软件模块可以 位于随机存储器， 闪存、 只读存储器， 可编程只读存储器或者电可擦写可编 程存储器、 寄存器等本领域成熟的存储介质中。 该存储介质位于存储器 92, 处理器 91读取存储器 92中的信息， 结合其硬件完成上述方法的步骤。

可选的， 作为另一种实现方式， 计算节点 90还可以包括硬件密码模块 95, 硬件密码模块 95加密且存储信息以保护所述动态安全检测结� ��安全可 信。

可选的， 作为不同的实施例， 接收接口 93接收的所述安全基线的配置 参数涉及以下一个或多个方面的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟机管理程序、 虚拟机管理配置、 节点管理域程 序、 节点管理域配置、 操作系统和数据库， 但不限于上述内容。

可选的， 作为不同的实施例， 接收接口 93具体接收所述管理节点周期 性发送的动态安全检测请求； 或接收所述管理节点发送的要求周期性动态安 全检测的请求。

可选的， 作为不同的实施例， 处理器 91具体创建安全执行环境； 通过 在所述安全执行环境中运行动态安全检测程序 以检测系统的安全状态； 输出 检测后获得的动态安全检测结果。

计算节点 90实现了图 1至图 5中任一的实施例， 具体细节参见上述说 明。

本发明实施例通过计算节点接收管理节点发送 的动态安全检测请求，根 据动态安全检测请求中安全基线的配置参数， 在安全执行环境中执行动态安 全检测， 管理节点根据动态安全检测的结果确定安全基 线是否被更改， 进而 执行后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现 攻击并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。

图 10是本发明实施例的云计算网络 100的示意框图。 云计算网络 100 也可以称为云计算系统， 包括一个管理节点和多个计算节点， 可以实现图 1 至图 5中本发明的实施例。 其中， 管理节点 101也可以称为云管理服务器， 所管理的计算节点有 n-1个， 如图中 102至 10η所示， 其中 n为正整数。 管 理节点和计算节点之间可以通过既有的各种网 络连接方式通信。

作为本发明实施例的一种实现方式， 管理节点 101可以包括节点初始化 模块 1011、硬件密码模块 1012,安全策略管理模块 1013和安全隔离模块 1014 等； 计算节点 102至 10η可以包括安全状态动态检测模块 1021和硬件密码 模块 1022。 下面筒单介绍一下各节点及其单元的主用作用 。

管理节点 101: 用于管理、 维护和分配 IT ( Information Technology, 信 息技术）资源的系统， IT资源包括计算资源、 存储资源、 网络资源等。 通常 只有具有特定权限的云管理员才能通过管理节 点发起安全状态动态检测和 节点初始化等流程。

安全策略管理模块 1013: 可以是可选项，用于管理安全状态动态检测结 果发生异常时系统采取的应对策略， 可以预设置， 例如一种安全策略为： 隔 离该节点，并对该节点进行配置初始化，恢复 到安全配置基线的状态,重新加 入云计算网络。

安全隔离模块 1014: 为安全策略的执行单元，用于执行隔离计算节 点的 安全策略。 安全隔离模块 1014与前述管理节点中的隔离模块或处理器的� � 能相同或相似。

节点初始化模块 1011:用于当新计算节点加入到云管理服务器的� ��理之 下时， 或者计算节点的软件版本、 配置发生改变之后， 生成或刷新安全状态 检测的安全基线的配置参数。安全基线的配置 参数涉及以下一个或多个方面 的配置内容： 基本输入输出系统 BIOS程序、 基本输入输出系统配置、 虚拟 机管理程序、 虚拟机管理配置、 节点管理域程序、 节点管理域配置、 操作系 统和数据库。 安全隔离模块 1014与前述管理节点中的配置模块或处理器的 功能相同或相似。

硬件密码模块 1012:硬件形式的密码模块，提供随机数生成、� ��码算法、 机密信息存储等功能， 如 TPM或 TCM。 在本发明实施例中， 管理节点的硬 件密码模块 1012用于保护安全基线的安全可信。硬件密码� �块 1012与前述 管理节点中的保护模块或硬件密码模块的功能 相同或相似。

计算节点 102: 用于提供云环境中计算资源的物理服务器。

安全状态动态监测模块 1021: 创建安全运行环境，避免业务运行流程或 恶意软件对检测过程的干扰； 在安全运行环境中对计算节点的安全状态进行 检测， 并将检测结果安全可信的传送给云管理服务器 。 安全状态动态监测模 块 1021与前述计算节点中的动态检测模块或处理� �的功能相同或相似。

硬件密码模块 1022:硬件形式的密码模块，提供随机数生成、� ��码算法、 机密信息存储等功能， 如 TPM/TCM。 在本发明实施例中， 计算节点中的硬 件密码模块用于保护动态安全检测结果的安全 可信。 硬件密码模块 1022与 前述计算节点中的保护模块或硬件密码模块的 功能相同或相似。

在该云计算网络中， 管理节点设置安全基线后， 要求计算节点执行动态 安全检测， 管理节点向计算节点发送动态安全检测请求， 计算节点根据动态 安全检测请求中安全基线的配置参数， 在安全执行环境中执行动态安全检 测， 管理节点根据动态安全检测的结果确定安全基 线是否被更改， 进而执行 后续的安全步骤， 从而可以在受到攻击后， 在危害发生之前， 即时发现攻击 并及时清除， 将攻击的危害减到最小， 由此提高了防卫成功率。

本领域普通技术人员可以意识到， 结合本文中所公开的实施例描述的各 示例的单元及算法步骤， 能够以电子硬件、 或者计算机软件和电子硬件的结 合来实现。 这些功能究竟以硬件还是软件方式来执行， 取决于技术方案的特 定应用和设计约束条件。 专业技术人员可以对每个特定的应用来使用不 同方 法来实现所描述的功能， 但是这种实现不应认为超出本发明的范围。

所属领域的技术人员可以清楚地了解到， 为描述的方便和筒洁， 上述描 述的系统、 装置和单元的具体工作过程， 可以参考前述方法实施例中的对应 过程， 在此不再赘述。

在本申请所提供的几个实施例中， 应该理解到， 所揭露的系统、 装置和 方法， 可以通过其它的方式实现。 例如， 以上所描述的装置实施例仅仅是示 意性的， 例如， 所述单元的划分， 仅仅为一种逻辑功能划分， 实际实现时可 以有另外的划分方式， 例如多个单元或组件可以结合或者可以集成到 另一个 系统， 或一些特征可以忽略， 或不执行。 另一点， 所显示或讨论的相互之间 的耦合或直接耦合或通信连接可以是通过一些 接口， 装置或单元的间接耦合 或通信连接， 可以是电性， 机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可 以不是物理上分开的，作 为单元显示的部件可以是或者也可以不是物理 单元， 即可以位于一个地方， 或者也可以分布到多个网络单元上。可以根据 实际的需要选择其中的部分或 者全部单元来实现本实施例方案的目的。 另外， 在本发明各个实施例中的各功能单元可以集成 在一个处理单元 中， 也可以是各个单元单独物理存在， 也可以两个或两个以上单元集成在一 个单元中。

所述功能如果以软件功能单元的形式实现并作 为独立的产品销售或使 用时， 可以存储在一个计算机可读取存储介质中。 基于这样的理解， 本发明 的技术方案本质上或者说对现有技术做出贡献 的部分或者该技术方案的部 分可以以软件产品的形式体现出来，该计算机 软件产品存储在一个存储介质 中， 包括若干指令用以使得一台计算机设备（可以 是个人计算机， 服务器， 或者网络设备等）执行本发明各个实施例所述 方法的全部或部分步骤。 而前 述的存储介质包括： U盘、移动硬盘、只读存储器（ ROM , Read-Only Memory )、 随机存取存储器（RAM, Random Access Memory ), 磁碟或者光盘等各种可 以存储程序代码的介质。

以上所述， 仅为本发明的具体实施方式， 但本发明的保护范围并不局限 于此， 任何熟悉本技术领域的技术人员在本发明揭露 的技术范围内， 可轻易 想到变化或替换， 都应涵盖在本发明的保护范围之内。 因此， 本发明的保护 范围应所述以权利要求的保护范围为准。