[发明专利]基于数据链路层的服务器集中管理方法

权利要求书

1、基于数据链路层的服务器集中管理方法，其特征在于，以安全策略为基础，集中管理平台与部署在服务器中的安全板卡以自定义格式的通信原语通过数据链路层进行通信，将安全策略分发给鉴别成功的服务器安全板卡，在安全策略的调控下，安全板卡收集服务器状态信息，包括硬件、系统和网络的信息，实现内容过滤、网络流量实时监控、阻断和入侵检测，在检测到与安全策略匹配的安全事件时，生成安全事件日志并上报给集中管理平台。

2、根据权利要求1所述的服务器管理方法，其特征在于，管理方法包括集中管理平台以及部署在服务器中的安全板卡，通过网络线、交换机连接集中管理平台和服务器安全板卡，每个安全板卡用其MAC地址做为唯一的标识。

3、根据权利要求1所述的服务器管理方法，其特征在于，服务器安全板卡实现和集中管理平台的与服务器操作系统无关的基于数据链路层的通信。

4、根据权利要求1所述的服务器管理方法，其特征在于，定义特殊格式的通信原语，实现集中管理平台与安全板卡之间通信，完成安全板卡身份鉴别、安全策略维护、服务器状态监控和安全事件日志信息的获取，通信原语的格式为：DMAC6B、SMAC6B、Type2B、自定义格式数据；其中，DMAC、SMAC分别表示目的和源MAC地址，长6字节；Type域为一个特别定义的字段，用于区分通信原语的类型，Type域采用的值为：

a.0xE001：广播侦听消息，DMAC字段为空，检测新加入或重启的服务器；

b.0xE002：“Console Hello”消息；

c.0xE003：“Server Hello”消息

d.0xE004：“Console Hello Done”消息；

e.0xE005：“Console Finished”消息；

f.0xE006：“Server Finished”消息；

g.0xE007：证书请求“CertReq”消息；

h.0xE008：证书响应“CertRes”消息；

i.0xE009：心跳消息；

j.0xE00A：安全策略消息，子类型包括Web、邮件、网络、入侵检测；

k.0xE00B：安全事件消息；

l.0xE00C：获取状态信息命令；

m.0xE00D：服务器状态信息消息，子类型包括硬件、系统、网络；

n.其它值：待扩展。

5、根据权利要求1所述的服务器管理方法，其特征在于，集中管理平台和服务器安全板卡中都安装有数字证书，在服务器首次加入到集中管理平台或重新启动时，进行服务器安全板卡身份鉴别，鉴别步骤如下：安全板卡接收到集中管理平台的广播消息“Console Broadcast”后，获得集中管理平台的MAC地址，向其发送“Server Hello”消息以建立握手，集中管理平台发送“Console Hello”消息完成握手的建立，随后发送请求服务器安全板卡证书和“Console Hello Done”消息，服务器安全板卡以其数字证书进行响应并发送“Server Finished”消息，集中管理平台验证服务器安全板卡身份的有效性后，发送“Console Finished”消息，完成鉴别过程。

6、根据权利要求5所述的服务器管理方法，其特征在于，集中管理平台以可定制的周期广播侦听消息，用以检测新部署的以及发生故障而重新启动的服务器，在接收到侦听消息后，服务器安全板卡响应并启动身份鉴别过程，只有身份鉴别成功后，集中管理平台才能管理安全板卡，向其分发安全策略并获取相应的服务器状态信息、安全事件和日志。

7、根据权利要求5所述的服务器管理方法，其特征在于，集中管理平台集中向鉴别成功的服务器安全板卡分发可配置的安全策略，通过这些可配置的安全策略调控安全板卡的功能，实现服务器状态信息，包括硬件、系统和网络信息的收集、内容过滤、网络流量实时监控、阻断和入侵检测，安全策略包括但不限于：

a.硬件监控：定义硬件监控信息阀值；

b.内容过滤：实现对Web、病毒、邮件的内容过滤；

c.入侵检测：实时检测服务器网络中所发生的入侵攻击；

d.网络流量：定义网络流量阀值。