[发明专利]实现云计算网络防攻击的方法、设备和网络

权利要求书

1.一种实现云计算网络防攻击的方法，所述云计算网络包括管理节点和计算节点，其特征在于，所述方法包括：

所述管理节点为所述计算节点配置初始化的安全基线，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库；

所述管理节点向所述计算节点发送动态安全检测请求，其中所述动态安全检测请求包括所述安全基线包含的配置参数，使得所述计算节点根据所述安全基线包含的配置参数执行动态安全检测；

所述管理节点接收所述计算节点根据所述动态安全检测请求发送的、通过在安全执行环境中执行动态安全检测获得的动态安全检测结果，所述安全执行环境中运行的代码是预先设置的安全可信代码；

所述管理节点根据所述动态安全检测结果确定所述计算节点的安全基线是否更改；

如果所述计算节点的安全基线已被更改，则所述管理节点检测所述更改是否是用户主动修改；

如果所述更改为用户非主动修改，则所述管理节点将所述计算节点的安全基线恢复到所述初始化的安全基线。

2.根据权利要求1所述的方法，其特征在于，由用于加密且存储信息的硬件密码模块保护所述安全基线安全可信。

3.根据权利要求1或2所述的方法，其特征在于，所述管理节点为所述计算节点配置初始化的安全基线，包括：

所述管理节点将新产品供应或版本升级时发布的安全基线值配置为所述计算节点的初始化的安全基线。

4.根据权利要求1或2所述的方法，其特征在于，在所述管理节点为所述计算节点配置初始化的安全基线前，所述方法还包括：

所述管理节点向所述计算节点发送初始化请求；

所述管理节点接收所述计算节点完成初始化后获得的初始化安全检测结果；

相应地，所述管理节点为所述计算节点配置初始化的安全基线包括：所述管理节点将所述初始化安全检测结果配置为所述计算节点的初始化的安全基线。

5.根据权利要求1或2所述的方法，其特征在于，所述管理节点向所述计算节点发送动态安全检测请求，具体包括：

所述管理节点向所述计算节点周期性发送动态安全检测请求；或所述管理节点向所述计算节点发送要求周期性动态安全检测的请求。

6.根据权利要求1或2所述的方法，其特征在于，所述管理节点将所述计算节点的安全基线恢复到所述初始化的安全基线，包括：

所述管理节点隔离所述计算节点；

所述管理节点将所述计算节点上正运行的虚拟机迁移到其他计算节点；

所述管理节点将所述计算节点的安全基线恢复到所述初始化的安全基线，其中所述方法还包括：所述管理节点将所述计算节点重新加入云计算网络。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

如果所述更改为用户主动修改，则所述管理节点以更改后的安全基线取代所述计算节点的初始化的安全基线。

8.一种实现云计算网络防攻击的方法，所述云计算网络包括管理节点和计算节点，其特征在于，所述方法包括：

所述计算节点接收所述管理节点的动态安全检测请求，所述动态安全检测请求包括用于动态安全检测的安全基线的配置参数，所述安全基线包括的配置参数涉及以下一个或多个方面的配置内容：基本输入输出系统程序、基本输入输出系统配置、虚拟机管理程序、虚拟机管理配置、节点管理域程序、节点管理域配置、操作系统和数据库；

所述计算节点创建安全执行环境，并通过在所述安全执行环境中运行动态安全检测程序，以根据所述动态安全检测请求执行动态安全检测获得动态安全检测结果，所述动态安全检测结果用于确定所述计算节点的安全基线是否更改，所述安全执行环境中运行的代码是预先设置的安全可信代码；

所述计算节点向所述管理节点发送所述动态安全检测结果。

9.根据权利要求8所述的方法，其特征在于，由用于加密且存储信息的硬件密码模块保护所述动态安全检测结果安全可信。