專利名稱:基于數(shù)據(jù)鏈路層的服務(wù)器集中管理方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種計(jì)算機(jī)系統(tǒng)管理技術(shù)領(lǐng)域��,具體地說是一種以安全策略為基 礎(chǔ)���,集中管理平臺(tái)和部署在服務(wù)器中安全板卡以自定義格式的通信原語(yǔ)通過數(shù)據(jù) 鏈路層進(jìn)行通信的基于數(shù)據(jù)鏈路層的服務(wù)器管理方法��。
技術(shù)背景隨著信息化進(jìn)程的迅猛發(fā)展����,電子商務(wù)�,電子政務(wù)等信息服務(wù)在政府、企業(yè)����、 商業(yè)等領(lǐng)域得到了廣泛應(yīng)用,信息系統(tǒng)已經(jīng)成為政府辦公���,商業(yè)貿(mào)易的重要工具 之一��。作為信息系統(tǒng)重要組成部分的服務(wù)器越來(lái)越發(fā)揮著舉足輕重的作用�����。它不 僅承載著企業(yè)的寶貴數(shù)據(jù)資源���,也提供著資源和數(shù)據(jù)的共享服務(wù)。作為信息系統(tǒng)中服務(wù)提供者的服務(wù)器�,需要保證7*24小時(shí)不間斷運(yùn)行,因此 需要有專門的系統(tǒng)管理員來(lái)負(fù)責(zé)全天候維護(hù)���。系統(tǒng)管理員為了掌握服務(wù)器的運(yùn)行 狀況����,經(jīng)常需要查看服務(wù)器的CPU運(yùn)行情況��、內(nèi)存使用情況�����、文件系統(tǒng)使用情況�����、 進(jìn)程信息�����、在線用戶情況等服務(wù)器運(yùn)行狀態(tài)參數(shù)��。隨著組織業(yè)務(wù)規(guī)模的擴(kuò)大和信 息化程度的進(jìn)一步深入,服務(wù)器數(shù)量將呈現(xiàn)指數(shù)級(jí)的增加��,對(duì)系統(tǒng)管理員全面而 深入地了解服務(wù)器運(yùn)行狀態(tài)將變得越來(lái)越困難�,對(duì)高級(jí)管理層的決策支持也變得 越來(lái)越困難。這些困難主要表現(xiàn)在 一是服務(wù)器系統(tǒng)的異構(gòu)性��,也就是說�����,服務(wù)器所包含的 軟硬件等組成部分來(lái)自于多家廠商���,這給系統(tǒng)管理員了解所有眾多技術(shù)提出了很 高的要求�;二是服務(wù)器系統(tǒng)的數(shù)量眾多���,通過手工或半自動(dòng)準(zhǔn)確了解所有服務(wù)器 系統(tǒng)的運(yùn)行狀態(tài)變得相當(dāng)困難�����,同時(shí)也是十分費(fèi)時(shí)的過程�����;三是當(dāng)發(fā)生安全事件 時(shí)��,很難快速確定受到了何種攻擊��,以及攻擊發(fā)生在服務(wù)器的什么部位�����,例如當(dāng) 服務(wù)器遭受到了DDOS攻擊�����,從最終結(jié)果來(lái)看��,我們不能為用戶提供服務(wù)�,那導(dǎo)致 這種情況是硬件故障引起的�����,還是網(wǎng)絡(luò)故障或應(yīng)用服務(wù)停止等情況引起的���;四是 很難能為管理層提供決策支持?jǐn)?shù)據(jù)�,如硬件擴(kuò)容�����、服務(wù)級(jí)別確定等。因此���,迫切需要安全性較高的服務(wù)器自動(dòng)化管理方法和標(biāo)準(zhǔn)能夠解決上述問 題��。目前比較成熟的服務(wù)器管理方法包括基于硬件的管理�����、網(wǎng)絡(luò)操作系統(tǒng)的附加 管理功能以及第三方的系統(tǒng)管理軟件�。其發(fā)展趨勢(shì)是服務(wù)器管理產(chǎn)品將對(duì)多臺(tái)服 務(wù)器的監(jiān)控管理操作整合匯聚到一個(gè)管理點(diǎn)上��,即集中管理方式����。這樣好處是降 低管理成本,提高管理效率和故障響應(yīng)時(shí)間����。此外,智能平臺(tái)管理接口 (Intelligent Platform Management Interface, IPMI)是一項(xiàng)應(yīng)用于服務(wù)器管理系統(tǒng)設(shè)計(jì)的標(biāo)準(zhǔn)���,由Intel�、 HP�、 Dell和NEC公司于1998年共同提出�����,當(dāng)前最 新版本為2. 0�����。利用此接口標(biāo)準(zhǔn)設(shè)計(jì)有助于在不同類服務(wù)器系統(tǒng)硬件上實(shí)施系統(tǒng)管 理��,使不同平臺(tái)的集中管理成為可能。通過IPMI可實(shí)現(xiàn)對(duì)服務(wù)器系統(tǒng)的實(shí)時(shí)監(jiān)控�, 能夠監(jiān)控網(wǎng)絡(luò)狀態(tài)(發(fā)現(xiàn)整個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)、判斷網(wǎng)絡(luò)節(jié)點(diǎn)的在線狀態(tài)����、判斷網(wǎng)絡(luò)的 通斷、監(jiān)測(cè)網(wǎng)絡(luò)結(jié)點(diǎn)的OS����、 IP、主機(jī)名��、網(wǎng)絡(luò)流量大小等信息)�����、服務(wù)器系統(tǒng)靜 態(tài)信息(CPU、內(nèi)存����、硬盤、光驅(qū)��、網(wǎng)卡�����、顯卡�、操作系統(tǒng)、RAID卡�、PCI附加卡 等信息)和動(dòng)態(tài)信息(主板、CPU��、 SCSI模組���、風(fēng)扇板等設(shè)備的溫度�����、電壓����、風(fēng) 扇轉(zhuǎn)速信息以及CPU利用率、內(nèi)存利用率�、硬盤I/0訪問流量等系統(tǒng)資源信息)。雖然����,IPMI規(guī)范2.0版加強(qiáng)了一些重要的安全特性對(duì)增強(qiáng)型認(rèn)證的支持,提 供建立安全遠(yuǎn)程會(huì)話和認(rèn)證用戶的更可靠的過程��;對(duì)增強(qiáng)型加密的支持��,通過LAN 上串行提供安全遠(yuǎn)程口令配置和保護(hù)任意傳輸過程中的敏感系統(tǒng)數(shù)據(jù)��,但是許多 企業(yè)仍沒有使用IPMI功能���,阻礙廣泛采用IPMI的一個(gè)關(guān)鍵因素是它缺少對(duì)企業(yè) 安全協(xié)議的支持。發(fā)明內(nèi)容本發(fā)明的目的在于提供一種基于數(shù)據(jù)鏈路層的服務(wù)器集中管理方法���,為實(shí)現(xiàn)上 述冃的�����,本發(fā)明的技術(shù)解決方案是�����,以安全策略為基礎(chǔ)�,集中管理平臺(tái)與部署在 服務(wù)器中的安全板卡以自定義格式的通信原語(yǔ)通過數(shù)據(jù)鏈路層進(jìn)行通信,將安全 策略分發(fā)給鑒別成功的服務(wù)器安全板卡��,在安全策略的調(diào)控下��,安全板卡收集服 務(wù)器狀態(tài)信息(硬件�����、系統(tǒng)����、網(wǎng)絡(luò)),實(shí)現(xiàn)內(nèi)容過濾�、網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控、阻斷 和入侵檢測(cè)���。在檢測(cè)到與安全策略匹配的安全事件時(shí)����,生成安全事件日志并上報(bào) 給集中管理平臺(tái)���。本發(fā)明的具體內(nèi)容如下采用基于數(shù)據(jù)鏈路層的服務(wù)器管理方法的系統(tǒng)由集中管理平臺(tái)和部署在服務(wù) 器中的安全板卡組成�,兩者通過網(wǎng)絡(luò)線和交換機(jī)連接。集中管理平臺(tái)和每個(gè)安全 板卡中都內(nèi)置有數(shù)字證書�,并可定期撤銷和更新。每個(gè)服務(wù)器安全板卡用其MAC地址做為唯一的標(biāo)識(shí)�����,它和集中管理平臺(tái)之間的信息交互是基于數(shù)據(jù)鏈路層的��。系統(tǒng)自定義一類特殊的通信原語(yǔ)��,其格式為D脆C (6B)SMAC(6B)Type (2B)自定義格式數(shù)據(jù).其中���,DMAC�����、 SMAC分別表示目的和源MAC地址����,長(zhǎng)6字節(jié)�����;Type域?yàn)橐粋€(gè)特別定 義的字段��,用于區(qū)分通信原語(yǔ)的類型���。Type域可以采用的值為a. OxE001:廣播偵聽消息���,DMAC字段為空,檢測(cè)新加入或重啟的服務(wù)器b. 0xE002: "Console Hello"消息c. 0xE003: "Server Hello"消息d. OxE004: "Console Hello Done"消息e. 0xE005: "Console Finished"消息f. 0xE006: "Server Finished"消息g. OxE007: i正書請(qǐng)求"CertReq"消息h. 0xE008:證書響應(yīng)"CertRes"消息i. 0xE009:心跳消息j. OxEOOA:安全策略消息��,子類型包括Web��、郵件���、網(wǎng)絡(luò)�、入侵檢測(cè)等k. OxEOOB:安全事件消息1. OxEOOC:獲取狀態(tài)信息命令m. OxEOOD:服務(wù)器狀態(tài)信息消息��,子類型包括硬件���、系統(tǒng)���、阿絡(luò) n.其它值待擴(kuò)展系統(tǒng)主要包括安全板卡身份鑒別和服務(wù)器實(shí)時(shí)監(jiān)控管理。其中��,安全板卡身份 鑒別過程為集中管理平臺(tái)啟動(dòng)后周期性地廣播類型為OxEOOOl的特殊偵聽數(shù)據(jù) 包"Console Broadcast"到局域網(wǎng)中,各服務(wù)器的安全板卡接收到該偵聽包后��, 獲取其中的集中管理平臺(tái)MAC地址并以類型為0xE003的"Server Hello"消息進(jìn) 行響應(yīng)���。集中管理平臺(tái)接收到服務(wù)器安全板卡的響應(yīng)消息后���,也獲得了各服務(wù)器 的MAC地址,并回傳類型為OxE002的"Console Hello"消息���,完成握手的建立�����。 集中管理平臺(tái)隨后發(fā)送類型為0xE007的"證書請(qǐng)求"消息��,請(qǐng)求服務(wù)器發(fā)送自己 的數(shù)字證書和類型為0xE004的"Console Hello Done"消息�。服務(wù)器發(fā)送自己的證書和類型為0xE006的"Server Finished"消息給集中管 理平臺(tái)�。集中管理平臺(tái)驗(yàn)證服務(wù)器安全板卡身份的合法性和有效性,并發(fā)送類型 為0xE005的"Console Finished"消息���,完成服務(wù)器安全板卡的身份鑒別�,進(jìn)入 服務(wù)器實(shí)時(shí)監(jiān)控管理過程�����。安全板卡身份鑒別過程如附圖2所示����。對(duì)于首次部署的服務(wù)器,在安全板卡身份鑒別成功后�����,集中管理平臺(tái)將其加入 到自己的管理域中��,通過安全策略對(duì)該服務(wù)器進(jìn)行實(shí)時(shí)監(jiān)控管理���。對(duì)于未通過身 份鑒別的服務(wù)器���,集中管理平臺(tái)拒絕管理并阻斷與該服務(wù)器的通信。鑒別成功后��,集中管理平臺(tái)通過自定義格式的通信原語(yǔ)對(duì)被管服務(wù)器的安全策 略進(jìn)行維護(hù)更新�����,分發(fā)新的安全策略��,修改已加載生效的安全策略。通過對(duì)安全 策略的動(dòng)態(tài)維護(hù)和調(diào)控����,集中管理平臺(tái)能獲取被管服務(wù)器的狀態(tài)信息(硬件、系 統(tǒng)�、網(wǎng)絡(luò)),實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量����,對(duì)進(jìn)出服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行內(nèi)容過濾和入侵 檢測(cè)。服務(wù)器安全板卡在微內(nèi)核操作系統(tǒng)的調(diào)度下����,根據(jù)安全策略檢測(cè)服務(wù)器的狀態(tài) 信息、網(wǎng)絡(luò)流量�����。在檢測(cè)到與安全策略匹配的安全事件時(shí)�����,生成安全事件日志并 通過自定義格式的類型為OxEOOB的安全事件消息上報(bào)為集中管理平臺(tái)��。集中管理 平臺(tái)對(duì)安全事件日志進(jìn)行關(guān)聯(lián)分析���、存儲(chǔ)����、審計(jì)和顯示處理�。集中管理平臺(tái)以可定制的周期向局域網(wǎng)廣播類型為0xE001的偵聽消息,用以檢測(cè) 新部署的以及發(fā)生故障而重新啟動(dòng)的服務(wù)器���。新部署以及重新啟動(dòng)的服務(wù)器安全 板卡接收到集中管理平臺(tái)的偵聽消息后���,開始如附圖2所示的安全板卡身份鑒別 過程。為了保證服務(wù)器安全板卡的可控性�,安全板卡也會(huì)以可定制的周期向集中管理 平臺(tái)發(fā)送類型為0xE009的心跳消息,表明自己的運(yùn)行狀態(tài)��。在所設(shè)定的時(shí)間范圍 內(nèi)�,若集中管理平臺(tái)沒有接收到服務(wù)器安全板卡的心跳消息,就會(huì)產(chǎn)生告警信息 并激活相應(yīng)的應(yīng)急響應(yīng)機(jī)制����。否則安全板卡就只接收/發(fā)送這類系統(tǒng)自定義的特殊 管理包,對(duì)其它類型的包都丟棄�����。心跳消息的發(fā)送是在身份鑒別成功并接受集中 管理T臺(tái)管理后才啟動(dòng)發(fā)送的。本發(fā)明的優(yōu)異效果是基于數(shù)據(jù)鏈路層的服務(wù)器管理方法核心思想����,實(shí)現(xiàn)集 中管理平臺(tái)與部署在服務(wù)器中的安全板卡之間以自定義格式的通信原語(yǔ)通過數(shù)據(jù) 鏈路層進(jìn)行通信。本發(fā)明的方法以安全策略為基礎(chǔ)����,基于數(shù)據(jù)鏈路層的服務(wù)器集 中管理方法具有靈活可控、高安全性的特點(diǎn)����,不影響服務(wù)器的性能和可靠性;并 且能根據(jù)所設(shè)置的安全策略�����,方便配置安全板卡的功能��,實(shí)現(xiàn)對(duì)服務(wù)器的實(shí)時(shí)監(jiān) 控管理����。與基于IPMI的服務(wù)器管理相比,基于數(shù)據(jù)鏈路層的服務(wù)器管理方法具有 配置靈活��、高安全性的特點(diǎn)。
圖1是本發(fā)明的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖�����;圖2是安全板卡身份鑒別過程圖����。
具體實(shí)施方式
以下通過具體的實(shí)施例和附圖對(duì)本發(fā)明做詳細(xì)的說明�。本發(fā)明是一種基于數(shù)據(jù)鏈路層的服務(wù)器管理方法,包括集中管理平臺(tái)G被管 服務(wù)器SRV" SRV2���, SRV3以及安裝在被管服務(wù)器中的安全板卡�。本發(fā)明的工作原理1. 環(huán)境配置采用如附圖l所示的網(wǎng)絡(luò)拓?fù)?�,部署安裝服務(wù)器集中管理環(huán)境��。 將集中管理平臺(tái)C與被管服務(wù)器SRVr3安全板卡通過網(wǎng)絡(luò)線和交換機(jī)相連����,并配置 各自的數(shù)字證書。每個(gè)服務(wù)器安全板卡用其MAC地址做為唯一的標(biāo)識(shí)���,它和集中 管理平臺(tái)之間的信息交互是基于數(shù)據(jù)鏈路層的�。系統(tǒng)自定義一類特殊的通信原語(yǔ), 其格式詳見發(fā)明內(nèi)容部分���。2. 身份鑒別集中管理平臺(tái)C啟動(dòng)后周期地在局域網(wǎng)中廣播類型為OxEOOl的 偵聽消息��。服務(wù)器SI^安全板卡接收到偵聽消息����,獲取其中的集中管理平臺(tái)MAC 地址��,并響應(yīng)以類型為0xE003的"Server Hello"消息�。集中管理平臺(tái)C接收到 服務(wù)器S肌安全板卡響應(yīng)消息后,得到SRVi安全板卡的MAC地址����,并回傳類型為3. 0xE002的"Console Hello"'消息,隨后發(fā)送類型為0xE007的"證書請(qǐng)求" 消息��,請(qǐng)求服務(wù)器SRVi安全板卡發(fā)送自己的數(shù)字證書和類型為0xE004的"Console Hello Done"��,確認(rèn)Hello握手過程結(jié)束�����。SRV,安全板卡發(fā)送自己的數(shù)字證書和類 型為0xE006的"Server Finished"消息給C��。集中管理平臺(tái)C驗(yàn)證SRVi安全板卡 身份的合法性和有效性,并發(fā)送類型為0xE005的"Console Finished"消息�����,完 成服務(wù)器SRVi安全板卡的身份鑒別�。鑒別成功后,集中管理平臺(tái)C將服務(wù)器SR����、 添加到管理域中。服務(wù)器SRV2���, SRV3安全板卡完成相同的身份鑒別后,也被添加到 集中管理平臺(tái)C的管理域中��。4. 安全策略分發(fā)根據(jù)安全功能需求的不同�����,系統(tǒng)管理人員通過集中管理平 臺(tái)C分別對(duì)服務(wù)器SRVn定制分發(fā)不同的安全策略���。也可通過集中管理平臺(tái)C維護(hù) 更新已加載到服務(wù)器SRVr3中的安全策略����。安全策略包括但不限于硬件監(jiān)控、內(nèi)容 過濾���、入侵檢測(cè)��、網(wǎng)絡(luò)流量策略�。5. 實(shí)時(shí)監(jiān)控管理集中管理平臺(tái)C分別向服務(wù)器SRVr3安全板卡發(fā)送類型為 0xE00C的獲取狀態(tài)信息命令��。每個(gè)服務(wù)器安全板卡將服務(wù)器的狀態(tài)信息(硬件��、 系統(tǒng)���、網(wǎng)絡(luò))���、網(wǎng)絡(luò)流量信息封裝為0xE00D的服務(wù)器狀態(tài)信息消息包,發(fā)送給集 中管理平臺(tái)C���。 C接收并以多種不同的形式顯示服務(wù)器狀態(tài)信息�����。6. 安全事件服務(wù)器SRVr3安全板卡在微內(nèi)核操作系統(tǒng)的調(diào)度下�,根據(jù)所加載 的安全策略檢測(cè)服務(wù)器的狀態(tài)信息��,實(shí)時(shí)監(jiān)控進(jìn)程服務(wù)器SRVn的網(wǎng)絡(luò)流量,進(jìn)行 內(nèi)容過濾和入侵檢測(cè)��。在檢測(cè)到與安全策略匹配的安全事件時(shí)�,安全板卡生成安 全事件日志并通過類型為0xE00B的安全事件消息上報(bào)為集中管理平臺(tái)C, C集中 對(duì)安全事件日志進(jìn)行關(guān)聯(lián)分析���、存儲(chǔ)���、審計(jì)和顯示處理。7. 刷新激活集中管理平臺(tái)C周期性地向局域網(wǎng)廣播類型為0xE001的偵聽消 息����,用以檢測(cè)新部署的以及發(fā)生故障而重新啟動(dòng)的服務(wù)器,如SRV1Q新部署以及 重新啟動(dòng)的服務(wù)器接收到集中管理平臺(tái)的偵聽消息后�,開始如附圖2所示的安全 板卡身份鑒別過程。8. 心跳消息服務(wù)器SRVr3安全板卡周期性地向集中管理平臺(tái)C發(fā)送類型為 0xE009的心跳消息��,表明自己的運(yùn)行狀態(tài)��。在所設(shè)定的時(shí)間范圍內(nèi)����,若集中管理 平臺(tái)C沒有接收到被管服務(wù)器SRVi的心跳消息�,就會(huì)產(chǎn)生告警信息并激活相應(yīng)的 應(yīng)急響應(yīng)機(jī)制����。否則安全板卡就只接收/發(fā)送這類系統(tǒng)自定義的特殊管理包���,對(duì)其 它類型的包都丟棄�����。心跳消息的發(fā)送是在身份鑒別成功并接受集中管理平臺(tái)C管 理后才啟動(dòng)發(fā)送的����。
權(quán)利要求
1���、基于數(shù)據(jù)鏈路層的服務(wù)器集中管理方法���,其特征在于,以安全策略為基礎(chǔ)���,集中管理平臺(tái)與部署在服務(wù)器中的安全板卡以自定義格式的通信原語(yǔ)通過數(shù)據(jù)鏈路層進(jìn)行通信����,將安全策略分發(fā)給鑒別成功的服務(wù)器安全板卡�����,在安全策略的調(diào)控下,安全板卡收集服務(wù)器狀態(tài)信息���,包括硬件��、系統(tǒng)和網(wǎng)絡(luò)的信息�,實(shí)現(xiàn)內(nèi)容過濾�、網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控、阻斷和入侵檢測(cè)����,在檢測(cè)到與安全策略匹配的安全事件時(shí),生成安全事件日志并上報(bào)給集中管理平臺(tái)���。
2�����、 根據(jù)權(quán)利要求1所述的服務(wù)器管理方法,其特征在于�,管理方法包括集中管理平臺(tái)以及部署在服務(wù)器中的安全板卡,通過網(wǎng)絡(luò)線�、交換機(jī)連接集中管理平臺(tái)和服務(wù)器安全板卡�,每個(gè)安全板卡用其MAC地址做為唯一的標(biāo)識(shí)�����。
3�����、 根據(jù)權(quán)利要求1所述的服務(wù)器管理方法����,其特征在于,服務(wù)器安全板卡實(shí) 現(xiàn)和集中管理平臺(tái)的與服務(wù)器操作系統(tǒng)無(wú)關(guān)的基于數(shù)據(jù)鏈路層的通信��。
4��、 根據(jù)權(quán)利要求1所述的服務(wù)器管理方法����,其特征在于,定義特殊格式的通 信原語(yǔ)�,實(shí)現(xiàn)集中管理平臺(tái)與安全板卡之間通信,完成安全板卡身份鑒別��、安全 策略維護(hù)�、服務(wù)器狀態(tài)監(jiān)控和安全事件日志信息的獲取�����,通信原語(yǔ)的格式為 DMAC6B�����、 SMAC6B�����、 Type2B�����、自定義格式數(shù)據(jù)���;其中,DMAC����、 SMAC分別表示目的和 源MAC地址,長(zhǎng)6字節(jié)���;Type域?yàn)橐粋€(gè)特別定義的字段��,用于區(qū)分通信原語(yǔ)的類 型�����,Type域采用的值為0xE001:廣播偵聽消息�,DMAC字段為空���,檢測(cè)新加入或重啟的服務(wù)器;b.0xE002:"Console Hello"消息���;c,0xE003:"Server Hello"消息d.0xE004:"Console Hello Done,�,消息;6,0xE005:"Console Finished"消息�;f.0xE006:"Server Finished"消息;g.0xE007:證書請(qǐng)求"CertReq"消息����;h.0xE008:證書響應(yīng)"CertRes"消息;i.0xE009:心跳消息���;j.0xE00A:安全策略消息�,子類型包括Web、郵件���、網(wǎng)絡(luò)����、入侵檢測(cè)����;k.0xE00B:安全事件消息;1.0xE00C:獲取狀態(tài)信息命令����;m.0xE00D:服務(wù)器狀態(tài)信息消息,子類型包括硬件��、系統(tǒng)�、網(wǎng)絡(luò);n.其它值:待擴(kuò)展��。
5���、 根據(jù)權(quán)利要求1所述的服務(wù)器管理方法��,其特征在于����,集中管理平臺(tái)和服 務(wù)器安全板卡中都安裝有數(shù)字證書,在服務(wù)器首次加入到集中管理平臺(tái)或重新啟 動(dòng)時(shí)���,進(jìn)行服務(wù)器安全板卡身份鑒別,鑒別步驟如下安全板卡接收到集中管理 平臺(tái)的廣播消息"Console Broadcast"后�,獲得集中管理平臺(tái)的MAC地址,向其 發(fā)送"Server Hello"消息以建立握手���,集中管理平臺(tái)發(fā)送"Console Hello"消 息完成握手的建立�,隨后發(fā)送請(qǐng)求服務(wù)器安全板卡證書和"Console Hello Done" 消息�����,服務(wù)器安全板卡以其數(shù)字證書進(jìn)行響應(yīng)并發(fā)送"Server Finished"消息��, 集中管理平臺(tái)驗(yàn)證服務(wù)器安全板卡身份的有效性后���,發(fā)送"Console Finished" 消息����,完成鑒別過程�。
6����、 根據(jù)權(quán)利要求5所述的服務(wù)器管理方法�,其特征在于,集中管理平臺(tái)以可 定制的周期廣播偵聽消息���,用以檢測(cè)新部署的以及發(fā)生故障而重新啟動(dòng)的服務(wù)器�, 在接收到偵聽消息后�,服務(wù)器安全板卡響應(yīng)并啟動(dòng)身份鑒別過程,只有身份鑒別 成功后��,集中管理平臺(tái)才能管理安全板卡��,向其分發(fā)安全策略并獲取相應(yīng)的服務(wù) 器狀態(tài)信息���、安全事件和日志����。
7�、 根據(jù)權(quán)利要求5所述的服務(wù)器管理方法,其特征在于����,集中管理平臺(tái)集中 向鑒別成功的服務(wù)器安全板卡分發(fā)可配置的安全策略�����,通過這些可配置的安全策 略調(diào)控安全板卡的功能�����,實(shí)現(xiàn)服務(wù)器狀態(tài)信息����,包括硬件���、系統(tǒng)和網(wǎng)絡(luò)信息的收 集、內(nèi)容過濾�、網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控、阻斷和入侵檢測(cè)��,安全策略包括但不限于a. 硬件監(jiān)控定義硬件監(jiān)控信息閥值���;b. 內(nèi)容過濾實(shí)現(xiàn)對(duì)Web�、病毒���、郵件的內(nèi)容過濾��;C.入侵檢測(cè)實(shí)時(shí)檢測(cè)服務(wù)器網(wǎng)絡(luò)中所發(fā)生的入侵攻擊����; d.網(wǎng)絡(luò)流量定義網(wǎng)絡(luò)流量閥值。
8���、 根據(jù)權(quán)利要求1所述的服務(wù)器管理方法�����,其特征在于�����,在檢測(cè)到與安全策略匹配的安全事件時(shí)�����,服務(wù)器安全板卡生成安全事件日志并以自定義格式的通信 原語(yǔ)通過數(shù)據(jù)鏈路層上報(bào)給集中管理平臺(tái)��。
9��、 根據(jù)權(quán)利要求l所述的服務(wù)器管理方法����,其特征在于,安全板卡以可定制的周期向集中管理平臺(tái)發(fā)送心跳消息�,表明自己的運(yùn)行狀態(tài)。在所設(shè)定的時(shí)間范 圍內(nèi)���,若集中管理平臺(tái)沒有接收到被管服務(wù)器安全板卡的心跳消息����,就會(huì)產(chǎn)生告 警信息����。
全文摘要
本發(fā)明提供一種基于數(shù)據(jù)鏈路層的服務(wù)器集中管理方法,該方法是集中管理平臺(tái)與部署在服務(wù)器中的安全板卡以自定義格式的通信原語(yǔ)通過數(shù)據(jù)鏈路層進(jìn)行通信�,集中管理平臺(tái)將安全策略分發(fā)給服務(wù)器安全板卡����,在安全策略的調(diào)控下,安全板卡收集服務(wù)器狀態(tài)信息��,包括硬件����、系統(tǒng)、網(wǎng)絡(luò)���,實(shí)現(xiàn)內(nèi)容過濾�����、網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)控�����、阻斷和入侵檢測(cè)�����,在檢測(cè)到與安全策略匹配的安全事件時(shí)��,生成安全事件日志并上報(bào)給集中管理平臺(tái)��。這種以安全策略為基礎(chǔ)����,基于數(shù)據(jù)鏈路層的服務(wù)器集中管理方法具有靈活可控、高安全性的特點(diǎn)�����,不影響服務(wù)器的性能和可靠性;根據(jù)所設(shè)置的安全策略�����,可以方便地配置安全板卡的功能�,實(shí)現(xiàn)對(duì)服務(wù)器的實(shí)時(shí)監(jiān)控管理。
文檔編號(hào)H04L12/24GK101247263SQ200810015168
公開日2008年8月20日 申請(qǐng)日期2008年3月18日 優(yōu)先權(quán)日2008年3月18日
發(fā)明者剛 劉, 宋鳳仙, 李清玉 申請(qǐng)人:浪潮電子信息產(chǎn)業(yè)股份有限公司