一种操作系统安全部署方法、装置、设备及存储介质与流程

1.本发明涉及通信技术领域，特别涉及一种操作系统安全部署方法、装置、设备及存储介质。


背景技术：

2.预启动执行环境(preboot execution environment，pxe，也被称为预执行环境)提供了一种使用网络接口(network interface)启动计算机的机制。这种机制让计算机的启动可以不依赖本地数据存储设备(如硬盘)或本地已安装的操作系统。pxe通过dhcp协议进行初始的握手协议，进而通过tftp进行文件传输，向客户机提供操作系统的软件。实际应用中，pxe通常用于无盘工作站和快速系统安装。相比传统的usb或者光盘安装方式，pxe有着无可比拟的效率优势。pxe一般通过网卡的固件的方式实现，内置在网卡内部，由于其技术优势而广泛的受到硬件厂商和用户的欢迎，现在市面上几乎无法找到不带pxe固件的网卡。
3.pxe/ipxe以及相关的技术无疑是操作系统自动化部署的一个重大革新。由于固件环境资源有限，pxe默认其运行环境是可信安全的，不提供任何安全机制。ipxe提供一些安全机制，比如支持加密协议https，支持简单的用户名和密码认证，支持简单vlan等等。虽然安全强度差强人意，但至少保证了预运行的安全。ipxe依然无法保证预运行到正式环境的安全切换。
4.为了解决这个问题，传统的部署方案通过人工方式或者辅助软件在中心部署服务器和客户机的网关之间预先配置好vpn。
5.然而现有技术的部署方案无法进行全面自动化部署，需要预先建立vpn，并且往往需要额外的网关设备。


技术实现要素：

6.基于此，本技术实施例提供了一种操作系统安全部署方法、装置、电子设备及存储介质，通过采用ipxe的执行链机制，在系统预执行节点键入vpn自动连接和部署固件模块，从而在不可信的复杂网络环境中实现安全的云平台自动化部署，有力支撑未来的物联网等边缘计算的大规模应用和部署。
7.第一方面，提供了一种操作系统安全部署方法，应用于边缘节点，该方法包括：
8.通过向部署服务器发送ipxe请求，获取并执行所述部署服务器返回的ipxe脚本，所述ipxe请求中还包括边缘节点标识；
9.检查判断ipxe脚本执行链是否结束；当ipxe脚本执行链结束时，向部署服务器发送vpn固件运行请求，所述部署服务器基于该运行请求加载运行所述vpn固件；
10.通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的检测结果，并将所述检测结果进行存储；
11.基于得到的所述检测结果创建vpn连接，并通过vpn连接下载目标操作系统和运行
环境的配置信息，所述vpn连接用于接通边缘节点和云平台管理服务器，所述vpn连接基于国密算法创建。
12.可选地，通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的检测结果，包括：
13.通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的第一检测结果和第二检测结果；其中，所述第一检测结果用于表征所述vpn固件检测到硬件安全模块，所述第二检测结果用于表征所述vpn固件未检测到硬件安全模块。
14.可选地，当通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的第一检测结果时，其特征在于，所述基于得到的所述检测结果创建vpn连接，包括：
15.通过硬解码vpn信息创建vpn连接，其中，所述硬解码vpn信息包括直接通过硬件安全模块解码对配置信息解码得到vpn信息。
16.可选地，当通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的第二检测结果时，其特征在于，所述基于得到的所述检测结果创建vpn连接，包括：
17.通过软解码vpn信息创建vpn连接，其中，所述软解码vpn信息包括询问管理员输入解码令牌得到vpn信息。
18.可选地，所述方法还包括：
19.将操作系统和配置信息写入本地硬盘；
20.当操作系统启动时，通过vpn连接云平台管理服务器，注册节点信息，完成部署。
21.第二方面，一种操作系统安全部署方法，应用于部署服务器，该方法包括：
22.响应于边缘节点发送的ipxe请求，向所述边缘节点返回的ipxe脚本，所述ipxe请求中还包括边缘节点标识；
23.获取所述边缘节点发送的vpn固件运行请求，基于该运行请求加载运行所述vpn固件，其中，所述vpn固件运行请求是通过所述边缘节点检查判断ipxe脚本执行链是否结束，当ipxe脚本执行链结束时进行发送；
24.通过所述vpn固件进行对所述边缘节点进行硬件安全模块检测，得到所述硬件安全模块的检测结果，并将所述检测结果进行存储；其中，所述检测结果用于使所述边缘节点创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息，所述vpn连接用于接通边缘节点和云平台管理服务器，所述vpn连接基于国密算法创建。
25.可选地，通过所述vpn固件进行对所述边缘节点进行硬件安全模块检测，得到所述硬件安全模块的检测结果，包括：
26.通过所述vpn固件对所述边缘节点进行硬件安全模块检测，得到所述硬件安全模块的第一检测结果和第二检测结果；其中，所述第一检测结果用于表征所述vpn固件检测到硬件安全模块，所述第二检测结果用于表征所述vpn固件未检测到硬件安全模块。
27.第三方面，提供了一种操作系统安全部署装置，该装置包括：
28.获取模块，通过向部署服务器发送ipxe请求，获取并执行所述部署服务器返回的ipxe脚本，所述ipxe请求中还包括边缘节点标识；
29.判断模块，用于检查判断ipxe脚本执行链是否结束；当ipxe脚本执行链结束时，向部署服务器发送vpn固件运行请求，所述部署服务器基于该运行请求加载运行所述vpn固件；
30.检测模块，用于通过所述vpn固件进行硬件安全模块检测，得到所述硬件安全模块的检测结果，并将所述检测结果进行存储；
31.连接模块，用于基于得到的所述检测结果创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息，所述vpn连接用于接通边缘节点和云平台管理服务器，所述vpn连接基于国密算法创建。
32.第四方面，提供了一种电子设备，包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时实现上述第一方面任一所述的操作系统安全部署方法。
33.第五方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述第一方面任一所述的操作系统安全部署方法。
34.本技术实施例提供的技术方案中，边缘节点通过向部署服务器发送ipxe请求，获取并执行部署服务器返回的ipxe脚本；检查判断ipxe脚本执行链是否结束；当ipxe脚本执行链结束时，向部署服务器发送vpn固件运行请求，部署服务器基于该运行请求加载运行vpn固件；通过vpn固件进行硬件安全模块检测，得到硬件安全模块的检测结果；基于得到的检测结果创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息。可以看出，本技术实施例提供的技术方案带来的有益效果至少包括：
35.1.通过国密化的vpn，结合安全网关，将可信计算环境和非可信计算环境隔离。
36.2.在复杂的网络环境中实现ipxe自动化部署，将每个边缘节点的部署时间从数小时降低到数分钟。考虑到自动化部署可以实现大规模并行处理的情况，本发明可实现数十倍的运维效率，有力支撑物联网等海量设备的运计算平台。
附图说明
37.为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。
38.图1为本技术实施例提供的一种操作系统安全部署方法的步骤流程图；
39.图2为本技术实施例提供的进行操作系统安全部署处理流程图；
40.图3为本技术实施例提供的操作系统安全部署处理的信令交互图；
41.图4为本技术实施例提供的一种操作系统安全部署装置的框图。
具体实施方式
42.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
43.在本发明的描述中，除非另有说明“多个”的含义是两个或两个以上。本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)旨在区别指代的对象。对于具有时序流程的方案，这种术语表述方式不必理解为描述特定的顺序或先后次序，对于装置结构的方案，这种术语表述方式也不存在对重要程度、位置关系的区分等。
44.此外，术语“包括”、“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元，而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元，或者基于本发明构思进一步的优化方案所增加的步骤或单元。
45.ipxe是一个开源产品，它在pxe的基础上做出进一步的开发，把自动化部署又推进了一大步。它的主要贡献有：
46.(1)支持更多的通信协议，比如http/https，iscsi，ipsan等，允许客户机从更大范围内获取操作系统软件。
47.(2)支持预启动脚本，从而支持更为复杂的自动化场景。
48.(3)引入执行链(chain)概念，结合脚本，它允许系统在启动过程中，多次切换固件，直到目标操作系统启动运行。
49.(4)主持更大规模的部署，ipxe支持跨网部署，而且pxe只能在局域网范围内部署。
50.然而由于固件环境资源有限，pxe默认其运行环境是可信安全的，不提供任何安全机制。ipxe提供一些安全机制，比如支持加密协议https，支持简单的用户名和密码认证，支持简单vlan等等。虽然安全强度差强人意，但至少保证了预运行的安全。ipxe依然无法保证预运行到正式环境的安全切换。为了解决这个问题，传统的部署方案通过人工方式或者辅助软件在中心部署服务器和客户机的网关之间预先配置好vpn。这种方式缺点显而易见：无法进行全面自动化部署，需要预先建立vpn；往往需要额外的网关设备。这两个缺陷使得边缘计算和物联网应用收到了很大限制。
51.本发明采用ipxe的执行链机制，在系统预执行节点键入vpn自动连接和部署固件模块，从而在不可信的复杂网络环境中实现安全的云平台自动化部署，有力支撑未来的物联网等边缘计算的大规模应用和部署。为便于对本实施例进行理解，首先对本技术实施例所公开的一种操作系统安全部署方法进行详细介绍。
52.请参考图1，其示出了本技术实施例提供的一种操作系统安全部署方法的流程图，该方法应用于边缘节点，可以包括以下步骤：
53.步骤101，通过向部署服务器发送ipxe请求，获取并执行部署服务器返回的ipxe脚本。
54.在本技术实施例中，在步骤101之前首先包括了：
55.步骤1011，用户加电启动边缘节点；
56.步骤1012，边缘节点经过一系列的初始化之后，边缘节点网卡固件向部署服务器(提供部署服务)发送ipxe请求，ipxe请求中还包括边缘节点标识，边缘节点标识可以为边缘节点编号。
57.在步骤101中，具体地边缘节点网卡固件执行从部署服务器返回的ipxe脚本。
58.步骤102，检查判断ipxe脚本执行链是否结束；当ipxe脚本执行链结束时，向部署服务器发送vpn固件运行请求，部署服务器基于该运行请求加载运行vpn固件。
59.在本技术实施例中，边缘节点网卡固件检查是否脚本执行链结束。当执行结束时，通常边缘节点进入加载系统内核阶段，从部署服务器下载操作系统和配置信息。而与传统ipxe启动不一样，本技术在这一步引入和一个预处理内核模块，模块自带vpn固件(在部署服务器内，需要在部署服务器运行)。当执行未结束时，则重新实施步骤101。
60.步骤103，通过vpn固件进行硬件安全模块检测，得到硬件安全模块的检测结果。
61.在本技术实施例中，在得到硬件安全模块的检测结果后进行存储，例如上传至云服务器进行存储；通过vpn固件进行硬件安全模块检测，得到硬件安全模块的第一检测结果和第二检测结果；其中，第一检测结果用于表征vpn固件检测到硬件安全模块，第二检测结果用于表征vpn固件未检测到硬件安全模块。
62.具体地，vpn固件检查边缘节点是否带有硬件安全模块(hsm)。
63.如果有，通过硬解码获取vpn信息创建vpn连接，其中，硬解码vpn信息包括直接通过硬件安全模块解码对配置信息解码得到vpn服务器地址，边缘节点vpn网络地址，可能还包括路由信息，vpn链接的密钥等；
64.如果没有，通过软解码vpn信息创建vpn连接，具体通过询问管理员输入解码令牌(软解码)。
65.步骤104，基于得到的检测结果创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息。
66.在本技术实施例中，通过固件创建vpn连接，接通边缘节点和云平台管理服务器，其中，vpn连接用于接通边缘节点和云平台管理服务器。
67.边缘节点通过vpn从部署服务器下载目标操作系统和运行环境的配置信息。服务器将操作系统和配置信息写入本地硬盘。(其中包括vpn信息，这样启动加载正式系统的时候，会直接通过vpn连接中心云系统)。操作系统启动，通过vpn连接中心云系统，注册节点信息，部署完成。
68.可以看出，本发明在自动化的pxe部署过程中，把vpn自动化部署提前到加载操作系统和敏感配置之前，确保任何敏感信息通过vpn传输，从而提供了一个安全的边缘计算自动化安全部署方案。
69.与上述应用于边缘节点提供的一种操作系统安全部署方法相对应的，还包括一种应用于部署服务器的操作系统安全部署方法。具体包括：
70.步骤201，响应于边缘节点发送的ipxe请求，向边缘节点返回的ipxe脚本。
71.步骤202，获取边缘节点发送的vpn固件运行请求，基于该运行请求加载运行vpn固件。
72.其中，vpn固件运行请求是通过边缘节点检查判断ipxe脚本执行链是否结束，当ipxe脚本执行链结束时进行发送。
73.步骤203，通过vpn固件进行对边缘节点进行硬件安全模块检测，得到硬件安全模块的检测结果。
74.其中，检测结果用于使边缘节点创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息，vpn连接用于接通边缘节点和云平台管理服务器。
75.具体地，通过vpn固件对边缘节点进行硬件安全模块检测，得到硬件安全模块的第一检测结果和第二检测结果；其中，第一检测结果用于表征vpn固件检测到硬件安全模块，第二检测结果用于表征vpn固件未检测到硬件安全模块。
76.关于应用于部署服务器的操作系统安全部署方法的具体限定可以参见上文中对于应用于边缘节点的操作系统安全部署方法的限定，在此不再赘述。
77.如图2，给出了通过本方法进行操作系统安全部署处理流程。
78.以下给出了一个利用本方法的另一个可选实施例：
79.本实施例中在中心侧由kuberetes集群，以及部署在集群中的vpn管理模块，自动化部署服务模块组成。在边缘则采用ipxe的执行链机制，在系统预执行节点键入vpn自动连接和部署固件模块，从而在不可信的复杂网络环境中实现安全的云平台自动化部署，有力支撑未来的物联网等边缘计算的大规模应用和部署。系统的vpn采用国密算法的定制vpn技术。如图3，给出了本实施例进行操作系统安全部署处理的信令交互图，其中信令交互的节点具体包括了：
80.1.管理员通过系统操作界面，提交创建一个vpn网络的请求。管理员可以根据需要创建任意多个vpn。
81.2.vpn管理服务器将新建的网络信息存入k8s数据库。
82.3.k8s返回成功信息给管理服务器。
83.4.管理服务器返回成功信息给管理员。管理员现在可以给网络添加节点。
84.5.管理员通过操作界面创建一个网络节点。
85.6.vpn服务器给节点生成公钥和密钥。
86.7.结合系统管理员的输入，生成一个完整的节点数据，存入k8s数据库。
87.8.将节点的注册令牌返回给管理员，该令牌具有实效性。
88.9.管理员加电启动边缘计算节点。
89.10.边缘节点通过pxe向部署服务器发送加载系统请求。
90.11.部署服务器向vpn服务器请求节点vpn信息。
91.12.vpn服务器返回加密的vpn信息。
92.13.部署服务器将加密的vpn信息作为内核启动参数转递给边缘节点。
93.14.管理员输入令牌，解码vpn信息(若使用hsm模块，本步可跳过)。
94.15.边缘节点根据返回的信息，激活vpn链接。该链接用于进一步的系统安装和配置。这是本发明的一个关键环节，具体技术实现过程见下一节。(其中通过重复实现步骤5-15创建新的边缘节点)
95.16.边缘节点在vpn保护下安全通信。
96.请参考图4，其示出了本技术实施例提供的一种操作系统安全部署装置300的框图，如图4所示，该装置300可以包括：获取模块301、判断模块302、检测模块303以及连接模块304。
97.获取模块301，通过向部署服务器发送ipxe请求，获取并执行部署服务器返回的ipxe脚本；
98.判断模块302，用于检查判断ipxe脚本执行链是否结束；当ipxe脚本执行链结束时，向部署服务器发送vpn固件运行请求，部署服务器基于该运行请求加载运行vpn固件；
99.检测模块303，用于通过vpn固件进行硬件安全模块检测，得到硬件安全模块的检测结果；
100.连接模块304，用于基于得到的检测结果创建vpn连接，并通过vpn连接下载目标操作系统和运行环境的配置信息，vpn连接用于接通边缘节点和云平台管理服务器。
101.关于操作系统安全部署装置的具体限定可以参见上文中对于操作系统安全部署方法的限定，在此不再赘述。上述操作系统安全部署装置中的各个模块可全部或部分通过
软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
102.在一个实施例中，提供了一种电子设备，该电子设备可以是计算机。该电子设备包括通过系统总线连接的处理器、存储器和网络接口。其中，该设备的处理器用于提供计算和控制能力。该设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于操作系统安全部署数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种操作系统安全部署方法。
103.在本技术的一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述操作系统安全部署方法的步骤。
104.本实施例提供的计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
105.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以m种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(symchlimk)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
106.以上实施例的各技术特征可以进行任意的组合(只要这些技术特征的组合不存在矛盾)，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述；这些未明确写出的实施例，也都应当认为是本说明书记载的范围。
107.上文中通过一般性说明及具体实施例对本技术作了较为具体和详细的描述。应当理解，基于本技术的技术构思，还可以对这些具体实施例作出若干常规的调整或进一步的创新；但只要未脱离本技术的技术构思，这些常规的调整或进一步的创新得到的技术方案也同样落入本技术的权利要求保护范围。