Область техники, к которой относится изобретение
Настоящее раскрытие, в общем, относится к области систем связи. Более конкретно, настоящее раскрытие относится к способу защищенного развертывания и регистрации виртуальных кластеров.
Глоссарий
CA – Certificate Authority – Сертифицирующий орган;
NC – Network Cloud – Сетевое облако;
NCC – Network Cloud Controller – Контроллер сетевого облака;
NCF – Network Cloud Fabric – Система коммутации сетевого облака;
NCM - Network Cloud Manager – Центр управления сетевым облаком;
NCP – Network Cloud Packet Forwarder – Передатчик пакетов данных в сетевом облаке;
NOS – Network Operating System – Сетевая операционная система;
ODM - Original Design Manufacturer – Производитель систем собственной разработки;
ONIE - Open Network Install Environment – Среда для развертывания открытой сети;
OS – Operating System – Операционная система;
S/N – Serial Number – Серийный номер;
WB – White-box – «Белый» ящик;
WB-UID – White-box Unique Identifier – уникальный идентификатор «белового» ящика; и
Термин «Белый ящик» обозначает продукт, являющийся серийным и представляющий собой соответствующую открытым или промышленным стандартам аппаратуру для коммутаторов и/или маршрутизаторов в пределах плоскости передачи. «Белые» ящики предоставляют пользователям основополагающие аппаратные элементы сети.
Уровень техники
Процедуры развертывания и регистрации, осуществляемые для разъединенных виртуальных кластеров на основе «белых» ящиков, несут ряд рисков для безопасности и операционных рисков. Называя лишь несколько, проблемы с обеспечением защищенности границ кластера, избегание попыток неавторизованного присоединения к кластеру, обеспечение того, что «белый» ящик, добавляемый к кластеру, является сертифицированным и имеет должные редакции аппаратуры и встроенного программного обеспечения, между «белыми» ящиками, находящимися в одном и том кластере, осуществляется обмен трафиком аутентификации и шифрования и т.п.
Настоящее раскрытие имеет целью создать техническое решение для работающих защищенным образом кластеров на основе «белых» ящиков.
Раскрытие сущности изобретения
Настоящее раскрытие может быть кратко изложено со ссылками на прилагаемую Формулу изобретения.
Целью настоящего раскрытия является создание новых системы и способа обеспечения защищенного способа развертывания и поддержания кластера, содержащего несколько автономных «белых» ящиков, используемых для реализации функциональных возможностей крупномасштабного маршрутизатора.
Другой целью настоящего раскрытия является создание нового способа агрегирования «белых» ящиков, получаемых от различных поставщиков оборудования собственной разработки (ODM), и управления этими агрегированными ящиками как единым объектом с использованием программного обеспечения сетевой операционной системы (NOS) от этих поставщиков защищенным образом, сохраняя при этом возможность выбора членства в кластере.
Еще одной целью настоящего раскрытия является создание новых системы и способа для управления кластером на основе «белых» ящиков.
Другой целью настоящего раскрытия является создание нового способа блокировки попыток неавторизованных устройств присоединиться к кластеру на основе «белых» ящиков.
Другие цели настоящего раскрытия станут очевидными из последующего описания.
Согласно первому варианту настоящего раскрытия предложен способ получения функциональных возможностей защищенной маршрутизации в кластере на основе «белых» ящиков, содержащем множество автономных «белых» ящиков, где по меньшей мере два из этих автономных «белых» ящиков изготовлены разными производителями, и где этот способ содержит идентификацию последовательного номера (serial number (S/N)), ассоциированного с каждым «белым» ящиком, на основе этой идентификации, и инсталлирование каждого из этих «белых» ящиков вместе с программным обеспечением соответствующей компьютерной платформы, ассоциированной с этим «белым» ящиком, для включения в рассматриваемый кластер, определение предварительно задаваемых свойств каждого из соответствующих «белых» ящиков на основе этой идентификации и инсталлирование каждого из указанных «белых» ящиков вместе с соответствующим программным обеспечением компьютерной платформы, содержащим программный агент, разработанный изготовителем рассматриваемого «белого» ящика.
Термин «компьютерная платформа», как он используется в настоящем описании и в формуле изобретения, применяется здесь для обозначения среды, в которой происходит выполнение программного обеспечения. Это может представлять собой аппаратуру или операционную систему (OS), или и то, и другое, и быть ассоциированным с интерфейсами прикладного программирования или другим поддерживающим программным обеспечением, пока эти интерфейсы выполняют программный код. На деле компьютерную платформу можно рассматривать в качестве установки, где может работать программное обеспечение.
Согласно другому варианту способ дополнительно содержит этап подтверждения конфигурации каждого «белого» ящика и/или номера редакции, после идентификации серийного номера, ассоциированного с рассматриваемым «белым» ящиком, в результате чего белый ящик может соответствовать спецификациям и требованиям операционной системы NOS.
Еще в одном варианте способ дополнительно содержит этап ассоциирования каждого белого ящика с идентификацией сетевой операционной системы (NOS), что может в качестве опции неявно указывать, кто является изготовителем каждого соответствующего белого ящика.
Согласно еще одному другому варианту программное обеспечение компьютерной платформы далее содержит сертификацию, осуществляемую изготовителем соответствующего белого ящика, что может быть использовано для подтверждения конфигурации или редакции конфигурации белого ящика.
Согласно еще одному другому вариант предлагаемый способ содержит этапы:
(a) идентификация нового белого ящика в качестве белого ящика, который будет добавлен к кластеру, содержащему множество автономных белых ящиков;
(b) регистрация нового белого ящика в инсталлирующем объекте координатора платформы;
(c) соединение нового белого ящика с сетью связи, где работает маршрутизирующий кластер, к которому должен быть присоединен новый белый ящик, и осуществление контрольного «вызова домой» в адрес инсталлирующего объекта координатора платформы;
(d) извлечение из белого ящика информации относительно по меньшей мере одного из членов группы, куда входят: модель аппаратуры, хэш и номер редакции, и проверка, согласуется ли извлеченная информация с предварительно заданной сертифицированной конфигурацией аппаратуры белого ящика;
(e) развертывание предварительно заданного образа программного обеспечения платформы в новом «белом» ящике, где этот образ программного обеспечения платформы содержит назначенный идентификатор WB-UID и сертификат безопасности изготовителя нового белого ящика;
(f) обновление центра управления соответствующим сетевым облаком с добавлением нового действительного уникального идентификатора белого ящика в список уникальных идентификаторов белых ящиков;
(g) после соединения нового белого ящика с контроллером сетевого облака (NCC), осуществление попытки присоединиться к кластеру путем выполнения процедуры контрольного «вызова домой»;
(h) верификация, внесен ли идентификатор WB-UID, ассоциированный с новым «белым» ящиком, в список в качестве объекта, который может быть выбран для присоединения к конкретному кластеру;
(i) после верификации уникального идентификатора белого ящика инсталлирование сертификата кластера в этом новом «белом» ящике и инсталлирование сетевой операционной системы (NOS) в этом новом «белом» ящике; и
(j) присоединение рассматриваемого нового белого ящика к кластеру и ассоциирование этого нового белого ящика с идентификатором ID указанного кластера с определением роли, которую необходимо выполнять этому рассматриваемому «белому» ящику, пока он является частью операций кластера.
Краткое описание чертежей
Прилагаемые чертежи, включенные сюда и составляющие часть настоящего описания, иллюстрируют ряд вариантов настоящего раскрытия и, совместно с этим описанием, служат для пояснения принципов рассматриваемых здесь вариантов.
Фиг. 1 иллюстрирует упрощенную общую схему сети, содержащей кластер на основе белых ящиков, и построенной в соответствии с одним из вариантов настоящего раскрытия, и этапами, которые необходимо выполнить для добавления нового белого ящика к этому кластеру, и
Фиг. 2 показывает пример логической схемы, иллюстрирующей способ, построенный в соответствии с одним из вариантов настоящего раскрытия.
Осуществление изобретения
Некоторые конкретные подробности и величины в следующем подробном описании относятся к некоторым примерам изобретения. Однако это описание построено только на примерах и не имеет целью ограничить объем изобретения каким-либо образом. Как будет понятно специалистам в рассматриваемой области техники, заявляемые способ и устройство могут быть реализованы посредством других способов, которые сами по себе известны в этой области техники. Кроме того, описываемые варианты содержат различные этапы, не все из которых требуются для всех вариантов изобретения. Объем изобретения может быть суммирован со ссылками на прилагаемую Формулу изобретения.
Фиг. 1 иллюстрирует упрощенную общую схему сети, содержащей кластер на основе белых ящиков, построенной в соответствии с вариантами настоящего раскрытия и этапами, которые должны быть выполнены для добавления нового белого ящика к указанному кластеру. Сетевое облако (1), иллюстрируемое на этом чертеже содержит сетевой координатор (2) и кластер сетевого облака (5). Сетевой координатор (2) в свою очередь содержит инсталляционный блок платформы (3) и центр управления сетевым облаком (4). Кластер сетевого облака (5) в свою очередь содержит локальный контроллер сетевого блока (6), несколько белых ящиков (7) и коммутаторов для управления сетью (8). Работа этих различных элементов поясняется подробно в следующих примерах, описываемых в соединении с Фиг. 2.
Фиг. 2 представляет пример логической схемы, иллюстрирующей способ согласно одному из вариантов настоящего раскрытия. Согласно этому варианту, пример которого показан на Фиг. 2, сначала, новый белый ящик идентифицируют в качестве белого ящика, который нужно добавить к кластеру, содержащему несколько автономных белых ящиков (этап 10). Такая идентификация может быть, например, визуальной идентификацией, осуществляемой инженером, оператором и т.п. Затем этот новый белый ящик регистрируют в инсталляционном блоке координатора платформы (этап 20). В качестве части процедуры регистрации «белому» ящику присваивают уникальный идентификатор белого ящика (WB-UID) и автоматически ассоциируют этот идентификатор с серийным номером (S/N) белого ящика (связывая тем самым серийный номер (S/N) белого ящика с присвоенным ему идентификатором WB-UID). После регистрации инсталляционный блок платформы ожидает, когда белый ящик, имеющий вновь зарегистрированный номер S/N, сделает контрольный «вызов домой».
Затем этот новый белый ящик соединяют с сетью, где работает маршрутизирующий кластер, к которому нужно добавить новый белый ящик, и производят контрольный вызов домой в адрес инсталляционного блока платформы с использованием, например, процедуры среды для развертывания открытой сети (ONIE) (этап 30). Среда ONIE представляет собой «инсталляционную среду» с открытым источником, которая действует в качестве усиленного начального загрузчика, использующего функциональные возможности среды Linux/BusyBox. Эта небольшая операционная система на основе Linux позволяет конечным пользователям и партнерам каналов инсталлировать целевую сетевую операционную систему в качестве части организации центра обработки данных таким способом, чтобы создать серверы.
Инсталляционный блок платформы считывает относящуюся к аппаратуре информацию из белого ящика, извлекает из этой информации указания модели аппаратуры, хэша и номера редакции и верифицирует, что извлеченная информация согласуется с предварительно сертифицированной конфигурацией аппаратуры белого ящика (этап 40). Если определено, что аппаратура белого ящика соответствует требованиям сертификации инсталляционного блока платформы, процедура будет продолжена.
Далее, инсталляционный блок платформы развертывает предварительно заданный образ программного обеспечения платформы в новом «белом» ящике, где этот образ программного обеспечения платформы далее содержит назначенный идентификатор WB-UID. Кроме того, на этом этапе предпочтительно также инсталлируют сертификат безопасности изготовителя нового белого ящика (этап 50).
Инсталляционный блок программного обеспечения платформы обновляет центр управления соответствующим сетевым облаком с добавлением нового действительного уникального идентификатора белого ящика (WB-UID) в указанный список (этап 50). Кластер представляет собой логический объект, определяемый и создаваемый модулем управления сетевым облаком. В процессе такого создания кластеру назначают (присваивают) уникальный идентификатор ID кластера и сертификат кластера. Этому кластеру также назначают список идентификаторов WB-UID для выбираемых белых ящиков, которые квалифицированы для присоединения к кластеру.
Когда новый белый ящик будет соединен (кабелем) с контроллером сетевого облака (NCC), он предпринимает попытку присоединиться к соответствующему кластеру путем осуществления контрольного «вызова домой» (этап 60). Контроллер NCC обрабатывает эту попытку присоединения в изолированном пространстве с целью подтверждения, что новый белый ящик ассоциирован с действительным сертификатом поставщика. С другой стороны, если такую попытку присоединения осуществляет элемент (например, белый ящик), не имеющий действительного сертификата поставщика и идентификатора WB-UID, эта попытка будет автоматически отвергнута.
Если новый белый ящик ассоциирован с действительным сертификатом поставщика, контроллер NCC верифицирует вместе с соответствующим центром управления сетевым облаком (NCM), входит ли идентификатор WB-UID, ассоциированный с рассматриваемым новым белым ящиком, в указанный список в качестве объекта, который может быть выбран для присоединения к рассматриваемому конкретному кластеру. Контроллеру NCM на этом этапе необходимо подтвердить, что ящик с новым идентификатором WB-UID действительно принадлежит рассматриваемому кластеру, с целью перехода к этапу инсталлирования сертификата кластера (этап 70). Если ящик с идентификатором WB-UID не входит в список в качестве объекта, принадлежащего рассматриваемому конкретному кластеру, попытка присоединения будет отвергнута контроллером NCC.
После того как идентификатор WB-UID белого ящика будет верифицирован центром управления сетевым облаком, контроллер NCC инсталлирует сертификат кластера в новом «белом» ящике (этап 80). После инсталлирования сертификата контроллер NCC продолжает работу путем инсталлирования сетевой операционной системы (NOS) в новом «белом» ящике (этап 90).
После этого последнего этапа новый белый ящик оказывается успешно присоединен к кластеру. Он становится ассоциирован с идентификатором ID кластера и получает определение роли, которую он должен будет играть, будучи частью операций кластера (этап 100). Затем белый ящик становится способен начать функционировать при соблюдении соответствия роли, для которой он был включен в состав указанного кластера.
Другие варианты настоящего раскрытия будут ясны для специалистов в рассматриваемой области после изучения настоящего описания и практической реализации описываемого здесь изобретения. Указанное описание и приведенные варианты являются только примерами, так что истинные объем и смысл настоящего раскрытия обозначены прилагаемой формулой изобретения.
| название | год | авторы | номер документа |
|---|---|---|---|
| СПОСОБ КООРДИНАЦИИ ДЕЙСТВИЙ ОБЪЕКТОВ, ФУНКЦИОНИРУЮЩИХ В СЕТЕВОМ ОБЛАКЕ | 2019 |
|
RU2800968C2 |
| ЗАЩИЩЕННАЯ ЗАГРУЗКА И КОНФИГУРИРОВАНИЕ ПОДСИСТЕМЫ С НЕЛОКАЛЬНОГО ЗАПОМИНАЮЩЕГО УСТРОЙСТВА | 2011 |
|
RU2542930C2 |
| СПОСОБЫ И УСТРОЙСТВО ДЛЯ КРУПНОМАСШТАБНОГО РАСПРОСТРАНЕНИЯ ЭЛЕКТРОННЫХ КЛИЕНТОВ ДОСТУПА | 2013 |
|
RU2595904C2 |
| ПРОСТАЯ И ДИНАМИЧЕСКАЯ КОНФИГУРАЦИЯ СЕТЕВЫХ УСТРОЙСТВ | 2004 |
|
RU2383921C2 |
| Способ идентификации абонента с использованием универсального идентификатора мобильной рекламы | 2020 |
|
RU2755812C2 |
| УСТРОЙСТВО ВИРТУАЛЬНОЙ МАШИНЫ, ИМЕЮЩЕЕ УПРАВЛЯЕМУЮ КЛЮЧОМ ОБФУСКАЦИЮ, И СПОСОБ | 2012 |
|
RU2620712C2 |
| Способ идентификации онлайн-пользователя и его устройства в приложении | 2020 |
|
RU2736166C1 |
| Способ идентификации онлайн-пользователя и его устройства | 2020 |
|
RU2740308C1 |
| ПЛАВНЫЕ ПЕРЕХОДЫ ВЫЗОВОВ | 2014 |
|
RU2673697C2 |
| СПОСОБ КОНФИГУРИРОВАНИЯ УЗЛА И УЗЕЛ, СКОНФИГУРИРОВАННЫЙ ТАКИМ СПОСОБОМ | 2014 |
|
RU2669588C2 |
Изобретение относится к способу получения функциональных возможностей защищенной маршрутизации в кластере на основе белых ящиков, содержащем несколько автономных белых ящиков, где по меньшей мере два из этих автономных белых ящиков изготовлены разными производителями. Технический результат – обеспечение блокировки попыток неавторизованных устройств присоединиться к кластеру на основе белых ящиков. Осуществляют идентификацию нового белого ящика в качестве белого ящика, подлежащего добавлению в кластер. Регистрируют указанный белый ящик в инсталляционном блоке координатора платформы, причем, в качестве части процедуры регистрации, белому ящику присваивают уникальный идентификатор белого ящика (WB-UID) и автоматически ассоциируют этот идентификатор с серийным номером (S/N). Выполняют с помощью указанного нового белого ящика контрольный «вызов домой» к указанному инсталляционному блоку. Сравнивают с помощью указанного инсталляционного блока информацию, принятую от указанного нового белого ящика с предварительно сертифицированной конфигурацией аппаратуры белого ящика, и при определении, что аппаратура белого ящика соответствует требованиям сертификации инсталляционного блока, осуществляют инсталлирование указанного нового белого ящика вместе с соответствующим программным обеспечением компьютерной платформы, содержащим программный агент, предоставленный производителем указанного нового белого ящика. 4 з.п. ф-лы, 2 ил.
1. Способ получения функциональных возможностей защищенной маршрутизации в кластере на основе белых ящиков, содержащем множество автономных белых ящиков, причем по меньшей мере два из указанных автономных белых ящиков изготовлены разными производителями, при этом способ содержит этапы, на которых: осуществляют идентификацию нового белого ящика в качестве белого ящика, подлежащего добавлению в кластер, регистрируют указанный белый ящик в инсталляционном блоке координатора платформы, причем в качестве части процедуры регистрации белому ящику присваивают уникальный идентификатор белого ящика (WB-UID) и автоматически ассоциируют этот идентификатор с серийным номером (S/N), выполняют с помощью указанного нового белого ящика контрольный «вызов домой» к указанному инсталляционному блоку, сравнивают с помощью указанного инсталляционного блока информацию, принятую от указанного нового белого ящика с предварительно сертифицированной конфигурацией аппаратуры белого ящика, и при определении, что аппаратура белого ящика соответствует требованиям сертификации инсталляционного блока, осуществляют инсталлирование указанного нового белого ящика вместе с соответствующим программным обеспечением компьютерной платформы, содержащим программный агент, предоставленный производителем указанного нового белого ящика.
2. Способ по п. 1, дополнительно содержащий этап, на котором подтверждают конфигурацию и/или номер редакции каждого белого ящика после идентификации серийного номера, ассоциированного с указанным белым ящиком.
3. Способ по п. 2, дополнительно содержащий этап, на котором ассоциируют каждый белый ящик с идентификацией сетевой операционной системы (NOS).
4. Способ по любому из пп. 1-3, в котором указанное программное обеспечение компьютерной платформы дополнительно содержит сертификацию, обеспеченную производителем соответствующего белого ящика.
5. Способ по любому из пп. 1-4, дополнительно содержащий этапы, на которых:
(a) осуществляют идентификацию нового белого ящика в качестве белого ящика, подлежащего добавлению к кластеру, содержащему множество автономных белых ящиков;
(b) регистрируют новый белый ящик в инсталлирующем объекте координатора платформы;
(c) осуществляют соединение нового белого ящика с сетью связи, в которой функционирует маршрутизирующий кластер, к которому подлежит присоединению новый белый ящик, и осуществляют контрольный «вызов домой» в адрес инсталлирующего объекта координатора платформы;
(d) извлекают из белого ящика информацию, относящуюся по меньшей мере одному из элементов группы, включающей в себя: модель аппаратуры, хэш и номер редакции, и проверяют, согласуется ли извлеченная информация с заданной сертифицированной конфигурацией аппаратуры белого ящика;
(e) осуществляют развертывание заданного образа программного обеспечения платформы в новом белом ящике, причем указанный образ программного обеспечения платформы содержит назначенный идентификатор WB-UID и сертификат безопасности изготовителя нового белого ящика;
(f) обновляют центр управления соответствующим сетевым облаком с добавлением нового действительного уникального идентификатора белого ящика в список уникальных идентификаторов белых ящиков;
(g) осуществляют, после соединения нового белого ящика с контроллером сетевого облака (NCC), попытку присоединиться к кластеру посредством выполнения процедуры контрольного вызова домой;
(h) осуществляют верификацию, внесен ли идентификатор WB-UID, ассоциированный с новым белым ящиком, в список в качестве объекта, который может быть выбран для присоединения к конкретному кластеру;
(i) осуществляют, после верификации уникального идентификатора белого ящика, инсталлирование сертификата кластера в указанном новом белом ящике и инсталлирование сетевой операционной системы (NOS) в указанном новом белом ящике; и
(j) присоединяют указанный новый белый ящик к кластеру и ассоциируют указанный новый белый ящик с ID указанного кластера и определяют роль, подлежащую исполнению указанным белым ящиком, пока он является частью функционирования кластера.
| Изложница с суживающимся книзу сечением и с вертикально перемещающимся днищем | 1924 |
|
SU2012A1 |
| Taimur Bakhshi, State of the Art and Recent Research Advances in Software Defined Networking, Hindawi, Wireless Communications and Mobile Computing, Volume 2017, [Найдено 24.11.2022] в Интернет URL | |||
