一種基于分布式實施的云計算強制訪問控制方法
【技術領域】
[0001]本發明涉及計算機技術領域,具體地說是一種實用性強、基于分布式實施的云計算強制訪問控制方法。
【背景技術】
[0002]云計算是一種基于互聯網的大眾參與的計算模式,其計算資源包括計算能力、存儲能力、交互能力等,都是動態的,被虛擬化了的,而且是以服務的方式提供。在這個特殊的云計算環境下,如何保證存儲在云上的數據的安全,將是云計算面臨的一個大問題。此外,云計算的另外一個特點開放性同樣為云計算安全帶來了挑戰。開放性主要體現在服務對用戶的開放性和內部接口對外調用的開放性。開放性下身份驗證機制相對薄弱,這就使得惡意用戶可以通過合法的途徑進入云計算環境并進行攻擊以竊取需要的信息,良性的云計算環境也可能被非法用戶用于不正當用途。因此,云計算應用模式下的移動互聯網安全問題及關鍵安全技術研究,對完善移動互聯網安全技術體系保障移動互聯網演進安全具有重要的意義。
[0003]互聯網絡的蓬勃發展,為信息資源的共享提供了更加完善的手段,企業在信息資源共享的同時也要阻止非授權用戶對企業敏感信息的訪問。訪問控制的目的是為了保護企業在信息系統中存儲和處理的信息的安全。訪問控制可分為自主訪問控制和強制訪問控制兩大類。
[0004]自主訪問控制,是指由用戶有權對自身所創建的訪問對象(文件、數據表等)進行訪問,并可將對這些對象的訪問權授予其他用戶和從授予權限的用戶收回其訪問權限。
[0005]強制訪問控制,是指由系統(通過專門設置的系統安全員)對用戶所創建的對象進行統一的強制性控制,按照規定的規則決定哪些用戶可以對哪些對象進行什么樣操作系統類型的訪問,即使是創建者用戶,在創建一個對象后,也可能無權訪問該對象。
[0006]訪問控制模型是一種從訪問控制的角度出發,描述安全系統,建立安全模型的方法。目前比較成熟的訪問控制模型主要有:基于對象的訪問控制、基于任務的訪問控制、基于角色的訪問控制。
[0007]云計算虛擬化技術與傳統虛擬化最大的不同就是開放性帶來的多租戶共享計算資源,整個虛擬化平臺或客戶虛擬機受到惡意用戶從內部攻擊的可能性就會大幅提高。目前,云計算虛擬化面臨的主要安全威脅有虛擬機逃逸等。在傳統虛擬化技術中,針對虛擬機逃逸大多采用監控的方式來發現并阻止危險的發生。監控機制的一種思路通過虛擬機環境所提供的Hypervisor層從客戶虛擬機所處環境之外對其進行監控。這類機制可以有效地保護安全部件免遭篡改,同時這一方式對監控環境的影響較小,方便透明實現,在系統的兼容性上也有優勢。
[0008]然而云計算與傳統單機虛擬化環境架構的不同,控制權由Hypervisor向控制節Controller轉移。傳統的虛擬機監控機制設計在計算節點Hypervisor中,難以有效與云控制節點上虛擬機管理控制流程銜接,會出現安全鏈斷裂而無法保證虛擬機整個生命周期的安全,并不能很好地在云計算場景中發揮作用。基于此,現提供一種基于U-Key的操作系統安全加固軟件的基于分布式實施的云計算強制訪問控制方法,該方法采用新的云計算虛擬機監控機制,該機制一種集中管理,分布式實施的監控機制,在控制節點增加對計算節點監控機制的管理和配置,并且介入虛擬機創建流程,對虛擬機整個生命周期提供保護,而訪問控制的具體執行仍在計算節點上。
【發明內容】
[0009]本發明的技術任務是針對以上不足之處,提供一種實用性強、基于分布式實施的云計算強制訪問控制方法。
[0010]—種基于分布式實施的云計算強制訪問控制方法,其具體實現過程為:在計算節點上,設置兩個功能模塊,即訪問控制配置模塊和訪問控制執行模塊;其中:
訪問控制配置模塊工作在各個計算節點的宿主操作系統中,負責與云控制節點安全管理模塊通信,接收命令完成對本計算節點的訪問控制執行機制的配置及管理;
訪問控制執行模塊負責訪問控制機制的具體執行,運行在Hypervisor層,訪問控制執行模塊負責監控到客戶虛擬機對系統資源的訪問。
[0011]所述訪問控制配置模塊的具體工作過程為:
接收控制節點安全管理模塊發送的命令及數據,包括安全策略數據及更新命令、用戶虛擬機標簽的添加;
當通信模塊接收到這些命令后,對這些數據進行處理并調用接口部署Hypervisor ;命令執行完成后,通信模塊得到執行模塊返回的結果或數據,然后對結果或數據進行包裝,發送到控制節點的管理模塊。
[0012]訪問控制執行模塊的工作過程為,通過鉤子函數在計算節點上對虛擬機資源的訪問進行強制訪問控制,當計算節點的虛擬機需要對任意系統資源進行訪問時,訪問控制執行模塊截獲這一訪問請求,之后根據配置模塊加載的安全策略來判斷是否允許該訪問。
[0013]本發明的一種基于分布式實施的云計算強制訪問控制方法,具有以下優點:
本發明的一種基于分布式實施的云計算強制訪問控制方法,基于集中管理、分布式實施,執行在計算節點虛擬化層,直接監控虛擬機對虛擬資源的訪問;但對訪問控制的管理工作存在于云管理節點,這樣就可以有更加全面完整的視角監控虛擬機在云中創建流程,從而可以在虛擬機生命周期開始就配置訪問控制機制對其進行保護;在Hypervisor中虛擬機對虛擬資源的訪問操作處理中已加入鉤子函數,每當虛擬機需要對虛擬資源進行訪問時,鉤子函數會截獲這一訪問請求,并判斷虛擬機是否具有訪問權限;訪問控制機制的目的是發現惡意用戶行為,實現對虛擬資源的保護;基于分布式實施的云計算強制訪問機制解決了將一般虛擬機監控機制運用在云環境中時監控機制運行在計算節點時與控制節點間的信息斷層問題,實用性強,易于推廣。
【附圖說明】
[0014]附圖1為訪問控制配置模塊工作流程圖。
[0015]附圖2為訪問控制執行模塊執行流程圖。
【具體實施方式】
[0016]下面結合附圖和具體實施例對本發明作進一步說明。
[0017]本發明提供一種基于分布式實施的云計算強制訪問控制方法,如附圖1、圖2所示,其具體實現過程為:在計算節點上,設置兩個功能模塊,即訪問控制配置模塊和訪問控制執行模塊;其中:
訪問控制配置模塊工作在各個計算節點的宿主操作系統DomO中,負責與云控制節點安全管理模塊通信,接收命令完成對本計算節點的訪問控制執行機制的配置及管理,訪問控制配置模塊的該模塊是將在云計算環境中實現訪問控制的關鍵部件之一,起到了紐帶作用,訪問控制配置模塊流程如圖1所示。
[0018]所述訪問控制配置模塊的具體工作過程為:
接收控制節點安全管理模塊發送的命令及數據,包括安全策略數據及更新命令、用戶虛擬機標簽的添加;
當通信模塊接收到這些命令后,對這些數據進行處理并調用接口部署Hypervisor ;命令執行完成后,通信模塊得到執行模塊返回的結果或數據,然后對結果或數據進行包裝,發送到控制節點的管理模塊。
[0019]訪問控制執行模塊負責訪問控制機制的具體執行,運行在Hypervisor層,訪問控制執行模塊負責監控到客戶虛擬機對系統資源的訪問。
[0020]訪問控制執行模塊的工作過程為,通過鉤子函數在計算節點上對虛擬機資源的訪問進行強制訪問控制,當計算節點的虛擬機需要對任意系統資源進行訪問時,訪問控制執行模塊截獲這一訪問請求,之后根據配置模塊加載的安全策略來判斷是否允許該訪問,訪問控制工作流程如圖2所示。
[0021]上述【具體實施方式】僅是本發明的具體個案,本發明的專利保護范圍包括但不限于上述【具體實施方式】,任何符合本發明的一種基于分布式實施的云計算強制訪問控制方法的權利要求書的且任何所述技術領域的普通技術人員對其所做的適當變化或替換,皆應落入本發明的專利保護范圍。
【主權項】
1.一種基于分布式實施的云計算強制訪問控制方法,其特征在于,其具體實現過程為: 在計算節點上,設置兩個功能模塊,即訪問控制配置模塊和訪問控制執行模塊;其中:訪問控制配置模塊工作在各個計算節點的宿主操作系統中,負責與云控制節點安全管理模塊通信,接收命令完成對本計算節點的訪問控制執行機制的配置及管理; 訪問控制執行模塊負責訪問控制機制的具體執行,運行在Hypervisor層,訪問控制執行模塊負責監控到客戶虛擬機對系統資源的訪問。2.根據權利要求1所述的一種基于分布式實施的云計算強制訪問控制方法,其特征在于,所述訪問控制配置模塊的具體工作過程為: 接收控制節點安全管理模塊發送的命令及數據,包括安全策略數據及更新命令、用戶虛擬機標簽的添加; 當通信模塊接收到這些命令后,對這些數據進行處理并調用接口部署Hypervisor ;命令執行完成后,通信模塊得到執行模塊返回的結果或數據,然后對結果或數據進行包裝,發送到控制節點的管理模塊。3.根據權利要求1所述的一種基于分布式實施的云計算強制訪問控制方法,其特征在于,所述訪問控制執行模塊的工作過程為,通過鉤子函數在計算節點上對虛擬機資源的訪問進行強制訪問控制,當計算節點的虛擬機需要對任意系統資源進行訪問時,訪問控制執行模塊截獲這一訪問請求,之后根據配置模塊加載的安全策略來判斷是否允許該訪問。
【專利摘要】本發明公開了一種基于分布式實施的云計算強制訪問控制方法,其實現過程為:在計算節點上,設置兩個功能模塊,即訪問控制配置模塊和訪問控制執行模塊;其中訪問控制配置模塊工作在各個計算節點的宿主操作系統中,負責與云控制節點安全管理模塊通信,接收命令完成對本計算節點的訪問控制執行機制的配置及管理;訪問控制執行模塊負責訪問控制機制的具體執行,運行在Hypervisor層,訪問控制執行模塊負責監控到客戶虛擬機對系統資源的訪問。該一種基于分布式實施的云計算強制訪問控制方法與現有技術相比,可以有更加全面完整的視角監控虛擬機在云中創建流程,從而可以在虛擬機生命周期開始就配置訪問控制機制對其進行保護,實用性強,易于推廣。
【IPC分類】G06F9/455
【公開號】CN105335212
【申請號】CN201510691631
【發明人】曹玲玲
【申請人】浪潮電子信息產業股份有限公司
【公開日】2016年2月17日
【申請日】2015年10月23日