一種云計算網絡服務器內核安全訪問方法
【專利摘要】本發明涉及云計算網絡服務器內核安全訪問【技術領域】,特別涉及一種云計算網絡服務器內核安全訪問方法。本發明結合云計算安全的實際要求,利用下一代網絡訪問控制模型(UCON),UCON不僅含有傳統訪問控制模型的能力,而且集合了可信管理和數字權限管理能力。在存儲和文件層用UCON訪問控制模型對系統資源控制。在服務器虛擬化平臺采用可定制裁減的訪問控制模型,對云計算虛擬化安全作防護。在網絡層對DDOS攻擊防范、DNS安全通信監控等,及時發現和禁止非法訪問,保證服務器通信安全。
【專利說明】—種云計算網絡服務器內核安全訪問方法
【技術領域】
[0001]本發明涉及云計算網絡服務器內核安全訪問【技術領域】,特別涉及一種云計算網絡服務器內核安全訪問方法。
【背景技術】
[0002]云計算網絡下的服務器多數部署在云計算中心,作分布式協同計算和集中管理。云計算除了帶來計算和應用的巨大計算能力之外,也給云計算中心數據帶來了安全上的威脅。云計算的服務模式有SaaS (軟件即服務)、PaaS (平臺即服務)和IaaS (基礎架構即服務),除了面臨傳統的數據破壞或丟失、帳號或服務破解、拒絕服務攻擊(Deninal ofService)、惡意軟件入侵、軟件漏洞等安全威脅外,云計算安全面臨的風險還有:特權用戶接入、數據位置、數據加密帶來的隔離或失效、災難數據恢復和隱私暴露危險。云計算虛擬化帶來的資源隔離問題、企業的關鍵數據安全面臨嚴重威脅,云計算網絡的安全需要對數據中心服務器和虛擬化資源在多個層面(發作、防御、響應、及時恢復)作立體全面防御。
[0003]云計算安全要求對身份和訪問管理,對用戶提供信任和安全級別等。低風險數據可以被放心投入云中,高影響或關鍵數據要求系統的訪問控制保護和隱私安全。近年來APT(高級持續威脅)攻擊對網絡造成了嚴重威脅。現在相關組織正在積極制定云計算安全標準及測評體系,本發明在云計算中心服務器系統層、網絡層和應用層建立多層立體防御體系,對云計算服務器安全體系做了可控制研究和實現。資源訪問控制方面采用下一代訪問控制技術(UCON)對云計算資源作保護訪問。在本質上對病毒和惡意軟件做控制,監控和禁用系統關鍵資源。在網絡層面禁止非法進程和端口等訪問服務器,禁止隱藏通道的非法應用。防止DDoS攻擊等。云計算提供商提供對數據監管的機制,包括監控、授權和訪問控制等。系統對監管和訪問控制提供了審計機制。可信計算技術包括如下要求:確保系統資源和數據完整性;數據安全存儲和可信網絡連接等。云計算資源有數量巨多、分布離散、調度頻繁、對安全要求高等特征。
[0004]傳統基于屬性訪問的控制模型不能滿足云安全的復雜要求,UCON (usagecontrol)訪問控制技術除了具有傳統的訪問控制模型外,還增加了義務(Obligations)、條件(Conditions)等因素。對訪問的信任度和引用計數等作控制,信任度不同,則訪問權限不同。引用計數到一定值時,更多的資源訪問會被禁止。虛擬化安全的防范采用和UCON訪問控制近似的方法,針對虛擬化存儲等特點作了定制剪裁。虛擬化網絡的安全在傳輸層和會話層作訪問控制。
[0005]目前的服務器資源訪問技術,采用對主機的進程、文件、注冊表等資源在內核層作訪問控制。在云計算的復雜環境下,服務器內核加固技術對信用等級、分布式計算存儲和基于Internet的訪問控制能力明顯不足。
【發明內容】
[0006]為了解決現有技術的問題,本發明基于下一代訪問控制模型,在主體客體屬性等方面又添加了新的訪問控制元素,増加了信用管理和關鍵資源的引用計數等,在訪問數量達到一定級別時,采取禁止訪問等策略,在網絡訪問方面,加強對服務器通信的監控,監控異常流量和DNS流量等,對非法通信的禁止等。
[0007]本發明所采用的技術方案如下:
一種云計算網絡服務器內核安全訪問方法,包括在存儲和文件層用采用下一代訪問控制技術的訪問控制模型對系統資源控制;在服務器虛擬化平臺采用可定制裁減的訪問控制模型,對云計算虛擬化安全作防護。
[0008]方法具體包括用戶訪問云計算服務器和虛擬化服務器時的控制方法和云計算服務器和虛擬機網絡訪問控制時的控制方法。
[0009]用戶訪問云計算服務器和虛擬化服務器時的控制方法包括:
Al、身份和域等認證;
B1、根據用戶身份、信任度和資源引用計數等得到資源訪問權限;
Cl、訪問前,訪問中和訪問后滿足相應的條件可改變主體和客體的屬性,執行相應的權利和義務;
D1、在內核層對關鍵資源訪問做比對,作相應的只讀、可寫或禁用等操作;
E1、虛擬化系統安全采用定制剪裁的訪問控制策略,根據虛擬機的存儲等特征保證安全。
[0010]云計算服務器和虛擬機網絡訪問控制時的控制方法包括:
A2、網絡安全域劃分及邊界防護、網絡資源的訪問控制;
B2、遠程接入安全;
C2、DDoS攻擊危險及防御,禁止非法接入設備;
D2、網絡安全審計系統;
E2、虛擬機上的網絡控制在傳輸層作控制,禁止非法通信。
[0011]本發明的云計算網絡服務器內核安全訪問技術,主要用于云計算數據中心的服務器安全。包括有安全內核訪問技術(基于文件和網絡驅動)、UC0N(usage control)訪問控制技術、服務器端模塊和基礎設施模塊等。
[0012]安全內核訪問技術,指利用下一代訪問控制技術(UCON),對系統各類資源在云計算復雜環境下作控制的技木。
[0013]下一代訪問控制技術(UCON):在信息資源多祥化、精確化需求的今天,用授權、義務、條件等各種決策對資源訪問作動態控制,實現了信用度和資源引用技術訪問控制。
[0014]服務端模塊是用來與內核驅動通信和與遠程訪問客戶端通信。
[0015]基礎設施模塊,用于管理員用戶與服務端通信,調用各類資源。提供與用戶交互和計算的模塊。
[0016]資源訪問控制策略,采用身份認證與身份管理策略和UCON控制。數據泄露控制和隱私保護。利用文件系統驅動和網絡驅動技術,在系統底層做訪問控制過濾。構建可信的云計算服務器平臺,對關鍵數據的訪問提供訪問控制和審計日志等功能。
[0017]本發明通過UCON (Usage Control)訪問控制策略對云計算中心服務器資源做控制,對訪問服務器用戶除了傳統的訪問控制策略,結合云計算安全的實際要求,在信用度和引用計數等方面做了屬性的控制。在安全通信方面,采用對IPv4/IPv6協議兼容的網絡防范體系結構。對網絡非法進程作通信禁止。對網絡異常流量做檢測,對異常的DNS等通信做檢測和禁止。
[0018]本發明是在在參考《云計算標準化白皮書》、《IS0/IEC JTCl SC38—17788、17789》、可信計算機系統評測標準TCSEC等國際標準、信息安全等級保護國家標準后,采用下一代訪問控制UCON模型對服務器資源作控制,利用可剪裁定制的訪問控制對虛擬化資源做管理。在云計算系統內對資源采取UCON訪問控制和可信計算等方法,在本質上對病毒和惡意軟件做控制,監控或禁用系統資源。在不同的安全管理域,用戶有不同的資源和權限。訪問域需要作統一身份認證管理,采用UCON作訪問控制策略。對服務器資源(存儲資源、文件進程、注冊表、用戶服務等)除了作傳統的訪問控制外,增加了信用度和引用計數等約束屬性。依照下一代訪問控制模型,增加了義務和條件的限制。對網絡資源的訪問采用進程、地址/端口、流量等規則限制和監控。監控異常流量和特殊協議(如DNS)的異常通信。對虛擬機資源的網絡訪問也可作監控等。
[0019]本發明提供的技術方案帶來的有益效果是:
本發明結合云計算安全的實際要求,利用下一代網絡訪問控制模型(UCON),UCON不僅含有傳統訪問控制模型的能力,而且集合了可信管理和數字權限管理能力。在存儲和文件層用UCON訪問控制模型對系統資源控制。在服務器虛擬化平臺采用可定制裁減的訪問控制模型,對云計算虛擬化安全作防護。在網絡層對DDOS攻擊防范、DNS安全通信監控等,及時發現和禁止非法訪問,保證服務器通信安全。
【專利附圖】
【附圖說明】
[0020]圖1為本發明的一種云計算網絡服務器內核安全訪問方法的方法框圖;
圖2為本發明的一種云計算網絡服務器內核安全訪問方法的UCON訪問控制模型示意圖。
【具體實施方式】
[0021]為使本發明的目的、技術方案和優點更加清楚,下面將結合附圖對本發明實施方式作進一步地詳細描述。
[0022]本實施例應用于云計算服務器內,在驅動內核層對資源作訪問控制。參照安全操作系統的可信操作分級標準,采用UCON (usage control)訪問控制技術,UCON基本元素包括:主體、客體權限和與授權相關的元素:條件(授權規則)和義務,條件有信任度,資源引用計數等。系統在訪問云計算資源時,根據用戶的信任度、引用技術和強制訪問控制規則對訪問的客體進行授權,作只讀、禁用等操作。
[0023]網絡通信安全方面采用驅動底層NDIS (網絡驅動接口規范)技術,實現服務器安全網關功能。對網絡通信作高速封包過濾和非法通信禁止。監控異常流量,發現DNS通信異常。全面保護云計算資源安全。
[0024]本發明的工作原理如下:
1、在訪問云服務器資源時,訪問控制過程為:
Al.身份認證和權限分配;
B1.得到服務器上的資源信息,用UCON訪問控制模型設置訪問規則。在客戶端基礎設施模塊設置用戶的主體、客體、權限、信任度、引用計數等;
Cl.客戶端基礎設施模塊根據服務器上的資源信息和UCON相關規則等發送到服務器端設置和保存規則;
Dl.主體屬性包括用戶編號、使用權限、信任度和引用計數和使用資源的主體名稱; El.客體包括云數據中心的存儲實體,文件系統上的文件夾、文件及進程、注冊表、服務
等;
Fl.訪問虛擬資源可用定制剪裁相應的屬性和訪問控制,適于對虛擬環境存儲和計算要求;
Gl.在內核層采用文件系統驅動技術構建攔截驅動,利用IRP HOOK技術攔截相關的IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE 和 IRP_MJ_SETINF0RMAT10N 等;
H1.在運行指定的客體時,比較相應的主、客體屬性。并按照相應的權限運行,禁用、只
讀等;
11.根據需要記錄審計信息,包括主體、客體、屬性和動作等。在驅動層發送給應用層,包括信用度和引用計數等信息。應用層寫入相應的分布式數據庫;
Jl.在客戶端可通過瀏覽器等查詢服務器安全審計日志,下發相應資源規則;
2、在服務器網絡接入時,網絡訪問控制的流程為:
A2.采用NDIS底層驅動對封包攔截和監控;
B2.在虛擬環境,采用傳輸層對封包和通信作訪問控制的策略;
C2.檢測網絡流量和異常通信;
D2.對IPv4和IPv6協議作封包過濾和通信監控;
E2.得到通信進程相關信息,監測異常流量;
F2.采用狀態檢測技術,提高比對效率;
G2.監測DNS異常通信,并反饋到應用層;
H2.網絡攻擊導致DNS通信異常,對DNS查詢通信數據包流中測量指標實時檢測;
12.超出閥值,則對應用層作異常報警;
J2.根據進程、網絡通信五元組(源/目的地址、源/目的端口和協議號)等對數據包通信作監控和過濾等。
[0025] 以上所述僅為本發明的較佳實施例,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
【權利要求】
1.一種云計算網絡服務器內核安全訪問方法,包括在存儲和文件層用采用下一代訪問控制技術的訪問控制模型對系統資源控制;在服務器虛擬化平臺采用可定制裁減的訪問控制模型,對云計算虛擬化安全作防護。
2.根據權利要求1所述的ー種云計算網絡服務器內核安全訪問方法,其特征在于,所述方法具體包括用戶訪問云計算服務器和虛擬化服務器時的控制方法和云計算服務器和虛擬機網絡訪問控制時的控制方法。
3.根據權利要求2所述的ー種云計算網絡服務器內核安全訪問方法,其特征在于,所述用戶訪問云計算服務器和虛擬化服務器時的控制方法包括: Al、身份和域等認證; B1、根據用戶身份、信任度和資源引用計數等得到資源訪問權限; Cl、訪問前,訪問中和訪問后滿足相應的條件可改變主體和客體的屬性,執行相應的權利和義務; D1、在內核層對關鍵資源訪問做比對,作相應的只讀、可寫或禁用等操作; E1、虛擬化系統安全采用定制剪裁的訪問控制策略,根據虛擬機的存儲等特征保證安全。
4.根據權利要求2所述的ー種云計算網絡服務器內核安全訪問方法,其特征在于,所述云計算服務器和虛擬機網絡訪問控制時的控制方法包括: A2、網絡安全域劃分及邊界防護、網絡資源的訪問控制; B2、遠程接入安全; C2、DDoS攻擊危險及防御,禁止非法接入設備; D2、網絡安全審計系統; E2、虛擬機上的網絡控制在傳輸層作控制,禁止非法通信。
【文檔編號】H04L29/08GK103457958SQ201310426860
【公開日】2013年12月18日 申請日期:2013年9月18日 優先權日:2013年9月18日
【發明者】陳偉東, 王超, 徐崢, 邢希雙 申請人:浪潮電子信息產業股份有限公司