一種虛擬數據安全訪問的深度防護方法

一種虛擬數據安全訪問的深度防護方法
【專利摘要】本發明提供一種虛擬數據安全訪問的深度防護方法，可廣泛應用于云計算和各種虛擬化系統的數據存儲與訪問的安全保護，該方法是通過構建分層的縱深安全認證與監控體系，有效提高虛擬存儲系統的安全等級和抗攻擊能力，同時通過對不同用戶和訪問模式采用不同的保護策略，為不同用戶提供不同等級的安全保護服務，滿足不同企業、不同用戶、不同應用對云計算數據服務的差異化安全需求。利用本發明，可顯著提高云計算中心及各種虛擬化系統的數據訪問安全保護水平，即使外層的接入認證被攻破，虛擬存儲安全管理系統借助自身專有的安全訪問控制功能，仍能有效地保護存儲數據的安全。
【專利說明】一種虛擬數據安全訪問的深度防護方法
【技術領域】
[0001]本發明涉及一種應用于云計算和各種虛擬化系統的數據存儲與訪問的安全保護【技術領域】，具體地說是一種虛擬數據安全訪問的深度防護方法。
【背景技術】
[0002]云計算的安全問題已經成為影響云計算應用推廣的重大障礙。在各種云計算安全問題中，又以數據安全最為重要，主要涉及數據存儲安全、數據恢復保護、數據訪問安全等方面。
[0003]特別是對用戶敏感數據和隱私信息的保護保護，是云計算應用的關鍵要求。由于云計算模式下數據資產的所有權和管理權可能分離，客戶將通過互聯網對數據資產進行訪問和使用，同樣黑客、病毒木馬、非法用戶也都可能訪問這些數據，從而造成云計算應用環境下客戶的私密數據、支付賬號、接入密碼等關鍵敏感信息的破壞或泄露，因此客戶對數據資產安全的擔憂已成為云計算應用的普遍安全問題。
[0004]數據存儲安全和數據恢復保護問題已經有許多成熟的解決辦法，如數據鏡像、容災備份等。而對于數據訪問安全問題，由于云計算的虛擬化、多租戶、動態性、邊界模糊等特點，使得各種傳統的加密、防火墻等數據安全技術都難以取得較為理想的效果，因此針對云計算和虛擬化系統安全訪問技術的研究已成為云計算領域的熱點。
[0005]本發明給出了一種云計算數據深度防護模型，為實現云計算數據的安全訪問提供比較完善的技術基礎。

【發明內容】

[0006]本發明的目的是提供一種虛擬數據安全訪問的深度防護方法。
[0007]本發明給出的云計算數據虛擬存儲數據深度防護方法，包括客戶終端、虛擬存儲安全管理、網絡傳送與安全認證、以及用戶終端訪問虛擬存儲系統的安全管理協議幾部分。客戶終端分為可信終端和普通終端二類，均支持接入認證和訪問控制功能；虛擬存儲安全管理系統具有訪問安全管理和數據隔離存儲功能，其中數據隔離由一系列數據安全存儲隔離區或安全密室實現；網絡傳送由互聯網和內網組成，并連接到安全認證中心，包括本地安全認證，或第三方安全認證，具體步驟如下:
1、客戶終端通過網絡訪問虛擬存儲系統中的數據時，首先在用戶安全管理功能的管控下被強行連接到安全認證中心，通過鑒權認證確認訪問者的合法性；
2、對于合法的訪問者，客戶安全管理功能再進一步判斷其類型，如果是可信客戶終端，則直接進入虛擬存儲系統的訪問控制流程，在訪問控制協議的監管之下訪問隔離區的數據；
3、如果是普通客戶終端，在進入訪問控制流程的同時，還要接受客戶訪問安全審計和訪問過程安全監控(比訪問控制更細粒度更嚴格的監測控制)，在這雙重控制之下訪問安全隔離區的數據。[0008]本發明的優異效果:本發明的主要創新點在于給出了一種支持虛擬存儲數據安全訪問的深度防護模型架構，以及相應的虛擬存儲數據安全訪問分類分層控制機制。
[0009]本發明廣泛適用于云計算和各種虛擬化系統的數據存儲安全保護。
[0010]一方面，通過分層的縱深安全認證與監控，能夠顯著提高虛擬存儲系統的安全等級和抗攻擊能力，即使通常的接入認證被攻破，虛擬存儲安全管理系統借助自身專有的安全訪問控制功能，仍能有效地保護存儲數據的安全。
[0011]另一方面，通過對不同用戶和訪問模式采用不同的保護策略，不僅可顯著提高數據訪問的綜合效率，還能提供動態差異化的云安全服務，為不同用戶提供不同等級的安全保護服務，充分滿足不同企業、不同用戶、不同應用對云計算數據服務的差異化安全需求。
【專利附圖】

【附圖說明】
[0012]圖1是虛擬數據訪問深度防護系統的結構示意圖。
【具體實施方式】
[0013]下面給出本發明在實際應用中的實現方法和注意事項；
1)在客戶端上的實現
客戶端的載體可以是PC、筆記本，或者智能手機等。在客戶端上安裝與基于本發明的虛擬存儲安全管理系統適配的客戶端協議控制軟件一主要包括客戶管理、訪問控制、接入認證客戶端軟件，即可具備安全訪問云計算/虛擬存儲系統數據的能力；
2)在云計算虛擬存儲系統上的實現
在云計算虛擬存儲系統上，開發并加載基于本發明的虛擬安全存儲管理系統軟件，使其具有訪問安全管理和數據隔離存儲管理功能。
[0014]訪問安全管理功能模塊具有客戶安全管理/安全服服務策略、客戶訪問安全審計與訪問過程安全監控功能。其中客戶安全管理功能包括對客戶的注冊登記、授權、分類管理、接入認證管理、訪問控制等；安全服務策略主要是對于不同的客戶類別實施不同的安全控制等級，采取不同的安全控制措施；客戶訪問安全審計與訪問過程安全監控，主要用于強化對安全可信度不能確定的普通客戶端訪問的控制。
[0015]以上各項安全管理與控制功能，都應有對應的支持協議，支持數據訪問全過程的端到端安全控制。
[0016]數據隔離存儲管理部分，為更好地適應云計算的動態分布式特性，可采用統一存貯映像下的分區存儲模式，將數據存貯在一系列數據安全存儲隔離區或安全密室內。
[0017]接入安全認證中心的選擇與設置
接入安全認證中心，可以是包含在云計算/虛擬存儲系統中客戶安全管理的一項功能，也可以選擇外部的第三方安全認證。若選擇第三方安全認證方式，則要在客戶安全管理功能中做出相應的設置。
[0018]在上述第I一3條的基礎上，即可對不同的客戶實施分類分層的訪問安全掛歷與控制，實現對云計算虛擬存儲數據的深度防護。
[0019]當然，還可以采用加密技術進一步保護虛擬存儲區中的關鍵數據，不過這不是在本發明關注的重點。
【權利要求】
1.一種虛擬數據安全訪問的深度防護方法，其特征在于:包括客戶終端、虛擬存儲安全管理、網絡傳送與安全認證、用戶終端訪問虛擬存儲系統的安全管理協議幾部分，客戶終端包括可信終端和普通終端二類，均支持接入認證和訪問控制功能；虛擬存儲安全管理系統，具有訪問安全管理和數據隔離存儲功能，其中數據隔離由一系列數據安全存儲隔離區或安全密室實現；網絡傳送由互聯網和內網組成，并連接到安全認證中心，安全認證中心包括本地安全認證或第三方安全認證，具體步驟如下: 1)客戶終端通過網絡訪問虛擬存儲系統中的數據時，首先在用戶安全管理功能的管控下被強行連接到安全認證中心，通過鑒權認證確認訪問者的合法性； 2)對于合法的訪問者，客戶安全管理功能再進一步判斷其類型，如果是可信客戶終端，則直接進入虛擬存儲系統的訪問控制流程，在訪問控制協議的監管之下訪問隔離區的數據； 3)如果是普通客戶終端，在進入訪問控制流程的同時，還要接受客戶訪問安全審計和訪問過程安全監控，在這雙重控制之下訪問安全隔離區的數據。
【文檔編號】H04L29/08GK103795726SQ201410051158
【公開日】2014年5月14日 申請日期:2014年2月14日 優先權日:2014年2月14日
【發明者】苗再良 申請人:浪潮通信信息系統有限公司