CN105978915A - 一种基于云资源控制的安全隔离方法 - Google Patents

一种基于云资源控制的安全隔离方法 Download PDF

Info

Publication number
CN105978915A
CN105978915A CN201610566834.8A CN201610566834A CN105978915A CN 105978915 A CN105978915 A CN 105978915A CN 201610566834 A CN201610566834 A CN 201610566834A CN 105978915 A CN105978915 A CN 105978915A
Authority
CN
China
Prior art keywords
virtual machine
node
cloud
calculating
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610566834.8A
Other languages
English (en)
Inventor
曹玲玲
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Electronic Information Industry Co Ltd
Original Assignee
Inspur Electronic Information Industry Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Electronic Information Industry Co Ltd filed Critical Inspur Electronic Information Industry Co Ltd
Priority to CN201610566834.8A priority Critical patent/CN105978915A/zh
Publication of CN105978915A publication Critical patent/CN105978915A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开一种基于云资源控制的安全隔离方法,涉及云计算虚拟化安全领域,利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离。本发明可以在很大程度上避免恶意用户对同一物理平台上其他利益相关用户的信息进行窃取,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动,提高了云计算平台下用户数据信息的安全性。

Description

一种基于云资源控制的安全隔离方法
技术领域
本发明涉及云计算虚拟化安全领域,具体的说是一种基于云资源控制的安全隔离方法。
背景技术
随着信息网络的快速发展,很多企业、单位及政府机关纷纷构建自己的内部网络系统,并通过各种方式接入到互联网来获取数据。然而,不同敏感级网络间通信常常带来敏感数据泄漏风险,尤其像政府、银行等较高安全级网络,如果内部敏感数据遭到泄漏,后果不堪设想。进入云计算时代使得泄露事件层出不穷,如何保证云服务商自身内部的安全管理,如何避免云计算环境中客户共享带来的潜在风险,这些都是云计算环境下用户的安全顾虑。其中,虚拟机系统作为云计算的基础设施,又会成为这些攻击的一个主要目标。鉴于此,对虚拟化系统的安全问题开展了大量研究工作,但是这些安全研究工作大多是针对单机虚拟化环境进行的,难以适应云计算场景的要求。
云计算与传统IT最大的区别在于虚拟的计算环境,虚拟机是共享硬件资源的,所以在相同的云计算区域内运行虚拟机可能会导致数据信息的泄露,因此,当确保虚拟机实例安全性时,请务必隔离虚拟机在不同的云计算区域内运行。在传统虚拟化技术中,对于隐通道导致的信息泄露的问题,传统虚拟化环境由于虚拟机不可避免地共享同一物理平台,此类问题难以得到很好的解决。在云计算这一定位于商用的服务模式中,通过这一方式尝试窃取其他用户信息的情况大多存在于利益相关或有利益冲突的用户间。
发明内容
本发明针对目前技术发展的需求和不足之处,提供一种基于云资源控制的安全隔离方法。
本发明所述一种基于云资源控制的安全隔离方法,解决上述技术问题采用的技术方案如下:所述一种基于云资源控制的安全隔离方法,利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离,来阻断信息流进而克服隐通道问题。
优选的,在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上。
优选的,在虚拟机创建或迁移时,根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机。
优选的,该安全隔离方法的具体工作流程包括:
1)虚拟机创建请求;
2)分配虚拟机基本信息;
3)根据资源要求对计算节点进行筛选,得到满足用户资源要求的计算节点列表;
4)从安全管理模块中获取虚拟机的安全标签、冲突集信息;
5)根据安全规划对计算节点筛选,挑选出符合安全规则的计算节点列表返回;
6)从符合安全规则的计算节点列表中选出一个计算节点建立虚拟机;
7)安全管理模块记录虚拟机标签信息及建立该虚拟机的计算节点信息;
9)下发虚拟机创建命令,并发送数据到建立虚拟机的计算节点,完成虚拟机的创建。
优选的,步骤5)根据云平台各计算节点虚拟机运行状态表,对要求建立的虚拟机标签及安全策略进行比对,挑选出符合安全规则的计算节点列表返回。
本发明所述一种基于云资源控制的安全隔离方法与现有技术相比具有的有益效果是:本发明安全隔离方法通过对云计算节点进行资源控制,根据用户提供的可安全要求,将利益相关用户的虚拟机运行在不同计算节点上进行隔离,可以在很大程度上避免恶意用户对同一物理平台上其他利益相关用户的信息进行窃取,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动,提高了云计算平台下用户数据信息的安全性。
说明书附图
附图1为所述安全隔离方法的工作流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本发明所述一种基于云资源控制的安全隔离方法进一步详细说明。
为了避免云计算环境中客户共享带来的潜在风险(内部敏感数据遭到泄漏),保证云服务商自身内部的安全管理,发明提出一种基于云资源控制的安全隔离方法,根据云计算环境的要求,设计基于云计算资源控制的隔离机制,来保护客户虚拟机的安全。该安全隔离方法采用对云计算资源进行控制的方式来实现虚拟机的隔离,实现了多策略安全模型,工作在云控制节点上,通过控制虚拟机启动过程的基础设施资源( 即计算节点)分配来隔离虚拟机, 并非对虚拟机进行直接保护,而是在虚拟机创建时通过介入虚拟机的创建和迁移过程,将利益相关用户的虚拟机建立在不同的计算节点上进行隔离,来杜绝隐通道带来的非法信息流动。
实施例:
本实施例所述一种基于云资源控制的安全隔离方法,利用云计算的多计算节点架构,设置一基于云资源控制的隔离机制,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动。
本实施例所述安全隔离方法,在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上,从而避免信息泄露。
在虚拟机创建或迁移时,隔离机制会根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机,使得新虚拟机不会被创建在这些计算节点上,从而避免非法的信息流动。
本实施例所述安全隔离方法中,从虚拟机创建流程开始,云计算的安全隔离方法提供启动前的预保护来解决隐通道问题,会对整个虚拟机的生命周期进行保护;同时,云计算通过访问控制机制对客户虚拟机资源提供运行时的保护。云计算的安全管理模块提供管理、策略部署和数据维护等功能;并由云计算的安全管理模块进行安全数据维护、安全策略配置等管理及辅助工作,使得访问控制机制和安全隔离方法有效协同运行在云计算环境中,对客户虚拟机进行保护。
附图1为所述安全隔离方法的工作流程图,如附图1所示,其具体工作流程主要包括如下步骤:
1)虚拟机创建请求:通过API调用发来启动虚拟机命令及部分虚拟机基本要求,如资源要求等;
2)分配虚拟机基本信息:云控制节点收到这些数据后执行启动初始化工作,分配其他基本信息如虚拟机UUID等;
3)根据资源要求等对计算节点进行筛选:云控制节点将根据用户对资源如内存的要求开始对计算节点筛选,得到满足用户资源要求的计算节点列表;
4)通过隔离机制提供的接口将虚拟机信息及3)中计算节点列表传递到给控制流程中;
5)从安全管理模块中获取虚拟机的安全标签、冲突集信息等;
6)根据安全规划对计算节点筛选:根据平台各个计算节点虚拟机运行状态表,对要求建立的虚拟机标签及安全策略进行比对,挑选出符合安全规则的计算节点列表返回;
7)从符合安全规则的计算节点列表中选出一个计算节点建立虚拟机;
8)安全管理模块记录虚拟机标签信息及建立该虚拟机的计算节点信息,以备后续虚拟机创建流程使用;
9)下发虚拟机创建命令及数据到建立虚拟机的计算节点,完成虚拟机的创建。
上述具体实施方式仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述具体实施方式,任何符合本发明的权利要求书的且任何所属技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。

Claims (5)

1.一种基于云资源控制的安全隔离方法,其特征在于, 利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离。
2.根据权利要求1所述一种基于云资源控制的安全隔离方法,其特征在于, 在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上。
3.根据权利要求2所述一种基于云资源控制的安全隔离方法,其特征在于, 在虚拟机创建或迁移时,根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机。
4.根据权利要求3所述一种基于云资源控制的安全隔离方法,其特征在于, 该安全隔离方法的具体工作流程包括:
1)虚拟机创建请求;
2)分配虚拟机基本信息;
3)根据资源要求对计算节点进行筛选,得到满足用户资源要求的计算节点列表;
4)从安全管理模块中获取虚拟机的安全标签、冲突集信息;
5)根据安全规划对计算节点筛选,挑选出符合安全规则的计算节点列表返回;
6)从符合安全规则的计算节点列表中选出一个计算节点建立虚拟机;
7)安全管理模块记录虚拟机标签信息及建立该虚拟机的计算节点信息;
9)下发虚拟机创建命令,并发送数据到建立虚拟机的计算节点,完成虚拟机的创建。
5.根据权利要求4所述一种基于云资源控制的安全隔离方法,其特征在于, 步骤5)根据云平台各计算节点虚拟机运行状态表,对要求建立的虚拟机标签及安全策略进行比对,挑选出符合安全规则的计算节点列表返回。
CN201610566834.8A 2016-07-19 2016-07-19 一种基于云资源控制的安全隔离方法 Pending CN105978915A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610566834.8A CN105978915A (zh) 2016-07-19 2016-07-19 一种基于云资源控制的安全隔离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610566834.8A CN105978915A (zh) 2016-07-19 2016-07-19 一种基于云资源控制的安全隔离方法

Publications (1)

Publication Number Publication Date
CN105978915A true CN105978915A (zh) 2016-09-28

Family

ID=56951747

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610566834.8A Pending CN105978915A (zh) 2016-07-19 2016-07-19 一种基于云资源控制的安全隔离方法

Country Status (1)

Country Link
CN (1) CN105978915A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107368354A (zh) * 2017-08-03 2017-11-21 致象尔微电子科技(上海)有限公司 一种虚拟机安全隔离方法
CN108200073A (zh) * 2018-01-12 2018-06-22 阳光保险集团股份有限公司 一种敏感数据安全保护系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2244204A1 (en) * 2009-04-23 2010-10-27 Novell, Inc. Securely hosting workloads in virtual computing environments
CN102110071A (zh) * 2011-03-04 2011-06-29 浪潮(北京)电子信息产业有限公司 一种虚拟机集群系统及其实现方法
EP2372974A1 (fr) * 2010-04-02 2011-10-05 Matthias Jung Procédé de sécurisation de données et/ou des apllications dans une architecture informatique en nuage
CN105262776A (zh) * 2015-11-13 2016-01-20 浪潮电子信息产业股份有限公司 一种基于标记及策略的云安全管理方法
CN105589731A (zh) * 2015-09-16 2016-05-18 杭州华三通信技术有限公司 一种虚拟机迁移方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2244204A1 (en) * 2009-04-23 2010-10-27 Novell, Inc. Securely hosting workloads in virtual computing environments
EP2372974A1 (fr) * 2010-04-02 2011-10-05 Matthias Jung Procédé de sécurisation de données et/ou des apllications dans une architecture informatique en nuage
CN102110071A (zh) * 2011-03-04 2011-06-29 浪潮(北京)电子信息产业有限公司 一种虚拟机集群系统及其实现方法
CN105589731A (zh) * 2015-09-16 2016-05-18 杭州华三通信技术有限公司 一种虚拟机迁移方法和装置
CN105262776A (zh) * 2015-11-13 2016-01-20 浪潮电子信息产业股份有限公司 一种基于标记及策略的云安全管理方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
乔然,胡俊,荣星: "云计算客户虚拟机间的安全机制研究与实现", 《计算机工程》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107368354A (zh) * 2017-08-03 2017-11-21 致象尔微电子科技(上海)有限公司 一种虚拟机安全隔离方法
CN107368354B (zh) * 2017-08-03 2021-02-02 海光信息技术股份有限公司 一种虚拟机安全隔离方法
CN108200073A (zh) * 2018-01-12 2018-06-22 阳光保险集团股份有限公司 一种敏感数据安全保护系统

Similar Documents

Publication Publication Date Title
CN104239814B (zh) 一种移动办公安全方法及系统
US10057113B2 (en) Techniques for workload coordination
US9436813B2 (en) Multi-tenancy support for a product that does not support multi-tenancy
CN106789432A (zh) 基于自主可控云平台技术的测试系统
CN104781783B (zh) 在现有计算环境中部署的集成计算平台
CN108737468A (zh) 云平台服务集群、构建方法及装置
CN103065086A (zh) 应用于动态虚拟化环境的分布式入侵检测系统及方法
EP2932381A1 (en) Computer-implemented method, system and computer program product for deploying an application on a computing resource
KR20170024606A (ko) 소프트웨어 정의 네트워크 중의 서비스 편성 방법 및 장치, 저장 매체
CN104333556B (zh) 基于资源服务管理系统安全认证网关分布式配置管理方法
CN103067356B (zh) 保障业务虚拟机安全的系统及方法
CN104683394A (zh) 新技术的云计算平台数据库基准测试系统及其方法
CN107741876A (zh) 一种虚拟机进程监控系统及方法
CN106878343B (zh) 一种云计算环境下提供网络安全即服务的系统
CN108370328A (zh) 一种nfv mano策略描述符的管理方法及装置
CN106063194A (zh) 用于软件定义网络的监测系统和监测方法
CN109219949A (zh) 用于在网络功能虚拟化基础结构中配置安全域的方法和布置
US20210019193A1 (en) Agent driven cluster gating for service management
CN104951354A (zh) 一种基于动态迁移的虚拟机调度算法安全性验证方法
Costa et al. MpOS: a multiplatform offloading system
CN104009885A (zh) 一种云环境下基于隐蔽通道的虚拟机同驻检测方法
CN107819863A (zh) 一种云平台用户的统一管理方法和装置
CN108833610A (zh) 一种信息更新方法、装置及系统
CN108365994A (zh) 一种针对云计算安全统一管理的云安全管理平台
CN105978915A (zh) 一种基于云资源控制的安全隔离方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160928

WD01 Invention patent application deemed withdrawn after publication