CN101854359B - 基于虚拟化计算的权限控制方法 - Google Patents

基于虚拟化计算的权限控制方法 Download PDF

Info

Publication number
CN101854359B
CN101854359B CN2010101777974A CN201010177797A CN101854359B CN 101854359 B CN101854359 B CN 101854359B CN 2010101777974 A CN2010101777974 A CN 2010101777974A CN 201010177797 A CN201010177797 A CN 201010177797A CN 101854359 B CN101854359 B CN 101854359B
Authority
CN
China
Prior art keywords
virtualized environment
statement
terminal use
judged
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010101777974A
Other languages
English (en)
Other versions
CN101854359A (zh
Inventor
王晓峻
姜玮
吴冬
庞海东
孙力斌
陆志强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NANJING CITY LINKAGE SYSTEM INTEGRATION CO Ltd
Original Assignee
NANJING CITY LINKAGE SYSTEM INTEGRATION CO Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NANJING CITY LINKAGE SYSTEM INTEGRATION CO Ltd filed Critical NANJING CITY LINKAGE SYSTEM INTEGRATION CO Ltd
Priority to CN2010101777974A priority Critical patent/CN101854359B/zh
Publication of CN101854359A publication Critical patent/CN101854359A/zh
Priority to US13/108,877 priority patent/US8516103B2/en
Application granted granted Critical
Publication of CN101854359B publication Critical patent/CN101854359B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

构建虚拟化环境,隔离终端用户与核心数据资源直接交互,在虚拟化环境中部署网络侦听引擎,采用侦听和拦截技术,聚合了细粒度的多种授权属性信息数据,实现终端用户对核心数据资源的访问权限的细粒度控制。本发明实现了远程维护权限集中化控制,能够专用维护客户端应用封装在虚拟化环境中,控制用户访问核心数据资源的途径,隔绝终端用户对核心数据资源的直接访问。通过虚拟化环境对维护路径进行统一扎口,规范维护人员的登录路径和维护工具。

Description

基于虚拟化计算的权限控制方法
技术领域
本发明涉及电信业务系统信息安全领域,尤其是一种适合电信行业专用维护客户端的基于虚拟化计算的权限控制方法。
背景技术
目前,随着电信运营商维护集中化水平的不断提高以及快速处理故障的需要,维护人员和第三方人员采用多种方式接入核心数据。由于缺乏有效的控制手段,新的接入方式,特别是经IP网络远程维护,在提高维护工作效率的同时,也引入较大的安全风险,相应的安全事件时有发生。
如图1所示,现有技术中各个厂家一般采用专用维护客户端直接访问核心数据资源,然而这种方法长期以来缺乏权限控制,专用维护客户端可以访问任意的客户数据、位置数据等核心资源数据,存在安全隐患。
发明内容
本发明提出一种基于虚拟化计算的权限控制方法,该方法利用虚拟化技术,综合采用网络侦听拦截技术以及配置数据自动同步技术,实现了远程维护权限控制,能够实现不同的客户端集中化的、细粒度的权限控制。
本发明提出一种基于虚拟化计算的权限控制方法,包括以下步骤:构建虚拟化环境,隔离终端用户与核心数据资源直接交互,通过虚拟化环境对维护路径进行统一扎口,规范维护人员的登录路径和维护工具;在虚拟化环境中部署网络侦听引擎,采用侦听和拦截技术,聚合了细粒度的多种授权属性信息数据,实现终端用户对核心数据资源的访问权限的细粒度控制,虚拟化环境中的网络侦听引擎实时解析客户端操作,聚合了细粒度的多种授权属性信息数据,拦截对应的数据报文,实现用户访问权限最小化,即最少的访问应用,最小的可执行命令集,最少的访问途径。
本发明中的基于虚拟化计算的权限控制方法,包括以下步骤:步骤1,终端用户以web方式登录虚拟计算环境;步骤2,虚拟计算环境判断终端用户是否第一次登录,如果判断为否则进入步骤3;判断为是则提示终端用户下载虚拟化环境控件,进入步骤1;步骤3,启动虚拟化环境;步骤4,虚拟化环境从策略缓存中获得终端用户允许使用的应用软件清单,如果成功则进入步骤5;失败则弹出空白浏览器;步骤5,在虚拟化环境中仅显示可运行的客户端应用软件的图标,所述客户端可以是爱立信维护客户端、华为维护客户端、阿尔卡特维护客户端、中兴维护客户端、大唐维护客户端、PL/SQL数据库、sql*plus数据库客户端等;步骤6,终端用户双击图标启动其中之一的专有客户端应用软件,同时启动网络侦听引擎;步骤7,终端用户进行客户端应用操作过程中产生一条执行语句;步骤8,执行语句被网络侦听引擎放入虚拟计算环境中的缓存中;步骤9,虚拟化环境根据策略缓存中内容判断当前根据语句是否合法,如果判断为是则进入步骤10;判断为否则由网络侦听引擎拦截该语句,进入步骤7;步骤10,由虚拟计算环境发往执行语句至核心资源;步骤11,执行语句在核心资源上执行,执行结果回显,进入步骤7,执行下一语句。
本发明的有益效果是,本发明实现了远程维护权限集中化控制,能够专用维护客户端应用封装在虚拟化环境中、控制用户访问核心数据资源的途径。隔绝终端用户对核心数据资源的直接访问。通过虚拟化环境对维护路径进行统一扎口,规范维护人员的登录路径和维护工具
虚拟化环境中的网络侦听引擎能够实时解析客户端操作,聚合了细粒度的多种授权属性信息数据,例如:时间、用户源IP、用户名(主账号)、从账号、角色、执行语句等,并且拦截对应的数据报文,实现用户访问权限最小化,即最少的访问应用,最小的可执行命令集,最少的访问途径,而且对特权或共享账户也能进行分权控制。
附图说明
图1所示为现有技术中的权限控制方法的示意图。
图2所示为根据本发明的基于虚拟化计算的权限控制方法的结构示意图。
图3所示为根据本发明的基于虚拟化计算的权限控制方法的流程图。
图4所示为根据本发明的具体实施例中权限控制方法的流程图。
图5所示为图4中的步骤9的流程图。
图6所示为本发明中的网络侦听引擎的主要数据结构。
图7所示为本发明中的网络侦听引擎拦截模块的主要数据结构。
具体实施方式
为让本发明的上述和其它目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合附图,作详细说明如下。
如图2所示,基于虚拟化计算的权限控制方法首先需要构建虚拟化环境,如通过微软windowns 2008server构建虚拟化环境。在虚拟化环境中,采用专用维护客户端,例如,爱立信维护、华为维护、阿尔卡特维护、中兴维护、大唐维护、PL/SQL、sql*plus等客户端,并以web化发布的方式,将专用维护客户端应用推送给终端用户,终端用户只能通过虚拟化环境中的专用维护客户端应用访问核心数据资源。
在虚拟化环境中,部署网络侦听引擎,网络侦听引擎由侦听模块和拦截模块组成,数据结构详见图6和图7,所有维护客户端(图形的或字符型)的操作过程,都被解析为网络数据报文。网络侦听引擎根据终端用户的权限(用户允许执行的操作语句),实时拦截对应的数据报文,允许或阻止客户端的操作语句发往核心数据资源,从而实现终端用户对核心数据资源访问的权限控制。
如图3所示,基于虚拟化计算的权限控制方法的流程步骤具体如下:
1、终端用户以web方式登录虚拟计算环境;
2、虚拟计算环境判断终端用户是否第一次登录,如果判断为否则进入步骤3;判断为是则提示用户下载虚拟化环境控件,进入步骤1;
3、启动虚拟化环境;
4、虚拟化环境从策略缓存中获得终端用户允许使用的应用软件清单,成功则进入步骤5;失败则弹出空白浏览器;
5、在虚拟化环境中仅显示可运行的专有客户端应用软件的图标;
6、用户双击图标启动某一个专有客户端应用软件,网络侦听引擎的侦听模块同时启动,根据windows spi提供的接口,windows提供了网络包的api监控接口。Windows每个进程进行网络通信时都会加载此接口,主要数据结构详见图6;
7、用户进行客户端应用操作过程中产生一条执行语句;
8、执行语句被网络侦听并放入虚拟计算环境中缓存中;
9、虚拟化环境根据策略缓存中内容判断当前根据语句是否合法,判断为是则进入步骤10;判断为否则网络侦听引擎拦截该语句,并发送“禁止使用该语句,提示该操作无效”,进入步骤7;网络侦听引擎的拦截模块是对网络包的操作函数进行按照不同的协议进行解析,从而判断出是否需要控管,主要数据结构详见图7;
10、执行语句由虚拟计算环境发往核心资源;
11、执行语句在核心资源上执行,执行结果回显,进入步骤7,执行下一语句。
结合到具体实施例,如图4所示,利用本发明所提出的基于虚拟化计算的权限控制方法来实现华为维护客户端集中化的、细粒度的权限控制。流程步骤具体如下:
1、在基于虚拟化计算环境,启动网络连接的进程;
2、进入tcp网络包监控截获模块;
3、判断华为维护客户端进程是否需要监控,是则进入步骤4;否则将网络包放行,中止tcp网络包监控截获模块;
4、获取华为维护客户端进程的用户名(主帐号);
5、判断含该用户名登录包是否是数据库登录包,是则进入步骤6;否则进入步骤8;
6、获取华为维护客户端登录数据库信息;
7、判断该用户、源地址、客户端版本是否有权限登录该数据库;是将网络包放行,解析后续操作的sql语句,进入步骤9;否则将网络包截获中止,监控结束;
8、判断是否含操作命令语句或SQL语句,有则进入步骤9;否则将网络包放行,监控结束;
9、将操作命令语句或SQL语句,逐条放入缓存中,进入《命令集比对流程》,流程详见图5;
10、监控结束;
上述步骤9中,从解析出来的操作命令语句或SQL语句的缓存命令集结构为:命令关键字,参数1、参数2、参数3,《命令集比对流程》,如图5所示:
1、从缓存中取一完整的命令集,即命令关键字,参数1、参数2、参数3...;
2、判断是否包含参数,是则转入步骤3;否则转入步骤6;
3、判断命令关键字是否包括黑名单(禁用命令,如delete、rm、reboot)中的命令,是则命令拦截,转入步骤7;否则进入步骤4;
4、判断对应参数中是否包含黑名单参数(表名、列明);是则命令拦截,转入步骤7;否则进入步骤5;
5、判断对应参数中是否包含白名单中,是则转入步骤6;否则命令拦截,转入步骤7;
6、命令集+参数被执行;
7、从缓存中将语句清除;
8、监控结束。
以上说明了基于虚拟化计算的权限控制方法的整个工作流程,这其中重点是虚拟化环境从策略缓存中获得终端用户权限允许使用的应用软件清单和网络侦听对具体执行语句侦听、比对、拦截处理方式。整个权限控制方法是围绕虚拟计算环境来进行的,所以对该方法来说做的事情均是权限定义和具体执行语句侦听和解析来开发。
本发明中所述具体实施案例仅为本发明的较佳实施案例而已,并非用来限定本发明的实施范围。即凡依本发明申请专利范围的内容所作的等效变化与修饰,都应作为本发明的技术范畴。

Claims (1)

1. 一种基于虚拟化计算的权限控制方法,其特征在于,包括以下步骤:
构建虚拟化环境,隔离终端用户与核心数据资源的直接交互,通过虚拟化环境对维护路径进行统一扎口,规范维护人员的登录路径和维护工具;
在虚拟化环境中部署网络侦听引擎,采用侦听和拦截技术,聚合了细粒度的多种授权属性信息数据,实现终端用户对核心数据资源的访问权限的细粒度控制,虚拟化环境中的网络侦听引擎实时解析客户端操作,聚合了细粒度的多种授权属性信息数据,拦截对应的数据报文,实现用户访问权限最小化;
该方法具体包括以下步骤:
步骤1,终端用户以web方式登录虚拟计算环境;
步骤2,虚拟计算环境判断终端用户是否第一次登录,如果判断为否则进入步骤3;判断为是则提示终端用户下载虚拟化环境控件,进入步骤1;
步骤3,启动虚拟化环境;
步骤4,虚拟化环境从策略缓存中获得终端用户允许使用的应用软件清单,如果成功则进入步骤5;失败则弹出空白浏览器;
步骤5,在虚拟化环境中仅显示可运行的客户端应用软件的图标;
步骤6,终端用户双击图标启动其中之一的专有客户端应用软件,同时启动网络侦听引擎;
步骤7,终端用户进行客户端应用操作过程中产生一条执行语句;
步骤8,执行语句被网络侦听引擎放入虚拟计算环境中的缓存中;
步骤9,虚拟化环境根据策略缓存中内容判断当前根据语句是否合法,如果判断为是则进入步骤10;判断为否则由网络侦听引擎拦截该语句,进入步骤7;
步骤10,由虚拟计算环境发往执行语句至核心资源;
步骤11,执行语句在核心资源上执行,执行结果回显,进入步骤7,执行下一语句。
CN2010101777974A 2010-05-19 2010-05-19 基于虚拟化计算的权限控制方法 Expired - Fee Related CN101854359B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN2010101777974A CN101854359B (zh) 2010-05-19 2010-05-19 基于虚拟化计算的权限控制方法
US13/108,877 US8516103B2 (en) 2010-05-19 2011-05-16 Method for accessing control that based on virtual computing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010101777974A CN101854359B (zh) 2010-05-19 2010-05-19 基于虚拟化计算的权限控制方法

Publications (2)

Publication Number Publication Date
CN101854359A CN101854359A (zh) 2010-10-06
CN101854359B true CN101854359B (zh) 2012-10-31

Family

ID=42805626

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010101777974A Expired - Fee Related CN101854359B (zh) 2010-05-19 2010-05-19 基于虚拟化计算的权限控制方法

Country Status (2)

Country Link
US (1) US8516103B2 (zh)
CN (1) CN101854359B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102932369A (zh) * 2012-11-19 2013-02-13 西北大学 一种针对用户特征的细粒度资源授权方法
CN103973782A (zh) * 2014-04-29 2014-08-06 上海上讯信息技术股份有限公司 一种基于黑名单命令设置的运维操作控制系统及其方法
CN104182704B (zh) * 2014-08-25 2017-04-05 酷派软件技术(深圳)有限公司 安全策略的设置方法、安全策略的设置装置和终端
CN104767761B (zh) * 2015-04-23 2017-10-13 四川师范大学 一种云存储平台访问控制方法及装置
CN106657235A (zh) * 2016-10-09 2017-05-10 广东睿江云计算股份有限公司 一种利用http接口控制设备的实现方法及系统
CN110569169A (zh) * 2019-08-27 2019-12-13 北京指掌易科技有限公司 移动应用的监控方法和装置
CN114265666B (zh) * 2021-12-21 2022-12-02 北京永信至诚科技股份有限公司 一种网络靶场数据采集系统及方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101477495A (zh) * 2008-10-28 2009-07-08 北京航空航天大学 分布式内存虚拟化技术的实现方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6490620B1 (en) * 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
JP2008027306A (ja) * 2006-07-24 2008-02-07 Aplix Corp ユーザ空間仮想化システム
US8635701B2 (en) * 2008-03-02 2014-01-21 Yahoo! Inc. Secure browser-based applications
US8090797B2 (en) * 2009-05-02 2012-01-03 Citrix Systems, Inc. Methods and systems for launching applications into existing isolation environments
US9461996B2 (en) * 2010-05-07 2016-10-04 Citrix Systems, Inc. Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101477495A (zh) * 2008-10-28 2009-07-08 北京航空航天大学 分布式内存虚拟化技术的实现方法

Also Published As

Publication number Publication date
US20110289418A1 (en) 2011-11-24
CN101854359A (zh) 2010-10-06
US8516103B2 (en) 2013-08-20

Similar Documents

Publication Publication Date Title
CN101854359B (zh) 基于虚拟化计算的权限控制方法
CN109076063B (zh) 在云环境中保护动态和短期虚拟机实例
JP6626095B2 (ja) 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム
CN110363026B (zh) 文件操作方法、装置、设备、系统及计算机可读存储介质
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
CN104239786B (zh) 免root主动防御配置方法及装置
Kelbert et al. Data usage control enforcement in distributed systems
CN103493061A (zh) 用于应对恶意软件的方法和装置
WO2014012441A1 (en) Method and apparatus for determining malicious program
CN103108320A (zh) 一种监控移动设备的应用程序的方法和系统
CN110012096B (zh) 移动客户端服务更新管理方法、装置及系统
CN104239797B (zh) 主动防御方法及装置
CN105550584A (zh) 一种Android平台下基于RBAC的恶意程序拦截及处置方法
CN103813329A (zh) 一种能力调用方法及能力开放系统
CN109286630B (zh) 等保处理方法、装置、设备及存储介质
CN114978697A (zh) 一种网络信息系统内生安全防御方法、装置、设备及介质
CN113158169A (zh) 一种基于Hadoop集群的验证方法、装置、存储介质及电子设备
CN113132293A (zh) 攻击检测方法、设备及公共蜜罐系统
CN112632605A (zh) 一种防止越权访问的方法、装置、计算机设备及存储介质
CN108614709A (zh) 一种控制Android应用安全访问网络的方法及系统
CN110247918A (zh) 应用于区块链的摇号数据上链方法及其设备
CN109669785A (zh) 终端应用的页面分享方法、装置、服务器及存储介质
CN105429975A (zh) 一种基于云终端的数据安全防御系统、方法及云终端安全系统
CN113496002A (zh) 一种基于移动中台的移动应用平台
CN109657485B (zh) 权限处理方法、装置、终端设备和存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C53 Correction of patent of invention or patent application
CB03 Change of inventor or designer information

Inventor after: Wang Xiaojun

Inventor after: Jiang Wei

Inventor after: Wu Dong

Inventor after: Sun Libin

Inventor after: Pang Haidong

Inventor after: Lu Zhiqiang

Inventor before: Wang Xiaojun

Inventor before: Wu Dong

Inventor before: Sun Libin

Inventor before: Pang Haidong

Inventor before: Lu Zhiqiang

COR Change of bibliographic data

Free format text: CORRECT: INVENTOR; FROM: WANG XIAOJUN WU DONG SUN LIBIN PANG HAIDONG LU ZHIQIANG TO: WANG XIAOJUN JIANG WEI WU DONG SUN LIBIN PANG HAIDONG LU ZHIQIANG

C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20121031

CF01 Termination of patent right due to non-payment of annual fee