CN102333098A - 一种安全私有云系统的实现方法 - Google Patents
一种安全私有云系统的实现方法 Download PDFInfo
- Publication number
- CN102333098A CN102333098A CN201110330997A CN201110330997A CN102333098A CN 102333098 A CN102333098 A CN 102333098A CN 201110330997 A CN201110330997 A CN 201110330997A CN 201110330997 A CN201110330997 A CN 201110330997A CN 102333098 A CN102333098 A CN 102333098A
- Authority
- CN
- China
- Prior art keywords
- guest
- user
- technology
- port
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明涉及一种安全私有云系统的实现方法,包括HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射,客户端代码认证采用MD5或SHA-1算法等。通过设置新物理框架和基于PKI技术+用户名和IP地址绑定技术,根据虚拟机和用户的不同要求将系统划分为不同的VDE,通过包过滤技术防止GUEST、HOST及GUEST之间非法传输信息,利用随机端口技术只开放远程桌面对GUEST的访问,采用在用户端安装自己的远程桌面软件和监控只运行一次保证用户端资源无法被GUEST共享+printscreen键屏蔽技术,从而保证GUEST机器的信息只能在系统指定的范围内被合法的用户访问。
Description
技术领域
本发明涉及云系统技术领域,尤其涉及一种安全私有云系统的实现方法。
背景技术
私有云是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心的防火墙内,也可将它们部署在一个安全的主机托管场所,它可由公司自己的IT机构,也可由云提供商进行构建;在此“托管式专用”模式中,像Sun、IBM这样的云计算提供商可以安装、配置和运营基础设施,以支持一个公司企业数据中心内的专用云,此模式赋予公司对于云资源使用情况的极高水平的控制能力,同时带来建立并运作该环境所需的专门知识。
虚拟化能充分利用计算机系统的资源,但由此而引起的安全性问题一直是研究的重点,由于云系统物理上的整体连接性决定了云系统的安全问题是一个非常复杂、难以解决的问题。传统的私有云安全问题是在每个虚拟化的机器安装防火墙、利用GUEST的登录功能进行用户身份认证,这些结果的最大问题是:①无法阻止文件在同一内网未经授权的传输;②无法控制未经授权的用户访问指定的GUEST;③无法控制用户和GUEST之间的文件未经授权的传输;④无法阻止未经授权的用户访问GUEST远程桌面;⑤无法确保非法用户通过访问HOST直接把整个GUEST虚拟文件直接非法复制到未授权用户的计算机中,对私有云的大规模普及影响较大。尽管采用传统的网络安全技术如VLAN、VPN、SSH登录、防火墙、身份认证可阻止外部非法用户的访问,但是无法阻止合法用户在域内未经授权的网络数据包收发、未经授权的文件传输、跨域未经授权的传输文件和跨域未经授权的网络数据包收发,这些问题直接影响私有云的安全。因此,结合以上分析,需要对现有技术进行合理的创新。
发明内容
针对以上缺陷,本发明提供一种安全私有云系统的实现方法,通过合理设置安全私有云的系统物理框架,并提出基于不同安全域+VDE及IP+PKI用户名身份认证+执行代码校验认证的技术和安全远程桌面访问技术,从而配合监控和防火墙技术,来解决私有云的安全性问题。
为实现上述目的,本发明采用以下技术方案:
一种安全私有云系统的实现方法,主要包括以下步骤:
(1)首先于客户端配置USB-KEY或者软证书,用WINDOWS-XP系统进行访问;
(2)HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;
(3)客户端代码认证采用MD5或SHA-1算法;
(4)虚拟机OS采用VIRTUALBOX-OSE或VIRTUALBOX配置,远程桌面端口采用GUEST端口或VIRTUALBOX-RDP端口;
(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;
(6)设置控制用户的访问范围,分内网、外网;
(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;
(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。
其中的GUEST采用防火墙与防病毒程序,客户端和GUEST运行进程扫描程序。
本发明所述的安全私有云系统的实现方法的有益效果为:通过设置新的物理框架和基于PKI技术+用户名和ip地址绑定技术,根据虚拟机和用户的不同要求将系统划分为不同的VDE,通过包过滤技术防止GUEST、HOST及GUEST之间非法传输信息,利用随机端口技术只开放远程桌面对GUEST的访问,采用在用户端安装自己的远程桌面软件和监控只运行一次保证用户端资源无法被GUEST共享+printscreen键屏蔽技术,从而保证GUEST机器的信息只能在系统指定的范围内被合法的用户访问;另外,内核为2.4和2.6版本的LINUX系统HOST采用本方法也在本发明的保护范围内。
附图说明
下面根据附图对本发明作进一步详细说明。
图1是本发明实施例所述安全私有云系统的实现方法的系统框架示意图。
具体实施方式
如图1所示,本发明实施例所述的安全私有云系统的实现方法,据图可知,若用户和外网用户要访问HOST,只能通过安全模块A和安全模块B;若跨机器的HOST或者GUEST之间相互访问,则只能通过安全模块B;
通过用动态端口技术,和访问进程代码HASH摘要与服务器端校验技术和通过校验后时序控制技术,防止用户3389端口欺骗;用户登录后,把用户名UUID和密码及登录程序自己的HASH摘要+访问时间段+访问的机器的IP+时间戳,经过客户端的pki模块加密,送安全模块A,安全模块用对应的用户名UUID找到它的公钥,再解密,校验密码、访问程序的HASH摘要、是否指定时间段可以访问的状态校验,通过后产生随机访问端口经公钥加密,并通过安全模块做映射,送客户端,客户端经过私钥解密,得到随机端口,通过本客户端程序进行guest或者host机器的远程桌面访问。
过滤规则:所有的非IP报文,丢弃;TCP过滤,用户对远程桌面的包,如果是指定的端口,放过,其它的丢弃;远程桌面对用户的包,源地址是3389的包放过;目标端口是80的包,检测是否是HTTP的POST请求,如果是,检测包长度,大于256字节的包,丢弃,防用户通过HTTP上传文件。UDP过滤,放过DNS(53)端口的包,双向过滤,其它安全要求较低的HOST和GUEST访问:根据系统的OS类型,如果为WINDOWS的,可设置对23和21端口的权限控制(TCP),如果为LINUX或者UBUNTO,对SSH端口(22)和(21)端口做权限控制,其中23和22与3389类似的做随机端口控制。
本发明实施例所述的安全私有云系统的实现方法,主要包括以下步骤:
(1)首先于客户端配置USB-KEY或者软证书,用WINDOWS-XP系统进行访问;
(2)HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;
(3)客户端代码认证采用MD5或SHA-1算法;
(4)虚拟机OS采用VIRTUALBOX-OSE或VIRTUALBOX配置,远程桌面端口采用GUEST端口或VIRTUALBOX-RDP端口;
(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;
(6)控制用户的访问范围,分内网、外网;
(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;
(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。
其中的系统后台用户管理功能包括:(1)设定用户可访问的GUEST和HOST,设置对应的认证代码可以访问的GUEST和HOST;(2)设定虚拟机的网络权限(端口,默认为远程端口开放,其他关闭);(3)设定用户密码;(4)企业管理和用户管理;(5)USB-KEY与用户管理,密钥管理,PKI管理。
主要操作流程为:(1)用户打开客户端,填写用户名密码(或者插入USB-KEY后题写密码)和访问的机器的IP,客户端向安全模块发起认证请求(走HTTP协议),认证信息包含用户名UUID和密码及登录程序自己的HASH摘要+访问时间段+访问的机器的IP+时间戳;(2)模块收到用户请求,从数据库中取出密码和资料,对比提交上来的密码,如果正确:把用户要访问的虚拟机IP和随机生成的端口经过公钥加密后,返回给客户端界面后,同时模块向内核写入用户的IP,虚拟机的IP,动态生成的端口号,和用户的访问权限;(3)用户端代码调用远程桌面访问模块(这个模块的代码摘要保存在USB-KEY中-先进行代码摘要的检验);(4)用户断开远程桌面连接,模块在30秒内未检测到用户产生的流量,则清除用户登录信息,连接断开,须重新认证;(5)代码的监控模块检查这个ip的随机端口在本机的访问程序,如果有多个,提示非法访问,重新启动用户计算机。
以上实施实例是本发明较优选具体实施方式的一种,本领域技术人员在本技术方案范围内进行的通常变化和替换应包含在本发明的保护范围内。
Claims (2)
1.一种安全私有云系统的实现方法,其特征在于,主要包括以下步骤:
(1)首先于客户端配置USB-KEY或者软证书,用WINDOWS系统桌面或者UBUNTO桌面进行访问;
(2)HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;
(3)客户端代码认证采用MD5或SHA-1算法;
(4)虚拟机OS采用VIRTUALBOX-OSE或VIRTUALBOX配置,远程桌面端口采用GUEST端口或VIRTUALBOX-RDP端口;
(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;
(6)设置控制用户的访问范围,分内网、外网;
(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;
(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。
2.根据权利要求1所述的安全私有云系统的实现方法,其特征在于:其中的GUEST采用防火墙与防病毒程序,客户端和GUEST运行进程扫描程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110330997A CN102333098A (zh) | 2011-10-27 | 2011-10-27 | 一种安全私有云系统的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110330997A CN102333098A (zh) | 2011-10-27 | 2011-10-27 | 一种安全私有云系统的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102333098A true CN102333098A (zh) | 2012-01-25 |
Family
ID=45484703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110330997A Pending CN102333098A (zh) | 2011-10-27 | 2011-10-27 | 一种安全私有云系统的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102333098A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014040562A1 (zh) * | 2012-09-17 | 2014-03-20 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
| CN104167158A (zh) * | 2014-08-14 | 2014-11-26 | 郑州正电电子技术有限公司 | 基于云服务的信息展示系统及实现方法 |
| CN104268484A (zh) * | 2014-09-24 | 2015-01-07 | 科云(上海)信息技术有限公司 | 一种基于虚拟隔离机制的云环境下数据防泄漏方法 |
| CN104796431A (zh) * | 2015-05-06 | 2015-07-22 | 上海斐讯数据通信技术有限公司 | 一种Telnet系统及方法 |
| CN106603607A (zh) * | 2015-10-16 | 2017-04-26 | 中兴通讯股份有限公司 | 私有云桌面系统及其实现服务的方法和装置 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云系统虚拟机的装置和方法 |
| CN107211051A (zh) * | 2015-02-15 | 2017-09-26 | 微软技术许可有限责任公司 | 用于集成内部和云域名系统的方法和系统 |
-
2011
- 2011-10-27 CN CN201110330997A patent/CN102333098A/zh active Pending
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014040562A1 (zh) * | 2012-09-17 | 2014-03-20 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
| US9609063B2 (en) | 2012-09-17 | 2017-03-28 | Tencent Technology (Shenzhen) Company Limited | Method, device and system for logging in Unix-like virtual container |
| CN104167158A (zh) * | 2014-08-14 | 2014-11-26 | 郑州正电电子技术有限公司 | 基于云服务的信息展示系统及实现方法 |
| CN104167158B (zh) * | 2014-08-14 | 2016-06-08 | 郑州正电电子技术有限公司 | 基于云服务的信息展示系统及实现方法 |
| CN104268484A (zh) * | 2014-09-24 | 2015-01-07 | 科云(上海)信息技术有限公司 | 一种基于虚拟隔离机制的云环境下数据防泄漏方法 |
| CN104268484B (zh) * | 2014-09-24 | 2016-08-24 | 科云(上海)信息技术有限公司 | 一种基于虚拟隔离机制的云环境下数据防泄漏方法 |
| CN107211051A (zh) * | 2015-02-15 | 2017-09-26 | 微软技术许可有限责任公司 | 用于集成内部和云域名系统的方法和系统 |
| CN104796431A (zh) * | 2015-05-06 | 2015-07-22 | 上海斐讯数据通信技术有限公司 | 一种Telnet系统及方法 |
| CN104796431B (zh) * | 2015-05-06 | 2019-11-22 | 上海斐讯数据通信技术有限公司 | 一种Telnet系统及方法 |
| CN106603607A (zh) * | 2015-10-16 | 2017-04-26 | 中兴通讯股份有限公司 | 私有云桌面系统及其实现服务的方法和装置 |
| CN106936760A (zh) * | 2015-12-30 | 2017-07-07 | 航天信息股份有限公司 | 一种登录Openstack云系统虚拟机的装置和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11483143B2 (en) | Enhanced monitoring and protection of enterprise data | |
| US10778659B2 (en) | System and method for protecting communications | |
| Jangjou et al. | A comprehensive survey on security challenges in different network layers in cloud computing | |
| US9209979B2 (en) | Secure network cloud architecture | |
| US9369493B2 (en) | Systems and methods for implementing security | |
| US11663030B2 (en) | Extending expiration of user sessions with authentication refresh | |
| US9124640B2 (en) | Systems and methods for implementing computer security | |
| Souppaya et al. | Guide to enterprise telework, remote access, and bring your own device (BYOD) security | |
| JP2019526993A (ja) | ネットワーク機能仮想化システム及び検証方法 | |
| CN102333098A (zh) | 一种安全私有云系统的实现方法 | |
| US9876773B1 (en) | Packet authentication and encryption in virtual networks | |
| US20230037520A1 (en) | Blockchain schema for secure data transmission | |
| CN113472758B (zh) | 访问控制方法、装置、终端、连接器及存储介质 | |
| CN112016073B (zh) | 一种服务器零信任连接架构的构建方法 | |
| Walsh et al. | Intra-cloud and inter-cloud authentication | |
| Rocha | Cybersecurity analysis of a SCADA system under current standards, client requisites, and penetration testing | |
| Ladan | Security issues in cloud-based businesses | |
| Smyth | Security+ Essentials | |
| Hernández Vilalta | Analysis and implementation of a security standard | |
| WO2023180685A1 (en) | Early termination of secure handshakes | |
| WO2023069129A1 (en) | Network appliances for secure enterprise resources | |
| Ambhore et al. | Carapace for Intranet Security of Linux Harding | |
| TW202032403A (zh) | 裝置驗證方法 | |
| Campbell et al. | {NT} Security in an Open Academic Environment | |
| Juan Ferrer | Analysis of security of cloud systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120125 |