CN103457958A - 一种云计算网络服务器内核安全访问方法 - Google Patents
一种云计算网络服务器内核安全访问方法 Download PDFInfo
- Publication number
- CN103457958A CN103457958A CN2013104268607A CN201310426860A CN103457958A CN 103457958 A CN103457958 A CN 103457958A CN 2013104268607 A CN2013104268607 A CN 2013104268607A CN 201310426860 A CN201310426860 A CN 201310426860A CN 103457958 A CN103457958 A CN 103457958A
- Authority
- CN
- China
- Prior art keywords
- access
- cloud computing
- server
- access control
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及云计算网络服务器内核安全访问技术领域,特别涉及一种云计算网络服务器内核安全访问方法。本发明结合云计算安全的实际要求,利用下一代网络访问控制模型(UCON),UCON不仅含有传统访问控制模型的能力,而且集合了可信管理和数字权限管理能力。在存储和文件层用UCON访问控制模型对系统资源控制。在服务器虚拟化平台采用可定制裁减的访问控制模型,对云计算虚拟化安全作防护。在网络层对DDOS攻击防范、DNS安全通信监控等,及时发现和禁止非法访问,保证服务器通信安全。
Description
技术领域
本发明涉及云计算网络服务器内核安全访问技术领域,特别涉及一种云计算网络服务器内核安全访问方法。
背景技术
云计算网络下的服务器多数部署在云计算中心,作分布式协同计算和集中管理。云计算除了带来计算和应用的巨大计算能力之外,也给云计算中心数据带来了安全上的威胁。云计算的服务模式有SaaS(软件即服务)、PaaS(平台即服务)和IaaS(基础架构即服务),除了面临传统的数据破坏或丢失、帐号或服务破解、拒绝服务攻击(Deninal of Service)、恶意软件入侵、软件漏洞等安全威胁外,云计算安全面临的风险还有:特权用户接入、数据位置、数据加密带来的隔离或失效、灾难数据恢复和隐私暴露危险。云计算虚拟化带来的资源隔离问题、企业的关键数据安全面临严重威胁,云计算网络的安全需要对数据中心服务器和虚拟化资源在多个层面(发作、防御、响应、及时恢复)作立体全面防御。
云计算安全要求对身份和访问管理,对用户提供信任和安全级别等。低风险数据可以被放心投入云中,高影响或关键数据要求系统的访问控制保护和隐私安全。近年来APT(高级持续威胁)攻击对网络造成了严重威胁。现在相关组织正在积极制定云计算安全标准及测评体系,本发明在云计算中心服务器系统层、网络层和应用层建立多层立体防御体系,对云计算服务器安全体系做了可控制研究和实现。资源访问控制方面采用下一代访问控制技术(UCON)对云计算资源作保护访问。在本质上对病毒和恶意软件做控制,监控和禁用系统关键资源。在网络层面禁止非法进程和端口等访问服务器,禁止隐藏通道的非法应用。防止DDoS攻击等。云计算提供商提供对数据监管的机制,包括监控、授权和访问控制等。系统对监管和访问控制提供了审计机制。可信计算技术包括如下要求:确保系统资源和数据完整性;数据安全存储和可信网络连接等。云计算资源有数量巨多、分布离散、调度频繁、对安全要求高等特征。
传统基于属性访问的控制模型不能满足云安全的复杂要求,UCON(usage control)访问控制技术除了具有传统的访问控制模型外,还增加了义务(Obligations)、条件(Conditions)等因素。对访问的信任度和引用计数等作控制,信任度不同,则访问权限不同。引用计数到一定值时,更多的资源访问会被禁止。虚拟化安全的防范采用和UCON访问控制近似的方法,针对虚拟化存储等特点作了定制剪裁。虚拟化网络的安全在传输层和会话层作访问控制。
目前的服务器资源访问技术,采用对主机的进程、文件、注册表等资源在内核层作访问控制。在云计算的复杂环境下,服务器内核加固技术对信用等级、分布式计算存储和基于Internet的访问控制能力明显不足。
发明内容
为了解决现有技术的问题,本发明基于下一代访问控制模型,在主体客体属性等方面又添加了新的访问控制元素,增加了信用管理和关键资源的引用计数等,在访问数量达到一定级别时,采取禁止访问等策略,在网络访问方面,加强对服务器通信的监控,监控异常流量和DNS流量等,对非法通信的禁止等。
本发明所采用的技术方案如下:
一种云计算网络服务器内核安全访问方法,包括在存储和文件层用采用下一代访问控制技术的访问控制模型对系统资源控制;在服务器虚拟化平台采用可定制裁减的访问控制模型,对云计算虚拟化安全作防护。
方法具体包括用户访问云计算服务器和虚拟化服务器时的控制方法和云计算服务器和虚拟机网络访问控制时的控制方法。
用户访问云计算服务器和虚拟化服务器时的控制方法包括:
A1、身份和域等认证;
B1、根据用户身份、信任度和资源引用计数等得到资源访问权限;
C1、访问前,访问中和访问后满足相应的条件可改变主体和客体的属性,执行相应的权利和义务;
D1、在内核层对关键资源访问做比对,作相应的只读、可写或禁用等操作;
E1、虚拟化系统安全采用定制剪裁的访问控制策略,根据虚拟机的存储等特征保证安全。
云计算服务器和虚拟机网络访问控制时的控制方法包括:
A2、网络安全域划分及边界防护、网络资源的访问控制;
B2、远程接入安全;
C2、DDoS攻击危险及防御,禁止非法接入设备;
D2、网络安全审计系统;
E2、虚拟机上的网络控制在传输层作控制,禁止非法通信。
本发明的云计算网络服务器内核安全访问技术,主要用于云计算数据中心的服务器安全。包括有安全内核访问技术(基于文件和网络驱动)、UCON(usage control)访问控制技术、服务器端模块和基础设施模块等。
安全内核访问技术,指利用下一代访问控制技术(UCON),对系统各类资源在云计算复杂环境下作控制的技术。
下一代访问控制技术(UCON):在信息资源多样化、精确化需求的今天,用授权、义务、条件等各种决策对资源访问作动态控制,实现了信用度和资源引用技术访问控制。
服务端模块是用来与内核驱动通信和与远程访问客户端通信。
基础设施模块,用于管理员用户与服务端通信,调用各类资源。提供与用户交互和计算的模块。
资源访问控制策略,采用身份认证与身份管理策略和UCON控制。数据泄露控制和隐私保护。利用文件系统驱动和网络驱动技术,在系统底层做访问控制过滤。构建可信的云计算服务器平台,对关键数据的访问提供访问控制和审计日志等功能。
本发明通过UCON(Usage Control)访问控制策略对云计算中心服务器资源做控制,对访问服务器用户除了传统的访问控制策略,结合云计算安全的实际要求,在信用度和引用计数等方面做了属性的控制。在安全通信方面,采用对IPv4/IPv6协议兼容的网络防范体系结构。对网络非法进程作通信禁止。对网络异常流量做检测,对异常的DNS等通信做检测和禁止。
本发明是在在参考《云计算标准化白皮书》、《ISO/IEC JTC1 SC38—17788、17789》、可信计算机系统评测标准TCSEC等国际标准、信息安全等级保护国家标准后,采用下一代访问控制UCON模型对服务器资源作控制,利用可剪裁定制的访问控制对虚拟化资源做管理。在云计算系统内对资源采取UCON访问控制和可信计算等方法,在本质上对病毒和恶意软件做控制,监控或禁用系统资源。在不同的安全管理域,用户有不同的资源和权限。访问域需要作统一身份认证管理,采用UCON作访问控制策略。对服务器资源(存储资源、文件进程、注册表、用户服务等)除了作传统的访问控制外,增加了信用度和引用计数等约束属性。依照下一代访问控制模型,增加了义务和条件的限制。对网络资源的访问采用进程、地址/端口、流量等规则限制和监控。监控异常流量和特殊协议(如DNS)的异常通信。对虚拟机资源的网络访问也可作监控等。
本发明提供的技术方案带来的有益效果是:
本发明结合云计算安全的实际要求,利用下一代网络访问控制模型(UCON),UCON不仅含有传统访问控制模型的能力,而且集合了可信管理和数字权限管理能力。在存储和文件层用UCON访问控制模型对系统资源控制。在服务器虚拟化平台采用可定制裁减的访问控制模型,对云计算虚拟化安全作防护。在网络层对DDOS攻击防范、DNS安全通信监控等,及时发现和禁止非法访问,保证服务器通信安全。
附图说明
图1为本发明的一种云计算网络服务器内核安全访问方法的方法框图;
图2为本发明的一种云计算网络服务器内核安全访问方法的UCON访问控制模型示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
本实施例应用于云计算服务器内,在驱动内核层对资源作访问控制。参照安全操作系统的可信操作分级标准,采用UCON(usage control)访问控制技术,UCON基本元素包括:主体、客体权限和与授权相关的元素:条件(授权规则)和义务,条件有信任度,资源引用计数等。系统在访问云计算资源时,根据用户的信任度、引用技术和强制访问控制规则对访问的客体进行授权,作只读、禁用等操作。
网络通信安全方面采用驱动底层NDIS(网络驱动接口规范)技术,实现服务器安全网关功能。对网络通信作高速封包过滤和非法通信禁止。监控异常流量,发现DNS通信异常。全面保护云计算资源安全。
本发明的工作原理如下:
1、在访问云服务器资源时,访问控制过程为:
A1.身份认证和权限分配;
B1.得到服务器上的资源信息,用UCON访问控制模型设置访问规则。在客户端基础设施模块设置用户的主体、客体、权限、信任度、引用计数等;
C1.客户端基础设施模块根据服务器上的资源信息和UCON相关规则等发送到服务器端设置和保存规则;
D1.主体属性包括用户编号、使用权限、信任度和引用计数和使用资源的主体名称;
E1.客体包括云数据中心的存储实体,文件系统上的文件夹、文件及进程、注册表、服务等;
F1.访问虚拟资源可用定制剪裁相应的属性和访问控制,适于对虚拟环境存储和计算要求;
G1.在内核层采用文件系统驱动技术构建拦截驱动,利用IRP HOOK技术拦截相关的IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE和IRP_MJ_SETINFORMATION等;
H1. 在运行指定的客体时,比较相应的主、客体属性。并按照相应的权限运行,禁用、只读等;
I1.根据需要记录审计信息,包括主体、客体、属性和动作等。在驱动层发送给应用层,包括信用度和引用计数等信息。应用层写入相应的分布式数据库;
J1.在客户端可通过浏览器等查询服务器安全审计日志,下发相应资源规则;
2、在服务器网络接入时,网络访问控制的流程为:
A2.采用NDIS底层驱动对封包拦截和监控;
B2.在虚拟环境,采用传输层对封包和通信作访问控制的策略;
C2.检测网络流量和异常通信;
D2.对IPv4和IPv6协议作封包过滤和通信监控;
E2.得到通信进程相关信息,监测异常流量;
F2.采用状态检测技术,提高比对效率;
G2.监测DNS异常通信,并反馈到应用层;
H2.网络攻击导致DNS通信异常,对DNS查询通信数据包流中测量指标实时检测;
I2.超出阀值,则对应用层作异常报警;
J2.根据进程、网络通信五元组(源/目的地址、源/目的端口和协议号)等对数据包通信作监控和过滤等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种云计算网络服务器内核安全访问方法,包括在存储和文件层用采用下一代访问控制技术的访问控制模型对系统资源控制;在服务器虚拟化平台采用可定制裁减的访问控制模型,对云计算虚拟化安全作防护。
2.根据权利要求1所述的一种云计算网络服务器内核安全访问方法,其特征在于,所述方法具体包括用户访问云计算服务器和虚拟化服务器时的控制方法和云计算服务器和虚拟机网络访问控制时的控制方法。
3.根据权利要求2所述的一种云计算网络服务器内核安全访问方法,其特征在于,所述用户访问云计算服务器和虚拟化服务器时的控制方法包括:
A1、身份和域等认证;
B1、根据用户身份、信任度和资源引用计数等得到资源访问权限;
C1、访问前,访问中和访问后满足相应的条件可改变主体和客体的属性,执行相应的权利和义务;
D1、在内核层对关键资源访问做比对,作相应的只读、可写或禁用等操作;
E1、虚拟化系统安全采用定制剪裁的访问控制策略,根据虚拟机的存储等特征保证安全。
4.根据权利要求2所述的一种云计算网络服务器内核安全访问方法,其特征在于,所述云计算服务器和虚拟机网络访问控制时的控制方法包括:
A2、网络安全域划分及边界防护、网络资源的访问控制;
B2、远程接入安全;
C2、DDoS攻击危险及防御,禁止非法接入设备;
D2、网络安全审计系统;
E2、虚拟机上的网络控制在传输层作控制,禁止非法通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104268607A CN103457958A (zh) | 2013-09-18 | 2013-09-18 | 一种云计算网络服务器内核安全访问方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2013104268607A CN103457958A (zh) | 2013-09-18 | 2013-09-18 | 一种云计算网络服务器内核安全访问方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103457958A true CN103457958A (zh) | 2013-12-18 |
Family
ID=49739912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013104268607A Pending CN103457958A (zh) | 2013-09-18 | 2013-09-18 | 一种云计算网络服务器内核安全访问方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103457958A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795726A (zh) * | 2014-02-14 | 2014-05-14 | 浪潮通信信息系统有限公司 | 一种虚拟数据安全访问的深度防护方法 |
| CN105912892A (zh) * | 2016-04-08 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护方法及其架构 |
| CN106211144A (zh) * | 2015-04-30 | 2016-12-07 | 华为技术有限公司 | 一种移动终端的通信方法及移动终端 |
| CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
| CN110347474A (zh) * | 2019-05-30 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种管理虚拟机的方法及装置 |
| CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
| US20220156393A1 (en) * | 2020-11-19 | 2022-05-19 | Tetrate.io | Repeatable NGAC Policy Class Structure |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986599A (zh) * | 2010-12-09 | 2011-03-16 | 北京交通大学 | 基于云服务的网络安全控制方法和云安全网关 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
-
2013
- 2013-09-18 CN CN2013104268607A patent/CN103457958A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986599A (zh) * | 2010-12-09 | 2011-03-16 | 北京交通大学 | 基于云服务的网络安全控制方法和云安全网关 |
| CN102710605A (zh) * | 2012-05-08 | 2012-10-03 | 重庆大学 | 一种云制造环境下的信息安全管控方法 |
| CN103023993A (zh) * | 2012-11-28 | 2013-04-03 | 青岛双瑞海洋环境工程股份有限公司 | 一种基于云计算的企业信息系统 |
Non-Patent Citations (2)
| Title |
|---|
| TEHRAN: "A three-layer access", 《INTERNATIONAL JOURNAL OF COMPUTER SCIENCE AND INFORMATION SECURITY》 * |
| 聂丽平: "基于UCON访问控制模型的分析与研究", 《中国优秀硕士论文全文数据库 信息科技辑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103795726A (zh) * | 2014-02-14 | 2014-05-14 | 浪潮通信信息系统有限公司 | 一种虚拟数据安全访问的深度防护方法 |
| CN106211144A (zh) * | 2015-04-30 | 2016-12-07 | 华为技术有限公司 | 一种移动终端的通信方法及移动终端 |
| US10638311B2 (en) | 2015-04-30 | 2020-04-28 | Huawei Technologies Co., Ltd. | Communication method for mobile terminal and mobile terminal |
| CN106211144B (zh) * | 2015-04-30 | 2020-06-16 | 华为技术有限公司 | 一种移动终端的通信方法及移动终端 |
| CN105912892A (zh) * | 2016-04-08 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护方法及其架构 |
| CN105912892B (zh) * | 2016-04-08 | 2018-09-04 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护系统及其方法 |
| CN107800723A (zh) * | 2017-12-06 | 2018-03-13 | 中盈优创资讯科技有限公司 | Cc攻击防护方法及设备 |
| CN110347474A (zh) * | 2019-05-30 | 2019-10-18 | 苏州浪潮智能科技有限公司 | 一种管理虚拟机的方法及装置 |
| US20220156393A1 (en) * | 2020-11-19 | 2022-05-19 | Tetrate.io | Repeatable NGAC Policy Class Structure |
| CN112784268A (zh) * | 2021-01-28 | 2021-05-11 | 深信服科技股份有限公司 | 一种主机行为数据的分析方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103457958A (zh) | 一种云计算网络服务器内核安全访问方法 | |
| Grobauer et al. | Understanding cloud computing vulnerabilities | |
| Chen et al. | Data security and privacy protection issues in cloud computing | |
| Alani | Securing the cloud: Threats, attacks and mitigation techniques | |
| CN105282157B (zh) | 一种安全通信控制方法 | |
| CN103621038A (zh) | 中间件机器环境中支持子网管理数据包防火墙限制和业务保护中的至少一项的系统和方法 | |
| CN103647772A (zh) | 一种对网络数据包进行可信访问控制的方法 | |
| CN110233817A (zh) | 一种基于云计算的容器安全系统 | |
| Kar et al. | Mitigating Threats and Security Metrics in Cloud Computing. | |
| Yackoski et al. | Mission-oriented moving target defense based on cryptographically strong network dynamics | |
| Ahmed et al. | Cloud computing: study of security issues and research challenges | |
| Lemoudden et al. | A Survey of Cloud Computing Security Overview of Attack Vectors and Defense Mechanisms. | |
| Li et al. | Information resources sharing security in cloud computing | |
| US20170142160A1 (en) | Systems and Methods for Controlling Access to a Computer Device with Access Counting | |
| CN104023033A (zh) | 一种云服务安全保护方法 | |
| Sadavarte et al. | Data security and integrity in cloud computing: Threats and Solutions | |
| Popli | A survey on cloud security issues and challenges | |
| Yue et al. | The research of firewall technology in computer network security | |
| Rai et al. | Study of security risk and vulnerabilities of cloud computing | |
| Manaa | Data encryption scheme for large data scale in cloud computing | |
| Sandhya | A Study on Various Security Methods in Cloud Computing. | |
| Varadharajan et al. | Techniques for Enhancing Security in Industrial Control Systems | |
| US11354455B2 (en) | Maintenance of access for security enablement on a host system | |
| Kumar | Intrusion detection and prevention system in enhancing security of cloud environment | |
| CN106598713A (zh) | 虚拟机安全动态迁移的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20131218 |