CN103458003A - 一种自适应云计算环境虚拟安全域访问控制方法和系统 - Google Patents
一种自适应云计算环境虚拟安全域访问控制方法和系统 Download PDFInfo
- Publication number
- CN103458003A CN103458003A CN2013103569151A CN201310356915A CN103458003A CN 103458003 A CN103458003 A CN 103458003A CN 2013103569151 A CN2013103569151 A CN 2013103569151A CN 201310356915 A CN201310356915 A CN 201310356915A CN 103458003 A CN103458003 A CN 103458003A
- Authority
- CN
- China
- Prior art keywords
- security
- virtual machine
- virtual
- cloud computing
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种自适应云计算环境虚拟安全域访问控制方法和系统,该方法在虚拟机管理层部署虚拟安全网关设备,通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息,并根据安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,对于同一物理机内部的网络通信数据包直接进行访问控制;对于跨物理机的网路通信数据包中增加安全控制包,通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。该方法和系统能够实现在同一物理机或不同物理机上的不同虚拟机之间的通信进行细粒度访问控制的功能,并可动态调整访问控制策略,实现自适应的云计算环境虚拟安全域访问控制。
Description
技术领域
本发明涉及数据信息安全技术领域,特别是一种自适应云计算环境虚拟安全域访问控制方法和系统。
背景技术
云计算是IT资源和服务的一种交付使用模型,它可以实现随时随地、便捷的、按需的通过网络从结构化的计算资源共享池中获取所需的资源(如网络、服务器、存储、应用、服务等),这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。云计算具有多租户、集中化、虚拟化等特点,导致不同租户的不同业务系统运行于同一云计算平台上,无法在物理上进行有效隔离。为了保证不同租户之间的安全隔离,或同一租户不同业务系统之间的安全隔离,需要为不同租户配置不同的虚拟安全域。也就是说,为了保证租户的信息安全,云计算平台往往将不同租户或不同的业务系统划分为不同的虚拟安全域,不同虚拟安全域之间的数据访问需要进行一定的访问控制措施。
传统的网络环境下,不同用户、不同业务系统的网络边界是非常明确的,因此可以基于安全等级和业务特征和地理位置划分安全域。通过在物理网络边界处部署防火墙、安全网关等设备实施安全隔离和访问控制机制是非常有效的手段。
在云计算虚拟网络环境下,传统的网络边界变得非常模糊,由于传统的防火墙、IDS、IPS等网络安全设备只能部署于物理网络的边界,无法实现同一物理机上不同虚拟机之间的通信进行细粒度访问控制。物理机内的某一虚拟机从内部直接向其他虚拟机进行攻击,就能绕过所有的网络边界防护措施。同时,由于云计算平台按照按需分配的原则向用户提供服务,安全域的边界也在动态变化,传统物理防护手段无法提供与之对应的灵活性。因此,传统的基于物理设备的安全访问控制手段对云计算环境下的虚拟安全域防护不再适用。
发明内容
本发明针对传统的基于物理设备的安全访问控制手段不适用于云计算环境下的虚拟安全域防护的问题,提供一种自适应云计算环境虚拟安全域访问控制方法,通过在虚拟机管理层部署虚拟安全网关设备来对网络通信数据进行访问控制。本发明还涉及一种自适应云计算环境虚拟安全域访问控制系统。
本发明的技术方案如下:
一种自适应云计算环境虚拟安全域访问控制方法,其特征在于,在虚拟机管理层部署虚拟安全网关设备,通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息,并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,对于同一物理机内部的网络通信数据包直接进行访问控制;对于跨物理机的网路通信数据包中增加安全控制包,通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
所述安全策略信息包括虚拟机的安全信息和访问控制策略信息。
所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块;所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
对于同一物理机内部的网络通信数据流直接进行访问控制是指,源虚拟机和目的虚拟机在同一物理机上,源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截,虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过,当安全策略不允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机;当安全策略允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。
对于跨物理机的自适应访问控制是指,源虚拟机和目的虚拟机不在同一物理机上,源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过,在允许所述网络访问时,源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流,目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行,在允许放行时,将网络通信数据流放行给目的虚拟机,在不允许放行时,目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备,所述安全反馈包包含动态调整访问控制策略信息,源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。
一种自适应云计算环境虚拟安全域访问控制系统,其特征在于,包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心,所述虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件,所述安全仓库和访问控制策略组件均与云安全策略同步中心相连;
所述安全仓库用于维护本物理机上虚拟机的安全信息和为虚拟机生成安全控制包,所述访问控制策略组件用于维护本物理机上虚拟机的访问控制策略信息,所述安全仓库和访问控制策略组件均与云安全策略同步中心交互以获得的安全策略;所述过滤器根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,对于同一物理机内部的网络通信数据流直接进行访问控制;对于跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据流,并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
本发明所述系统中,所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块;所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
所述安全仓库与云安全策略同步中心交互获得安全信息,所述安全信息包括虚拟机所属安全域信息和虚拟机标示信息;所述访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息。
本发明所述系统中,所述同一物理机内部的网络通信数据流直接进行访问控制是指,源虚拟机和目的虚拟机在同一物理机上,源虚拟机发出网络访问请求数据包后被所述过滤器拦截,所述过滤器查询安全仓库和访问控制策略组件的安全策略以决定是否允许所述网络访问请求通过,当安全策略不允许所述网络访问时,过滤器将所述网络访问请求数据包丢弃并通知源虚拟机;当安全策略允许所述网络访问时,过滤器将所述网络访问请求数据包和之后的同策略网络通信数据流均放行至目的虚拟机。
本发明所述系统中,所述跨物理机的自适应访问控制是指,源虚拟机和目的虚拟机不在同一物理机上,源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备中的过滤器拦截并根据查询的安全策略决定是否允许所述网络访问请求通过,在允许所述网络访问时,源虚拟机的虚拟安全网关设备的安全仓库生成安全控制包并通过过滤器插入网路通信数据流,目的虚拟机的虚拟安全网关设备的过滤器接收到所述网络通信数据流后根据查询的安全策略决定是否放行,在允许放行时,将网络通信数据流放行给目的虚拟机,在不允许放行时,目的虚拟机的虚拟安全网络设备的过滤器生成安全反馈包发送至源虚拟机的虚拟安全网关设备,所述安全反馈包包含动态调整访问控制策略信息,源虚拟机的虚拟安全网关设备的访问控制策略组件根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。
本发明的技术效果如下:
本发明涉及一种自适应云计算环境虚拟安全域访问控制方法,该方法通过在虚拟机管理层部署虚拟安全网关设备,由该虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息,并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,能够实现在同一物理机或不同物理机上的跨域访问控制。通过云安全策略同步中心统一配置和管理安全策略信息,可有效避免策略冲突等情况,虚拟安全网关设备与云安全策略同步中心进行交互能够即时更新安全策略信息,通过在虚拟机管理层部署虚拟安全网关设备来对网络通信数据进行监控,根据获得的最新的安全策略信息,实现对虚拟安全域的访问控制,且对于同一物理机内部的网络通信数据包直接进行访问控制,对于跨物理机的网路通信数据包中增加安全控制包,结合安全反馈包中包含动态调整访问控制策略信息,故能够动态调整访问控制策略,实现自适应的云计算环境虚拟安全域访问控制。本发明解决了传统的基于物理设备的安全访问控制手段不适用于云计算环境下的虚拟安全域防护的问题,通过虚拟化技术在虚拟机管理层部署虚拟安全网关设备来达到对网络通信流进行访问监控的目的,根据安全策略选择阻止访问或允许访问,并通过生成安全控制包和安全反馈包动态调整访问控制策略,可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流;此外,由于虚拟安全网关设备与云安全策略同步中心进行交互获得安全策略信息,这样,在虚拟机迁移时,安全策略也可自动地随之进行动态迁移,实现云计算环境虚拟安全域访问控制的灵活性和高效性。
本发明还涉及一种自适应云计算环境虚拟安全域访问控制系统,包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心,虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件,安全仓库和访问控制策略组件均与云安全策略同步中心相连以实现安全策略信息的获取。该系统利用安全仓库维护虚拟机安全信息,根据访问控制策略组件获取安全策略,由过滤器在虚拟机网络通信数据包中插入安全控制包作为安全报文,来实现对虚拟安全域的访问控制功能。同时通过安全反馈包动态调整访问控制策略,构造了一种自适应的云环境虚拟安全域访问控制系统,可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流。本发明所述系统通过在虚拟机管理层部署的虚拟安全网关设备来对网络通信数据流进行访问监控的目的,最终能够实现在同一物理机上不同虚拟机之间或不同物理机上不同虚拟机之间的通信进行细粒度访问控制的功能,访问控制策略由云安全策略同步中心统一配置、管理,可有效避免策略冲突等情况,且虚拟机迁移时,安全策略信息可直接由安全仓库和访问控制策略组件从云安全策略同步中心交互即可得到,故安全策略能够自动地随虚拟机进行动态迁移,同时也提高了云计算环境数据信息安全性能。
附图说明
图1是本发明自适应云计算环境虚拟安全域访问控制系统的第一种结构原理图。
图2是本发明自适应云计算环境虚拟安全域访问控制系统的第二种结构原理图。
图3是本发明自适应云计算环境虚拟安全域访问控制系统的第一种优选工作流程图。
图4是本发明自适应云计算环境虚拟安全域访问控制系统的第二种优选工作流程图。
图5是本发明自适应云计算环境虚拟安全域访问控制方法的流程图。
具体实施方式
下面结合附图对本发明进行说明。
本发明涉及一种自适应云计算环境虚拟安全域访问控制系统,其结构原理图如图1和图2所示,该系统包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心,虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件,安全仓库和访问控制策略组件均与云安全策略同步中心相连。
云计算环境中每个物理机均具有虚拟机管理层,在每个物理机的虚拟机管理层均部署一虚拟安全网关设备,每个虚拟安全网关设备均包括依次连接的安全仓库、过滤器和访问控制策略组件,每个安全仓库和访问控制策略组件均与云安全策略同步中心相连。在每个物理机上具有多个虚拟机,即图1和图2所示的VM(Virtual Machine,虚拟机),本发明所述的云计算环境虚拟安全域访问可以是在同一物理机上跨域访问,即同一物理机上的源VM向目的VM的访问;也可以是在不同物理机上跨域访问,即一物理机上的源VM向另一物理机上的目的VM的访问,图1所示的是第一种情况,图2所示的是第二种情况。
云安全策略同步中心,可以是独立的云计算安全管理平台,也可以是位于云计算安全管理平台上的同步功能模块。在本发明中,云安全策略同步中心主要负责但不限于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
虚拟安全网关设备:虚拟安全网关设备位于hypervisor层(即虚拟机管理层),负责对所有虚拟机的网络通信进行访问控制功能。本发明所述系统中,虚拟安全网关设备包括三个独立的组件:安全仓库,负责维护本物理机上所有VM的安全信息,如虚拟机所属安全域信息、虚拟机标识等,并负责为VM生成安全控制包,安全仓库与云安全策略同步中心交互获得最新的安全信息;访问控制策略组件,负责维护本物理机上所有VM的访问控制策略信息,访问控制策略组件与云安全策略同步中心交互获得最新的访问控制策略信息;过滤器,负责对网络通信数据流进行监控,根据安全控制策略选择阻止访问或允许访问,将安全仓库生成的安全控制包插入网络通信数据流。本发明所述系统部署安全仓库和访问控制策略组件均与云安全策略同步中心相连以实现安全策略信息的获取,利用安全仓库维护虚拟机安全信息,根据访问控制策略组件获取安全策略,由过滤器在虚拟机网络通信数据包中插入安全控制包作为安全报文,来实现对虚拟安全域的访问控制功能。同时通过安全反馈包动态调整访问控制策略,构造了一种自适应的云环境虚拟安全域访问控制系统,可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流。
本发明所述系统通过虚拟安全网关设备来达到对网络通信数据流进行访问监控的目的。虚拟安全网关设备通过安全仓库和访问控制策略组件与云安全策略同步中心交互获得的相关安全策略数据信息,并通过过滤器对虚拟机管理层上的虚拟机的网络通信行为进行监控,根据源虚拟机和目的虚拟机是否在同一物理机上,访问控制流程略有不同:对于图1所示的同一物理机内部的网络通信数据流直接进行访问控制;对于图2所示的跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据包,并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
具体地,源VM和目的VM在同一物理机上跨域访问控制的优选流程如图3所示,包括下述步骤:
1)、虚拟安全网关设备定期和云安全策略同步中心同步安全策略信息,此处的同步安全策略信息包括同步安全信息和同步访问控制策略信息,具体是安全仓库与云安全策略同步中心交互获得安全信息,访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息;
2)、源VM发出网络访问请求数据包;
3)、过滤器将此网络访问请求数据包拦截下来,并查询访问控制策略组件和安全仓库,以根据安全策略决定是否允许此网络访问请求通过;
4)、如果安全策略不允许此访问,过滤器将该网络访问请求数据包丢弃,并通知源VM;
5)、如果安全策略允许此访问,过滤器将该网络访问请求数据包放行,并放行之后所有的同策略的网络通信数据流(或者说是将之后的同策略的网络通信数据流中的数据包均放行至目的VM)。过滤器对网络请求数据包之后的同策略的网络通信数据流中的各数据包只接收查看即可放行。
具体地,源VM和目的VM在不同物理机上跨域访问控制的优选流程如图4所示,包括下述步骤:
1)、虚拟安全网关设备定期和云安全策略同步中心同步安全策略信息,此处的同步安全策略信息包括同步安全信息和同步访问控制策略信息;
2)、源VM发出网络访问请求数据包;
3)、过滤器将此网络访问请求数据包拦截下来,并查询访问控制策略组件和安全仓库,以根据安全策略决定是否允许此网络访问请求通过;
4)、如果安全策略不允许此访问,过滤器将该网络访问请求数据包丢弃,并通知源VM;
5)、如果安全策略允许此访问,过滤器根据源VM的安全信息生成安全控制包,并将安全控制包插在网络通信数据流中,优选可插在网络通信数据流的各数据包的前面;此时的安全控制包内含有源VM的安全信息,并作为整个网络通信数据流的触发包以跨物理机访问请求的方式发送;
6)、目的VM的虚拟安全网关设备通过内部的过滤器收到此含有安全控制包的网络通信数据流后,首先查询访问控制策略组件和安全仓库中的控制策略和安全信息,并根据安全控制包的信息来决定是否允许此跨物理机访问请求通过;如果安全策略允许此访问请求,则将此网络通信数据流的各数据包放行给目的VM;
7)、如果安全策略不允许此跨物理机访问请求,或对跨物理机访问有特殊限制,目的VM的虚拟安全网关设备生成安全反馈包,并发送给源VM的虚拟安全网关设备;该安全反馈包包含动态调整访问控制策略信息,如由允许访问调整为禁止访问,或将网络通信数据流的速度进行调整,或按照预定的时间进行网络通信数据流的发送等;安全反馈包可以由本物理机的虚拟安全网关设备中的安全仓库生成,当然,也可以由本物理机的虚拟安全网关设备中的过滤器生成;
8)、源VM的虚拟安全网关设备根据安全反馈包内容由过滤器通知源VM禁止访问,或通过访问控制策略组件根据安全反馈包内容调整访问控制策略,以动态调整网络访问数据流后再进行网络通信数据流的发送,实现跨物理机的自适应访问控制。该网络通信数据流即为网络访问数据流。
本发明还涉及一种自适应云计算环境虚拟安全域访问控制方法,该方法通过在虚拟化技术的hypervisor层部署虚拟安全网关设备来达到对网络通信流进行访问监控的目的,如图5所示流程图,通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息,该安全策略信息可以包括虚拟机的安全信息和访问控制策略信息,根据所述安全策略对hypervisor层之上的虚拟机(VM)的网络通信行为进行监控,对于同一物理机内部的网络通信数据包直接进行访问控制;对于跨物理机的网路通信数据包中增加安全控制包,通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
本发明所述方法中采用的云安全策略同步中心可以为独立的云计算安全管理平台,也可以是位于云计算安全管理平台上的同步功能模块;云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
本发明涉及的自适应云计算环境虚拟安全域访问控制方法,通过在虚拟机管理层部署的虚拟安全网关设备根据与云安全策略同步中心交互获得的安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,能够实现在同一物理机或不同物理机上的跨域访问控制。对于同一物理机内部的网络通信数据流直接进行访问控制是指,源虚拟机和目的虚拟机在同一物理机上,源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截,虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过,当安全策略不允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机;当安全策略允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。对于跨物理机的自适应访问控制是指,源虚拟机和目的虚拟机不在同一物理机上,源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过,在允许所述网络访问时,源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流,目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行,在允许放行时,将网络通信数据流放行给目的虚拟机,在不允许放行时,目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备,所述安全反馈包包含动态调整访问控制策略信息,源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络访问数据流以实现跨物理机的自适应访问控制。
当然,在本发明所述方法中也可以进一步限定所采用的虚拟安全网关设备的结构,设置虚拟安全网关设备包括三个独立的组件:安全仓库、过滤器和访问控制策略组件,此时本发明所述的方法与上述本发明所述的系统相对应。由安全仓库与云安全策略同步中心交互获得安全信息;访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息;过滤器对网络通信数据流进行监控,拦截网络访问请求数据包,并查询访问控制策略组件和安全仓库,以根据安全策略决定是否允许此网络访问请求通过,并在网络通信数据流中插入安全报文,通过安全反馈包动态调整访问控制策略,实现自适应云计算环境虚拟安全域访问控制。其技术实现原理可参考图1和图2所示,图1实现源VM和目的VM在同一物理机上的跨域访问控制,其流程可参考图3所示;图2实现源VM和目的VM在不同物理机上的跨域访问控制,其流程可参考图4所示。
应当指出,以上所述具体实施方式可以使本领域的技术人员更全面地理解本发明创造,但不以任何方式限制本发明创造。因此,尽管本说明书参照附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换,总之,一切不脱离本发明创造的精神和范围的技术方案及其改进,其均应涵盖在本发明创造专利的保护范围当中。
Claims (10)
1.一种自适应云计算环境虚拟安全域访问控制方法,其特征在于,在虚拟机管理层部署虚拟安全网关设备,通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息,并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,对于同一物理机内部的网络通信数据包直接进行访问控制;对于跨物理机的网路通信数据包中增加安全控制包,通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
2.根据权利要求1所述的自适应云计算环境虚拟安全域访问控制方法,其特征在于,所述安全策略信息包括虚拟机的安全信息和访问控制策略信息。
3.根据权利要求1或2所述的自适应云计算环境虚拟安全域访问控制方法,其特征在于,所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块;所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
4.根据权利要求1或2所述的自适应云计算环境虚拟安全域访问控制方法,其特征在于,对于同一物理机内部的网络通信数据流直接进行访问控制是指,源虚拟机和目的虚拟机在同一物理机上,源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截,虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过,当安全策略不允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机;当安全策略允许所述网络访问时,虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。
5.根据权利要求1或2所述的自适应云计算环境虚拟安全域访问控制方法,其特征在于,对于跨物理机的自适应访问控制是指,源虚拟机和目的虚拟机不在同一物理机上,源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过,在允许所述网络访问时,源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流,目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行,在允许放行时,将网络通信数据流放行给目的虚拟机,在不允许放行时,目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备,所述安全反馈包包含动态调整访问控制策略信息,源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。
6.一种自适应云计算环境虚拟安全域访问控制系统,其特征在于,包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心,所述虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件,所述安全仓库和访问控制策略组件均与云安全策略同步中心相连;
所述安全仓库用于维护本物理机上虚拟机的安全信息和为虚拟机生成安全控制包,所述访问控制策略组件用于维护本物理机上虚拟机的访问控制策略信息,所述安全仓库和访问控制策略组件均与云安全策略同步中心交互以获得的安全策略;所述过滤器根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控,对于同一物理机内部的网络通信数据流直接进行访问控制;对于跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据流,并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
7.根据权利要求6所述的自适应云计算环境虚拟安全域访问控制系统,其特征在于,所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块;所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理,维护全局安全策略数据,更新的安全策略配置以及下发安全策略至具体的策略实施点。
8.根据权利要求6或7所述的自适应云计算环境虚拟安全域访问控制系统,其特征在于,所述安全仓库与云安全策略同步中心交互获得安全信息,所述安全信息包括虚拟机所属安全域信息和虚拟机标示信息;所述访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息。
9.根据权利要求8所述的自适应云计算环境虚拟安全域访问控制系统,其特征在于,所述同一物理机内部的网络通信数据流直接进行访问控制是指,源虚拟机和目的虚拟机在同一物理机上,源虚拟机发出网络访问请求数据包后被所述过滤器拦截,所述过滤器查询安全仓库和访问控制策略组件的安全策略以决定是否允许所述网络访问请求通过,当安全策略不允许所述网络访问时,过滤器将所述网络访问请求数据包丢弃并通知源虚拟机;当安全策略允许所述网络访问时,过滤器将所述网络访问请求数据包和之后的同策略网络通信数据流均放行至目的虚拟机。
10.根据权利要求8所述的自适应云计算环境虚拟安全域访问控制系统,其特征在于,所述跨物理机的自适应访问控制是指,源虚拟机和目的虚拟机不在同一物理机上,源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备中的过滤器拦截并根据查询的安全策略决定是否允许所述网络访问请求通过,在允许所述网络访问时,源虚拟机的虚拟安全网关设备的安全仓库生成安全控制包并通过过滤器插入网路通信数据流,目的虚拟机的虚拟安全网关设备的过滤器接收到所述网络通信数据流后根据查询的安全策略决定是否放行,在允许放行时,将网络通信数据流放行给目的虚拟机,在不允许放行时,目的虚拟机的虚拟安全网络设备的过滤器生成安全反馈包发送至源虚拟机的虚拟安全网关设备,所述安全反馈包包含动态调整访问控制策略信息,源虚拟机的虚拟安全网关设备的访问控制策略组件根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310356915.1A CN103458003B (zh) | 2013-08-15 | 2013-08-15 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310356915.1A CN103458003B (zh) | 2013-08-15 | 2013-08-15 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103458003A true CN103458003A (zh) | 2013-12-18 |
CN103458003B CN103458003B (zh) | 2016-11-16 |
Family
ID=49739945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310356915.1A Active CN103458003B (zh) | 2013-08-15 | 2013-08-15 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103458003B (zh) |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
CN104158826A (zh) * | 2014-09-04 | 2014-11-19 | 中电长城网际系统应用有限公司 | 一种面向虚拟机迁移的调度方法及其系统 |
CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
CN104283870A (zh) * | 2014-09-18 | 2015-01-14 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种云桌面的网络访问控制方法 |
WO2015176682A1 (en) * | 2014-05-22 | 2015-11-26 | Hangzhou H3C Technologies Co., Ltd. | Forwarding a packet |
CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
CN106411818A (zh) * | 2015-07-30 | 2017-02-15 | 中国移动通信集团河北有限公司 | 安全域结构检查方法及装置 |
CN103780683B (zh) * | 2014-01-08 | 2017-04-05 | 同济大学 | 一种在xia孤岛之间进行虚拟机在线迁移的方法 |
CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
CN107294980A (zh) * | 2017-06-29 | 2017-10-24 | 济南浪潮高新科技投资发展有限公司 | 一种虚拟机网络接入分层控制系统及方法 |
CN107766121A (zh) * | 2017-09-18 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种基于云海os的虚拟机网络信息同步方法与系统 |
CN108833332A (zh) * | 2018-04-11 | 2018-11-16 | 广东省卫生厅政务服务中心 | 基于hypervisor的多租户访问控制方法 |
CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
CN110012033A (zh) * | 2019-05-05 | 2019-07-12 | 深信服科技股份有限公司 | 一种数据传输方法、系统及相关组件 |
TWI690173B (zh) * | 2015-06-16 | 2020-04-01 | 美商英特爾公司 | 供安全性監控虛擬網路功能用的安全個人化之技術 |
CN111083088A (zh) * | 2018-10-19 | 2020-04-28 | 中国电子科技集团公司第十五研究所 | 基于多安全域的云平台分级管理方法及装置 |
CN111885031A (zh) * | 2020-07-13 | 2020-11-03 | 董鹏 | 一种基于会话过程的细粒度访问控制方法及系统 |
CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
US11726953B2 (en) * | 2020-07-15 | 2023-08-15 | International Business Machines Corporation | Synchronizing storage policies of objects migrated to cloud storage |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
CN102811239A (zh) * | 2011-06-03 | 2012-12-05 | 中兴通讯股份有限公司 | 一种虚拟机系统及其安全控制方法 |
-
2013
- 2013-08-15 CN CN201310356915.1A patent/CN103458003B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102075537A (zh) * | 2011-01-19 | 2011-05-25 | 华为技术有限公司 | 一种实现虚拟机间数据传输的方法和系统 |
CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
CN102811239A (zh) * | 2011-06-03 | 2012-12-05 | 中兴通讯股份有限公司 | 一种虚拟机系统及其安全控制方法 |
Cited By (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103763309A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的安全域控制方法和系统 |
CN103763309B (zh) * | 2013-12-31 | 2018-03-30 | 曙光云计算集团有限公司 | 基于虚拟网络的安全域控制方法和系统 |
CN103780683B (zh) * | 2014-01-08 | 2017-04-05 | 同济大学 | 一种在xia孤岛之间进行虚拟机在线迁移的方法 |
WO2015176682A1 (en) * | 2014-05-22 | 2015-11-26 | Hangzhou H3C Technologies Co., Ltd. | Forwarding a packet |
CN104158826B (zh) * | 2014-09-04 | 2017-12-05 | 中电长城网际系统应用有限公司 | 一种面向虚拟机迁移的调度方法及其系统 |
CN104158826A (zh) * | 2014-09-04 | 2014-11-19 | 中电长城网际系统应用有限公司 | 一种面向虚拟机迁移的调度方法及其系统 |
CN104283870A (zh) * | 2014-09-18 | 2015-01-14 | 广东顺德中山大学卡内基梅隆大学国际联合研究院 | 一种云桌面的网络访问控制方法 |
CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
CN104270467B (zh) * | 2014-10-24 | 2017-09-29 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
CN106161522A (zh) * | 2015-04-02 | 2016-11-23 | 华为技术有限公司 | 一种网络设备间的通信方法、网络设备及分布式网络 |
US10721258B2 (en) | 2015-06-16 | 2020-07-21 | Intel Corporation | Technologies for secure personalization of a security monitoring virtual network function |
TWI690173B (zh) * | 2015-06-16 | 2020-04-01 | 美商英特爾公司 | 供安全性監控虛擬網路功能用的安全個人化之技術 |
CN106411818A (zh) * | 2015-07-30 | 2017-02-15 | 中国移动通信集团河北有限公司 | 安全域结构检查方法及装置 |
CN106411818B (zh) * | 2015-07-30 | 2020-07-17 | 中国移动通信集团河北有限公司 | 安全域结构检查方法及装置 |
CN105577702A (zh) * | 2016-03-15 | 2016-05-11 | 耿童童 | 一种虚拟机级安全防护系统及方法 |
CN107172127A (zh) * | 2017-04-21 | 2017-09-15 | 北京理工大学 | 基于多代理的信息安全技术竞赛过程监控方法 |
CN107294980A (zh) * | 2017-06-29 | 2017-10-24 | 济南浪潮高新科技投资发展有限公司 | 一种虚拟机网络接入分层控制系统及方法 |
CN107294980B (zh) * | 2017-06-29 | 2021-01-01 | 浪潮集团有限公司 | 一种虚拟机网络接入分层控制方法 |
CN109413001B (zh) * | 2017-08-15 | 2021-06-22 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN109413001A (zh) * | 2017-08-15 | 2019-03-01 | 东软集团股份有限公司 | 对云计算系统内的交互数据进行安全保护的方法及装置 |
CN107766121B (zh) * | 2017-09-18 | 2021-05-25 | 郑州云海信息技术有限公司 | 一种基于云海os的虚拟机网络信息同步方法与系统 |
CN107766121A (zh) * | 2017-09-18 | 2018-03-06 | 郑州云海信息技术有限公司 | 一种基于云海os的虚拟机网络信息同步方法与系统 |
CN109995738A (zh) * | 2018-01-02 | 2019-07-09 | 中国移动通信有限公司研究院 | 一种访问控制方法、网关及云端服务器 |
CN108833332A (zh) * | 2018-04-11 | 2018-11-16 | 广东省卫生厅政务服务中心 | 基于hypervisor的多租户访问控制方法 |
CN111083088A (zh) * | 2018-10-19 | 2020-04-28 | 中国电子科技集团公司第十五研究所 | 基于多安全域的云平台分级管理方法及装置 |
CN111083088B (zh) * | 2018-10-19 | 2022-03-04 | 中电太极(集团)有限公司 | 基于多安全域的云平台分级管理方法及装置 |
CN110012033A (zh) * | 2019-05-05 | 2019-07-12 | 深信服科技股份有限公司 | 一种数据传输方法、系统及相关组件 |
CN110012033B (zh) * | 2019-05-05 | 2022-03-22 | 深信服科技股份有限公司 | 一种数据传输方法、系统及相关组件 |
CN113407983A (zh) * | 2020-03-16 | 2021-09-17 | 北京国双科技有限公司 | 一种安全策略的下发方法及装置 |
CN111885031A (zh) * | 2020-07-13 | 2020-11-03 | 董鹏 | 一种基于会话过程的细粒度访问控制方法及系统 |
US11726953B2 (en) * | 2020-07-15 | 2023-08-15 | International Business Machines Corporation | Synchronizing storage policies of objects migrated to cloud storage |
Also Published As
Publication number | Publication date |
---|---|
CN103458003B (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103458003A (zh) | 一种自适应云计算环境虚拟安全域访问控制方法和系统 | |
US10848461B2 (en) | Unified security policies across virtual private clouds with overlapping IP address blocks | |
Ding et al. | Software defined networking for security enhancement in wireless mobile networks | |
CN111066300B (zh) | 通过跨多个虚拟私有云共享的控制虚拟私有云为工作负载提供联网和安全 | |
JP7373560B2 (ja) | 相乗的なdnsセキュリティ更新 | |
WO2016180181A1 (zh) | 业务功能的部署方法及装置 | |
CN103905523A (zh) | 一种基于sdn的云计算网络虚拟化实现方法及系统 | |
CN102932380B (zh) | 基于内容分发网络的分布式防恶意攻击方法和系统 | |
CN1874223B (zh) | 实现网络设备mac和ip绑定的接入控制方法 | |
Hu et al. | Anomaly detection system in secure cloud computing environment | |
US9485187B2 (en) | Intelligent software-defined networking based service paths | |
US11336622B2 (en) | Apparatus and method for deploying firewall on SDN and network using the same | |
CN104618379A (zh) | 一种面向idc业务场景的安全服务编排方法及网络结构 | |
CN105049412A (zh) | 一种不同网络间数据安全交换方法、装置及设备 | |
CN105656916A (zh) | 一种云数据中心业务子网的安全管理方法及系统 | |
EP3586485B1 (en) | Firewall rule set composition and decomposition | |
Khan et al. | FML: A novel forensics management layer for software defined networks | |
US9515934B2 (en) | Determining a load distribution for data units at a packet inspection device | |
CN105656978B (zh) | 一种资源共享方法及装置 | |
WO2011103299A1 (en) | The basic architecture for secure internet computers | |
US10965648B2 (en) | Enforcing instructions of a segmentation policy on a network midpoint device | |
US10498700B2 (en) | Transmitting network traffic in accordance with network traffic rules | |
Shaji et al. | Survey on security aspects of distributed software-defined networking controllers in an enterprise SD-WLAN | |
KR20150067044A (ko) | M2m 시스템에서 노드 자원 상태에 따른 공통 서비스 실행 최적화 방법 및 장치 | |
Compastié et al. | A software-defined security strategy for supporting autonomic security enforcement in distributed cloud |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |