CN103810444B - 一种云计算平台中多租户应用隔离的方法和系统 - Google Patents
一种云计算平台中多租户应用隔离的方法和系统 Download PDFInfo
- Publication number
- CN103810444B CN103810444B CN201210460028.4A CN201210460028A CN103810444B CN 103810444 B CN103810444 B CN 103810444B CN 201210460028 A CN201210460028 A CN 201210460028A CN 103810444 B CN103810444 B CN 103810444B
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- user
- application
- security
- security strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Abstract
本发明公开了一种云计算平台中多租户应用隔离的方法,包括:在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后云计算安全管理中心为该用户应用建立权限记录;云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。该方法能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。本发明还公开了一种云计算平台中多租户应用隔离的系统。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及的是一种云计算平台中多租户应用隔离的方法和系统。
背景技术
云计算平台为云应用提供了开发、运行、管理和监控的环境。
在目前的云计算环境中,用户与云计算平台服务提供商之间的关系是不可靠的,这给云计算平台的安全带来了很大的危害。一方面,云计算用户想要确保他们的作业在云计算平台中被正确地运行,他们的数据信息相对于其他用户或组织是不可见的,而且不会被恶意使用;另一方面云计算平台中存在多个用户,它必须得保证少部分用户对平台的不安全操作不能影响到云计算平台本身,造成云计算平台对其他用户无法提供正常的服务。
目前,云计算平台一般采用多租户架构提供服务,以最大化资源使用效率。在多租户架构下,恶意用户或不知情的用户可能会利用平台软件漏洞,对其他用户的应用造成危害。因此,多租户架构的云计算平台,最核心的安全原则就是多租户的应用隔离。应用隔离指的是不同应用之间在运行时不会相互干扰,包括对业务和数据的处理等各个方面。应用隔离保证应用都运行在一个隔离的工作区内,云计算平台提供安全的管理机制对隔离的工作区进行访问控制。
目前的大部分云计算提供商(如亚马逊等)只关注于多租户架构下的用户数据隔离,尚无完善的多租户架构应用隔离解决方案,因此无法提供平台即服务PaaS(Platformas a Service)云计算服务。而另一些云计算提供商(如谷歌等)则通过单租户方式提供PaaS云计算服务,回避多租户安全问题,但随之而来的是资源利用率较低。
因此,完善的多租户应用隔离机制是建立高效安全的云计算基础设施的核心问题。
发明内容
本发明所要解决的技术问题是提供一种云计算平台中多租户应用隔离的方法和系统,能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
为了解决上述技术问题,本发明提供了一种云计算平台中多租户应用隔离的方法,该方法包括:
在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
进一步地,该方法还具有下述特点:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
进一步地,该方法还具有下述特点:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
进一步地,该方法还具有下述特点:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
进一步地,该方法还具有下述特点:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
为了解决上述技术问题,本发明还提供了一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
进一步地,该系统还具有下述特点:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
进一步地,该系统还具有下述特点:
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
进一步地,该系统还具有下述特点:
该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
进一步地,该系统还具有下述特点:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
与现有技术相比,本发明提供的一种云计算平台中多租户应用隔离的方法和系统,云计算安全管理中心与用户之间进行安全签约并为该用户应用建立权限记录,根据该用户应用的环境部署信息和权限记录生成该用户应用的安全策略并同步给云计算管理平台以供其部署和管理用户应用,该方法和系统能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
附图说明
图1为本发明的多租户架构的网络结构示意图。
图2为本发明实施例的云计算平台中多租户应用隔离的方法的流程图。
图3为本发明实施例的云计算平台中多租户应用隔离的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明的云计算平台中多租户应用隔离的方法,基于如图1所示的多租户架构,该架构包括:云计算平台(运行一个或多个用户应用)、云计算管理平台和云计算平台安全管理中心,云计算管理平台和云计算平台安全管理中心通过网络相连接。
如图2所示,本发明实施例提供了一种云计算平台中多租户应用隔离的方法,该方法包括:
S10,在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
S20,云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
S30,所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
该方法进一步包括下述特征:
其中,步骤S10中,所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
其中,所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
其中,所述通用权限信息与具体的云计算平台的实现方式无关。
其中,用户的反馈信息中还可以包括应用信息,应用信息是用户提供的该用户应用的综合信息,比如:应用功能描述,应用预期的访问量,应用的安全性等信息。
其中,权限信息可以包括以下权限类型:文件访问控制权限,网络访问控制权限,资源访问控制权限,接口访问控制权限。其中,对文件访问的控制,比如,禁止对文件系统进行写操作,只能读取该用户应用自身的代码和资源文件;对网络访问的控制,比如,禁止私自使用Socket;对资源访问的控制,比如,对用户应用所签约的系统资源使用配额(分钟配额、每日配额)进行控制,对用户应用所使用的系统资源(CPU、内存、带宽等)进行控制;对接口访问的控制,比如,控制应用访问操作系统API,为不同应用分配不同安全级别的系统调用。具体的权限信息,比如:系统文件读写权限,组文件读写权限,文件所有者读写权限,socket访问权限,CPU占用权限,内存分配大小,带宽占用权限,系统调用权限。
其中,步骤S20中,用户应用的环境部署信息包括:服务器类型、操作系统类型、云计算平台类型、开发语言类型、云平台版本号、部署路径等。
其中,步骤S20中,云计算安全管理中心查询用户应用的权限记录,包括:云计算安全管理中心根据用户应用的用户标识和应用名进行权限记录的查询。
其中,步骤S20中,安全策略是用户应用实际运行的云计算运行环境的权限配置信息。
比如,在生成安全策略时,可以通过调整Web服务器的硬件配置来设置相应的权限。服务器的硬件配置包括处理器、内存、磁盘子系统和网络环境。其中,处理器的运行速度以及操作系统对CPU的利用情况决定了Web服务器的服务能力;内存大小以及存储介质对服务器性能最为关键,内存过小,将增加磁盘I/O频率,从而降低系统效率,内存过大,也不会进一步提高性能,属于资源的浪费。另外,不同语言开发环境所需要的权限存在不同,比如,使用ASP.NET构建WEB应用程序时,由于处理大用户量时内存消耗会成为瓶颈,因此对于ASP.NET应用应该分配较大的内存容量。使用CGI(Common Gateway Interface,通用网关接口)的服务器程序时,由于CGI程序每个客户启动一个新进程,当多用户同时访问CGI服务器时,服务器会因进程过多而加重负担,为保证执行效率,应为CGI应用配置较高的进程配额。
其中,步骤S30中,云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署,包括:云计算管理平台根据所述安全策略分配应用运行所需各项资源、预先设置应用访问的权限。
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
比如,当应用使用CGI服务器处理请求时,由于CGI程序为每个客户启动一个新进程,当多用户同时访问CGI服务器时,服务器会因进程过多而加重负担,此时如果应用频繁调用fork()函数增加新的进程,使得当前的进程数已经达到了安全策略规定的上限,则当应用继续调用fork()时,云计算管理平台将返回调用失败响应,阻止该应用的操作,并返回错误码用于提示用户。
其中,步骤S30中,所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署
其中,云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括在线更新和下线更新;
在线更新是指:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
下线更新是指:将用户应用下线,根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署完成后加载用户应用上线。下线更新可以选择应用的非高峰使用时段或应用的非实时性使用时段。
如图3所示,本发明实施例提供了一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
该系统进一步包括下述特征:
其中,所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
其中,所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
其中,所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
其中,该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
其中,云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括在线更新和下线更新;
在线更新是指:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
下线更新是指:将用户应用下线,根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署完成后加载用户应用上线。下线更新可以选择应用的非高峰使用时段或应用的非实时性使用时段。
上述实施例提供的一种云计算平台中多租户应用隔离的方法和系统,云计算安全管理中心与用户之间进行安全签约并为该用户应用建立权限记录,根据该用户应用的环境部署信息和权限记录生成该用户应用的安全策略并同步给云计算管理平台以供其部署和管理用户应用,该方法和系统能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (10)
1.一种云计算平台中多租户应用隔离的方法,该方法包括:
在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;其中,用户应用的环境部署信息包括:服务器类型、操作系统类型、云计算平台类型、开发语言类型、云平台版本号和部署路径;
所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署,包括:云计算管理平台根据所述安全策略分配应用运行所需各项资源和预先设置应用访问的权限。
2.如权利要求1所述的方法,其特征在于:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
3.如权利要求1或2所述的方法,其特征在于:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
4.如权利要求1或2所述的方法,其特征在于:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
5.如权利要求4所述的方法,其特征在于:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
6.一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;其中,用户应用的环境部署信息包括:服务器类型、操作系统类型、云计算平台类型、开发语言类型、云平台版本号和部署路径;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署,包括:云计算管理平台根据所述安全策略分配应用运行所需各项资源和预先设置应用访问的权限。
7.如权利要求6所述的系统,其特征在于:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
8.如权利要求6或7所述的系统,其特征在于:
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
9.如权利要求6或7所述的系统,其特征在于:
该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
10.如权利要求9所述的系统,其特征在于:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210460028.4A CN103810444B (zh) | 2012-11-15 | 2012-11-15 | 一种云计算平台中多租户应用隔离的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210460028.4A CN103810444B (zh) | 2012-11-15 | 2012-11-15 | 一种云计算平台中多租户应用隔离的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103810444A CN103810444A (zh) | 2014-05-21 |
| CN103810444B true CN103810444B (zh) | 2018-08-07 |
Family
ID=50707193
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210460028.4A Active CN103810444B (zh) | 2012-11-15 | 2012-11-15 | 一种云计算平台中多租户应用隔离的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103810444B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102271265B1 (ko) | 2014-01-21 | 2021-07-01 | 오라클 인터내셔날 코포레이션 | 어플리케이션 서버, 클라우드 또는 다른 환경에서 멀티 테넌시를 지원하기 위한 시스템 및 방법 |
| JP6510568B2 (ja) * | 2014-06-23 | 2019-05-08 | オラクル・インターナショナル・コーポレイション | マルチテナントアプリケーションサーバ環境におけるセキュリティをサポートするためのシステムおよび方法 |
| CN104123616A (zh) * | 2014-07-25 | 2014-10-29 | 南京邮电大学 | 一种面向多租户的云计算系统 |
| CN105183820A (zh) * | 2015-08-28 | 2015-12-23 | 广东创我科技发展有限公司 | 一种支持多租户的大数据平台及租户访问方法 |
| CN105354891A (zh) * | 2015-11-12 | 2016-02-24 | 浪潮软件股份有限公司 | 一种考勤管理的方法及系统 |
| CN105787382B (zh) * | 2016-01-28 | 2018-12-21 | 东软集团股份有限公司 | 访问控制方法和装置 |
| EP3526943A4 (en) * | 2016-10-12 | 2020-05-27 | Nokia Technologies Oy | CLOUD SERVICE SECURITY MANAGEMENT |
| CN110868371B (zh) * | 2018-08-27 | 2022-03-01 | 中国电信股份有限公司 | 安全策略的处理方法、系统、云管理平台和子网管理装置 |
| CN109002298A (zh) * | 2018-10-01 | 2018-12-14 | 曾鸿坤 | 一种第三方平台托管项目通用的自动部署到云平台方法 |
| CN113395271A (zh) * | 2021-06-07 | 2021-09-14 | 武汉卓尔信息科技有限公司 | 一种云计算平台中数据安全访问方法及云计算平台 |
| CN115994036B (zh) * | 2023-03-22 | 2023-06-02 | 北京腾达泰源科技有限公司 | 云平台租户隔离方法、装置、设备及存储介质 |
| CN116708037B (zh) * | 2023-08-07 | 2023-11-24 | 勤源(江苏)科技有限公司 | 云平台访问权限控制方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986274A (zh) * | 2010-11-11 | 2011-03-16 | 东软集团股份有限公司 | 一种私有云环境下资源调配系统及资源调配方法 |
| CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
| CN102571849A (zh) * | 2010-12-24 | 2012-07-11 | 中兴通讯股份有限公司 | 云计算系统及方法 |
| CN102681889A (zh) * | 2012-04-27 | 2012-09-19 | 电子科技大学 | 一种云计算开放平台的调度方法 |
| CN102750602A (zh) * | 2012-04-20 | 2012-10-24 | 广东电网公司信息中心 | 一种云平台异构一体化资源管理系统 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7815100B2 (en) * | 2004-04-30 | 2010-10-19 | Research In Motion Limited | System and method of owner application control of electronic devices |
| CN102447565B (zh) * | 2010-10-11 | 2015-09-09 | 中国电信股份有限公司 | 一种在宽带接入网实现组播控制的方法和系统 |
| CN102467617A (zh) * | 2010-11-04 | 2012-05-23 | 镇江金软计算机科技有限责任公司 | SaaS应用软件的数据隔离方法 |
| CN102098281B (zh) * | 2010-12-07 | 2013-07-03 | 福建三元达软件有限公司 | 在电信运营商业务代理系统上部署广告管理平台的方法 |
| CN102546704B (zh) * | 2010-12-24 | 2016-09-07 | 山东智慧生活数据系统有限公司 | 下一代网络中的云计算系统 |
| CN102427481B (zh) * | 2012-01-12 | 2015-06-24 | 易云捷讯科技(北京)有限公司 | 用于对云计算服务进行管理的系统及云计算管理方法 |
| CN102724176A (zh) * | 2012-02-23 | 2012-10-10 | 北京市计算中心 | 一种面向云计算环境的入侵检测系统 |
| CN102651775B (zh) * | 2012-03-05 | 2015-08-12 | 国家超级计算深圳中心(深圳云计算中心) | 基于云计算的多租户共享对象管理的方法、设备及系统 |
| CN102708316B (zh) * | 2012-04-19 | 2015-04-08 | 北京华胜天成科技股份有限公司 | 一种用于多租户架构中数据隔离的方法 |
-
2012
- 2012-11-15 CN CN201210460028.4A patent/CN103810444B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101986274A (zh) * | 2010-11-11 | 2011-03-16 | 东软集团股份有限公司 | 一种私有云环境下资源调配系统及资源调配方法 |
| CN102571849A (zh) * | 2010-12-24 | 2012-07-11 | 中兴通讯股份有限公司 | 云计算系统及方法 |
| CN102314373A (zh) * | 2011-07-07 | 2012-01-11 | 李鹏 | 一种基于虚拟化技术实现安全工作环境的方法 |
| CN102750602A (zh) * | 2012-04-20 | 2012-10-24 | 广东电网公司信息中心 | 一种云平台异构一体化资源管理系统 |
| CN102681889A (zh) * | 2012-04-27 | 2012-09-19 | 电子科技大学 | 一种云计算开放平台的调度方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103810444A (zh) | 2014-05-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103810444B (zh) | 一种云计算平台中多租户应用隔离的方法和系统 | |
| US11848982B2 (en) | Access services in hybrid cloud computing systems | |
| US11310108B2 (en) | Secure configuration of cloud computing nodes | |
| US10530775B2 (en) | Usage tracking in hybrid cloud computing systems | |
| US8631459B2 (en) | Policy and compliance management for user provisioning systems | |
| US10678657B1 (en) | Reversion operations for virtual computing environments | |
| US9178698B1 (en) | Dynamic key management | |
| KR102134491B1 (ko) | 보호된 데이터 세트의 네트워크 기반 관리 기법 | |
| US9591079B2 (en) | Method and apparatus for managing sessions of different websites | |
| KR20130114575A (ko) | 프로비저닝 서비스를 위한 리더 중재 | |
| US11190359B2 (en) | Device and system for accessing a distributed ledger | |
| US11736299B2 (en) | Data access control for edge devices using a cryptographic hash | |
| US20240037213A1 (en) | Implementing multi-party authorizations to thwart a ransomware attack | |
| US20160044060A1 (en) | Policy synchronization for multiple devices | |
| US9633120B2 (en) | Continuously blocking query result data for a remote query | |
| Pachghare | Cloud computing | |
| Hawasli | azureLang: a probabilistic modeling and simulation language for cyber attacks in Microsoft Azure cloud infrastructure | |
| Lee et al. | Mobile collaborative computing on the fly | |
| US20240037212A1 (en) | Implementing multi-party authorizations within an identity and access management regime | |
| CN111264050B (zh) | 计算资源的动态部署的受限访问接口 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180514 Address after: 210012 No. 68, Bauhinia Road, Ningnan street, Yuhuatai District, Nanjing, Jiangsu Applicant after: Nanjing Zhongxing Software Co., Ltd. Address before: 518057 Nanshan District high tech Industrial Park, Shenzhen, Guangdong, Ministry of justice, Zhongxing Road, South China road. Applicant before: ZTE Corporation |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191112 Address after: 518057 Nanshan District science and Technology Industrial Park, Guangdong high tech Industrial Park, ZTE building Patentee after: ZTE Communications Co., Ltd. Address before: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Patentee before: Nanjing Zhongxing Software Co., Ltd. |
|
| TR01 | Transfer of patent right |