CN106130969B - 一种云计算网络的安全控制方法、及系统 - Google Patents
一种云计算网络的安全控制方法、及系统 Download PDFInfo
- Publication number
- CN106130969B CN106130969B CN201610450097.5A CN201610450097A CN106130969B CN 106130969 B CN106130969 B CN 106130969B CN 201610450097 A CN201610450097 A CN 201610450097A CN 106130969 B CN106130969 B CN 106130969B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- terminal device
- memory block
- cloud server
- memory space
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种云计算网络的安全控制方法、及系统,其中方法应用于包含云服务器以及终端设备的云计算网络,包括:终端设备向云服务器发送服务请求;云服务器在云服务器内创建针对云计算服务的具体内容的虚拟机;为虚拟机配置针对云计算服务的具体内容的服务参数;云服务器内包含安全运行环境,在安全运行环境下的程序在运行过程不接受外部程序的请求导致的中断以及数据修改;在安全运行环境下运行监测程序对服务参数进行监测,确定虚拟机在运行过程中服务参数是否有被修改,若有并且不是终端设备发送的新的服务请求导致的修改,删除可信的存储空间内保存的选择的存储块与所述虚拟机的对应关系。安全性高并且计算量小。
Description
技术领域
本发明涉及计算机技术领域,特别涉及一种云计算网络的安全控制方法、及系统。
背景技术
云计算网络有两个任务:将资源池变成一个虚拟资源,然后连接所有位置的用户到这些资源。
因此如果云计算网络中出现了病毒将容易导致大规模的扩散,因此云计算网络的安全需要得到保证,需要及时发现云计算网络中存在的不安全因素。
目前广泛使用的安全控制方式是:通过病毒扫描的方式查杀病毒。
但是,由于云计算网络中设备众多,数据量庞大;如果采用病毒扫描的方式对病毒进行查杀,那数据扫描的量将会是海量的,会消耗过多的计算资源。
发明内容
本发明实施例提供了一种云计算网络的安全控制方法、及系统,用于减少计算资源的消耗。
一方面本发明实施例提供了一种云计算网络的安全控制方法,应用于包含云服务器以及终端设备的云计算网络,包括:
所述终端设备向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容;
所述云服务器在所述云服务器内创建针对所述云计算服务的具体内容的虚拟机;在创建所述虚拟机的过程中,从所述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成所述虚拟机的存储空间,将选择的存储块与所述虚拟机的对应关系保存在可信的存储空间内,所述可信的存储空间具有允许所述虚拟机获取所述对应关系以及允许所述云服务器删除和修改所述对应关系,并且拒绝所述云服务器、所述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;为所述虚拟机分配共享存储空间,在所述共享存储空间中存储有所述虚拟机启动和运行所必要的驱动程序以及操作系统;为所述虚拟机配置针对所述云计算服务的具体内容的服务参数;
所述云服务器内包含安全运行环境,在所述安全运行环境下的程序在运行过程不接受外部程序的请求导致的中断以及数据修改;在所述安全运行环境下运行监测程序对所述服务参数进行监测,确定所述虚拟机在运行过程中所述服务参数是否有被修改,若有并且不是所述终端设备发送的新的服务请求导致的修改,则确定所述虚拟机存在安全风险,删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系。
在一个可能的实现方式中,所述为所述虚拟机配置针对所述云计算服务的具体内容的服务参数包括:
针对所述云计算服务的具体内容为所述虚拟机配置的向外部发送数据的权限和所述终端设备对所述虚拟机的操作权限。
在一个可能的实现方式中,所述服务请求指定了云计算服务的具体内容包括:
所述服务请求指定了与所述终端设备的用户身份相适应的虚拟机创建请求,以及与所述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
在一个可能的实现方式中,所述方法还包括:
所述终端设备显示一段随机生成的文字信息并提示所述终端设备的当前的用户读所述文字信息;通过音频采集设备采集所述用户读所述文字信息的音频数据,对所述音频数据进行特征提取得到语音特征;
所述终端设备从数据库中查找与所述语音特征匹配的用户身份信息,并确定所述用户身份信息在所述数据库中保存的密码所包含的密码类型;所述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
所述终端设备在所述终端设备中显示提示信息,提示所述用户输入所述用户设置的密码的密码类型,并显示至少三个且种类大于所述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
所述终端设备接收所述用户从显示的密码类型中选择的密码类型,若所述用户从显示的密码类型中选择的密码类型与所述数据库中保存的密码所包含的密码类型相同,则确定所述用户为所述用户身份信息所对应的用户身份;
所述终端设备在发送所述服务请求时,在所述服务请求内携带所述用户身份的信息。
在一个可能的实现方式中,所述删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系之后,所述方法还包括:
将所述选择的存储块记录为未分配的存储块,且不删除所述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间。
在一个可能的实现方式中,在所述共享存储空间中存储的所述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,所述沙箱具有输入接口以及输出接口;所述输入接口具有过滤对所述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
二方面本发明实施例还提供了一种云计算网络系统,包括:终端设备和云服务器;
所述终端设备,用于向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容;
所述云服务器在所述云服务器内创建针对所述云计算服务的具体内容的虚拟机;在创建所述虚拟机的过程中,从所述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成所述虚拟机的存储空间,将选择的存储块与所述虚拟机的对应关系保存在可信的存储空间内,所述可信的存储空间具有允许所述虚拟机获取所述对应关系以及允许所述云服务器删除和修改所述对应关系,并且拒绝所述云服务器、所述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;并为所述虚拟机分配共享存储空间,在所述共享存储空间中存储有所述虚拟机启动和运行所必要的驱动程序以及操作系统;为所述虚拟机配置针对所述云计算服务的具体内容的服务参数;
所述云服务器内包含安全运行环境,在所述安全运行环境下的程序运行过程不接受外部程序的请求导致的中断以及数据修改;在所述安全运行环境下运行监测程序对所述服务参数进行监测,确定所述虚拟机在运行过程中所述服务参数是否有被修改,若有并且不是所述终端设备发送的新的服务请求导致的修改,则确定所述虚拟机存在安全风险,删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系。
在一个可能的实现方式中,所述云服务器,用于所述为所述虚拟机配置针对所述云计算服务的具体内容的服务参数包括:具体用于针对所述云计算服务的具体内容为所述虚拟机配置的向外部发送数据的权限和所述终端设备对所述虚拟机的操作权限;
所述终端设备,用于向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容包括:具体用于向所述云服务器发送服务请求,所述服务请求指定了与所述终端设备的用户身份相适应的虚拟机创建请求,以及与所述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
在一个可能的实现方式中,所述终端设备,还用于显示一段随机生成的文字信息并提示所述终端设备的当前的用户读所述文字信息;通过音频采集设备采集所述用户读所述文字信息的音频数据,对所述音频数据进行特征提取得到语音特征;
从数据库中查找与所述语音特征匹配的用户身份信息,并确定所述用户身份信息在所述数据库中保存的密码所包含的密码类型;所述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
在所述终端设备中显示提示信息,提示所述用户输入所述用户设置的密码的密码类型,并显示至少三个且种类大于所述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
所述终端设备接收所述用户从显示的密码类型中选择的密码类型,若所述用户从显示的密码类型中选择的密码类型与所述数据库中保存的密码所包含的密码类型相同,则确定所述用户为所述用户身份信息所对应的用户身份;
在发送所述服务请求时,在所述服务请求内携带所述用户身份的信息。
在一个可能的实现方式中,所述云服务器,还用于在删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系之后,将所述选择的存储块记录为未分配的存储块,且不删除所述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间;
在所述共享存储空间中存储的所述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,所述沙箱具有输入接口以及输出接口;所述输入接口具有过滤对所述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
从以上技术方案可以看出,本发明实施例具有以下优点:该监测程序被攻击导致不能准确监测的可能性被消除,从而保证监测结果的准确性;另外,结合虚拟机创建的过程中,虚拟机的存储空间的组成方式、基于存储块与虚拟机的对应关系的特性所设计的可信的存储空间的特征,以及在发现虚拟机存在安全风险后的对应关系删除,那么可以极大降低虚拟机内的数据被恢复的可能性,一方面可以防止数据内容被泄露,另一方面可以大大降低病毒软件本身被恢复的可能性;再次,该方案不需要对云计算网络内的所有文件进行病毒扫描,因此数据处理量将会极少,可以提高整个云计算系统的性能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例方法流程示意图;
图2为本发明实施例系统架构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种云计算网络的安全控制方法,应用于包含云服务器以及终端设备的云计算网络,如图1所示,包括:
101:上述终端设备向上述云服务器发送服务请求,上述服务请求指定了云计算服务的具体内容;
在本实施例中,云计算服务的具体内容,可以是云计算服务所需要的具体服务内容,比如:报表合并的服务,或者,数据挖掘的大数据计算服务,等等;云计算服务的具体内容依需求不同可能会有所不同,本发明实施例对此不作唯一性限定。
102:上述云服务器在上述云服务器内创建针对上述云计算服务的具体内容的虚拟机;在创建上述虚拟机的过程中,从上述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成上述虚拟机的存储空间,将选择的存储块与上述虚拟机的对应关系保存在可信的存储空间内,上述可信的存储空间具有允许上述虚拟机获取上述对应关系以及允许上述云服务器删除和修改上述对应关系,并且拒绝上述云服务器、上述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;并为上述虚拟机分配共享存储空间,在上述共享存储空间中存储有上述虚拟机启动和运行所必要的驱动程序以及操作系统;为上述虚拟机配置针对上述云计算服务的具体内容的服务参数;
虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。因此虚拟机会像硬件设备一样具有存储空间:磁盘;本发明实施例中的存储块,是由供云服务器管理的磁盘分块得到的,这些存储块最初在存储空间(即:存储地址)上是连续的,以随机分配存储块的方式可以使最终以存储块组成虚拟机的磁盘后各存储块在存储空间上不连续,那么虚拟机内的磁盘被分配给另一虚拟机使用,并因此导致数据被恢复的可能性就会极低;另外,存储块与虚拟机的对应关系保存在可信的存储空间内,那么被窃取的可能性就会极低,进一步加强虚拟机本身数据的安全性。在共享存储空间中存储上述虚拟机启动和运行所必要的驱动程序以及操作系统,则可以一方面节省重复功能的虚拟机对存储空间的占用,另外,也方便云服务器批量地对具有同一云计算服务的具体内容的虚拟机进行统一管理。
103:上述云服务器内包含安全运行环境,在上述安全运行环境下的程序在运行过程不接受外部程序的请求导致的中断以及数据修改;在上述安全运行环境下运行监测程序对上述服务参数进行监测,确定上述虚拟机在运行过程中上述服务参数是否有被修改,若有并且不是上述终端设备发送的新的服务请求导致的修改,则确定上述虚拟机存在安全风险,删除上述可信的存储空间内保存的上述选择的存储块与上述虚拟机的对应关系。
在本实施例中,安全运行环境可以是以硬件形式写入嵌入式软件的方式提供的安全运行环境,该安全运行环境独立于虚拟机之外,不受虚拟机的影响,还可以进一步属于云服务器的独立运行环境,不受云服务器内运行的其他软件的影响,因此该监测程序被攻击导致不能准确监测的可能性被消除,从而保证监测结果的准确性;另外,结合虚拟机创建的过程中,存储空间的组成方式,以及在发现虚拟机存在安全风险后的对应关系删除,那么可以极大降低虚拟机内的数据被恢复的可能性,一方面可以防止数据内容被泄露,另一方面可以大大降低病毒软件本身被恢复的可能性;再次,该方案不需要对云计算网络内的所有文件进行病毒扫描,因此数据处理量将会极少,可以提高整个云计算系统的性能。
可选地,上述为上述虚拟机配置针对上述云计算服务的具体内容的服务参数包括:
针对上述云计算服务的具体内容为上述虚拟机配置的向外部发送数据的权限和上述终端设备对上述虚拟机的操作权限。
以上两个权限是针对安全服务所特别设计的权限,可以相应减少需要监测的服务参数的量,从而减少数据处理量,相应提高发现服务参数被修改的速度。
可选地,上述服务请求指定了云计算服务的具体内容包括:
上述服务请求指定了与上述终端设备的用户身份相适应的虚拟机创建请求,以及与上述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
本实施例提供了一个具体的应用场景,即:用户在云端创建自己私有的虚拟机。结合前述实施例,那么可以应用在大型公司,为员工创建专属的虚拟机,从而实现异地办公更方便,并且员工的专属虚拟机相互独立且不会相互感染病毒。
进一步地,上述方法还包括:
上述终端设备显示一段随机生成的文字信息并提示上述终端设备的当前的用户读上述文字信息;通过音频采集设备采集上述用户读上述文字信息的音频数据,对上述音频数据进行特征提取得到语音特征;
上述终端设备从数据库中查找与上述语音特征匹配的用户身份信息,并确定上述用户身份信息在上述数据库中保存的密码所包含的密码类型;上述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
上述终端设备在上述终端设备中显示提示信息,提示上述用户输入上述用户设置的密码的密码类型,并显示至少三个且种类大于上述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
上述终端设备接收上述用户从显示的密码类型中选择的密码类型,若上述用户从显示的密码类型中选择的密码类型与上述数据库中保存的密码所包含的密码类型相同,则确定上述用户为上述用户身份信息所对应的用户身份;
上述终端设备在发送上述服务请求时,在上述服务请求内携带上述用户身份的信息。
本实施例,不用用户记住自己设置的密码,仅需要记得密码有哪些密码类型就可以了,例如:zhongguo123,包含两种密码类型:字母小写和数字。用随机生成的文字信息,用户读一遍就可以了,终端设备分析语音数据得到语音特征;由于文字信息是随机生成的,这可以避免用户语音被录下来导致的安全风险;另外,这步虽然可以实现用户身份的确定,但是有可能存在错误;这种错误有可能是语音特征较少导致的,或者其他原因导致的,例如:用户的声音被模仿;那么通过密码的第二次认证可以消除这种情况的发生,进一步提高安全性。
另外,为了降低密码类型被蒙对的可能性,本实施例还特别设定了供选择的密码类型的数量;另外,还可以在用户设置密码的时候,提示用户选择两种或者两种以上的密码类型,但是不必要用户一定输入了两种或者两种以上的密码类型。
其中,确定上述用户为所述用户身份信息所对应的用户身份,应该理解为:确定上述用户的身份为上述用户身份信息所对应的用户身份。
进一步地,上述删除上述可信的存储空间内保存的上述选择的存储块与上述虚拟机的对应关系之后,上述方法还包括:
将上述选择的存储块记录为未分配的存储块,且不删除上述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间。
在本实施例中,由于存储块是随机分配的,虚拟机内的数据被拆分过,因此被恢复的可能性极低,那么在删除虚拟机的时候,可以不必删除这些数据提高磁盘的寿命。
可选地,在上述共享存储空间中存储的上述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,上述沙箱具有输入接口以及输出接口;上述输入接口具有过滤对上述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
基于共享存储空间内存储的数据内容的特性,首先需要保证其安全性,另外数据内容有一定的数据输入输出需求,因此提供了进行过安全设定的接口来穿透沙箱;一方面可以利用沙箱所具有的安全控制功能,另一方面又可以实现必要的数据通讯功能,第三方面还可以共享这部分数据内容节省存储空间。
沙箱是一种按照安全策略限制程序行为的执行环境。早期主要用于测试可疑软件等,比如黑客们为了试用某种病毒或者不安全产品,往往可以将它们在沙箱环境中运行,因此沙箱本身是封闭的环境可以控制病毒的传播,本实施例中提供了一个输入接口以及输出接口,规定了输入输出接口所接收指令的类型,保证其安全性。
本发明实施例还提供了一种云计算网络系统,如图2所示,包括:终端设备和云服务器;
其中,上述终端设备,用于向上述云服务器发送服务请求,上述服务请求指定了云计算服务的具体内容;
上述云服务器在上述云服务器内创建针对上述云计算服务的具体内容的虚拟机;在创建上述虚拟机的过程中,从上述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成上述虚拟机的存储空间,将选择的存储块与上述虚拟机的对应关系保存在可信的存储空间内,上述可信的存储空间具有允许上述虚拟机获取上述对应关系以及允许上述云服务器删除和修改上述对应关系,并且拒绝上述云服务器、上述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;并为上述虚拟机分配共享存储空间,在上述共享存储空间中存储有上述虚拟机启动和运行所必要的驱动程序以及操作系统;为上述虚拟机配置针对上述云计算服务的具体内容的服务参数;
上述云服务器内包含安全运行环境,在上述安全运行环境下的程序运行过程不接受外部程序的请求导致的中断以及数据修改;在上述安全运行环境下运行监测程序对上述服务参数进行监测,确定上述虚拟机在运行过程中上述服务参数是否有被修改,若有并且不是上述终端设备发送的新的服务请求导致的修改,则确定上述虚拟机存在安全风险,删除上述可信的存储空间内保存的上述选择的存储块与上述虚拟机的对应关系。
可选地,上述云服务器,用于上述为上述虚拟机配置针对上述云计算服务的具体内容的服务参数包括:具体用于针对上述云计算服务的具体内容为上述虚拟机配置的向外部发送数据的权限和上述终端设备对上述虚拟机的操作权限;
上述终端设备,用于向上述云服务器发送服务请求,上述服务请求指定了云计算服务的具体内容包括:具体用于向上述云服务器发送服务请求,上述服务请求指定了与上述终端设备的用户身份相适应的虚拟机创建请求,以及与上述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
进一步地,上述终端设备,还用于显示一段随机生成的文字信息并提示上述终端设备的当前的用户读上述文字信息;通过音频采集设备采集上述用户读上述文字信息的音频数据,对上述音频数据进行特征提取得到语音特征;
从数据库中查找与上述语音特征匹配的用户身份信息,并确定上述用户身份信息在上述数据库中保存的密码所包含的密码类型;上述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
在上述终端设备中显示提示信息,提示上述用户输入上述用户设置的密码的密码类型,并显示至少三个且种类大于上述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
上述终端设备接收上述用户从显示的密码类型中选择的密码类型,若上述用户从显示的密码类型中选择的密码类型与上述数据库中保存的密码所包含的密码类型相同,则确定上述用户为上述用户身份信息所对应的用户身份;
在发送上述服务请求时,在上述服务请求内携带上述用户身份的信息。
进一步地,上述云服务器,还用于在删除上述可信的存储空间内保存的上述选择的存储块与上述虚拟机的对应关系之后,将上述选择的存储块记录为未分配的存储块,且不删除上述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间;
在上述共享存储空间中存储的上述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,上述沙箱具有输入接口以及输出接口;上述输入接口具有过滤对上述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
本领域普通技术人员可以理解实现上述各方法实施例中的全部或部分步骤是可以通过程序来指令相关的硬件完成,相应的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (10)
1.一种云计算网络的安全控制方法,应用于包含云服务器以及终端设备的云计算网络,其特征在于,包括:
所述终端设备向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容;
所述云服务器在所述云服务器内创建针对所述云计算服务的具体内容的虚拟机;在创建所述虚拟机的过程中,从所述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成所述虚拟机的存储空间,将选择的存储块与所述虚拟机的对应关系保存在可信的存储空间内,所述可信的存储空间具有允许所述虚拟机获取所述对应关系以及允许所述云服务器删除和修改所述对应关系,并且拒绝所述云服务器、所述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;为所述虚拟机分配共享存储空间,在所述共享存储空间中存储有所述虚拟机启动和运行所必要的驱动程序以及操作系统;为所述虚拟机配置针对所述云计算服务的具体内容的服务参数;
所述云服务器内包含安全运行环境,在所述安全运行环境下的程序在运行过程不接受外部程序的请求导致的中断以及数据修改;在所述安全运行环境下运行监测程序对所述服务参数进行监测,确定所述虚拟机在运行过程中所述服务参数是否有被修改,若有并且不是所述终端设备发送的新的服务请求导致的修改,则确定所述虚拟机存在安全风险,删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系。
2.根据权利要求1所述方法,其特征在于,所述为所述虚拟机配置针对所述云计算服务的具体内容的服务参数包括:
针对所述云计算服务的具体内容为所述虚拟机配置的向外部发送数据的权限和所述终端设备对所述虚拟机的操作权限。
3.根据权利要求1或2所述方法,其特征在于,所述服务请求指定了云计算服务的具体内容包括:
所述服务请求指定了与所述终端设备的用户身份相适应的虚拟机创建请求,以及与所述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
4.根据权利要求3所述方法,其特征在于,所述方法还包括:
所述终端设备显示一段随机生成的文字信息并提示所述终端设备的当前的用户读所述文字信息;通过音频采集设备采集所述用户读所述文字信息的音频数据,对所述音频数据进行特征提取得到语音特征;
所述终端设备从数据库中查找与所述语音特征匹配的用户身份信息,并确定所述用户身份信息在所述数据库中保存的密码所包含的密码类型;所述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
所述终端设备在所述终端设备中显示提示信息,提示所述用户输入所述用户设置的密码的密码类型,并显示至少三个且种类大于所述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
所述终端设备接收所述用户从显示的密码类型中选择的密码类型,若所述用户从显示的密码类型中选择的密码类型与所述数据库中保存的密码所包含的密码类型相同,则确定所述用户为所述用户身份信息所对应的用户身份;
所述终端设备在发送所述服务请求时,在所述服务请求内携带所述用户身份的信息。
5.根据权利要求4所述方法,其特征在于,所述删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系之后,所述方法还包括:
将所述选择的存储块记录为未分配的存储块,且不删除所述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间。
6.根据权利要求5所述方法,其特征在于,
在所述共享存储空间中存储的所述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,所述沙箱具有输入接口以及输出接口;所述输入接口具有过滤对所述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
7.一种云计算网络系统,包括:终端设备和云服务器,其特征在于,
所述终端设备,用于向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容;
所述云服务器在所述云服务器内创建针对所述云计算服务的具体内容的虚拟机;在创建所述虚拟机的过程中,从所述云服务器的存储块中以随机方式选择在存储空间不连续的存储块组成所述虚拟机的存储空间,将选择的存储块与所述虚拟机的对应关系保存在可信的存储空间内,所述可信的存储空间具有允许所述虚拟机获取所述对应关系以及允许所述云服务器删除和修改所述对应关系,并且拒绝所述云服务器、所述终端设备以及其他任意设备的其他操作的功能;记录选择的存储块为已分配的存储块,在新创建其他虚拟机时不再次分配记录为已分配的存储块;并为所述虚拟机分配共享存储空间,在所述共享存储空间中存储有所述虚拟机启动和运行所必要的驱动程序以及操作系统;为所述虚拟机配置针对所述云计算服务的具体内容的服务参数;
所述云服务器内包含安全运行环境,在所述安全运行环境下的程序运行过程不接受外部程序的请求导致的中断以及数据修改;在所述安全运行环境下运行监测程序对所述服务参数进行监测,确定所述虚拟机在运行过程中所述服务参数是否有被修改,若有并且不是所述终端设备发送的新的服务请求导致的修改,则确定所述虚拟机存在安全风险,删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系。
8.根据权利要求7所述系统,其特征在于,
所述云服务器,用于所述为所述虚拟机配置针对所述云计算服务的具体内容的服务参数包括:具体用于针对所述云计算服务的具体内容为所述虚拟机配置的向外部发送数据的权限和所述终端设备对所述虚拟机的操作权限;
所述终端设备,用于向所述云服务器发送服务请求,所述服务请求指定了云计算服务的具体内容包括:具体用于向所述云服务器发送服务请求,所述服务请求指定了与所述终端设备的用户身份相适应的虚拟机创建请求,以及与所述终端设备的用户身份相适应的需要创建的虚拟机所具有的权限以及包含的数据内容。
9.根据权利要求8所述系统,其特征在于,
所述终端设备,还用于显示一段随机生成的文字信息并提示所述终端设备的当前的用户读所述文字信息;通过音频采集设备采集所述用户读所述文字信息的音频数据,对所述音频数据进行特征提取得到语音特征;
从数据库中查找与所述语音特征匹配的用户身份信息,并确定所述用户身份信息在所述数据库中保存的密码所包含的密码类型;所述密码类型的组合包含:数字、字母大写、字母小写、数学符号、标点符号中的至少一项;
在所述终端设备中显示提示信息,提示所述用户输入所述用户设置的密码的密码类型,并显示至少三个且种类大于所述数据库中保存的密码所包含的密码类型两倍的密码类型供选择;
所述终端设备接收所述用户从显示的密码类型中选择的密码类型,若所述用户从显示的密码类型中选择的密码类型与所述数据库中保存的密码所包含的密码类型相同,则确定所述用户为所述用户身份信息所对应的用户身份;
在发送所述服务请求时,在所述服务请求内携带所述用户身份的信息。
10.根据权利要求7所述系统,其特征在于,
所述云服务器,还用于在删除所述可信的存储空间内保存的所述选择的存储块与所述虚拟机的对应关系之后,将所述选择的存储块记录为未分配的存储块,且不删除所述选择的存储块内存储的数据内容;在有需求创建新的虚拟机时,从未分配的存储块内以随机方式选择在存储空间不连续的存储块组成待创建的新的虚拟机的存储空间;
在所述共享存储空间中存储的所述虚拟机启动和运行所必要的驱动程序以及操作系统安装于沙箱内,所述沙箱具有输入接口以及输出接口;所述输入接口具有过滤对所述共享存储空间中存储的任意数据进行修改的指令的过滤功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610450097.5A CN106130969B (zh) | 2016-06-21 | 2016-06-21 | 一种云计算网络的安全控制方法、及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610450097.5A CN106130969B (zh) | 2016-06-21 | 2016-06-21 | 一种云计算网络的安全控制方法、及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106130969A CN106130969A (zh) | 2016-11-16 |
CN106130969B true CN106130969B (zh) | 2019-03-29 |
Family
ID=57471196
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610450097.5A Active CN106130969B (zh) | 2016-06-21 | 2016-06-21 | 一种云计算网络的安全控制方法、及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106130969B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108021400B (zh) * | 2017-11-29 | 2022-03-29 | 腾讯科技(深圳)有限公司 | 数据处理方法及装置、计算机存储介质及设备 |
CN110287252A (zh) * | 2019-06-27 | 2019-09-27 | 南方电网科学研究院有限责任公司 | 一种数据安全防护系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102298929A (zh) * | 2010-06-23 | 2011-12-28 | 上海博路信息技术有限公司 | 一种基于语音识别的呼叫中心用户识别方法 |
CN103490941A (zh) * | 2013-03-07 | 2014-01-01 | 中标软件有限公司 | 一种云计算环境中实时监控在线配置方法 |
CN104767741A (zh) * | 2015-03-24 | 2015-07-08 | 杭州安恒信息技术有限公司 | 一种基于轻型虚拟机的计算服务分离与安全保护系统 |
US9313194B2 (en) * | 2014-08-28 | 2016-04-12 | International Business Machines Corporation | Verification of configuration using an encoded visual representation |
-
2016
- 2016-06-21 CN CN201610450097.5A patent/CN106130969B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102298929A (zh) * | 2010-06-23 | 2011-12-28 | 上海博路信息技术有限公司 | 一种基于语音识别的呼叫中心用户识别方法 |
CN103490941A (zh) * | 2013-03-07 | 2014-01-01 | 中标软件有限公司 | 一种云计算环境中实时监控在线配置方法 |
US9313194B2 (en) * | 2014-08-28 | 2016-04-12 | International Business Machines Corporation | Verification of configuration using an encoded visual representation |
CN104767741A (zh) * | 2015-03-24 | 2015-07-08 | 杭州安恒信息技术有限公司 | 一种基于轻型虚拟机的计算服务分离与安全保护系统 |
Also Published As
Publication number | Publication date |
---|---|
CN106130969A (zh) | 2016-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10868673B2 (en) | Network access control based on distributed ledger | |
US9912695B1 (en) | Techniques for using a honeypot to protect a server | |
US9112935B2 (en) | Manipulating binary large objects | |
KR101824980B1 (ko) | 모바일 디바이스 관리 타입 보안을 위한 보안 클라이언트 디바이스 매핑 및 파일 저장 시스템 | |
CN105488431A (zh) | 区块链系统权限管理方法和装置 | |
CN110414268A (zh) | 访问控制方法、装置、设备及存储介质 | |
CN103607385A (zh) | 基于浏览器进行安全检测的方法和装置 | |
CN106951781A (zh) | 勒索软件防御方法和装置 | |
CN104811473B (zh) | 一种创建虚拟非易失性存储介质的方法、系统及管理系统 | |
US9779250B1 (en) | Intelligent application wrapper | |
CN107944292B (zh) | 一种隐私数据保护方法及系统 | |
CN101593252B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
CN102346823B (zh) | 一种互联网中用户登录的方法及系统 | |
CN107786551B (zh) | 访问内网服务器的方法及控制访问内网服务器的装置 | |
US9378374B2 (en) | Method and device for prompting program uninstallation | |
US20230336421A1 (en) | Virtualized Network Functions | |
CN106130968B (zh) | 一种身份认证方法、及系统 | |
CN106098069A (zh) | 一种身份认证方法、及终端设备 | |
CN106130969B (zh) | 一种云计算网络的安全控制方法、及系统 | |
CN105069366B (zh) | 一种账户登录和管理方法及装置 | |
CN103067246B (zh) | 对基于即时通讯业务接收到的文件进行处理的方法及装置 | |
CN106021027A (zh) | 终端数据处理方法和系统 | |
CN105871928B (zh) | 一种分布式网络的安全控制方法及系统 | |
CN108229162A (zh) | 一种云平台虚拟机完整性校验的实现方法 | |
US10693731B2 (en) | Flow entry management method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |