云计算平台中的用户安全管理方法
【技术领域】
[0001]本发明涉及云计算,特别涉及一种云计算平台中的用户安全管理方法。
【背景技术】
[0002]由于云计算的灵活、低成本特点,越来越多的传统服务被部署到云平台。然而,云计算给人们带来便利的同时,也面临着较大的安全挑战,甚至已经影响到云计算的快速发展。一方面在多用户共享计算资源的模式下,用户的资源可能受到来自其他恶意用户的威胁;另一方面用户担心自己的资源遭到云平台内部管理的威胁。现有技术均在认为整个虚拟机监视器为可信的情况下完成,而实际上虚拟机监视器自身也可能成为被攻击的目标。虚拟机监视器同时提供了虚拟机之间的内存共享方法,这可能被恶意虚拟机利用,也可能导致缺少经验的管理者或者用户因为错误配置造成违反安全规则的共享,或恶意获取的用户隐私。
【发明内容】
[0003]为解决上述现有技术所存在的问题,本发明提出了一种云计算平台中的用户安全管理方法,包括:
[0004]在规则库中,通过创建多个管理接口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离。
[0005]优选地,所述创建多个管理接口,进一步包括:
[0006]在管理域增加系统管理接口、安全管理接口和日志管理接口;其中,所述系统管理用于管理虚拟资源,完成创建、分配虚拟机资源的操作;所述安全管理用于完成授权和虚拟机安全访问规则配置,将由原来的管理域移动到专用的可信环境虚拟机中;所述日志管理用于从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,提供查询接口并防止日志被篡改;
[0007]所述基于用户域的角色分组对多个用户进行逻辑隔离,进一步包括:
[0008]所述访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问规则库的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据;
[0009]所述虚拟机中包括监控代理,在创建虚拟机时安装在虚拟机的驱动中,用于监控虚拟机中的模块加载并获取内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作;基于虚拟机监视器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则;
[0010]利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
[0011]定义管理者和用户的角色,分配基于安全标签的权限,所述访问规则定义了域间的访问规则,对用户域实施基于用户角色的管理,同时提供基于用户域的分组隔离规则,将具有相同用户标签的虚拟机划分到同一个域中进行系统和安全管理,具体包括:
[0012]I)当管理域或者用户域请求访问其他域时,所述安全控制模块拦截这些请求,对请求的主体、客体和操作类型进行分析;
[0013]2)所述安全控制模块将这些请求传递给执行模块,由执行模块根据访问规则库返回判定结果;
[0014]3)执行模块将允许/拒绝的判定结果返回到所述安全控制模块;
[0015]4)根据判定结果,如果是允许,则所述安全控制模块允许主体对客体的访问,否则不允许本次访问请求。
[0016]本发明相比现有技术,具有以下优点:
[0017]本发明提出了一种云计算平台中的用户安全管理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
【附图说明】
[0018]图1是根据本发明实施例的云计算平台中的用户安全管理方法的流程图。
【具体实施方式】
[0019]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0020]本发明的一方面提供了一种云计算平台中的用户安全管理方法。图1是根据本发明实施例的云计算平台中的用户安全管理方法流程图。
[0021]本发明基于云平台的虚拟机系统提供基于用户分组的隔离和可信环境虚拟机,以便进行云平台的管理和恶意软件监测,对云平台中的物理主机实施基于规则库的访问,防止恶意管理者从管理域威胁用户虚拟机的隐私数据,防止病毒和恶意代码从一个用户扩散到其他用户,缓解用户隐私与平台提供者之间的安全规则冲突。
[0022]I)为了减轻用户对虚拟机隐私信息遭泄露,本发明首先消除现有平台管理者的权限,阻止管理者通过技术手段访问用户虚拟机的内部数据,限制其对用户虚拟机的操作。通过基于规则库的访问规则对原来的管理模式进行分解,提供3个新的管理接口:系统管理、
安全管理和日志管理。
[0023]2)通过对用户添加访问规则库,实现基于用户角色分组的逻辑隔离,防止病毒和恶意代码扩散到其他用户。
[0024]3)本发明创建一个特殊的可信环境虚拟机,将授权、访问规则配置、信任度证明和监控等功能从管理域移动到可信环境虚拟机。避免管理域对安全功能的干扰。
[0025]限制管理者的特权操作是本发明的虚拟机系统的关键点之一。另外,还需要在管理域创建多个管理角色,从而实现对云平台中的权限分离管理模式,为管理平台提供安全增强的管理接口。本发明通过在管理域增加系统、安全和日志管理接口,实现对管理域管理权限的分离。其中,系统管理主要被设计用于管理虚拟资源,完成创建、分配虚拟机资源等操作;安全管理用于完成授权和虚拟机安全访问规则配置,由原来的管理域移动到专用的可信环境虚拟机中;日志管理从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,不仅提供类似的查询接口还能防止日志被篡改。
[0026]多用户模式下,需要根据不同用户的应用场景,提供满足不同安全规则、逻辑隔离、运行监督的安全服务。为了简化安全管理,本发明基于用户域构建逻辑隔离方法,安全管理者不再监控单个的虚拟机和虚拟资源,而是基于用户角色管理整个用户域的作业。本发明的隔离规则基于每个用户,通过使用唯一的用户域安全标签,可以标记所有用户的虚拟机和用户域相关的资源。仲裁监视器的主要作用是仲裁,根据访问规则库的用户隔离规贝1J,监控虚拟机之间的资源共享和虚拟机之间的通信,从而实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。
[0027]在本发明架构中,虚拟机中的监控代理不获取用户的隐私数据,且满足访问规则库的安全规则,在创建虚拟机时经用户和提供者双方同意后安装在虚拟机的驱动中。代理的主要作用是监控虚拟机中的模块加载并获取内部视图,通过多视图对比的方法监视虚拟机内部是否有存在恶意软件。需要修复时,管理者可以在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作发生。基于虚拟机监视器对上层虚拟机的操作拦截,可信环境虚拟机中可以部署其他诸如虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则。
[0028]本发明将控制管理域的权限的功能放到虚拟机监视器中实现。本发明利用了虚拟机监视器中提供的安全控制模块。该模块提供通用的访问机制和灵活的安全hook函数接口,在虚拟机监视器启动后运行。在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射等相关操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作。对于关键安全控制模块和虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量。
[0029]在本发明的权限控制规则中,管理域中的管理者被禁止对用户域发起安全相关操作,并且不允许任何管理者拥有创建管理账户的权限。如果是其他管理用户,则按照角色控制和访问列表规则对管理用户实施强制访问。系统管理利用原有的系统管理软件完成用户域的资源分配相关操作,但不能查看已分配给用户域的内存页信息。安全管理提供云用户授权其他用户访问自己共享内存的权限,并且可通过位于可信环境虚拟机的工具配置规则库中的访问