一种基于分布式实施的云计算强制访问控制方法
【技术领域】
[0001]本发明涉及计算机技术领域,具体地说是一种实用性强、基于分布式实施的云计算强制访问控制方法。
【背景技术】
[0002]云计算是一种基于互联网的大众参与的计算模式,其计算资源包括计算能力、存储能力、交互能力等,都是动态的,被虚拟化了的,而且是以服务的方式提供。在这个特殊的云计算环境下,如何保证存储在云上的数据的安全,将是云计算面临的一个大问题。此外,云计算的另外一个特点开放性同样为云计算安全带来了挑战。开放性主要体现在服务对用户的开放性和内部接口对外调用的开放性。开放性下身份验证机制相对薄弱,这就使得恶意用户可以通过合法的途径进入云计算环境并进行攻击以窃取需要的信息,良性的云计算环境也可能被非法用户用于不正当用途。因此,云计算应用模式下的移动互联网安全问题及关键安全技术研究,对完善移动互联网安全技术体系保障移动互联网演进安全具有重要的意义。
[0003]互联网络的蓬勃发展,为信息资源的共享提供了更加完善的手段,企业在信息资源共享的同时也要阻止非授权用户对企业敏感信息的访问。访问控制的目的是为了保护企业在信息系统中存储和处理的信息的安全。访问控制可分为自主访问控制和强制访问控制两大类。
[0004]自主访问控制,是指由用户有权对自身所创建的访问对象(文件、数据表等)进行访问,并可将对这些对象的访问权授予其他用户和从授予权限的用户收回其访问权限。
[0005]强制访问控制,是指由系统(通过专门设置的系统安全员)对用户所创建的对象进行统一的强制性控制,按照规定的规则决定哪些用户可以对哪些对象进行什么样操作系统类型的访问,即使是创建者用户,在创建一个对象后,也可能无权访问该对象。
[0006]访问控制模型是一种从访问控制的角度出发,描述安全系统,建立安全模型的方法。目前比较成熟的访问控制模型主要有:基于对象的访问控制、基于任务的访问控制、基于角色的访问控制。
[0007]云计算虚拟化技术与传统虚拟化最大的不同就是开放性带来的多租户共享计算资源,整个虚拟化平台或客户虚拟机受到恶意用户从内部攻击的可能性就会大幅提高。目前,云计算虚拟化面临的主要安全威胁有虚拟机逃逸等。在传统虚拟化技术中,针对虚拟机逃逸大多采用监控的方式来发现并阻止危险的发生。监控机制的一种思路通过虚拟机环境所提供的Hypervisor层从客户虚拟机所处环境之外对其进行监控。这类机制可以有效地保护安全部件免遭篡改,同时这一方式对监控环境的影响较小,方便透明实现,在系统的兼容性上也有优势。
[0008]然而云计算与传统单机虚拟化环境架构的不同,控制权由Hypervisor向控制节Controller转移。传统的虚拟机监控机制设计在计算节点Hypervisor中,难以有效与云控制节点上虚拟机管理控制流程衔接,会出现安全链断裂而无法保证虚拟机整个生命周期的安全,并不能很好地在云计算场景中发挥作用。基于此,现提供一种基于U-Key的操作系统安全加固软件的基于分布式实施的云计算强制访问控制方法,该方法采用新的云计算虚拟机监控机制,该机制一种集中管理,分布式实施的监控机制,在控制节点增加对计算节点监控机制的管理和配置,并且介入虚拟机创建流程,对虚拟机整个生命周期提供保护,而访问控制的具体执行仍在计算节点上。
【发明内容】
[0009]本发明的技术任务是针对以上不足之处,提供一种实用性强、基于分布式实施的云计算强制访问控制方法。
[0010]—种基于分布式实施的云计算强制访问控制方法,其具体实现过程为:在计算节点上,设置两个功能模块,即访问控制配置模块和访问控制执行模块;其中:
访问控制配置模块工作在各个计算节点的宿主操作系统中,负责与云控制节点安全管理模块通信,接收命令完成对本计算节点的访问控制执行机制的配置及管理;
访问控制执行模块负责访问控制机制的具体执行,运行在Hypervisor层,访问控制执行模块负责监控到客户虚拟机对系统资源的访问。
[0011]所述访问控制配置模块的具体工作过程为:
接收控制节点安全管理模块发送的命令及数据,包括安全策略数据及更新命令、用户虚拟机标签的添加;
当通信模块接收到这些命令后,对这些数据进行处理并调用接口部署Hypervisor ;命令执行完成后,通信模块得到执行模块返回的结果或数据,然后对结果或数据进行包装,发送到控制节点的管理模块。
[0012]访问控制执行模块的工作过程为,通过钩子函数在计算节点上对虚拟机资源的访问进行强制访问控制,当计算节点的虚拟机需要对任意系统资源进行访问时,访问控制执行模块截获这一访问请求,之后根据配置模块加载的安全策略来判断是否允许该访问。
[0013]本发明的一种基于分布式实施的云计算强制访问控制方法,具有以下优点:
本发明的一种基于分布式实施的云计算强制访问控制方法,基于集中管理、分布式实施,执行在计算节点虚拟化层,直接监控虚拟机对虚拟资源的访问;但对访问控制的管理工作存在于云管理节点,这样就可以有更加全面完整的视角监控虚拟机在云中创建流程,从而可以在虚拟机生命周期开始就配置访问控制机制对其进行保护;在Hypervisor中虚拟机对虚拟资源的访问操作处理中已加入钩子函数,每当虚拟机需要对虚拟资源进行访问时,钩子函数会截获这一访问请求,并判断虚拟机是否具有访问权限;访问控制机制的目的是发现恶意用户行为,实现对虚拟资源的保护;基于分布式实施的云计算强制访问机制解决了将一般虚拟机监控机制运用在云环境中时监控机制运行在计算节点时与控制节点间的信息断层问题,实用性强,易于推广。
【附图说明】
[0014]附图1为访问控制配置模块工作流程图。
[0015]附图2为访问控制执行模块执行流程图。
【具体实施方式】
[0016]下面结合附图和具体实施例对本发明作进一步说明。
[0017]本发明提供一种基于分布式实施的云计算强制访问控制方法,如附图1、图2所示,其具体实现过程为:在计算节点上,设置两个功能模块,即访问控制配置模块和访问控制执行模块;其中:
访问控制配置模块工作在各个计算节点的宿主操作系统DomO中,负责与云控制节点安全管理模块通信,接收命令完成对本计算节点的访问控制执行机制的配置及管理,访问控制配置模块的该模块是将在云计算环境中实现访问控制的关键部件之一,起到了纽带作用,访问控制配置模块流程如图1所示。
[0018]所述访问控制配置模块的具体工作过程为:
接收控制节点安全管理模块发送的命令及数据,包括安全策略数据及更新命令、用户虚拟机标签的添加;
当通信模块接收到这些命令后,对这些数据进行处理并调用接口部署Hypervisor ;命令执行完成后,通信模块得到执行模块返回的结果或数据,然后对结果或数据进行包装,发送到控制节点的管理模块。
[0019]访问控制执行模块负责访问控制机制的具体执行,运行在Hypervisor层,访问控制执行模块负责监控到客户虚拟机对系统资源的访问。
[0020]访问控制执行模块的工作过程为,通过钩子函数在计算节点上对虚拟机资源的访问进行强制访问控制,当计算节点的虚拟机需要对任意系统资源进行访问时,访问控制执行模块截获这一访问请求,之后根据配置模块加载的安全策略来判断是否允许该访问,访问控制工作流程如图2所示。
[0021]上述【具体实施方式】仅是本发明的具体个案,本发明的专利保护范围包括但不限于上述【具体实施方式】,任何符合本发明的一种基于分布式实施的云计算强制访问控制方法的权利要求书的且任何所述技术领域的普通技术人员对其所做的适当变化或替换,皆应落入本发明的专利保护范围。
【主权项】
1.一种基于分布式实施的云计算强制访问控制方法,其特征在于,其具体实现过程为: 在计算节点上,设置两个功能模块,即访问控制配置模块和访问控制执行模块;其中:访问控制配置模块工作在各个计算节点的宿主操作系统中,负责与云控制节点安全管理模块通信,接收命令完成对本计算节点的访问控制执行机制的配置及管理; 访问控制执行模块负责访问控制机制的具体执行,运行在Hypervisor层,访问控制执行模块负责监控到客户虚拟机对系统资源的访问。2.根据权利要求1所述的一种基于分布式实施的云计算强制访问控制方法,其特征在于,所述访问控制配置模块的具体工作过程为: 接收控制节点安全管理模块发送的命令及数据,包括安全策略数据及更新命令、用户虚拟机标签的添加; 当通信模块接收到这些命令后,对这些数据进行处理并调用接口部署Hypervisor ;命令执行完成后,通信模块得到执行模块返回的结果或数据,然后对结果或数据进行包装,发送到控制节点的管理模块。3.根据权利要求1所述的一种基于分布式实施的云计算强制访问控制方法,其特征在于,所述访问控制执行模块的工作过程为,通过钩子函数在计算节点上对虚拟机资源的访问进行强制访问控制,当计算节点的虚拟机需要对任意系统资源进行访问时,访问控制执行模块截获这一访问请求,之后根据配置模块加载的安全策略来判断是否允许该访问。
【专利摘要】本发明公开了一种基于分布式实施的云计算强制访问控制方法,其实现过程为:在计算节点上,设置两个功能模块,即访问控制配置模块和访问控制执行模块;其中访问控制配置模块工作在各个计算节点的宿主操作系统中,负责与云控制节点安全管理模块通信,接收命令完成对本计算节点的访问控制执行机制的配置及管理;访问控制执行模块负责访问控制机制的具体执行,运行在Hypervisor层,访问控制执行模块负责监控到客户虚拟机对系统资源的访问。该一种基于分布式实施的云计算强制访问控制方法与现有技术相比,可以有更加全面完整的视角监控虚拟机在云中创建流程,从而可以在虚拟机生命周期开始就配置访问控制机制对其进行保护,实用性强,易于推广。
【IPC分类】G06F9/455
【公开号】CN105335212
【申请号】CN201510691631
【发明人】曹玲玲
【申请人】浪潮电子信息产业股份有限公司
【公开日】2016年2月17日
【申请日】2015年10月23日