专利名称:一种利用强制访问控制限制云计算特权用户权限的方法
技术领域:
本发明涉及一种计算机应用技术领域,具体地说是一种利用强制访问控制限制云计算特权用户权限的方法。本发明涉及云操作系统数据中心安全领域,尤其是对于特权用户访问权限的管理,具体地说是一种基于 ROST (Reinforcement Operating System Technique)的方法,核心就是在云操作系统底层构建云安全模块来实现强制访问控制来限制特权用户对资源的访问和操作。
背景技术:
云计算以及基于云计算的应用越来越多,其高效以及节约成本等诸多优点使得其受到业界的关注。但是,它的安全问题尤其是特权用户的信任问题一直成为许多厂商犹豫的主要原因。尤其是在政府部门、金融部门等准备大规模应用这种新技术的时候,成为最大的阻碍。特权用户的管理和信任问题,是影响用户是否决定向云计算迁移的很重要的一个因素。由于在云计算环境中,用户的关键数据包括密钥都是存储在远端的数据中心的,所以如何控避免内部人员也就是特权用户滥用用户数据,造成用户严重的损失,是十分必要的。 因而限制特权用户的访问和操作,构建安全的云计算操作系统刻不容缓。本技术与传统的安全技术相结合,能够限制云计算特权用户的权限,必将推动云计算更广泛的应用。
发明内容
本发明的目的是提供一种利用强制访问控制限制云计算特权用户权限的方法。本发明的目的是按以下方式实现的,在云操作系统底层加上安全模块,拦截特权用户所有的文件访问路径并记录,从而达到限制特权用户访问数据中心的要求,安全模块主要组件是强制访问控制模块,强制访问控制模块基于用户对文件的访问控制,因为特权用户的一切操作都要最终转换成对文件的操作,所以只需控制其对文件的操作即可控制限制特权用户访问云计算;限制步骤如下云安全模块中的文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许任何时候动态添加或删除指定结点,以便截获来自特权用户或者进程对数据的I/O请求, 当截获到数据的I/O请求时遍历规则链表,并根据所定义的访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃。本发明的优异效果是,云计算中限制特权用户权限的技术通过控制特权用户对文件的访问,解决了用户对于特权用户不信任的困扰。通过强制访问控制保护云计算数据中心中用户的资源,尤其是密钥和关键业务数据等。
图1是增加安全模块处理特权用户访问数据中心的系统结构示意图;
具体实施例方式
参照说明书附图对本发明的方法作以下详细地说明。在云操作系统底层加上安全模块,拦截特权用户所有的文件访问路径并记录,从而达到限制特权用户访问数据中心的要求。安全模块主要组件是强制访问控制模块。强制访问控制模块基于用户对文件的访问控制,因为特权用户的一切操作都可以最终转换成对文件的操作,所以只需控制其对文件的操作即可。限制步骤如下云安全模块中的文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许任何时候动态添加或删除指定结点,以便截获来自特权用户或者进程对数据的I/O请求, 当截获到数据的I/O请求时遍历规则链表,并根据所定义的访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃。
权利要求
1. 一种利用强制访问控制限制云计算特权用户权限的方法,其特征在于在云操作系统底层加上安全模块,拦截特权用户所有的文件访问路径并记录,从而达到限制特权用户访问数据中心的要求,安全模块主要组件是强制访问控制模块,强制访问控制模块基于用户对文件的访问控制,因为特权用户的一切操作都要最终转换成对文件的操作,所以只需控制其对文件的操作即可控制限制特权用户访问云计算; 限制步骤如下云安全模块中的文件系统过滤驱动程序在初始化时,逐条插入访问规则,并允许任何时候动态添加或删除指定结点,以便截获来自特权用户或者进程对数据的I/O请求,当截获到数据的I/O请求时遍历规则链表,并根据所定义的访问规则进行过滤,符合规则者立即转交原服务函数,否则丢弃。
全文摘要
本发明提供一种利用强制访问控制限制云计算特权用户权限的方法,该方法是通过强制访问控制检查特权用户是否有权限操作云计算数据中心的资源,利用强制访问控制设定用户访问控制权限与传统的自主访问控制相比,可以实现云计算数据中心资源的细粒度访问控制,防止特权用户进行与工作职责无关的操作。
文档编号H04L29/06GK102156839SQ20111009051
公开日2011年8月17日 申请日期2011年4月12日 优先权日2011年4月12日
发明者王佳慧 申请人:浪潮电子信息产业股份有限公司