一种虚拟数据安全访问的深度防护方法
【专利摘要】本发明提供一种虚拟数据安全访问的深度防护方法,可广泛应用于云计算和各种虚拟化系统的数据存储与访问的安全保护,该方法是通过构建分层的纵深安全认证与监控体系,有效提高虚拟存储系统的安全等级和抗攻击能力,同时通过对不同用户和访问模式采用不同的保护策略,为不同用户提供不同等级的安全保护服务,满足不同企业、不同用户、不同应用对云计算数据服务的差异化安全需求。利用本发明,可显著提高云计算中心及各种虚拟化系统的数据访问安全保护水平,即使外层的接入认证被攻破,虚拟存储安全管理系统借助自身专有的安全访问控制功能,仍能有效地保护存储数据的安全。
【专利说明】一种虚拟数据安全访问的深度防护方法
【技术领域】
[0001]本发明涉及一种应用于云计算和各种虚拟化系统的数据存储与访问的安全保护【技术领域】,具体地说是一种虚拟数据安全访问的深度防护方法。
【背景技术】
[0002]云计算的安全问题已经成为影响云计算应用推广的重大障碍。在各种云计算安全问题中,又以数据安全最为重要,主要涉及数据存储安全、数据恢复保护、数据访问安全等方面。
[0003]特别是对用户敏感数据和隐私信息的保护保护,是云计算应用的关键要求。由于云计算模式下数据资产的所有权和管理权可能分离,客户将通过互联网对数据资产进行访问和使用,同样黑客、病毒木马、非法用户也都可能访问这些数据,从而造成云计算应用环境下客户的私密数据、支付账号、接入密码等关键敏感信息的破坏或泄露,因此客户对数据资产安全的担忧已成为云计算应用的普遍安全问题。
[0004]数据存储安全和数据恢复保护问题已经有许多成熟的解决办法,如数据镜像、容灾备份等。而对于数据访问安全问题,由于云计算的虚拟化、多租户、动态性、边界模糊等特点,使得各种传统的加密、防火墙等数据安全技术都难以取得较为理想的效果,因此针对云计算和虚拟化系统安全访问技术的研究已成为云计算领域的热点。
[0005]本发明给出了一种云计算数据深度防护模型,为实现云计算数据的安全访问提供比较完善的技术基础。
【发明内容】
[0006]本发明的目的是提供一种虚拟数据安全访问的深度防护方法。
[0007]本发明给出的云计算数据虚拟存储数据深度防护方法,包括客户终端、虚拟存储安全管理、网络传送与安全认证、以及用户终端访问虚拟存储系统的安全管理协议几部分。客户终端分为可信终端和普通终端二类,均支持接入认证和访问控制功能;虚拟存储安全管理系统具有访问安全管理和数据隔离存储功能,其中数据隔离由一系列数据安全存储隔离区或安全密室实现;网络传送由互联网和内网组成,并连接到安全认证中心,包括本地安全认证,或第三方安全认证,具体步骤如下:
1、客户终端通过网络访问虚拟存储系统中的数据时,首先在用户安全管理功能的管控下被强行连接到安全认证中心,通过鉴权认证确认访问者的合法性;
2、对于合法的访问者,客户安全管理功能再进一步判断其类型,如果是可信客户终端,则直接进入虚拟存储系统的访问控制流程,在访问控制协议的监管之下访问隔离区的数据;
3、如果是普通客户终端,在进入访问控制流程的同时,还要接受客户访问安全审计和访问过程安全监控(比访问控制更细粒度更严格的监测控制),在这双重控制之下访问安全隔离区的数据。[0008]本发明的优异效果:本发明的主要创新点在于给出了一种支持虚拟存储数据安全访问的深度防护模型架构,以及相应的虚拟存储数据安全访问分类分层控制机制。
[0009]本发明广泛适用于云计算和各种虚拟化系统的数据存储安全保护。
[0010]一方面,通过分层的纵深安全认证与监控,能够显著提高虚拟存储系统的安全等级和抗攻击能力,即使通常的接入认证被攻破,虚拟存储安全管理系统借助自身专有的安全访问控制功能,仍能有效地保护存储数据的安全。
[0011]另一方面,通过对不同用户和访问模式采用不同的保护策略,不仅可显著提高数据访问的综合效率,还能提供动态差异化的云安全服务,为不同用户提供不同等级的安全保护服务,充分满足不同企业、不同用户、不同应用对云计算数据服务的差异化安全需求。
【专利附图】
【附图说明】
[0012]图1是虚拟数据访问深度防护系统的结构示意图。
【具体实施方式】
[0013]下面给出本发明在实际应用中的实现方法和注意事项;
1)在客户端上的实现
客户端的载体可以是PC、笔记本,或者智能手机等。在客户端上安装与基于本发明的虚拟存储安全管理系统适配的客户端协议控制软件一主要包括客户管理、访问控制、接入认证客户端软件,即可具备安全访问云计算/虚拟存储系统数据的能力;
2)在云计算虚拟存储系统上的实现
在云计算虚拟存储系统上,开发并加载基于本发明的虚拟安全存储管理系统软件,使其具有访问安全管理和数据隔离存储管理功能。
[0014]访问安全管理功能模块具有客户安全管理/安全服服务策略、客户访问安全审计与访问过程安全监控功能。其中客户安全管理功能包括对客户的注册登记、授权、分类管理、接入认证管理、访问控制等;安全服务策略主要是对于不同的客户类别实施不同的安全控制等级,采取不同的安全控制措施;客户访问安全审计与访问过程安全监控,主要用于强化对安全可信度不能确定的普通客户端访问的控制。
[0015]以上各项安全管理与控制功能,都应有对应的支持协议,支持数据访问全过程的端到端安全控制。
[0016]数据隔离存储管理部分,为更好地适应云计算的动态分布式特性,可采用统一存贮映像下的分区存储模式,将数据存贮在一系列数据安全存储隔离区或安全密室内。
[0017]接入安全认证中心的选择与设置
接入安全认证中心,可以是包含在云计算/虚拟存储系统中客户安全管理的一项功能,也可以选择外部的第三方安全认证。若选择第三方安全认证方式,则要在客户安全管理功能中做出相应的设置。
[0018]在上述第I一3条的基础上,即可对不同的客户实施分类分层的访问安全挂历与控制,实现对云计算虚拟存储数据的深度防护。
[0019]当然,还可以采用加密技术进一步保护虚拟存储区中的关键数据,不过这不是在本发明关注的重点。
【权利要求】
1.一种虚拟数据安全访问的深度防护方法,其特征在于:包括客户终端、虚拟存储安全管理、网络传送与安全认证、用户终端访问虚拟存储系统的安全管理协议几部分,客户终端包括可信终端和普通终端二类,均支持接入认证和访问控制功能;虚拟存储安全管理系统,具有访问安全管理和数据隔离存储功能,其中数据隔离由一系列数据安全存储隔离区或安全密室实现;网络传送由互联网和内网组成,并连接到安全认证中心,安全认证中心包括本地安全认证或第三方安全认证,具体步骤如下: 1)客户终端通过网络访问虚拟存储系统中的数据时,首先在用户安全管理功能的管控下被强行连接到安全认证中心,通过鉴权认证确认访问者的合法性; 2)对于合法的访问者,客户安全管理功能再进一步判断其类型,如果是可信客户终端,则直接进入虚拟存储系统的访问控制流程,在访问控制协议的监管之下访问隔离区的数据; 3)如果是普通客户终端,在进入访问控制流程的同时,还要接受客户访问安全审计和访问过程安全监控,在这双重控制之下访问安全隔离区的数据。
【文档编号】H04L29/08GK103795726SQ201410051158
【公开日】2014年5月14日 申请日期:2014年2月14日 优先权日:2014年2月14日
【发明者】苗再良 申请人:浪潮通信信息系统有限公司