一种云计算系统数据隔离的方法、装置及终端的制作方法

文档序号:8265911阅读:442来源:国知局
一种云计算系统数据隔离的方法、装置及终端的制作方法
【技术领域】
[0001]本发明涉及通信领域,特别涉及一种云计算系统数据隔离的方法、装置及终端。
【背景技术】
[0002]在云计算系统中,多租户是其典型的运行方式,即不同的用户使用同一个云计算系统存储他们的敏感数据。在这种情况下,来自不同用户的数据需要严格的隔离开来,而属于同一个用户之间的数据则需要无缝互联。
[0003]在现有的解决方案中,数据加密是比较直接可行的技术。它可以通过用户自加密的方式来解决,即每个用户对存储入云计算系统中的数据采取先加密再上传的方式对数据的机密性进行保护。在这种情况下,即使用户数据泄露了,非授权者也无法轻易获取数据中包含的敏感信息。
[0004]除了用户自加密以外,基于属性的加密技术是相对比较高级的数据保护方式。它通过为一个文件设置不同的属性,每一个属性相当于一把独立的钥匙,这把钥匙只能从这个文件中解开和这个属性向对应的信息。
[0005]现有的数据隔离技术存在着如下缺点:
[0006]对于用户自加密技术来说,尽管实现简单,但会增加用户的操作复杂度和数据维护复杂度。尽管使用的云计算系统代为保存敏感信息,用户仍然需要为自己数据的机密性负责。
[0007]对于基于属性的数据加密来说,它是一种成本相对较高的加密方式,它需要一个集中式的认证中心保证对用户属性的认证和鉴权。在另外一方面,基于属性的数据加密技术适用于用户之间共享同一文件时敏感信息的隔离,而不是文件本身的隔离。

【发明内容】

[0008]本发明要解决的技术问题是提供一种云计算系统数据隔离的方法、装置及终端,针对不同的用户进行数据隔离,保障用户存储数据的安全,使简单易行,降低成本。
[0009]为解决上述技术问题,本发明的实施例提供一种云计算系统数据隔离的方法,包括:
[0010]为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机;
[0011]根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息;
[0012]当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果;
[0013]当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信;
[0014]当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0015]其中,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议vIP地址。
[0016]其中,上述云计算系统数据隔离的方法还包括:
[0017]当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
[0018]其中,允许所述主叫虚拟机与所述被叫虚拟机之间的通信的步骤具体包括:
[0019]生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机;
[0020]所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0021]其中,所述主叫虚拟机与所述被叫虚拟机之间通过所述虚拟信任域中为虚拟机之间预先建立的可信直联隧道进行通信。
[0022]其中,所述直联隧道为基于vMAC地址的二层隧道或基于VlP地址的三层隧道。
[0023]为解决上述技术问题,本发明的实施例还提供一种云计算系统数据隔离的装置,包括:
[0024]第一创建模块,用于为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机;
[0025]第二创建模块,用于根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息;
[0026]判断模块,用于当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果;
[0027]第一执行模块,用于当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信;
[0028]第二执行模块,用于当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0029]其中,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议vIP地址。
[0030]其中,上述云计算系统数据隔离的装置还包括:
[0031]更新模块,用于当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
[0032]其中,所述第一执行模块包括:
[0033]生成模块,用于当所述判断结果为是时,生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机;
[0034]第一执行子模块,用于所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0035]为解决上述技术问题,本发明的实施例还提供一种终端,包括:如上所述的云计算系统数据隔离的装置。
[0036]本发明的上述技术方案的有益效果如下:
[0037]本发明实施例的云计算系统数据隔离的方法,先为登陆云计算系统的用户创建虚拟信任域,其中,该虚拟信任域包括为同一用户分配的至少一个虚拟机,然后根据虚拟信任域中为同一用户分配的虚拟机,创建用户的信息表,该用户的信息表包括用户信息以及为该用户分配的虚拟机的属性信息,当接收到虚拟机之间的通信请求时,根据用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,当判断结果为是时,允许主叫虚拟机与被叫虚拟机之间的通信,否则,禁止主叫虚拟机与被叫虚拟机之间的通信。针对不同的用户进行数据隔离,保障了用户存储数据的安全,简单易行,且降低了成本。
【附图说明】
[0038]图1为本发明云计算系统数据隔离的方法流程图;
[0039]图2为本发明云计算系统数据隔离的方法一具体实施例U型连通的示意图;
[0040]图3为本发明云计算系统数据隔离的方法一具体实施例的结构示意图;
[0041]图4为本发明云计算系统数据隔离的方法一具体实施例的工作流程图;
[0042]图5为本发明云计算系统数据隔离的装置结构示意图。
【具体实施方式】
[0043]为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
[0044]本发明实施例的云计算系统数据隔离的方法,针对不同的用户进行数据隔离,保障了用户存储数据的安全,简单易行,且降低了成本。
[0045]如图1-4所示,本发明实施例的云计算系统数据隔离的方法,包括:
[0046]步骤11,为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机;
[0047]步骤12,根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息;
[0048]步骤13,当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果;
[0049]步骤14,当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信;
[0050]步骤15,当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0051]本发明实施例的云计算系统数据隔离的方法,先为登陆云计算系统的用户创建虚拟信任域,其中,该虚拟信任域包括为同一用户分配的至少一个虚拟机,然后根据虚拟信任域中为同一用户分配的虚拟机,创建用户的信息表,该用户的信息表包括用户信息以及为该用户分配的虚拟机的属性信息,当接收到虚拟机之间的通信请求时,根据用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,当判断结果为是时,允许主叫虚拟机与被叫虚拟机之间的通信,否则,禁止主叫虚拟机与被叫虚拟机之间的通信。针对不同的用户进行数据隔离,保障了用户存储数据的安全,简单易行,且降低了成本。
[0052]本发明的具体实施例中,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议vIP地址。
[0053]具体的,用户信息可以包括用户姓名、用户登陆名和/或用户IP地址等能够标识用户身份的信息。
[0054]其中,本发明实施例的云计算系统数据隔离的方法还可以包括:
[0055]当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
[0056]此时,用户的信息表与为该用户分配的虚拟机随时保持同步,保证了虚拟机之间通讯判断的准确性,增加了实用性和安全性。
[0057]具体的,当虚拟机发生漂移、增加、减少等变化时,根据虚拟机的变化更新用户的信息表,使用户的信息表与虚拟机保持同步,其中,虚拟机所属用户与IP地址是不随着虚拟机的变化而变化的,可以作为虚拟机的身份标识。
[0058]其中,允许所述主叫虚拟机与所述被叫虚拟机之间的通信的步骤具体包括:
[0059]生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机;
[0060]所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0061]此时,公私密钥的设立加强了虚拟机之间的通信安全,避免了因误判断不同用户的虚拟机属于同一用户而导致的数据泄露,增加了数据保护的安全性和合理性。
[0062]根据虚拟机的基本概念,驻留在同一物理主机上的虚拟机之间的互联可以通过虚拟机管理器Hypervisor上的虚拟交换模块来实现,如威睿VMware和开放源代码虚拟机监视器XEN的虚拟交换vSwitch功能。在这种通信模式下,Hypervisor平台的漏洞可能会导致旁路攻击的现象发生,进而导致数据泄露。
[0063]因此,本发明的具体实施例中,所述主叫虚拟机与所述被叫虚拟机之间通过所述虚拟信任域中为虚拟机之间预先建立的可信直
当前第1页1 2 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1