一种云平台管理方法及系统的制作方法
【专利摘要】本发明公开一种云平台管理方法及系统,方法包括:云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区。本发明充分利用VPN、4A、堡垒机等网络安全设备功能完善、稳定可靠的优势,将其集成进云计算资源池中,为云计算资源池中的云主机提供可靠、高效的网络安全与系统审计服务。
【专利说明】
一种云平台管理方法及系统
技术领域
[0001]本发明涉及云平台相关技术领域,特别是一种云平台管理方法及系统。【背景技术】
[0002]IaaS(Infrastructure as a Service基础设施即服务)云计算技术通过虚拟化技术将一台物理主机虚拟化为多台虚拟机主机。虚拟机之间互相独立,并且可以运行不同的操作系统。IaaS云计算资源池中将多台相同配置、相同虚拟化软件的物理主机组成集群,多个集群构成资源池。通过IaaS云计算技术,可以构建多种云服务,实现资源的快速供给、灵活复用、弹性伸缩。云计算资源池的虚拟机通过网络与资源池中或外部的物理机、虚拟机进行交互,为保证信息安全,VPN(Virtual Private Network)、4A(认证Authenticat1n、账号 Account、授权Authorizat1n、审计Audit)等网络安全设施来提供相应的云安全服务。
[0003]4A 是指:认证 Authenticat1n、账号 Account、授权 Authorizat1n、审计 Audit, 中文名称为统一 4A安全管理平台设备解决方案。即将身份认证、授权、审计和账号(即不可否认性及数据完整性)定义为网络安全的四大组成部分,从而确立了身份认证在整个网络安全系统中的地位与作用。国内外安全厂商均实现了相应的商业化产品,即4A安全管理平台设备,或称为4A设备。
[0004]堡皇机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种设备。
[0005]虚拟专用网络(Virtual Private Network,VPN),是指在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式,主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低,易于使用的特点。
[0006]虚拟化是指通过虚拟化技术将一台计算机虚拟为多台逻辑计算机。在一台计算机上同时运行多个逻辑计算机,每个逻辑计算机可运行不同的操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计算机的工作效率。
[0007]现有的解决方案中,通常的做法是将虚拟主机视同为物理主机,以VPN、4A等系统连接物理主机的方式将其和虚拟主机连接。但是这种方法需要在不同的网络安全设备中进行分别进行配置,无法实现云管理平台对虚拟资源和网络安全资源的统一管理和统一调度,对于资源池中大量的虚拟机主机非常耗时耗力,也无法根据运营需要灵活地增加或者减少相应的安全服务。
【发明内容】
[0008]基于此,有必要针对现有技术未能将不同的网络安全设备中的虚拟主机进行统一管理的技术问题,提供一种云平台管理方法及系统。
[0009]—种云平台管理方法,包括:
[0010]云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区;
[0011]第一安全等级区创建步骤,包括:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
[0012]第二安全等级区创建步骤,包括:
[0013] 获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;
[0014] 获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、 主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
[0015]根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
[0016] —种云平台管理系统,包括:
[0017]云主机生成请求获取模块,用于:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;
[0018]第一安全等级区创建模块,用于:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
[0019]第二安全等级区创建模块,用于:
[0020] 获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;
[0021] 获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、 主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
[0022]根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
[0023]本发明通过对云主机生成请求所要求访问的安全等级区进行区分,对于安全等级要求低的采用直接访问的方式,而对于安全等级较高的,则为其建立VPN和4A,实现安全访问。从而充分利用VPN、4A、堡皇机等网络安全设备功能完善、稳定可靠的优势,将其集成进云计算资源池中,为云计算资源池中的云主机提供可靠、高效的网络安全与系统审计服务。 同时,通过完善的信息集成,由云管理平台统一调度安全、计算、存储、网络等资源,可以方便地将不同服务进行组合,为用户提供不同等级、不同功能等网络安全与云主机服务。【附图说明】
[0024]图1为本发明一种云平台管理方法的工作流程图;
[0025]图2为本发明最佳实施例的系统结构示意图;
[0026]图3为本发明一种云平台管理系统的结构模块图。【具体实施方式】
[0027]下面结合附图和具体实施例对本发明做进一步详细的说明。
[0028]如图1所示为本发明一种云平台管理方法的工作流程图,包括:
[0029]步骤S101,包括:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行步骤S102,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行步骤S103,所述第二安全等级区的安全等级高于所述第一安全等级区;
[0030]步骤S102,包括:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
[0031]步骤S103,包括:
[0032]获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;
[0033]获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、 主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
[0034]根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
[0035]其中,云主机是指通过虚拟化技术在云计算资源池中所创建的虚拟机。云计算资源池中包括有具有较低安全等级的第一安全等级区和具有较高安全等级的第二安全等级区,云管理平台接收到云主机生成请求后,在接收到对该云主机生成请求的审核通过后,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机。
[0036]第二安全等级区有加密连接,加强认证,加强审计等安全功能,在第二安全等级区,云计算资源池中的云主机只有通过所述4A安全管理平台和堡皇机才能访问
[0037]本发明针对用户的不同的安全要求,实现不同的网络连接访问功能。对于第一安全等级区,即低安全等级区的访问,当在第一安全等级区创建好云主机后,向用户返回云主机的IP地址、主机名和登录密码,使得用户可以直接对云主机进行访问,而对于第二安全等级区,即高安全等级区的访问,在第二安全等级区创建好云主机后,为用户在VPN、4A上进行合适的设置,然后向用户返回虚拟专用网络账号、虚拟专用网络密码、4A安全管理平台设备账号、4A安全管理平台设备密码、所述云主机的IP地址和主机名,使得用户能够顺利地通过VPN、4A和堡皇机的方式访问在高安全等级区中的云主机。
[0038]在其中一个实施例中,云管理平台将生成的云主机登陆账号和云主机密码同步至 4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
[0039]至此,云主机的密码只有4A安全管理平台设备掌握,用户只能通过所述4A安全管理设备才能登陆云主机。4A安全管理平台设备根据自身的策略,定期自动修改所述虚拟机登陆密码,降低该密码被破解的风险。
[0040]本实施例中,由4A安全管理平台设备(4A设备)对于第二安全等级区中的云主机登录密码进行管理,定期修改。由于云主机登录密码由4A设备进行管理,因此,用户必须通过4A设备访问云主机,从而保证第二安全等级区内的云主机的安全。
[0041]在其中一个实施例中:
[0042]所述步骤S103中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
[0043]检查所述云主机生成请求的用户是否具有虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
[0044]所述步骤S103中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
[0045]检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和 4A安全管理平台设备密码。
[0046]在其中一个实施例中,还包括:
[0047]所述4A安全管理平台设备定时从所述堡皇机获取堡皇机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡皇机审计日志整合进云管理平台审计日志。
[0048]在其中一个实施例中,还包括:
[0049]访问请求步骤,包括:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
[0050]如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
[0051]如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备, 成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡皇机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡皇机显示用于访问所述第二安全等级区的云主机的界面。堡皇机全程记录下用户操作该云主机的审计信息。
[0052]4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备本实施例为用户提供了一个访问云主机的途径,对于第一安全等级区,用户可以直接进行访问,而对于第二安全等级区,云管理平台为用户完成所有的VPN、4A的登录步骤,使得用户能够方便地访问云主机。
[0053]如图2所示为本发明最佳实施例的系统结构示意图,包括:云管理平台21、VPNS 备22、4A设备23、堡皇机24和云计算资源池25,云计算资源池25划分为低安全等级区251 和高安全等级区252。
[0054]针对用户的不同的安全要求及使用场景,对系统间的集成方案进行详细描述
[0055]1?用户申请、使用低安全等级区的云主机
[0056]1)用户通过云管理平台21的自服务门户211提交低安全等级区251的云主机使用申请,内容包括使用者信息、云主机配置(CPU、内存、硬盘大小)、对应的操作系统及应用软件、网络配置要求(内外网权限、网卡数量、IP地址等)使用期限等信息。
[0057]2)自服务门户211通过IF1将相应的申请信息传递至云管理平台21的管理门户 212〇
[0058]3)系统管理员在管理门户212对用户的云主机申请进行审核,审核通过后,在管理门户212对用户的申请进行施工。
[0059]4)施工成功后,云管理平台21通过短信网关和邮件网关向用户发送短信和邮件, 通知用户申请主机的IP地址,主机名,初始密码等信息。
[0060]5)用户可以通过云管理平台21的自服务门户211所带的远程登陆控制端登陆所申请的云主机(如图2中bl所示),也可以通过其他远程登陆用户端直接登陆云主机。用户可以自行修改云主机密码,用户自己对密码的安全性和强度负责。
[0061]6)云管理平台21的管理门户212同样带有远程登陆的用户端,管理员可以通过他登陆用户申请的云主机(如图中al所示),主要用于系统检查和故障排除。
[0062]2.用户在外网,申请、使用高安全等级区域的云主机
[0063]1)用户通过自服务门户211提交高安全等级区252的云主机使用申请,内容包括使用者信息、云主机配置(CPU、内存、硬盘大小)、对应的操作系统及应用软件、网络配置要求(内外网权限、网卡数量、IP地址等)使用期限等信息。
[0064]2)自服务门户211通过IF1以webservice方式将相应的申请信息传递至管理门户 212。
[0065]3)系统管理员在管理门户212对用户的云主机申请进行审核,审核通过后,在管理门户对用户的申请进行施工操作。
[0066]4)云管理平台21按照用户要求为用户生成相应的云主机。
[0067]5)检查用户是否有VPN设备账号,如果有,云管理平台21通过接口 IF2(可视VPN 设备的特点采用hppts连接串的方式或者webservice方式),则将VPN设备账号绑定至云平台专用的用户组,如果没有,云管理平台21通过接口 IF2在VPN设备22上为云主机的用户创建VPN设备账号、密码及访问权限,并将VPN设备账号绑定至云平台专用的用户组。用户创建成功之后,VPN设备返回云平台登陆VPN设备使用的URL。(VPN设备中,用户和用户组,策略是按用户组来进行;用户组对用户数无限制,VPN设备系统中预先对云平台设定了一个云平台专用的用户组,其访问策略是可以对4A设备23和堡皇机24进行访问)。
[0068]6)检查云平台管理平台21是否为用户在4A设备23中创建了主账号(4A设备中资源使用者的账号称为主账号),如果没有,通过接口 IF3在4A设备23中为用户创建主账号。
[0069]7)将新创建的云主机的信息及账号通过接口 IF3同步至4A设备23,同步的信息包括云主机所属的业务域、业务系统的名称及编号、资源名称、主机名称、资源类型 (windows 主机、liunx 主机、数据库等)、系统类型(Windows、Redhat、Suse Linux、Ubuntu、 Oracle、DB2、Sybase、Sqlserver、infomix、MySQL 等)、IP 地址、负责人、访问协议、4A 管理账号、最高权限账号、切换管理账号模式(su模式;super模式;enable模式)、默认工作目录、默认shell、数据库或实例名、数据库端口等信息。为保证信息安全,同步过程涉及的密码均采用DES加密,同步成功后,4A设备23会定期自动修改云主机的登陆密码,确保信息安全。
[0070]8)云管理平台21通过短信网关和邮件网关向用户发送短信和邮件,通知用户VPN 设备22登陆信息(URL、用户名,密码),4A设备23登陆信息(URL、用户名、密码)以及申请主机的IP地址,主机名等信息。
[0071]9)用户在外网使用云主机时,首先在外网登陆VPN设备22,进入内网,然后登陆4A 进行系统认证,认证通过后,通过堡皇机24对云主机进行操作。如果用户通过云管理平台 21的自服务门户登录所申请的云主机,则云管理平台21自动完成VPN设备22和4A设备 23的登陆,通过远程登陆空间显示堡皇机24的登陆界面。登陆云主机过程如图中cl,c2, c3, c4所示。
[0072]10)为确保云管理平台21记录完成的审计信息,4A设备23会通过IF4定时向云管理平台21以syslog的方式发送堡皇机24的审计日志,发送内容包括:事件类别、事件类型、事件开始及结束时间、源及目的IP、Mac地址,端口,主账号、从账号、操作名称、操作类另IJ、认证状态、事件级别等信息。云管理平台21接受到相应的审计信息后后,将该信息整合进平台的审计日志中。
[0073]11)为确保4A设备23与云管理平台21数据一致,在上述实时同步的基础上,云管理平台21定期将用户和资源信息通过接口 IF3全量传递给4A设备23 (通过ftp方式),4A 设备23逐条核对相关信息。
[0074]12)若用户申请的云主机注销之后,云管理平台21通过IF3接口将4A中的资源信息删除。
[0075]13)若用户不再拥有资源池中任何资源,经审批之后,分别通过IF3和IF2接口删除4A主账号及VPN设备22账号。
[0076]3.用户在内网,申请、使用用高安全等级区域的云主机
[0077]此种情况与用户在外网的情况类似,但是由于在内网,用户不需要首先登陆VPN 设备22,可以直接登陆4A,然后通过堡皇机24对系统进行操作,登陆云主机的过程如图中 dl,d2, d3所示。因此,内网情况下,涉及云管理平台21与VPN设备22的交互与数据同步均不需要,其余过程与外网情况下相同。
[0078]如图3所示为本发明一种云平台管理系统的结构模块图,包括:
[0079]云主机生成请求获取模块301,用于:云管理平台接收到云主机生成请求,在云计算资源池满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;
[0080]第一安全等级区创建模块302,用于:获取所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录密码;
[0081]第二安全等级区创建模块303,用于:
[0082]获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;
[0083]获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、 主机名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;
[0084]根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。
[0085]在其中一个实施例中,云管理平台将生成的云主机登陆账号和云主机密码同步至 4A安全管理平台,4A安全管理平台设备立即修改所述云主机密码并定期修改所述云主机密码。
[0086]在其中一个实施例中:
[0087]所述第二安全等级区创建模块中,虚拟专用网络账号和所述虚拟专用网络密码采用如下方式获取:
[0088]检查所述云主机生成请求的用户是否具有虚拟专用网络账号和虚拟专用网络密码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;
[0089]所述第二安全等级区创建模块中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:
[0090]检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安全管理平台设备密码。
[0091]在其中一个实施例中,还包括:
[0092]所述4A安全管理平台设备定时从所述堡皇机获取堡皇机审计日志并发送到所述云管理平台,所述云管理平台将所获取的堡皇机审计日志整合进云管理平台审计日志。
[0093]在其中一个实施例中,还包括:
[0094]访问请求模块,用于:响应于访问请求,检查所述访问请求所要求访问的安全等级区;
[0095]如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问所述第一安全等级区域内的云主机的远程登录用户端的显示界面;
[0096]如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备, 成功登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上的云主机账号和云主机密码,通过堡皇机登陆所述云主机,成功登录所述4A安全管理平台设备后,通过堡皇机显示用于访问所述第二安全等级区的云主机的界面。堡皇机全程记录下用户操作该云主机的审计信息。
[0097]4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备4A安全管理平台设备
[0098]以上所述实施例仅表达了本发明的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明的保护范围。因此,本发明专利的保护范围应以所附权利要求为准。
【主权项】
1.一种云平台管理方法,其特征在于,包括:云主机生成请求获取步骤,包括:云管理平台接收到云主机生成请求,在云计算资源池 满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请 求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建步骤,如果所 述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创 建步骤,所述第二安全等级区的安全等级高于所述第一安全等级区;第一安全等级区创建步骤,包括:获取所述云主机生成请求所包括的用户联系信息,向 所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录 密码;第二安全等级区创建步骤,包括:获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请 求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专 用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与 所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关 的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机 名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用 网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A 安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。2.根据权利要求1所述的云平台管理方法,其特征在于,云管理平台将生成的云主机 登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主 机密码并定期修改所述云主机密码。3.根据权利要求1所述的云平台管理方法,其特征在于:所述第二安全等级区创建步骤中,虚拟专用网络账号和所述虚拟专用网络密码采用如 下方式获取:检查所述云主机生成请求的用户是否具有所述虚拟专用网络账号和虚拟专用网络密 码,如果具有,则使用已有的虚拟专用网网络账号和虚拟专用网络密码,如果不具有,则在 所述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;所述第二安全等级区创建步骤中,4A安全管理平台设备账号和4A安全管理平台设备 密码采用如下方式获取:检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平 台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密 码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安 全管理平台设备密码。4.根据权利要求1所述的云平台管理方法,其特征在于,还包括:所述4A安全管理平台设备定时从所述堡皇机获取堡皇机审计日志并发送到所述云管 理平台,所述云管理平台将所获取的堡皇机审计日志整合进云管理平台审计日志。5.根据权利要求1所述的云平台管理方法,其特征在于,还包括:访问请求步骤,包括:响应于访问请求,检查所述访问请求所要求访问的安全等级区;如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问 所述第一安全等级区域内的云主机的远程登录用户端的显示界面;如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管 理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功 登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管 理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上 的云主机账号和云主机密码,通过堡皇机登陆所述云主机,成功登录所述4A安全管理平台 设备后,通过堡皇机显示用于访问所述第二安全等级区的云主机的界面。6.—种云平台管理系统,其特征在于,包括:云主机生成请求获取模块,用于:云管理平台接收到云主机生成请求,在云计算资源池 满足所述云主机生成请求所要求访问的安全等级区内创建云主机,如果所述云主机生成请 求所要求访问的安全等级区为第一安全等级区,则执行第一安全等级区创建模块,如果所 述云主机生成请求所要求访问的安全等级区为第二安全等级区,则执行第二安全等级区创 建模块,所述第二安全等级区的安全等级高于所述第一安全等级区;第一安全等级区创建模块,用于:获取所述云主机生成请求所包括的用户联系信息,向 所述用户联系信息发送关于所述云主机的IP地址、主机名、云主机登录帐号和云主机登录 密码;第二安全等级区创建模块,用于:获取在与所述云计算资源池连接的虚拟专用网络设备上使用,且与所述云主机生成请 求相关的虚拟专用网络账号和虚拟专用网络密码,将所述虚拟专用网络账号绑定至虚拟专 用网络设备上的云平台专用用户组,所述云平台专用用户组所使用的访问策略为可访问与 所述云计算资源池依次连接的4A安全管理平台设备和堡皇机;获取云管理平台在所述4A安全管理平台设备上使用,且与所述云主机生成请求相关 的4A安全管理平台设备账号和4A安全管理平台设备密码,将所述云主机的IP地址、主机 名、云主机登录帐号和云主机登录密码同步至所述4A安全管理平台设备;根据所述云主机生成请求所包括的用户联系信息,向所述用户联系信息发送虚拟专用 网络账号、虚拟专用网络密码、虚拟专用网络设备登录地址、4A安全管理平台设备账号、4A 安全管理平台设备密码、4A安全管理平台设备登录地址、所述云主机的IP地址和主机名。7.根据权利要求6所述的云平台管理系统,其特征在于,云管理平台将生成的云主机 登陆账号和云主机密码同步至4A安全管理平台,4A安全管理平台设备立即修改所述云主 机密码并定期修改所述云主机密码。8.根据权利要求6所述的云平台管理系统,其特征在于:所述第二安全等级区创建模块中,虚拟专用网络账号和所述虚拟专用网络密码采用如 下方式获取:检查所述云主机生成请求的用户是否具有所述虚拟专用网络账号和虚拟专用网络密 码,如果具有,则使用已有的虚拟专用网络账号和虚拟专用网络密码,如果不具有,则在所 述虚拟专用网络设备上,生成虚拟专用网络账号和虚拟专用网络密码;所述第二安全等级区创建模块中,4A安全管理平台设备账号和4A安全管理平台设备密码采用如下方式获取:检查所述云主机生成请求的用户是否具有4A安全管理平台设备账号和4A安全管理平 台设备密码,如果具有,则使用已有的4A安全管理平台设备账号和4A安全管理平台设备密 码,如果不具有,则在所述4A安全管理平台设备上,生成4A安全管理平台设备账号和4A安 全管理平台设备密码。9.根据权利要求6所述的云平台管理系统,其特征在于,还包括:所述4A安全管理平台设备定时从所述堡皇机获取堡皇机审计日志并发送到所述云管 理平台,所述云管理平台将所获取的堡皇机审计日志整合进云管理平台审计日志。10.根据权利要求6所述的云平台管理系统,其特征在于,还包括:访问请求模块,用于:响应于访问请求,检查所述访问请求所要求访问的安全等级区;如果所述访问请求所要求访问的安全等级区域为第一安全等级区域,则显示用于访问 所述第一安全等级区域内的云主机的远程登录用户端的显示界面;如果所述访问请求所要求访问的安全等级区域为第二安全等级区域,则依据所述云管 理平台记录的虚拟专用网络账号和虚拟专用网络密码,登录所述虚拟专用网络设备,成功 登录虚拟专用网络设备后,依据云管理平台记录的4A安全管理平台设备账号和4A安全管 理平台设备密码登陆所述4A安全管理平台设备,依据记录在所述4A安全管理平台设备上 的云主机账号和云主机密码,通过堡皇机登陆所述云主机,成功登录所述4A安全管理平台 设备后,通过堡皇机显示用于访问所述第二安全等级区的云主机的界面。
【文档编号】H04L29/08GK105991734SQ201510085477
【公开日】2016年10月5日
【申请日】2015年2月16日
【发明人】梅树灿, 郝伟勇, 钟坚, 邹国栋, 颜燕, 冼天友, 杜桂山
【申请人】广东亿迅科技有限公司