专利名称:一种公有云服务的分布式网络安全控制方法
技术领域:
本发明涉及一种在公有云服务环境中面向分布式安全网关的网络安全控制方法, 尤其适用于客户规模较大、安全策略数量较多的大型云服务环境下安全策略的分发、使用 和删除等管理方法,属于信息技术领域。
背景技术:
公有云服务通过虚拟化技术实现计算资源复用,从而为多个客户提供信息资源服 务。公有云服务包括信息技术基础设施服务、平台服务以及软件服务等服务类型。
由于云服务通过资源复用为多个客户提供服务的特性,因此云服务的安全性必然 是云服务客户首要关心的问题。云服务提供商(CSP)应该为每个客户提供资源隔离保护机 制,防止其它客户以任何未经允许的方式访问其信息或其它资源。另外,CSP还应该为客户 提供安全策略制定机制,支持并允许客户自己制定与其信息或资源相关的安全策略。
CSP在云服务安全领域的一般做法是在其数据中心的边界部署安全网关类设备 (以下简称云安全网关),云安全网关根据安全策略对所有访问云资源的行为实施安全控 制,比如访问控制和行为审计等。公有云服务的云安全网关有以下特点
1)支持的安全策略数量大由于公有云服务是面向多客户的,它要支持的策略数 量必须大于或等于云服务全部客户的安全策略数量之和,因此客户数量越大,云安全网关 要支持的安全策略数量就越大。
2)分布式工作模式公有云服务是通过互联网为社会单位(如政府单位和企业) 和个人提供服务,其客户群数量大、分布广,互联网接入点多,因此无论从性能要求上还是 客户接入灵活性要求方面,公有云服务都不可能依靠单一的云安全网关来保证云服务安 全。CSP必须有能力在互联网的多个接入位置部署多个云安全网关设备,并保证这些云安全 网关设备之间安全策略的一致性管理。
由于公有云服务的以上特点,云安全网关面临以下挑战
1)安全性能问题出于客户访问的实时性要求以及云服务的安全效率考虑,所有 客户的安全策略(尤其是访问控制策略)都应该存放在安全网关本地存储中,安全网关在 实施访问控制时从本地安全策略库中查询相关安全策略,并根据安全策略决定相关访问是 否被允许。但是由于云安全网关要支持的安全策略数量可能十分庞大,并且随着客户数量 增加而增加,因此对设备本地的安全策略存储能力(包括内存和磁盘存储)有较高要求,尤 其是本地存储能力的规划十分困难,既要保证客户数量不断增加的适应能力,还要保证服 务的不间断性。另外,安全策略数量庞大,加上客户访问的并发性,云安全网关对安全策略 的本地查询会导致数据在内存和磁盘之间的大量交换及其它过程和现象,这些过程都非常 耗时,会直接影响到策略查询的实时性。
2)安全策略管理问题由于云安全网关的分布式工作模式,为了保证对客户安全 保证能力的一致性,各个云安全网关的安全策略必须要一致,CSP或客户对安全策略的增 加、修改、删除都必须一致性地体现在所有云安全网关的策略执行过程中。但是在公有云服3务环境下,安全策略数量大,安全策略的同步可能对网络带宽带来明显影响,影响云服务质 量;另外,同时如何保证安全策略能够有效同步到各个云安全网关设备也是一个必须要解 决的问题。发明内容
本发明的目的就是针对现有方法存在的上述问题,提出一种面向公有云服务环境 的分布式安全策略管理方法,可以在不明显占用网络带宽的情况下,保证公有云环境下安 全策略的有效性同步,另外,该方法还可以有效提高云安全网关对云安全策略数量的适应 能力,减少云安全网关对本地存储能力的要求,同时保证安全策略查询的高性能。
基本假设公有云服务中,客户是特定用户群体的集合,比如企业客户、政府单位 客户或个人客户,它总是由一组或一个属于该客户的具体用户组成。每个用户必须首先通 过云安全网关完成身份认证后,方可访问云服务资源,并且用户在登录成功后对云服务资 源的所有随后访问必须经过此网关或与它相关的一组特定的云安全网关。云安全网关和安 全控制中心之间是网络可连通的,并且可以通过网络相互交换信息。本发明的目的是通过 以下技术方案来实现的。
本发明采取了如下技术方案
本发明中的公有云服务的分布式网络安全控制方法,基于如下系统实现该系统 包括用户、云安全网关和安全控制中心,云安全网关和安全控制中心通过网络相连接。
该方法包括如下步骤认证接收步骤,云安全网关接收用户输入的安全认证信息 并将该信息发送给安全控制中心,安全控制中心认证后将认证结果返回云安全网关;安全 策略生成步骤,用户通过认证后,云安全网关生成安全策略;访问控制步骤,云安全网关根 据该客户的安全策略对用户的访问进行控制。
所述安全策略生成步骤包括1)用户通过认证后,云安全网关查询本地客户状态 在线表,所述客户状态在线表包括客户标识和客户离线时间;如果所属客户在该表中有对 应项,将该客户的离线时间设置为0,如果没有,云安全网关向安全控制中心发出客户安全 策略申请,所述客户安全策略申请包括客户标识和云安全网关标识;幻安全控制中心接收 来自云安全网关的安全策略申请后,查询安全策略同步需求表,所述安全策略同步需求表 包括客户标识、云安全网关标识和有效时间;如果所述客户在该表中有对应项,将该客户的 有效时间设置为T2 ;如果没有,则在安全策略同步需求表中增加该客户的对应项,并将有 效时间设置为T2,然后将该客户的对应项发送给发出申请的云安全网关;幻云安全网关生 成该客户的安全策略云安全网关在客户在线状态表中增加该客户的表项,所述表项包括该 客户的客户标识和离线时间,所述离线时间设置为0。
当客户离线时间大于Tl时,云安全网关将该客户从客户状态在线表中删除。Tl可 以被系统管理员设置,建议取值范围为3600秒到14400秒之间。
当有效时间为0时,安全控制中心将该客户从安全策略同步需求表中删除。云安 全网关每隔T3时间将客户在线状态表发送给安全控制中心一次。T3可以被系统管理员设 置,T3应不小于Tl,建议取值T3 = Tl。有效时间T2可以被系统管理员设置,但是T2 —定 要大于T3,建议T2 = 3XT3。
相对于现有技术而言,本发明的效果和优点是首先,每个云安全网关无需存储全部客户的所有安全策略,它只需要保存特定客户的安全策略,即那些在最近Tl时间内通过 该云安全网关访问云服务资源的客户。根据云访问的局部性特征,云安全网关所需要的存 储(包括内存和外存)的大小是可以预测的,并且与云服务客户数量没有必然关系,因此可 以据经验和计算数据配置云安全网关的存储(尤其是内存和高速缓存),从而保证安全策 略的查询性能。其次,安全策略的同步能够保证按需同步,即安全策略的变化能够并且之同 步到那些真正需要它们的云安全网关上,从而保证安全策略的有效同步,并将它对网络资 源的占用最小化。其三,云安全网关在被重启或新部署时,无需先行将安全策略全部复制到 本地,就能进入工作状态,安全服务启动时间快。
图1为是本发明的系统结构示意图2为本发明的方法流程图3为安全策略生成方法流程图4为客户在线状态表主体结构;
图5为安全策略同步需求表主体结构。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实 施方式对本发明作进一步详细的说明。
本发明中的公有云服务的分布式网络安全控制方法,基于如下系统实现该系统 包括用户、云安全网关和安全控制中心,云安全网关和安全控制中心通过网络相连接,如图 1所示。
如图2所示,该方法包括如下步骤认证接收步骤S201,云安全网关接收用户输入 的安全认证信息并将该信息发送给安全控制中心,安全控制中心认证后将认证结果返回云 安全网关;安全策略生成步骤S202,用户通过认证后,云安全网关生成安全策略;访问控制 步骤S203,云安全网关根据该客户的安全策略对用户的访问进行控制。
如图3所示,安全策略生成步骤包括1)用户通过认证后,云安全网关查询本地客 户状态在线表,所述客户状态在线表包括客户标识和客户离线时间;如果所属客户在该表 中有对应项,将该客户的离线时间设置为0,如果没有,云安全网关向安全控制中心发出客 户安全策略申请,所述客户安全策略申请包括客户标识和云安全网关标识;2)安全控制中 心接收来自云安全网关的安全策略申请后,查询安全策略同步需求表,所述安全策略同步 需求表包括客户标识、云安全网关标识和有效时间;如果所述客户在该表中有对应项,将该 客户的有效时间设置为T2 ;如果没有,则在安全策略同步需求表中增加该客户的对应项, 并将有效时间设置为T2,然后将该客户的对应项发送给发出申请的云安全网关;3)云安全 网关生成该客户的安全策略云安全网关在客户在线状态表中增加该客户的表项,所述表项 包括该客户的客户标识和离线时间,所述离线时间设置为0。当客户离线时间大于Tl时,云 安全网关将该客户从客户状态在线表中删除。Tl可以被系统管理员设置,建议取值范围为 3600秒到14400秒之间。当有效时间为0时,安全控制中心将该客户从安全策略同步需求 表中删除。云安全网关每隔T3时间将客户在线状态表发送给安全控制中心一次。T3可以5被系统管理员设置,T3应不小于Tl,建议取值T3 = Tl。有效时间T2可以被系统管理员设 置,但是T2 —定要大于T3,建议T2 = 3XT3。
1、在公有云服务系统中,CSP为每个安全域定义一个安全控制中心,安全控制中心 包括安全认证模块、安全策略管理模块等部分。云安全网关和安全控制中心的各模块之间 是通过网络相连通,并且可以通过网络相互交换安全认证、安全策略、审计等信息。CSP可以 为每个云安全网关和安全管理模块分配唯一的并且可以被鉴别的身份标识,如数字证书。 安全认证模块负责对用户进行身份鉴别,确定用户是否可以成功登录云服务。安全策略管 理模块负责安全的制定、修改、删除和分发等。云安全网关负责根据安全认证模块的用户认 证结果控制用户进入云服务系统、接收和执行来自安全策略管理模块的安全策略等。
2、云安全网关维护客户在线状态表
云安全网关内置客户在线状态表,客户状态表由云安全网关来维护,表中记录了 在最近Tl时间段内存在通过它访问云服务资源行为的客户(称为活跃客户),每个活跃客 户在客户在线状态表中占有一个表项,并可以通过客户标识检索到,Tl由安全管理员设置。 云安全网关只保留活跃客户的安全策略,并只接收来自安全策略管理模块关于这些活跃客 户的安全策略同步。客户在线状态表由客户在线状态表项组成,每个状态表项至少包括客 户标识、客户离线时间等信息,客户离线时间表示客户的访问状态,客户离线时间是一个动 态值,由系统根据当前时刻与客户最后一次访问时刻之间的差值自动设置。如果在当前时 刻,某个表项的客户离线时间大于或等于Tl,表示在最近Tl时间段内,该表项对应的客户 没有访问行为,云安全网关视其为非活跃客户,并将其从客户在线状态表中删除。每个客户 在客户在线状态表中最多占有一个状态表项,客户离线时间为Tl时,表示该表项可以被重 新分配使用,Tl可以作为系统参数动态配置,比如14400秒;每次有该客户的用户访问活 动时,客户离线时间设置为0,否则安全自最近一次访问后时间递增,比如,如果客户的最近 一次用户访问后,360秒内没有任何访问行为发生,则该客户在线状态表项中的离线时间为 360。当离线时间大于或等于Tl时,该表项被释放(也意味着对应的客户安全策略表被释 放)。离线时间也可以采用倒计时方式实现。每个客户安全策略表对应着客户在线状态表 中客户离线时间小于Tl的一个客户,它至少包括客户标识及与该客户相关的最新安全策 略等信息。云安全网关开机和每次重新启动时,客户在线状态表和客户安全策略表都为清 空状态,表示当前没有活跃客户。显然,客户在线状态表及客户安全策略表表示了近期通过 相关云安全网关访问云服务资源的客户清单及其安全策略。客户在线状态表控制云安全网 关存储大小,提高了云安全网关策略查询性能。
3、云安全策略管理模块维护安全策略同步需求表,安全策略同步需求表在安全 策略管理模块启动时为清空状态,表示当前没有云安全网关需要任何客户的安全策略同 步。它由安全策略同步需求表项组成,每个安全策略同步需求表项至少包括客户标识、云 安全网关标识、有效时间等信息,它表示当前有哪些云安全网关需要哪些客户的实时策略 信息,其中有效时间表示对应表项的有效寿命,随时间递减,如果该值为0,则对应安全策略 同步需求表项被释放,可以被重新分配使用。安全策略同步需求表项的有效时间最大值为 T2(T2可以作为系统管理参数被配置),安全策略同步需求表通过表项中的有效时间取值 为Τ2-(当前时刻-上一次接收云安全网关状态报告信息的时刻),由安全策略管理模块 自动设置。如果在当前时刻,某个表项的有效时间小于或等于0,表示表项中的云安全网关6不再需要表项中客户的安全策略同步,同时该表项被删除。云安全网关每隔T3时间段向云 安全策略管理模块发送云安全网关状态报告信息,表示它需要得到哪些客户的安全策略同 步。云安全网关状态报告信息主要来源于云安全网关的客户在线状态表,它至少包括云安 全状态网关标识及其客户在线状态表中所有有效表项对应的那些客户标识等信息。为保证 在网络传输质量不高时系统工作正常,T2取值要远大于T3,比如T2 ^ 3T3。云安全策略管 理实体收到云安全网关状态报告信息后,根据云安全网关状态报告中的“客户标识,云安全 网关”信息对修改安全策略同步需求表项如果在安全策略同步需求表项没有对应项,则增 加相应项,并将新增项有效时间设置为T2 ;如果在安全策略同步需求表中已经存在对应表 项,则将该对应项的有效时间设置为T2。
4、用户在登录云服务系统时,云安全网关负责收集用户相关认证信息,并将这些 信息安全传递给安全管理中心的安全认证模块。安全认证模块对用户身份进行认证,并将 认证结果返回给该云安全网关,云安全网关根据认证结果决定是否允许该用户访问。认证 结果至少包括认证用户信息、认证用户相关客户信息、认证结果等。
5、如果认证结果允许用户访问云服务资源,云安全网关检查该用户所属客户是否 存在于客户在线状态表中。如果存在,将客户在线状态表中对应项的客户离线时间设置为 0,然后云安全网关根据安全策略控制用户对云服务资源的访问;如果不存在,云安全网关 需要向安全策略管理实体申请客户安全策略,在客户安全策略申请信息中至少包含认证用 户的身份信息和策略申请者(云安全网关)身份信息。安全策略管理实体根据申请信息 中的用户身份信息确定其所属客户,然后根据“客户标识,云安全网关”信息对修改安全策 略同步需求表项(修改过程同过程幻。在此过程中,安全策略管理模块只传送认证用户所 属客户的安全策略信息,这样可以有效减少安全管理功能对带宽的占用和安全策略传输时 间,提高安全性能,同时保证了策略申请结果的时效性。安全策略管理模块将与该客户相关 的全部安全策略通过安全通道(如VPN)传送给策略申请者。云安全网关获得客户安全策 略后,在客户在线状态表中为该用户所属客户分配一个可用表项,并将该表项的客户离线 时间设置为0。此后云安全网关根据安全策略控制用户对云服务资源的访问。
6、安全策略管理模块通过安全策略同步需求表记录当前云安全网关对客户安全 策略同步的需求状态,安全策略管理模块在客户安全策略更新后,查询安全策略同步需求 表中有该客户标识的那些记录项,获取它们所对应的云安全网关信息,并将客户安全策略 更新结果同步到这些云安全网关中。本过程能够保证将最新的安全策略发送给与需要相关 客户最新安全策略的那些云安全网关,这一过程既保证了安全策略的有效同步性,又可以 有效减少对网络带宽的占用。
本发明中的云安全网关只存储必要的客户安全策略,无需因为客户数量增加而不 断增加存储单元,同时云安全网关在策略安全执行时只需要在一个较小的安全策略集中查 询,减小了策略查询时间,提高了安全执行性能。
实施例一
如图1所示,云安全系统由云安全网关和安全块实体等安全管理组件。用户通过 云安全网关登录并访问云服务资源时,云安全网关向用户要求认证信息;获取用户认证信 息后,云安全网关将向安全认证模块发出认证请求,安全认证模块认证后将认证结果返回 给云安全网关;如果认证结果允许用户登录,云安全网关查询本地客户状态在线表,检查登录用户所属客户是否在该表中有对应项如果有,将对应项的客户离线时间设置为0,如果 没有,云安全网关向安全策略管理模块发出客户安全策略申请;安全策略管理模块接收到 来自云安全网关的安全策略申请后,修改安全策略同步需求表,即如果安全策略同步需求 表中如果有对应的“客户标识,云安全网关标识”项,就将对应项的有效时间设置为T2 ;如 果没有,则在安全策略同步需求表中增加“客户标识,云安全网关标识,T2”项。安全策略管 理模块将该客户相关的全部安全策略返回云安全网关。云安全网关根据该客户安全策略对 用户的访问进行控制。
如果特定客户(例如A)在Tl时间段内没有用户通过云安全网关(例如Gl)访问 云服务资源,云安全网关会将本地客户在线状态表中对应A的表项删除;此后在云安全网 关每隔T3时间段向云安全策略管理模块发送云安全网关状态报告信息中不再包含对应客 户A的信息,经过T2时间段后,安全策略管理模块就将安全策略同步需求表中对应“A,G1” 的表项清除。此后即使客户A的安全策略发生变化,安全策略管理模块也不会将这种策略 变化同步到云安全网关G1。
如果CSP或客户(例如A)通过安全策略管理模块增加、修改或删除一项安全策 略,安全策略管理模块按照查询安全策略同步需求表中客户标识为A的表项所对应的所有 云安全网关标识,并将该客户的安全策略更新结果同步到这些云安全网关中。
实施例二
客户首次有用户通过一个云安全网关访问云服务资源
如果某客户首次有用户通过一个云安全网关登录并访问云服务资源,云安全网关 通过安全认证实体对该用户进行认证。如果认证结果允许用户登录,云安全网关查询本地 客户状态在线表,检查登录用户所属客户在该表中没有对应项,云安全网关向安全策略管 理模块发出客户安全策略申请;安全策略管理模块接收到来自云安全网关的安区策略申请 后,在用表中如果有对应的“客户标识,云安全网关标识,T2”项,并将该客户相关的全部安 全策略返回云安全网关。云安全网关根据该用户所属客户的安全策略表控制用户的云服务 资源访问。
实施例三
客户在Tl时间内再次有用户通过一个云安全网关访问云服务资源
如果有用户通过一个云安全网关登录并访问云服务资源后,在有属于该客户的用 户再次通过同一云安全网关登录并访问云服务资源,云安全网关通过安全认证模块对该用 户进行认证后,云安全网关检查到在本地客户在线状态表中存在与该用户所属客户相关的 表项,云安全网关根据该用户所属客户的安全策略表控制用户的云服务资源访问。
以上对本发明所提供的一种公有云服务的分布式网络安全控制方法进行详细介 绍,本文中应用了具体实施例对本发明的原理及实施方式进行了阐述,以上实施例的说明 只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本 发明的思想,在具体实施方式
及应用范围上均会有改变之处。综上所述,本说明书内容不应 理解为对本发明的限制。
权利要求
1.一种公有云服务的分布式网络安全控制方法,其特征在于,所述方法基于如下系统实现该系统包括用户、云安全网关和安全控制中心,云安全网关和安全控制中心通过网络 相连接;所述方法包括如下步骤认证接收步骤,云安全网关接收用户输入的安全认证信息并将该信息发送给安全控制 中心,安全控制中心认证后将认证结果返回云安全网关;安全策略生成步骤,用户通过认证后,云安全网关生成安全策略;访问控制步骤,云安全网关根据该客户的安全策略对用户的访问进行控制。
2.根据权利要求1所述的一种公有云服务的分布式网络安全控制方法,其特征在于, 所述安全策略生成步骤包括1)用户通过认证后,云安全网关查询本地客户状态在线表,所述客户状态在线表包括 客户标识和客户离线时间;如果所属客户在该表中有对应项,将该客户的离线时间设置为0,如果没有,云安全网 关向安全控制中心发出客户安全策略申请,所述客户安全策略申请包括客户标识和云安全 网关标识;2)安全控制中心接收来自云安全网关的安全策略申请后,查询安全策略同步需求表, 所述安全策略同步需求表包括客户标识、云安全网关标识和有效时间;如果所述客户在该表中有对应项,将该客户的有效时间设置为T2 ;如果没有,则在安 全策略同步需求表中增加该客户的对应项,并将有效时间设置为T2,然后将该客户的对应 项发送给发出申请的云安全网关;3)云安全网关生成该客户的安全策略云安全网关在客户在线状态表中增加该客户的表项,所述表项包括该客户的客户标识 和离线时间,所述离线时间设置为0。
3.根据权利要求2所述的一种公有云服务的分布式网络安全控制方法,其特征在于, 当客户离线时间大于Tl时,云安全网关将该客户从客户状态在线表中删除。
4.根据权利要求2所述的一种公有云服务的分布式网络安全控制方法,其特征在于, 当有效时间为0时,安全控制中心将该客户从安全策略同步需求表中删除。
5.根据权利要求2所述的一种公有云服务的分布式网络安全控制方法,其特征在于, 所述云安全网关每隔T3时间将客户在线状态表发送给安全控制中心一次,其中T3 ^ T2。
全文摘要
本发明公开了一种公有云服务的分布式网络安全控制方法,属于信息技术领域。本方法包括如下步骤云安全网关接收用户的认证信息,用户通过认证后,云安全网关查询本地客户状态在线表,生成安全策略,如果本地客户状态在线表中没有该用户的安全策略,云安全网关向安全控制中心发出客户安全策略申请,安全控制中心生成该客户的安全策略后发送云安全网关,云安全网关根据该客户的安全策略对用户的访问进行控制。本发明的优点是由于云安全网关需要维护的安全策略数量小,所以安全性能较高;由于系统只需要将安全策略的更新结果同步到那些需要安全策略更新结果的云安全网关上,所以安全策略管理效率更高,并且减少了安全策略管理对系统资源的占用。
文档编号H04L29/08GK102045353SQ201010586329
公开日2011年5月4日 申请日期2010年12月13日 优先权日2010年12月13日
发明者何永忠, 李晓勇, 袁中兰, 韩臻 申请人:北京交通大学