专利名称:一种安全私有云系统的实现方法
技术领域:
本发明涉及云系统技术领域,尤其涉及一种安全私有云系统的实现方法。
背景技术:
私有云是为一个客户单独使用而构建的,因而提供对数据、安全性和服务质量的最有效控制。私有云可部署在企业数据中心的防火墙内,也可将它们部署在一个安全的主机托管场所,它可由公司自己的IT机构,也可由云提供商进行构建;在此“托管式专用”模式中,像Sim、IBM这样的云计算提供商可以安装、配置和运营基础设施,以支持一个公司企业数据中心内的专用云,此模式赋予公司对于云资源使用情况的极高水平的控制能力,同时带来建立并运作该环境所需的专门知识。虚拟化能充分利用计算机系统的资源,但由此而引起的安全性问题一直是研究的重点,由于云系统物理上的整体连接性决定了云系统的安全问题是一个非常复杂、难以解决的问题。传统的私有云安全问题是在每个虚拟化的机器安装防火墙、利用GUEST的登录功能进行用户身份认证,这些结果的最大问题是①无法阻止文件在同一内网未经授权的传输;②无法控制未经授权的用户访问指定的GUEST ;③无法控制用户和GUEST之间的文件未经授权的传输;④无法阻止未经授权的用户访问GUEST远程桌面;⑤无法确保非法用户通过访问HOST直接把整个GUEST虚拟文件直接非法复制到未授权用户的计算机中,对私有云的大规模普及影响较大。尽管采用传统的网络安全技术如VLAN、VPN、SSH登录、防火墙、 身份认证可阻止外部非法用户的访问,但是无法阻止合法用户在域内未经授权的网络数据包收发、未经授权的文件传输、跨域未经授权的传输文件和跨域未经授权的网络数据包收发,这些问题直接影响私有云的安全。因此,结合以上分析,需要对现有技术进行合理的创新。
发明内容
针对以上缺陷,本发明提供一种安全私有云系统的实现方法,通过合理设置安全私有云的系统物理框架,并提出基于不同安全域+VDE及IP+PKI用户名身份认证+执行代码校验认证的技术和安全远程桌面访问技术,从而配合监控和防火墙技术,来解决私有云的安全性问题。为实现上述目的,本发明采用以下技术方案一种安全私有云系统的实现方法,主要包括以下步骤(1)首先于客户端配置USB-KEY或者软证书,用WIND0WS-XP系统进行访问;(2) HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;(3)客户端代码认证采用MD5或SHA-I算法;(4)虚拟机OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,远程桌面端口采用GUEST 端口或 VIRTUALBOX-RDP 端口 ;
(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;(6)设置控制用户的访问范围,分内网、外网;(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。其中的GUEST采用防火墙与防病毒程序,客户端和GUEST运行进程扫描程序。本发明所述的安全私有云系统的实现方法的有益效果为通过设置新的物理框架和基于PKI技术+用户名和ip地址绑定技术,根据虚拟机和用户的不同要求将系统划分为不同的VDE,通过包过滤技术防止GUEST、HOST及GUEST之间非法传输信息,利用随机端口技术只开放远程桌面对GUEST的访问,采用在用户端安装自己的远程桌面软件和监控只运行一次保证用户端资源无法被GUEST共享+printscreen键屏蔽技术,从而保证GUEST机器的信息只能在系统指定的范围内被合法的用户访问;另外,内核为2. 4和2. 6版本的LINUX 系统HOST采用本方法也在本发明的保护范围内。
下面根据附图对本发明作进一步详细说明。图1是本发明实施例所述安全私有云系统的实现方法的系统框架示意图。
具体实施例方式如图1所示,本发明实施例所述的安全私有云系统的实现方法,据图可知,若用户和外网用户要访问HOST,只能通过安全模块A和安全模块B ;若跨机器的HOST或者GUEST 之间相互访问,则只能通过安全模块B ;通过用动态端口技术,和访问进程代码HASH摘要与服务器端校验技术和通过校验后时序控制技术,防止用户3389端口欺骗;用户登录后,把用户名UUID和密码及登录程序自己的HASH摘要+访问时间段+访问的机器的IP+时间戳,经过客户端的pki模块加密,送安全模块A,安全模块用对应的用户名UUID找到它的公钥,再解密,校验密码、访问程序的HASH摘要、是否指定时间段可以访问的状态校验,通过后产生随机访问端口经公钥加密,并通过安全模块做映射,送客户端,客户端经过私钥解密,得到随机端口,通过本客户端程序进行guest或者host机器的远程桌面访问。过滤规则所有的非IP报文,丢弃;TCP过滤,用户对远程桌面的包,如果是指定的端口,放过,其它的丢弃;远程桌面对用户的包,源地址是3389的包放过;目标端口是80的包,检测是否是HTTP的POST请求,如果是,检测包长度,大于256字节的包,丢弃,防用户通过HTTP上传文件。UDP过滤,放过DNS (5 端口的包,双向过滤,其它安全要求较低的HOST 和GUEST访问根据系统的OS类型,如果为WINDOWS的,可设置对23和21端口的权限控制 (TCP),如果为LINUX或者UBUNT0,对SSH端口 Q2)和Ql)端口做权限控制,其中23和22 与3389类似的做随机端口控制。本发明实施例所述的安全私有云系统的实现方法,主要包括以下步骤(1)首先于客户端配置USB-KEY或者软证书,用WIND0WS-XP系统进行访问;(2) HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;
(3)客户端代码认证采用MD5或SHA-I算法;(4)虚拟机OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,远程桌面端口采用GUEST 端口或 VIRTUALBOX-RDP 端口 ;(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;(6)控制用户的访问范围,分内网、外网;(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。其中的系统后台用户管理功能包括(1)设定用户可访问的GUEST和HOST,设置对应的认证代码可以访问的GUEST和HOST; (2)设定虚拟机的网络权限(端口,默认为远程端口开放,其他关闭);(3)设定用户密码;(4)企业管理和用户管理;(5)USB-KEY与用户管理,密钥管理,PKI管理。主要操作流程为(1)用户打开客户端,填写用户名密码(或者插入USB-KEY后题写密码)和访问的机器的IP,客户端向安全模块发起认证请求(走HTTP协议),认证信息包含用户名UUID和密码及登录程序自己的HASH摘要+访问时间段+访问的机器的IP+时间戳;( 模块收到用户请求,从数据库中取出密码和资料,对比提交上来的密码,如果正确 把用户要访问的虚拟机IP和随机生成的端口经过公钥加密后,返回给客户端界面后,同时模块向内核写入用户的IP,虚拟机的IP,动态生成的端口号,和用户的访问权限;(3)用户端代码调用远程桌面访问模块(这个模块的代码摘要保存在USB-KEY中-先进行代码摘要的检验);(4)用户断开远程桌面连接,模块在30秒内未检测到用户产生的流量,则清除用户登录信息,连接断开,须重新认证;(5)代码的监控模块检查这个ip的随机端口在本机的访问程序,如果有多个,提示非法访问,重新启动用户计算机。以上实施实例是本发明较优选具体实施方式
的一种,本领域技术人员在本技术方案范围内进行的通常变化和替换应包含在本发明的保护范围内。
权利要求
1.一种安全私有云系统的实现方法,其特征在于,主要包括以下步骤(1)首先于客户端配置USB-KEY或者软证书,用WINDOWS系统桌面或者UBUNTO桌面进行访问;(2)HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射;(3)客户端代码认证采用MD5或SHA-I算法;(4)虚拟机OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,远程桌面端口采用GUEST端口 或 VIRTUALBOX-RDP 端口 ;(5)采用钩子技术,以便于阻止用户按printscreen进行屏幕复制;(6)设置控制用户的访问范围,分内网、外网;(7)通过设置安全模块B限制GUEST之间相互访问,限制HOST访问外网;(8)采用UBUNTO系统的VDE开源模块隔离本机的HOST和GUEST。
2.根据权利要求1所述的安全私有云系统的实现方法,其特征在于其中的GUEST采用防火墙与防病毒程序,客户端和GUEST运行进程扫描程序。
全文摘要
本发明涉及一种安全私有云系统的实现方法,包括HOST采用UBUNTO系统加防火墙,用NETFILTER架构技术进行包过滤和端口映射,客户端代码认证采用MD5或SHA-1算法等。通过设置新物理框架和基于PKI技术+用户名和IP地址绑定技术,根据虚拟机和用户的不同要求将系统划分为不同的VDE,通过包过滤技术防止GUEST、HOST及GUEST之间非法传输信息,利用随机端口技术只开放远程桌面对GUEST的访问,采用在用户端安装自己的远程桌面软件和监控只运行一次保证用户端资源无法被GUEST共享+printscreen键屏蔽技术,从而保证GUEST机器的信息只能在系统指定的范围内被合法的用户访问。
文档编号H04L9/32GK102333098SQ20111033099
公开日2012年1月25日 申请日期2011年10月27日 优先权日2011年10月27日
发明者周诗琦, 童良勇 申请人:童良勇