虚拟私有云平台、虚拟私有云安全接入方法和系统的制作方法

虚拟私有云平台、虚拟私有云安全接入方法和系统的制作方法
【专利摘要】本发明涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统，虚拟私有云平台接收到用户的接入请求时，使用定位服务器和无线信号源设备对无线云终端进行位置定位并做位置权限判断，位置允许通过则继续验证用户账户的信息，如果无线云终端同时具有位置权限和账户权限，虚拟私有云将允许无线云终端访问所请求的资源，接入成功后，虚拟私有云平台仍对接入的无线云终端进行定位追踪，防止其移动到非法的位置进行攻击。本发明将可攻击区域缩小到指定的范围内，以强化虚拟私有云的安全管控。
【专利说明】虚拟私有云平台、虚拟私有云安全接入方法和系统
【技术领域】
[0001]本发明涉及网络通信技术，具体涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统。
【背景技术】
[0002]近几年，虚拟私有云逐渐为广大企业所接受和采用，它可以让企业享受到云计算的益处的同时，又不需要将工作负载和数据部署在企业防火墙之外，避免了一些潜在的安全隐患。通过将虚拟私有云部署在企业防火墙后，企业的IT部门可以有效掌控云资源的控制权，满足企业对云计算安全性的需求。
[0003]但是，虚拟私有云却无法摆脱来自企业内部的攻击。现有的私有云接入安全方案一般都是通过用户账户验证和网络设备绑定等方式来解决企业内部不同部门对安全性的需求，无法达到既灵活又安全的办公需求。随着无线设备的普及，用户对办公方式的灵活性又有了新的要求，现有的这些接入安全的解决方案又面临着新的挑战。另外，由于无线网络的数据传输是利用微波在空气中辐射传播，在某种程度上可以看作是一个开放式的公共网络，因此，一些重要的账户信息很容易通过无线传输泄露，攻击者可以在未知的区域接入网络进行攻击，安全性无法得到有效保障。
[0004]又如CN 102571703 A公开了一种“云数据安全管控系统及方法”，应用于私有云服务器，企业内部用户端设备通过内部网络访问该私有云服务器，该私有云服务器存储有私有云数据，各企业内部用户端设备安装有全球定位系统。该云数据安全管控系统结合用户端当前的经纬度坐标信息及其它权限管控资料对该用户端进行多重验证。若该用户端设备有任意一项验证失败，则该云数据安全管控系统拒绝该用户端设备的访问请求。若用户端设备当前的经纬度坐标信息及其它权限管控资料均通过验证，则云数据安全管控系统允许该用户端设备访问私有云数据。该专利结合请求访问私有云数据的用户端设备当前的经纬度坐标信息以及其它权限管理控资料对该用户端设备进行多重验证，强化了私有云的安全管理，有效地防范了入侵者的攻击。但仍存在一定的安全问题，比如:当云数据安全管控系统允许用户端设备访问私有云数据后，用户端设备可移动到非法的位置进行攻击；另，用户端设备采用G P S进行定位，如果用户端设备在室内则因为无法接收G P S信号，造成用户端设备不可用。

【发明内容】

[0005]本发明的目的是提供一种虚拟私有云平台、虚拟私有云安全接入方法和系统，能将可攻击区域缩小到指定的范围内，以强化虚拟私有云的安全管控。
[0006]本发明所述的虚拟私有云平台，包括:
[0007]接收模块，用于接收无线云终端发送的接入请求消息；
[0008]位置权限模块，用于向定位服务器发送定位操作指令，并获取定位服务器对指定无线云终端的定位策略匹配结果；[0009]账户权限模块，用于根据虚拟私有云预先配置的用户账户信息，获取账户权限的对应关系；
[0010]处理模块，用于调用位置权限模块和账户权限模块，检验无线云终端是否同时具有位置权限和账户权限，若是，则允许无线云终端接入，否则，拒绝无线云终端接入；
[0011]发送模块，用于向无线云终端发送接入请求处理结果；
[0012]当允许无线云终端接入后，所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果，并通过处理模块检验所述无线云终端是否具有位置权限，以防止无线云终端离开所设定的定位策略区域。
[0013]本发明所述的一种虚拟私有云安全接入方法，包括权利要求1所述的虚拟私有云平台、定位装置和无线云终端；
[0014]包括步骤:
[0015]虚拟私有云平台接收无线云终端发送的接入请求信息，该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息；
[0016]所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限；
[0017]虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限；
[0018]如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源；
[0019]虚拟私有云平台向无线云终端发送接入请求处理结果；
[0020]当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。
[0021]验证无线云终端是否具有账户权限包括:
[0022]虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息，验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限，若验证通过，则向使用该账户登录的无线云终端授予账户权限。
[0023]所述定位装置包括定位服务器和无线信号源设备；
[0024]验证无线云终端是否具有位置权限包括:
[0025]虚拟私有云平台向定位服务器发送定位操作指令，定位服务器通过控制相应的无线信号源设备，对无线云终端进行信号强度的采集，并基于所述信号强度计算出无线云终端所处的位置，根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息，匹配无线云终端在所处区域的位置权限，若定位策略匹配结果为允许，则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限；
[0026]所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系;
[0027]所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。
[0028]对无线云终端的位置权限的维持包括:
[0029]定位服务器结合无线信号源设备对无线云终端进行实时定位，并向虚拟私有云平台发送实时的定位策略匹配结果。
[0030]对无线云终端的位置权限的维持包括:
[0031]定位服务器对无线云终端进行定位并做定位策略匹配:
[0032]定位服务器在无线云终端接入虚拟私有云资源之后，实时采集追踪无线云终端的位置，直到接收到虚拟私有云平台下达的停止定位命令，则停止对其指定的无线云终端进行信号采集和定位，所述停止定位命令至少包含停止标识、无线云终端信息及相应的虚拟私有云资源号，所述虚拟私有云平台下达的停止定位命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请；
[0033]若定位服务器在定位过程中发现异常，则发送定位异常消息到虚拟私有云平台；
[0034]所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出申请的情况，所述情况包括无线云终端与无线信号源设备断开连接、无线云终端移动到定位策略信息拒绝的区域；所述定位异常消息至少包含异常类型、无线云终端信息和请求虚拟私有云资源号；
[0035]虚拟私有云平台接收到异常消息后，根据不同的异常类型，采取相应的安全措施。
[0036]所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号；
[0037]所述用户输入的用户账户信息是代表用户身份的信息，包括用户名、密码、私钥或生物特征；
[0038]所述无线云终端设备信息为无线云终端设备的网卡MAC地址，或设备生产序列号。
[0039]所述定位服务器根据所述信号强度通过室内定位的方法计算出无线云终端所处的位置；
[0040]所述室内定位的方法为三角定位法，或为指纹识别法，或为基于机械学习的室内定位方法。
[0041]本发明所述的虚拟私有云安全接入系统，包括:
[0042]无线云终端，用于发送接入请求信息和访问虚拟私有云资源；
[0043]定位装置，所述定位装置包括无线信号源设备和定位服务器，所述无线信号源设备用于承载无线通信及采集无线云终端的信号强度；所述定位服务器用于对无线云终端进行定位，并对所定位的结果进行放行或阻止的定位策略信息匹配；
[0044]还包括权利要求1所述的虚拟私有云平台，用于接收所述无线云终端发送的接入请求信息，并根据无线云终端设备定位策略匹配结果和用户身份验证结果允许或阻止无线云终端接入虚拟私有云资源。
[0045]本发明的有益效果:本发明通过对无线云终端定位，判断其是否处于所请求的虚拟私有云资源的允许接入的区域内，若处于允许的区域内时，则允许其接入该虚拟私有云资源。这样可以避免其他用户在不属于自身访问权限的区域外，通过无线的方式，非法访问虚拟私有云的资源，实现基于区域的云终端访问方式。本发明从物理角度上将可攻击区域缩小到指定的范围内，强化了虚拟私有云的安全管控。【专利附图】

【附图说明】
[0046]图1为本发明所述虚拟私有云安全接入方法的主要流程图；
[0047]图2为无线云终端接入虚拟私有云资源的具体流程图；
[0048]图3为本发明中位置权限维护及异常退出处理的主要流程图；
[0049]图4为本发明所述虚拟私有云平台的结构框图；
[0050]图5为本发明所述虚拟私有云安全接入系统的结构框图。
【具体实施方式】
[0051]现结合附图对本发明作进一步详细说明:
[0052]如图1所示的一种虚拟私有云安全接入方法，包括虚拟私有云平台、无线云终端和定位装置。
[0053]包括以下步骤:
[0054]S11、虚拟私有云平台接收无线云终端发送的接入请求信息，所述接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息；所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号，所述用户输入的用户账户信息是代表用户身份的信息，例如:用户名、密码、私钥或生物特征等；所述无线云终端设备信息是无线云终端设备的网卡MAC地址、设备生产序列号等能够唯一识别该设备的识别号。
[0055]S12、所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限。
[0056]验证无线云终端是否具有位置权限的过程如下:
[0057]虚拟私有云平台向定位服务器发送定位操作指令，定位服务器通过控制相应的无线信号源设备，对无线云终端进行信号强度的采集，并基于所述信号强度通过室内定位的方法计算出无线云终端所处的位置，根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息，匹配无线云终端在所处区域的位置权限，若定位策略匹配结果为允许，则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限。
[0058]所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系。所述室内定位的方法包括:三角定位法、指纹识别法、基于机械学习的室内定位方法。所述无线信号源设备根据实际需求可以是一个或两个以上。
[0059]S13、虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限。
[0060]验证无线云终端是否具有账户权限的过程如下:
[0061]虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息，验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限，若验证通过，则向使用该账户登录的无线云终端授予账户权限。[0062]其中，S12和S13之间无时序限制关系。
[0063]S14、如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源。
[0064]S15、虚拟私有云平台向无线云终端发送接入请求处理结果。
[0065]S16、当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。
[0066]对无线云终端的位置权限的维持包括:定位服务器结合无线信号源设备对无线云终端进行实时定位，并向虚拟私有云平台发送实时的定位策略匹配结果；所述定位策略匹配结果至少包含无线云 终端设备信息和对应的允许或拒绝的标识。
[0067]本发明在通过定义位置的策略信息，对无线云终端的接入位置进行接入行为决策，在无线云终端访问虚拟私有云时考虑无线云终端所处的位置，避免用户在不属于自身的区域内访问虚拟私有云的资源，实现基于位置区域的无线云终端安全访问的方式。
[0068]以下结合图2对本发明进行具体的说明:
[0069]S21:用户通过无线云终端上的输入设备输入用户账户信息和请求接入的虚拟私有云资源号。
[0070]S22:无线云终端向虚拟私有云平台发送接入请求消息，所述接入请求消息包括请求接入的虚拟私有云资源号、用户输入的用户账户信息和无线云终端设备信息。
[0071]其中，无线云终端设备信息是虚拟私有云平台用来确定为谁提供虚拟私有云服务的唯一标识。
[0072]S23:虚拟私有云平台会暂时保存收到的接入请求信息，生成本次接入请求的会话信息，同时，将定位操作指令下发到定位服务器上，所述定位操作指令包括开始定位标识、会话信息、无线云终端设备信息和所请求的虚拟私有云资源号等。
[0073]因为虚拟私有云平台经常会同时接收到多个接入请求的信息，为方便区分和更好管理定位服务，所以虚拟私有云平台需要在每次收到接入请求时，生成并开始维护的会话信息，直至用户退出虚拟私有云平台。
[0074]S24:定位服务器根据无线信号源标识符信息，开始该定位工作的初始化，并将信号采集命令发送至无线信号源设备，所述信号采集命令至少包括开始标识和无线云终端设备信息。
[0075]所述的定位初始化工作包括:初始化信号强度采集的网络通信建立、定位算法的配置、无线信号采集参数的设置等一切定位的必要操作以及所申请的虚拟私有云资源对应的定位策略信息读取。
[0076]其中，定位服务器保存的定位策略信息为:位置区域与每个独立的虚拟私有云资源接入权限信息的对应关系，通过该对应关系，定位服务器可以查询并判定无线云终端是否可以接入所对应的虚拟私有云。
[0077]例如，位置区域和对应虚拟私有云资源权限对应关系可以如表1所示:
[0078]
【权利要求】
1.一种虚拟私有云平台，其特征在于，包括: 接收模块，用于接收无线云终端发送的接入请求消息； 位置权限模块，用于向定位服务器发送定位操作指令，并获取定位服务器对指定无线云终端的定位策略匹配结果； 账户权限模块，用于根据虚拟私有云预先配置的用户账户信息，获取账户权限的对应关系; 处理模块，用于调用位置权限模块和账户权限模块，检验无线云终端是否同时具有位置权限和账户权限，若是，则允许无线云终端接入，否则，拒绝无线云终端接入； 发送模块，用于向无线云终端发送接入请求处理结果； 当允许无线云终端接入后，所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果，并通过处理模块检验所述无线云终端是否具有位置权限，以防止无线云终端离开所设定的定位策略区域。
2.一种虚拟私有云安全接入方法，其特征在于:包括权利要求1所述的虚拟私有云平台、定位装置和无线云终端； 包括步骤: 虚拟私有云平台接收无线云终端发送的接入请求信息，该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息； 所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限； 虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限； 如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源； 虚拟私有云平台向无线云终端发送接入请求处理结果； 当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。
3.根据权利要求2所述的虚拟私有云安全接入方法，其特征在于:验证无线云终端是否具有账户权限包括: 虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息，验证所述用户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限，若验证通过，则向使用该账户登录的无线云终端授予账户权限。
4.根据权利要求2所述的虚拟私有云安全接入方法，其特征在于:所述定位装置包括定位服务器和无线信号源设备； 验证无线云终端是否具有位置权限包括: 虚拟私有云平台向定位服务器发送定位操作指令，定位服务器通过控制相应的无线信号源设备，对无线云终端进行信号强度的采集，并基于所述信号强度计算出无线云终端所处的位置，根据定位服务器中预先配置的虚拟私有云资源对应的位置策略信息，匹配无线云终端在所处区域的位置权限，若定位策略匹配结果为允许，则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限； 所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的对应关系; 所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。
5.根据权利要求4所述的虚拟私有云安全接入方法，其特征在于:对无线云终端的位置权限的维持包括: 定位服务器结合无线信号源设备对无线云终端进行实时定位，并向虚拟私有云平台发送实时的定位策略匹配结果。
6.根据权利要求5所述的虚拟私有云安全接入方法，其特征在于:对无线云终端的位置权限的维持包括: 定位服务器对无线云终端进行定位并做定位策略匹配: 定位服务器在无线云终端接入虚拟私有云资源之后，实时采集追踪无线云终端的位置，直到接收到虚拟私有云平台下达的停止定位命令，则停止对其指定的无线云终端进行信号采集和定位，所述停止定位命令至少包含停止标识、无线云终端信息及相应的虚拟私有云资源号，所述虚拟私有云平台下达的停止定位命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请； 若定位服务器在定位过程中发现异常，则发送定位异常消息到虚拟私有云平台； 所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出申请的情况，所述情况包括无线云终端与无线信号源设备断开连接、无线云终端移动到定位策略信息拒绝的区域；所述定位异常消息至少包含异常类型、无线云终端信息和请求虚拟私有云资源号； 虚拟私有云平台接收到异常消息后，根据不同的异常类型，采取相应的安全措施。
7.根据权利要求2至6任一所述的虚拟私有云安全接入方法，其特征在于: 所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号； 所述用户输入的用户账户信息是代表用户身份的信息，包括用户名、密码、私钥或生物特征； 所述无线云终端设备信息为无线云终端设备的网卡MAC地址，或设备生产序列号。
8.根据权利要求4至6任一所述的虚拟私有云安全接入方法，其特征在于:所述定位服务器根据所述信号强度通过室内定位的方法计算出无线云终端所处的位置； 所述室内定位的方法为三角定位法，或为指纹识别法，或为基于机械学习的室内定位方法。
9.一种虚拟私有云安全接入系统，其特征在于，包括: 无线云终端，用于发送接入请求信息和访问虚拟私有云资源； 定位装置，所述定位装置包括无线信号源设备和定位服务器，所述无线信号源设备用于承载无线通信及采集无线云终端的信号强度；所述定位服务器用于对无线云终端进行定位，并对所定位的结果进行放行或阻止的定位策略信息匹配； 还包括权利要求1所述的虚拟私有云平台，用于接收所述无线云终端发送的接入请求信息，并根据无线云终端设备定位策略匹配结果和用户身份验证结果允许或阻止无线云终端接入虚拟私有云资 源。
【文档编号】H04W12/08GK103945330SQ201410198376
【公开日】2014年7月23日 申请日期:2014年5月12日 优先权日:2014年5月12日
【发明者】程克非, 蔡泓, 李琳 申请人:重庆邮电大学