联隧道进行通信。
[0064]一种具体实施例,上述通过可信直联隧道进行通信的方式称之为U型连通。此时,即使驻留在同一物理主机上的虚拟机之间的通信也不通过Hypervisor上的虚拟交换方式进行,而是通过U型连通的方式进行,避免了因旁路攻击而发生的数据泄露,保证了数据传输的安全性。
[0065]具体的,所述直联隧道为基于vMAC地址的二层隧道或基于VlP地址的三层隧道。
[0066]此时,恶意虚拟机很难通过Hypervisor交换层面的漏洞渗透到处于同一物理机的其他虚拟机上,达到不同虚拟机之间有效隔离的目的,保障了数据传输的安全性。
[0067]本发明的具体实施例中,由预先设置的可信根作为执行主体对云计算系统的数据隔离进行控制。
[0068]下面对本发明的具体实施例举例说明如下。
[0069]如图3、4所示,由可信根作为执行主体,当用户I在A地区登陆云计算系统后,可信根先为用户I创建虚拟信任域1,虚拟信任域I包括在物理网络A中为用户I分配的虚拟机I和2,然后根据虚拟机I和2创建用户I的信息表,用户I的信息表包括用户信息以及虚拟机I和2的属性信息,虚拟机的属性信息包括虚拟机所属用户、驻留的物理主机、vMAC地址和vIP地址;
[0070]当用户2在A地区登陆云计算系统后,同样先为用户2创建虚拟信任域2,虚拟信任域2包括为用户2分配的虚拟机3和4,然后根据虚拟机3和4创建用户2的信息表,包括用户信息以及虚拟机3和4的属性信息;
[0071]当接收到虚拟机I向虚拟机2的通信请求时,根据用户I的信息表可以判断虚拟机I和2属于同一用户,然后生成一对公私密钥XY,将公钥X赋予虚拟机1,私钥Y赋予虚拟机2,当虚拟机I根据公私密钥验证虚拟机2合法后,允许虚拟机I和2之间的通信;
[0072]当接收到虚拟机I向虚拟机3的通信请求时,根据用户I和用户2的信息表,可以判断虚拟机I和3不属于同一用户,禁止虚拟机I和3之间的通信;
[0073]当用户I因出差或其它原因到B地区,且在B地区登陆云计算系统时,先在物理网络B中为用户I分配虚拟机5,然后将虚拟信任域I中虚拟机I的属性信息继承到虚拟机5中,使虚拟机I发生漂移,并将虚拟信任域I中的虚拟机变更为虚拟机2和5,同时用户I的信息表根据虚拟机的变化进行更新;
[0074]当接收到虚拟机5向虚拟机2的通信请求时,根据用户I的信息表可以判断虚拟机5和2属于同一用户,然后生成一对公私密钥WZ,将公钥W赋予虚拟机5,私钥Z赋予虚拟机2,当虚拟机5根据公私密钥验证虚拟机2合法后,允许虚拟机5和2之间的通信。
[0075]本发明实施例的云计算系统数据隔离的方法,针对不同的用户进行数据隔离,保障了用户存储数据的安全,简单易行,且降低了成本。
[0076]如图5所示,本发明的实施例还提供了一种云计算系统数据隔离的装置,包括:
[0077]第一创建模块,用于为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机;
[0078]第二创建模块,用于根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息;
[0079]判断模块,用于当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果;
[0080]第一执行模块,用于当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信;
[0081]第二执行模块,用于当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0082]本发明实施例的云计算系统数据隔离的装置,针对不同的用户进行数据隔离,保障了用户存储数据的安全,简单易行,且降低了成本。
[0083]本发明的具体实施例中,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议vIP地址。
[0084]其中,本发明实施例的云计算系统数据隔离的装置还可以包括:
[0085]更新模块,用于当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
[0086]此时,用户的信息表与为该用户分配的虚拟机随时保持同步,保证了虚拟机之间通讯判断的准确性,增加了实用性和安全性。
[0087]其中,所述第一执行模块可以包括:
[0088]生成模块,用于当所述判断结果为是时,生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机;
[0089]第一执行子模块,用于所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
[0090]此时,公私密钥的设立加强了虚拟机之间的通信安全,增加了数据保护的安全性和合理性。
[0091]其中,所述主叫虚拟机与所述被叫虚拟机之间通过所述虚拟信任域中为虚拟机之间预先建立的可信直联隧道进行通信。
[0092]具体的,所述直联隧道为基于vMAC地址的二层隧道和基于vIP地址的三层隧道。
[0093]本发明实施例的云计算系统数据隔离的装置是与上述云计算系统数据隔离的方法对应的装置,上述方法中的所有实现方式均适用于该装置的实施例中,也同样能达到:针对不同的用户进行数据隔离,保障用户存储数据的安全,简单易行,且降低了成本。
[0094]由于本发明实施例的云计算系统数据隔离的装置应用于终端,因此,本发明实施例还提供了一种终端,包括:如上述实施例中所述的云计算系统数据隔离的装置。其中,上述云计算系统数据隔离的装置的所述实现实例均适用于该终端的实施例中,也能达到相同的技术效果。
[0095]以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
【主权项】
1.一种云计算系统数据隔离的方法,其特征在于,包括: 为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机; 根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息; 当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果; 当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信; 当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
2.根据权利要求1所述的方法,其特征在于,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议VlP地址。
3.根据权利要求1所述的方法,其特征在于,还包括: 当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
4.根据权利要求1所述的方法,其特征在于,允许所述主叫虚拟机与所述被叫虚拟机之间的通信的步骤具体包括: 生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机;所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
5.根据权利要求1或4所述的方法,其特征在于,所述主叫虚拟机与所述被叫虚拟机之间通过所述虚拟信任域中为虚拟机之间预先建立的可信直联隧道进行通信。
6.根据权利要求5所述的方法,其特征在于,所述直联隧道为基于vMAC地址的二层隧道或基于VlP地址的三层隧道。
7.—种云计算系统数据隔离的装置,其特征在于,包括: 第一创建模块,用于为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机; 第二创建模块,用于根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息; 判断模块,用于当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果; 第一执行模块,用于当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信; 第二执行模块,用于当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
8.根据权利要求7所述的装置,其特征在于,所述虚拟机的属性信息至少包括:虚拟机所属用户、驻留的物理主机、虚拟介质访问控制vMAC地址和/或虚拟网间协议VlP地址。
9.根据权利要求8所述的装置,其特征在于,还包括: 更新模块,用于当所述虚拟信任域中的虚拟机发生变化时,根据所述变化更新所述用户的信息表。
10.根据权利要求7所述的装置,其特征在于,所述第一执行模块包括: 生成模块,用于当所述判断结果为是时,生成一对公私密钥,并将公钥赋予所述被叫虚拟机,将私钥赋予所述主叫虚拟机; 第一执行子模块,用于所述被叫虚拟机根据所述公私密钥验证所述主叫虚拟机合法后,允许所述主叫虚拟机与所述被叫虚拟机之间的通信。
11.一种终端,其特征在于,包括:如权利要求7-10任一项所述的云计算系统数据隔离的装置。
【专利摘要】本发明提供了一种云计算系统数据隔离的方法、装置及终端,该云计算系统数据隔离的方法包括:为登陆云计算系统的用户创建虚拟信任域,其中,所述虚拟信任域包括:为同一用户分配的至少一个虚拟机;根据所述虚拟信任域中为同一用户分配的虚拟机,创建所述用户的信息表;其中,所述用户的信息表包括:用户信息以及为该用户分配的虚拟机的属性信息;当接收到虚拟机之间的通信请求时,根据所述用户的信息表,判断主叫虚拟机与被叫虚拟机是否属于同一用户,得到判断结果;当所述判断结果为是时,允许所述主叫虚拟机与所述被叫虚拟机之间的通信;当所述判断结果为否时,禁止所述主叫虚拟机与所述被叫虚拟机之间的通信。
【IPC分类】H04L29-06, G06F9-455, H04L29-08
【公开号】CN104580314
【申请号】CN201310506847
【发明人】黄斐一
【申请人】中国移动通信集团广东有限公司
【公开日】2015年4月29日
【申请日】2013年10月24日