一种实现统一安全监控与管理的云平台的制作方法
【专利摘要】本发明提供一种实现统一安全监控与管理的云平台,所述云平台包括自下而上依次分布的基础设施层、基础设施管理层、平台控制层、平台表现层以及平台应用层。本发明提供的一种实现统一安全监控与管理的云平台,可以提供更加安全的云平台网络架构。
【专利说明】
一种实现统一安全监控与管理的云平台
技术领域
[0001]本发明涉及网络通信技术领域,尤其涉及一种实现统一安全监控与管理的云平台O
【背景技术】
[0002]在云计算时代,服务是相对于用户而言的。开发者使用云平台,云平台就是服务于开发者。云平台上的服务,指的是云平台面向应用所提供了的一些能力,比如数据库、日志、存储等,用户在进行应用开发时可以直接使用平台上的服务来实现快速开发。
[0003]云平台将整个软件开发的生产流程环境作为一种服务提供给了用户,它通过服务的方式,为用户提供一系列的便利工具,以实现云平台上应用、服务的生命周期管理,如应用的部署、托管;服务的集成,发布等。围绕应用开发者、服务提供者等使用对象,云平台提供了一套完整的端到端的生态系统。其目标是为了实现应用开发者快速部署上线应用,月艮务提供者方便快速的托管和发布服务等。在平台上,有大量的应用开发者和服务开发者。月艮务开发者开发了各种服务并集成托管到了云平台上,这些服务的用户就是应用的开发者。应用开发者利用平台上提供着的各类型的服务,进行云应用的快速开发。举个例子,云平台上一个ruby的应用,要使用mysql数据库。开发者可以自己安装部署一个mysql,然后应用去使用这个mysql;也可以使用云平台提供的mysql服务,这样应用开发者就可以不去关心mysql的安装部署,以及运维等情况,只要关注ruby程序自身即可。
[0004]云平台提供了一定的安全保护,但如同隔离网络一样,它仍在网络安全、应用程序编程接口 AP1、身份验证、加密算法等诸多方面面临安全威胁,同样面临着资源隔离、安全事件管理和数据保护方面的严峻挑战(包括虚拟机隔离、安全虚拟机迀移、虚拟网络隔离及安全事件和访问监控)。因此对于云平台的统一安全监控以及管理提出了全新的要求。
【发明内容】
[0005]本发明的目的在于提供一种实现统一安全监控与管理的云平台,以提供更加安全的云平台网络架构。
[0006]为实现上述目的,本发明提供了一种实现统一安全监控与管理的云平台,所述云平台包括自下而上依次分布的基础设施层、基础设施管理层、平台控制层、平台表现层以及平台应用层,其中,所述基础设施层包括虚拟机服务器、数据库服务器和应用服务器;所述基础设施管理层包括云控制器、集群控制器、存储控制器、节点控制器以及存储管理模块,所述云控制器通过所述集群控制器对虚拟机和虚拟机簇进行分配和管理,所述存储管理模块通过所述节点控制器对存储节点进行分配和管理;所述平台控制层包括资源管理模块、任务管理模块以及安全管理模块,其中,所述资源管理模块用于监控所述云平台中的资源,并对所述资源进行注册、分配以及调用,所述任务管理模块用于监控所述云平台中的任务,并对所述任务进行提交、分解以及执行,所述安全管理模块用于对登陆所述云平台的节点进行访问控制并对所述云平台中的负载、日志以及数据进行管理;所述平台表现层通过面向服务的体系结构SOA技术以及工作流workflow技术,将底层的业务和资源提供给上层的用户;所述平台应用层应用于预设应用系统中,以向所述预设应用系统提供所述云平台的服务。
[0007]进一步地,所述云平台中还包括安全子系统,所述安全子系统包括负载调整模块、负载监控模块、核心处理模块、反分布式拒绝服务DDoS模块、反监听扫描模块以及平台过滤模块。
[0008]进一步地,所述核心处理模块包括策略控制器、队列管理器以及通信适配模块,其中,所述策略控制器中包括策略选择模块、负载均衡策略模块以及钩子HOOKS处理模块。
[0009]进一步地,所述云平台通过由所述负载监控模块、所述负载调整模块以及所述策略控制器协同实现的负载均衡算法,对所述云平台中的运行的负载进行均衡处理。
[0010]进一步地,所述反分布式拒绝服务DDoS模块利用预设报文过滤算法对发送至所述云平台的数据包进行过滤,其中,所受预设报文过滤算法包括入口报文过滤算法和路由报文过滤算法,所述入口报文过滤算法用于过滤伪造源IP地址的数据包,所述路由报文过滤算法用于过滤源IP地址不属于预设客户区域的数据包。
[0011]进一步地,所述反分布式拒绝服务DDoS模块用于将所述云平台中未使用的端口号关闭。
[0012]进一步地,所述平台过滤模块具体包括拦截模块、欺骗模块以及策略服务器,其中,所述拦截模块用于拦截入侵者的访问请求,所述欺骗模块用于对所述入侵者发送预设的虚假消息,所述策略服务器中存储有可被所述拦截模块访问的预设数量的策略指令。
[0013]进一步地,所述拦截模块中包括互相连接的行为模块与决策模块,所述行为模块与所述欺骗模块相连接,所述决策模块与所述策略服务器相连接,当所述平台过滤模块接收到用户的访问请求时,所述决策模块通过访问所述策略服务器中的策略指令,以确定对所述访问请求的处理方式,当确定的所述处理方式为欺骗方式时,所述决策模块调用所述欺骗模块,并通过所述行为模块执行与所述欺骗方式相对应的欺骗指令。
[0014]通过以上本申请的技术方案可见,本申请通过基础设施层来搭建云环境,以支撑云计算、云存储、云服务等云平台的部署和运行,通过基础设施管理层来构建云平台中的集群环境并对存储节点进行分配与管控,通过平台控制层可以实现资源管理、任务管理以及安全管理等功能,通过平台表现层可以将云平台中底层的业务和资源提供给上层的用户,最终通过将平台应用层应用于多个预设应用系统中,从而可以向所述预设应用系统提供所述云平台的服务。本申请通过模块化的云平台架构,能够实现统一的安全监控与管理,从而可以提供更加安全的云平台网络架构。
【附图说明】
[0015]图1为本发明提供的云平台的模型示意图;
[0016]图2为本发明提供的云平台的架构示意图;
[0017]图3为本发明提供的安全子系统的架构示意图;
[0018]图4为本发明中平台过滤模块的架构示意图。
【具体实施方式】
[0019]为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施方式中的附图,对本申请实施方式中的技术方案进行清楚、完整地描述,显然,所描述的实施方式仅仅是本申请一部分实施方式,而不是全部的实施方式。基于本申请中的实施方式,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施方式,都应当属于本申请保护的范围。
[0020]图1为本发明提供的云平台的模型示意图。从图1中可以看出,所述云平台模型中可以包括用户方、业务方以及资源/数据方。所述用户方可以包括访问控制模块、单点登录模块、信任管理模块以及过滤、反监听扫描和反分布式拒绝服务(DDoS)模块;所述业务方可以包括任务管理模块、任务监控模块以及日志管理模块;所述资源/数据方可以包括资源监控模块、负载均衡模块以及数据加解密模块。在本发明中,云平台在提供用户证书认证和登录功能的基础上,可以利用访问控制、数据加解密和日志管理、过滤及反监听、反DDOS功能保障云平台的安全性和健壮性,以提高用户的可信度,加强具体用户访问云平台的安全管理。
[0021]图2为本发明提供的云平台的架构示意图。如图2所示,所述云平台包括自下而上依次分布的基础设施层、基础设施管理层、平台控制层、平台表现层以及平台应用层,其中,所述基础设施层包括虚拟机服务器、数据库服务器和应用服务器;所述基础设施管理层包括云控制器、集群控制器、存储控制器、节点控制器以及存储管理模块,所述云控制器通过所述集群控制器对虚拟机和虚拟机簇进行分配和管理,所述存储管理模块通过所述节点控制器对存储节点进行分配和管理;所述平台控制层包括资源管理模块、任务管理模块以及安全管理模块,其中,所述资源管理模块用于监控所述云平台中的资源,并对所述资源进行注册、分配以及调用,所述任务管理模块用于监控所述云平台中的任务,并对所述任务进行提交、分解以及执行,所述安全管理模块用于对登陆所述云平台的节点进行访问控制并对所述云平台中的负载、日志以及数据进行管理;所述平台表现层通过面向服务的体系结构SOA技术以及工作流workflow技术,将底层的业务和资源提供给上层的用户;所述平台应用层应用于预设应用系统中,以向所述预设应用系统提供所述云平台的服务。
[0022]在本实施方式中,基础设施层主要包括各种虚拟机服务器、数据库服务器和应用服务器,通过它们来搭建云环境,支撑云计算、云存储、云服务和云平台的部署与运行。
[0023]基础设备管理层主要进行虚拟机和存储的管理,其中,所述云控制器模块可以进行虚拟机和虚拟机簇的分配、监控与管理,从而构建集群环境。所述存储管理模块可以对存储节点进行分配、监控与管理。
[0024]平台控制层可以实现轻量级的、安全的、灵活部署的云平台,在所述平台控制层可以包括资源管理模块、任务管理模块和安全管理模块这三大模块。三大模块集中体现了图2所示的多层安全保障功能。资源管理模块除了资源监控外,还可以进行资源的注册、分配和调用。任务管理模块除了任务监控外,还可以进行任务的提交、分解和执行。安全管理模块实现了单点登录的访问控制、计算和存储的负载均衡、日志管理、数据的加解密、数据迀移和信任管理功能。
[0025]平台表现层主要依托面向服务的体系结构SOA技术和工作流技术,以Web门户形式表现底层的业务和资源,从而可以将底层的业务和资源提供给上层的用户。
[0026]平台应用层主要应用于客户管理资源系统(CRM)、企业资源规划系统(ERP)J^i可视化管理平台、国家电网质量在线监测系统等几十个预设应用系统中,以向所述预设应用系统提供所述云平台的服务。
[0027]在本申请一优选实施方式中,为了提高云平台的安全性,所述云平台中还可以包括安全子系统。请参阅图3,所述安全子系统包括负载调整模块、负载监控模块、核心处理模块、反分布式拒绝服务DDoS模块、反监听扫描模块以及平台过滤模块。其中,所述核心处理模块包括策略控制器、队列管理器以及通信适配模块,其中,所述策略控制器中包括策略选择模块、负载均衡策略模块以及钩子HOOKS处理模块。所述负载均衡策略模块可以由数据结构集合命令集支撑。
[0028]在本实施方式中,所述云平台通过由所述负载监控模块、所述负载调整模块以及所述策略控制器协同实现的负载均衡算法,对所述云平台中的运行的负载进行均衡处理。所述反分布式拒绝服务DDoS模块利用预设报文过滤算法对发送至所述云平台的数据包进行过滤,其中,所受预设报文过滤算法包括入口报文过滤算法和路由报文过滤算法,所述入口报文过滤算法用于过滤伪造源IP地址的数据包,所述路由报文过滤算法用于过滤源IP地址不属于预设客户区域的数据包。在所述反分布式拒绝服务DDoS模块中,可以加装防火墙系统,从而可以使得无论是进入还是送出防火墙的数据均会经过严格过滤,同时,所述反分布式拒绝服务DDoS模块可以将所述云平台中未使用的端口号关闭,以防止云平台从外部被入侵。
[0029]近年来,网络监听和端口扫描一直是计算机网络安全的敏感话题,它能造成极大的危害,网络监听是指将网络上传输的数据捕获并进行分析的行为,端口、扫描时一种非常重要的预攻击探测手段,通过端口扫描可以知道目标主机上开放了哪些端口,运行了哪些服务,这些都是入侵系统的可能途径。
[0030]在本实施方式中,可以由反监听扫描模块来预防网络监听和端口扫描,它采取了3种方法来预防网络监听和端口扫描:
[0031](I).在解决方案中利用SATAN等工具分析网络,从而识别出一些与网络相关的安全问题;
[0032](2).在云平台上通过防火墙技术监听、限制以及更改跨越防火墙的数据流,尽可能地对外部网络屏蔽有关被保护网络的信息、结构,实现网络的安全保护;
[0033](3).云平台中对传输的信息进行加密,使监听者不能有效地获得要监听的信息,使得即使监听者可以得到所有的网络通信包,仍然不能获得有用的信息。
[0034]请参阅图4,在本实施方式中,所述平台过滤模块具体可以包括拦截模块、欺骗模块以及策略服务器,其中,所述拦截模块用于拦截入侵者的访问请求,所述欺骗模块用于对所述入侵者发送预设的虚假消息,所述策略服务器中存储有可被所述拦截模块访问的预设数量的策略指令。
[0035]具体地,所述拦截模块中包括互相连接的行为模块与决策模块,所述行为模块与所述欺骗模块相连接,所述决策模块与所述策略服务器相连接,当所述平台过滤模块接收到用户的访问请求时,所述决策模块通过访问所述策略服务器中的策略指令,以确定对所述访问请求的处理方式,当确定的所述处理方式为欺骗方式时,所述决策模块调用所述欺骗模块,并通过所述行为模块执行与所述欺骗方式相对应的欺骗指令,这样便可以有效地防止入侵者的恶意攻击。
[0036]由上可见,本申请通过基础设施层来搭建云环境,以支撑云计算、云存储、云服务等云平台的部署和运行,通过基础设施管理层来构建云平台中的集群环境并对存储节点进行分配与管控,通过平台控制层可以实现资源管理、任务管理以及安全管理等功能,通过平台表现层可以将云平台中底层的业务和资源提供给上层的用户,最终通过将平台应用层应用于多个预设应用系统中,从而可以向所述预设应用系统提供所述云平台的服务。本申请通过模块化的云平台架构,能够实现统一的安全监控与管理,从而可以提供更加安全的云平台网络架构。
[0037]上面对本申请的各种实施方式的描述以描述的目的提供给本领域技术人员。其不旨在是穷举的、或者不旨在将本发明限制于单个公开的实施方式。如上所述,本申请的各种替代和变化对于上述技术所属领域技术人员而言将是显而易见的。因此,虽然已经具体讨论了一些另选的实施方式,但是其它实施方式将是显而易见的,或者本领域技术人员相对容易得出。本申请旨在包括在此已经讨论过的本发明的所有替代、修改、和变化,以及落在上述申请的精神和范围内的其它实施方式。
[0038]本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。虽然通过实施方式描绘了本申请,本领域普通技术人员知道,本申请有许多变形和变化而不脱离本申请的精神,希望所附的权利要求包括这些变形和变化而不脱离本申请的精神。
【主权项】
1.一种实现统一安全监控与管理的云平台,其特征在于,所述云平台包括自下而上依次分布的基础设施层、基础设施管理层、平台控制层、平台表现层以及平台应用层,其中,所述基础设施层包括虚拟机服务器、数据库服务器和应用服务器;所述基础设施管理层包括云控制器、集群控制器、存储控制器、节点控制器以及存储管理模块,所述云控制器通过所述集群控制器对虚拟机和虚拟机簇进行分配和管理,所述存储管理模块通过所述节点控制器对存储节点进行分配和管理;所述平台控制层包括资源管理模块、任务管理模块以及安全管理模块,其中,所述资源管理模块用于监控所述云平台中的资源,并对所述资源进行注册、分配以及调用,所述任务管理模块用于监控所述云平台中的任务,并对所述任务进行提交、分解以及执行,所述安全管理模块用于对登陆所述云平台的节点进行访问控制并对所述云平台中的负载、日志以及数据进行管理;所述平台表现层通过面向服务的体系结构SOA技术以及工作流workflow技术,将底层的业务和资源提供给上层的用户;所述平台应用层应用于预设应用系统中,以向所述预设应用系统提供所述云平台的服务。2.根据权利要求1所述的云平台,其特征在于,所述云平台中还包括安全子系统,所述安全子系统包括负载调整模块、负载监控模块、核心处理模块、反分布式拒绝服务DDoS模块、反监听扫描模块以及平台过滤模块。3.根据权利要求2所述的云平台,其特征在于,所述核心处理模块包括策略控制器、队列管理器以及通信适配模块,其中,所述策略控制器中包括策略选择模块、负载均衡策略模块以及钩子HOOKS处理模块。4.根据权利要求3所述的云平台,其特征在于,所述云平台通过由所述负载监控模块、所述负载调整模块以及所述策略控制器协同实现的负载均衡算法,对所述云平台中的运行的负载进行均衡处理。5.根据权利要求2所述的云平台,其特征在于,所述反分布式拒绝服务DDoS模块利用预设报文过滤算法对发送至所述云平台的数据包进行过滤,其中,所受预设报文过滤算法包括入口报文过滤算法和路由报文过滤算法,所述入口报文过滤算法用于过滤伪造源IP地址的数据包,所述路由报文过滤算法用于过滤源IP地址不属于预设客户区域的数据包。6.根据权利要求2所述的云平台,其特征在于,所述反分布式拒绝服务DDoS模块用于将所述云平台中未使用的端口号关闭。7.根据权利要求2所述的云平台,其特征在于,所述平台过滤模块具体包括拦截模块、欺骗模块以及策略服务器,其中,所述拦截模块用于拦截入侵者的访问请求,所述欺骗模块用于对所述入侵者发送预设的虚假消息,所述策略服务器中存储有可被所述拦截模块访问的预设数量的策略指令。8.根据权利要求7所述的云平台,其特征在于,所述拦截模块中包括互相连接的行为模块与决策模块,所述行为模块与所述欺骗模块相连接,所述决策模块与所述策略服务器相连接,当所述平台过滤模块接收到用户的访问请求时,所述决策模块通过访问所述策略服务器中的策略指令,以确定对所述访问请求的处理方式,当确定的所述处理方式为欺骗方式时,所述决策模块调用所述欺骗模块,并通过所述行为模块执行与所述欺骗方式相对应的欺骗指令。
【文档编号】H04L29/06GK105847423SQ201610324283
【公开日】2016年8月10日
【申请日】2016年5月16日
【发明人】黄高攀, 官国飞, 李叶飞, 王松云
【申请人】国网江苏省电力公司信息通信分公司, 江苏方天电力技术有限公司, 国家电网公司