本发明属于存储资源管理领域,尤其涉及一种私有云系统及强制访问控制方法。
背景技术:
私有云系统主要面向特定用户提供计算服务,在具备公有云可伸缩性和弹性的优势基础上,通过专用资源提供额外控制和定制能力,可以更好的满足企业特定的it要求。目前私有云系统已广泛应用在金融、电信、政府、能源、教育、交通等行业。
随着云系统的规模化和集约化的发展,云安全已成为保障云系统稳定、高效运行的基础支撑,是任何一个云系统都无法忽视的重要基础,而访问控制技术更是云安全中的重中之重。在公有云中,系统的主要目标是解决数据共享的问题;而在私有云中,系统的主要目标更重要的是满足企业对内部数据的控制需求,因此,私有云环境中对访问控制提出了更高需求。
云环境中的访问控制从位置上可以分为用户与云系统之间的访问控制、云系统内部虚拟机和存储资源之间的访问控制、云系统内部虚拟机之间的访问控制三类,目前针对用户和云系统之间以及云系统内部虚拟机之间的访问控制都已有相关深入研究和应用,但针对云系统内部虚拟机与集中式存储资源之间的访问控制技术方案较为缺少。此外,常用的访问控制技术可以分为自主访问控制、强制访问控制和基于角色的访问控制。目前绝大多数云系统都原生支持自主访问控制,而基于角色的访问控制一般用于用户与云系统的交互过程中,但在拥有强制隔离需求的私有云部署场景中,强制访问控制一般需要用户自行根据业务需求进行方案设计。通过相关专利搜索,未发现有实施在云系统内部虚拟机与集中式存储资源之间的强制访问控制方案。
技术实现要素:
本发明的目的是提出一种私有云系统及强制访问控制方法,通过将具有相同安全级别标志的虚拟机连接到同一虚拟机交换机,并为虚拟机交换机设置一个安全级别标志。将不同安全级别的网络存储器连接到存储网关,通过存储网关设置每个网络存储器的安全级别标志。当虚拟机通过虚拟机交换机向存储网关请求网络存储器时,存储网关根据其安全级别,通过与网络存储器的安全级别进行对比,实施对网络存储器的强制访问控制,以此实现了私有云系统内部计算资源对网络存储器的强制访问控制。
本发明提出的私有云系统,包括:虚拟机、虚拟机交换机、网络存储器和存储网关,其中:
(1)虚拟机:系统内部存在多个虚拟机,用于提供计算资源,每个虚拟机连接到唯一的一个虚拟机交换机,每个虚拟机具有唯一的安全级别标志;
(2)虚拟机交换机:系统内部存在多个虚拟机交换机,用于虚拟机与存储网关之间的数据交换,每个虚拟机交换机具有唯一的安全级别标志,系统中的虚拟机交换机通过总线与存储网关相连;
(3)网络存储器:系统内部存在多个网络存储器,用于提供存储,每个网络存储器具有唯一的安全级别,多个网络存储器连接到一个存储网关;
(4)存储网关:系统内部有多个存储网关,用于对网络存储器进行强制访问控制,系统中所有存储网关通过总线与虚拟机交换机相连,存储网关能够获知虚拟机或者虚拟机交换机的安全级别标志,存储网关同时也能获知网络存储器的安全级别标志,存储网关负责处理虚拟机对网络存储器的访问请求,实现对网络存储器请求的强制访问控制。
本发明提出的基于私有云系统的强制访问控制方法,在私有云系统中通过安全级别的划分为虚拟机和网络存储器进行标记,将虚拟机安全级别与虚拟机ip地址或mac地址绑定,并与同一安全级别的虚拟机交换机物理连接,存储网关与虚拟机交换机物理连接并作为强制访问控制的控制点,实现私有云系统内部计算资源对网络存储器的强制访问控制。
本发明提出的私有云系统及强制访问控制方法,其优点是:
(1)本发明实现了在私有云系统中的多级强制访问控制,能够完成可证明的安全隔离,实现信息系统的单向导通,利用强制措施保护机构或企业的商业秘密和知识产权。
(2)本发明通过将同一安全级别的一个或多个虚拟机连接到同一个虚拟机交换机,并使用虚拟机交换机的安全级别表示虚拟机的安全级别,通过这种方式,在新增虚拟机时仅需按照虚拟机的安全级别接入对应安全级别的虚拟机交换机,避免了在存储网关中多次配置虚拟机信息与虚拟机安全级别的对应关系,以此简化了计算资源的标记过程。
(3)本发明提出的具备强制访问控制能力的私有云系统和基于该私有云系统的强制访问控制方法结构流程简单,易于实现。
附图说明
图1为本发明提出的私有云系统的结构框图。
图2为本发明提出的私有云系统的强制访问控制方法流程图。
具体实施方式
本发明提出的私有云系统,包括:虚拟机、虚拟机交换机、网络存储器和存储网关,其中:
(1)虚拟机:系统内部存在多个虚拟机,用于提供计算资源,每个虚拟机连接到唯一的一个虚拟机交换机,每个虚拟机具有唯一的安全级别标志;
(2)虚拟机交换机:系统内部存在多个虚拟机交换机,用于虚拟机与存储网关之间的数据交换,每个虚拟机交换机具有唯一的安全级别标志,系统中的虚拟机交换机通过总线与存储网关相连;
(3)网络存储器:系统内部存在多个网络存储器,用于提供存储,每个网络存储器具有唯一的安全级别,多个网络存储器连接到一个存储网关;
(4)存储网关:系统内部有多个存储网关,用于对网络存储器进行强制访问控制,系统中所有存储网关通过总线与虚拟机交换机相连,存储网关能够获知虚拟机或者虚拟机交换机的安全级别标志,存储网关同时也能获知网络存储器的安全级别标志,存储网关负责处理虚拟机对网络存储器的访问请求,实现对网络存储器请求的强制访问控制。
上述私有云系统中所有虚拟机交换机与外部的用户接入网关系统相连接;用户接入网关系统负责对用户进行身份鉴别,并根据用户权限确定其可以操作虚拟机的安全级别,用户通过用户接入网关系统操作本系统内虚拟机。
上述私有云系统中,同一安全级别的一个或多个虚拟机连接到同一个虚拟机交换机,通过虚拟机交换机的安全级别表示虚拟机的安全级别。
上述私有云系统,将物理的网络存储器虚拟化为具有不同安全等级的多个虚拟网络存储器。
本发明提出的基于私有云系统的强制访问控制方法,在私有云系统中通过安全级别的划分为虚拟机和网络存储器进行标记,将虚拟机安全级别与虚拟机ip地址或mac地址绑定,并与同一安全级别的虚拟机交换机物理连接,存储网关与虚拟机交换机物理连接并作为强制访问控制的控制点,实现私有云系统内部计算资源对网络存储器的强制访问控制。
上述强制访问控制方法,具体包括以下步骤:
(1)安全级别为a级的虚拟机通过相连的虚拟机交换机向存储网关发起对安全级别为b级的网络存储器的读取操作请求或写入操作请求;
(2)存储网关从虚拟机交换机获取虚拟机的网络地址信息,并根据网络地址信息与安全级别的映射规则,确定虚拟机的安全标志a,并与所需操作的网络存储器的安全级别标志b进行比较,根据比较结果实施强制访问控制:
若a=b,允许对网络存储器进行读取和写入操作;
若a>b,允许对网络存储器进行读取操作,但不允许进行写入操作;
若a<b,允许对网络存储器进行写入操作,但不允许进行读取操作。
上述强制访问控制方法中,虚拟机的安全级别标志由虚拟机的ip地址确定,ip地址和安全级别的映射规则记录在存储网关中。
上述强制访问控制方法中,虚拟机的安全级别标志通过虚拟机的mac地址确定,mac地址与虚拟机安全级别的映射规则记录在存储网关中。
上述强制访问控制方法中,虚拟机的安全级别标志由虚拟机交换机的安全级别确定,虚拟机交换机通过确定的连接方式与存储网关相连,存储网关能获知虚拟机交换机的安全级别标志。
上述强制访问控制方法中,网络存储器的安全级别通过配置记录在存储网关中。
以下结合附图对本发明具体实施方式进行说明。
在本发明的一个实施实例中,本发明的私有云系统的结构如图1所示。具备强制访问控制能力的私有云系统包括安全级别为1级的虚拟机101、102;安全级别为2级的虚拟机103、104;安全级别为3级的虚拟机105、106;安全级别为1级的虚拟机交换机111;安全级别为2级的虚拟机交换机112;安全级别为3级的虚拟机交换机113;总线121;存储网关131、132;网络存储器141、142、143、144。
所述虚拟机101、102、103、104、105、106具有唯一的安全级别级,各虚拟机根据其安全级别连接到对应安全级别的虚拟机交换机。在图1所示系统结构中,安全级别为1级的虚拟机101、102连接到安全级别为1级的虚拟机交换机111,安全级别为2级的虚拟机103、104连接到安全级别为2级的虚拟机交换机112,安全级别为3级的虚拟机105、106连接到安全级别为3级的虚拟机交换机113。
所述虚拟机交换机111、112、113具有唯一的安全级别级,虚拟机交换机的安全级别表示所连接虚拟机的安全级别。在图1所示系统结构中,虚拟机交换机111、112、113通过总线与存储网关131、132相连,总线在此处为三层交换机,转发数据中包含来源ip地址。
所述存储网关131、132存储有所连接网络存储器的安全级别,并记录有虚拟机交换机ip地址和虚拟机交换机安全级别的对应方法,负责对网络存储器实施强制访问控制。
所述网络存储器141、142、143、144具有唯一的安全级别级,各网络存储器连接到任意一个存储网关。在图1所示系统结构中,网络存储器141、142连接到存储网关131,网络存储器143、144连接到存储网关132。
本发明的私有云系统的强制访问控制方法的流程框图如图2所示。包括以下步骤:
步骤201,安全级别为a级的虚拟机通过其连接的虚拟机交换机向存储网关发起对安全级别为b级的网络存储器的读或者写的操作请求。
步骤202,存储网关获取请求来源虚拟机的ip地址,并根据记录的虚拟机ip地址和虚拟机交换机安全级别的对应方法,确定虚拟机的安全级别为a级。
步骤203,存储网关将虚拟机的安全级别a级与所需操作的网络存储器的安全级别b级进行比较,实施强制访问控制。
步骤204,比较a级与b级的大小关系,判断a是否等于b,如果等于执行步骤205,如果不等于执行步骤206。
步骤205,允许虚拟机对网络存储器进行读取和写入操作,执行步骤209。
步骤206,比较a级与b级的大小关系,判断a是否大于b,如果是则执行步骤207,如果否则执行步骤208。
步骤207,允许虚拟机对网络存储器进行读取操作,但不允许进行写入操作,执行步骤209。
步骤208,允许虚拟机对网络存储器进行写入操作,但不允许进行读取操作,执行步骤209。
步骤209,返回请求操作执行结果
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
1.一种私有云系统,包括:虚拟机、虚拟机交换机、网络存储器和存储网关,其中:
(1)虚拟机:系统内部存在多个虚拟机,用于提供计算资源,每个虚拟机连接到唯一的一个虚拟机交换机,每个虚拟机具有唯一的安全级别标志;
(2)虚拟机交换机:系统内部存在多个虚拟机交换机,用于虚拟机与存储网关之间的数据交换,每个虚拟机交换机具有唯一的安全级别标志,系统中的虚拟机交换机通过总线与存储网关相连;
(3)网络存储器:系统内部存在多个网络存储器,用于提供存储,每个网络存储器具有唯一的安全级别,多个网络存储器连接到一个存储网关;
(4)存储网关:系统内部有多个存储网关,用于对网络存储器进行强制访问控制,系统中所有存储网关通过总线与虚拟机交换机相连,存储网关能够获知虚拟机或者虚拟机交换机的安全级别标志,存储网关同时也能获知网络存储器的安全级别标志,存储网关负责处理虚拟机对网络存储器的访问请求,实现对网络存储器请求的强制访问控制。
2.如权利要求1所述的私有云系统,其特征在于,所述系统中所有虚拟机交换机与外部的用户接入网关系统相连接;用户接入网关系统负责对用户进行身份鉴别,并根据用户权限确定其可以操作虚拟机的安全级别,用户通过用户接入网关系统操作本系统内虚拟机。
3.如权利要求1所述的私有云系统,其特征在于,同一安全级别的一个或多个虚拟机连接到同一个虚拟机交换机,通过虚拟机交换机的安全级别表示虚拟机的安全级别。
4.如权利要求1所述的私有云系统,其特征在于,将物理的网络存储器虚拟化为具有不同安全等级的多个虚拟网络存储器。
5.一种基于私有云系统的强制访问控制方法,其特征在于,在私有云系统中通过安全级别的划分为虚拟机和网络存储器进行标记,将虚拟机安全级别与虚拟机ip地址或mac地址绑定,并与同一安全级别的虚拟机交换机物理连接,存储网关与虚拟机交换机物理连接并作为强制访问控制的控制点,实现私有云系统内部计算资源对网络存储器的强制访问控制。
6.如权利要求5所述的强制访问控制方法,其特征在于,该方法包括以下步骤:
(1)安全级别为a级的虚拟机通过相连的虚拟机交换机向存储网关发起对安全级别为b级的网络存储器的读取操作请求或写入操作请求;
(2)存储网关从虚拟机交换机获取虚拟机的网络地址信息,并根据网络地址信息与安全级别的映射规则,确定虚拟机的安全标志a,并与所需操作的网络存储器的安全级别标志b进行比较,根据比较结果实施强制访问控制:
若a=b,允许对网络存储器进行读取和写入操作;
若a>b,允许对网络存储器进行读取操作,但不允许进行写入操作;
若a<b,允许对网络存储器进行写入操作,但不允许进行读取操作。
7.如权利要求5所述的强制访问控制方法,其特征在于虚拟机的安全级别标志由虚拟机的ip地址确定,ip地址和安全级别的映射规则记录在存储网关中。
8.如权利要求5所述的强制访问控制方法,其特征在于虚拟机的安全级别标志通过虚拟机的mac地址确定,mac地址与虚拟机安全级别的映射规则记录在存储网关中。
9.如权利要求5所述的强制访问控制方法,其特征在于虚拟机的安全级别标志由虚拟机交换机的安全级别确定,虚拟机交换机通过确定的连接方式与存储网关相连,存储网关能获知虚拟机交换机的安全级别标志。
10.如权利要求5所述的强制访问控制方法,其特征在于网络存储器的安全级别通过配置记录在存储网关中。
技术总结