專利名稱:基于云服務(wù)的網(wǎng)絡(luò)安全控制方法和云安全網(wǎng)關(guān)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息技術(shù)領(lǐng)域,尤其涉及一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法和云安 全網(wǎng)關(guān)�。
背景技術(shù):
云服務(wù)是通過集中的計算資源復(fù)用機制為多個客戶提供服務(wù),因此安全與可信是 云服務(wù)要解決的關(guān)鍵問題�����。在云服務(wù)系統(tǒng)中�,運服務(wù)提供商CSP —般通過位于計算中心和 互聯(lián)網(wǎng)連接邊界的安全網(wǎng)關(guān)類設(shè)備(以下簡稱云安全網(wǎng)關(guān))對客戶的訪問行為進行身份認 證、訪問控制和審計等����。云服務(wù)是一種新的信息技術(shù)服務(wù)模式,它和傳統(tǒng)一般的企業(yè)或政府單位信息技術(shù) 系統(tǒng)有不同的特點���。在傳統(tǒng)的信息技術(shù)系統(tǒng)中���,無論是信息技術(shù)設(shè)施還是信息本身的所有 權(quán)都屬于企業(yè)或政府單位����,因此其管理權(quán)也屬于這些企業(yè)或政府單位,但是在云服務(wù)中��,信 息技術(shù)服務(wù)設(shè)施(包括云安全網(wǎng)關(guān)等設(shè)備)屬于CSP所有,而云服務(wù)內(nèi)容本身���,即在這些云 服務(wù)設(shè)施上處理、傳輸和存儲的信息資源則屬于客戶所有�。云服務(wù)的這種服務(wù)設(shè)施和服務(wù)內(nèi)容在所有權(quán)上的分離可能會帶來管理權(quán)限的劃 分問題一方面�,云服務(wù)是一種基于資源復(fù)用的多客戶服務(wù)系統(tǒng)���,CSP作為服務(wù)提供商�,有 責(zé)任保證客戶之間的安全隔離,即保證任何客戶不能進入或訪問屬于其它客戶的服務(wù)環(huán)境 或信息���,這是客戶對云服務(wù)的信心基礎(chǔ)����;另一方面����,由于云服務(wù)設(shè)施上所處理���、傳輸和存儲 的信息屬于客戶所有,因此對它們的安全管理應(yīng)該也屬于客戶的內(nèi)部權(quán)限范圍�,由客戶自 己管理���,比如客戶的哪些用戶可以訪問什么資源以及用什么方式訪問等等��。CSP如果未經(jīng)允 許,不能介入這些安全管理事務(wù)中�,否則是對客戶安全和隱私的侵犯���。但是由于云服務(wù)設(shè)施 的所有權(quán)屬于CSP����,因此如何處理這種資產(chǎn)所有權(quán)和管理權(quán)的分離,合理劃分和區(qū)隔CSP和 客戶子在云服務(wù)設(shè)施(包括云安全網(wǎng)關(guān)等在內(nèi))上的安全管理職責(zé)���,是云服務(wù)必須要解決 的安全管理問題���,只有這樣才能保證云服務(wù)的安全,提高客戶對云服務(wù)的信心水平�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法和云安全網(wǎng)關(guān),基于 本發(fā)明能夠合理��、有效地將CSP和客戶的安全管理權(quán)限進行劃分���,既保證客戶之間的安全 隔離����,又保護客戶的隱私和管理權(quán)利不被侵犯��。一方面����,本發(fā)明一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法����,包括如下步驟第一級控制 步驟�,在用戶登錄云服務(wù)系統(tǒng)時�,通過云服務(wù)提供商對該用戶進行身份認證和越界訪問的 判斷;第二級控制步驟�����,在所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下,檢查所 述用戶是否符合客戶內(nèi)部安全策略�����;若否���,拒絕訪問���,若是,許可訪問云資源����。上述網(wǎng)絡(luò)安全控制方法,優(yōu)選所述第一級控制步驟進一步為所述用戶通過身份 認證后�,確定用戶所屬客體,并根據(jù)客戶間安全隔離策略判斷用戶是否越界訪問其它客戶 資源�����。
上述網(wǎng)絡(luò)安全控制方法����,優(yōu)選所述第一級控制步驟通過如下方式實現(xiàn)為每一客 戶分配如下信息,包括客戶標(biāo)識��、定義服務(wù)時段�����、初始管理員及其口令、定義客戶資源��、分 配客戶內(nèi)部安全策略空間及客戶可定義安全策略最大數(shù)量��。上述網(wǎng)絡(luò)安全控制方法,優(yōu)選所述第二級控制步驟通過如下方式實現(xiàn)為每一客 戶的所述客戶內(nèi)部安全策略分配不同的存儲空間或采用明確標(biāo)記加以隔離����。上述網(wǎng)絡(luò)安全控制方法�����,優(yōu)選所述方法還包括對所述客戶間安全隔離策略、所述 客戶內(nèi)部安全策略和用戶訪問行為進行審計的步驟�����。上述網(wǎng)絡(luò)安全控制方法,優(yōu)選所述客戶間安全隔離策略包括客戶身份信息����、客戶 資源信息�����、客戶安全策略表范圍。上述網(wǎng)絡(luò)安全控制方法�����,優(yōu)選所述客戶內(nèi)部安全策略包括客戶內(nèi)部用戶信息、客 戶訪問控制策略���、審計策略���。另一方面����,本發(fā)明還公開了一種云安全網(wǎng)關(guān)����,包括第一級控制模塊�����,用于在用戶 登錄云服務(wù)系統(tǒng)時���,通過云服務(wù)提供商對該用戶進行身份認證和越界訪問的判斷;第二級 控制模塊�����,用于在所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下�,檢查所述用戶 是否符合客戶內(nèi)部安全策略��;若否,拒絕訪問�,若是����,許可訪問云資源���。上述云安全網(wǎng)關(guān)��,優(yōu)選所述第一級控制模塊進一步用于在所述用戶通過身份認 證后���,確定用戶所屬客體���,并根據(jù)客戶間安全隔離策略判斷用戶是否越界訪問其它客戶資 源�����。上述云安全網(wǎng)關(guān)��,優(yōu)選所述第一級控制模塊中�����,包括用于為每一客戶分配如下信 息�����,包括客戶標(biāo)識�、定義服務(wù)時段�����、初始管理員及其口令���、定義客戶資源����、分配客戶內(nèi)部安 全策略空間及客戶可定義安全策略最大數(shù)量的單元���。上述云安全網(wǎng)關(guān)�,優(yōu)選所述第二級控制模塊中��,還包括用于為每一客戶的所述客 戶內(nèi)部安全策略分配不同的存儲空間或采用標(biāo)記加以隔離的單元�����。上述云安全網(wǎng)關(guān),優(yōu)選所述方法還包括用于對所述客戶間安全隔離策略����、所述客 戶內(nèi)部安全策略和用戶訪問行為進行審計的模塊。上述云安全網(wǎng)關(guān)���,優(yōu)選所述客戶間安全隔離策略包括客戶身份信息���、客戶資源信 息、客戶安全策略表范圍��。上述云安全網(wǎng)關(guān)��,優(yōu)選所述客戶內(nèi)部安全策略包括客戶內(nèi)部用戶信息��、客戶訪問 控制策略����、審計策略。相對于現(xiàn)有技術(shù)而言�,本發(fā)明具有如下優(yōu)點首選,CSP(云服務(wù)提供商)和客戶的安全職責(zé)范圍劃分清晰��,沒有交疊,并且安全 管理覆蓋完整�,安全性高;其次����,CSP只需負責(zé)客戶安全隔離策略的管理,不關(guān)心客戶內(nèi)部 的安全管理����,工作量有效減少;其三����,客戶對自己的信息有完全的管理權(quán)力����,其管理方式類 似于傳統(tǒng)的企業(yè)或政府信息技術(shù)系統(tǒng),客戶對云服務(wù)的安全有信心�����。
圖1為本發(fā)明基于云服務(wù)的網(wǎng)絡(luò)安全控制方法實施例的步驟流程圖����;圖2為本發(fā)明云安全網(wǎng)關(guān)一實施例的結(jié)構(gòu)框圖;圖3為本發(fā)明云安全網(wǎng)關(guān)另一實施例的結(jié)構(gòu)框圖。
具體實施例方式為使本發(fā)明的上述目的�����、特征和優(yōu)點能夠更加明顯易懂��,下面結(jié)合附圖和具體實 施方式對本發(fā)明作進一步詳細的說明�����?;炯僭O(shè)云服務(wù)中,客戶是特定用戶群體的集合�����,它總是由一組或一個屬于該客 戶的具體用戶組成�。用戶對云服務(wù)資源的訪問必須經(jīng)過云安全網(wǎng)關(guān)的身份認證和訪問控制 等安全機制。參照圖1�,圖1為本發(fā)明基于云服務(wù)的網(wǎng)絡(luò)安全控制方法實施例的步驟流程圖,該 方法包括第一級控制步驟S110�����,在用戶登錄云服務(wù)系統(tǒng)時���,通過云服務(wù)提供商對該用戶 進行身份認證和越界訪問的判斷�;第二級控制步驟S120,在所述用戶通過身份認證并且沒 有超越訪問權(quán)限的情況下��,檢查所述用戶是否符合客戶內(nèi)部安全策略����;若否,拒絕訪問����,若 是,許可訪問云資源�����。本實施例合理��、有效地將CSP和客戶的安全管理權(quán)限進行劃分���,既保 證客戶之間的安全隔離,又保護客戶的隱私和管理權(quán)利不被侵犯���。也就是說�,用戶登錄云服務(wù)系統(tǒng)時,云安全網(wǎng)關(guān)對用戶進行身份認證����。用戶認證通 過后,云安全網(wǎng)關(guān)對用戶的訪問進行控制云安全網(wǎng)關(guān)確定用戶所屬客體���,并根據(jù)客戶安全 隔離策略判斷用戶是否越界訪問其它客戶資源�,如果是���,拒絕其訪問行為����,否則繼續(xù)根據(jù)客 戶內(nèi)部安全策略����,檢查其是否符合客戶訪問控制策略,如果不是�����,拒絕其訪問����,否則系統(tǒng)就 許可用戶的云資源訪問����。另外�,云安全網(wǎng)關(guān)還對客戶安全隔離策略、客戶內(nèi)部安全策略的管 理行為以及用戶的訪問行為進行審計�。第一級控制步驟通過如下方式實現(xiàn)為每一客戶分配如下信息,包括客戶標(biāo)識�、 定義服務(wù)時段、初始管理員及其口令���、定義客戶資源���、分配客戶內(nèi)部安全策略空間及客戶可 定義安全策略最大數(shù)量。第二級控制步驟通過如下方式實現(xiàn)為每一客戶的所述客戶內(nèi)部 安全策略分配不同的存儲空間或采用明確標(biāo)記加以隔離���。具體實施時����,客戶間安全隔離策略涉及客戶身份信息�、客戶資源信息��、客戶安全 策略表范圍�����。客戶內(nèi)部安全策略涉及客戶內(nèi)部用戶信息����、客戶訪問控制策略、審計策略���。另外��,上述實施例還可以增加對客戶間安全隔離策略�����、客戶內(nèi)部安全策略和用戶 訪問行為進行審計的步驟��。通過上述實施例可以看出�,本發(fā)明基于云服務(wù)的網(wǎng)絡(luò)安全分為兩級安全管理策 略一是客戶間安全隔離策略(對應(yīng)第一級控制步驟)����,包括客戶身份信息、客戶資源信息����、 客戶安全策略表范圍等�����,由CSP負責(zé)��;二是客戶內(nèi)部安全策略��,包括客戶內(nèi)部用戶信息�����、客 戶訪問控制策略�����、審計策略等�����,由客戶負責(zé)�����。具體而言,在客戶注冊云服務(wù)成功后���,CSP負責(zé)客戶安全隔離策略的管理���,它包括 為客戶建立服務(wù)帳戶(例如分配客戶標(biāo)識等�����、定義客戶初始管理員等)����、定義和分配云服務(wù) 資源(例如確定該客戶的訪問客體等)��、定義客戶內(nèi)部安全策略空間及大小(例如客戶安 全策略表在系統(tǒng)總安全策略數(shù)據(jù)庫中的起始位置及最大項數(shù))等�����。系統(tǒng)必須為不同客戶的 客戶內(nèi)部安全策略分配不同的存儲空間(例如數(shù)據(jù)庫表或策略文件)�,或者采用明確標(biāo)記 加以隔離(例如在同一個數(shù)據(jù)庫表中用客戶標(biāo)識加以標(biāo)記)。上述內(nèi)容的管理只能由CSP 根據(jù)客戶服務(wù)協(xié)定定義�����、配置和調(diào)整���,客戶無權(quán)管理�����。當(dāng)客戶取消云服務(wù)后�����,CSP可以根據(jù) 客戶服務(wù)協(xié)定刪除存檔上述管理信息����。客戶初始管理員信息只是在客戶還沒有配置客戶管理員時�����,客戶以此身份登錄云安全網(wǎng)關(guān)系統(tǒng)創(chuàng)建客戶管理員�����;在創(chuàng)建了客戶管理員之后����,任 何人都不能再通過客戶初始管理員身份登錄系統(tǒng)。云服務(wù)客戶負責(zé)客戶的內(nèi)部安全策略管 理客戶在創(chuàng)建客戶管理員之后�����,客戶的安全管理工作包括客戶管理員的管理、客戶內(nèi)部用 戶管理�����、訪問控制策略管理�����、審計策略管理和其它客戶安全策略管理等��,CSP不能介入這些
管理內(nèi)容�。CSP新增服務(wù)客戶時���,CSP登錄并進入云安全網(wǎng)關(guān)的客戶安全隔離策略管理實體����, 增加新客戶�����,為其分配客戶標(biāo)識���、定義服務(wù)時段�����、初始管理員及其口令��、定義客戶資源���、分配 客戶內(nèi)部安全策略空間及其客戶可定義安全策略最大數(shù)量等信息�?����?蛻舫醮喂芾砥鋬?nèi)部安全策略時�,客戶初次必須以CSP為其定義的客戶初始管理 員帳戶登錄進入客戶內(nèi)部安全策略管理實體,進入后����,客戶必須創(chuàng)建客戶管理員,并以客戶 管理員身份登錄進入客戶內(nèi)部安全策略管理實體�����,然后對客戶內(nèi)部安全策略進行管理�����,例 如增加用戶、增加訪問控制策略等等����。另一方面,本發(fā)明還公開了一種云安全網(wǎng)關(guān)的實施例����。參照圖2���,圖2為本發(fā)明云 安全網(wǎng)關(guān)實施例的結(jié)構(gòu)示意圖���,包括第一級控制模塊22,用于在用戶登錄云服務(wù)系統(tǒng)時����, 通過云服務(wù)提供商對該用戶進行身份認證和越界訪問的判斷;第二級控制模塊24�,用于在 所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下,檢查所述用戶是否符合客戶內(nèi)部 安全策略�����;若否,拒絕訪問�,若是,許可訪問云資源��。該云安全網(wǎng)關(guān)中�,分為兩級安全管理策略一是客戶間安全隔離策略(對應(yīng)第一 級控制步驟),包括客戶身份信息���、客戶資源信息�、客戶安全策略表范圍等��,由CSP負責(zé)��;二 是客戶內(nèi)部安全策略���,包括客戶內(nèi)部用戶信息��、客戶訪問控制策略�����、審計策略等���,由客戶負 責(zé)��。本實施例合理�����、有效地將CSP和客戶的安全管理權(quán)限進行劃分�,既保證客戶之間的安全 隔離���,又保護客戶的隱私和管理權(quán)利不被侵犯�。具體而言��,云安全網(wǎng)關(guān)在客戶注冊云服務(wù)成功后���,CSP負責(zé)客戶安全隔離策略的管 理,它包括為客戶建立服務(wù)帳戶(例如分配客戶標(biāo)識等�、定義客戶初始管理員等)、定義和 分配云服務(wù)資源(例如確定該客戶的訪問客體等)�、定義客戶內(nèi)部安全策略空間及大小(例 如客戶安全策略表在系統(tǒng)總安全策略數(shù)據(jù)庫中的起始位置及最大項數(shù))等。系統(tǒng)必須為不 同客戶的客戶內(nèi)部安全策略分配不同的存儲空間(例如數(shù)據(jù)庫表或策略文件)�����,或者采用 明確標(biāo)記加以隔離(例如在同一個數(shù)據(jù)庫表中用客戶標(biāo)識加以標(biāo)記)���。上述內(nèi)容的管理只 能由CSP根據(jù)客戶服務(wù)協(xié)定定義���、配置和調(diào)整���,客戶無權(quán)管理。當(dāng)客戶取消云服務(wù)后�����,CSP可 以根據(jù)客戶服務(wù)協(xié)定刪除存檔上述管理信息�。客戶初始管理員信息只是在客戶還沒有配置 客戶管理員時�����,客戶以此身份登錄云安全網(wǎng)關(guān)系統(tǒng)創(chuàng)建客戶管理員�����;在創(chuàng)建了客戶管理員 之后����,任何人都不能再通過客戶初始管理員身份登錄系統(tǒng)。云服務(wù)客戶負責(zé)客戶的內(nèi)部安 全策略管理?����?蛻粼趧?chuàng)建客戶管理員之后�����,客戶的安全管理工作包括客戶管理員的管理��、客 戶內(nèi)部用戶管理����、訪問控制策略管理、審計策略管理和其它客戶安全策略管理等�����,CSP不能 介入這些管理內(nèi)容�����。參照圖3��,圖3為本發(fā)明云安全網(wǎng)關(guān)另一實施例的結(jié)構(gòu)示意圖����。該云安全網(wǎng)關(guān)包括 客戶間安全隔離策略管理模塊30、客戶內(nèi)部安全策略管理模塊32���、安全策略執(zhí)行模塊34���。 其中,客戶間安全隔離策略管理模塊30負責(zé)接收來自CSP的安全策略管理命令��,并將策略 管理結(jié)果存放在客戶間安全隔離策略中����;客戶內(nèi)部安全策略管理模塊32負責(zé)接收來自各個客戶的安全策略管理命令,并將策略管理結(jié)果存放在客戶內(nèi)部安全策略中���。安全策略執(zhí) 行模塊34根據(jù)客戶間安全隔離策略和客戶內(nèi)部安全策略對登錄用戶進行身份認證�����,并對 其訪問云服務(wù)資源進行安全控制��。CSP新增服務(wù)客戶時���,CSP登錄并進入云安全網(wǎng)關(guān)的客戶安全隔離策略管理實體, 增加新客戶,為其分配客戶標(biāo)識����、定義服務(wù)時段、初始管理員及其口令���、定義客戶資源�、分配 客戶內(nèi)部安全策略空間及其客戶可定義安全策略最大數(shù)量等信息���?���?蛻舫醮喂芾砥鋬?nèi)部安全策略時�����,客戶初次必須以CSP為其定義的客戶初始管理 員帳戶登錄進入客戶內(nèi)部安全策略管理實體��,進入后���,客戶必須創(chuàng)建客戶管理員,并以客戶 管理員身份登錄進入客戶內(nèi)部安全策略管理實體����,然后對客戶內(nèi)部安全策略進行管理��,例 如增加用戶�����、增加訪問控制策略等等�。以上對本發(fā)明所提供的一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法和云安全網(wǎng)關(guān)進行 詳細介紹��,本文中應(yīng)用了具體實施例對本發(fā)明的原理及實施方式進行了闡述�,以上實施例 的說明只是用于幫助理解本發(fā)明的方法及其核心思想�;同時��,對于本領(lǐng)域的一般技術(shù)人員, 依據(jù)本發(fā)明的思想�����,在具體實施方式
及應(yīng)用范圍上均會有改變之處�����。綜上所述��,本說明書內(nèi) 容不應(yīng)理解為對本發(fā)明的限制����。
權(quán)利要求
一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法,其特征在于���,包括如下步驟第一級控制步驟�����,在用戶登錄云服務(wù)系統(tǒng)時���,通過云服務(wù)提供商對該用戶進行身份認證和越界訪問的判斷���;第二級控制步驟�,在所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下�,檢查所述用戶是否符合客戶內(nèi)部安全策略;若否�����,拒絕訪問���,若是�,許可訪問云資源�����。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全控制方法,其特征在于����,所述第一級控制步驟進一 步為所述用戶通過身份認證后�����,確定用戶所屬客體,并根據(jù)客戶間安全隔離策略判斷用戶 是否越界訪問其它客戶資源����。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)安全控制方法,其特征在于����,所述第一級控制步驟通過如下方式實現(xiàn)為每一客戶分配如下信息,包括客戶標(biāo)識���、 定義服務(wù)時段����、初始管理員及其口令、定義客戶資源����、分配客戶內(nèi)部安全策略空間及客戶可 定義安全策略最大數(shù)量。
4.根據(jù)權(quán)利要求2或3所述的網(wǎng)絡(luò)安全控制方法����,其特征在于,所述第二級控制步驟通過如下方式實現(xiàn)為每一客戶的所述客戶內(nèi)部安全策略分配不 同的存儲空間或采用明確標(biāo)記加以隔離����。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)安全控制方法�����,其特征在于�,所述方法還包括對所述客 戶間安全隔離策略�����、所述客戶內(nèi)部安全策略和用戶訪問行為進行審計的步驟。
6.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)安全控制方法����,其特征在于�,所述客戶間安全隔離策略 包括客戶身份信息��、客戶資源信息����、客戶安全策略表范圍。
7.根據(jù)權(quán)利要求6所述的網(wǎng)絡(luò)安全控制方法,其特征在于�,所述客戶內(nèi)部安全策略包 括客戶內(nèi)部用戶信息、客戶訪問控制策略���、審計策略。
8.一種云安全網(wǎng)關(guān)�,其特征在于,包括第一級控制模塊�,用于在用戶登錄云服務(wù)系統(tǒng)時,通過云服務(wù)提供商對該用戶進行身 份認證和越界訪問的判斷��;第二級控制模塊��,用于在所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下,檢 查所述用戶是否符合客戶內(nèi)部安全策略��;若否,拒絕訪問����,若是����,許可訪問云資源���。
9.根據(jù)權(quán)利要求8所述的云安全網(wǎng)關(guān),其特征在于��,所述第一級控制模塊進一步用于在所述用戶通過身份認證后,確定用戶所屬客體����,并 根據(jù)客戶間安全隔離策略判斷用戶是否越界訪問其它客戶資源�����。
10.根據(jù)權(quán)利要求9所述的云安全網(wǎng)關(guān)���,其特征在于,所述第一級控制模塊中�,包括用于為每一客戶分配如下信息�,包括客戶標(biāo)識��、定義服 務(wù)時段��、初始管理員及其口令、定義客戶資源���、分配客戶內(nèi)部安全策略空間及客戶可定義安 全策略最大數(shù)量的單元���。
11.根據(jù)權(quán)利要求9或10所述的云安全網(wǎng)關(guān),其特征在于��,所述第二級控制模塊中�,還包括用于為每一客戶的所述客戶內(nèi)部安全策略分配不同的 存儲空間或采用標(biāo)記加以隔離的單元���。
12.根據(jù)權(quán)利要求11所述的云安全網(wǎng)關(guān),其特征在于��,所述方法還包括用于對所述客 戶間安全隔離策略、所述客戶內(nèi)部安全策略和用戶訪問行為進行審計的模塊。
13.根據(jù)權(quán)利要求12所述的云安全網(wǎng)關(guān)���,其特征在于�,所述客戶間安全隔離策略包括 客戶身份信息����、客戶資源信息����、客戶安全策略表范圍。
14.根據(jù)權(quán)利要求13所述的云安全網(wǎng)關(guān),其特征在于�,所述客戶內(nèi)部安全策略包括客 戶內(nèi)部用戶信息、客戶訪問控制策略����、審計策略。
全文摘要
本發(fā)明公開了一種基于云服務(wù)的網(wǎng)絡(luò)安全控制方法和云安全網(wǎng)關(guān)�����。其中的方法包括如下步驟在用戶登錄云服務(wù)系統(tǒng)時�����,通過云服務(wù)提供商對該用戶進行身份認證和越界訪問的判斷�����;在所述用戶通過身份認證并且沒有超越訪問權(quán)限的情況下�,檢查所述用戶是否符合客戶內(nèi)部安全策略;若否���,拒絕訪問����,若是,許可訪問云資源�。本發(fā)明能在云安全網(wǎng)關(guān)上合理、有效地將CSP和客戶的安全管理權(quán)限進行劃分����,既保證客戶之間的安全隔離,又保護客戶的隱私和管理權(quán)利不被侵犯���。
文檔編號H04L9/32GK101986599SQ20101058076
公開日2011年3月16日 申請日期2010年12月9日 優(yōu)先權(quán)日2010年12月9日
發(fā)明者何永忠, 李曉勇, 袁中蘭, 韓臻 申請人:北京交通大學(xué)