專利名稱:一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及云系統(tǒng)技術(shù)領(lǐng)域,尤其涉及一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法。
背景技術(shù):
私有云是為一個(gè)客戶單獨(dú)使用而構(gòu)建的,因而提供對(duì)數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制。私有云可部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi),也可將它們部署在一個(gè)安全的主機(jī)托管場(chǎng)所,它可由公司自己的IT機(jī)構(gòu),也可由云提供商進(jìn)行構(gòu)建;在此“托管式專用”模式中,像Sim、IBM這樣的云計(jì)算提供商可以安裝、配置和運(yùn)營(yíng)基礎(chǔ)設(shè)施,以支持一個(gè)公司企業(yè)數(shù)據(jù)中心內(nèi)的專用云,此模式賦予公司對(duì)于云資源使用情況的極高水平的控制能力,同時(shí)帶來(lái)建立并運(yùn)作該環(huán)境所需的專門知識(shí)。虛擬化能充分利用計(jì)算機(jī)系統(tǒng)的資源,但由此而引起的安全性問(wèn)題一直是研究的重點(diǎn),由于云系統(tǒng)物理上的整體連接性決定了云系統(tǒng)的安全問(wèn)題是一個(gè)非常復(fù)雜、難以解決的問(wèn)題。傳統(tǒng)的私有云安全問(wèn)題是在每個(gè)虛擬化的機(jī)器安裝防火墻、利用GUEST的登錄功能進(jìn)行用戶身份認(rèn)證,這些結(jié)果的最大問(wèn)題是①無(wú)法阻止文件在同一內(nèi)網(wǎng)未經(jīng)授權(quán)的傳輸;②無(wú)法控制未經(jīng)授權(quán)的用戶訪問(wèn)指定的GUEST ;③無(wú)法控制用戶和GUEST之間的文件未經(jīng)授權(quán)的傳輸;④無(wú)法阻止未經(jīng)授權(quán)的用戶訪問(wèn)GUEST遠(yuǎn)程桌面;⑤無(wú)法確保非法用戶通過(guò)訪問(wèn)HOST直接把整個(gè)GUEST虛擬文件直接非法復(fù)制到未授權(quán)用戶的計(jì)算機(jī)中,對(duì)私有云的大規(guī)模普及影響較大。盡管采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如VLAN、VPN、SSH登錄、防火墻、 身份認(rèn)證可阻止外部非法用戶的訪問(wèn),但是無(wú)法阻止合法用戶在域內(nèi)未經(jīng)授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包收發(fā)、未經(jīng)授權(quán)的文件傳輸、跨域未經(jīng)授權(quán)的傳輸文件和跨域未經(jīng)授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包收發(fā),這些問(wèn)題直接影響私有云的安全。因此,結(jié)合以上分析,需要對(duì)現(xiàn)有技術(shù)進(jìn)行合理的創(chuàng)新。
發(fā)明內(nèi)容
針對(duì)以上缺陷,本發(fā)明提供一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法,通過(guò)合理設(shè)置安全私有云的系統(tǒng)物理框架,并提出基于不同安全域+VDE及IP+PKI用戶名身份認(rèn)證+執(zhí)行代碼校驗(yàn)認(rèn)證的技術(shù)和安全遠(yuǎn)程桌面訪問(wèn)技術(shù),從而配合監(jiān)控和防火墻技術(shù),來(lái)解決私有云的安全性問(wèn)題。為實(shí)現(xiàn)上述目的,本發(fā)明采用以下技術(shù)方案一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法,主要包括以下步驟(1)首先于客戶端配置USB-KEY或者軟證書,用WIND0WS-XP系統(tǒng)進(jìn)行訪問(wèn);(2) HOST采用UBUNTO系統(tǒng)加防火墻,用NETFILTER架構(gòu)技術(shù)進(jìn)行包過(guò)濾和端口映射;(3)客戶端代碼認(rèn)證采用MD5或SHA-I算法;(4)虛擬機(jī)OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,遠(yuǎn)程桌面端口采用GUEST 端口或 VIRTUALBOX-RDP 端口 ;
(5)采用鉤子技術(shù),以便于阻止用戶按printscreen進(jìn)行屏幕復(fù)制;(6)設(shè)置控制用戶的訪問(wèn)范圍,分內(nèi)網(wǎng)、外網(wǎng);(7)通過(guò)設(shè)置安全模塊B限制GUEST之間相互訪問(wèn),限制HOST訪問(wèn)外網(wǎng);(8)采用UBUNTO系統(tǒng)的VDE開源模塊隔離本機(jī)的HOST和GUEST。其中的GUEST采用防火墻與防病毒程序,客戶端和GUEST運(yùn)行進(jìn)程掃描程序。本發(fā)明所述的安全私有云系統(tǒng)的實(shí)現(xiàn)方法的有益效果為通過(guò)設(shè)置新的物理框架和基于PKI技術(shù)+用戶名和ip地址綁定技術(shù),根據(jù)虛擬機(jī)和用戶的不同要求將系統(tǒng)劃分為不同的VDE,通過(guò)包過(guò)濾技術(shù)防止GUEST、HOST及GUEST之間非法傳輸信息,利用隨機(jī)端口技術(shù)只開放遠(yuǎn)程桌面對(duì)GUEST的訪問(wèn),采用在用戶端安裝自己的遠(yuǎn)程桌面軟件和監(jiān)控只運(yùn)行一次保證用戶端資源無(wú)法被GUEST共享+printscreen鍵屏蔽技術(shù),從而保證GUEST機(jī)器的信息只能在系統(tǒng)指定的范圍內(nèi)被合法的用戶訪問(wèn);另外,內(nèi)核為2. 4和2. 6版本的LINUX 系統(tǒng)HOST采用本方法也在本發(fā)明的保護(hù)范圍內(nèi)。
下面根據(jù)附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明。圖1是本發(fā)明實(shí)施例所述安全私有云系統(tǒng)的實(shí)現(xiàn)方法的系統(tǒng)框架示意圖。
具體實(shí)施例方式如圖1所示,本發(fā)明實(shí)施例所述的安全私有云系統(tǒng)的實(shí)現(xiàn)方法,據(jù)圖可知,若用戶和外網(wǎng)用戶要訪問(wèn)HOST,只能通過(guò)安全模塊A和安全模塊B ;若跨機(jī)器的HOST或者GUEST 之間相互訪問(wèn),則只能通過(guò)安全模塊B ;通過(guò)用動(dòng)態(tài)端口技術(shù),和訪問(wèn)進(jìn)程代碼HASH摘要與服務(wù)器端校驗(yàn)技術(shù)和通過(guò)校驗(yàn)后時(shí)序控制技術(shù),防止用戶3389端口欺騙;用戶登錄后,把用戶名UUID和密碼及登錄程序自己的HASH摘要+訪問(wèn)時(shí)間段+訪問(wèn)的機(jī)器的IP+時(shí)間戳,經(jīng)過(guò)客戶端的pki模塊加密,送安全模塊A,安全模塊用對(duì)應(yīng)的用戶名UUID找到它的公鑰,再解密,校驗(yàn)密碼、訪問(wèn)程序的HASH摘要、是否指定時(shí)間段可以訪問(wèn)的狀態(tài)校驗(yàn),通過(guò)后產(chǎn)生隨機(jī)訪問(wèn)端口經(jīng)公鑰加密,并通過(guò)安全模塊做映射,送客戶端,客戶端經(jīng)過(guò)私鑰解密,得到隨機(jī)端口,通過(guò)本客戶端程序進(jìn)行g(shù)uest或者h(yuǎn)ost機(jī)器的遠(yuǎn)程桌面訪問(wèn)。過(guò)濾規(guī)則所有的非IP報(bào)文,丟棄;TCP過(guò)濾,用戶對(duì)遠(yuǎn)程桌面的包,如果是指定的端口,放過(guò),其它的丟棄;遠(yuǎn)程桌面對(duì)用戶的包,源地址是3389的包放過(guò);目標(biāo)端口是80的包,檢測(cè)是否是HTTP的POST請(qǐng)求,如果是,檢測(cè)包長(zhǎng)度,大于256字節(jié)的包,丟棄,防用戶通過(guò)HTTP上傳文件。UDP過(guò)濾,放過(guò)DNS (5 端口的包,雙向過(guò)濾,其它安全要求較低的HOST 和GUEST訪問(wèn)根據(jù)系統(tǒng)的OS類型,如果為WINDOWS的,可設(shè)置對(duì)23和21端口的權(quán)限控制 (TCP),如果為L(zhǎng)INUX或者UBUNT0,對(duì)SSH端口 Q2)和Ql)端口做權(quán)限控制,其中23和22 與3389類似的做隨機(jī)端口控制。本發(fā)明實(shí)施例所述的安全私有云系統(tǒng)的實(shí)現(xiàn)方法,主要包括以下步驟(1)首先于客戶端配置USB-KEY或者軟證書,用WIND0WS-XP系統(tǒng)進(jìn)行訪問(wèn);(2) HOST采用UBUNTO系統(tǒng)加防火墻,用NETFILTER架構(gòu)技術(shù)進(jìn)行包過(guò)濾和端口映射;
(3)客戶端代碼認(rèn)證采用MD5或SHA-I算法;(4)虛擬機(jī)OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,遠(yuǎn)程桌面端口采用GUEST 端口或 VIRTUALBOX-RDP 端口 ;(5)采用鉤子技術(shù),以便于阻止用戶按printscreen進(jìn)行屏幕復(fù)制;(6)控制用戶的訪問(wèn)范圍,分內(nèi)網(wǎng)、外網(wǎng);(7)通過(guò)設(shè)置安全模塊B限制GUEST之間相互訪問(wèn),限制HOST訪問(wèn)外網(wǎng);(8)采用UBUNTO系統(tǒng)的VDE開源模塊隔離本機(jī)的HOST和GUEST。其中的系統(tǒng)后臺(tái)用戶管理功能包括(1)設(shè)定用戶可訪問(wèn)的GUEST和HOST,設(shè)置對(duì)應(yīng)的認(rèn)證代碼可以訪問(wèn)的GUEST和HOST; (2)設(shè)定虛擬機(jī)的網(wǎng)絡(luò)權(quán)限(端口,默認(rèn)為遠(yuǎn)程端口開放,其他關(guān)閉);(3)設(shè)定用戶密碼;(4)企業(yè)管理和用戶管理;(5)USB-KEY與用戶管理,密鑰管理,PKI管理。主要操作流程為(1)用戶打開客戶端,填寫用戶名密碼(或者插入U(xiǎn)SB-KEY后題寫密碼)和訪問(wèn)的機(jī)器的IP,客戶端向安全模塊發(fā)起認(rèn)證請(qǐng)求(走HTTP協(xié)議),認(rèn)證信息包含用戶名UUID和密碼及登錄程序自己的HASH摘要+訪問(wèn)時(shí)間段+訪問(wèn)的機(jī)器的IP+時(shí)間戳;( 模塊收到用戶請(qǐng)求,從數(shù)據(jù)庫(kù)中取出密碼和資料,對(duì)比提交上來(lái)的密碼,如果正確 把用戶要訪問(wèn)的虛擬機(jī)IP和隨機(jī)生成的端口經(jīng)過(guò)公鑰加密后,返回給客戶端界面后,同時(shí)模塊向內(nèi)核寫入用戶的IP,虛擬機(jī)的IP,動(dòng)態(tài)生成的端口號(hào),和用戶的訪問(wèn)權(quán)限;(3)用戶端代碼調(diào)用遠(yuǎn)程桌面訪問(wèn)模塊(這個(gè)模塊的代碼摘要保存在USB-KEY中-先進(jìn)行代碼摘要的檢驗(yàn));(4)用戶斷開遠(yuǎn)程桌面連接,模塊在30秒內(nèi)未檢測(cè)到用戶產(chǎn)生的流量,則清除用戶登錄信息,連接斷開,須重新認(rèn)證;(5)代碼的監(jiān)控模塊檢查這個(gè)ip的隨機(jī)端口在本機(jī)的訪問(wèn)程序,如果有多個(gè),提示非法訪問(wèn),重新啟動(dòng)用戶計(jì)算機(jī)。以上實(shí)施實(shí)例是本發(fā)明較優(yōu)選具體實(shí)施方式
的一種,本領(lǐng)域技術(shù)人員在本技術(shù)方案范圍內(nèi)進(jìn)行的通常變化和替換應(yīng)包含在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1.一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法,其特征在于,主要包括以下步驟(1)首先于客戶端配置USB-KEY或者軟證書,用WINDOWS系統(tǒng)桌面或者UBUNTO桌面進(jìn)行訪問(wèn);(2)HOST采用UBUNTO系統(tǒng)加防火墻,用NETFILTER架構(gòu)技術(shù)進(jìn)行包過(guò)濾和端口映射;(3)客戶端代碼認(rèn)證采用MD5或SHA-I算法;(4)虛擬機(jī)OS采用VIRTUALB0X-0SE或VIRTUALB0X配置,遠(yuǎn)程桌面端口采用GUEST端口 或 VIRTUALBOX-RDP 端口 ;(5)采用鉤子技術(shù),以便于阻止用戶按printscreen進(jìn)行屏幕復(fù)制;(6)設(shè)置控制用戶的訪問(wèn)范圍,分內(nèi)網(wǎng)、外網(wǎng);(7)通過(guò)設(shè)置安全模塊B限制GUEST之間相互訪問(wèn),限制HOST訪問(wèn)外網(wǎng);(8)采用UBUNTO系統(tǒng)的VDE開源模塊隔離本機(jī)的HOST和GUEST。
2.根據(jù)權(quán)利要求1所述的安全私有云系統(tǒng)的實(shí)現(xiàn)方法,其特征在于其中的GUEST采用防火墻與防病毒程序,客戶端和GUEST運(yùn)行進(jìn)程掃描程序。
全文摘要
本發(fā)明涉及一種安全私有云系統(tǒng)的實(shí)現(xiàn)方法,包括HOST采用UBUNTO系統(tǒng)加防火墻,用NETFILTER架構(gòu)技術(shù)進(jìn)行包過(guò)濾和端口映射,客戶端代碼認(rèn)證采用MD5或SHA-1算法等。通過(guò)設(shè)置新物理框架和基于PKI技術(shù)+用戶名和IP地址綁定技術(shù),根據(jù)虛擬機(jī)和用戶的不同要求將系統(tǒng)劃分為不同的VDE,通過(guò)包過(guò)濾技術(shù)防止GUEST、HOST及GUEST之間非法傳輸信息,利用隨機(jī)端口技術(shù)只開放遠(yuǎn)程桌面對(duì)GUEST的訪問(wèn),采用在用戶端安裝自己的遠(yuǎn)程桌面軟件和監(jiān)控只運(yùn)行一次保證用戶端資源無(wú)法被GUEST共享+printscreen鍵屏蔽技術(shù),從而保證GUEST機(jī)器的信息只能在系統(tǒng)指定的范圍內(nèi)被合法的用戶訪問(wèn)。
文檔編號(hào)H04L9/32GK102333098SQ20111033099
公開日2012年1月25日 申請(qǐng)日期2011年10月27日 優(yōu)先權(quán)日2011年10月27日
發(fā)明者周詩(shī)琦, 童良勇 申請(qǐng)人:童良勇