一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法
【專利摘要】本發(fā)明涉及云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問【技術(shù)領(lǐng)域】，特別涉及一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法。本發(fā)明結(jié)合云計算安全的實際要求，利用下一代網(wǎng)絡(luò)訪問控制模型(UCON)，UCON不僅含有傳統(tǒng)訪問控制模型的能力，而且集合了可信管理和數(shù)字權(quán)限管理能力。在存儲和文件層用UCON訪問控制模型對系統(tǒng)資源控制。在服務(wù)器虛擬化平臺采用可定制裁減的訪問控制模型，對云計算虛擬化安全作防護。在網(wǎng)絡(luò)層對DDOS攻擊防范、DNS安全通信監(jiān)控等，及時發(fā)現(xiàn)和禁止非法訪問，保證服務(wù)器通信安全。
【專利說明】—種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問【技術(shù)領(lǐng)域】，特別涉及一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法。
【背景技術(shù)】
[0002]云計算網(wǎng)絡(luò)下的服務(wù)器多數(shù)部署在云計算中心，作分布式協(xié)同計算和集中管理。云計算除了帶來計算和應(yīng)用的巨大計算能力之外，也給云計算中心數(shù)據(jù)帶來了安全上的威脅。云計算的服務(wù)模式有SaaS (軟件即服務(wù))、PaaS (平臺即服務(wù))和IaaS (基礎(chǔ)架構(gòu)即服務(wù))，除了面臨傳統(tǒng)的數(shù)據(jù)破壞或丟失、帳號或服務(wù)破解、拒絕服務(wù)攻擊(Deninal ofService)、惡意軟件入侵、軟件漏洞等安全威脅外，云計算安全面臨的風(fēng)險還有:特權(quán)用戶接入、數(shù)據(jù)位置、數(shù)據(jù)加密帶來的隔離或失效、災(zāi)難數(shù)據(jù)恢復(fù)和隱私暴露危險。云計算虛擬化帶來的資源隔離問題、企業(yè)的關(guān)鍵數(shù)據(jù)安全面臨嚴重威脅，云計算網(wǎng)絡(luò)的安全需要對數(shù)據(jù)中心服務(wù)器和虛擬化資源在多個層面(發(fā)作、防御、響應(yīng)、及時恢復(fù))作立體全面防御。
[0003]云計算安全要求對身份和訪問管理，對用戶提供信任和安全級別等。低風(fēng)險數(shù)據(jù)可以被放心投入云中，高影響或關(guān)鍵數(shù)據(jù)要求系統(tǒng)的訪問控制保護和隱私安全。近年來APT(高級持續(xù)威脅)攻擊對網(wǎng)絡(luò)造成了嚴重威脅?，F(xiàn)在相關(guān)組織正在積極制定云計算安全標準及測評體系，本發(fā)明在云計算中心服務(wù)器系統(tǒng)層、網(wǎng)絡(luò)層和應(yīng)用層建立多層立體防御體系，對云計算服務(wù)器安全體系做了可控制研究和實現(xiàn)。資源訪問控制方面采用下一代訪問控制技術(shù)(UCON)對云計算資源作保護訪問。在本質(zhì)上對病毒和惡意軟件做控制，監(jiān)控和禁用系統(tǒng)關(guān)鍵資源。在網(wǎng)絡(luò)層面禁止非法進程和端口等訪問服務(wù)器，禁止隱藏通道的非法應(yīng)用。防止DDoS攻擊等。云計算提供商提供對數(shù)據(jù)監(jiān)管的機制，包括監(jiān)控、授權(quán)和訪問控制等。系統(tǒng)對監(jiān)管和訪問控制提供了審計機制。可信計算技術(shù)包括如下要求:確保系統(tǒng)資源和數(shù)據(jù)完整性；數(shù)據(jù)安全存儲和可信網(wǎng)絡(luò)連接等。云計算資源有數(shù)量巨多、分布離散、調(diào)度頻繁、對安全要求高等特征。
[0004]傳統(tǒng)基于屬性訪問的控制模型不能滿足云安全的復(fù)雜要求，UCON (usagecontrol)訪問控制技術(shù)除了具有傳統(tǒng)的訪問控制模型外，還增加了義務(wù)(Obligations)、條件(Conditions)等因素。對訪問的信任度和引用計數(shù)等作控制，信任度不同，則訪問權(quán)限不同。引用計數(shù)到一定值時，更多的資源訪問會被禁止。虛擬化安全的防范采用和UCON訪問控制近似的方法，針對虛擬化存儲等特點作了定制剪裁。虛擬化網(wǎng)絡(luò)的安全在傳輸層和會話層作訪問控制。
[0005]目前的服務(wù)器資源訪問技術(shù)，采用對主機的進程、文件、注冊表等資源在內(nèi)核層作訪問控制。在云計算的復(fù)雜環(huán)境下，服務(wù)器內(nèi)核加固技術(shù)對信用等級、分布式計算存儲和基于Internet的訪問控制能力明顯不足。

【發(fā)明內(nèi)容】

[0006]為了解決現(xiàn)有技術(shù)的問題，本發(fā)明基于下一代訪問控制模型，在主體客體屬性等方面又添加了新的訪問控制元素，増加了信用管理和關(guān)鍵資源的引用計數(shù)等，在訪問數(shù)量達到一定級別時，采取禁止訪問等策略，在網(wǎng)絡(luò)訪問方面，加強對服務(wù)器通信的監(jiān)控，監(jiān)控異常流量和DNS流量等，對非法通信的禁止等。
[0007]本發(fā)明所采用的技術(shù)方案如下:
一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法，包括在存儲和文件層用采用下一代訪問控制技術(shù)的訪問控制模型對系統(tǒng)資源控制；在服務(wù)器虛擬化平臺采用可定制裁減的訪問控制模型，對云計算虛擬化安全作防護。
[0008]方法具體包括用戶訪問云計算服務(wù)器和虛擬化服務(wù)器時的控制方法和云計算服務(wù)器和虛擬機網(wǎng)絡(luò)訪問控制時的控制方法。
[0009]用戶訪問云計算服務(wù)器和虛擬化服務(wù)器時的控制方法包括:
Al、身份和域等認證；
B1、根據(jù)用戶身份、信任度和資源引用計數(shù)等得到資源訪問權(quán)限；
Cl、訪問前，訪問中和訪問后滿足相應(yīng)的條件可改變主體和客體的屬性，執(zhí)行相應(yīng)的權(quán)利和義務(wù)；
D1、在內(nèi)核層對關(guān)鍵資源訪問做比對，作相應(yīng)的只讀、可寫或禁用等操作；
E1、虛擬化系統(tǒng)安全采用定制剪裁的訪問控制策略，根據(jù)虛擬機的存儲等特征保證安全。
[0010]云計算服務(wù)器和虛擬機網(wǎng)絡(luò)訪問控制時的控制方法包括:
A2、網(wǎng)絡(luò)安全域劃分及邊界防護、網(wǎng)絡(luò)資源的訪問控制；
B2、遠程接入安全；
C2、DDoS攻擊危險及防御，禁止非法接入設(shè)備；
D2、網(wǎng)絡(luò)安全審計系統(tǒng)；
E2、虛擬機上的網(wǎng)絡(luò)控制在傳輸層作控制，禁止非法通信。
[0011]本發(fā)明的云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問技術(shù)，主要用于云計算數(shù)據(jù)中心的服務(wù)器安全。包括有安全內(nèi)核訪問技術(shù)(基于文件和網(wǎng)絡(luò)驅(qū)動)、UC0N(usage control)訪問控制技術(shù)、服務(wù)器端模塊和基礎(chǔ)設(shè)施模塊等。
[0012]安全內(nèi)核訪問技術(shù)，指利用下一代訪問控制技術(shù)(UCON)，對系統(tǒng)各類資源在云計算復(fù)雜環(huán)境下作控制的技木。
[0013]下一代訪問控制技術(shù)(UCON):在信息資源多祥化、精確化需求的今天，用授權(quán)、義務(wù)、條件等各種決策對資源訪問作動態(tài)控制，實現(xiàn)了信用度和資源引用技術(shù)訪問控制。
[0014]服務(wù)端模塊是用來與內(nèi)核驅(qū)動通信和與遠程訪問客戶端通信。
[0015]基礎(chǔ)設(shè)施模塊，用于管理員用戶與服務(wù)端通信，調(diào)用各類資源。提供與用戶交互和計算的模塊。
[0016]資源訪問控制策略，采用身份認證與身份管理策略和UCON控制。數(shù)據(jù)泄露控制和隱私保護。利用文件系統(tǒng)驅(qū)動和網(wǎng)絡(luò)驅(qū)動技術(shù)，在系統(tǒng)底層做訪問控制過濾。構(gòu)建可信的云計算服務(wù)器平臺，對關(guān)鍵數(shù)據(jù)的訪問提供訪問控制和審計日志等功能。
[0017]本發(fā)明通過UCON (Usage Control)訪問控制策略對云計算中心服務(wù)器資源做控制，對訪問服務(wù)器用戶除了傳統(tǒng)的訪問控制策略，結(jié)合云計算安全的實際要求，在信用度和引用計數(shù)等方面做了屬性的控制。在安全通信方面，采用對IPv4/IPv6協(xié)議兼容的網(wǎng)絡(luò)防范體系結(jié)構(gòu)。對網(wǎng)絡(luò)非法進程作通信禁止。對網(wǎng)絡(luò)異常流量做檢測，對異常的DNS等通信做檢測和禁止。
[0018]本發(fā)明是在在參考《云計算標準化白皮書》、《IS0/IEC JTCl SC38—17788、17789》、可信計算機系統(tǒng)評測標準TCSEC等國際標準、信息安全等級保護國家標準后，采用下一代訪問控制UCON模型對服務(wù)器資源作控制，利用可剪裁定制的訪問控制對虛擬化資源做管理。在云計算系統(tǒng)內(nèi)對資源采取UCON訪問控制和可信計算等方法，在本質(zhì)上對病毒和惡意軟件做控制，監(jiān)控或禁用系統(tǒng)資源。在不同的安全管理域，用戶有不同的資源和權(quán)限。訪問域需要作統(tǒng)一身份認證管理，采用UCON作訪問控制策略。對服務(wù)器資源(存儲資源、文件進程、注冊表、用戶服務(wù)等)除了作傳統(tǒng)的訪問控制外，增加了信用度和引用計數(shù)等約束屬性。依照下一代訪問控制模型，增加了義務(wù)和條件的限制。對網(wǎng)絡(luò)資源的訪問采用進程、地址/端口、流量等規(guī)則限制和監(jiān)控。監(jiān)控異常流量和特殊協(xié)議(如DNS)的異常通信。對虛擬機資源的網(wǎng)絡(luò)訪問也可作監(jiān)控等。
[0019]本發(fā)明提供的技術(shù)方案帶來的有益效果是:
本發(fā)明結(jié)合云計算安全的實際要求，利用下一代網(wǎng)絡(luò)訪問控制模型(UCON)，UCON不僅含有傳統(tǒng)訪問控制模型的能力，而且集合了可信管理和數(shù)字權(quán)限管理能力。在存儲和文件層用UCON訪問控制模型對系統(tǒng)資源控制。在服務(wù)器虛擬化平臺采用可定制裁減的訪問控制模型，對云計算虛擬化安全作防護。在網(wǎng)絡(luò)層對DDOS攻擊防范、DNS安全通信監(jiān)控等，及時發(fā)現(xiàn)和禁止非法訪問，保證服務(wù)器通信安全。
【專利附圖】

【附圖說明】
[0020]圖1為本發(fā)明的一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法的方法框圖；
圖2為本發(fā)明的一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法的UCON訪問控制模型示意圖。
【具體實施方式】
[0021]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。
[0022]本實施例應(yīng)用于云計算服務(wù)器內(nèi)，在驅(qū)動內(nèi)核層對資源作訪問控制。參照安全操作系統(tǒng)的可信操作分級標準，采用UCON (usage control)訪問控制技術(shù),UCON基本元素包括:主體、客體權(quán)限和與授權(quán)相關(guān)的元素:條件(授權(quán)規(guī)則)和義務(wù)，條件有信任度，資源引用計數(shù)等。系統(tǒng)在訪問云計算資源時，根據(jù)用戶的信任度、引用技術(shù)和強制訪問控制規(guī)則對訪問的客體進行授權(quán)，作只讀、禁用等操作。
[0023]網(wǎng)絡(luò)通信安全方面采用驅(qū)動底層NDIS (網(wǎng)絡(luò)驅(qū)動接口規(guī)范)技術(shù)，實現(xiàn)服務(wù)器安全網(wǎng)關(guān)功能。對網(wǎng)絡(luò)通信作高速封包過濾和非法通信禁止。監(jiān)控異常流量，發(fā)現(xiàn)DNS通信異常。全面保護云計算資源安全。
[0024]本發(fā)明的工作原理如下:
1、在訪問云服務(wù)器資源時，訪問控制過程為:
Al.身份認證和權(quán)限分配；
B1.得到服務(wù)器上的資源信息，用UCON訪問控制模型設(shè)置訪問規(guī)則。在客戶端基礎(chǔ)設(shè)施模塊設(shè)置用戶的主體、客體、權(quán)限、信任度、引用計數(shù)等；
Cl.客戶端基礎(chǔ)設(shè)施模塊根據(jù)服務(wù)器上的資源信息和UCON相關(guān)規(guī)則等發(fā)送到服務(wù)器端設(shè)置和保存規(guī)則；
Dl.主體屬性包括用戶編號、使用權(quán)限、信任度和引用計數(shù)和使用資源的主體名稱； El.客體包括云數(shù)據(jù)中心的存儲實體，文件系統(tǒng)上的文件夾、文件及進程、注冊表、服務(wù)
等;
Fl.訪問虛擬資源可用定制剪裁相應(yīng)的屬性和訪問控制，適于對虛擬環(huán)境存儲和計算要求；
Gl.在內(nèi)核層采用文件系統(tǒng)驅(qū)動技術(shù)構(gòu)建攔截驅(qū)動，利用IRP HOOK技術(shù)攔截相關(guān)的IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE 和 IRP_MJ_SETINF0RMAT10N 等；
H1.在運行指定的客體時，比較相應(yīng)的主、客體屬性。并按照相應(yīng)的權(quán)限運行，禁用、只
讀等;
11.根據(jù)需要記錄審計信息，包括主體、客體、屬性和動作等。在驅(qū)動層發(fā)送給應(yīng)用層，包括信用度和引用計數(shù)等信息。應(yīng)用層寫入相應(yīng)的分布式數(shù)據(jù)庫；
Jl.在客戶端可通過瀏覽器等查詢服務(wù)器安全審計日志，下發(fā)相應(yīng)資源規(guī)則；
2、在服務(wù)器網(wǎng)絡(luò)接入時，網(wǎng)絡(luò)訪問控制的流程為:
A2.采用NDIS底層驅(qū)動對封包攔截和監(jiān)控；
B2.在虛擬環(huán)境，采用傳輸層對封包和通信作訪問控制的策略；
C2.檢測網(wǎng)絡(luò)流量和異常通信；
D2.對IPv4和IPv6協(xié)議作封包過濾和通信監(jiān)控；
E2.得到通信進程相關(guān)信息，監(jiān)測異常流量；
F2.采用狀態(tài)檢測技術(shù)，提高比對效率；
G2.監(jiān)測DNS異常通信，并反饋到應(yīng)用層；
H2.網(wǎng)絡(luò)攻擊導(dǎo)致DNS通信異常，對DNS查詢通信數(shù)據(jù)包流中測量指標實時檢測；
12.超出閥值，則對應(yīng)用層作異常報警；
J2.根據(jù)進程、網(wǎng)絡(luò)通信五元組(源/目的地址、源/目的端口和協(xié)議號)等對數(shù)據(jù)包通信作監(jiān)控和過濾等。
[0025] 以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法，包括在存儲和文件層用采用下一代訪問控制技術(shù)的訪問控制模型對系統(tǒng)資源控制；在服務(wù)器虛擬化平臺采用可定制裁減的訪問控制模型，對云計算虛擬化安全作防護。
2.根據(jù)權(quán)利要求1所述的ー種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法，其特征在于，所述方法具體包括用戶訪問云計算服務(wù)器和虛擬化服務(wù)器時的控制方法和云計算服務(wù)器和虛擬機網(wǎng)絡(luò)訪問控制時的控制方法。
3.根據(jù)權(quán)利要求2所述的ー種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法，其特征在于，所述用戶訪問云計算服務(wù)器和虛擬化服務(wù)器時的控制方法包括: Al、身份和域等認證； B1、根據(jù)用戶身份、信任度和資源引用計數(shù)等得到資源訪問權(quán)限； Cl、訪問前，訪問中和訪問后滿足相應(yīng)的條件可改變主體和客體的屬性，執(zhí)行相應(yīng)的權(quán)利和義務(wù)； D1、在內(nèi)核層對關(guān)鍵資源訪問做比對，作相應(yīng)的只讀、可寫或禁用等操作； E1、虛擬化系統(tǒng)安全采用定制剪裁的訪問控制策略，根據(jù)虛擬機的存儲等特征保證安全。
4.根據(jù)權(quán)利要求2所述的ー種云計算網(wǎng)絡(luò)服務(wù)器內(nèi)核安全訪問方法，其特征在于，所述云計算服務(wù)器和虛擬機網(wǎng)絡(luò)訪問控制時的控制方法包括: A2、網(wǎng)絡(luò)安全域劃分及邊界防護、網(wǎng)絡(luò)資源的訪問控制； B2、遠程接入安全； C2、DDoS攻擊危險及防御，禁止非法接入設(shè)備； D2、網(wǎng)絡(luò)安全審計系統(tǒng)； E2、虛擬機上的網(wǎng)絡(luò)控制在傳輸層作控制，禁止非法通信。
【文檔編號】H04L29/08GK103457958SQ201310426860
【公開日】2013年12月18日 申請日期:2013年9月18日 優(yōu)先權(quán)日:2013年9月18日
【發(fā)明者】陳偉東, 王超, 徐崢, 邢希雙 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司