一種基于用戶身份的虛擬化資源訪問控制方法
【專利摘要】本發(fā)明公開了一種基于用戶身份的虛擬化資源訪問控制方法，該方法包括以下步驟：云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表；安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的安全策略生成安全規(guī)則；安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施。該方法能夠解決云計算環(huán)境中由于資源動態(tài)分配而造成的安全規(guī)則不準(zhǔn)確的問題，提高安全規(guī)則的準(zhǔn)確性和有效性。
【專利說明】
一種基于用戶身份的虛擬化資源訪問控制方法
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及一種在云計算環(huán)境下生成可靠有效的安全規(guī)則的方法。
【背景技術(shù)】
[0002]云計算是一種根據(jù)使用計費的模型，它提供了一種已配置及可靠的共享資源池(包括網(wǎng)絡(luò)資源、服務(wù)器、存儲設(shè)備、應(yīng)用程序以及服務(wù)等)的方便以及按需的網(wǎng)絡(luò)訪問，從而實現(xiàn)快速部署和資源回收等，同時并不需要用戶以及服務(wù)提供商的過多參與。為了加強其虛擬化資源使用的安全性，常常采用防火墻等設(shè)備對虛擬化資源的訪問進(jìn)行安全控制，維護(hù)網(wǎng)絡(luò)環(huán)境的安全。
[0003]在云計算環(huán)境中對虛擬化資源應(yīng)用訪問控制方法具有安全性、有效性的優(yōu)點，但是由于云計算環(huán)境中資源的動態(tài)分配，用戶擁有資源不斷變化，使得各個安全策略執(zhí)行實體中的安全規(guī)則出現(xiàn)不確定性。因此需要設(shè)計方法，能夠根據(jù)用戶當(dāng)前使用資源情況和安全策略產(chǎn)生相應(yīng)的安全規(guī)則，以便為安全策略執(zhí)行實體提供可靠有效的安全規(guī)則。

【發(fā)明內(nèi)容】

[0004]本發(fā)明解決的技術(shù)問題在于提出一種基于用戶身份的虛擬化資源訪問控制方法，提高安全規(guī)則的準(zhǔn)確性和有效性。在云計算環(huán)境下，規(guī)則生成器根據(jù)資源關(guān)聯(lián)表和安全策略生成可靠有效的安全規(guī)則，并發(fā)送給相應(yīng)的安全策略執(zhí)行實體。
[0005]為了解決以上問題，一種基于用戶身份的虛擬化資源訪問控制方法，包括以下步驟:
云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表；
安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的安全策略生成安全規(guī)則；
安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施。
[0006]進(jìn)一步，作為一種優(yōu)選，所述云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表步驟進(jìn)一步包括:在建立更新資源關(guān)聯(lián)表時，表中的數(shù)據(jù)項應(yīng)包括詳細(xì)的用戶信息，包括用戶的ID(唯一的身份標(biāo)識/用戶名/證書等)、所占有資源的標(biāo)識(資源類型/資源名/IP地址/MAC地址/端口號等)、以及其他信息(用戶所屬群組/用戶密級/用戶可信度等)。
[0007]進(jìn)一步，作為一種優(yōu)選，所述云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表步驟進(jìn)一步包括:對于資源關(guān)聯(lián)表的創(chuàng)建更新來說，當(dāng)資源分配發(fā)生變化時，及時創(chuàng)建或更新資源關(guān)聯(lián)表。
[0008]進(jìn)一步，作為一種優(yōu)選，所述安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟進(jìn)一步包括:當(dāng)生成安全規(guī)則時，安全策略管理器根據(jù)安全策略和資源關(guān)聯(lián)表生成最終安全規(guī)則，并發(fā)送給相應(yīng)的安全策略執(zhí)行實體。
[0009]進(jìn)一步，作為一種優(yōu)選，所述安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟進(jìn)一步包括:在制定策略時，安全管理員通過安全策略管理器中的策略制定模塊制定和修改安全策略并更新策略庫。
[0010]進(jìn)一步，作為一種優(yōu)選，所述安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟進(jìn)一步包括:生成安全規(guī)則具體步驟是安全策略管理器中的規(guī)則生成模塊利用資源關(guān)聯(lián)表中查詢到的信息，包括IP地址、端口號等，替換安全策略的對應(yīng)部分，生成符合當(dāng)前資源分配狀態(tài)的安全規(guī)則。
[0011 ]進(jìn)一步，作為一種優(yōu)選，所述安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟進(jìn)一步包括:對于安全策略管理器來說，云資源管理平臺生成的資源關(guān)聯(lián)表和安全策略中包含的所有信息均是可以被規(guī)則生成模塊解析得到的。
[0012]進(jìn)一步，作為一種優(yōu)選，所述安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施步驟進(jìn)一步包括:對于安全策略執(zhí)行實體來說，當(dāng)資源分配發(fā)生變化或安全策略改變時，及時接收和更新安全規(guī)則并實施。
[0013]本發(fā)明的有益效果在于，第一，資源關(guān)聯(lián)表由用戶身份信息、用戶當(dāng)前占有的資源信息以及其他相關(guān)信息共同組成，能夠有效反應(yīng)當(dāng)前用戶的基本情況及其與資源的占有關(guān)系，增強了資源關(guān)聯(lián)表的有效性和實時性;第二，安全規(guī)則使用用戶當(dāng)前動態(tài)占有的資源信息(例如，IP，端口號等)，確保安全規(guī)則的準(zhǔn)確性和有效性;第三，安全策略通過安全策略管理器制定和存儲，便于安全策略的統(tǒng)一管理;綜上，這種方法能夠有效解決云計算環(huán)境中由于資源動態(tài)分配而造成的安全規(guī)則不準(zhǔn)確的問題，提高安全規(guī)則的準(zhǔn)確性和有效性。
【附圖說明】
[0014]當(dāng)結(jié)合附圖考慮時，通過參照下面的詳細(xì)描述，能夠更完整更好地理解本發(fā)明以及容易得知其中許多伴隨的優(yōu)點，但此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本發(fā)明的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。
[0015]圖1是本發(fā)明中云計算環(huán)境下基于用戶身份的資源訪問控制方法的工作示意。
【具體實施方式】
[0016]以下參照圖1對本發(fā)明的實施例進(jìn)行說明。
[0017]為使上述目的、特征和優(yōu)點能夠更加明顯易懂，下面結(jié)合附圖和【具體實施方式】對本發(fā)明作進(jìn)一步詳細(xì)的說明。
[0018]—種基于用戶身份的虛擬化資源訪問控制方法，包括以下步驟:
云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表；
安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的安全策略生成安全規(guī)則；
安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施。
[0019]實施例一:
一種基于用戶身份的虛擬化資源訪問控制方法在防火墻設(shè)備中的應(yīng)用。
[0020]如圖1所示，包括以下步驟: 51、云資源管理平臺創(chuàng)建或更新資源關(guān)聯(lián)表并發(fā)送給安全策略管理器；
52、安全管理員通過安全策略管理器中的策略制定模塊制定和修改防火墻設(shè)備相關(guān)的安全策略并更新策略庫；
53、安全策略管理器中的規(guī)則生成模塊查詢資源關(guān)聯(lián)表，獲得安全策略中所需的用戶信息以及當(dāng)前使用資源的相關(guān)信息(例如，IP地址、端口號等)；
54、利用S3查詢到的用戶當(dāng)前使用資源的相關(guān)信息，根據(jù)安全策略的描述，生成最終的五元組安全規(guī)則并發(fā)送給防火墻設(shè)備；
55、防火墻設(shè)備更新現(xiàn)有安全規(guī)則并實施。
[0021]在整個過程中，如果因用戶操作而引起了資源分配的變化，則立刻創(chuàng)建或更新資源關(guān)聯(lián)表。
[0022]實施例二:
一種基于用戶身份的虛擬化資源訪問控制方法在網(wǎng)關(guān)設(shè)備中的應(yīng)用。
[0023]如圖1所示，包括以下步驟:
51、云資源管理平臺創(chuàng)建或更新資源關(guān)聯(lián)表并發(fā)送給安全策略管理器；
52、安全管理員通過安全策略管理器中的策略制定模塊制定和修改網(wǎng)關(guān)設(shè)備相關(guān)的安全策略并更新策略庫；
53、安全策略管理器中的規(guī)則生成模塊查詢資源關(guān)聯(lián)表，獲得安全策略中所需的用戶信息以及當(dāng)前使用資源的相關(guān)信息(例如，IP地址、端口號等)；
54、利用S3查詢到的用戶當(dāng)前使用資源的相關(guān)信息，根據(jù)安全策略的描述，生成最終的安全規(guī)則并發(fā)送給網(wǎng)關(guān)設(shè)備；
55、網(wǎng)關(guān)設(shè)備更新現(xiàn)有安全規(guī)則并實施。
[0024]在整個過程中，如果因用戶操作而引起了資源分配的變化，則立刻創(chuàng)建或更新資源關(guān)聯(lián)表。
[0025]實施例三:
一種基于用戶身份的虛擬化資源訪問控制方法在入侵檢測系統(tǒng)中的應(yīng)用。
[0026]如圖1所示，包括以下步驟:
51、云資源管理平臺創(chuàng)建或更新資源關(guān)聯(lián)表并發(fā)送給安全策略管理器；
52、安全管理員通過安全策略管理器中的策略制定模塊制定和修改入侵檢測系統(tǒng)相關(guān)的安全策略并更新策略庫；
53、安全策略管理器中的規(guī)則生成模塊查詢資源關(guān)聯(lián)表，獲得安全策略中所需的用戶信息以及當(dāng)前使用資源的相關(guān)信息(例如，允許/禁止通過的用戶IP地址、端口號等)；
54、利用S3查詢到的用戶當(dāng)前使用資源的相關(guān)信息，根據(jù)安全策略的描述，生成最終的安全規(guī)則并發(fā)送給入侵檢測系統(tǒng)中的安全策略執(zhí)行模塊；
55、入侵檢測系統(tǒng)中安全策略執(zhí)行模塊更新現(xiàn)有安全規(guī)則并實施。
[0027]在整個過程中，如果因用戶操作而引起了資源分配的變化，則立刻創(chuàng)建或更新資源關(guān)聯(lián)表。
[0028]實施例四:
一種基于用戶身份的虛擬化資源訪問控制方法在入侵防御系統(tǒng)中的應(yīng)用。
[0029]如圖1所示，包括以下步驟: 51、云資源管理平臺創(chuàng)建或更新資源關(guān)聯(lián)表并發(fā)送給安全策略管理器；
52、安全管理員通過安全策略管理器中的策略制定模塊制定和修改入侵防御系統(tǒng)相關(guān)的安全策略并更新策略庫；
53、安全策略管理器中的規(guī)則生成模塊查詢資源關(guān)聯(lián)表，獲得安全策略中所需的用戶信息以及當(dāng)前使用資源的相關(guān)信息(例如，允許/禁止通過的用戶IP地址、端口號等)；
54、利用S3查詢到的用戶當(dāng)前使用資源的相關(guān)信息，根據(jù)安全策略的描述，生成最終的安全規(guī)則并發(fā)送給入侵防御系統(tǒng)中的安全策略執(zhí)行模塊；
55、入侵防御系統(tǒng)中安全策略執(zhí)行模塊更新現(xiàn)有安全規(guī)則并實施。
[0030]在整個過程中，如果因用戶操作而引起了資源分配的變化，則立刻創(chuàng)建或更新資源關(guān)聯(lián)表。
[0031]實施例五:
一種基于用戶身份的虛擬化資源訪問控制方法在上網(wǎng)行為管理產(chǎn)品中的應(yīng)用。
[0032]如圖1所示，包括以下步驟:
51、云資源管理平臺創(chuàng)建或更新資源關(guān)聯(lián)表并發(fā)送給安全策略管理器；
52、安全管理員通過安全策略管理器中的策略制定模塊制定和修改上網(wǎng)行為管理相關(guān)的安全策略并更新策略庫；
53、安全策略管理器中的規(guī)則生成模塊查詢資源關(guān)聯(lián)表，獲得上網(wǎng)行為管理相關(guān)安全策略中所需的用戶信息以及當(dāng)前使用資源的相關(guān)信息(例如，IP地址、端口號、所屬群組等);
54、利用S3查詢到的用戶當(dāng)前使用資源的相關(guān)信息，根據(jù)安全策略的描述，生成最終的安全規(guī)則并發(fā)送給上網(wǎng)行為管理產(chǎn)品；
55、上網(wǎng)行為管理產(chǎn)品更新現(xiàn)有安全規(guī)則并實施。
[0033]在整個過程中，如果因用戶操作而引起了資源分配的變化，則立刻創(chuàng)建或更新資源關(guān)聯(lián)表。
[0034]如上所述，對本發(fā)明的實施例進(jìn)行了詳細(xì)地說明，但是只要實質(zhì)上沒有脫離本發(fā)明的發(fā)明點及效果可以有很多的變形，這對本領(lǐng)域的技術(shù)人員來說是顯而易見的。因此，這樣的變形例也全部包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項】
1.一種基于用戶身份的虛擬化資源訪問控制方法，其特征在于，包括以下步驟: 云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表； 安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的安全策略生成安全規(guī)則； 安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施。2.根據(jù)權(quán)利要求1所述的一種基于用戶身份的虛擬化資源訪問控制方法，其特征在于，本方法應(yīng)用于云計算環(huán)境，所述基于身份的虛擬化資源訪問控制方法包含兩個部分:資源關(guān)聯(lián)表建立更新部分和安全策略管理器生成安全規(guī)則部分，其中資源關(guān)聯(lián)表建立更新部分主要完成云資源管理平臺對資源關(guān)聯(lián)表的建立和更新過程，安全策略管理器生成安全規(guī)則部分主要完成安全管理員對安全策略的制定和最終安全規(guī)則的生成。3.根據(jù)權(quán)利要求1所述的云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表步驟，進(jìn)一步包括:云資源管理平臺根據(jù)當(dāng)前資源的使用分配情況建立資源關(guān)聯(lián)表，由于用戶操作導(dǎo)致資源分配情況發(fā)生變化時，及時更新資源關(guān)聯(lián)表，并發(fā)送給安全策略管理器。4.根據(jù)權(quán)利要求1所述的云資源管理平臺根據(jù)用戶請求分配資源并根據(jù)資源的使用分配情況建立更新資源關(guān)聯(lián)表步驟，進(jìn)一步包括:資源的使用分配情況包括用戶的實際身份，所述用戶的實際身份是指用戶唯一的身份標(biāo)識、用戶名或證書、用戶占用資源的標(biāo)識等，所述用戶占用資源的標(biāo)識是指資源類型、資源名、MAC地址、IP地址、端口號等，以及生成安全規(guī)則時所需要的其他信息，所述其他信息是指用戶所屬群組、用戶密級、用戶可信度等生成安全規(guī)則時所需的信息。5.根據(jù)權(quán)利要求1所述的安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟，進(jìn)一步包括:當(dāng)生成安全規(guī)則時，安全策略管理器根據(jù)安全策略和資源關(guān)聯(lián)表生成最終安全規(guī)則，并發(fā)送給相應(yīng)的安全策略執(zhí)行實體。6.根據(jù)權(quán)利要求5所述的安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟，進(jìn)一步包括:在制定策略時，安全管理員通過安全策略管理器中的策略制定模塊制定和修改安全策略并更新策略庫。7.根據(jù)權(quán)利要求5所述的安全策略管理器根據(jù)資源關(guān)聯(lián)表和策略庫中的策略生成安全規(guī)則步驟，進(jìn)一步包括:生成安全規(guī)則具體步驟是安全策略管理器中的規(guī)則生成模塊利用資源關(guān)聯(lián)表中查詢到的信息，包括IP地址、端口號等，替換安全策略的對應(yīng)部分，生成符合當(dāng)前資源分配狀態(tài)的安全規(guī)則。8.根據(jù)權(quán)利要求1所述的安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施步驟，進(jìn)一步包括:安全策略執(zhí)行實體接收到新的安全規(guī)則后更新現(xiàn)有安全規(guī)則并部署實施新的安全規(guī)則。9.根據(jù)權(quán)利要求8所述的安全策略執(zhí)行實體更新現(xiàn)有安全規(guī)則并實施步驟，進(jìn)一步包括:由于用戶操作導(dǎo)致資源分配情況發(fā)生變化或安全策略改變時，安全策略執(zhí)行實體及時接收和更新安全規(guī)則并實施。
【文檔編號】H04L29/06GK105915535SQ201610349749
【公開日】2016年8月31日
【申請日】2016年5月24日
【發(fā)明人】李曉勇
【申請人】北京朋創(chuàng)天地科技有限公司