本发明专利技术公开一种基于云资源控制的安全隔离方法,涉及云计算虚拟化安全领域,利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离。本发明专利技术可以在很大程度上避免恶意用户对同一物理平台上其他利益相关用户的信息进行窃取,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动,提高了云计算平台下用户数据信息的安全性。
【技术实现步骤摘要】
本专利技术涉及云计算虚拟化安全领域,具体的说是一种基于云资源控制的安全隔离方法。
技术介绍
随着信息网络的快速发展,很多企业、单位及政府机关纷纷构建自己的内部网络系统,并通过各种方式接入到互联网来获取数据。然而,不同敏感级网络间通信常常带来敏感数据泄漏风险,尤其像政府、银行等较高安全级网络,如果内部敏感数据遭到泄漏,后果不堪设想。进入云计算时代使得泄露事件层出不穷,如何保证云服务商自身内部的安全管理,如何避免云计算环境中客户共享带来的潜在风险,这些都是云计算环境下用户的安全顾虑。其中,虚拟机系统作为云计算的基础设施,又会成为这些攻击的一个主要目标。鉴于此,对虚拟化系统的安全问题开展了大量研究工作,但是这些安全研究工作大多是针对单机虚拟化环境进行的,难以适应云计算场景的要求。云计算与传统IT最大的区别在于虚拟的计算环境,虚拟机是共享硬件资源的,所以在相同的云计算区域内运行虚拟机可能会导致数据信息的泄露,因此,当确保虚拟机实例安全性时,请务必隔离虚拟机在不同的云计算区域内运行。在传统虚拟化技术中,对于隐通道导致的信息泄露的问题,传统虚拟化环境由于虚拟机不可避免地共享同一物理平台,此类问题难以得到很好的解决。在云计算这一定位于商用的服务模式中,通过这一方式尝试窃取其他用户信息的情况大多存在于利益相关或有利益冲突的用户间。
技术实现思路
本专利技术针对目前技术发展的需求和不足之处,提供一种基于云资源控制的安全隔离方法。本专利技术所述一种基于云资源控制的安全隔离方法,解决上述技术问题采用的技术方案如下:所述一种基于云资源控制的安全隔离方法,利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离,来阻断信息流进而克服隐通道问题。优选的,在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上。优选的,在虚拟机创建或迁移时,根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机。优选的,该安全隔离方法的具体工作流程包括:1)虚拟机创建请求;2)分配虚拟机基本信息;3)根据资源要求对计算节点进行筛选,得到满足用户资源要求的计算节点列表;4)从安全管理模块中获取虚拟机的安全标签、冲突集信息;5)根据安全规划对计算节点筛选,挑选出符合安全规则的计算节点列表返回;6)从符合安全规则的计算节点列表中选出一个计算节点建立虚拟机;7)安全管理模块记录虚拟机标签信息及建立该虚拟机的计算节点信息;9)下发虚拟机创建命令,并发送数据到建立虚拟机的计算节点,完成虚拟机的创建。优选的,步骤5)根据云平台各计算节点虚拟机运行状态表,对要求建立的虚拟机标签及安全策略进行比对,挑选出符合安全规则的计算节点列表返回。本专利技术所述一种基于云资源控制的安全隔离方法与现有技术相比具有的有益效果是:本专利技术安全隔离方法通过对云计算节点进行资源控制,根据用户提供的可安全要求,将利益相关用户的虚拟机运行在不同计算节点上进行隔离,可以在很大程度上避免恶意用户对同一物理平台上其他利益相关用户的信息进行窃取,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动,提高了云计算平台下用户数据信息的安全性。说明书附图附图1为所述安全隔离方法的工作流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白,以下结合具体实施例,对本专利技术所述一种基于云资源控制的安全隔离方法进一步详细说明。为了避免云计算环境中客户共享带来的潜在风险(内部敏感数据遭到泄漏),保证云服务商自身内部的安全管理,专利技术提出一种基于云资源控制的安全隔离方法,根据云计算环境的要求,设计基于云计算资源控制的隔离机制,来保护客户虚拟机的安全。该安全隔离方法采用对云计算资源进行控制的方式来实现虚拟机的隔离,实现了多策略安全模型,工作在云控制节点上,通过控制虚拟机启动过程的基础设施资源( 即计算节点)分配来隔离虚拟机, 并非对虚拟机进行直接保护,而是在虚拟机创建时通过介入虚拟机的创建和迁移过程,将利益相关用户的虚拟机建立在不同的计算节点上进行隔离,来杜绝隐通道带来的非法信息流动。实施例:本实施例所述一种基于云资源控制的安全隔离方法,利用云计算的多计算节点架构,设置一基于云资源控制的隔离机制,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离,来阻断信息流进而克服隐通道问题,杜绝隐通道带来的非法信息流动。本实施例所述安全隔离方法,在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上,从而避免信息泄露。在虚拟机创建或迁移时,隔离机制会根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机,使得新虚拟机不会被创建在这些计算节点上,从而避免非法的信息流动。本实施例所述安全隔离方法中,从虚拟机创建流程开始,云计算的安全隔离方法提供启动前的预保护来解决隐通道问题,会对整个虚拟机的生命周期进行保护;同时,云计算通过访问控制机制对客户虚拟机资源提供运行时的保护。云计算的安全管理模块提供管理、策略部署和数据维护等功能;并由云计算的安全管理模块进行安全数据维护、安全策略配置等管理及辅助工作,使得访问控制机制和安全隔离方法有效协同运行在云计算环境中,对客户虚拟机进行保护。附图1为所述安全隔离方法的工作流程图,如附图1所示,其具体工作流程主要包括如下步骤:1)虚拟机创建请求:通过API调用发来启动虚拟机命令及部分虚拟机基本要求,如资源要求等;2)分配虚拟机基本信息:云控制节点收到这些数据后执行启动初始化工作,分配其他基本信息如虚拟机UUID等;3)根据资源要求等对计算节点进行筛选:云控制节点将根据用户对资源如内存的要求开始对计算节点筛选,得到满足用户资源要求的计算节点列表;4)通过隔离机制提供的接口将虚拟机信息及3)中计算节点列表传递到给控制流程中;5)从安全管理模块中获取虚拟机的安全标签、冲突集信息等;6)根据安全规划对计算节点筛选:根据平台各个计算节点虚拟机运行状态表,对要求建立的虚拟机标签及安全策略进行比对,挑选出符合安全规则的计算节点列表返回;7)从符合安全规则的计算节点列表中选出一个计算节点建立虚拟机;8)安全管理模块记录虚拟机标签信息及建立该虚拟机的计算节点信息,以备后续虚拟机创建流程使用;9)下发虚拟机创建命令及数据到建立虚拟机的计算节点,完成虚拟机的创建。上述具体实施方式仅是本专利技术的具体个案,本专利技术的专利保护范围包括但不限于上述具体实施方式,任何符合本专利技术的权利要求书的且任何所属
的普通技术人员对其所做的适当变化或替换,皆应落入本专利技术的专利保护范围。本文档来自技高网...
【技术保护点】
一种基于云资源控制的安全隔离方法,其特征在于, 利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离。
【技术特征摘要】
1.一种基于云资源控制的安全隔离方法,其特征在于, 利用云计算的多计算节点架构,通过云控制节点,介入虚拟机的创建和迁移过程,控制计算节点与虚拟机之间的关系,将利益相关用户的虚拟机建立在不同的计算节点上进行虚拟机隔离。2.根据权利要求1所述一种基于云资源控制的安全隔离方法,其特征在于, 在虚拟机创建或迁移时,控制计算节点与虚拟机之间的关系,根据用户提供的与自己存在利益关系的其他用户信息,将特定的计算节点分配给虚拟机,使得虚拟机运行在没有其他利益相关用户虚拟机的计算节点上。3.根据权利要求2所述一种基于云资源控制的安全隔离方法,其特征在于, 在虚拟机创建或迁移时,根据虚拟机标签、冲突集信息以及云平台虚拟机运行状态,判断哪些计算节点正在运行与其有安全利益冲突的虚拟机。4.根据权利要求3所述一种基于云资源...
【专利技术属性】
技术研发人员:曹玲玲,
申请(专利权)人:浪潮电子信息产业股份有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。