本发明专利技术提供了一种基于私有云的数据处理方法,该方法包括:利用沙箱模型维护平台内部的多个应用,对应用访问行为进行监控和限制;将SaaS平台信息进行隐藏,过滤访问者的异常信息并进行决策,然后将结果返回给用户;监听网络数据包,防止对所述SaaS平台的网络层攻击。本发明专利技术在私有SaaS云平台中进行安全数据处理,通过多层安全设置增强了平台应用、平台本身和平台外部的安全性。
【技术实现步骤摘要】
一种基于私有云的数据处理方法
本专利技术涉及安全云存储,特别涉及一种基于私有云的数据处理方法。
技术介绍
云计算将巨大的系统池连接在一起以提供各种IT服务,使得超级计算能力通过互联网自由流通成为了可能,企业与个人用户无需再投入昂贵的硬件购置成本,只需要通过互联网来购买租赁计算力,通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SAAS、PAAS、IAAS、等先进的商业模式把这强大的计算能力分布到终端用户手中。在云平台中,私有云是为局域客户或者企业单独使用而构建的,因而提供对数据、安全性和服务质量有更高的要求。对于私有云,现有的保护租户数据安全的方式主要有,加密协议方法,这种方法使用静态表来避免IP误导;资源隔离的方法,通过在处理过程中隔离虚拟机中处理器的高速缓存并隔离这些虚拟高速缓存的虚拟机管理程序缓存,确保数据的安全性。然而在在多租户的SaaS架构中,私有云平台主要面临三个方面的安全威胁:平台内部应用共享资源引起的安全问题、平台自身安全问题及平台在网络层的安全问题。特别是在私有中,恶意代码通过上述三种渠道对云平台同时进行攻击,将造成安全问题,而现有技术的方法尚不能同时应对。因此,针对相关技术中所存在的上述问题,目前尚未提出有效的解决方案。
技术实现思路
为解决上述现有技术所存在的问题,本专利技术提出了一种基于私有云的数据处理方法,用于在SaaS云计算平台中实现数据安全,包括:步骤一,利用沙箱模型维护平台内部的多个应用,对应用访问行为进行监控和限制;步骤二,将SaaS平台信息进行隐藏,过滤访问者的异常信息并进行决策,然后将结果返回给用户;步骤三,监听网络数据包,防止对所述SaaS平台的网络层攻击。优选地,所述沙箱模型实现多租户应用隔离;并利用一个Servlet承载SaaS平台内部的多个应用;所述沙箱模型从以下方面提供安全性支持,包括:Java语言安全性、虚拟机的委托类加载机制、安全管理器和JavaAPI;所述沙箱模型支持细粒度访问控制的安全策略,采用保护域安全模型,由安全策略来决定代码具有的访问许可,对被保护资源的访问激发安全检查,将授权的许可和其试图访问所需要的权限进行比较,所述激发安全检查的访问包括文件系统访问、JNI访问本地代码、创建Socket连接等;将同一JVM中运行的代码逻辑上分开,分别运行于不同的沙箱中。优选地,所述步骤一进一步包括:将不同的应用运行于不同的沙箱中,实现应用隔离,沙箱对应用运行时进行文件访问控制、网络访问控制、多线程控制、JNI访问控制;利用两个分离的逻辑沙箱模型,即系统沙箱和应用沙箱,分别提供系统代码和应用代码的运行环境,在逻辑上将系统代码和应用代码分开处理;所述SaaS平台通过保护域模块、类加载模块、安全策略模块和访问控制模块来实现应用安全管理,其中,保护域模块由系统保护域和应用保护域组成,系统保护域使用Java安全体系结构中默认域模型,即通过代码位置及签名指定保护域,应用保护域由每个应用的应用上下文来指定,逻辑上与一个Web应用相对应;在类加载模块中,实现Jetty代码和服务端代码以及应用类两套类加载策略,分别由系统类加载器和WebApp类加载器加载;在安全策略模块中,系统沙箱采用Java安全体系结构的安全策略文件来实现安全策略,其中指定了SaaS平台中应用的默认权限,由WebApp类加载器加载应用类型时,创建相应App实例,同时初始化该App的权限集合,访问控制模块按照两套逻辑分别进行权限检查,利用WebApp安全管理器,当代码请求访问被保护资源时,判断当前请求是否来自应用,继而触发相应的访问控制逻辑,或将请求委托给父类安全管理器。优选地,所述平台信息包括平台类型、版本信息,并且所述步骤二将平台信息进行隐藏进一步包括:由安全平台来集中管理应用运行依赖的jar包、平台本身的静态信息和动态信息;安全平台的Connector模块处理用户请求,并返回应用运行结果,在所有运行结果返回给用户之前进行检测,所有可能暴露平台特征信息的异常信息通过包装之后由安全平台的过滤模块进行决策再将相应结果返回给用户;平台过滤模块中包括拦截模块和误导模块,其中:拦截模块依据策略拦截入侵者的请求;决策模块依托策略服务器作为其策略库给出处理方式,为决策方法提供公共的可用接口,以插件的形式应用到该决策模块中,误导模块对入侵者发送假消息来误导入侵者,保护平台自身的信息不泄露;当平台过滤模块收到用户请求时,由决策模块调用策略服务器来决定处理方式,调用误导模块对入侵者发送假消息,最后由行为模块来执行拦截动作。优选地,所述攻击包括分布式DoS攻击,并且所述步骤三进一步包括以下步骤:由负载监控模块、负载调整模块和负载策略控制器模块共同协作实现负载均衡,其中负载监控模块监控当前服务器客户端的负载,然后负载调整模块根据所定义的负载策略,对该平台所连接的客户端的负载进行均衡调整,负载策略控制器模块可以根据用户的需求进行策略定义和调整;采用入口报文过滤,在路由器的入口对匿名攻击方过滤掉伪造源IP地址的数据包,通过网络提供者利用路由器将来源地址不属于客户区域的数据包过滤;在SaaS云平台中安装防火墙,输入和输出防火墙的数据包利用过滤防火墙,利用该防火墙关闭未使用的端口号。优选地,所述攻击包括网络监听和端口扫描,并且所述步骤三进一步包括以下步骤:利用SATAN工具分析网络,识别安全问题;在SaaS平台上通过防火墙监听、限制以及更改跨越防火墙的数据流,尝试对外部网络屏蔽有关被保护网络的信息和结构;在SaaS平台中对传输的信息进行加密,从而使监听者不能有效地获得要监听的信息。本专利技术相比现有技术,具有以下优点:本专利技术提出了一种在私有SaaS云平台中的数据处理方法,通过多层安全设置同时增强了平台应用、平台本身和平台外部的安全性。附图说明图1是根据本专利技术实施例的基于私有云的数据处理方法的流程图。具体实施方式下文与图示本专利技术原理的附图一起提供对本专利技术一个或者多个实施例的详细描述。结合这样的实施例描述本专利技术,但是本专利技术不限于任何实施例。本专利技术的范围仅由权利要求书限定,并且本专利技术涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本专利技术的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本专利技术。本专利技术的一方面提供了一种基于私有云的数据处理方法。图1是根据本专利技术实施例的基于私有云的数据处理方法流程图。如图1所示,实施本专利技术的具体步骤如下:为解决私有云SaaS云平台面临的安全问题,本专利技术将SaaS平台进行分层来提供安全,三个层次分别为平台内部应用安全、平台自身安全及平台外部入侵防御安全。1.平台内部的应用安全在多租户SaaS模式中,最核心的安全原则就是多租户应用隔离。为了实现多租户应用隔离,云提供商必须提供沙箱架构,通过平台的沙箱性实现集中维护客户部署在SaaS平台上应用的保密性和完整性。为此,云提供商一般通过为每一个用户应用提供一个Servlet的方法来实现逻辑上的隔离。由于多租户模式下运行多个Servlet的模式会带来较大的系统开销,本专利技术提出了一种由一个Servlet承载不同应用的解决方案,在实现多租户应用隔离的同时保证系统性能。本专利技术本文档来自技高网...
【技术保护点】
一种基于私有云的数据处理方法,用于在SaaS云计算平台中实现数据安全,其特征在于,包括:步骤一,利用沙箱模型维护平台内部的多个应用,对应用访问行为进行监控和限制;步骤二,将SaaS平台信息进行隐藏,过滤访问者的异常信息并进行决策,然后将结果返回给用户;步骤三,监听网络数据包,防止对所述SaaS平台的网络层攻击。
【技术特征摘要】
1.一种基于私有云的数据处理方法,用于在SaaS云计算平台中实现数据安全,其特征在于,包括:步骤一,利用沙箱模型维护平台内部的多个应用,对应用访问行为进行监控和限制;步骤二,将SaaS平台信息进行隐藏,过滤访问者的异常信息并进行决策,然后将结果返回给用户;步骤三,监听网络数据包,防止对所述SaaS平台的网络层攻击;所述攻击包括分布式DoS攻击,并且所述步骤三进一步包括以下步骤:由负载监控模块、负载调整模块和负载策略控制器模块共同协作实现负载均衡,其中负载监控模块监控当前服务器客户端的负载,然后负载调整模块根据所定义的负载策略,对该平台所连接的客户端的负载进行均衡调整,负载策略控制器模块可以根据用户的需求进行策略定义和调整;采用入口报文过滤,在路由器的入口对匿名攻击方过滤掉伪造源IP地址的数据包,通过网络提供者利用路由器将来源地址不属于客户区域的数据包过滤;在SaaS云平台中安装防火墙,输入和输出防火墙的数据包利用过滤防火墙,利用该防火墙关闭未使用的端口号;所述攻击还包括网络监听和端口扫描,并且所述步骤三进一步包括:利用SATAN工具分析网络,识别安全问题;在SaaS平台上通过防火墙监听、限制以及更改跨越防火墙的数据流,尝试对外部网络屏蔽有关被保护网络的信息和结构;在SaaS平台中对传输的信息进行加密,从而使监听者不能有效地获得要监听的信息。2.根据权利要求1所述的方法,其特征在于,所述沙箱模型实现多租户应用隔离;并利用一个Servlet承载SaaS平台内部的多个应用;所述沙箱模型从以下方面提供安全性支持,包括:Java语言安全性、虚拟机的委托类加载机制、安全管理器和JavaAPI;所述沙箱模型支持细粒度访问控制的安全策略,采用保护域安全模型,由安全策略来决定代码具有的访问许可,对被保护资源的访问激发安全检查,将授权的许可和其试图访问所需要的权限进行比较,所述激发安全检查的访问包括文件系统访问、JNI访问本地代码、创建Socket连接;将同一JVM中运行的代码逻辑上分开,分别运行于不同的沙箱中。3.根据权利要求2所述的方法,其特征在于,所述步骤一进一步包括:将不同的应用运行于不...
【专利技术属性】
技术研发人员:蒲思羽,
申请(专利权)人:四川中亚联邦科技有限公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。