The invention discloses an access control system and its control method includes a virtual machine based on cloud computing environment: to determine whether the virtual machine mount agreement physical resource server mount protocol; judge issued external virtual machine commands the desired resource pool exists in the storage pool; there, open and decrypt the storage the pool of resources within the pool; do not exist, create and encrypt the required resource pool; create a required resource pool and the corresponding security identification, determine security identification resource pool is in accordance with the matching principle, security identification of resource pool matching, property safety identification to determine whether to change the resource pool; open and decrypt the existing resource pool; decryption success, external virtual machine access security identity judgment process, and whether the decrypted and security identification. Call output module. The separation of the host and the virtual machine can be achieved according to the matching degree of the identification, the resource pool encryption method and the storage server mount protocol.
【技术实现步骤摘要】
一种基于云计算环境的虚拟机访问控制系统及其控制方法
本专利技术涉及计算机领域中的虚拟机访问控制领域,具体涉及一种基于云计算环境的虚拟机访问控制系统及其控制方法。
技术介绍
云计算是分布式计算、并行计算、效用计算、网络存储、虚拟化、负载均衡等传统计算机和网络技术发展融合的产物。在基于云计算虚拟环境中运行的计算机进程,是与在同一个物理硬件上运行的其它虚拟机隔离的。每一个虚拟机实际都能够存储在一个物理硬盘上,关机和携带离开以便继续隔离和保证安全。然而,在实践中上述安全措施仍旧不能避免一些安全隐患的存在。一般,虚拟机会共享机器上的硬件,比如CPU、内存、磁盘和网络设备;一旦某个虚拟机感染共享的数据,则其他共享同样资源的虚拟机就会受到影响。另外,如果攻击者攻破虚拟机,拿到了虚拟机的所有控制权,或是系统管理程序(Hypervisor)存在漏洞等情况出现,均会存在不少安全问题。
技术实现思路
本专利技术的目的在于提供一种基于云计算环境的虚拟机访问控制系统及其控制方法,在虚拟环境下,虚拟机被认为是运行在宿主机上的单个进程,通过对进程及进程访问资源的控制,实现虚拟机的安全隔离。当某一台虚拟机的攻破,不会影响其他的虚拟机,避免导致其他虚拟机被拒绝服务。为了达到上述目的,本专利技术通过以下技术方案实现:一种基于云计算环境的虚拟机访问控制系统,其特点是,该控制系统包含:标识符识别匹配模块,及与其连接的存储池识别模块、创建/打开资源池模块、分配/更新标识模块、标识符互转换模块及结果输出模块。存储池识别模块、创建/打开资源池模块、分配/更新标识模块、标识符互转换模块依次连接;该标创建/打 ...
【技术保护点】
一种基于云计算环境的虚拟机访问控制系统的控制方法,其特征在于,该控制系统包含:标识符识别匹配模块(50),及与其连接的存储池识别模块(10)、创建/打开资源池模块(20)、分配/更新标识模块(30)、标识符互转换模块(40)及结果输出模块(60);所述的存储池识别模块(10)、创建/打开资源池模块(20)、分配/更新标识模块(30)、标识符互转换模块(40)依次连接;该创建/打开资源池模块(20)与所述的结果输出模块(60)连接;该控制方法包含:步骤1,所述的存储池识别模块(10)判断外部虚拟机的挂载协议是否符合外部物理资源服务器(200)的预定义挂载协议,并将所述的判断结果存入标识符识别匹配模块(50);步骤2,所述的创建/打开资源池模块(20)判断该外部虚拟机发出的命令所需的资源池是否存在于存储池内;存在时,所述的创建/打开资源池模块(20)打开并解密该存储池内的资源池;不存在时,该创建/打开资源池模块(20)创建并加密该所需的资源池;步骤3,所述的创建/打开资源池模块(20)创建所需的资源池,所述的分配/更新标识模块(30)为该新创建的资源池创建相应的安全标识,所述的标识符识别匹 ...
【技术特征摘要】
1.一种基于云计算环境的虚拟机访问控制系统的控制方法,其特征在于,该控制系统包含:标识符识别匹配模块(50),及与其连接的存储池识别模块(10)、创建/打开资源池模块(20)、分配/更新标识模块(30)、标识符互转换模块(40)及结果输出模块(60);所述的存储池识别模块(10)、创建/打开资源池模块(20)、分配/更新标识模块(30)、标识符互转换模块(40)依次连接;该创建/打开资源池模块(20)与所述的结果输出模块(60)连接;该控制方法包含:步骤1,所述的存储池识别模块(10)判断外部虚拟机的挂载协议是否符合外部物理资源服务器(200)的预定义挂载协议,并将所述的判断结果存入标识符识别匹配模块(50);步骤2,所述的创建/打开资源池模块(20)判断该外部虚拟机发出的命令所需的资源池是否存在于存储池内;存在时,所述的创建/打开资源池模块(20)打开并解密该存储池内的资源池;不存在时,该创建/打开资源池模块(20)创建并加密该所需的资源池;步骤3,所述的创建/打开资源池模块(20)创建所需的资源池,所述的分配/更新标识模块(30)为该新创建的资源池创建相应的安全标识,所述的标识符识别匹配模块(50)判断该资源池的安全标识是否符合匹配原则,当该资源池的安全标识符合匹配原则时,判断是否需要通过所述的标识符互转换模块(40)更改该资源池的安全标识的属性;步骤4,所述的创建/打开资源池模块(20)打开并解密已存在的资源池;当解密成功时,所述的标识符识别匹配模块(50)判断外部虚拟机访问进程的安全标识是否与已解密的安全标识匹配,并调用所述的结果输出模块(60)。2.如权利要求1所述的基于云计算环境的虚拟机访问控制系统的控制方法,其特征在于,所述的步骤1包含如下步骤:步骤1.1,不符合时,所述的标识符识别匹配模块(50)触发所述的结果输出模块(60),该结果输出模块(60)调用终端计算机(100)显示访问失败,虚拟机访问结束;步骤1.2,符合时,将该存储池识别模块(10)触发所述的创建/打开资源池模块(20),继续执行步骤2。3.如权利要求2所述的基于云计算环境的虚拟机访问控制系统的控制方法,其特征在于,所述的步骤3包含如下步骤:步骤3.1,所述的创建/打开资源池模块(20)创建并加密所需的资源池,并将资源存储命令传入物理资源服务器(200)的操作系统;步骤3.2,所述的物理资源服务器(200)的操作系统将该...
【专利技术属性】
技术研发人员:邹丹丹,
申请(专利权)人:华存数据信息技术有限公司,
类型:发明
国别省市:上海,31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。