一种云和虚拟环境下的安全控制方法技术

本发明专利技术公开了一种云和虚拟环境下的安全控制方法，包括：研究基于一次性密码协议的安全认证技术；研究虚拟机安全防护技术、虚拟网络隔离技术、虚拟环境下数据隔离与访问控制技术；研究虚拟环境安全应用审计技术；研究虚拟环境访问控制技术和安全设备虚拟化研发。本发明专利技术针对云和虚拟环境下的认证安全无法保证、虚拟安全域未有效隔离、虚拟网络无法有效监控和访问控制、数据共享存储资源被越权访问的安全问题，开展云和虚拟环境安全防护技术研究，提供了一种安全高效的云和虚拟环境下的安全控制方法。

A Security Control Method in Cloud and Virtual Environment

The invention discloses a security control method in cloud and virtual environment, including: research on security authentication technology based on one-off cryptographic protocol; research on security protection technology of virtual machine, virtual network isolation technology, data isolation and access control technology in virtual environment; research on Security Application Audit Technology in virtual environment; research on virtual environment access control technology and virtual security equipment. Develop and imitate. The invention aims at the security problems of authentication security can not be guaranteed in cloud and virtual environment, the virtual security domain is not effectively isolated, the virtual network can not effectively monitor and access control, and the data sharing storage resources are accessed beyond their authority. The research on security protection technology of cloud and virtual environment is carried out, and a safe and efficient security control method in cloud and virtual environment is provided.

【技术实现步骤摘要】
一种云和虚拟环境下的安全控制方法
本专利技术涉及互联网
，特别是指一种云和虚拟环境下的安全控制方法。
技术介绍
云和虚拟环境对网络安全提出三点需求：1)在保证不同用户或不同业务之间流量访问控制；2)网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移；3)网络安全策略可跟随虚拟机自动迁移。在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。
技术实现思路
有鉴于此，本专利技术的目的在于提出一种安全高效的云和虚拟环境下的安全控制方法。基于上述目的本专利技术提供的一种云和虚拟环境下的安全控制方法，包括：研究基于一次性密码协议的安全认证技术；研究虚拟机安全防护技术、虚拟网络隔离技术和虚拟环境下数据隔离与访问控制技术；研究虚拟环境安全应用审计技术；研究虚拟环境访问控制技术和安全设备虚拟化研发。在一些实施方式中，所述研究基于一次性密码协议的安全认证技术，包括：研究适用于主流手机平台的动态口令令牌套件，由手机令牌APP及服务端应用程序组成，有效提高云和虚拟系统身份认证的安全性，保护账号安全。在一些实施方式中，所述研究虚拟机安全防护技术、虚拟网络隔离技术、虚拟环境下数据隔离与访问控制技术，包括：研究虚拟机的安全隔离及访问控制、虚拟交换机、虚拟防火墙、虚拟镜像文件的加密存储、存储空间的负载均衡、冗余保护和虚拟机的备份恢复；研究虚拟网络安全技术，包括安全域划分、安全边界防护；研究数据安全技术，实现对重要的数据信息在上传、存储前进行加密处理来保障数据存储的安全。在一些实施方式中，所述研究虚拟环境安全应用审计技术，包括：研究虚拟环境下的用户访问全面审计技术，基于无代理技术对用户从登录、使用直至登出的全过程进行全面审计，确保用户访问行为的合规性。在一些实施方式中，所述研究虚拟环境访问控制技术和安全设备虚拟化研发，包括：研究虚拟环境系基于用户角色对虚拟环境的角色访问控制技术和安全设备虚拟化研发。从上面所述可以看出，本专利技术提供的云和虚拟环境下的安全控制方法，针对云和虚拟环境下的认证安全无法保证、虚拟安全域未有效隔离、虚拟网络无法有效监控和访问控制、数据共享存储资源被越权访问的安全问题，开展云和虚拟环境安全防护技术研究，提供了一种安全高效的云和虚拟环境下的安全控制方法。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例的云和虚拟环境下的安全控制方法流程图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本专利技术进一步详细说明。本专利技术提供了一种云和虚拟环境下的安全控制方法。参考图1，所述云和虚拟环境下的安全控制方法，包括以下步骤：步骤101、研究基于一次性密码协议的安全认证技术；步骤102、研究虚拟机安全防护技术、虚拟网络隔离技术和虚拟环境下数据隔离与访问控制技术；步骤103、研究虚拟环境安全应用审计技术；步骤104、研究虚拟环境访问控制技术和安全设备虚拟化研发。本专利技术针对云和虚拟环境下的认证安全无法保证、虚拟安全域未有效隔离、虚拟网络无法有效监控和访问控制、数据共享存储资源被越权访问的安全问题，开展云和虚拟环境安全防护技术研究，其研究的理论和实践依据重点如下所述：云和虚拟环境对网络安全提出三点需求：1)在保证不同用户或不同业务之间流量访问控制；2)网络安全策略可支撑计算集群中成员灵活的加入、离开或者迁移；3)网络安全策略可跟随虚拟机自动迁移。在上述三个需求中，第一个需求是对现有网络安全策略的增强。后两个需求则需要一些新的规划准则或技术来实现，这给当前网络安全策略带来了挑战。资源池动态分配物理资源的功能特性需要网络提供一个开放的方便交换的环境，传统网络中的VLAN划分方式会影响资源动态调度，以虚拟区域隔离的方式取代物理VLAN划分是一个可行的解决办法。以应用分组为逻辑边界划分隔离区域，降低虚拟机区域间传输数据包，在网络通讯层形成以面向应用的基础访问控制，防止跨应用组的嗅探攻击。即使一个虚拟机区域中出现安全故障，也可以通过逻辑边界控制安全故障不通过网络通讯的方式向其他虚拟机区域扩散。在不同的网段上的主机保持不同的虚拟机区域。如果每个虚拟机区域隔离在自己的网络段，可以大大降低跨虚拟机区域的数据泄露风险。这类区域隔离的安全能力依赖云和虚拟化平台产品的自身功能，有些平台时可以防止多种威胁的，其中包括地址解析协议(ARP)欺骗，攻击者操作ARP表以重新映射MAC和IP地址，从而获得从一台主机的网络流量和。攻击者使用ARP欺骗生成人在中间攻击(MITM)，进行拒绝服务(DoS)攻击，劫持目标系统，并以其他方式破坏虚拟网络。部署与配置中需要注意问题：·虚拟机逻辑边界控制需要根据具体应用组成与特点，合理规划多种网络技术与安全技术的协调，包括：有状态防火墙(Firewall)、网络地址转换(NAT)、动态地址分配(DHCP)、点到点VPN(IPsec)、远程接入VPN(SSL)、TCP负载平衡等。·在不影响应用可用性和效率的基础上，尽可能提供细粒度的虚拟防火墙规则配置，重点应用需要应用层检测规则保护，而虚拟防火墙无法提供时，可以尝试通过流量重定向利用物理防火墙实现。·重点区域应将流量镜像到IDS探测器端口，进行网络行为审计保护。一般情况下至少有三区域是一定要严格分开管理的，虚拟机应用区域、存储区域和系统管理区域。其中管理区域的安全规划尤为重要。以VMware平台为例，需要注意以下问题：·虚拟机直接访问(vmkernel虚拟网卡发出的访问请求)或者间接访问(管理设备与应用)通过网络连接对Hypervisor的任何访问都必须受到严格的控制。因为取得对Hypervisor的访问控制权限就会带来对VMwareESX主机或VMwareESXi主机内任何信息取得访问控制权限的风险。·对VMotion网络的任何访问也会带来风险：由于正在使用的内存信息以明文方式在线路上传输，虚拟机内的证书和身份数据很容易暴露。·通过一台虚拟机、备份服务器，或者是间接地通过Hypervisor和管理工具对存储网络的访问控制必须受到严格的控制。由于可以对存储网络信息以明文的方式访问，对虚拟存储网络的访问可能会带来暴露虚拟机内虚拟硬盘上内容的风险。·交换结构中的薄弱环节实际上可能是物理网络，因为虚拟网关可以防止当前来自VLAN第二层攻击，尽管攻击不是来自第三层。不过也不是所有的物理网关都可以阻止来自第二层VLAN的攻击。同样以VMware平台为例，管理区域内部也有安全策略层面的区分，通常VMwareESXi主机管理设备的数据和VMotion的数据混合来自同一条线路上，因为他们认为这两者应该是和其它任何网络一样具有同样的风险程度。VMotion是具有最高风险的网络，然而如果有恶意用户可以攻破VMwareESXi主机管理设备的话，就可以获得对所有磁盘数据的访问控制权限，但未必是VMotion数据。如果这两者在通一条线路上传输的话，风险本文档来自技高网...

【技术保护点】
1.一种云和虚拟环境下的安全控制方法，其特征在于，包括：研究基于一次性密码协议的安全认证技术；研究虚拟机安全防护技术、虚拟网络隔离技术和虚拟环境下数据隔离与访问控制技术；研究虚拟环境安全应用审计技术；研究虚拟环境访问控制技术和安全设备虚拟化研发。

【技术特征摘要】
1.一种云和虚拟环境下的安全控制方法，其特征在于，包括：研究基于一次性密码协议的安全认证技术；研究虚拟机安全防护技术、虚拟网络隔离技术和虚拟环境下数据隔离与访问控制技术；研究虚拟环境安全应用审计技术；研究虚拟环境访问控制技术和安全设备虚拟化研发。2.根据权利要求1所述的云和虚拟环境下的安全控制方法，其特征在于，所述研究基于一次性密码协议的安全认证技术，包括：研究适用于主流手机平台的动态口令令牌套件，由手机令牌APP及服务端应用程序组成，有效提高云和虚拟系统身份认证的安全性，保护账号安全。3.根据权利要求1所述的云和虚拟环境下的安全控制方法，其特征在于，所述研究虚拟机安全防护技术、虚拟网络隔离技术、虚拟环境下数据隔离与访问控制技术，包括：研究虚拟机的安全隔离及访问...

【专利技术属性】
技术研发人员：李敏，王国欢，于仕，
申请(专利权)人：国网江西省电力有限公司信息通信分公司，国家电网公司，
类型：发明
国别省市：江西,36