一种基于云计算安全防护方法,包括管理系统、网关、用户权限库、及行为特征库;包括以下步骤:S1、用户数据传输通道安全检测:通过网关识别接入的设备是否为安全网络;如是,则判定为安全,进行下一步;若否,限定其只能进行SSL访问;S2、管理系统对用户权限识别:给予对应用户已预设的权限;S3、接入设备与服务器间通过RAP协议进行交互;S4、用户行为识别与执行:采用基于行为监控的侧通道攻击识别方法和基于VMM的共享物理资源隔离算法,监控用户行为,用户行为请求先由虚拟系统运行,比对行为特征库,鉴别行为安全性,若安全,予以执行;若不安全,阻断操作。
A security protection method based on Cloud Computing
【技术实现步骤摘要】
一种基于云计算安全防护方法
本专利技术涉及云计算安全领域,具体涉及一种基于云计算安全防护方法。
技术介绍
云计算数据的处理和存储都在云平台上进行,计算资源的拥有者与使用者相分离已成为云计算模式的固有特点,由此而产生的用户对自己数据的安全存储和隐私性的担忧是不可避免的。具体来说,用户数据甚至包括涉及隐私的内容在远程计算、存储、通信过程中都有被故意或非故意泄露的可能,亦存在由断电或宕机等故障引发的数据丢失问题,甚至对于不可靠的云基础设施和服务提供商,还可能通过对用户行为的分析推测,获知用户的隐私信息。这些问题将直接引发用户与云提供者间的矛盾和摩擦,降低用户对云计算环境的信任度。信息安全的主要目标之一是保护用户数据和信息安全。当向云计算过渡时,传统的数据安全方法将遭到云模式架构的挑战。弹性、多租户、新的物理和逻辑架构,以及抽象的控制需要新的数据安全策略。
技术实现思路
本专利技术所公开的一个方面,通过采用基于角色的访问控制技术,对角色的访问所进行的控制,使权限与角色相关联,并通过传输安全、虚拟化安全进行综合控制,能够极大地提高数据传输的安全性。为达到上述目的,本专利技术提供如下的技术方案:一种基于云计算安全防护方法,包括管理系统、网关、用户权限库、及行为特征库;包括以下步骤:S1、用户数据传输通道安全检测:通过网关识别接入的设备是否为安全网络;如是,则判定为安全,进行下一步;若否,限定其只能进行SSL访问;S2、管理系统对用户权限识别:给予对应用户已预设的权限;S3、接入设备与服务器间通过RAP协议进行交互;S4、用户行为识别与执行:采用基于行为监控的侧通道攻击识别方法和基于VMM的共享物理资源隔离算法,监控用户行为,用户行为请求先由虚拟系统运行,比对行为特征库,鉴别行为安全性,若安全,予以执行;若不安全,阻断操作。进一步地,所述步骤S4的识别动作包括以下步骤:S4.1、通过虚拟机管理器采集VM行为信息,并将得到的行为信息传递给管理系统;同时采集物理资源使用信息传递给管理系统;S4.2、管理系统将行为监控和资源监控获取的信息进行分析,将得到的攻击的行为特征;S4.3、基于管理系统已有的特征库,对攻击行为特征进行识别策略;S4.4、识别出测通道攻击,进而阻断测通道攻击。进一步地,所述行为特征库每天自动联网更新。本专利技术所公开的一个方面,通过采用基于角色的访问控制技术,对角色的访问所进行的控制,使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限,且减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性;并通过传输安全、虚拟化安全进行综合控制,能够极大地提高数据传输的安全性。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本公开基于云计算安全防护方法实施例提供的流程框图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例和附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。需要说明的是,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。下面结合附图说明本专利技术的具体实施方式。实施例如图1所示,一种基于云计算安全防护方法,包括管理系统、网关、用户权限库、及行为特征库;包括以下步骤:S1、用户数据传输通道安全检测:通过网关识别接入的设备是否为安全网络;如是,则判定为安全,进行下一步;若否,限定其只能进行SSL访问;S2、管理系统对用户权限识别:给予对应用户已预设的权限;S3、接入设备与服务器间通过RAP协议进行交互;S4、用户行为识别与执行:采用基于行为监控的侧通道攻击识别方法和基于VMM的共享物理资源隔离算法,监控用户行为,用户行为请求先由虚拟系统运行,比对行为特征库,鉴别行为安全性,若安全,予以执行;若不安全,阻断操作。针对通过非安全网络接入的情况,提供基于软硬件的SSL加密访问。(1)平台通过通用接入网关(SSLVPN)隔离内外网,外部终端通过SSL加密通道访问桌面设备。(2)终端连接桌面的请求,以及桌面连接后终端与桌面之间的数据流,均通过SSLVPN加密通道加密。从而提供了统一的安全性。(3)用户管理员访问管理系统,采用HTTPS方式,通过SSL加密传输通道传送。HTTPS可进行加密传输、身份认证、安全性高。HTTPS的安全基础是SSL,SSL协议提供的服务主要有:;认证服务器和用户,确保数据发送到正确的服务器和终端;加密数据以防止数据中途窃取直接解读;维护数据的完整性,确保数据在传输过程中不被篡改。在用户与服务器端之间之间通过RAP协议进行交互。支持传输加密,使第三方无法理解该协议的通讯内容,从而达到协议安全。第三方通过截获数据包等方式均无法还原原始数据,从而确保信息安全。步骤S4的具体识别动作包括以下步骤:S4.1、通过虚拟机管理器采集VM行为信息,并将得到的行为信息传递给管理系统;同时采集物理资源使用信息传递给管理系统;S4.2、管理系统将行为监控和资源监控获取的信息进行分析,将得到的攻击的行为特征;S4.3、基于管理系统已有的特征库,对攻击行为特征进行识别策略;S4.4、识别出测通道攻击,进而阻断测通道攻击。为保证安全防护效果,行为特征库每天自动联网更新。本专利技术所公开的一个方面,通过采用基于角色的访问控制技术,对角色的访问所进行的控制,使权限与角色相关联,用户通过成为适当角色的成员而得到其角色的权限,且减小了授权管理的复杂性,降低管理开销,提高企业安全策略的灵活性;并通过传输安全、虚拟化安全进行综合控制,能够极大地提高数据传输的安全性。以上所述实施例仅表达了本专利技术的一种实施方式,其描述较为具体和详细,但并不能因此而理解为对本专利技术专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本专利技术构思的前提下,还可以做出若干变形和改进,这些都属于本专利技术的保护范围。因此,本专利技术专利的保护范围应以所附权利要求为准。本文档来自技高网...
【技术保护点】
1.一种基于云计算安全防护方法,包括管理系统、网关、用户权限库、及行为特征库;/n其特征在于,包括以下步骤:/nS1、用户数据传输通道安全检测:通过网关识别接入的设备是否为安全网络;如是,则判定为安全,进行下一步;若否,限定其只能进行SSL访问;/nS2、管理系统对用户权限识别:给予对应用户已预设的权限;/nS3、接入设备与服务器间通过RAP协议进行交互;/nS4、用户行为识别与执行:采用基于行为监控的侧通道攻击识别方法和基于VMM的共享物理资源隔离算法,监控用户行为,用户行为请求先由虚拟系统运行,比对行为特征库,鉴别行为安全性,若安全,予以执行;若不安全,阻断操作。/n
【技术特征摘要】
1.一种基于云计算安全防护方法,包括管理系统、网关、用户权限库、及行为特征库;
其特征在于,包括以下步骤:
S1、用户数据传输通道安全检测:通过网关识别接入的设备是否为安全网络;如是,则判定为安全,进行下一步;若否,限定其只能进行SSL访问;
S2、管理系统对用户权限识别:给予对应用户已预设的权限;
S3、接入设备与服务器间通过RAP协议进行交互;
S4、用户行为识别与执行:采用基于行为监控的侧通道攻击识别方法和基于VMM的共享物理资源隔离算法,监控用户行为,用户行为请求先由虚拟系统运行,比对行为特征库,鉴别行为安全性,若安全,予以执行;若不安全,阻断操作。...
【专利技术属性】
技术研发人员:封文祥,
申请(专利权)人:广州才捷信息科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。