一种基于安全分级的云计算安全控制平台,包括云计算系统、包含在所述云计算系统中的至少一个域、包含在所述域中的至少一个虚拟平台。在所述的云计算系统中设置有至少一个云控制器,在所述的域中设置有至少一个域控制器,在所述的虚拟平台中设置有至少一个安全管理器;所述的云控制器监控整个云,控制其下所有的域;所述的域控制器接受来自所述的云控制器的指令,控制本域中所有的虚拟平台;虚拟平台中的所述的安全管理器接受所述的域控制器的指令,对相应安全等级的VM进行操作。本发明专利技术通过将云环境划分成不同的安全等级域,使云计算系统具备简单性、隔离性、灵活性、可扩展性的特点。
【技术实现步骤摘要】
一种基于安全分级的云计算安全控制平台
本专利技术涉及计算机及通讯
,特别是涉及一种基于安全分级的云计算安全控制平台。
技术介绍
随着云计算(cloudcomputing)的出现,计算机网络的应用出现很大变化。云计算将大规模可扩展的分布式计算资源,如CPU、存储和网络资源进行整合,通过互联网技术以按需使用的方式为用户提供计算和存储服务。VM主机(简称“VM”)是利用虚拟机(VirtualMachine)技术,将一台主机分割成多个虚拟机(VM主机)的服务。这些VM以最大化的效率共享硬件、软件许可证以及管理资源。在云计算环境中,虽然许多公司都对云计算架构提出了他们的安全解决方案,但在这些方案中普遍存在一个问题,就是将云平台中的资源进行统一的安全管理,而没有区分出用户对安全性需求的差异性以及当差异性存在时出现的安全问题。目前迫切需要一种新型云计算安全平台,将云中资源划分为不同的安全等级,这样客户就能依据自己对申请资源(包括计算能力和存储能力)的安全性需求,来获得可定制的云计算服务。
技术实现思路
为了解决传统云计算平台的安全性问题,提供一种基于安全分级的云计算安全控制平台,本专利技术的技术方案内容如下:一种基于安全分级的云计算安全控制平台,包括云计算系统、包含在所述云计算系统中的至少一个域、包含在所述域中的至少一个虚拟平台。在所述的云计算系统中设置有至少一个云控制器、在所述的域中设置有至少一个域控制器、在所述的虚拟平台中设置有至少一个安全管理器。所述的云控制器监控整个云,控制其下所有的域;所述的域控制器接受来自所述的云控制器的指令,控制本域中所有的虚拟平台;虚拟平台中的所述的安全管理器接受所述的域控制器的指令,对相应安全等级的VM进行操作,负责启动、检查、关闭和清除虚拟机实例等工作。所述的云控制器包含四个模块:云处理器、等级索引表、策略库(PolicyRepository)和策略分配器(PolicyDispatcher)。所述的云处理器为云控制器的核心,负责解析用户等级要求,同时与等级索引和策略库进行交互,向对应的域中传递指令。所述的等级索引表保存了所有等级域标识与相应安全策略的映射,并包含了每一等级中域的个数、每一等级中Zone的ID号、已用资源量和剩余资源量包含虚拟机内存、物理存储磁盘或网络带宽等资源。所述的策略库保存各个云服务商定义的安全等级划分的策略,每个等级对应不同的安全策略。所述的策略分配器负责将策略分配到相应等级区域中。所述的域控制器用于接受云控制器的指令,并解析指令,对其下所管理的虚拟平台进行置。所述的域控制器包括:域处理器、域索引、域策略库和域策略分配器。所述的域处理器接受云处理器发送的指令并执行,同时与等级索引和策略库进行交互,向对应的虚拟化平台传递指令。所述的域索引用于保存一个域索引表,包括虚拟平台标识以及空闲资源标识。所述的域策略库用于保存云控制器分发的某个等级的策略。当等级域中资源不足,新增加虚拟平台时,可以将该域策略库中的策略直接分配给新增虚拟平台,而无需再从云控制器中的策略库中所求,提高了平台配置的效率。所述的域策略分配器负责在云平台初始化时将对应安全等级策略分配到各个虚拟平台上,并在新增加虚拟平台时,再次进行分配。所述的安全管理器包括本地策略库和策略解析器。所述的本地策略库负责接收来自域策略分配器分发的安全等级策略并进行保存,便于该虚拟平台依据此策略进行资源配置。所述的策略解析器从本地策略库中提取策略,并对策略进行解析,然后依据策略对所需建立的虚拟机进行配置。本专利技术的一种基于安全分级的云计算安全控制平台还包括一个空闲资源池,用于将所述的云计算系统中各个区域内的资源按需分配,避免资源的浪费。本专利技术的一种基于安全分级的云计算安全控制平台的有益效果是:将云环境划分成不同的安全等级域,使云计算系统具备如下四个优势:简单性(Simplicity):本专利技术的一种基于安全分级的云计算安全控制平台易于部署安装并且配置简单,能够在不受其设计者操控的软硬件环境中进行部署和执行。隔离性(isolation):本专利技术的一种基于安全分级的云计算安全控制平台避免了传统云计算解决方案中将所有用户的资源进行统一安全管理存在的疏漏,保证具有不同安全需求的用户的VM不会共存于同一虚拟化平台上。此架构中所有安全等级所提供的安全服务呈包含关系,保证高安全等级域的安全保护能力随着安全保护等级的增高,逐渐增强。灵活性(Flexible):云提供商或云服务商可使用本专利技术的一种基于安全分级的云计算安全控制平台按照策略语言规范灵活添加和修改等级域划分方式,增加了其适用性。可扩展性:除已划分的等级区域外,此架构还提供一个空闲资源池,在这个区域内的资源,可根据需求进行安全配置,当某个区域需要进行扩展的时候,添加到相应区域中。附图说明图1是本专利技术的示意图具体实施方式下面结合附图,对本专利技术的一种基于安全分级的云计算安全控制平台进行详细说明:本专利技术的一种基于安全分级的云计算安全控制平台由三个部分组成:云、域和虚拟平台,这三个部分呈包含关系。即一个云包含若干域,一个域包含若干物理机(虚拟平台)。这三个部分分别有一个控制器,负责相应安全策略的配置和管理以及消息的传递。控制器从上而下分为三个层次,云控制器监控整个云,控制其下所有的域;域控制器接受来自云控制器的指令,控制本域中所有的物理机;虚拟平台中的安全管理器接受域控制器的指令,对相应安全等级的VM进行操作,负责启动、检查、关闭和清除虚拟机实例等工作。另外,定义了一个空闲资源池,可使得云平台中各个区域内的资源按需分配,避免资源的浪费。云控制器为用户提供云的唯一接口,接口形式可以是Web界面或命令行工具。云控制器相当于系统的中枢神经,它是做出全局决定的组件。它负责处理用户发起的请求或系统管理员发出的管理请求,做出高层的虚拟机实例调度决定,并且处理安全服务等级协议和维护系统和用户相关的元数据。云控制器由一组服务和安全策略组成,这些服务用于处理用户请求、验证和维护系统、用户元数据,并可管理和监视虚拟机实例的运行。具体的来说,云控制器包含四个模块:云处理器、等级索引表、策略库(PolicyRepository)和策略分配器(PolicyDispatcher)。以下对这四个模块的功能进行详细说明:云处理器:它为云控制器的核心,负责解析用户等级要求,同时与等级索引和策略库进行交互,向对应的域中传递指令。等级索引:这个索引表保存了所有等级域标识与相应安全策略的映射,并包含了每一等级中域的个数、每一等级中Zone的ID号、已用资源量和剩余资源量包含虚拟机内存、物理存储磁盘或网络带宽等资源。空闲资源池的安全等级号为0,其只显示剩余资源量。例如:策略库:保存各个云服务商定义的安全等级划分的策略,每个等级对应不同的安全策略。云服务商可以根据整体的需求灵活定义安全等级,并可更改策略,由策略分配器进行再次的策略分配。例如:安全等级策略1策略文件12策略文件23策略文件3策略分配器:负责将策略分配到相应等级区域中。这四个模块之间相互协作,共同完成对云平台的初始化及响应用户的资源请求和对安全策略的需求。当一个用户向云控制器提出虚拟资源请求时,云处理器首先解析用户的安全需求并在策略库中进行匹配和查找,获得相应的等级本文档来自技高网...
【技术保护点】
一种基于安全分级的云计算安全控制平台,其特征在于:包括云计算系统、包含在所述云计算系统中的至少一个域、包含在所述域中的至少一个虚拟平台。
【技术特征摘要】
1.一种基于安全分级的云计算安全控制平台,其特征在于:包括云计算系统、包含在所述云计算系统中的至少一个域、包含在所述域中的至少一个虚拟平台;在所述的云计算系统中设置有至少一个云控制器,在所述的域中设置有至少一个域控制器,在所述的虚拟平台中设置有至少一个安全管理器;所述的云控制器监控整个云,控制其下所有的域;所述的域控制器接受来自所述的云控制器的指令,控制本域中所有的虚拟平台;虚拟平台中的所述的安全管理器接受所述的域控制器的指令,对相应安全等级的VM进行操作;所述的云控制器包含四个模块:云处理器、等级索引表、策略库(PolicyRepository)和策略分配器(PolicyDispatcher);所述的云处理器为云控制器的核心,负责解析用户等级要求,同时与等级索引和策略库进行交互,向对应的域中传递指令;所述的等级索引表保存所有等级域标识与相应安全策略的映射,并包含每一等级中域的个数、每一等级中域的ID号、已用资源量和剩余资源量包含虚拟机内存、物理存储磁盘或网络带宽等资源;所述的策略库保存各个云服务商定义的安全等级划分的策略,每个等级对应不同的安全策略;所述的策略分配器负责将策略分配到相应等级区域中。2.根据权利要求1所述的基于安全分级的云计算安全控制平台,其特征在于:所述的域控制器用于接受云控制...
【专利技术属性】
技术研发人员:倪海宇,
申请(专利权)人:倪海宇,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。