[发明专利]一种云安全保障系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种云安全保障系统。

背景技术

云计算(cloud computing)，分布式计算技术的一种，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。透过这项技术，网络服务提供者可以在数秒之内，达成处理数以千万计甚至亿计的信息，达到和“超级计算机”同样强大效能的网络服务。

正因为云计算的上述优点，如何保证各个分布式单元之间以及与云中央单元的安全稳定的通信显得越来越关键。但是现有的云计算系统大多是通过简单验证和多机备份的方式进行安全保护，效率低，成本高，不利于云计算系统的未来发展。

发明内容

本发明的目的是通过以下技术方案实现的。

根据本发明的实施方式，提出一种云安全保障系统，所述系统包括云中央处理器、多个分布式计算机集群、多个集群网间连接器、可靠因子运算器、运行于所述分布式计算机上的模拟机、可靠因子存储单元，其中，

所述集群网间连接器用于执行多个分布式计算机集群的多个模拟机之间的安全通信；

所述可靠因子运算器用于执行多个分布式计算机集群的模拟机与云中央处理器之间的安全通信；

所述可靠因子存储单元存储用以进行模拟机身份识别的密码；

每个分布式计算机集群包括一个集群网间连接器，所述分布式计算机集群依次通过集群网间连接器、可靠因子运算器连接云中央处理器，所述分布式计算机上运行模拟机和可靠因子存储单元。

根据本发明的实施方式，所述集群网间连接器执行多个分布式计算机集群的多个模拟机之间的安全通信具体包括：

A1、一个分布式计算机集群中的一个第一模拟机向另一个分布式计算机集群中的一个第二模拟机发起数据通信请求；

A2、所述第一模拟机所在分布式计算机集群的集群网间连接器根据所述数据通信请求中所包含的所述第一模拟机的安全识别码判定是否要做风险处理，当需要做风险处理时，执行下一步，否则进一步判断是直接接受该请求消息还是拒绝，若为直接接受，则转入步骤A4，若为拒绝，则抛弃该请求消息的数据包；

A3、所述第一模拟机所在分布式计算机集群的集群网间连接器根据所述第一模拟机与所述第二模拟机的安全识别码查找是否存在相应的预定安全链路，若不存在，创建新的预定安全链路，然后执行下一步，否则，直接执行下一步；

A4、将所述第一模拟机的安全识别码中的信息写入所述数据通信请求的数据包的地址字段，然后将数据包通过所述预定安全链路转发到所述第二模拟机所在的分布式计算机集群，由所述第二模拟机所在分布式计算机集群的集群网间连接器经由所述预定安全链路接收所述数据包；

A5、由所述第二模拟机的安全识别码与所述第一模拟机的安全识别码得到安全方案，将所述安全方案与所述第一模拟机所在分布式计算机集群的集群网间连接器的安全方案进行比较，在比较结果一致的前提下放行所述数据包，否则抛弃所述数据包；

A6、所述第二模拟机接收到数据包后，根据所述第一模拟机的安全识别码、所述第二模拟机的安全识别码以及数据通信控制方案判断所述第一模拟机对所述第二模拟机的操作类别，根据所述操作类别实现所述第一模拟机对所述第二模拟机的查询或拷贝。

根据本发明的实施方式，所述第一模拟机所在分布式计算机集群的集群网间连接器与所述第二模拟机所在分布式计算机集群的集群网间连接器各自对所发送的消息进行加密，对所接收的消息进行解密。

根据本发明的实施方式，所述的数据通信控制方案包括：根据模拟机预设的安全级别判断双方进行通信的操作权限，包括查询权限、拷贝权限、禁止访问。

根据本发明的实施方式，所述可靠因子运算器执行多个分布式计算机集群的模拟机与云中央处理器之间的安全通信具体包括：

B1、模拟机通过可靠因子运算器与云中央处理器之间提出建立通信策略并使用存储于可靠因子存储单元的密码进行身份验证；

B2、模拟机通过可靠因子运算器与中央处理器进行会话密码协商；

B3、执行从模拟机到中央处理器的数据传输。

本发明的云安全保障系统通过集群网间连接器和可靠因子运算器的设置，实现了多个分布式计算机集群的多个模拟机之间的安全通信以及多个分布式计算机集群的模拟机与云中央处理器之间的安全通信，可靠性和稳定性高。

附图说明