[发明专利]一种基于标记及策略的云安全管理方法

说明书

技术领域

本发明涉及云计算安全领域，尤其涉及一种基于标记及策略的云安全管理方法。

背景技术

一个安全的云操作系统，首先要明确安全需求，一般来说，操作系统的安全需求可以归纳为四个方面：机密性（confidentiality）、完整性（integrity）、可追究性（accountability）和可用性（availability）。上述安全需求转化为一系列的安全策略，比如访问控制策略（ACP）和访问支持策略（ASP），前者反应系统的机密性和完整性需求，后者反应系统的可追究性和可用性需求。说一个系统是安全的，并非指该系统就是绝对安全，而是说这个系统的实现达到了当初设计时所制定的安全策略。

为了进一步设计安全的操作系统，还需要将安全需求、安全策略抽象为安全模型。安全模型是对安全策略所表达的安全需求的简单、抽象和无歧义的描述，它为安全策略关联上对应的实现机制，从而为开发安全系统提供方针，即安全模型描述了对于某个安全策略需要使用什么样的机制来实现，模型的实现则描述了如何把特定的机制应用于实际的系统当中。安全模型除了具备精确无歧义、简易抽象、容易理解的特点之外，还具有一般性，即安全模型只是关注安全相关的问题，不过度涉及系统的功能和实现。

安全模型可以分为非形式化和形式化两种安全模型。非形式化模型仅模拟系统的安全功能，形式化安全模型则借助数学模型，精确地描述安全性及其在系统中使用的情况。1988年，Brewer和Nash根据现实的商业策略提出了中国墙（ChineseWall）模型，该模型试图解决的问题是：为了保护相互竞争的客户，咨询公司需要在代理间建立密不可透的“墙”，比如分析员面对客户：银行A，石油公司A，石油公司B，则一旦分析员访问了石油公司A或B，则都不能再访问石油公司B或A，因为A和B处于竞争关系，因而用户只能访问其中之一；初始之时用户可以随意访问任意一个客体，但是一旦访问过一个客体，就不能再访问与该客体有竞争关系的其他客体，或者叫做不能访问其利益冲突类。这里体现了自由选择和强制控制的微妙组合。

作为一种全新的计算与服务模式，云计算技术在近年来得到了快速发展，并在社会生活中扮演着越来越重要的角色。然而云安全事故的频发严重制约云计算产业的发展壮大，凸显了云计算安全问题的重要性。云计算面临的安全风险是与其自身的技术特点和服务模式紧密关联的。与传统的网络或集群应用模式相比，虚拟化技术是云计算最突出的特点之一。虚拟化共享技术的引入，在提高资源利用效率的同时，由于虚拟机环境的动态性等特点以及技术漏洞所带来的相对于物理环境的弱安全性，为虚拟化环境的安全留下了隐患。因此，建立有效的虚拟机安全机制就成为了云计算虚拟化安全研究的一个重要课题。

发明内容

本发明根据云计算环境的要求，结合用户标记和安全策略，提出了一种基于标记及策略的云安全管理方法。使其能够同时满足STE模型与中国墙模型的要求。设计安全管理模块进行安全数据维护、安全策略配置等管理及辅助工作，使得两种安全机制可以有效地协同运行在云计算环境中，来保证云计算虚拟化平台中客户虚拟机的安全。

标签设计及安全策略

用户标记及安全策略是安全机制工作的基础，即安全机制的正常工作都依赖于安全用户标记。本文提出了自己的安全标记设计及生成方法，使其能够同时满足STE模型与中国墙模型的要求。STE模型是TE模型的简化模型，其思想是将系统中的主体被划分成若干不同的域，定义不同的域标签赋予每个主体及每个客体。STE模型访问控制的执行方法就是根据主体和客体的标签是否相同进行访问行为控制。而中国墙策略模型是一种经典的隔离机制模型，用于避免利害相关的信息进入同一个控制域中。在中国墙模型中，实现一个运行态排除规则，这一规则定义一组互斥的负载类型标签，即一个冲突集；任意时刻，在一个Hypervisor平台上只允许加载冲突集一种标签的负载。本文就是将STE的标签与中国墙的标签进行整合，使用同一安全标记同时支持两种安全机制。

设置二级用户标签作为一个用户的唯一标志，其形式为组织标签、个人标签；在本方法场景下，冲突集信息应是用户提出需要与自己虚拟机进行隔离的用户名称集合，反映自己的安全需求；每个云用户应提出自己的冲突集，并由安全管理节点将所有用户的需求整合成统一安全策略并部署到云平台中。

安全管理模块设计

安全管理模块的主要工作有4个方面；(1)管理云用户标签；（2）管理云平台安全策略；（3）向新建虚拟机添加标签开始访问控制保护；（4）维护云平台各计算节点虚拟机运行情况。