[发明专利]一种自动构建云访问控制的方法及系统

说明书

本发明提供一种自动构建云访问控制的方法及系统，所述方法包括：云访问控制系统初始化，通过云服务统一控制系统与证书颁发机构CA交互，为用户颁发证书，从而实现用户私钥的安全下发；安全管理员发起服务配置，自动发现数据中心不同类型的云服务，依据服务列表，为每个服务设置安全访问信息，依据服务的安全策略属性构建服务的访问结构，经过安全处理后进行存储；客户端发起服务访问，经过云服务统一控制系统的决策，访问其权限范围内的云服务。本发明技术方案中云访问控制系统在保障自身系统的安全构建的前提下，能够自动发现云中心所有的云服务，并实现客户端对数据中心提供的云服务的细粒度访问控制。

技术领域

本发明涉及计算机安全防护技术领域，具体而言，涉及一种自动构建云访问控制的方法及系统。

背景技术

云计算以其低成本、灵活可扩展、高可靠等优势获得迅速发展，以虚拟化技术为基础，向外提供不同层面的服务。随着云计算的兴起，KVM、Docker等虚拟化技术迅速发展，涌现出虚拟机、容器等适用于不同应用场景的虚拟单元，能够向用户提供IaaS、PaaS、SaaS等不同层面的云服务。另外，为了解决虚拟单元管理复杂、云服务访问不可控等问题，随之出现了OpenStack、Kubernetes等不同类型的云访问控制系统，实现虚拟机、容器等的集中管理，同时，云访问控制系统内置网络访问控制、平台用户权限控制等安全模块，保障云平台的安全运行，但是其安全机制并不全面，不同云访问控制系统的安全机制无法兼容，且无法适应复杂多变的应用场景的安全需求。

因此需要重点解决云环境中虚拟单元类型不统一、云服务层次多样带来的服务访问无法细粒度控制的问题。为了满足不同业务需求，云环境中通常会把虚拟机、容器等不同虚拟单元联合部署，向外提供不同层次的云服务。为了保障云服务的安全访问，既需要做到用户对服务的细粒度访问控制，难点在于如何从云数据中心自动获取不同层面的云服务配置到访问控制系统中、属性的合理设置、访问控制系统与云系统的联动，又需要保障访问控制系统的安全构建，难点在于如何保障密钥的安全分发。

发明内容

鉴于此，本发明从这几个难点出发，基于证书技术、细粒度访问控制技术等基础密码理论，设计构建能够与云环境联动的云服务统一控制系统，解决了密钥分发困难、用户权限控制粒度粗、与云系统联动困难等问题。云访问控制系统以外挂形式部署于用户与数据中心之间，通过事先分发的用户属性，判断用户是否具备访问云数据中心某项云服务的权限，进而通过控制交换机的访问策略，实现用户权限控制，并与OpenStack、Kubernetes等不同类型的云访问控制系统实现联动，保障云数据中心不同层次的云服务不被非法访问。本发明的目的在于解决云服务访问控制粒度过粗、服务越权访问风险较高、不同集群安全模块分散、无法适应复杂多变的应用场景、密钥分发过程不安全等问题，融合证书技术、基于安全策略属性的访问控制技术，针对涵盖虚拟机、容器等不同类型虚拟单元的复杂云中心，构建云服务统一控制系统。

本发明提供一种自动构建云访问控制的方法，包括以下步骤：

S1、云访问控制系统初始化，通过云服务统一控制系统与证书颁发机构CA交互，为用户颁发证书，从而实现用户私钥的安全下发；

所述用户包括客户端、云服务统一控制系统；

S2、安全管理员对于安全下发的用户私钥进行安全管理，发起服务配置，自动发现云数据中心不同类型的服务，依据服务列表，为每个服务设置安全访问信息，并依据服务的安全策略属性构建服务的访问结构，经过安全处理后进行存储；

所述安全访问信息包括服务名称、权限校验数据、服务访问地址条目；

S3、客户端发起服务访问，经过云服务统一控制系统的决策，访问其权限范围内的服务。

进一步地，所述S1步骤包括：

1a.构建云访问控制系统密码体系，CA选取云服务统一控制系统公共参数、消息空间和主密钥；