一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法【專利摘要】本發(fā)明提供一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法�,本發(fā)明包括擴展基于sHype的Xen可信安全架構(gòu)�、虛擬化網(wǎng)絡(luò)隔離�、網(wǎng)絡(luò)存儲資源隔離等方面��。主要用來對云計算數(shù)據(jù)中心資源進行合理有效的劃分和歸類��,并構(gòu)建多個相互隔離的區(qū)域��,防止數(shù)據(jù)的相互泄露和惡意病毒代碼的擴散�����,減少或防止配置管理出錯的發(fā)生概率��,以達到VMs及資源完美隔離和共享的目的���。【專利說明】一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法【
技術(shù)領(lǐng)域:
】[0001]本發(fā)明涉及計算機通信【
技術(shù)領(lǐng)域:
】�����,具體地說是一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法�。【
背景技術(shù):
】[0002]在虛擬化云數(shù)據(jù)中心環(huán)境中��,Hypervisor(虛擬機監(jiān)控器��,簡稱VMM)是一個介于硬件和操作系統(tǒng)之間的軟件層,它負責管理底層的硬件資源����,并將這些資源分配給上層運行著的虛擬機VM,這些虛擬機構(gòu)成一個個相互隔離的執(zhí)行環(huán)境��,保證每個隔離環(huán)境中運行的業(yè)務(wù)互不影響�����。在Xen中相互隔離的執(zhí)行環(huán)境也稱為隔離執(zhí)行域Domain����。雖然Hypervisor為上層用戶提供了相互隔離的執(zhí)行環(huán)境,但是在整個虛擬化云數(shù)據(jù)中心中�,隔離執(zhí)行域以外的信息是相互混雜相互影響的,比如任何VM之間都可以相互通信��,任何VM都可以訪問本云計算數(shù)據(jù)中心中任何一塊存儲資源���。為了控制虛擬化云數(shù)據(jù)中心環(huán)境中VM之間的通信以及對存儲塊資源的訪問����,本發(fā)明設(shè)計了一種基于云計算數(shù)據(jù)中心安全增強模型,本發(fā)明包括擴展基于sHype的Xen可信安全架構(gòu)�、虛擬化網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)存儲資源隔離等方面����,主要用來對云計算數(shù)據(jù)中心中的資源進行合理有效的劃分和歸類,并構(gòu)建多個相互隔離的環(huán)境�����,防止數(shù)據(jù)的相互泄露和惡意病毒代碼的擴散���,減少或防止配置管理出錯的發(fā)生概率�,以達到VMs及資源完美隔離和共享的目的��?��!?br/>發(fā)明內(nèi)容】[0003]本發(fā)明的目的是提供一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法。[0004]其特征包含以下技術(shù):(1)擴展sHypeHypervisor安全架構(gòu),通過訪問控制模機制控制虛擬機運行�����,具體通過為虛擬機和相關(guān)資源標記安全標簽��,用戶能夠通過Hypervisor來限制VMs和資源的運行情況;(2)虛擬化網(wǎng)絡(luò)隔離���,將標記VMs的標簽與VLANs關(guān)聯(lián)起來�,同時標記VM和VLAN��,比如一種類型的標簽對應(yīng)一個VLAN和一類VMs�。系統(tǒng)限制VMs和VLANs必須匹配安全標簽才能連接和通信;(3)網(wǎng)絡(luò)存儲資源隔離��,為了基于安全標簽實現(xiàn)對網(wǎng)絡(luò)存儲隔離�����,系統(tǒng)將CbCS機制集成到可信虛擬數(shù)據(jù)中心�,并通過加密證書和安全標簽實現(xiàn)對網(wǎng)絡(luò)存儲的訪問。[0005]上述虛擬機強制訪問控制其特征是用戶能夠通過Hypervisor來限制VMs和資源的運行情況�����,即通過Hypervisor和安全標簽策略來對VMs進行驗證啟動���,限制哪些VMs可以運行于某個VMM中��,約束哪些VMs可以并行運行于同一個系統(tǒng)中而不發(fā)生沖突��。[0006]上述虛擬化網(wǎng)絡(luò)隔離控制虛擬機之間的網(wǎng)絡(luò)通信��;虛擬化網(wǎng)絡(luò)隔離其特征是將安全標簽與虛擬化802.1QVLAN結(jié)合��,系統(tǒng)在Xen宿主機上軟件實現(xiàn)了VLAN的功能����。[0007]上述網(wǎng)絡(luò)存儲資源隔離控制虛擬機對存儲資源的訪問;網(wǎng)絡(luò)存儲資源隔離其特征是將存儲資源進行相應(yīng)的分類劃分�����,并對VM和存儲資源標記安全標簽�,客戶VM同時需要驗證證書才能訪問存儲資源;如果存在共有的安全標簽和正確的證書�,VMs就可以通過網(wǎng)絡(luò)、存儲或者直接共享等方式訪問數(shù)據(jù)�;如果標簽類型不同或證書不正確,VMs將無法共享和訪問數(shù)據(jù)塊��。[0008]系統(tǒng)管理員可以在虛擬域中和虛擬域之間為控制和訪問控制定義并管理安全策略����。其中標記資源包括標記VMs���、VLANs和存儲等資源�����,比如可以標記成藍色或紅色���。一旦創(chuàng)建和賦予了安全標簽�����,部署于DomainO的策略將允許具有相同標簽的VMs可以構(gòu)建一個共享資源的安全域���。系統(tǒng)也可以建立互斥的規(guī)則,比如不同顏色標簽的VMs不能夠同時運行在同一個系統(tǒng)上����。對于Hypervisor隔離,需要在VMM基礎(chǔ)架構(gòu)中應(yīng)用強制訪問控制策略(MAC,MandatoryAccessControl),使用sHype來擴展Xen安全架構(gòu)�����。對于虛擬化網(wǎng)絡(luò)隔離��,需要軟件創(chuàng)建網(wǎng)橋和配置以太網(wǎng)交換機來支持對隔離策略的部署�。對于網(wǎng)絡(luò)存儲的隔離���,需要擴展CbCS(Capability-basedCommandSecurity)機制,通過安全標簽和安全證書來控制VMs對網(wǎng)絡(luò)存儲的訪問。[0009]增強Hypervisor安全架構(gòu)sHypeHypervisor安全架構(gòu)基于Xen提供的隔離基礎(chǔ)之上,是對Xen可信安全架構(gòu)的擴展��。Xen默認并沒有將該模塊編譯��,要啟用該模塊需要源碼重新編譯Xen�����。sHype監(jiān)控VMs之間資源的共享和VM間的互通信��。為了管理簡便����,將VMs和資源定義為Workload(這些VMs和資源通常協(xié)調(diào)以完成某個共同的任務(wù)和目的),這樣管理員不再監(jiān)控每一個VMs和資源���,而只關(guān)注整個Workload��。sHype起到了Hypervisor和DomainO中的中介作用�����,并根據(jù)有效的安全策略來控制VM間的相互通信和對資源的訪問����。[0010]sHype系統(tǒng)中存在兩類訪問媒介鉤子(AccessMediationHooks),如圖1所示,具體如下:第I類hooks控制VM間的通信��,以及在Hypervisor中實現(xiàn)共享�����。在Xen中�,這些hooks控制著事件信道eventchannel(遠程中斷)和granttables(內(nèi)存共享頁),比如網(wǎng)絡(luò)和虛擬磁盤的訪問��,以及基于此基礎(chǔ)實現(xiàn)VM間通信和共享�����。[0011]第2類hooks控制VMs對加載資源的訪問��,比如虛擬磁盤或虛擬分區(qū)�����。這類hooks位于管理VMsDomainO中�。[0012]這兩種hooks都調(diào)用訪問控制模塊(ACM,AccessControlModule)中相同的訪問決策函數(shù),這些函數(shù)位于Xen中���。[0013]強制訪問控制(MAC,MandatoryAccessControl)策略通過在VMM基礎(chǔ)架構(gòu)中實施強制訪問控制策略(MAC)��,sHype能夠保證系統(tǒng)安全策略的實施�。通過MAC可以限制不同用戶的Workloads行為并達到以下安全目的:O病毒和其他惡意代碼不會從一個用戶Workload擴散到其他用戶Workload;2)數(shù)據(jù)不會輕易的從一個用戶Workload泄露到其他用戶Workload�����,即使VMs運行了不正常的Workloads����;3)攻陷和暴露一個Workload不會導(dǎo)致暴露其他配置的Workloads。[0014]可信虛擬域(TVD,TrustedVirtualDomains)的范圍(邊界)可以通過給所有VMs和相關(guān)資源標記唯一的安全標簽的方式來確定��,如圖2所示��。系統(tǒng)根據(jù)活動的訪問控制策略來允許和拒絕資源的分配��、資源的訪問和VM間的互通信��。[0015]可信虛擬數(shù)據(jù)中心(TVDc,TrustedVirtualDatacenter)隔離策略包含兩部分:O定義標簽�,即定義可以指派給相應(yīng)VMs和資源的安全上下文。[0016]2)定義約束組合�,即部署策略以約束哪些VMs在指定的TVD中可以同時運行在同一個系統(tǒng)中。[0017]訪問控制管理定義了系統(tǒng)管理角色和基于安全標簽權(quán)限的分配。以下描述了在不同的Workload和實際管理中支持的隔離情況:I)數(shù)據(jù)共享:在顏色標簽?zāi)P椭?����,如果存在共有的顏色標簽���,VMs可以通過網(wǎng)絡(luò)、存儲或者直接共享(共享內(nèi)存)的方式共享數(shù)據(jù)��。[0018]2)VMM系統(tǒng)授權(quán):顏色標簽也可以用來限制VMM可以運行哪些Workloads��。VMM能夠啟動一個在VMM系統(tǒng)標簽庫中存在相應(yīng)顏色標簽的虛擬機���。[0019]3)約束組合:該策略約束哪些VMs可以在指定的TVD中同時運行在同一個系統(tǒng)中���,每個規(guī)則描述一組有沖突的顏色標簽組。[0020]4)管理限制:為了實現(xiàn)可信虛擬數(shù)據(jù)中心(TVDc)中VM隔離和管理隔離的集成���,系統(tǒng)將TVD中的標簽(如顏色標簽)賦予角色(如同權(quán)限)�,并將角色指派給管理員����。這樣就可以限制管理員只能管理角色對應(yīng)標簽標記的VMs和資源。[0021]安全標簽包括引用名和類型集����。在標記系統(tǒng)過程中�����,每一個VM和資源被指配一個安全標簽的引用名�����。標簽的引用就像VMs和資源的元信息一樣被存儲�,它們保護VMs并且只能通過VMM管理器(DomainO)設(shè)置和修改��。sHype使用這些標簽引用來確定VMs是否能夠通信或訪問資源��,具體通過檢索VMs����、資源、允許通信或訪問相關(guān)的標簽引用是否共享相同標簽類型來實現(xiàn)���。[0022]MA和SU兩種Workloads�����。DomainO控制著這些Workloads,并且為MAWorkloads輸出一個標記為MA的虛擬塊設(shè)備�。所有的Workloads可以連接到DomainO(Workloads與DomainO共享相同類型的標簽)。[0023]Case(I),{MA,SU}Π{MA}={ΜΑ}Φ0��,具有相同類型的標簽�,允許訪問。[0024]Case(2)��,{MA,SU}H{SU}={SU}?0�����,具有相同類型的標簽���,允許訪問。[0025]Case(3)���,{ΜΑ}Π{SU}=0,標簽類型不同���,拒絕訪問。[0026]Case(4)����,VM標簽{SU}與虛擬塊設(shè)備的資源標簽{SU}具有相同的標簽類型,管理VM允許掛載虛擬塊設(shè)備。[0027]Case(5)�����,VM標簽{MA}與虛擬塊設(shè)備的資源標簽{MA}不具有相同的標簽類型��,因此訪問被拒絕�����。[0028]虛擬化網(wǎng)絡(luò)隔離策略實現(xiàn)可信虛擬數(shù)據(jù)中心(TVDc)網(wǎng)絡(luò)隔離的基本思想是��,將標記VMs的標簽與VLANs關(guān)聯(lián)起來�,同時標記VLAN,比如一種類型的標簽對應(yīng)一個VLAN號��,網(wǎng)絡(luò)隔離具體使用遵循IEEE802.1Q標準的VLAN來控制VM對LANs的訪問����。系統(tǒng)限制VMs和VLANs必須匹配安全標簽才能連接和通信。這樣����,共享相同類型標簽的VMs就可以通過具有相同類型標簽的VLAN進行通信。[0029]網(wǎng)絡(luò)存儲隔離策略為了基于安全標簽實現(xiàn)網(wǎng)絡(luò)存儲隔離�,系統(tǒng)將Capability-basedCommandSecurity(CbCS)機制集成到可信虛擬數(shù)據(jù)中心(TVDc)中�,CbCS擴展SCSI協(xié)議實現(xiàn)對網(wǎng)絡(luò)存儲設(shè)備訪問控制�。該協(xié)議需要任意客戶VM首先發(fā)起存儲1/0指令并需要提供一個加密證書。證書(Credential)是從安全策略管理者獲得��,并且具有編碼客戶訪問存儲卷權(quán)限(如讀和寫或者只讀權(quán)限)的功能���。存儲安全管理者通過消息認證碼(MAC)使用存儲設(shè)備共享的對稱密鑰來增強證書的可靠性�����,因此證書不能被偽造和修改�����。存儲設(shè)備驗證證書的真實性并且根據(jù)編碼權(quán)限允許或拒絕訪問。在可信虛擬數(shù)據(jù)中心(TVDc)實施中還有一個額外檢查證書生成的步驟(Client使用證書訪問存儲卷)�,即檢查客戶VM和存儲卷必須具有相同類型的安全標簽。[0030]本發(fā)明包括擴展基于sHype的Xen可信安全架構(gòu)���、虛擬化網(wǎng)絡(luò)隔離����、網(wǎng)絡(luò)存儲資源隔離等方面���。主要用來對云計算數(shù)據(jù)中心資源進行合理有效的劃分和歸類�,并構(gòu)建多個相互隔離的區(qū)域,防止數(shù)據(jù)的相互泄露和惡意病毒代碼的擴散�����,減少或防止配置管理出錯的發(fā)生概率����,以達到VMs及資源完美隔離和共享的目的。[0031]4��、【專利附圖】【附圖說明】圖1.sHype訪問控制架構(gòu):圖2.隔離可信虛擬域視圖:圖3.訪問控制策略工作原理:圖4.可信虛擬數(shù)據(jù)中心部署結(jié)構(gòu)圖���。[0032]5�、實施方式參照說明書附圖對本發(fā)明的作以下詳細地說明��。[0033]本發(fā)明的一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法��,包括擴展基于sHype的Xen可信安全架構(gòu)�、虛擬化網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)存儲資源隔離等方面的功能��。具體內(nèi)容如下:擴展基于sHype的Xen可信安全架構(gòu)基于sHypeHypervisor安全架構(gòu)的xen平臺支持多種安全隔離情況�����。默認情況下Xen并沒有將sHype模塊編譯,因此要啟用該模塊需要源碼重新編譯Xen�。可以通過以下步驟來啟用XensHype安全組件:(1)在Xen中配置����、建立sHype的支持。[0034]首先�����,我們需要在Xen中配置訪問控制模塊并且安裝ACM_enablesXenhypervisorο這一步將安裝安全工具和編譯sHype/ACM控制到Xenhypervisor中����。[0035]在Xen中啟用sHype/ACM,需要在Xen根目錄修改Config.mk文件:1)在Config.mk中:修改XSM_ENABLE=n為XSM_ENABLE=y修改ACM_SECURITY=n為ACM_SECURITY=y2)編譯安裝啟用了安全模塊的Xen環(huán)境:#makeworld#makeinstall3)mkinitrdinitrd-2.6.18.8-xen-sec.1mg2.6.18.8-xen4)在/etc/xen/目錄下修改文件xend-config.sxp,增加如下內(nèi)容:(xsm_moduIe_nameacm)(2)重啟進到啟用的安全模塊的Xenhypervisorο[0036]首先檢查策略配置工具:#whichxensec_ezpolicyXen將啟用一個默認的安全策略��,重啟后����,你可以查看這個簡單的默認策略:#xmgetpolicy#xmlabels#xmlist—label現(xiàn)在,我們需要創(chuàng)建一個策略并加載到hypervisor����。[0037](3)使用ezPolicy創(chuàng)建策略�����。[0038]我們使用ezPolicy快速的創(chuàng)建策略�。需要Python和wxPython包來運行這個工具���。在DomO中運行這個工具,可以從www.wxpython.0rg下載wxPython包�,或者在Redhat/Fedora使用yuminstallwxPython來安裝���。在MSWindows中運行該工具,也需要從www.python,org下載Python包��。在這些包安裝完成后,可以使用下面的命令開始ezPolicy工亙.ZN.#xensec_ezpolicy(/Xen-χ.x.x/tools/security/下也可找到的xensec—ezpolicy�����,并使用pythonxensec—ezpolicy可打開策略配置頁面)��。[0039]如果是在DomO中使用ezPolicy工具�,產(chǎn)生的策略以xml文件的形式保存在/etc/xen/acm-security/policies/目錄下�,保存策略時,如果填入的名字是cse���,則實際產(chǎn)生的文件名為cse—security-policy.xml�。[0040]在配置完策略以后,需要配置Xen使得在啟動時能夠加載該策略����。[0041]I)首先我們要轉(zhuǎn)換策略的格式以便在啟動時系統(tǒng)能夠加載策略:#xmsetpolicyACMcse2)然后將產(chǎn)生的cse.bin復(fù)制到boot目錄下:#cp/etc/xen/acm-security/policies/cse.bin/boot/cse.bin3)修改grub文件,添加module行加載策略:titleCentOS(2.6.18-164.el5xen-sec)root(hdO���,0)kernel/xen-3.4.2.gzcrashkernel=128M@16Mmodule/vmlinuz-2.6.18.8-xenroroot=/dev/VolGroupOO/LogVolOOrhgbquietmodule/initrd-2.6.18.8-xen-sec.1mgmodule/cse.bin4)重新啟動�,可以按之前所說查看新的策略信息�。[0042]注:xen_3.4.2安裝后使用#xmsetpolicyACMcse默認將會把cse.bin復(fù)制到/boot目錄下,并且會在grub/menu.1st添加module/cse.bin行���。[0043]重啟后發(fā)現(xiàn)不能順利創(chuàng)建Domain�����。需要為Domain添加標簽��,標簽名稱應(yīng)與策略中對應(yīng)�����。使用如下命令為Domain添加標簽:#xmaddlabellabel—namedomdomain—name另外,還可以控制對資源的訪問�,需要為資源添加標簽如下:#xmaddlabellabel—nameresresource—namet匕如����,要為虛擬共享磁盤添加標簽����,以控制Domain對共享磁盤的訪問,可以對共享磁盤添加標簽�����,并在策略中設(shè)置對該共享磁盤的訪問授權(quán)���。#xmaddlabelshare—diskresfile:/home/xen/share_disk.1mg為share—disk,img設(shè)置標簽�。在策略中出現(xiàn)的標簽都需要進行設(shè)置���,否則無法建立DomU��。[0044](4)啟用了cse.bin安全策略的xen實例說明����。[0045]#xmlabelsSystemManagement—UNL廳LED—blueredwhite該命令查看cse.bin定義的安全標簽�����,其中blue,red��,white三個標簽是我們自己定義的�,SystemManagement和—UNLABELED—是系統(tǒng)默認的兩個特殊標簽?�!猆NLABELED—����,blue和red三個標簽定義為一個沖突組(conflict),即這三種類型的標簽不能同時運行于同一個hypervisor(安全需求)�����。[0046]#xmresourcestap:aio:/var/lib/libvirt/images/centos3.1mgtype:ACMpolicy:cselabel:whitetap:aio:/var/lib/libvirt/images/centos2.1mgtype:ACMpolicy:cselabel:bluetap:aio:/var/lib/libvirt/images/centosLimgtype:ACMpolicy:cselabel:red該命令查看資源標簽對資源的標記情況����,對資源標記標簽可以限制和允許對資源的共孚或獨占。[0047]#xmaddlabelreddomcentosl//對centosl標記標簽為red#xmaddlabelredrestap:aio:/var/lib/libvirt/images/centosl.1mg//對centosl使用的資源標記標簽為red通過以上兩步就已經(jīng)實現(xiàn)對一個Workload的標簽標記���,下面我們就可以啟動centosl#xmcreatecentosl//創(chuàng)建一個名為centosl的域按相同的步驟將centos2標記為blue類型的標簽�����,由于—UNLABELED—���,blue和red三個標簽定義為一個沖突組(conflict),這三類標簽標記的Workload不能同時運行在同一個hypervisor��,所以我們啟動centos2時會出現(xiàn)以下錯誤:xmcreatecentos2Usingconfigfile〃/etc/xen/centos2〃.Error:Domaininconflictsetwithrunningdomain可信虛擬網(wǎng)絡(luò)隔離在實施方案中�,可信虛擬數(shù)據(jù)中心(TVDc)網(wǎng)絡(luò)隔離組件在內(nèi)部虛擬系統(tǒng)(具體是Bridge或者虛擬交換機)和連接虛擬系統(tǒng)的外部以太網(wǎng)交換機中分別配置VLANs,因此���,VMs就能夠與本地系統(tǒng)和遠程系統(tǒng)中具有相同安全標簽的其他的VMs通信�����。[0048]在Xen系統(tǒng)中�����,DomainO擁有物理網(wǎng)絡(luò)設(shè)備并且控制對系統(tǒng)中客戶VMs的網(wǎng)絡(luò)訪問��。DomainO為每一個VLAN創(chuàng)建一個軟件橋(虛擬交換機)����,Xen系統(tǒng)中的VMs被授權(quán)才能訪問該軟件橋�����。如圖4中DomainO創(chuàng)建了被標記為紅色和藍色Bridge。在每一個Xen系統(tǒng)中�,所有的具有相同顏色標簽的VMs連接到一個對應(yīng)的橋。比如所有標記藍色的VMs連接到藍色橋�,所有標記紅色的VMs連接到紅色橋。每個橋限制允許標記為相同顏色的VMs可以相互通信�。當一個用戶VM啟動,為授權(quán)訪問VLAN(S)�,系統(tǒng)連接該VM到對應(yīng)的Bridge。通過這種方法�,同一個Xen系統(tǒng)中兩個共享安全標簽的VMs可以連接到同一個軟件橋并進行相互通信;相反����,不共享標簽的VMs即使運行在同一個Xen系統(tǒng)中也不能相互通信。[0049]為擴展TVDc網(wǎng)絡(luò)隔離到某個Xen系統(tǒng)以外�����,需要配置外部以太網(wǎng)交換機以連接每一個Xen系統(tǒng)到系統(tǒng)授權(quán)訪問的VLANs��,具體是打開物理交換機的Trunk模式���。通過這樣的方法���,VMs就可以與另一個Xen系統(tǒng)中共享標簽的VMs進行通信�����,但是不能和其他任何VMs通信。[0050]創(chuàng)建軟件橋和配置VMVlan功能方法如下:(1)在Xen系統(tǒng)中上建立OVS軟件橋��;#ovs-vsctladd-brbrO(2)將Xen系統(tǒng)物理網(wǎng)卡ethO添加到橋brO上(默認情況下所有的OVS端口為VLANtrunks,因此ethO默認轉(zhuǎn)發(fā)所有VLANs的數(shù)據(jù)包)��;#ovs-vsctladd-portbrOethO(3)配置VM對VLAN號為10網(wǎng)絡(luò)的訪問��,假設(shè)VM的虛擬網(wǎng)卡名為tapl.0;#ovs-vsctladd-portbrOtapl.0tag=10可信網(wǎng)絡(luò)存儲隔離VM訪問網(wǎng)絡(luò)存儲的具體步驟如下:(I)Integratedmanager部署訪問控制策略到DomainO,為storagecontroller設(shè)置一個對稱密鑰���。[0051](2)存儲卷資源被標記標簽��。[0052](3)創(chuàng)建客戶VM并為客戶VM指配安全標簽和稍后用于向Integratedmanager進行認證的存儲私鑰����。這個私鑰和VM的配置信息一樣保存于DomainO中�����。[0053](4)DomainO通過Integratedmanager驗證VM并為客戶VM請求一個訪問存儲卷的credential���。[0054](5)在Integratedmanager中���,只有VM和存儲卷具有匹配的標簽才給分配一個credential,不匹配就拒絕請求�����。[0055](6)最后�,當客戶VM發(fā)送1/0指令時,在允許執(zhí)行命令前,hypervisor會檢查安全標簽是否匹配�����,存儲系統(tǒng)會驗證credential的有效性���。[0056]存儲系統(tǒng)將拒絕不遵循CbCS協(xié)議的CbCS客戶端訪問存儲����。為了減少安全威脅��,對存儲的訪問采用最小特權(quán)的原則�����。當一個客戶VM遷移出該系統(tǒng)后����,DomainO清除該VM相關(guān)的認證信息和所有相關(guān)的credentials����?���!緳?quán)利要求】1.一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法���,其特征在于包含:(1)擴展sHypeHypervisor安全架構(gòu),通過訪問控制模機制控制虛擬機運行,具體通過為虛擬機和相關(guān)資源標記安全標簽�����,用戶能夠通過Hypervisor來限制VMs和資源的運行情況�����;(2)虛擬化網(wǎng)絡(luò)隔離���,將標記VMs的標簽與VLANs關(guān)聯(lián)起來,同時標記VM和VLAN����,比如一種類型的標簽對應(yīng)一個VLAN和一類VMs;系統(tǒng)限制VMs和VLANs必須匹配安全標簽才能連接和通信�����;(3)網(wǎng)絡(luò)存儲資源隔離�����,為了基于安全標簽實現(xiàn)對網(wǎng)絡(luò)存儲隔離�,系統(tǒng)將CbCS機制集成到可信虛擬數(shù)據(jù)中心���,并通過加密證書和安全標簽實現(xiàn)對網(wǎng)絡(luò)存儲的訪問�����。2.根據(jù)權(quán)利要求1所述的一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法����,其特征在于虛擬機強制訪問控制其特征是用戶能夠通過Hypervisor來限制VMs和資源的運行情況���,即通過Hypervisor和安全標簽策略來對VMs進行驗證啟動��,限制哪些VMs可以運行于某個VMM中���,約束哪些VMs可以并行運行于同一個系統(tǒng)中而不發(fā)生沖突��。3.根據(jù)權(quán)利要求1所述的一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法��,其特征在于虛擬化網(wǎng)絡(luò)隔離控制虛擬機之間的網(wǎng)絡(luò)通信�����;虛擬化網(wǎng)絡(luò)隔離其特征是將安全標簽與虛擬化802.1QVLAN結(jié)合����,系統(tǒng)在Xen宿主機上軟件實現(xiàn)了VLAN的功能�。4.根據(jù)權(quán)利要求1所述的一種基于云計算數(shù)據(jù)中心安全增強模型的設(shè)計方法,其特征在于網(wǎng)絡(luò)存儲資源隔離控制虛擬機對存儲資源的訪問���;網(wǎng)絡(luò)存儲資源隔離其特征是將存儲資源進行相應(yīng)的分類劃分,并對VM和存儲資源標記安全標簽�,客戶VM同時需要驗證證書才能訪問存儲資源;如果存在共有的安全標簽和正確的證書���,VMs就可以通過網(wǎng)絡(luò)��、存儲或者直接共享等方式訪問數(shù)據(jù)�����;如果標簽類型不同或證書不正確���,VMs將無法共享和訪問數(shù)據(jù)塊�?��!疚臋n編號】H04L12/46GK103997502SQ201410246362【公開日】2014年8月20日申請日期:2014年6月5日優(yōu)先權(quán)日:2014年6月5日【發(fā)明者】羅登亮,顏秉珩,董青,常建忠申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司