一种基于用户身份的虚拟化资源访问控制方法

一种基于用户身份的虚拟化资源访问控制方法
【专利摘要】本发明公开了一种基于用户身份的虚拟化资源访问控制方法，该方法包括以下步骤：云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表；安全策略管理器根据资源关联表和策略库中的安全策略生成安全规则；安全策略执行实体更新现有安全规则并实施。该方法能够解决云计算环境中由于资源动态分配而造成的安全规则不准确的问题，提高安全规则的准确性和有效性。
【专利说明】
一种基于用户身份的虚拟化资源访问控制方法
技术领域
[0001]本发明涉及信息安全技术领域，尤其涉及一种在云计算环境下生成可靠有效的安全规则的方法。
【背景技术】
[0002]云计算是一种根据使用计费的模型，它提供了一种已配置及可靠的共享资源池(包括网络资源、服务器、存储设备、应用程序以及服务等)的方便以及按需的网络访问，从而实现快速部署和资源回收等，同时并不需要用户以及服务提供商的过多参与。为了加强其虚拟化资源使用的安全性，常常采用防火墙等设备对虚拟化资源的访问进行安全控制，维护网络环境的安全。
[0003]在云计算环境中对虚拟化资源应用访问控制方法具有安全性、有效性的优点，但是由于云计算环境中资源的动态分配，用户拥有资源不断变化，使得各个安全策略执行实体中的安全规则出现不确定性。因此需要设计方法，能够根据用户当前使用资源情况和安全策略产生相应的安全规则，以便为安全策略执行实体提供可靠有效的安全规则。

【发明内容】

[0004]本发明解决的技术问题在于提出一种基于用户身份的虚拟化资源访问控制方法，提高安全规则的准确性和有效性。在云计算环境下，规则生成器根据资源关联表和安全策略生成可靠有效的安全规则，并发送给相应的安全策略执行实体。
[0005]为了解决以上问题，一种基于用户身份的虚拟化资源访问控制方法，包括以下步骤:
云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表；
安全策略管理器根据资源关联表和策略库中的安全策略生成安全规则；
安全策略执行实体更新现有安全规则并实施。
[0006]进一步，作为一种优选，所述云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表步骤进一步包括:在建立更新资源关联表时，表中的数据项应包括详细的用户信息，包括用户的ID(唯一的身份标识/用户名/证书等)、所占有资源的标识(资源类型/资源名/IP地址/MAC地址/端口号等)、以及其他信息(用户所属群组/用户密级/用户可信度等)。
[0007]进一步，作为一种优选，所述云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表步骤进一步包括:对于资源关联表的创建更新来说，当资源分配发生变化时，及时创建或更新资源关联表。
[0008]进一步，作为一种优选，所述安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤进一步包括:当生成安全规则时，安全策略管理器根据安全策略和资源关联表生成最终安全规则，并发送给相应的安全策略执行实体。
[0009]进一步，作为一种优选，所述安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤进一步包括:在制定策略时，安全管理员通过安全策略管理器中的策略制定模块制定和修改安全策略并更新策略库。
[0010]进一步，作为一种优选，所述安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤进一步包括:生成安全规则具体步骤是安全策略管理器中的规则生成模块利用资源关联表中查询到的信息，包括IP地址、端口号等，替换安全策略的对应部分，生成符合当前资源分配状态的安全规则。
[0011 ]进一步，作为一种优选，所述安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤进一步包括:对于安全策略管理器来说，云资源管理平台生成的资源关联表和安全策略中包含的所有信息均是可以被规则生成模块解析得到的。
[0012]进一步，作为一种优选，所述安全策略执行实体更新现有安全规则并实施步骤进一步包括:对于安全策略执行实体来说，当资源分配发生变化或安全策略改变时，及时接收和更新安全规则并实施。
[0013]本发明的有益效果在于，第一，资源关联表由用户身份信息、用户当前占有的资源信息以及其他相关信息共同组成，能够有效反应当前用户的基本情况及其与资源的占有关系，增强了资源关联表的有效性和实时性;第二，安全规则使用用户当前动态占有的资源信息(例如，IP，端口号等)，确保安全规则的准确性和有效性;第三，安全策略通过安全策略管理器制定和存储，便于安全策略的统一管理;综上，这种方法能够有效解决云计算环境中由于资源动态分配而造成的安全规则不准确的问题，提高安全规则的准确性和有效性。
【附图说明】
[0014]当结合附图考虑时，通过参照下面的详细描述，能够更完整更好地理解本发明以及容易得知其中许多伴随的优点，但此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。
[0015]图1是本发明中云计算环境下基于用户身份的资源访问控制方法的工作示意。
【具体实施方式】
[0016]以下参照图1对本发明的实施例进行说明。
[0017]为使上述目的、特征和优点能够更加明显易懂，下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0018]—种基于用户身份的虚拟化资源访问控制方法，包括以下步骤:
云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表；
安全策略管理器根据资源关联表和策略库中的安全策略生成安全规则；
安全策略执行实体更新现有安全规则并实施。
[0019]实施例一:
一种基于用户身份的虚拟化资源访问控制方法在防火墙设备中的应用。
[0020]如图1所示，包括以下步骤: 51、云资源管理平台创建或更新资源关联表并发送给安全策略管理器；
52、安全管理员通过安全策略管理器中的策略制定模块制定和修改防火墙设备相关的安全策略并更新策略库；
53、安全策略管理器中的规则生成模块查询资源关联表，获得安全策略中所需的用户信息以及当前使用资源的相关信息(例如，IP地址、端口号等)；
54、利用S3查询到的用户当前使用资源的相关信息，根据安全策略的描述，生成最终的五元组安全规则并发送给防火墙设备；
55、防火墙设备更新现有安全规则并实施。
[0021]在整个过程中，如果因用户操作而引起了资源分配的变化，则立刻创建或更新资源关联表。
[0022]实施例二:
一种基于用户身份的虚拟化资源访问控制方法在网关设备中的应用。
[0023]如图1所示，包括以下步骤:
51、云资源管理平台创建或更新资源关联表并发送给安全策略管理器；
52、安全管理员通过安全策略管理器中的策略制定模块制定和修改网关设备相关的安全策略并更新策略库；
53、安全策略管理器中的规则生成模块查询资源关联表，获得安全策略中所需的用户信息以及当前使用资源的相关信息(例如，IP地址、端口号等)；
54、利用S3查询到的用户当前使用资源的相关信息，根据安全策略的描述，生成最终的安全规则并发送给网关设备；
55、网关设备更新现有安全规则并实施。
[0024]在整个过程中，如果因用户操作而引起了资源分配的变化，则立刻创建或更新资源关联表。
[0025]实施例三:
一种基于用户身份的虚拟化资源访问控制方法在入侵检测系统中的应用。
[0026]如图1所示，包括以下步骤:
51、云资源管理平台创建或更新资源关联表并发送给安全策略管理器；
52、安全管理员通过安全策略管理器中的策略制定模块制定和修改入侵检测系统相关的安全策略并更新策略库；
53、安全策略管理器中的规则生成模块查询资源关联表，获得安全策略中所需的用户信息以及当前使用资源的相关信息(例如，允许/禁止通过的用户IP地址、端口号等)；
54、利用S3查询到的用户当前使用资源的相关信息，根据安全策略的描述，生成最终的安全规则并发送给入侵检测系统中的安全策略执行模块；
55、入侵检测系统中安全策略执行模块更新现有安全规则并实施。
[0027]在整个过程中，如果因用户操作而引起了资源分配的变化，则立刻创建或更新资源关联表。
[0028]实施例四:
一种基于用户身份的虚拟化资源访问控制方法在入侵防御系统中的应用。
[0029]如图1所示，包括以下步骤: 51、云资源管理平台创建或更新资源关联表并发送给安全策略管理器；
52、安全管理员通过安全策略管理器中的策略制定模块制定和修改入侵防御系统相关的安全策略并更新策略库；
53、安全策略管理器中的规则生成模块查询资源关联表，获得安全策略中所需的用户信息以及当前使用资源的相关信息(例如，允许/禁止通过的用户IP地址、端口号等)；
54、利用S3查询到的用户当前使用资源的相关信息，根据安全策略的描述，生成最终的安全规则并发送给入侵防御系统中的安全策略执行模块；
55、入侵防御系统中安全策略执行模块更新现有安全规则并实施。
[0030]在整个过程中，如果因用户操作而引起了资源分配的变化，则立刻创建或更新资源关联表。
[0031]实施例五:
一种基于用户身份的虚拟化资源访问控制方法在上网行为管理产品中的应用。
[0032]如图1所示，包括以下步骤:
51、云资源管理平台创建或更新资源关联表并发送给安全策略管理器；
52、安全管理员通过安全策略管理器中的策略制定模块制定和修改上网行为管理相关的安全策略并更新策略库；
53、安全策略管理器中的规则生成模块查询资源关联表，获得上网行为管理相关安全策略中所需的用户信息以及当前使用资源的相关信息(例如，IP地址、端口号、所属群组等);
54、利用S3查询到的用户当前使用资源的相关信息，根据安全策略的描述，生成最终的安全规则并发送给上网行为管理产品；
55、上网行为管理产品更新现有安全规则并实施。
[0033]在整个过程中，如果因用户操作而引起了资源分配的变化，则立刻创建或更新资源关联表。
[0034]如上所述，对本发明的实施例进行了详细地说明，但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形，这对本领域的技术人员来说是显而易见的。因此，这样的变形例也全部包含在本发明的保护范围之内。
【主权项】
1.一种基于用户身份的虚拟化资源访问控制方法，其特征在于，包括以下步骤: 云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表； 安全策略管理器根据资源关联表和策略库中的安全策略生成安全规则； 安全策略执行实体更新现有安全规则并实施。2.根据权利要求1所述的一种基于用户身份的虚拟化资源访问控制方法，其特征在于，本方法应用于云计算环境，所述基于身份的虚拟化资源访问控制方法包含两个部分:资源关联表建立更新部分和安全策略管理器生成安全规则部分，其中资源关联表建立更新部分主要完成云资源管理平台对资源关联表的建立和更新过程，安全策略管理器生成安全规则部分主要完成安全管理员对安全策略的制定和最终安全规则的生成。3.根据权利要求1所述的云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表步骤，进一步包括:云资源管理平台根据当前资源的使用分配情况建立资源关联表，由于用户操作导致资源分配情况发生变化时，及时更新资源关联表，并发送给安全策略管理器。4.根据权利要求1所述的云资源管理平台根据用户请求分配资源并根据资源的使用分配情况建立更新资源关联表步骤，进一步包括:资源的使用分配情况包括用户的实际身份，所述用户的实际身份是指用户唯一的身份标识、用户名或证书、用户占用资源的标识等，所述用户占用资源的标识是指资源类型、资源名、MAC地址、IP地址、端口号等，以及生成安全规则时所需要的其他信息，所述其他信息是指用户所属群组、用户密级、用户可信度等生成安全规则时所需的信息。5.根据权利要求1所述的安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤，进一步包括:当生成安全规则时，安全策略管理器根据安全策略和资源关联表生成最终安全规则，并发送给相应的安全策略执行实体。6.根据权利要求5所述的安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤，进一步包括:在制定策略时，安全管理员通过安全策略管理器中的策略制定模块制定和修改安全策略并更新策略库。7.根据权利要求5所述的安全策略管理器根据资源关联表和策略库中的策略生成安全规则步骤，进一步包括:生成安全规则具体步骤是安全策略管理器中的规则生成模块利用资源关联表中查询到的信息，包括IP地址、端口号等，替换安全策略的对应部分，生成符合当前资源分配状态的安全规则。8.根据权利要求1所述的安全策略执行实体更新现有安全规则并实施步骤，进一步包括:安全策略执行实体接收到新的安全规则后更新现有安全规则并部署实施新的安全规则。9.根据权利要求8所述的安全策略执行实体更新现有安全规则并实施步骤，进一步包括:由于用户操作导致资源分配情况发生变化或安全策略改变时，安全策略执行实体及时接收和更新安全规则并实施。
【文档编号】H04L29/06GK105915535SQ201610349749
【公开日】2016年8月31日
【申请日】2016年5月24日
【发明人】李晓勇
【申请人】北京朋创天地科技有限公司