[发明专利]混合云环境中资源访问控制的方法及系统有效
申请号: | 201910286462.7 | 申请日: | 2019-04-10 |
公开(公告)号: | CN110012016B | 公开(公告)日: | 2021-04-27 |
发明(设计)人: | 高寿柏;仲茜 | 申请(专利权)人: | 山东师创云服务有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06 |
代理公司: | 济南圣达知识产权代理有限公司 37221 | 代理人: | 李圣梅 |
地址: | 250101 山东省济南市高*** | 国省代码: | 山东;37 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 混合 环境 资源 访问 控制 方法 系统 | ||
本公开提出了混合云环境中资源访问控制的方法及系统,接收用户访问的业务系统的指令,在网络数据包的源端注入用户的有效身份信息;在网络数据包的目的端截获网络数据包并分析用户身份,通过策略列表中已定义的用户与所访问应用的关联关系,判定放行还是拒绝本次网络数据包。本公开技术方案从网络驱动层实现访问控制,加强了对企业业务系统的安全防护。
技术领域
本公开涉及信息数据处理技术领域,特别是涉及混合云环境中资源访问控制的方法及系统。
背景技术
随着云计算技术的日益成熟和广泛应用,其在费用、性能、可靠性、扩展性等方面的优势日益凸显,事业单位和企业逐渐将其业务系统由传统的数据中心迁移到混合云环境中。混合云通过将公有云和私有云融合运用,克服了公有云、私有云的固有不足,是云计算的主要模式和发展方向。在混合云环境中,信息资源多以硬件设施、软件系统、数据等形式提供给用户,综合考虑安全性、费用、性能等要素,通常将核心系统及数据部署到私有云,其他系统及数据部署于公有云。为确保只有合法用户能够访问授权资源,提高混合云信息资源访问的安全性和可管理性,有必要对私有云和公有云中的身份认证和资源访问进行统一管控,管控对象既包括物理主机等硬件资源,又包括虚拟主机等虚拟资源,还包括应用系统等软件资源。
在混合云环境中,云的运营方通常是专业的云服务机构,而事业单位、企业只是云资源的用户,它们通过租用、托管等方式获得混合云中的硬件资源,并将它们的系统和数据部署到云端。混合云的上述特点,使其在资源管理与使用模式上与传统的私有数据中心存在很大的不同,混合云环境中资源的管理者 (云服务机构)和使用者(硬件/虚拟资源的租用者,软件系统和数据的部署者) 通常是不同的实体,而传统数据中心资源的管理者和使用者通常相同。与之相对应,混合云环境中资源访问控制也与传统数据中心有着较大的区别,在传统数据中心模式下,资源的访问控制由资源管理者独立实施,而在混合云环境中资源的访问控制由资源的管理者和使用者共同实施,其中前者负责部署及运维安全认证平台、配置并维护总体安全认证和访问控制策略,后者负责配置并维护本机构相关资源安全认证及访问控制策略。
混合云环境中管控资源的多样性和资源模式的复杂性,决定了访问控制方式不仅仅只针对数据包的网络参数(如:IP地址、端口等),还需针对具体访问的资源及访问该资源的用户,文中称前者为网络级访问控制,后者称为用户级访问控制,显然后者是更高级别的访问控制方式。实现用户级访问的关键问题是识别数据包所属的用户,一个直观的想法是通过用户登陆认证系统时使用的 IP地址,但实际上由于IPV4地址数量的限制,不可能为每一个终端设备在 Internet上都分配一个全球唯一的IPV4地址。解决IP地址不足通常采用网络地址映射(NAT)的方法,它在网络出口处对数据包的局域网内网地址和公网地址(通常是Internet地址)进行转换,这样对于同一局域网的数据包,无论其内网地址是否相同,在公网只有一个地址与其对应,因此只通过IP地址无法对用户进行标识。
发明人在实际工作中发现,从技术层面看,实现数据中心的资源访问控制目前主要包括两类技术方案,一类采用网络防火墙和VPN(Virtual Private Network,虚拟专用网)等传统的网络安全技术,另一类称为IAM(Identity and Access Management,身份识别与访问管理)系统,为专用于身份认证和访问控制的系统。其中,网络防火墙主要工作在网络层,只能处理网络级访问控制,不能满足用户级访问控制;VPN技术具有一定的用户级访问控制能力,但是数据在传输过程中需加密,且所有数据包均需要VPN服务器进行加解密、所属用户识别、拆包重组和访问控制策略的实施,易成为性能瓶颈,影响用户体验;IAM 系统是专门针对用户认证和用户级访问控制开发的系统,具有单点登录、认证管理、用户授权和安全审计等功能。但是现有的IAM系统,通常只针对单一企业的私有数据中心,采用侵入式方式进行部署实施,需对用户现有系统进行修改,将现有系统的用户认证统一交由IAM系统服务器处理,部署维护难度大、成本高、灵活性差,只适用于传统的大型企业的私有数据中心,难以应用于混合云环境。
通过上面描述可见,混合云环境中资源访问控制所面临的主要问题有:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于山东师创云服务有限公司,未经山东师创云服务有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201910286462.7/2.html,转载请声明来源钻瓜专利网。