[发明专利]一种基于拟态防御的安全云管理系统构建方法和装置

说明书

本发明提供一种基于拟态防御的安全云管理系统构建方法和装置。该方法包括：利用多样化编译工具搭建多个云管理系统，多个云管理系统之间功能相同但结构不同；构建请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至多个云管理系统；构建请求代理裁决单元用于按照预设的请求处理及部署裁决流程对多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；构建响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和多个云管理系统对执行结果的响应进行处理。本发明可以保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠。

技术领域

本发明涉及云计算网络空间安全技术领域，尤其涉及一种基于拟态防御的安全云管理系统构建方法和装置。

背景技术

随着计算机的普及和发展，人们对于计算和存储等功能的依赖已经深入到工作和生活的各个方面。然而，传统的本地计算模式受限于昂贵的硬件成本和复杂的管理操作等，越来越难以满足个人、企业和政府等对于廉价、高效、便捷和灵活的计算服务的需求。因此，一种新型的计算模式—云计算应运而生。云计算具有按需服务、便捷访问、计量收费、快速部署和灵活管理等特点和优势。OpenStack的出现在云计算的发展历程中具有里程碑式的重要意义。

然而，云计算同时也面临着非常严重的安全问题，特别是针对Openstack本身的安全性问题国内外缺乏足够的关注与研究。一旦攻击者通过漏洞后门等方式越权访问了Openstack等云管理系统，攻击者可以对整个系统进行“销毁”式破坏，也可以利用高权限合法地窃取其他租户的隐私信息或篡改云服务，或者进一步修改网络配置及部署策略进行各种其他类型的攻击，如共存攻击、逃逸攻击等。

当前政府、企、事业单位搭建云平台时往往采用基于Openstack进行增量开发，Openstack作为开源软件，其源码漏洞容易被攻击者获取。当前公有云提供商为了管理和开发的便利，大多采用单一架构，如文献（陈其云, 陈志康. 基于模型分析的公有云安全风险与对策研究[J]. 现代电信科技, 2012(8):6-10）中所讲，云管理系统的单一性、同质性、漏洞与后门存在的普遍性放大了云管理系统遭受攻击的可能性与危害。针对云管理系统的安全问题是一个亟待解决的新的安全问题，是云服务安全可靠的基础，但云管理系统的可用性、可信性、安全性和可靠性，不能仅仅依靠Openstack等云管理系统本身的代码优化和漏洞修补，还应该从体系设计上进行安全优化。

发明内容

为应对Openstack等云管理平台自身遭受攻击而带来的安全风险问题，本发明提供一种基于拟态防御的安全云管理系统构建方法和装置，保证管理员对网络的操作信息不被窃取和恶意篡改，保证对云系统的操作安全可靠。

本发明提供一种基于拟态防御的安全云管理系统构建方法，该方法包括：

步骤1：利用多样化编译工具搭建多个云管理系统，所述多个云管理系统之间功能相同但结构不同；

步骤2：构建请求代理转发单元，所述请求代理转发单元用于接收用户请求，建立请求队列，并根据控制信息将用户请求转发至所述多个云管理系统；

步骤3：构建请求代理裁决单元，所述请求代理裁决单元用于按照预设的请求处理及部署裁决流程对所述多个云管理系统针对同一用户请求的响应进行处理，并将处理结果转发至Openstack执行组件；

步骤4：构建响应转发单元和回复响应裁决单元，所述响应转发单元和回复响应裁决单元用于按照预设的响应拟态裁决及输出流程对Openstack执行组件的执行结果和所述多个云管理系统对所述执行结果的响应进行处理。

进一步地，步骤1包括：

步骤1.1：选择预设Openstack版本作为初始源码，根据所述初始源码基于随机化技术和代码混淆技术利用多样化编译工具生成多个版本Openstack管理软件；