[发明专利]一种私有云系统及强制访问控制方法

权利要求书

1.一种私有云系统，包括：虚拟机、虚拟机交换机、网络存储器和存储网关，其中：

（1）虚拟机：系统内部存在多个虚拟机，用于提供计算资源，每个虚拟机连接到唯一的一个虚拟机交换机，每个虚拟机具有唯一的安全级别标志；

（2）虚拟机交换机：系统内部存在多个虚拟机交换机，用于虚拟机与存储网关之间的数据交换，每个虚拟机交换机具有唯一的安全级别标志，系统中的虚拟机交换机通过总线与存储网关相连；

（3）网络存储器：系统内部存在多个网络存储器，用于提供存储，每个网络存储器具有唯一的安全级别，多个网络存储器连接到一个存储网关；

（4）存储网关：系统内部有多个存储网关，用于对网络存储器进行强制访问控制，系统中所有存储网关通过总线与虚拟机交换机相连，存储网关能够获知虚拟机或者虚拟机交换机的安全级别标志，存储网关同时也能获知网络存储器的安全级别标志，存储网关负责处理虚拟机对网络存储器的访问请求，实现对网络存储器请求的强制访问控制；

其中，同一安全级别的一个或多个虚拟机连接到同一个虚拟机交换机，通过虚拟机交换机的安全级别表示虚拟机的安全级别；

其中，所述对网络存储器请求的强制访问控制，包括：在私有云系统中通过安全级别的划分为虚拟机和网络存储器进行标记，将虚拟机安全级别与虚拟机ip地址或mac地址绑定，并与同一安全级别的虚拟机交换机物理连接，存储网关与虚拟机交换机物理连接并作为强制访问控制的控制点，实现私有云系统内部计算资源对网络存储器的强制访问控制。

2.如权利要求1所述的私有云系统，其特征在于，所述系统中所有虚拟机交换机与外部的用户接入网关系统相连接；用户接入网关系统负责对用户进行身份鉴别，并根据用户权限确定其可以操作虚拟机的安全级别，用户通过用户接入网关系统操作本系统内虚拟机。

3.如权利要求1所述的私有云系统，其特征在于，将物理的网络存储器虚拟化为具有不同安全等级的多个虚拟网络存储器。

4.如权利要求1所述的私有云系统，其特征在于，其中强制访问控制方法包括以下步骤：

（1）安全级别为a级的虚拟机通过相连的虚拟机交换机向存储网关发起对安全级别为b级的网络存储器的读取操作请求或写入操作请求；

（2）存储网关从虚拟机交换机获取虚拟机的网络地址信息，并根据网络地址信息与安全级别的映射规则，确定虚拟机的安全标志a，并与所需操作的网络存储器的安全级别标志b进行比较，根据比较结果实施强制访问控制：

若a=b，允许对网络存储器进行读取和写入操作；

若ab，允许对网络存储器进行读取操作，但不允许进行写入操作；

若ab，允许对网络存储器进行写入操作，但不允许进行读取操作。

5.如权利要求4所述的私有云系统，其特征在于虚拟机的安全级别标志由虚拟机的IP地址确定，IP地址和安全级别的映射规则记录在存储网关中。

6.如权利要求4所述的私有云系统，其特征在于虚拟机的安全级别标志通过虚拟机的mac地址确定，mac地址与虚拟机安全级别的映射规则记录在存储网关中。

7.如权利要求4所述的私有云系统，其特征在于虚拟机的安全级别标志由虚拟机交换机的安全级别确定，虚拟机交换机通过确定的连接方式与存储网关相连，存储网关能获知虚拟机交换机的安全级别标志。

8.如权利要求4所述的私有云系统，其特征在于网络存储器的安全级别通过配置记录在存储网关中。