[发明专利]一种私有云系统及强制访问控制方法

说明书

本发明属于存储资源管理领域，尤其涉及一种私有云系统及强制访问控制方法。本发明的私有云系统由虚拟机、虚拟机交换机、网络存储器和存储网关四个部分组成。通过将具有相同安全级别标志的虚拟机连接到同一虚拟机交换机，并为虚拟机交换机设置一个安全级别标志。将不同安全级别的网络存储器连接到存储网关，通过存储网关设置每个网络存储器的安全级别标志。当虚拟机通过虚拟机交换机向存储网关请求网络存储器时，存储网关根据其安全级别，通过与网络存储器的安全级别进行对比实现对网络存储器的强制访问控制。本方法实现了私有云系统下的强制访问控制，能够完成内外网可证明的安全隔离，实现信息系统的单向导通，利用强制措施保护机构或企业的商业秘密和知识产权。

技术领域

本发明属于存储资源管理领域，尤其涉及一种私有云系统及强制访问控制方法。

背景技术

私有云系统主要面向特定用户提供计算服务，在具备公有云可伸缩性和弹性的优势基础上，通过专用资源提供额外控制和定制能力，可以更好的满足企业特定的IT要求。目前私有云系统已广泛应用在金融、电信、政府、能源、教育、交通等行业。

随着云系统的规模化和集约化的发展，云安全已成为保障云系统稳定、高效运行的基础支撑，是任何一个云系统都无法忽视的重要基础，而访问控制技术更是云安全中的重中之重。在公有云中，系统的主要目标是解决数据共享的问题；而在私有云中，系统的主要目标更重要的是满足企业对内部数据的控制需求，因此，私有云环境中对访问控制提出了更高需求。

云环境中的访问控制从位置上可以分为用户与云系统之间的访问控制、云系统内部虚拟机和存储资源之间的访问控制、云系统内部虚拟机之间的访问控制三类，目前针对用户和云系统之间以及云系统内部虚拟机之间的访问控制都已有相关深入研究和应用，但针对云系统内部虚拟机与集中式存储资源之间的访问控制技术方案较为缺少。此外，常用的访问控制技术可以分为自主访问控制、强制访问控制和基于角色的访问控制。目前绝大多数云系统都原生支持自主访问控制，而基于角色的访问控制一般用于用户与云系统的交互过程中，但在拥有强制隔离需求的私有云部署场景中，强制访问控制一般需要用户自行根据业务需求进行方案设计。通过相关专利搜索，未发现有实施在云系统内部虚拟机与集中式存储资源之间的强制访问控制方案。

发明内容

本发明的目的是提出一种私有云系统及强制访问控制方法，通过将具有相同安全级别标志的虚拟机连接到同一虚拟机交换机，并为虚拟机交换机设置一个安全级别标志。将不同安全级别的网络存储器连接到存储网关，通过存储网关设置每个网络存储器的安全级别标志。当虚拟机通过虚拟机交换机向存储网关请求网络存储器时，存储网关根据其安全级别，通过与网络存储器的安全级别进行对比，实施对网络存储器的强制访问控制，以此实现了私有云系统内部计算资源对网络存储器的强制访问控制。

本发明提出的私有云系统，包括：虚拟机、虚拟机交换机、网络存储器和存储网关，其中：

(1)虚拟机：系统内部存在多个虚拟机，用于提供计算资源，每个虚拟机连接到唯一的一个虚拟机交换机，每个虚拟机具有唯一的安全级别标志；

(2)虚拟机交换机：系统内部存在多个虚拟机交换机，用于虚拟机与存储网关之间的数据交换，每个虚拟机交换机具有唯一的安全级别标志，系统中的虚拟机交换机通过总线与存储网关相连；

(3)网络存储器：系统内部存在多个网络存储器，用于提供存储，每个网络存储器具有唯一的安全级别，多个网络存储器连接到一个存储网关；

(4)存储网关：系统内部有多个存储网关，用于对网络存储器进行强制访问控制，系统中所有存储网关通过总线与虚拟机交换机相连，存储网关能够获知虚拟机或者虚拟机交换机的安全级别标志，存储网关同时也能获知网络存储器的安全级别标志，存储网关负责处理虚拟机对网络存储器的访问请求，实现对网络存储器请求的强制访问控制。