專利名稱:一種利用強制訪問控制限制云計算特權用戶權限的方法
技術領域:
本發(fā)明涉及一種計算機應用技術領域,具體地說是一種利用強制訪問控制限制云計算特權用戶權限的方法。本發(fā)明涉及云操作系統(tǒng)數(shù)據(jù)中心安全領域,尤其是對于特權用戶訪問權限的管理,具體地說是一種基于 ROST (Reinforcement Operating System Technique)的方法,核心就是在云操作系統(tǒng)底層構建云安全模塊來實現(xiàn)強制訪問控制來限制特權用戶對資源的訪問和操作。
背景技術:
云計算以及基于云計算的應用越來越多,其高效以及節(jié)約成本等諸多優(yōu)點使得其受到業(yè)界的關注。但是,它的安全問題尤其是特權用戶的信任問題一直成為許多廠商猶豫的主要原因。尤其是在政府部門、金融部門等準備大規(guī)模應用這種新技術的時候,成為最大的阻礙。特權用戶的管理和信任問題,是影響用戶是否決定向云計算遷移的很重要的一個因素。由于在云計算環(huán)境中,用戶的關鍵數(shù)據(jù)包括密鑰都是存儲在遠端的數(shù)據(jù)中心的,所以如何控避免內(nèi)部人員也就是特權用戶濫用用戶數(shù)據(jù),造成用戶嚴重的損失,是十分必要的。 因而限制特權用戶的訪問和操作,構建安全的云計算操作系統(tǒng)刻不容緩。本技術與傳統(tǒng)的安全技術相結合,能夠限制云計算特權用戶的權限,必將推動云計算更廣泛的應用。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種利用強制訪問控制限制云計算特權用戶權限的方法。本發(fā)明的目的是按以下方式實現(xiàn)的,在云操作系統(tǒng)底層加上安全模塊,攔截特權用戶所有的文件訪問路徑并記錄,從而達到限制特權用戶訪問數(shù)據(jù)中心的要求,安全模塊主要組件是強制訪問控制模塊,強制訪問控制模塊基于用戶對文件的訪問控制,因為特權用戶的一切操作都要最終轉(zhuǎn)換成對文件的操作,所以只需控制其對文件的操作即可控制限制特權用戶訪問云計算;限制步驟如下云安全模塊中的文件系統(tǒng)過濾驅(qū)動程序在初始化時,逐條插入訪問規(guī)則,并允許任何時候動態(tài)添加或刪除指定結點,以便截獲來自特權用戶或者進程對數(shù)據(jù)的I/O請求, 當截獲到數(shù)據(jù)的I/O請求時遍歷規(guī)則鏈表,并根據(jù)所定義的訪問規(guī)則進行過濾,符合規(guī)則者立即轉(zhuǎn)交原服務函數(shù),否則丟棄。本發(fā)明的優(yōu)異效果是,云計算中限制特權用戶權限的技術通過控制特權用戶對文件的訪問,解決了用戶對于特權用戶不信任的困擾。通過強制訪問控制保護云計算數(shù)據(jù)中心中用戶的資源,尤其是密鑰和關鍵業(yè)務數(shù)據(jù)等。
圖1是增加安全模塊處理特權用戶訪問數(shù)據(jù)中心的系統(tǒng)結構示意圖;
具體實施例方式
參照說明書附圖對本發(fā)明的方法作以下詳細地說明。在云操作系統(tǒng)底層加上安全模塊,攔截特權用戶所有的文件訪問路徑并記錄,從而達到限制特權用戶訪問數(shù)據(jù)中心的要求。安全模塊主要組件是強制訪問控制模塊。強制訪問控制模塊基于用戶對文件的訪問控制,因為特權用戶的一切操作都可以最終轉(zhuǎn)換成對文件的操作,所以只需控制其對文件的操作即可。限制步驟如下云安全模塊中的文件系統(tǒng)過濾驅(qū)動程序在初始化時,逐條插入訪問規(guī)則,并允許任何時候動態(tài)添加或刪除指定結點,以便截獲來自特權用戶或者進程對數(shù)據(jù)的I/O請求, 當截獲到數(shù)據(jù)的I/O請求時遍歷規(guī)則鏈表,并根據(jù)所定義的訪問規(guī)則進行過濾,符合規(guī)則者立即轉(zhuǎn)交原服務函數(shù),否則丟棄。
權利要求
1. 一種利用強制訪問控制限制云計算特權用戶權限的方法,其特征在于在云操作系統(tǒng)底層加上安全模塊,攔截特權用戶所有的文件訪問路徑并記錄,從而達到限制特權用戶訪問數(shù)據(jù)中心的要求,安全模塊主要組件是強制訪問控制模塊,強制訪問控制模塊基于用戶對文件的訪問控制,因為特權用戶的一切操作都要最終轉(zhuǎn)換成對文件的操作,所以只需控制其對文件的操作即可控制限制特權用戶訪問云計算; 限制步驟如下云安全模塊中的文件系統(tǒng)過濾驅(qū)動程序在初始化時,逐條插入訪問規(guī)則,并允許任何時候動態(tài)添加或刪除指定結點,以便截獲來自特權用戶或者進程對數(shù)據(jù)的I/O請求,當截獲到數(shù)據(jù)的I/O請求時遍歷規(guī)則鏈表,并根據(jù)所定義的訪問規(guī)則進行過濾,符合規(guī)則者立即轉(zhuǎn)交原服務函數(shù),否則丟棄。
全文摘要
本發(fā)明提供一種利用強制訪問控制限制云計算特權用戶權限的方法,該方法是通過強制訪問控制檢查特權用戶是否有權限操作云計算數(shù)據(jù)中心的資源,利用強制訪問控制設定用戶訪問控制權限與傳統(tǒng)的自主訪問控制相比,可以實現(xiàn)云計算數(shù)據(jù)中心資源的細粒度訪問控制,防止特權用戶進行與工作職責無關的操作。
文檔編號H04L29/06GK102156839SQ20111009051
公開日2011年8月17日 申請日期2011年4月12日 優(yōu)先權日2011年4月12日
發(fā)明者王佳慧 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司