一種訪問控制系統(tǒng)及其方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,尤其涉及一種訪問控制系統(tǒng)及其方法。
【背景技術(shù)】
[0002]云計算的特點之一就是將資源進行集中分配調(diào)度�。虛擬化使得物理設(shè)備轉(zhuǎn)化為資源池,具有按需分配和互相隔離的特征�,因此虛擬化是資源能夠靈活分配調(diào)度的必要條件。服務(wù)器虛擬化和存儲虛擬化都有比較成熟的解決方案���,但是數(shù)據(jù)中心的業(yè)務(wù)是離不開網(wǎng)絡(luò)的��,每個租戶都需要通過網(wǎng)絡(luò)連接自己的虛擬機�����,并且不能與其他租戶的網(wǎng)絡(luò)互相干擾�,因此�,網(wǎng)絡(luò)作為資源的一部分同樣向著虛擬化方向發(fā)展。數(shù)據(jù)中心的網(wǎng)絡(luò)必須隔離成多個虛擬網(wǎng)絡(luò)�����,分配給各個租戶�,使每個租戶都感覺在獨立使用網(wǎng)絡(luò),可以分配自己的IP地址����,設(shè)置自己的網(wǎng)絡(luò)安全策略�。
[0003]按照目前的網(wǎng)絡(luò)技術(shù)�����,租戶網(wǎng)絡(luò)的隔離可以采用虛擬局域網(wǎng)(Virtual LocalArea NetWOrk��,VLAN)技術(shù)��,安全策略可以在交換機上進行配置����。然而,虛擬機的申請��、釋放和迀移都具有動態(tài)性���,這使得與虛擬機相關(guān)的網(wǎng)絡(luò)配置也必須具有動態(tài)性�,因此頻繁修改網(wǎng)絡(luò)配置影響網(wǎng)絡(luò)管理�。
【發(fā)明內(nèi)容】
[0004]為解決上述問題,本發(fā)明提供一種訪問控制系統(tǒng)及其方法�����,用于解決現(xiàn)有的云計算虛擬網(wǎng)絡(luò)的安全策略的改變影響網(wǎng)絡(luò)管理的問題����。
[0005]為此,本發(fā)明提供一種訪問控制方法�,包括:
[0006]步驟S1、云安全管理單元根據(jù)預(yù)設(shè)的第一訪問控制策略在虛擬網(wǎng)絡(luò)之中形成多個安全域�����,所述安全域包括至少一個虛擬機��,所述云安全管理單元設(shè)置在云計算虛擬網(wǎng)絡(luò)內(nèi)����;
[0007]步驟S2、安全代理單元根據(jù)所述第一訪問控制策略形成第二訪問控制策略����,所述安全代理單元設(shè)置在物理主機內(nèi),所述第二訪問控制策略用于對所述物理主機內(nèi)的虛擬機進行訪問控制����,所述云安全管理單元與所述安全代理單元連接。
[0008]可選的��,所述步驟S2包括:
[0009]根據(jù)所述第一訪問控制策略形成第三訪問控制策略����,所述第三訪問控制策略用于對同一個安全域內(nèi)的虛擬機之間的通信進行訪問控制����;
[0010]根據(jù)所述第一訪問控制策略形成第四訪問控制策略�,所述第四訪問控制策略用于對一個安全域內(nèi)的虛擬機與另一個安全域內(nèi)的虛擬機之間的通信進行訪問控制。
[0011]可選的�,所述步驟S2包括:
[0012]根據(jù)所述第一訪問控制策略形成第五訪問控制策略,所述第五訪問控制策略用于對同一個物理主機內(nèi)的虛擬機之間的通信進行訪問控制�;
[0013]根據(jù)所述第一訪問控制策略形成第六訪問控制策略,所述第六訪問控制策略用于對一個物理主機內(nèi)的虛擬機與另一個物理主機內(nèi)的虛擬機之間的通信進行訪問控制�。
[0014]可選的,所述步驟S1包括:
[0015]改變所述第一訪問控制策略��;
[0016]根據(jù)改變后的第一訪問控制策略形成多個安全域���。
[0017]可選的���,所述步驟S2包括:
[0018]監(jiān)測所述第一訪問控制策略的狀態(tài);
[0019]當(dāng)所述第一訪問控制策略改變時根據(jù)改變后的第一訪問控制策略形成新的第二訪問控制策略����。
[0020]本發(fā)明提供一種訪問控制系統(tǒng),包括云安全管理單元和安全代理單元�����,所述云安全管理單元設(shè)置在云計算虛擬網(wǎng)絡(luò)內(nèi)���,所述安全代理單元設(shè)置在物理主機內(nèi)��,所述云安全管理單元與所述安全代理單元連接����;
[0021]所述云安全管理單元用于根據(jù)預(yù)設(shè)的第一訪問控制策略在虛擬網(wǎng)絡(luò)之中形成多個安全域����,所述安全域包括至少一個虛擬機;
[0022]所述安全代理單元用于根據(jù)所述第一訪問控制策略形成第二訪問控制策略��,所述第二訪問控制策略用于對所述物理主機內(nèi)的虛擬機進行訪問控制����。
[0023]可選的,所述安全代理單元包括第一安全代理模塊和第二安全代理模塊��;
[0024]所述第一安全代理模塊用于根據(jù)所述第一訪問控制策略形成第三訪問控制策略�,所述第三訪問控制策略用于對同一個安全域內(nèi)的虛擬機之間的通信進行訪問控制;
[0025]所述第二安全代理模塊用于根據(jù)所述第一訪問控制策略形成第四訪問控制策略��,所述第四訪問控制策略用于對一個安全域內(nèi)的虛擬機與另一個安全域內(nèi)的虛擬機之間的通信進行訪問控制。
[0026]可選的��,所述安全代理單元包括第三安全代理模塊和第四安全代理模塊���;
[0027]所述第三安全代理模塊用于根據(jù)所述第一訪問控制策略形成第五訪問控制策略����,所述第五訪問控制策略用于對同一個物理主機內(nèi)的虛擬機之間的通信進行訪問控制����;
[0028]所述第四安全代理模塊用于根據(jù)所述第一訪問控制策略形成第六訪問控制策略,所述第六訪問控制策略用于對一個物理主機內(nèi)的虛擬機與另一個物理主機內(nèi)的虛擬機之間的通信進行訪問控制�����。
[0029]可選的���,所述云安全管理單元包括改變模塊和第一形成模塊��,所述改變模塊與所述第一形成模塊連接��;
[0030]所述改變模塊用于改變所述第一訪問控制策略�����;
[0031]所述第一形成模塊用于根據(jù)改變后的第一訪問控制策略形成多個安全域����。
[0032]可選的,所述安全代理單元包括監(jiān)測模塊和第二形成模塊��,所述監(jiān)測模塊與所述第二形成模塊連接��;
[0033]所述監(jiān)測模塊用于監(jiān)測所述第一訪問控制策略的狀態(tài)�����;
[0034]所述第二形成模塊用于當(dāng)所述第一訪問控制策略改變時根據(jù)改變后的第一訪問控制策略形成新的第二訪問控制策略�。
[0035]本發(fā)明具有下述有益效果:
[0036]本發(fā)明提供的訪問控制系統(tǒng)及其方法中����,所述訪問控制方法包括:云安全管理單元根據(jù)預(yù)設(shè)的第一訪問控制策略在虛擬網(wǎng)絡(luò)之中形成多個安全域,所述安全域包括至少一個虛擬機�����,所述云安全管理單元設(shè)置在云計算虛擬網(wǎng)絡(luò)內(nèi)��;安全代理單元根據(jù)所述第一訪問控制策略形成第二訪問控制策略,所述安全代理單元設(shè)置在物理主機內(nèi)��,所述第二訪問控制策略用于對所述物理主機內(nèi)的虛擬機進行訪問控制��,所述云安全管理單元與所述安全代理單元連接�����。本發(fā)明提供的技術(shù)方案改變虛擬網(wǎng)絡(luò)的安全策略時不用修改與虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)配置����,從而避免網(wǎng)絡(luò)配置的修改影響到虛擬網(wǎng)絡(luò)的管理。另外����,本發(fā)明提供的技術(shù)方案可以為多個租戶提供可靠、安全以及可擴展的網(wǎng)絡(luò)����,通過設(shè)置訪問控制策略實現(xiàn)對虛擬機與外界之間的訪問控制行為,同一安全域內(nèi)的虛擬機對外界具有相同的訪問策略��,從而實現(xiàn)安全域的劃分����。同時��,本發(fā)明提供的技術(shù)方案通過設(shè)置不同等級的訪問控制策略還可以實現(xiàn)不同層級的訪問控制�����,從而實現(xiàn)安全域之間以及安全域之內(nèi)的細(xì)粒度訪問控制��,從而可以降低云服務(wù)提供商向租戶提供網(wǎng)絡(luò)服務(wù)的成本�����。
【附圖說明】
[0037]圖1為本發(fā)明實施例一提供的一種訪問控制方法的流程圖;
[0038]圖2為本發(fā)明實施例二提供的一種訪問控制系統(tǒng)的結(jié)構(gòu)示意圖�;
[0039]圖3為本發(fā)明實施例二提供的一種訪問控制系統(tǒng)的架構(gòu)圖。
【具體實施方式】
[0040]為使本領(lǐng)域的技術(shù)人員更好地理解本發(fā)明的技術(shù)方案���,下面結(jié)合附圖對本發(fā)明提供的訪問控制系統(tǒng)及其方法進行詳細(xì)描述��。
[0041 ] 實施例一
[0042]圖1為本發(fā)明實施例一提供的一種訪問控制方法的流程圖�����。如圖1所示��,所述訪問控制方法包括: