技術領域

本發明涉及虛擬機安全控制技術領域，尤其涉及一種虛擬機訪問權限的控制方法、系統及裝置。

背景技術

云計算是一種利用大規模低成本運算單元通過IP網絡相連而所組成的運算系統來提供運算服務的技術。云計算系統底層硬件平臺由大量標準化商業服務器組成，通過復雜的IP網絡互聯，在平臺上運行云計算的軟件棧。

彈性計算云平臺為用戶提供了一個虛擬集群環境，使得用戶的應用具有充分的靈活性，同時也減輕了云計算平臺管理者的管理負擔。彈性計算云中的虛擬機實例是一些真正在運行中的虛擬機服務器，每一個虛擬機實例代表一個運行中的虛擬機。對于提供給某一個用戶的虛擬機，該用戶對該虛擬機具有完整的訪問權限，包括針對此虛擬機的管理員用戶權限。彈性計算云平臺作為云計算應用的動態擴展，在云計算應用運行期間實現支撐云計算應用的虛擬機實例個數的動態增加或者減少，例如，在網絡負載較高的時候啟動較多的虛擬機實例，在網絡負載較低的情況停止一些虛擬機實例。

在彈性云計算平臺中，對應虛擬機的安全管理是非常重要的一方面。現有的虛擬機安全管理機制主要集中在虛擬機的網絡隔離方面，目前應用較普遍的方案是通過在物理機上安裝防火墻來實現虛擬機的隔離和交互，即針對每臺虛擬機設置對應的安全訪問策略，例如，濾除系統認為存在不安全因素的IP地址。通過防火墻隔離技術，此類被安全訪問策略設定的IP地址對應的虛擬機無法訪問該虛擬機。該過程主要通過在物理機層次由系統管理員來定制管理，該安全管理方法缺乏靈活性，沒有考慮到虛擬機實際對訪問權限方面的安全性要求。

綜上所述，現有的虛擬機安全管理技術主要基于系統管理員根據網絡側對虛擬機管理的需求實現，不能根據虛擬機實際的安全性要求實現對虛擬機的安全控制。

發明內容

有鑒于此，本發明實施例提供一種虛擬機訪問權限的控制方法、系統及裝置，采用該技術方案，能夠根據虛擬機的安全性要求實現對虛擬機的安全控制。

本發明實施例通過如下技術方案實現：

根據本發明實施例的一個方面，提供了一種虛擬機訪問權限的控制方法，包括：

接收第一虛擬機發送的對第二虛擬機的訪問請求；

根據所述訪問請求，確定所述第一虛擬機以及所述第二虛擬機分別對應的安全標識；

在比較確定的所述安全標識一致后，允許所述第一虛擬機訪問所述第二虛擬機。

根據本發明實施例的另一個方面，還提供了一種虛擬機訪問權限的控制系統，包括：

第一虛擬機、第二虛擬機以及虛擬機訪問權限控制裝置；

其中：

所述第一虛擬機，用于向所述虛擬機訪問權限控制裝置發送對第二虛擬機的訪問請求；

所述虛擬機訪問權限控制裝置，用于根據所述第一虛擬機發送的對第二虛擬機的訪問請求，確定所述第一虛擬機以及所述第二虛擬機分別對應的安全標識，并在比較確定的所述安全標識一致后，允許所述第一虛擬機訪問所述第二虛擬機。

根據本發明實施例的另一個方面，還提供了一種虛擬機訪問權限的控制裝置，包括：

接收單元，用于接收第一虛擬機發送的對第二虛擬機的訪問請求；

安全標識確定單元，用于根據所述接收單元接收的訪問請求，確定所述第一虛擬機以及所述第二虛擬機分別對應的安全標識；

權限控制單元，用于在比較所述安全標識確定單元確定的所述安全標識一致后，允許所述第一虛擬機訪問所述第二虛擬機。

通過本發明實施例提供的上述至少一個技術方案，在接收第一虛擬機發送的對第二虛擬機的訪問請求后，根據接收的訪問請求確定該第一虛擬機以及第二虛擬機分別對應的安全標識，并在比較確定的安全標識一致后，允許第一虛擬機訪問第二虛擬機。根據該技術方案，能夠根據虛擬機對應的安全標識確定是否允許第一虛擬機對第二虛擬機的訪問，從而實現了根據虛擬機的安全性要求對虛擬機的安全控制。

本發明的其它特征和優點將在隨后的說明書中闡述，并且，部分地從說明書中變得顯而易見，或者通過實施本發明而了解。本發明的目的和其他優點可通過在所寫的說明書、權利要求書、以及附圖中所特別指出的結構來實現和獲得。

附圖說明

附圖用來提供對本發明的進一步理解，并且構成說明書的一部分，與本發明實施例一起用于解釋本發明，并不構成對本發明的限制。在附圖中：

圖1為本發明實施例一提供的物理機邏輯結構示意圖；

圖2為本發明實施例一提供的虛擬機訪問權限的控制方法流程圖；

圖3為本發明實施例一提供的第一虛擬機向安全管理模塊發送對第二虛擬機的訪問請求的流程圖；