技術(shù)領(lǐng)域

本發(fā)明涉及云系統(tǒng)技術(shù)領(lǐng)域，尤其涉及一種安全私有云系統(tǒng)的實現(xiàn)方法。

背景技術(shù)

私有云是為一個客戶單獨使用而構(gòu)建的，因而提供對數(shù)據(jù)、安全性和服務(wù)質(zhì)量的最有效控制。私有云可部署在企業(yè)數(shù)據(jù)中心的防火墻內(nèi)，也可將它們部署在一個安全的主機托管場所，它可由公司自己的IT機構(gòu)，也可由云提供商進(jìn)行構(gòu)建；在此“托管式專用”模式中，像Sun、IBM這樣的云計算提供商可以安裝、配置和運營基礎(chǔ)設(shè)施，以支持一個公司企業(yè)數(shù)據(jù)中心內(nèi)的專用云，此模式賦予公司對于云資源使用情況的極高水平的控制能力，同時帶來建立并運作該環(huán)境所需的專門知識。

虛擬化能充分利用計算機系統(tǒng)的資源，但由此而引起的安全性問題一直是研究的重點，由于云系統(tǒng)物理上的整體連接性決定了云系統(tǒng)的安全問題是一個非常復(fù)雜、難以解決的問題。傳統(tǒng)的私有云安全問題是在每個虛擬化的機器安裝防火墻、利用GUEST的登錄功能進(jìn)行用戶身份認(rèn)證，這些結(jié)果的最大問題是：①無法阻止文件在同一內(nèi)網(wǎng)未經(jīng)授權(quán)的傳輸；②無法控制未經(jīng)授權(quán)的用戶訪問指定的GUEST；③無法控制用戶和GUEST之間的文件未經(jīng)授權(quán)的傳輸；④無法阻止未經(jīng)授權(quán)的用戶訪問GUEST遠(yuǎn)程桌面；⑤無法確保非法用戶通過訪問HOST直接把整個GUEST虛擬文件直接非法復(fù)制到未授權(quán)用戶的計算機中，對私有云的大規(guī)模普及影響較大。盡管采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如VLAN、VPN、SSH登錄、防火墻、身份認(rèn)證可阻止外部非法用戶的訪問，但是無法阻止合法用戶在域內(nèi)未經(jīng)授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包收發(fā)、未經(jīng)授權(quán)的文件傳輸、跨域未經(jīng)授權(quán)的傳輸文件和跨域未經(jīng)授權(quán)的網(wǎng)絡(luò)數(shù)據(jù)包收發(fā)，這些問題直接影響私有云的安全。因此，結(jié)合以上分析，需要對現(xiàn)有技術(shù)進(jìn)行合理的創(chuàng)新。

發(fā)明內(nèi)容

針對以上缺陷，本發(fā)明提供一種安全私有云系統(tǒng)的實現(xiàn)方法，通過合理設(shè)置安全私有云的系統(tǒng)物理框架，并提出基于不同安全域+VDE及IP+PKI用戶名身份認(rèn)證+執(zhí)行代碼校驗認(rèn)證的技術(shù)和安全遠(yuǎn)程桌面訪問技術(shù)，從而配合監(jiān)控和防火墻技術(shù)，來解決私有云的安全性問題。

為實現(xiàn)上述目的，本發(fā)明采用以下技術(shù)方案：

一種安全私有云系統(tǒng)的實現(xiàn)方法，主要包括以下步驟：

(1)首先于客戶端配置USB-KEY或者軟證書，用WINDOWS-XP系統(tǒng)進(jìn)行訪問；

(2)HOST采用UBUNTO系統(tǒng)加防火墻，用NETFILTER架構(gòu)技術(shù)進(jìn)行包過濾和端口映射；

(3)客戶端代碼認(rèn)證采用MD5或SHA-1算法；

(4)虛擬機OS采用VIRTUALBOX-OSE或VIRTUALBOX配置，遠(yuǎn)程桌面端口采用GUEST端口或VIRTUALBOX-RDP端口；

(5)采用鉤子技術(shù)，以便于阻止用戶按printscreen進(jìn)行屏幕復(fù)制；

(6)設(shè)置控制用戶的訪問范圍，分內(nèi)網(wǎng)、外網(wǎng)；

(7)通過設(shè)置安全模塊B限制GUEST之間相互訪問，限制HOST訪問外網(wǎng)；

(8)采用UBUNTO系統(tǒng)的VDE開源模塊隔離本機的HOST和GUEST。

其中的GUEST采用防火墻與防病毒程序，客戶端和GUEST運行進(jìn)程掃描程序。

本發(fā)明所述的安全私有云系統(tǒng)的實現(xiàn)方法的有益效果為：通過設(shè)置新的物理框架和基于PKI技術(shù)+用戶名和ip地址綁定技術(shù)，根據(jù)虛擬機和用戶的不同要求將系統(tǒng)劃分為不同的VDE，通過包過濾技術(shù)防止GUEST、HOST及GUEST之間非法傳輸信息，利用隨機端口技術(shù)只開放遠(yuǎn)程桌面對GUEST的訪問，采用在用戶端安裝自己的遠(yuǎn)程桌面軟件和監(jiān)控只運行一次保證用戶端資源無法被GUEST共享+printscreen鍵屏蔽技術(shù)，從而保證GUEST機器的信息只能在系統(tǒng)指定的范圍內(nèi)被合法的用戶訪問；另外，內(nèi)核為2.4和2.6版本的LINUX系統(tǒng)HOST采用本方法也在本發(fā)明的保護(hù)范圍內(nèi)。

附圖說明

下面根據(jù)附圖對本發(fā)明作進(jìn)一步詳細(xì)說明。

圖1是本發(fā)明實施例所述安全私有云系統(tǒng)的實現(xiàn)方法的系統(tǒng)框架示意圖。

具體實施方式

如圖1所示，本發(fā)明實施例所述的安全私有云系統(tǒng)的實現(xiàn)方法，據(jù)圖可知，若用戶和外網(wǎng)用戶要訪問HOST，只能通過安全模塊A和安全模塊B；若跨機器的HOST或者GUEST之間相互訪問，則只能通過安全模塊B；