技术领域
[0001] 本
发明涉及云平台技术领域,具体为一种私有云的云平台数据处理方法。
背景技术
[0002] 云计算将巨大的系统池连接在一起以提供各种IT服务,使得超级计算能
力通过互联网自由流通成为了可能,企业与个人用户无需再投入昂贵的
硬件购置成本,只需要通过互联网来购买租赁计算力,通过网络把多个成本相对较低的计算实体整合成一个具有强大计算能力的完美系统,并借助SAAS、PAAS、IAAS、等先进的商业模式把这强大的计算能力分布到终端用户手中。在云平台中,私有云是为局域客户或者企业单独使用而构建的,因而提供对数据、安全性和服务
质量有更高的要求。
[0003] 对于私有云,现有的保护租户数据安全的方式主要有,加密协议方法,这种方法使用静态表来避免IP误导;资源隔离的方法,通过在处理过程中隔离
虚拟机中处理器的高速缓存并隔离这些虚拟高速缓存的虚拟机管理程序缓存,确保数据的安全性。然而在在多租户的SaaS架构中,私有云平台主要面临三个方面的安全威胁:平台内部应用共享资源引起的安全问题、平台自身安全问题及平台在网络层的安全问题。特别是在私有中,恶意代码通过上述三种渠道对云平台同时进行攻击,将造成安全问题,而
现有技术的方法尚不能同时应对。因此,针对相关技术中所存在的上述问题,目前尚未提出有效的解决方案。
发明内容
[0004] 本发明的目的在于提供一种私有云的云平台数据处理方法,包括如下步骤:
[0005] 步骤一,利用沙箱模型维护平台内部的多个应用,对应用
访问行为进行监控和限制;将不同的应用运行于不同的沙箱中,实现应用隔离,沙箱对应用运行时进行文件访问控制、网络访问控制、多线程控制、JNI访问控制;利用两个分离的逻辑沙箱模型,即系统沙箱和应用沙箱,分别提供系统代码和应用代码的运行环境,在逻辑上将系统代码和应用代码分开处理;所述SaaS平台通过保护域模
块、类加载模块、安全策略模块和访问控
制模块来实现应用安全管理,且保护域模块由系统保护域和应用保护域组成,系统保护域使用Java安全体系结构中默认域模型,即通过代码
位置及签名
指定保护域,应用保护域由每个应用的应用上下文来指定,逻辑上与一个Web应用相对应;在类加载模块中,实现Jetty代码和服务端代码以及应用类两套类加载策略,分别由系统类加载器和WebApp类加载器加载;在安全策略模块中,系统沙箱采用Java安全体系结构的安全策略文件来实现安全策略,指定了SaaS平台中应用的默认权限,由WebApp类加载器加载应用类型时,创建相应App实例,同时初始化该App的权限集合,访问
控制模块按照两套逻辑分别进行权限检查,利用WebApp安全管理器,当代码
请求访问被保护资源时,判断当前请求是否来自应用,继而触发相应的访问控制逻辑,或将请求委托给父类安全管理器;
[0006] 步骤二,将SaaS平台信息进行隐藏,过滤访问者的异常信息并进行决策,然后将结果返回给用户;所述平台信息包括平台类型、版本信息,由安全平台来集中管理应用运行依赖的jar包、平台本身的静态信息和动态信息;安全平台的Connector模块处理用户请求,并返回应用运行结果,在所有运行结果返回给用户之前进行检测,所有可能暴露平台特征信息的异常信息通过
包装之后由安全平台的过滤模块进行决策再将相应结果返回给用户;平台过滤模块中包括拦截模块和误导模块,拦截模块依据策略拦截入侵者的请求;决策模块依托策略
服务器作为其策略库给出处理方式,为决策方法提供公共的可用
接口,以
插件的形式应用到该决策模块中,误导模块对入侵者发送假消息来误导入侵者,保护平台自身的信息不泄露;当平台过滤模块收到用户请求时,由决策模块调用策略服务器来决定处理方式,调用误导模块对入侵者发送假消息,最后由行为模块来执行拦截动作;
[0007] 步骤三,监听网络数据包,防止对所述SaaS平台的网络层攻击;所述攻击包括分布式DoS攻击,由负载监控模块、负载调整模块和负载策略
控制器模块共同协作实现负载均衡,其中负载监控模块监控当前服务器客户端的负载,然后负载调整模块根据所定义的负载策略,对该平台所连接的客户端的负载进行均衡调整,负载策略控制器模块可以根据用户的需求进行策略定义和调整;采用入口报文过滤,在路由器的入口对匿名攻击方过滤掉伪造源IP地址的数据包,通过网络提供者利用路由器将来源地址不属于客户区域的数据包过滤;在SaaS云平台中安装
防火墙,输入和输出防火墙的数据包利用过滤防火墙,利用该防火墙关闭未使用的端口号;所述攻击还包括网络监听和端口扫描,并且进一步包括:利用SATAN工具分析网络,识别安全问题;在SaaS平台上通过防火墙监听、限制以及更改跨越防火墙的数据流,尝试对外部网络屏蔽有关被保护网络的信息和结构;在SaaS平台中对传输的信息进行加密,从而使监听者不能有效地获得要监听的信息。
[0008] 优选的,所述沙箱模型实现多租户应用隔离,并利用一个Servlet承载SaaS平台内部的多个应用,所述沙箱模型从以下方面提供安全性支持,包括:Java语言安全性、虚拟机的委托类加载机制、安全管理器和JavaAPI;所述沙箱模型支持细粒度访问控制的安全策略,采用保护域安全模型,由安全策略来决定代码具有的访问
许可,对被保护资源的访问激发安全检查,将授权的许可和试图访问所需要的权限进行比较,所述激发安全检查的访问包括文件系统访问、JNI访问本地代码、创建Socket连接;将同一JVM中运行的代码逻辑上分开,分别运行于不同的沙箱中。
[0009] 与现有技术相比,本发明的有益效果是:本发明在私有SaaS云平台中进行安全数据处理,通过多层安全设置增强了平台应用、平台本身和平台外部的安全性。
附图说明
[0010] 图1为本发明私有云的云平台数据处理方法的
流程图。
具体实施方式
[0011] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合具体
实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
[0012] 实施例1
[0013] 本发明的一方面提供了一种私有云的云平台数据处理方法。图1是根据本发明实施例的私有云的云平台数据处理方法流程图。如图1所示,实施本发明的具体步骤如下:
[0014] 为解决私有云SaaS云平
台面临的安全问题,本发明将SaaS平台进行分层来提供安全,三个层次分别为平台内部应用安全、平台自身安全及平台外部入侵防御安全。
[0015] 1.平台内部的应用安全
[0016] 在多租户SaaS模式中,最核心的安全原则就是多租户应用隔离。为了实现多租户应用隔离,云提供商必须提供沙箱架构,通过平台的沙箱性实现集中维护客户部署在SaaS平台上应用的
保密性和完整性。为此,云提供商一般通过为每一个用户应用提供一个Servlet的方法来实现逻辑上的隔离。由于多租户模式下运行多个Servlet的模式会带来较大的系统开销,本发明提出了一种由一个Servlet承载不同应用的解决方案,在实现多租户应用隔离的同时保证系统性能。本发明提出的SaaS安全平台,利用Java技术提供的安全性,并在此
基础上结合SaaS平台特点进行定制而实现的。
[0017] 本发明将Java从多个方面提供了对安全性的支持,包括:Java语言本身安全性、虚拟机的委托类加载机制、安全管理器和JavaAPI。这些共同构成了Java安全体系结构,即沙箱模型,是一个支持灵活的细粒度访问控制的安全策略,并且具有可扩充性和伸缩性的安全体系结构。Java沙箱采用灵活的保护域安全模型,由安全策略来决定代码具有的访问许可,对被保护资源的访问会激发安全检查,这些检查会将授权的许可和其试图访问所需要的权限进行比较。这些激发安全检查的访问包括文件系统访问、JNI访问本地代码、创建Socket连接等。利用Java沙箱模型提供的访问控制功能,将同一JVM中运行的代码逻辑上分开,分别运行于不同的沙箱中。在本发明中SaaS安全平台,利用Java沙箱模型,使不同的应用运行于不同的沙箱中,实现应用隔离功能。本发明中,针对SaaS平台及Jetty和用户应用的特点,在Java沙箱模型的基础上进行扩展。
[0018] 在SaaS平台运行环境中,安全平台提供应用运行的受限的环境,即沙箱环境。沙箱环境实现应用运行时4个方面的访问控制:文件访问控制、网络访问控制、多线程控制、JNI访问控制。在SaaS平台运行环境中,安全平台在Java安全体系结构基础上进行扩展,实现两套逻辑沙箱模型,在逻辑上将系统代码和应用代码分开处理,简化了安全策略文件的配置,提高了系统性能。
[0019] 在SaaS平台运行环境中,两套逻辑沙箱模型即系统沙箱和应用沙箱分别提供系统代码和应用代码的运行环境,并实现访问控制。SaaS平台运行环境安全模型主要通过保护域模块、类加载模块、安全策略模块和访问控制模块来实现。
[0020] 在SaaS系统中,保护域模块由系统保护域和应用保护域组成。系统保护域使用Java安全体系结构中默认的域模型,即通过代码位置及签名指定保护域。应用保护域由每个应用的应用上下文来指定,逻辑上与一个Web应用相对应。
[0021] 在类加载模块中,实现系统类(Jetty代码和服务端代码)和应用类两套类加载策略,分别由系统类加载器和WebApp类加载器加载。
[0022] 在安全策略模块中,系统沙箱采用Java安全体系结构默认的安全策略文件来实现安全策略。默认安全策略指定了SaaS系统中应用的默认权限,由WebApp类加载器加载应用类型时,创建相应App实例,同时初始化该App的权限集合。
[0023] 对于访问控制模块,按照两套逻辑分别进行权限检查。同时出于安全考虑,利用WebApp安全管理器,当代码请求访问被保护资源时,WebApp安全管理器判断当前请求是否来自应用,继而触发相应的访问控制逻辑或是将请求委托给父类安全管理器。
[0024] 2.平台自身安全
[0025]
预防攻击者针对私有云平台进行攻击,在SaaS云平台中隐藏平台信息,包括平台类型、版本信息等。目前获取平台特征信息的方式主要有以下三种:
[0026] (1)通过平台提供的API获取,例如对于实现Servlet2.3以上提供以下方法支持,通过GenericServlet类的getServletContext()方法获取服务器类型;(2)通过工具类提供的API获取;(3)恶意应用通过执行非法操作抛出异常,通过捕捉异常信息追踪调用堆栈,也可分析获取平台类型信息。
[0027] 针对上述3种获取平台特征信息的方法,本发明将从两个方面来实现SaaS平台的信息隐藏。过程如下:
[0028] (1)应用运行依赖的jar包、平台本身的静态信息和动态信息等由安全平台来集中管理;
[0029] (2)安全平台的Connector模块负责处理用户请求并返回应用运行结果,在所有运行结果返回给用户之前进行检测,所有可能暴露平台特征信息的异常信息通过包装之后由过滤模块进行决策再将相应结果返回给用户。
[0030] 当外部入侵者通过多种方式盗取平台信息时,平台过滤模块中的拦截模块和误导模块都将做出防御行为。拦截模块指依据策略拦截入侵者的请求;行为模块包括允许、不允许、过滤部分请求、误导用户等行为;决策模块具有智能方法,它依托于策略服务器作为其策略库,以此给出合适的处理方式。对于决策模块时,本发明的解决方案为各种决策方法提供公共的可用接口,神经网络、
决策树等决策方法均可以插件的形式应用到该模块中。误导模块指对入侵者发送假消息来误导入侵者,从而保护平台自身的信息不泄露。当平台过滤模块收到用户请求时,由决策模块调用策略服务器来决定处理方式,若需要误导用户来保证平台安全则调用误导模块。最后由行为模块来执行动作。
[0031] 3.平台外部的入侵防御安全
[0032] 私有SaaS平台运行环境中实现安全平台,需要考虑平台在网络层的安全问题,包括避免平台受到分布式DoS攻击、防止外部对平台的嗅探等。本发明针对以上情况给出了SaaS平台的安全解决方案。
[0033] 分布式DoS是处于不同位置的多个攻击者同时向一个或多个目标发起协同的拒绝服务攻击,或者一个或多个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。对于分布式DoS攻击的防御,本发明提出的多层次解决方案采取了3种措施来防御分布式DoS攻击:
[0034] (1)网络节流和服务器均衡方法
[0035] 私有云平台采用负载均衡的方法。该方法由负载监控、负载调整和负载策略控制器3个子模块共同协作完成。负载监控模块监控当前服务器客户端的负载,然后负载调整模块根据所定义的负载策略,对该平台所连接的客户端的负载进行均衡调整,负载策略控制器模块可以根据用户的需求进行策略定义和调整。
[0036] (2)报文过滤方法
[0037] 报文过滤采用入口报文过滤和路由报文过滤两种方法。入口报文过滤是一种对付匿名攻击的方,过滤掉伪造源IP地址的数据包。本发明将这种机制配置在路由器的入口,通过网络提供者利用路由器将来源地址不属于该客户区域的数据包过滤掉。
[0038] (3)为云平台安装防火墙
[0039] 本发明采用的另一方法是在SaaS云平台中加装防火墙系统,使得无论是进入还是送出防火墙的数据都经过严格过滤。同时,在防火墙中关掉未使用的端口号,从而防止平台从外部被入侵。
[0040] 对于网络监听和端口扫描,网络监听是指将网络上传输的数据捕获并进行分析的行为。端口扫描是一种非常重要的预攻击探测手段。通过端口扫描可以知道目标主机上开放了哪些端口、运行了哪些服务,这些都是入侵系统的可能途径。
[0041] 在本发明的解决方案中,由反监听扫描模块来预防网络监听和端口扫描。它采取了3种方法来预防网络监听与端口扫描:
[0042] (1)利用SATAN等工具分析网络,从而识别出一些与网络相关的安全问题;(2)在SaaS平台上通过防火墙监听、限制以及更改跨越防火墙的数据流,尝试对外部网络屏蔽有关被保护网络的信息、结构,实现网络的安全保护;(3)在SaaS平台中对传输的信息进行加密。使用手段使监听者不能有效地获得要监听的信息,使得即使监听者可以得到所有的网络通信包,仍然不能获得有用的信息。
[0043] 综上所述,本发明提出了一种在私有SaaS云平台中的数据处理方法,通过多层安全设置增强了平台应用、平台本身和平台外部的安全性。
[0044] 显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和
软件结合。
[0045] 应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何
修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附
权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
[0046] 以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉
本技术领域的技术人员在本发明揭露的技术范围内,根据本发明的技术方案及其发明构思加以等同替换或改变,都应涵盖在本发明的保护范围之内。
