專利名稱:安全按需供給方法及系統(tǒng)、業(yè)務(wù)類型獲取方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù),尤其涉及一種安全按需供給方法及系統(tǒng)、業(yè)務(wù)類型獲取方法。
背景技術(shù):
最近幾年云計(jì)算迅速發(fā)展,從早期的理論階段逐漸轉(zhuǎn)化成產(chǎn)品并投放市場,技術(shù)日益成熟。無論是互聯(lián)網(wǎng)廠商和運(yùn)營商,還是通信廠商和基礎(chǔ)網(wǎng)絡(luò)運(yùn)營商,都對云計(jì)算表現(xiàn)出極大的關(guān)注。狹義的云計(jì)算是指互聯(lián)網(wǎng)技術(shù)(IT, Internet Technology)基礎(chǔ)設(shè)施的交付和使用模式,指通過網(wǎng)絡(luò)以按需、易擴(kuò)展的方式獲得所需的資源;廣義的云計(jì)算是指服務(wù)的交付和使用模式。這種服務(wù)的形式是基于擁有超強(qiáng)計(jì)算能力的數(shù)據(jù)中心,通過它提供的計(jì)算能力,從而運(yùn)行各種定制的服務(wù),并通過互聯(lián)網(wǎng)提供給用戶。云計(jì)算服務(wù)與普通的網(wǎng)絡(luò)服務(wù)的主要區(qū)別在于,具有動態(tài)擴(kuò)展特性以及廣泛應(yīng)用了虛擬化技術(shù)。
云計(jì)算具有超大規(guī)模、虛擬化、安全可靠等優(yōu)點(diǎn)。對于網(wǎng)絡(luò)運(yùn)營商而言,由于云計(jì)算使用動態(tài)資源分配和擴(kuò)展技術(shù),將大大降低運(yùn)營成本和操作維護(hù)成本;在云計(jì)算環(huán)境下,一切資源都是可以運(yùn)營的,都可以作為服務(wù)提供的,資源包括應(yīng)用程序、軟件、平臺、處理能力、存儲、網(wǎng)絡(luò)、計(jì)算資源以及其他基礎(chǔ)設(shè)施等。對于用戶而言,云計(jì)算使得隨時、隨地消費(fèi)服務(wù)成為可能,用戶可以不需要大量投資而獲得運(yùn)營業(yè)務(wù)所需的IT資源,完全可以根據(jù)自己的需求來租用IT資源,就如水、電和煤氣一樣,按需獲取和計(jì)費(fèi)。云計(jì)算一般有三種主要的服務(wù)模式,基礎(chǔ)設(shè)施即服務(wù)(IaaS, Infrastructure asa Service)、平臺即服務(wù)(PaaS, Platform as a Service)和軟件即服務(wù)(SaaS, Softwareas a Service) 0而根據(jù)服務(wù)的部署模式,又可以分為私有云、公有云和混合云。目前,云計(jì)算正成為下一個提供商的服務(wù)熱點(diǎn),它提倡的是按需供給、動態(tài)收費(fèi)、易于擴(kuò)展和節(jié)能的動態(tài)調(diào)節(jié)技術(shù)。云計(jì)算將實(shí)現(xiàn)針對不同的服務(wù)人群、不同的業(yè)務(wù)類型,提供相應(yīng)的服務(wù),將龐大的計(jì)算負(fù)荷移植到云端,真正實(shí)現(xiàn)服務(wù)按需供給。在云計(jì)算平臺上,數(shù)據(jù)的安全性是用戶最為關(guān)心的。因此,云計(jì)算平臺上的各種安全保護(hù)措施顯得非常重要。安全可以歸為云計(jì)算平臺上的一種資源,對用戶和云平臺上業(yè)務(wù)的安全需求按需供給,因此安全按需供給是云計(jì)算平臺安全解決方案的重要特征,其必要性主要體現(xiàn)在以下方面(I)業(yè)務(wù)日益豐富導(dǎo)致安全需求的多樣性云計(jì)算主張將大規(guī)模的計(jì)算任務(wù)負(fù)載放在云端運(yùn)行,而客戶終端可以通過輕量級的應(yīng)用(例如web應(yīng)用)來獲取相應(yīng)的數(shù)據(jù)。而隨著IT技術(shù)的進(jìn)步和應(yīng)用需求的擴(kuò)展,以及計(jì)算量的不斷增加,建立在云端的業(yè)務(wù)將會趨向多樣化,為了使資源能夠更加充分地得到利用,建立按需供給安全機(jī)制將是必要的。一方面,不同的業(yè)務(wù)有不同的安全需求,采用單一的安全機(jī)制無法適應(yīng)業(yè)務(wù)多樣化的需求。另一方面,同一業(yè)務(wù),在不同場合以及面向不同使用者,其業(yè)務(wù)的安全需求也可能不同。比如多媒體視頻業(yè)務(wù),當(dāng)用于視頻點(diǎn)播時,只需要低等級的安全保障服務(wù)。而當(dāng)用于商業(yè)目的的視頻會議,若傳輸?shù)男畔①Y產(chǎn)價(jià)值比較高,則需要高等級的安全保障服務(wù)。因此,從業(yè)務(wù)需求的角度上分析,云計(jì)算服務(wù)需要從技術(shù)上提供機(jī)制,讓具體的業(yè)務(wù)可以選擇合適等級和技術(shù)的安全保障,而選擇權(quán)既可以是終端,也可以是云端服務(wù)器,還可以是雙方平等協(xié)商。(2)只有分級的安全服務(wù),才能有效地利用資源對于傳統(tǒng)的應(yīng)用服務(wù)而言,服務(wù)的方式是利用公司的IT基礎(chǔ)設(shè)施或者部署在其上的應(yīng)用對外提供服務(wù)。這就無法充分地利用閑置的資源,并且要求這種服務(wù)形式的設(shè)施要高于服務(wù)峰值,否則會造成業(yè)務(wù)流失甚至系統(tǒng)癱瘓。而傳統(tǒng)安全解決方案也要求安全機(jī)制需要滿足系統(tǒng)內(nèi)部最高級別業(yè)務(wù)的安全。另一方面,不同公司的業(yè)務(wù)需要不同的安全服務(wù)。例如網(wǎng)上支付服務(wù)的安全認(rèn)證技術(shù)就比語音聊天要嚴(yán)格得多;盡管業(yè)務(wù)一樣,由于公司策略重點(diǎn)不一樣,對安全需求也都有不同的部署。同樣的網(wǎng)絡(luò)存儲服務(wù),有些服務(wù)商側(cè)重?cái)?shù)據(jù)完整性,有的側(cè)重?cái)?shù)據(jù)保密性,有的側(cè)重傳輸速度。當(dāng)服務(wù)商將業(yè)務(wù)搬到云計(jì)算平臺上時,這種安全需求的差異性就限制了業(yè)務(wù)的部署。如果統(tǒng)一應(yīng)用高級的安全服務(wù)(例如全都使用數(shù)字簽名加密內(nèi)容),就將嚴(yán)重地制約計(jì)算資源的合理使用。對信息價(jià)值不大的業(yè)務(wù)使用高級安全意味著浪費(fèi)大量計(jì)算資源。從這個意義上講,有必要根據(jù)信息資產(chǎn)價(jià)值的大小,適當(dāng)分級處理。對于高安全需求的通信,采用較高級別的保障力度。對于低安全需求的通信,采用低級別的安全保障,從而能夠建立資源有償使用機(jī)制,有效利用資源。這也恰好體現(xiàn)了云計(jì)算平臺的按需供給服務(wù)的優(yōu)勢。(3)不同應(yīng)用場景造成安全風(fēng)險(xiǎn)不同,所需安全強(qiáng)度不一樣。不同應(yīng)用場景下使用業(yè)務(wù),所面臨的風(fēng)險(xiǎn)也可能有很大不同。對于低風(fēng)險(xiǎn)的應(yīng)用場景,如在辦公場所通過局域網(wǎng)接入云計(jì)算平臺,只需要較低強(qiáng)度的安全算法和協(xié)議保護(hù)業(yè)務(wù)數(shù)據(jù),就可以實(shí)現(xiàn)較高的安全等級。然而相同業(yè)務(wù)一旦接入場景從辦公場所轉(zhuǎn)移到開放網(wǎng)絡(luò),如通過無線WiFi接入時,系統(tǒng)需要調(diào)用更強(qiáng)的安全算法和協(xié)議才能達(dá)到和辦公場所相同安全等級的要求。(4)針對用戶的簡單、高效的安全服務(wù)安全服務(wù)內(nèi)涵豐富,包括基礎(chǔ)設(shè)施安全服務(wù)加密、認(rèn)證、抗抵賴、完整性保護(hù)等;服務(wù)安全服務(wù)在線殺毒、入侵檢測、安全預(yù)警、內(nèi)容監(jiān)控等。因此需要簡單的管理手段幫助用戶集成必要的安全配置,為用戶提供一站式的安全服務(wù)。除了防止信息被非法獲取外,還需要防范更廣泛的安全威脅,如病毒的攻擊、木馬程序?qū)π畔⒌姆欠ㄊ占?、用戶欺騙等威脅,因此安全解決方案將越來越復(fù)雜。然而用戶需要簡單有效地從事用各種業(yè)務(wù),因此需要把復(fù)雜的安全服務(wù)以及相應(yīng)的安全配置,盡量在網(wǎng)絡(luò)中解決,從而確保用戶在沒有安全專業(yè)知識的情況下,能夠享受到安全的各種業(yè)務(wù)。由此可見,對于不同的業(yè)務(wù)類型,用戶所需要的安全等級會有所不同。同一業(yè)務(wù)類型,不同用戶所要求的安全等級也會有所不同。而不同應(yīng)用場景造成的安全風(fēng)險(xiǎn)也不同,在同一安全等級下,其所需要的安全算法強(qiáng)度也會不同。因此,云計(jì)算安全解決方案有必要采用按需供給的技術(shù),根據(jù)不同用戶、不同業(yè)務(wù)類型和不同應(yīng)用場景,采取相應(yīng)的安全策略,·對特定業(yè)務(wù)和用戶提供安全、合理、可靠的保護(hù)。在滿足用戶安全需求的前提下,最大限度節(jié)約云平臺資源。目前,安全按需供給的思想還僅停留在理論階段,尚未有可供參考的技術(shù)方案。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種云平臺中安全按需供給方法及系統(tǒng)、業(yè)務(wù)類型獲取方法,能根據(jù)用戶的安全需求對用戶請求的業(yè)務(wù)進(jìn)行安全保護(hù)。為達(dá)到上述目的,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的一種安全按需供給方法,包括根據(jù)用戶為請求業(yè)務(wù)設(shè)置的安全等級,和/或,用戶終端所處的應(yīng)用場景,和/或,業(yè)務(wù)類型,確定安全功能模塊的配置參數(shù),根據(jù)所述配置參數(shù)配置安全功能模塊,利用所述安全功能模塊對所述用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。
優(yōu)選地,所述確定安全功能模塊的配置參數(shù)為利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配而獲取所述安全功能模塊的配置參數(shù);或者,根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型,利用預(yù)設(shè)的算法計(jì)算出所述安全功能模塊的配置參數(shù);或者,利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配獲取所述安全功能模塊的配置參數(shù),以及利用預(yù)設(shè)的算法計(jì)算所述安全功能模塊的配置參數(shù),對兩種方式得到的所述安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的所述安全功能模塊的配置參數(shù)。優(yōu)選地,所述利用所述安全功能模塊對所述用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)為獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù)。優(yōu)選地,所述業(yè)務(wù)類型標(biāo)識獲取方式為通過攜帶有業(yè)務(wù)類型標(biāo)識的數(shù)據(jù)包獲取所設(shè)置的業(yè)務(wù)類型標(biāo)識;或者,通過服務(wù)質(zhì)量(QoS, Quality of Service)功能模塊獲取對所述業(yè)務(wù)進(jìn)行QoS保護(hù)時設(shè)置的類型標(biāo)識。優(yōu)選地,所述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置;所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括但不限于以下類型局域網(wǎng)、無線局域網(wǎng),以及全球通信系統(tǒng)(GSM, Global System of Mobilecommunication)、碼分多址(CDMA, Code Division Multiple Access)網(wǎng)、長期演進(jìn)(LTE,Long Term Evolution)系統(tǒng)的無線移動網(wǎng);所述業(yè)務(wù)類型包括但不限于實(shí)時性業(yè)務(wù)和非實(shí)時性業(yè)務(wù);所述安全功能模塊包括但不限于以下一個或多個功能機(jī)密性、完整性、認(rèn)證、流量清洗。一種業(yè)務(wù)類型獲取方法,安全功能模塊獲取對業(yè)務(wù)進(jìn)行QoS保護(hù)時為業(yè)務(wù)設(shè)置的業(yè)務(wù)類型標(biāo)識,對該業(yè)務(wù)和/或?qū)τ脩暨M(jìn)行安全保護(hù)。優(yōu)選地,所述業(yè)務(wù)類型標(biāo)識獲取途徑為
通過附帶有業(yè)務(wù)類型標(biāo)識的數(shù)據(jù)包獲取所設(shè)置的業(yè)務(wù)類型標(biāo)識;或者,接收相關(guān)QoS功能模塊通知的所述業(yè)務(wù)類型標(biāo)識。優(yōu)選地,所述對該業(yè)務(wù)和/或?qū)τ脩暨M(jìn)行安全保護(hù)為獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù)?!N安全按需供給的系統(tǒng),包括安全策略參數(shù)收集單元、安全策略單元和安全執(zhí)行單元,其中安全策略參數(shù)收集單元,用于收集用戶設(shè)定的安全等級參數(shù),和/或獲取用戶所請求業(yè)務(wù)的業(yè)務(wù)類型參數(shù),和/或獲取用戶使用該業(yè)務(wù)時所處的應(yīng)用場景參數(shù),并將收集到的參數(shù)發(fā)送給安全策略單元;安全策略單元,用于根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類·型確定安全功能模塊的配置參數(shù),并將確定的安全功能模塊的配置參數(shù)發(fā)送到安全執(zhí)行單元;安全執(zhí)行單元,根據(jù)所接收到的安全功能模塊的配置參數(shù),配置安全功能模塊,對用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。優(yōu)選地,所述安全策略單元進(jìn)一步用于,通過預(yù)先設(shè)定的安全策略規(guī)則,將所接收到的參數(shù)映射到最佳匹配的安全策略規(guī)貝U,并獲取安全功能模塊的配置參數(shù);或通過預(yù)設(shè)的算法模型,根據(jù)輸入的參數(shù)計(jì)算出安全功能模塊的配置參數(shù);或?qū)ι鲜鰞煞N方式得到的安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的安全功能模塊的配置參數(shù)。優(yōu)選地,所系統(tǒng)還包括QoS單元,用于為業(yè)務(wù)設(shè)置業(yè)務(wù)類型標(biāo)識,根據(jù)用戶標(biāo)識和/或業(yè)務(wù)類型對業(yè)務(wù)數(shù)據(jù)實(shí)施個性化的QoS優(yōu)先級保護(hù);所述安全執(zhí)行單元進(jìn)一步用于,從所述QoS單元獲取所述業(yè)務(wù)類型標(biāo)識,或者,所述QoS單元進(jìn)一步用于,向所述安全執(zhí)行單元發(fā)送所述業(yè)務(wù)類型標(biāo)識。優(yōu)選地,所述安全執(zhí)行單元進(jìn)一步用于,獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù);其中,所述業(yè)務(wù)數(shù)據(jù)包攜帶有用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識。優(yōu)選地,所述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置;所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括但不限于局域網(wǎng)、無線局域網(wǎng),以及全球通信系統(tǒng)GSM、碼分多址CDMA網(wǎng)、長期演進(jìn)LTE系統(tǒng)的無線移動網(wǎng);所述業(yè)務(wù)類型包括但不限于實(shí)時性業(yè)務(wù)、非實(shí)時性業(yè)務(wù);所述安全功能模塊包括但不限于以下一個或多個功能機(jī)密性、完整性、認(rèn)證、流量清洗。本發(fā)明中,根據(jù)用戶設(shè)置的安全等級,和/或,用戶終端所處的應(yīng)用場景,和/或,業(yè)務(wù)類型,確定出針對用戶請求業(yè)務(wù)的安全功能模塊的配置參數(shù),利用所述配置參數(shù)配置安全功能模塊,實(shí)施對所述用戶的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)。這樣,可根據(jù)不同用戶對不同業(yè)務(wù)的安全需求,提供差異化的業(yè)務(wù)安全保障。本發(fā)明的云平臺滿足了各種用戶以及各種業(yè)務(wù)的安全需求,向用戶提供了個性化的安全保障,提升了用戶體驗(yàn)效果。
圖I為本發(fā)明實(shí)施例的安全按需供給的系統(tǒng)的組成結(jié)構(gòu)示意圖;圖2為本發(fā)明實(shí)施例的安全按需供給的系統(tǒng)的另一種組成結(jié)構(gòu)示意圖;圖3為本發(fā)明實(shí)施例中的安全按需供給示意圖;圖4為安全功能模塊獲取業(yè)務(wù)標(biāo)識和用戶標(biāo)識的示意圖;圖5為本發(fā)明實(shí)施例中基于Diffserv協(xié)議和加密的安全按需供給結(jié)構(gòu)示意圖;
圖6為本發(fā)明實(shí)施例的安全按需供給方法流程圖。
具體實(shí)施例方式本發(fā)明的基本思想為通過從業(yè)務(wù)類型中提取業(yè)務(wù)標(biāo)識,結(jié)合應(yīng)用場景,用戶對安全等級的設(shè)置,作為安全策略的輸入?yún)?shù),由安全策略推導(dǎo)出安全參數(shù),作用于安全算法和協(xié)議,從而對業(yè)務(wù)數(shù)據(jù)進(jìn)行按需供給安全保護(hù)。為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,以下舉實(shí)施例并參照附圖,對本發(fā)明進(jìn)一步詳細(xì)說明。圖I為本發(fā)明實(shí)施例的安全按需供給的系統(tǒng)的組成結(jié)構(gòu)示意圖,如圖I所示,本發(fā)明的安全按需供給的系統(tǒng),包括安全策略參數(shù)收集單元10、安全策略單元11和安全執(zhí)行單元12,其中安全策略參數(shù)收集單元10,用于收集用戶設(shè)定的安全等級參數(shù),和/或獲取用戶所請求業(yè)務(wù)的業(yè)務(wù)類型參數(shù),和/或獲取用戶使用該業(yè)務(wù)時所處的應(yīng)用場景參數(shù),并將收集到的參數(shù)發(fā)送給安全策略單元;安全策略單元11,用于根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型確定安全功能模塊的配置參數(shù),并將確定的安全功能模塊的配置參數(shù)發(fā)送到安全執(zhí)行單元;安全執(zhí)行單元12,根據(jù)所接收到的安全功能模塊的配置參數(shù),配置安全算法和協(xié)議,對用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。上述安全策略單元11進(jìn)一步用于,通過預(yù)先設(shè)定的安全策略規(guī)則,將所接收到的參數(shù)映射到最佳匹配的安全策略規(guī)貝U,并獲取安全功能模塊的配置參數(shù);或通過預(yù)設(shè)的算法模型,根據(jù)輸入的參數(shù)計(jì)算出安全功能模塊的配置參數(shù);或?qū)ι鲜鰞煞N方式得到的安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的安全功能模塊的配置參數(shù)。圖2為本發(fā)明實(shí)施例的安全按需供給的系統(tǒng)的另一種組成結(jié)構(gòu)示意圖,如圖2所示,在圖I所示所安全按需供給的系統(tǒng)的基礎(chǔ)上,本發(fā)明的系統(tǒng)還包括QoS單元13,用于為業(yè)務(wù)設(shè)置業(yè)務(wù)類型標(biāo)識,根據(jù)用戶標(biāo)識和/或業(yè)務(wù)類型對業(yè)務(wù)數(shù)據(jù)實(shí)施個性化的QoS優(yōu)先級保護(hù);上述安全執(zhí)行單元12進(jìn)一步用于,從所述QoS單元獲取所述業(yè)務(wù)類型標(biāo)識,或者,上述QoS單元13進(jìn)一步用于,向所述安全執(zhí)行單元發(fā)送所述業(yè)務(wù)類型標(biāo)識。以下說明圖I或圖2示出的結(jié)構(gòu)中各處理單元的其他功用。上述安全執(zhí)行單元12進(jìn)一步用于,獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù);其中,所述業(yè)務(wù)數(shù)據(jù)包利用配置后的協(xié)議生成。其中,所述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置;所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括局域網(wǎng)、無線局域網(wǎng),以及GSM、CDMA網(wǎng)、LTE系統(tǒng)的無線移動網(wǎng);
所述業(yè)務(wù)類型包括實(shí)時性業(yè)務(wù)和非實(shí)時性業(yè)務(wù);所述安全功能模塊涉及但不限于以下處理的一個或多個機(jī)密性、完整性、認(rèn)證、流量清洗。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解,本發(fā)明安全按需供給的系統(tǒng)涉及的處理單元的功能可以通過硬件電路,或由處理器執(zhí)行相應(yīng)的軟件所實(shí)現(xiàn)。上述各處理單元的功能,可結(jié)合前述標(biāo)識分配方法的相關(guān)描述而理解。以下結(jié)合前述安全按需供給的系統(tǒng)的結(jié)構(gòu),進(jìn)一步闡明本發(fā)明應(yīng)用于云平臺中的安全按需供給方法。圖3為本發(fā)明實(shí)施例中的安全按需供給示意圖,如圖3所示,圖中需要配置的參數(shù)有三類,分別為應(yīng)用場景、業(yè)務(wù)類型和用戶安全等級要求。應(yīng)用場景即終端接入云計(jì)算平臺所提供的場景信息,如局域網(wǎng),無線如3G網(wǎng)、LTE網(wǎng)絡(luò)、CDMA網(wǎng)絡(luò)或GSM網(wǎng)絡(luò)等。該應(yīng)用場景可由系統(tǒng)依據(jù)IP地址,接入節(jié)點(diǎn)位置自動感知,無須人工配置。業(yè)務(wù)類型指實(shí)時性業(yè)務(wù)還是非實(shí)時性業(yè)務(wù),業(yè)務(wù)類型也可以通過系統(tǒng)對業(yè)務(wù)的感知獲得。系統(tǒng)感知業(yè)務(wù)類型后,提取用戶標(biāo)識。用戶安全等級要求指用戶根據(jù)所要使用的業(yè)務(wù)信息資產(chǎn)價(jià)值(即重要性),設(shè)置合理的安全等級。安全策略單元用于將收集到的用戶安全等級參數(shù)、業(yè)務(wù)類型參數(shù)和應(yīng)用場景參數(shù)映射到最適合的安全策略規(guī)則,并由該規(guī)則獲得安全的配置參數(shù)。安全策略單元也可以使用算法模型,通過計(jì)算獲得最優(yōu)的安全配置參數(shù)。安全策略單元將配置參數(shù)輸出到安全執(zhí)行單元。安全執(zhí)行單元主要是安全算法或者安全協(xié)議組成,包括機(jī)密性、完整性、認(rèn)證、流量清洗等安全功能。它為業(yè)務(wù)數(shù)據(jù)提供了安全保障。本發(fā)明中,安全域分為兩類,分別為服務(wù)安全域和基礎(chǔ)設(shè)施安全域。其中基礎(chǔ)設(shè)施安全域包括虛擬化安全和存儲安全。由于同一類安全威脅往往需要相同的安全功能,因此將具有同一類安全威脅特征的區(qū)域劃分為同一個安全域,有助于實(shí)現(xiàn)安全按需供給的機(jī)制。在該圖中,安全策略進(jìn)一步根據(jù)不同安全域所使用的安全功能,輸出不同組合的安全配置參數(shù)給特定安全域,實(shí)現(xiàn)安全按需供給的機(jī)制。對于不同用戶,根據(jù)用戶設(shè)定的用戶安全等級和/或應(yīng)用場景和/或業(yè)務(wù)類型,經(jīng)過安全策略匹配或者經(jīng)過算法模型計(jì)算,輸出安全配置參數(shù)。由于數(shù)據(jù)加密傳輸是服務(wù)安全域一個非常重要的安全功能。安全策略單元針對服務(wù)安全域所輸出的安全配置參數(shù)就需要包含加密算法選擇和密鑰長度選擇等參數(shù)。而對于虛擬化安全域,由于位置處在于云計(jì)算運(yùn)營商所控制的區(qū)域,數(shù)據(jù)加密的重要性下降。對于虛擬化安全,安全策略所輸出的安全配置參數(shù)就需要包含數(shù)據(jù)隔離和業(yè)務(wù)邏輯的驗(yàn)證等對虛擬化安全非常重要的安全功能。本發(fā)明中,安全執(zhí)行單元獲取業(yè)務(wù)標(biāo)識和用戶標(biāo)識。業(yè)務(wù)數(shù)據(jù)包攜帶有用戶標(biāo)識,這是業(yè)務(wù)在共享平臺上實(shí)現(xiàn)多租戶運(yùn)營所必須的技術(shù)。本發(fā)明所需要的用戶標(biāo)識,可以直接從業(yè)務(wù)數(shù)據(jù)中獲取。對于業(yè)務(wù)標(biāo)識的獲取,本發(fā)明充分利用云平臺中的QoS單元對業(yè)務(wù)標(biāo)識的定義和處理功能,而獲取業(yè)務(wù)標(biāo)識。圖4為安全功能模塊獲取業(yè)務(wù)標(biāo)識和用戶標(biāo)識的示意圖,如圖4所示,云平臺業(yè)務(wù)數(shù)據(jù)包帶有用戶標(biāo)識,這是業(yè)務(wù)在共享平臺上實(shí)現(xiàn)多租戶運(yùn)營所必須的技術(shù)。本發(fā)明所需要的用戶標(biāo)識,可以直接從業(yè)務(wù)數(shù)據(jù)中獲取。對于業(yè)務(wù)標(biāo)識的獲取,本發(fā)明充分利用云平臺QoS功能模塊對業(yè)務(wù)標(biāo)識的定義和處理功能獲取業(yè)務(wù)標(biāo)識。圖4示出了兩種獲取途徑。獲取途徑一是直接從云平臺的QoS功能模塊中獲取。由于QoS功能模塊在對特定業(yè)務(wù)實(shí)施QoS優(yōu)先級保護(hù)前,必須對業(yè)務(wù)數(shù)據(jù)嵌入業(yè)務(wù)標(biāo)識。當(dāng)QoS功能模塊向業(yè)務(wù)數(shù)據(jù)嵌入業(yè)務(wù)標(biāo)識時,該業(yè)務(wù)標(biāo)識也同時被安全執(zhí)行單元獲得。第二種獲取途徑是在QoS功能功能模塊對業(yè)務(wù)數(shù)據(jù)嵌入業(yè)務(wù)標(biāo)識之后,安全執(zhí)行單元通過讀取業(yè)務(wù)數(shù)據(jù)相關(guān)字段,獲得該數(shù)據(jù)的業(yè)務(wù)標(biāo)識。安全執(zhí)行單元獲得用戶標(biāo)識和業(yè)務(wù)標(biāo)識后,即可對該業(yè)務(wù)數(shù)據(jù)實(shí)施按需供給的安全保護(hù)。
圖5為本發(fā)明實(shí)施例中基于Diffserv協(xié)議和加密的安全按需供給結(jié)構(gòu)示意圖,如圖5所示,本發(fā)明實(shí)施例的安全按需供給包括以下步驟步驟1,用戶進(jìn)行相關(guān)的參數(shù)配置,包括應(yīng)用場景、安全等級和業(yè)務(wù)類別。步驟2,業(yè)務(wù)類別由業(yè)務(wù)標(biāo)識定義,業(yè)務(wù)標(biāo)識由Diffserv業(yè)務(wù)框架來實(shí)現(xiàn)。通過使用Diffserv業(yè)務(wù)框架,每一種QoS特征要求在IP數(shù)據(jù)報(bào)頭中DSCP字段中有相應(yīng)的映射字段值。不同的字段值代表著不同的業(yè)務(wù)粒度區(qū)分標(biāo)識,它們具有不同的業(yè)務(wù)數(shù)據(jù)傳輸優(yōu)先級。DSCP的值越高,它所對應(yīng)的業(yè)務(wù)類別的優(yōu)先級也就越高。步驟3,安全策略庫接收各種參數(shù)信息(應(yīng)用場景參數(shù)、安全等級參數(shù)、用戶標(biāo)識和業(yè)務(wù)標(biāo)識)。步驟4,安全策略庫進(jìn)行策略匹配和映射,或則通過算法模型計(jì)算,得到業(yè)務(wù)數(shù)據(jù)所需要的加密參數(shù),并下發(fā)用戶標(biāo)識、業(yè)務(wù)標(biāo)識和加密參數(shù)到加密模塊。步驟5,加密模塊通過識別,對特定的用戶標(biāo)識和業(yè)務(wù)標(biāo)識的業(yè)務(wù)數(shù)據(jù)采用加密參數(shù)相對應(yīng)的加密算法進(jìn)行加密。從圖5可以清楚看出,用戶標(biāo)識是實(shí)現(xiàn)安全按需供給所必須的重要參數(shù)。但用戶標(biāo)識主要用來區(qū)別業(yè)務(wù)擁有者,并沒有作為輸入變量影響安全配置參數(shù)的設(shè)定,因此決定安全策略輸出配置參數(shù)的輸入變量中,并沒有包括用戶標(biāo)識。圖6為本發(fā)明實(shí)施例的云平臺中安全按需供給方法流程圖,如圖6所示,本實(shí)施例的云平臺中安全按需供給方法主要包括以下步驟步驟601,云平臺根據(jù)獲取的用戶為請求業(yè)務(wù)設(shè)置的安全等級,和/或,用戶終端所處的應(yīng)用場景,和/或,業(yè)務(wù)類型,確定安全功能模塊的配置參數(shù)。本發(fā)明安全按需供給方法開始之前,由用戶進(jìn)行相關(guān)的參數(shù)配置,如進(jìn)行安全等級配置等,當(dāng)然,也可以直接對應(yīng)用場景和業(yè)務(wù)類型進(jìn)行配置,即無需由云平臺通過獲取業(yè)務(wù)相關(guān)信息而確定應(yīng)用場景和業(yè)務(wù)類型的相關(guān)參數(shù)。當(dāng)未配置應(yīng)用場景和業(yè)務(wù)類型參數(shù)時,需要由云平臺獲取用戶終端的應(yīng)用場景和業(yè)務(wù)類型信息。本發(fā)明中,業(yè)務(wù)類型由業(yè)務(wù)標(biāo)識定義,業(yè)務(wù)標(biāo)識由Diffserv業(yè)務(wù)框架來實(shí)現(xiàn)。通過使用Diffserv業(yè)務(wù)框架,每一種QoS特征要求在IP數(shù)據(jù)報(bào)頭中的差分服務(wù)代碼點(diǎn)(DSCP, Differentiated Services CodePoint)字段中有相應(yīng)的映射字段值。不同的字段值代表著不同的業(yè)務(wù)粒度區(qū)分標(biāo)識,它們具有不同的業(yè)務(wù)數(shù)據(jù)傳輸優(yōu)先級。DSCP的值越高,其所對應(yīng)的業(yè)務(wù)類型的優(yōu)先級也就越高。本發(fā)明中,確定安全功能模塊的配置參數(shù)為利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配而獲取安全功能模塊的配置參數(shù);或者,根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型,利用預(yù)設(shè)的算法計(jì)算出安全功能模塊的配置參數(shù);或者,利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配獲取安全功能模塊的配置參數(shù),以及利用預(yù)設(shè)的算法計(jì)算安全功能模塊的配置參數(shù),對兩種方式得到的安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的安全功能模塊的配置參數(shù)。這里,所謂合并,包括取兩種方式確定的配置參數(shù)的平均值,或默認(rèn)按最嚴(yán)格的安全等級原則,取其中安全等級最高的配置參數(shù),或以用戶需求為主原則,按用戶需求在兩 種方式中選取相應(yīng)的配置參數(shù)。本發(fā)明中,所述業(yè)務(wù)類型標(biāo)識獲取方式為通過攜帶有業(yè)務(wù)類型標(biāo)識的數(shù)據(jù)包獲取所設(shè)置的業(yè)務(wù)類型標(biāo)識;或者,通過QoS功能模塊獲取對所述業(yè)務(wù)進(jìn)行QoS保護(hù)時設(shè)置的類型標(biāo)識。步驟602,利用所述配置參數(shù)配置安全功能模塊,實(shí)施對所述用戶的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)。獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù)。其中,所述業(yè)務(wù)數(shù)據(jù)包攜帶有用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識。上述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置;所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括局域網(wǎng)、無線局域網(wǎng),以及GSM、CDMA網(wǎng)、LTE系統(tǒng)等的無線移動網(wǎng);所述業(yè)務(wù)類型包括實(shí)時性業(yè)務(wù)和非實(shí)時性業(yè)務(wù);所述安全功能模塊涉及但不限于以下處理的一個或多個機(jī)密性、完整性、認(rèn)證、流量清洗。本發(fā)明中,雖然用戶標(biāo)識是實(shí)現(xiàn)安全按需供給所必須的重要參數(shù)。但用戶標(biāo)識主要用來區(qū)別業(yè)務(wù)擁有者,并沒有作為輸入變量影響安全配置參數(shù)的設(shè)定,因此決定安全策略輸出配置參數(shù)的輸入變量中,并不包括用戶標(biāo)識。本發(fā)明可根據(jù)不同用戶對不同業(yè)務(wù)的安全需求,提供差異化的業(yè)務(wù)安全保障。本發(fā)明的云平臺滿足了各種用戶以及各種業(yè)務(wù)的安全需求,向用戶提供了個性化的安全保障,提升了用戶體驗(yàn)效果。以上所述,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種安全按需供給方法,其特征在于,所述方法包括 根據(jù)用戶為請求業(yè)務(wù)設(shè)置的安全等級,和/或,用戶終端所處的應(yīng)用場景,和/或,業(yè)務(wù)類型,確定安全功能模塊的配置參數(shù),根據(jù)所述配置參數(shù)配置安全功能模塊,利用所述安全功能模塊對所述用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。
2.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述確定安全功能模塊的配置參數(shù)為 利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配而獲取所述安全功能模塊的配置參數(shù); 或者,根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型,利用預(yù)設(shè)的算法計(jì)算出所述安全功能模塊的配置參數(shù); 或者,利用安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型進(jìn)行安全策略匹配獲取所述安全功能模塊的配置參數(shù),以及利用預(yù)設(shè)的算法計(jì)算所述安全功能模塊的配置參數(shù),對兩種方式得到的所述安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的所述安全功能模塊的配置參數(shù)。
3.根據(jù)權(quán)利要求I或2所述的方法,其特征在于,所述利用所述安全功能模塊對所述用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)為 獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù)。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述業(yè)務(wù)類型標(biāo)識獲取方式為 通過攜帶有業(yè)務(wù)類型標(biāo)識的數(shù)據(jù)包獲取所設(shè)置的業(yè)務(wù)類型標(biāo)識; 或者,通過服務(wù)質(zhì)量QoS功能模塊獲取對所述業(yè)務(wù)進(jìn)行QoS保護(hù)時設(shè)置的類型標(biāo)識。
5.根據(jù)權(quán)利要求I至4中任一項(xiàng)所述的方法,其特征在于,所述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置; 所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括但不限于以下類型 局域網(wǎng)、無線局域網(wǎng),以及全球通信系統(tǒng)GSM、碼分多址CDMA網(wǎng)、長期演進(jìn)LTE系統(tǒng)的無線移動網(wǎng); 所述業(yè)務(wù)類型包括但不限于實(shí)時性業(yè)務(wù)和非實(shí)時性業(yè)務(wù); 所述安全功能模塊包括但不限于以下一個或多個功能 機(jī)密性、完整性、認(rèn)證、流量清洗。
6.一種業(yè)務(wù)類型獲取方法,其特征在于,安全功能模塊獲取對業(yè)務(wù)進(jìn)行QoS保護(hù)時為業(yè)務(wù)設(shè)置的業(yè)務(wù)類型標(biāo)識,對該業(yè)務(wù)和/或?qū)τ脩暨M(jìn)行安全保護(hù)。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,所述業(yè)務(wù)類型標(biāo)識獲取途徑為 通過附帶有業(yè)務(wù)類型標(biāo)識的數(shù)據(jù)包獲取所設(shè)置的業(yè)務(wù)類型標(biāo)識; 或者,接收相關(guān)QoS功能模塊通知的所述業(yè)務(wù)類型標(biāo)識。
8.根據(jù)權(quán)利要求6或7所述的方法,其特征在于,所述對該業(yè)務(wù)和/或?qū)τ脩暨M(jìn)行安全保護(hù)為 獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù)。
9.一種安全按需供給的系統(tǒng),其特征在于,包括安全策略參數(shù)收集單元、安全策略單元和安全執(zhí)行單元,其中 安全策略參數(shù)收集單元,用于收集用戶設(shè)定的安全等級參數(shù),和/或獲取用戶所請求業(yè)務(wù)的業(yè)務(wù)類型參數(shù),和/或獲取用戶使用該業(yè)務(wù)時所處的應(yīng)用場景參數(shù),并將收集到的參數(shù)發(fā)送給安全策略單元; 安全策略單元,用于根據(jù)安全等級和/或用戶終端所處的應(yīng)用場景和/或業(yè)務(wù)類型確定安全功能模塊的配置參數(shù),并將確定的安全功能模塊的配置參數(shù)發(fā)送到安全執(zhí)行單元;安全執(zhí)行單元,根據(jù)所接收到的安全功能模塊的配置參數(shù),配置安全功能模塊,對用戶的業(yè)務(wù)數(shù)據(jù)進(jìn)行安全保護(hù)。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述安全策略單元進(jìn)一步用于, 通過預(yù)先設(shè)定的安全策略規(guī)則,將所接收到的參數(shù)映射到最佳匹配的安全策略規(guī)則,并獲取安全功能模塊的配置參數(shù);或通過預(yù)設(shè)的算法模型,根據(jù)輸入的參數(shù)計(jì)算出安全功能模塊的配置參數(shù);或?qū)ι鲜鰞煞N方式得到的安全功能模塊的配置參數(shù)進(jìn)行合并,確定出最終的安全功能模塊的配置參數(shù)。
11.根據(jù)權(quán)利要求9或10所述的系統(tǒng),其特征在于,所系統(tǒng)還包括 QoS單元,用于為業(yè)務(wù)設(shè)置業(yè)務(wù)類型標(biāo)識,根據(jù)用戶標(biāo)識和/或業(yè)務(wù)類型對業(yè)務(wù)數(shù)據(jù)實(shí)施個性化的QoS優(yōu)先級保護(hù); 所述安全執(zhí)行單元進(jìn)一步用于,從所述QoS單元獲取所述業(yè)務(wù)類型標(biāo)識,或者,所述QoS單元進(jìn)一步用于,向所述安全執(zhí)行單元發(fā)送所述業(yè)務(wù)類型標(biāo)識。
12.根據(jù)權(quán)利要求11所述的系統(tǒng),其特征在于,所述安全執(zhí)行單元進(jìn)一步用于, 獲取與用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識匹配的業(yè)務(wù)數(shù)據(jù)包,根據(jù)所述安全配置參數(shù)對所獲取的業(yè)務(wù)數(shù)據(jù)包實(shí)施安全保護(hù);其中,所述業(yè)務(wù)數(shù)據(jù)包攜帶有用戶標(biāo)識和/或業(yè)務(wù)標(biāo)識。
13.根據(jù)權(quán)利要求9至12中任一項(xiàng)所述的系統(tǒng),其特征在于,所述安全等級由所述用戶對所屬業(yè)務(wù)信息的安全要求或所述用戶根據(jù)所述業(yè)務(wù)信息的資產(chǎn)價(jià)值而設(shè)置; 所述應(yīng)用場景為所述用戶終端所處的位置和接入網(wǎng)類型,所述接入網(wǎng)類型包括但不限于 局域網(wǎng)、無線局域網(wǎng),以及GSM、CDMA網(wǎng)、LTE系統(tǒng)的無線移動網(wǎng); 所述業(yè)務(wù)類型包括但不限于實(shí)時性業(yè)務(wù)、非實(shí)時性業(yè)務(wù); 所述安全功能模塊包括但不限于以下一個或多個功能 機(jī)密性、完整性、認(rèn)證、流量清洗。
全文摘要
本發(fā)明公開了一種安全按需供給方法,包括根據(jù)用戶為請求業(yè)務(wù)設(shè)置的安全等級,和/或,用戶終端所處的應(yīng)用場景,和/或,業(yè)務(wù)類型,確定安全功能模塊的配置參數(shù),利用所述配置參數(shù)配置安全功能模塊,實(shí)施對所述用戶的業(yè)務(wù)數(shù)據(jù)的安全保護(hù)。本發(fā)明還公開了用于對特定用戶和/或業(yè)務(wù)進(jìn)行安全保護(hù)的業(yè)務(wù)類型獲取方法,利用QoS功能模塊對業(yè)務(wù)類型的分類功能,獲取數(shù)據(jù)的業(yè)務(wù)標(biāo)識,從而對特定用戶和/或業(yè)務(wù)進(jìn)行安全保護(hù)。本發(fā)明同時公開了一種安全按需供給的系統(tǒng)、業(yè)務(wù)類型獲取方法。本發(fā)明可根據(jù)不同用戶對不同業(yè)務(wù)的安全需求,提供差異化的業(yè)務(wù)安全保障。本發(fā)明的系統(tǒng)滿足了各種用戶以及各種業(yè)務(wù)的安全需求,向用戶提供了個性化的安全保障,提升了用戶體驗(yàn)效果。
文檔編號H04L29/06GK102932382SQ201110225650
公開日2013年2月13日 申請日期2011年8月8日 優(yōu)先權(quán)日2011年8月8日
發(fā)明者陳劍勇, 陳小華, 林兆驥 申請人:中興通訊股份有限公司