一種云服務(wù)安全保護方法
【專利摘要】本發(fā)明提供一種云服務(wù)安全保護方法,其具體實現(xiàn)過程如下:使用云服務(wù)訪問控制技術(shù)攔截云應(yīng)用對云服務(wù)的服務(wù)請求,根據(jù)授權(quán)庫和策略庫中的安全策略,對服務(wù)請求的云應(yīng)用進行鑒別與授權(quán)檢查;使用云服務(wù)攻擊過濾技術(shù),檢查云服務(wù)協(xié)議符合性以及是否存在惡意的服務(wù)攻擊;對服務(wù)請求進行統(tǒng)一的安全審計。該一種云服務(wù)安全保護方法和現(xiàn)有技術(shù)相比,對云服務(wù)提供安全保護,能夠有效防范針對云服務(wù)的惡意攻擊;通過對服務(wù)參數(shù)合法性的檢查,能夠提高云服務(wù)抵抗脆弱性的能力,實用性強,易于推廣。
【專利說明】—種云服務(wù)安全保護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機信息安全【技術(shù)領(lǐng)域】,具體的說是一種使用云服務(wù)訪問控制技術(shù)和云服務(wù)攻擊過濾技術(shù)的云服務(wù)安全保護方法。
【背景技術(shù)】
[0002]云計算是當前信息【技術(shù)領(lǐng)域】的熱門話題之一,是產(chǎn)業(yè)界、學(xué)術(shù)界、政府等各界均十分關(guān)注的焦點。它體現(xiàn)了 “網(wǎng)絡(luò)就是計算機”的思想,將大量計算資源、存儲資源與軟件資源鏈接在一起,形成巨大規(guī)模的共享虛擬IT資源池,為遠程計算機用戶提供各種IT服務(wù)。隨著云計算的不斷發(fā)展,用戶能享受的云服務(wù)也越來越豐富,以“-aaS”為后綴的云服務(wù)正在以令人目眩的速度增長,這種服務(wù)被行業(yè)組織The Open Group稱為“XaaS”,它概括了所有與云計算有關(guān)的服務(wù),為大眾所熟知的則是IaaS、PaaS和SaaS (簡稱SPI )。云服務(wù)應(yīng)用已經(jīng)深入了人們生活的各個領(lǐng)域,正在引發(fā)IT業(yè)的新變革。
[0003]當前,隨著云計算技術(shù)的不斷發(fā)展,安全問題的重要性逐步體現(xiàn)。近年來,云計算相關(guān)的各類安全事故引起了人們的擔(dān)憂。特別是谷歌、亞馬遜以及微軟這樣的國際巨頭,也都相繼出現(xiàn)了安全問題,這就更加劇了用戶的擔(dān)憂。云服務(wù)所面臨的安全風(fēng)險包括:
(I)服務(wù)攻擊風(fēng)險:在云計算時代,云服務(wù)更易于遭受到拒絕服務(wù)攻擊。簡單來說,拒絕服務(wù)攻擊就是指攻擊者阻止正常用戶正常訪問云服務(wù)的一種攻擊手段。通常是迫使一些關(guān)鍵性云服務(wù)來消耗大量的系統(tǒng)資源,如處理進程、內(nèi)存、硬盤空間、網(wǎng)絡(luò)帶寬,導(dǎo)致云服務(wù)響應(yīng)變得極為緩慢或者完全沒有響應(yīng)。
[0004](2)服務(wù)脆弱性風(fēng)險:云服務(wù)沒有對隨服務(wù)請求提交的服務(wù)參數(shù)進行合法性檢查,如數(shù)據(jù)類型、數(shù)據(jù)長度、編碼方式、特殊字符等,從而導(dǎo)致云服務(wù)發(fā)生緩沖區(qū)溢出、SQL注入等攻擊,使得用戶敏感數(shù)據(jù)和隱私泄露。
[0005](3)服務(wù)濫用或假冒使用風(fēng)險:攻擊者或內(nèi)部惡意人員使用云服務(wù)進行不正當?shù)男袨?,如攻擊者利用云服?wù)破解他人的密碼,內(nèi)部惡意人員利用云服務(wù)惡意刪除其它用戶敏感數(shù)據(jù)或進行惡意破壞;攻擊者通過劫持合法用戶身份信息進而假冒該用戶進行非法訪問。
[0006](4)服務(wù)審計缺失風(fēng)險:由于服務(wù)安全審計機制的缺失,無法對內(nèi)部管理人員的行為進行定責(zé)和追查;更無法對外部攻擊者進行追蹤溯源。
[0007]為了解決上述云服務(wù)面臨的安全風(fēng)險,實現(xiàn)對云服務(wù)的風(fēng)險控制,現(xiàn)提供一種云服務(wù)安全保護方法。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的技術(shù)任務(wù)是解決現(xiàn)有技術(shù)的不足,提供一種通過移動終端、云服務(wù)安全保護方法。
[0009]本發(fā)明的技術(shù)方案是按以下方式實現(xiàn)的,該一種云服務(wù)安全保護方法,其具體實現(xiàn)過程如下: 一、服務(wù)接口攔截,通過云服務(wù)訪問控制,攔截云應(yīng)用對云服務(wù)的服務(wù)請求;完成云服務(wù)請求的所有安全檢查后,將云服務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的服務(wù);
二、強認證與授權(quán),對被攔截云服務(wù)請求的云應(yīng)用進行強身份鑒別,判別應(yīng)用身份的合法性,并根據(jù)授權(quán)庫、策略庫檢查云應(yīng)用是否有權(quán)限提交該云服務(wù)請求;
三、協(xié)議符合性檢查,檢查云服務(wù)請求中參數(shù)合法性;
四、服務(wù)攻擊過濾,根據(jù)策略庫中的策略掃描、判別云服務(wù)請求是否含有惡意攻擊,并過濾其中的惡意攻擊;
五、統(tǒng)一安全審計,對云服務(wù)請求記錄日志;
六、授權(quán)庫、策略庫存儲云服務(wù)的訪問授權(quán)和攻擊過濾策略。
[0010]所述步驟一的詳細過程為:云應(yīng)用提交云服務(wù)參數(shù),并調(diào)用服務(wù)API提出云服務(wù)請求;服務(wù)接口則攔截該云服務(wù)請求,獲取云服務(wù)請求中的服務(wù)參數(shù)、應(yīng)用身份標識、IP地址信息。
[0011]所述步驟三中協(xié)議符合性檢查的參數(shù)包括:數(shù)據(jù)類型、數(shù)據(jù)長度、編碼方式、特殊符號。
[0012]所述步驟五中記錄的日志內(nèi)容包括:應(yīng)用身份標識、應(yīng)用IP地址、云服務(wù)參數(shù)、所請求的云服務(wù)、請求時間、安全檢查結(jié)果。
[0013]本發(fā)明與現(xiàn)有技術(shù)相比所產(chǎn)生的有益效果是:
本發(fā)明的一種云服務(wù)安全保護方法使用云服務(wù)訪問控制技術(shù)和云服務(wù)攻擊過濾技術(shù),對云服務(wù)提供安全保護,能夠有效防范針對云服務(wù)的惡意攻擊;通過對服務(wù)參數(shù)合法性的檢查,能夠提高云服務(wù)抵抗脆弱性的能力,實用性強,易于推廣。
【專利附圖】
【附圖說明】
[0014]附圖1為本發(fā)明的實現(xiàn)示意圖。
[0015]附圖2為本發(fā)明的實施例示意圖。
【具體實施方式】
[0016]下面結(jié)合附圖對本發(fā)明的一種云服務(wù)安全保護方法作以下詳細說明。
[0017]為了對云服務(wù)提供安全保護,本發(fā)明使用云服務(wù)訪問控制技術(shù)攔截云應(yīng)用對云服務(wù)的服務(wù)請求,根據(jù)授權(quán)庫和策略庫中的安全策略,對服務(wù)請求的云應(yīng)用進行鑒別與授權(quán)檢查;使用云服務(wù)攻擊過濾技術(shù),檢查云服務(wù)協(xié)議符合性以及是否存在惡意的服務(wù)攻擊;對服務(wù)請求進行統(tǒng)一的安全審計。基于上述保護思路,如附圖1所示,現(xiàn)提供一種云服務(wù)安全保護方法,該方法的具體實現(xiàn)過程如下所述:
一、服務(wù)接口攔截,通過云服務(wù)訪問控制,攔截云應(yīng)用對云服務(wù)的服務(wù)請求;完成云服務(wù)請求的所有安全檢查后,將云服務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的服務(wù);
二、強認證與授權(quán),對被攔截云服務(wù)請求的云應(yīng)用進行強身份鑒別,判別應(yīng)用身份的合法性,并根據(jù)授權(quán)庫、策略庫檢查云應(yīng)用是否有權(quán)限提交該云服務(wù)請求;
三、協(xié)議符合性檢查,檢查云服務(wù)請求中參數(shù)合法性;
四、服務(wù)攻擊過濾,根據(jù)策略庫中的策略掃描、判別云服務(wù)請求是否含有惡意攻擊,并過濾其中的惡意攻擊; 五、統(tǒng)一安全審計,對云服務(wù)請求記錄日志;
六、授權(quán)庫、策略庫存儲云服務(wù)的訪問授權(quán)和攻擊過濾策略。
[0018]所述步驟一的詳細過程為:云應(yīng)用提交云服務(wù)參數(shù),并調(diào)用服務(wù)API提出云服務(wù)請求;服務(wù)接口則攔截該云服務(wù)請求,獲取云服務(wù)請求中的服務(wù)參數(shù)、應(yīng)用身份標識、IP地址信息。
[0019]所述步驟三中協(xié)議符合性檢查的參數(shù)包括:數(shù)據(jù)類型、數(shù)據(jù)長度、編碼方式、特殊符號。
[0020]所述步驟五中記錄的日志內(nèi)容包括:應(yīng)用身份標識、應(yīng)用IP地址、云服務(wù)參數(shù)、所請求的云服務(wù)、請求時間、安全檢查結(jié)果。
[0021]實施例:為了便于闡述,本發(fā)明以數(shù)據(jù)查詢服務(wù)舉例說明。
[0022]如圖2所示,應(yīng)用A提出參數(shù)為contents= “data access”的數(shù)據(jù)查詢服務(wù)請求,通過該申請的云服務(wù)安全保護方法,其具體請求過程為:
通過服務(wù)接口攔截該數(shù)據(jù)查詢服務(wù)請求,并獲得請求參數(shù)以及提出請求的應(yīng)用身份標識A。
[0023]得到應(yīng)用身份標識A后,通過強認證與授權(quán)的步驟對應(yīng)用A進行強身份鑒別和授權(quán)檢查,通過后,對服務(wù)請求參數(shù)contents進行協(xié)議符合性檢查,這里的檢查包括參數(shù)類型、參數(shù)長度、參數(shù)編碼等。
[0024]然后進入服務(wù)攻擊過濾步驟,即對數(shù)據(jù)查詢服務(wù)及相關(guān)參數(shù)進行服務(wù)攻擊過濾,檢查是否存在惡意攻擊如SQL注入、XSS跨站腳本攻擊等。
[0025]在強認證與授權(quán)、協(xié)議符合性檢查、服務(wù)攻擊過濾過程中,都會將每個過程的檢查及結(jié)果通過統(tǒng)一安全審計記錄日志,這樣可以發(fā)現(xiàn)服務(wù)請求的異常行為。
[0026]在上述檢查過程通過后,云服務(wù)安全保護方法將數(shù)據(jù)查詢服務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的云服務(wù),由它完成數(shù)據(jù)查詢服務(wù)并將查詢結(jié)果返回給應(yīng)用A。
[0027]以上實施方式僅用于說明本發(fā)明,而并非對本發(fā)明的限制,有關(guān)【技術(shù)領(lǐng)域】的普通技術(shù)人員,在不脫離本發(fā)明的精神和范圍的情況下,還可以做出各種變化和變型,因此所有等同的技術(shù)方案也屬于本發(fā)明的范疇,本發(fā)明的專利保護范圍應(yīng)由權(quán)利要求限定。
【權(quán)利要求】
1.一種云服務(wù)安全保護方法,其特征在于其具體實現(xiàn)過程如下: 一、服務(wù)接口攔截,通過云服務(wù)訪問控制,攔截云應(yīng)用對云服務(wù)的服務(wù)請求;完成云服務(wù)請求的所有安全檢查后,將云服務(wù)請求轉(zhuǎn)發(fā)給相應(yīng)的服務(wù); 二、強認證與授權(quán),對被攔截云服務(wù)請求的云應(yīng)用進行強身份鑒別,判別應(yīng)用身份的合法性,并根據(jù)授權(quán)庫、策略庫檢查云應(yīng)用是否有權(quán)限提交該云服務(wù)請求; 三、協(xié)議符合性檢查,檢查云服務(wù)請求中參數(shù)合法性; 四、服務(wù)攻擊過濾,根據(jù)策略庫中的策略掃描、判別云服務(wù)請求是否含有惡意攻擊,并過濾其中的惡意攻擊; 五、統(tǒng)一安全審計,對云服務(wù)請求記錄日志; 六、由授權(quán)庫、策略庫存儲云服務(wù)的訪問授權(quán)和攻擊過濾策略。
2.根據(jù)權(quán)利要求1所述的一種云服務(wù)安全保護方法,其特征在于:所述步驟一的詳細過程為:云應(yīng)用提交云服務(wù)參數(shù),并調(diào)用服務(wù)API提出云服務(wù)請求;服務(wù)接口則攔截該云服務(wù)請求,獲取云服務(wù)請求中的服務(wù)參數(shù)、應(yīng)用身份標識、IP地址信息。
3.根據(jù)權(quán)利要求1所述的一種云服務(wù)安全保護方法,其特征在于:所述步驟三中協(xié)議符合性檢查的參數(shù)包括:數(shù)據(jù)類型、數(shù)據(jù)長度、編碼方式、特殊符號。
4.根據(jù)權(quán)利要求1所述的一種云服務(wù)安全保護方法,其特征在于:所述步驟五中記錄的日志內(nèi)容包括:應(yīng)用身份標識、應(yīng)用IP地址、云服務(wù)參數(shù)、所請求的云服務(wù)、請求時間、安全檢查結(jié)果。
【文檔編號】H04L29/06GK104023033SQ201410284718
【公開日】2014年9月3日 申請日期:2014年6月24日 優(yōu)先權(quán)日:2014年6月24日
【發(fā)明者】李清玉, 顏斌 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司