本發(fā)明涉及信息安全技術(shù)領(lǐng)域,特別是指一種安全服務(wù)裝置、方法以及業(yè)務(wù)處理裝置、方法和系統(tǒng)。
背景技術(shù):
云計算在最近幾年迅速發(fā)展,無論是互聯(lián)網(wǎng)廠商和運營商,還是通信廠商和基礎(chǔ)網(wǎng)絡(luò)運營商,都對云計算表現(xiàn)出極大的關(guān)注。
狹義的云計算是指互聯(lián)網(wǎng)技術(shù)(IT,Internet Technology)基礎(chǔ)設(shè)施的交付和使用模式,指通過網(wǎng)絡(luò)以按需、易擴展的方式獲得所需的資源;廣義的云計算是指服務(wù)的交付和使用模式。這種服務(wù)的形式是基于擁有超強計算能力的數(shù)據(jù)中心,通過它提供的計算能力,從而運行各種定制的服務(wù),通過互聯(lián)網(wǎng)提供給用戶。而這與普通的網(wǎng)絡(luò)服務(wù)的區(qū)別在于動態(tài)擴展特性和虛擬化技術(shù)的廣泛應(yīng)用。
云計算具有超大規(guī)模、虛擬化、安全可靠等優(yōu)點。對于網(wǎng)絡(luò)運營商而言,由于云計算使用動態(tài)資源分配和擴展技術(shù),將大大降低運營成本和操作維護成本,從而達到節(jié)能減排的目的;除此之外,運營商還可以擴大運營的范圍,而不僅僅受限于管道運營。在云計算環(huán)境下,一切資源都是可以運營的,都可以作為服務(wù)提供,包括應(yīng)用程序、軟件、平臺、處理能力、存儲、網(wǎng)絡(luò)、計算資源以及其他基礎(chǔ)設(shè)施等。對于用戶而言,云計算使得用戶隨時、隨地使用網(wǎng)絡(luò)業(yè)務(wù)成為可能,此外用戶可以不需要大量投資而獲得運營業(yè)務(wù)所需的IT資源,完全可以根據(jù)自己的需求來租用IT資源,就如水、電和煤氣一樣,按需獲取和計費。
云計算一般有三種主要的服務(wù)模式,基礎(chǔ)設(shè)施即服務(wù)(IaaS,Infrastructureas a Service,)、平臺即服務(wù)(PaaS,Platform as a Service)和軟件即服務(wù)(SaaS,Software as a Service)。而根據(jù)服務(wù)的部署模式,又可以分為私有云、共有云 和混合云。
在云計算場景下,大量的用戶信息都集中在云計算提供商,與傳統(tǒng)的互聯(lián)網(wǎng)業(yè)務(wù)相比,其信息更集中、信息資產(chǎn)價值更高、面臨的攻擊也會更多。云計算所面臨的安全問題涉及到用戶的信息安全(數(shù)據(jù)完整性、一致性、私密性)、服務(wù)的審計和證據(jù)、網(wǎng)絡(luò)狀況安全、虛擬機環(huán)境安全、數(shù)據(jù)中心內(nèi)部環(huán)境安全、管理安全等領(lǐng)域。其中,用戶對服務(wù)商安全的不信任嚴(yán)重地阻礙了云計算商用的發(fā)展,導(dǎo)致云計算商用面臨諸多困難,云計算安全已經(jīng)成為云計算業(yè)務(wù)模式大規(guī)模商用的最重要瓶頸。
云業(yè)務(wù)和云平臺的資源在云計算環(huán)境下,被高度共享。面對多樣化需求和多樣化使用環(huán)境的用戶,單一安全等級的保護方案已經(jīng)不適合云計算環(huán)境。云計算迫切需要在安全上有新的機制,能夠為不同業(yè)務(wù),不同用戶提供細粒度、個性化的安全解決方案,動態(tài)差異化安全防護的目的。而針對這種按需供給的構(gòu)想,相對應(yīng)的,對于不同的安全需求和服務(wù)類型,也需要差異化的安全解決方案。而傳統(tǒng)上針對單一業(yè)務(wù)所制定的安全解決方案,無法適應(yīng)云計算平臺高度共享的特性。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的是提供一種安全服務(wù)裝置、方法以及業(yè)務(wù)處理裝置、方法和系統(tǒng),根據(jù)用戶及業(yè)務(wù)個性化的需求實現(xiàn)安全服務(wù)資源按需使用、有效利用,以及綠色節(jié)能的目的。
為達到上述目的,本發(fā)明的實施例提供一種安全服務(wù)方法,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)作為策略標(biāo)識;
根據(jù)所述策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定所述策略標(biāo)識對應(yīng)的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊;
根據(jù)已確定的所述安全策略,向客戶端和/或所述業(yè)務(wù)處理裝置提供對應(yīng)的安全服務(wù)能力;
監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述資源使用量進行計費。
其中,在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)作為策略標(biāo)識的步驟包括:
接收客戶端發(fā)送的安全請求,獲取用戶設(shè)置的安全參數(shù)作為第一安全級別設(shè)置參數(shù);
根據(jù)所述安全請求,獲取客戶端業(yè)務(wù)類別作為第二安全級別設(shè)置參數(shù)。
其中,根據(jù)所述策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定對應(yīng)所述策略標(biāo)識的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊的步驟包括:
根據(jù)獲取到的策略標(biāo)識,在策略庫中匹配,查找到對應(yīng)所述策略標(biāo)識的安全策略;其中,所述策略庫中的安全策略是按照策略標(biāo)識和安全策略的對應(yīng)關(guān)系預(yù)設(shè)置存儲的;
將已確定的所述安全策略下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。
其中,監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述資源使用量進行計費的步驟包括:
監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時,所述業(yè)務(wù)處理模塊所消耗的內(nèi)存資源、計算資源和帶寬資源的使用量;
根據(jù)監(jiān)測獲得的內(nèi)存資源、計算資源和帶寬資源的使用量,分別按照對應(yīng)的內(nèi)存資源計費標(biāo)準(zhǔn)、計算資源計費標(biāo)準(zhǔn)和寬帶資源計費標(biāo)準(zhǔn)進行計費。
其中,所述業(yè)務(wù)類別是客戶端根據(jù)本身的服務(wù)質(zhì)量QoS的類別設(shè)置確定的;所述當(dāng)前應(yīng)用場景是客戶端根據(jù)本身的互聯(lián)網(wǎng)協(xié)議IP地址和接入點位置確定的。
其中,所述安全服務(wù)能力至少包括:加密、認證、完整性、云漏洞掃描、云病毒查殺、密鑰管理、密文存儲、業(yè)務(wù)流量清洗、入侵檢測、數(shù)據(jù)隔離和恢復(fù)中的一種或多種。
為達到上述目的,本發(fā)明的實施例還提供了一種安全服務(wù)裝置,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
策略標(biāo)識獲取模塊,用于在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)作為策略標(biāo)識;
策略確定模塊,用于根據(jù)所述策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定所述策略標(biāo)識對應(yīng)的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊;
安全能力模塊,用于根據(jù)已確定的所述安全策略,向客戶端和/或所述業(yè)務(wù)處理裝置提供對應(yīng)的安全服務(wù)能力;
計費模塊,用于監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述資源使用量進行計費。
其中,所述策略標(biāo)識獲取模塊包括:
第一策略標(biāo)識獲取子模塊,用于接收客戶端發(fā)送的安全請求,獲取用戶設(shè)置的安全參數(shù)作為第一安全級別設(shè)置參數(shù);
第二策略標(biāo)識獲取子模塊,用于根據(jù)所述安全請求,獲取客戶端業(yè)務(wù)類別作為第二安全級別設(shè)置參數(shù)。
其中,所述策略確定模塊包括:
策略確定子模塊,用于根據(jù)獲取到的策略標(biāo)識,在策略庫中匹配,查找到對應(yīng)所述策略標(biāo)識的安全策略;其中,所述策略庫中的安全策略是按照策略標(biāo)識和安全策略的對應(yīng)關(guān)系預(yù)設(shè)置存儲的;
策略下發(fā)子模塊,用于將已確定的所述安全策略下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。
其中,所述計費模塊包括:
資源消耗監(jiān)測子模塊,用于監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的內(nèi)存資源、計算資源和帶寬資源的使用量;
計費子模塊,用于根據(jù)監(jiān)測獲得的內(nèi)存資源、計算資源和帶寬資源的使用量,分別按照對應(yīng)的內(nèi)存資源計費標(biāo)準(zhǔn)、計算資源計費標(biāo)準(zhǔn)和寬帶資源計費標(biāo)準(zhǔn)進行計費。
其中,所述業(yè)務(wù)類別是客戶端根據(jù)本身的服務(wù)質(zhì)量QoS的類別設(shè)置確定的;所述當(dāng)前應(yīng)用場景是客戶端根據(jù)本身的互聯(lián)網(wǎng)協(xié)議IP地址和接入點位置確定的。
其中,所述安全服務(wù)能力至少包括:加密、認證、完整性、云漏洞掃描、云病毒查殺、密鑰管理、密文存儲、業(yè)務(wù)流量清洗、入侵檢測、數(shù)據(jù)隔離和恢復(fù)中的一種或多種。
為達到上述目的,本發(fā)明實施例還提供了一種業(yè)務(wù)處理裝置,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
認證模塊,用于接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;
業(yè)務(wù)處理模塊,用于根據(jù)云計算安全服務(wù)系統(tǒng)的安全服務(wù)裝置確定的安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行處理。
其中,所述處理至少包括:對接收數(shù)據(jù)的解密、對發(fā)送數(shù)據(jù)的加密、數(shù)據(jù)隔離或數(shù)據(jù)恢復(fù)中的一種或多種。
為達到上述目的,本發(fā)明的實施例還提供了一種業(yè)務(wù)處理方法,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;
根據(jù)云計算安全服務(wù)系統(tǒng)的安全服務(wù)裝置確定的安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行安全處理。
為達到上述目的,本發(fā)明的實施例還提供了一種云計算安全服務(wù)系統(tǒng),包括如上所述的安全服務(wù)裝置和如上所述的業(yè)務(wù)處理裝置。
本發(fā)明的上述技術(shù)方案的有益效果如下:
本發(fā)明實施例的安全服務(wù)方法,在客戶端認證成功后,會根據(jù)客戶端發(fā)送的安全請求,來實時獲取包括客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)的策略標(biāo)識。由客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)確定的安全策略能夠體現(xiàn)用戶及業(yè)務(wù)的個性化需求,如此,根據(jù)該策略標(biāo)識就能夠在策略庫中確定對應(yīng)該策略標(biāo)識的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。隨后,在客戶端和/或業(yè)務(wù)處理裝置攜帶該安全策略調(diào)用對應(yīng)的安全服務(wù)能力時,根據(jù)該安全策略向其提供所需的安全服務(wù)能力,通過策略標(biāo)識制定差異化的安全策略,從而提供對應(yīng)的安全服務(wù),滿足用戶及業(yè)務(wù)的個性化安全需求。然后監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對資源使用量進行計費,由 于按照資源使用量進行計費,確保了資源的有效利用,達到綠色節(jié)能的目的。
附圖說明
圖1表示本發(fā)明實施例的安全服務(wù)裝置的結(jié)構(gòu)示意圖;
圖2表示本發(fā)明實施例的安全服務(wù)裝置計費模式;
圖3表示視頻會議實現(xiàn)安全服務(wù)的流程圖;
圖4表示本發(fā)明實施例的安全服務(wù)裝置的實現(xiàn)框架;
圖5表示本發(fā)明實施例的安全服務(wù)方法的步驟流程圖。
具體實施方式
為使本發(fā)明要解決的技術(shù)問題、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖及具體實施例進行詳細描述。
本發(fā)明針對現(xiàn)有的安全保護方案安全等級單一,不能根據(jù)用戶及業(yè)務(wù)個性化的需求進行適應(yīng)性的調(diào)整,無法適應(yīng)云計算平臺高度共享的特性的問題,提供一種安全服務(wù)裝置,根據(jù)用戶及業(yè)務(wù)個性化的需求實現(xiàn)安全服務(wù)資源按需使用、有效利用,以及綠色節(jié)能的目的。
如圖1所示,本發(fā)明實施例的一種安全服務(wù)裝置,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
策略標(biāo)識獲取模塊10,用于在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)作為策略標(biāo)識;
策略確定模塊20,用于根據(jù)所述策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定所述策略標(biāo)識對應(yīng)的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊;
安全能力模塊30,用于根據(jù)已確定的所述安全策略,向客戶端和/或所述業(yè)務(wù)處理裝置提供對應(yīng)的安全服務(wù)能力;
計費模塊40,用于監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述資源使用量進行計費。
首先,具有享有安全服務(wù)的客戶端用戶,才向其提供安全服務(wù),客戶端會先向業(yè)務(wù)處理裝置發(fā)起認證,客戶端認證成功后,用戶可以進行相關(guān)的安全配 置如業(yè)務(wù)安全要求(或者說是業(yè)務(wù)信息的重要性等),而策略標(biāo)識獲取模塊10在客戶端認證成功后,就會根據(jù)客戶端發(fā)送的安全請求,來獲取策略標(biāo)識,該策略標(biāo)識采用客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)。由客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)確定的安全策略(安全配置參數(shù),是云計算安全服務(wù)系統(tǒng)對用戶所訂購的業(yè)務(wù)實施差異化安全防護所需的配置參數(shù))能夠體現(xiàn)用戶及業(yè)務(wù)的個性化需求,如此,策略確定模塊20根據(jù)該策略標(biāo)識就能夠在策略庫中確定對應(yīng)該策略標(biāo)識的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。隨后,在客戶端和/或業(yè)務(wù)處理裝置攜帶該安全策略調(diào)用對應(yīng)的安全服務(wù)能力時,安全能力模塊30根據(jù)該安全策略向其提供所需的安全服務(wù)能力。
在本發(fā)明實施例的安全服務(wù)裝置中,還包括計費模塊40,監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對資源使用量進行計費。云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用安全能力模塊,安全能力模塊啟動對用戶所訂購的業(yè)務(wù)進行差異化安全防護,就需要消耗一定的資源,計費模塊40對所消耗的資源使用量進行監(jiān)測統(tǒng)計,可以通過監(jiān)測安全能力模塊實現(xiàn),并按照預(yù)先確定的資費標(biāo)準(zhǔn)進行計費。
本發(fā)明實施例的安全服務(wù)裝置通過策略標(biāo)識制定差異化的安全策略,從而提供對應(yīng)的安全服務(wù),滿足用戶及業(yè)務(wù)的個性化安全需求,同時,按照資源使用量進行計費,確保了資源的有效利用,達到綠色節(jié)能的目的。
在本發(fā)明的實施例中,用戶在發(fā)送安全請求前能夠進行安全參數(shù)的自定義設(shè)置,因此,所述安全請求包括用戶設(shè)置的安全參數(shù);
所述策略標(biāo)識獲取模塊10包括:
第一策略標(biāo)識獲取子模塊101,用于接收客戶端發(fā)送的安全請求,獲取用戶設(shè)置的安全參數(shù)作為第一安全級別設(shè)置參數(shù);
第二策略標(biāo)識獲取子模塊102,用于根據(jù)所述安全請求,獲取客戶端業(yè)務(wù)類別作為第二安全級別設(shè)置參數(shù)。
由于要根據(jù)用戶的需求設(shè)置合理的安全等級滿足需要,故第一策略標(biāo)識獲取子模塊101會獲取安全請求中用戶設(shè)置的安全參數(shù)作為第一安全級別設(shè)置參數(shù)。而不同的業(yè)務(wù)類別,也需要的合理的安全級別,安全級別考慮業(yè)務(wù)類別 可盡量減小安全對服務(wù)質(zhì)量的不利影響,故第二策略標(biāo)識獲取子模塊102會根據(jù)安全請求,獲取客戶端業(yè)務(wù)類別作為第二安全級別設(shè)置參數(shù)。再有眾所周知,不同的客戶端的當(dāng)前應(yīng)用場景(客戶端接入云業(yè)務(wù)時所處的網(wǎng)絡(luò)環(huán)境)如無線3G網(wǎng)(機場)、家庭網(wǎng)絡(luò)、辦公網(wǎng)絡(luò)等,所需要的安全保護是不同的,故還包括第三策略標(biāo)識獲取子模塊103會根據(jù)所述安全請求,獲取客戶端的當(dāng)前應(yīng)用場景。由第一安全級別設(shè)置參數(shù)、第二安全級別設(shè)置參數(shù)和當(dāng)前應(yīng)用場景作為策略標(biāo)識,能夠更具有針對性的確定個性化、差異化、定制化的安全策略進而進行安全保護,來滿足用戶及業(yè)務(wù)需要。
其中,所述業(yè)務(wù)類別是客戶端根據(jù)本身的服務(wù)質(zhì)量QoS的類別設(shè)置確定的;所述當(dāng)前應(yīng)用場景是客戶端根據(jù)本身的互聯(lián)網(wǎng)協(xié)議IP地址和接入點位置確定的。
當(dāng)然,策略標(biāo)識并不僅限于本發(fā)明實施例所提到的三類數(shù)據(jù),考慮到其他因素將除上述類型之外的數(shù)據(jù)作為策略標(biāo)識也是在本發(fā)明的保護范圍內(nèi)。
在策略標(biāo)識獲取模塊10得到策略標(biāo)識后,就可由策略確定模塊20來確定針對用戶及業(yè)務(wù)的安全策略了。在本發(fā)明的實施例中,所述策略確定模塊20包括:
策略確定子模塊201,用于根據(jù)獲取到的策略標(biāo)識,在策略庫中匹配,查找到對應(yīng)所述策略標(biāo)識的安全策略;其中,所述策略庫中的安全策略是按照策略標(biāo)識和安全策略的對應(yīng)關(guān)系預(yù)設(shè)置存儲的;
策略下發(fā)子模塊202,用于將已確定的所述安全策略下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。
在策略庫中,安全策略是按照策略標(biāo)識與安全策略的對應(yīng)關(guān)系預(yù)設(shè)置存儲的,通過策略標(biāo)識能夠查找到與其對應(yīng)的安全策略,策略確定子模塊201就能夠根據(jù)獲取到的策略標(biāo)識,在策略庫中匹配,查找到與該策略標(biāo)識對應(yīng)的安全策略。對于已確定的安全策略,策略下發(fā)子模塊202就可以將其下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。
由于策略標(biāo)識和安全策略之間的對應(yīng)關(guān)系,可能會根據(jù)用戶及業(yè)務(wù)需求做適當(dāng)調(diào)整,這樣,策略確定模塊20可能還包括策略管理子模塊203,策略管理子模塊203會根據(jù)預(yù)設(shè)值控制和管理策略庫中的安全策略,如重新調(diào)整策略 標(biāo)識和安全策略的對應(yīng)關(guān)系,增加或減少某一安全策略具體內(nèi)容等等。
安全策略下發(fā)后,客戶端和/或業(yè)務(wù)處理裝置根據(jù)該安全策略在安全能力模塊調(diào)用對應(yīng)的安全服務(wù)能力。
其中,所述安全服務(wù)能力至少包括:加密、認證、完整性、云漏洞掃描、云病毒查殺、密鑰管理、密文存儲、業(yè)務(wù)流量清洗、入侵檢測、數(shù)據(jù)隔離和恢復(fù)中的一種或多種。
安全能力模塊通過預(yù)設(shè)置的安全協(xié)議算法實現(xiàn)安全服務(wù)能力,提供差異化的安全防護。
應(yīng)該知道的是,安全能力模塊獲得安全策略(安全配置參數(shù),是云計算安全服務(wù)系統(tǒng)對用戶所訂購的業(yè)務(wù)實施差異化安全防護所需的配置參數(shù))后,啟動相關(guān)安全協(xié)議算法,對用戶所訂購的業(yè)務(wù)實施安全防護。安全能力模塊提供安全服務(wù)能力會消耗系統(tǒng)資源,為了更精確的計費,按照不同類型資源通過其相應(yīng)的計費標(biāo)準(zhǔn)計算。在本發(fā)明實施例的安全服務(wù)裝置中,所述資源包括內(nèi)存資源、計算資源和帶寬資源;
所述計費模塊40包括:
資源消耗監(jiān)測子模塊401,用于監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的內(nèi)存資源、計算資源和帶寬資源的使用量;
計費子模塊402,用于根據(jù)監(jiān)測獲得的內(nèi)存資源、計算資源和帶寬資源的使用量,分別按照對應(yīng)的內(nèi)存資源計費標(biāo)準(zhǔn)、計算資源計費標(biāo)準(zhǔn)和寬帶資源計費標(biāo)準(zhǔn)進行計費。
如圖2所示的計費模式,在安全能力模塊提供安全服務(wù)能力時,所消耗的資源類型主要有內(nèi)存資源、計算資源和帶寬資源,資源消耗監(jiān)測子模塊401會監(jiān)測其所消耗的不同類型資源的使用量,然后由計費模塊402按照不同類型資源的計費標(biāo)準(zhǔn)進行計費,計算出在每一個類別所消耗的費用,從而確定差異化安全服務(wù)的價格水平。
下面結(jié)合圖3說明本發(fā)明實施例的安全服務(wù)裝置的應(yīng)用:
在該例中,用戶在機場通過WIFI進行視頻會議,由于視頻會議的業(yè)務(wù)流量特征是數(shù)據(jù)包固定大小,恒定速率,低速率,丟包率非常低,時延非常低,抖動非常低,是業(yè)務(wù)類別中的優(yōu)先類。
客戶端首先向業(yè)務(wù)處理裝置的認證模塊發(fā)送認證請求S1。之后,認證模塊返回認證成功至客戶端S2??蛻舳苏J證成功后,用戶進行相關(guān)的安全配置,安全參數(shù)要求傳輸加密,客戶端自動檢測用戶配置的安全參數(shù),向安全服務(wù)裝置的策略標(biāo)識獲取模塊發(fā)送攜帶有用戶設(shè)置的安全參數(shù)的安全請求S3。策略標(biāo)識獲取模塊獲取到安全請求后,會實時獲取客戶端當(dāng)前應(yīng)用場景(當(dāng)前為WIFI接入)及業(yè)務(wù)類別(視頻會議)S4,將確定的策略標(biāo)識發(fā)送到策略確定模塊S5。策略確定模塊根據(jù)策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定對應(yīng)所述策略標(biāo)識的安全策略S6,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊S7、S8??蛻舳藬y帶安全策略調(diào)用安全加解密能力,安全能力模塊向客戶端提供S9,并發(fā)起計費S10,計費模塊監(jiān)測資源類型及使用情況確定所消耗資源使用量并根據(jù)資源計費標(biāo)準(zhǔn)對所述消耗的資源使用量進行計費S11。這樣,客戶端發(fā)起視頻會議,對視頻數(shù)據(jù)進行加密傳輸S12。業(yè)務(wù)處理裝置中業(yè)務(wù)處理模塊也攜帶安全策略調(diào)用安全加解密能力,安全能力模塊向客戶端提供S13,業(yè)務(wù)處理模塊對接收到數(shù)據(jù)進行解密,對發(fā)送數(shù)據(jù)進行加密S14,向客戶端傳輸視頻數(shù)據(jù),對視頻數(shù)據(jù)進行加密傳輸S15,客戶端對接收到數(shù)據(jù)進行解密,對后續(xù)發(fā)送數(shù)據(jù)進行加密S16。當(dāng)客戶端與業(yè)務(wù)處理裝置連接之后,在斷開前發(fā)送的數(shù)據(jù)都采用相同的安全策略,而不需要每次發(fā)送數(shù)據(jù)都去查找安全策略。
由于策略標(biāo)識獲取模塊獲取到安全請求后,會實時獲取客戶端當(dāng)前應(yīng)用場景,在客戶端場景變化,例如有辦公場所接入移動到由公共場所接入S17,需要采用更高強度的安全策略,則安全策略要重新確定。當(dāng)前應(yīng)用場景變化,發(fā)送當(dāng)前應(yīng)用場景S18,策略標(biāo)識獲取模塊獲取到策略標(biāo)識更改S19,發(fā)送新的策略標(biāo)識到策略確定模塊S20,根據(jù)新的策略標(biāo)識重新確定新的安全策略S21,并下發(fā)至戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊S22、S23,根據(jù)新的安全策略,對視頻會議數(shù)據(jù)進行加密傳輸S24,此時采用的加密算法可能更高級來提升數(shù)據(jù)傳輸安全。
在用戶配置了數(shù)據(jù)安全保護能力時,客戶端能夠?qū)⒂脩粼O(shè)置的業(yè)務(wù)粒度自動映射到IP數(shù)據(jù)包的服務(wù)類型字段,通過采用區(qū)分服務(wù)Diffserv業(yè)務(wù)框架,業(yè)務(wù)處理模塊在接收到數(shù)據(jù)后才可提取即將發(fā)送的數(shù)據(jù)的業(yè)務(wù)粒度S25,策略 標(biāo)識獲取模塊此時獲取的策略標(biāo)識是由業(yè)務(wù)處理模塊提供的S26。策略確定模塊根據(jù)策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定對應(yīng)策略標(biāo)識的安全策略S27,并下發(fā)至云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊S28。業(yè)務(wù)處理模塊攜帶安全策略調(diào)用安全能力,安全能力模塊向業(yè)務(wù)處理模塊提供進行安全保護S29,業(yè)務(wù)處理模塊進行安全保護(數(shù)據(jù)隔離、數(shù)據(jù)恢復(fù)、數(shù)據(jù)加密等)S30,安全能力模塊發(fā)起計費S31,計費模塊監(jiān)測資源類型及使用情況確定所消耗資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述消耗的資源使用量進行計費S32。
綜上所述,本發(fā)明實施例的安全服務(wù)裝置,如圖4所示,策略標(biāo)識獲取模塊通過多渠道(用戶設(shè)置安全參數(shù)、當(dāng)前應(yīng)用場景、業(yè)務(wù)類別和其他)獲取相關(guān)策略標(biāo)識;策略確定模塊根據(jù)策略標(biāo)識制定差異化的安全策略,同時進行安全策略的控制管理、下發(fā)執(zhí)行;安全能力模塊根據(jù)確定的安全策略提供安全服務(wù)能力,從而提供對應(yīng)的安全服務(wù),滿足用戶及業(yè)務(wù)的個性化安全需求,同時,計費模塊進行資源監(jiān)測,按照資源使用量進行計費,確保了資源的有效利用,達到綠色節(jié)能的目的。
如圖5所示,本發(fā)明的實施例還提供了一種安全服務(wù)方法,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
步驟11,在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù)作為策略標(biāo)識;
步驟12,根據(jù)所述策略標(biāo)識,在預(yù)設(shè)置的策略庫中進行匹配,確定所述策略標(biāo)識對應(yīng)的安全策略,并下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊;
步驟13,根據(jù)已確定的所述安全策略,向客戶端和/或所述業(yè)務(wù)處理裝置提供對應(yīng)的安全服務(wù)能力;
步驟14,監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的資源使用量,并根據(jù)資源計費標(biāo)準(zhǔn)對所述資源使用量進行計費。
其中,所述安全請求包括用戶設(shè)置的安全參數(shù);
步驟11包括:
步驟111,接收客戶端發(fā)送的安全請求,獲取用戶設(shè)置的安全參數(shù)作為第 一安全級別設(shè)置參數(shù);
步驟112,根據(jù)所述安全請求,獲取客戶端業(yè)務(wù)類別作為第二安全級別設(shè)置參數(shù)。
其中,步驟12包括:
步驟121,根據(jù)獲取到的策略標(biāo)識,在策略庫中匹配,查找到對應(yīng)所述策略標(biāo)識的安全策略;其中,所述策略庫中的安全策略是按照策略標(biāo)識和安全策略的對應(yīng)關(guān)系預(yù)設(shè)置存儲的;
步驟122,將已確定的所述安全策略下發(fā)至客戶端和云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置的業(yè)務(wù)處理模塊。
其中,所述資源包括內(nèi)存資源、計算資源和帶寬資源;
步驟14包括:
步驟141,監(jiān)測安全服務(wù)能力被云計算安全服務(wù)系統(tǒng)的業(yè)務(wù)處理裝置調(diào)用時的內(nèi)存資源、計算資源和帶寬資源的使用量;
步驟142,根據(jù)監(jiān)測獲得的內(nèi)存資源、計算資源和帶寬資源的使用量,分別按照對應(yīng)的內(nèi)存資源計費標(biāo)準(zhǔn)、計算資源計費標(biāo)準(zhǔn)和寬帶資源計費標(biāo)準(zhǔn)進行計費。
其中,所述業(yè)務(wù)類別是客戶端根據(jù)本身的服務(wù)質(zhì)量QoS的類別設(shè)置確定的;所述當(dāng)前應(yīng)用場景是客戶端根據(jù)本身的互聯(lián)網(wǎng)協(xié)議IP地址和接入點位置確定的。
其中,所述安全服務(wù)能力至少包括:加密、認證、完整性、云漏洞掃描、云病毒查殺、密鑰管理、密文存儲、業(yè)務(wù)流量清洗、入侵檢測、數(shù)據(jù)隔離和恢復(fù)中的一種或多種。
本發(fā)明實施例的安全服務(wù)方法,通過多渠道(用戶設(shè)置安全參數(shù)、當(dāng)前應(yīng)用場景、業(yè)務(wù)類別和其他)獲取相關(guān)策略標(biāo)識;之后根據(jù)策略標(biāo)識制定差異化的安全策略,同時進行安全策略的控制管理、下發(fā)執(zhí)行;并根據(jù)確定的安全策略提供安全服務(wù)能力,從而提供對應(yīng)的安全服務(wù),滿足用戶及業(yè)務(wù)的個性化安全需求,而且進行資源監(jiān)測,按照資源使用量進行計費,確保了資源的有效利用,達到綠色節(jié)能的目的。
需要說明的是,該安全服務(wù)方法是應(yīng)用于上述安全服務(wù)裝置的方法,上述 安全服務(wù)裝置的實現(xiàn)方式適用于該方法,也能達到相同的技術(shù)效果。
本發(fā)明實施例還提供了一種業(yè)務(wù)處理裝置,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
認證模塊50,用于接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;
業(yè)務(wù)處理模塊60,用于根據(jù)云計算安全服務(wù)系統(tǒng)的安全服務(wù)裝置確定的安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行處理。
其中,所述處理至少包括:對接收數(shù)據(jù)的解密、對發(fā)送數(shù)據(jù)的加密、數(shù)據(jù)隔離或數(shù)據(jù)恢復(fù)中的一種或多種。
本發(fā)明實施例的業(yè)務(wù)處理裝置,應(yīng)用于云計算安全服務(wù)系統(tǒng),配合上述安全服務(wù)裝置,通過認證模塊接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;在認證通過后,安全服務(wù)裝置根據(jù)策略標(biāo)識制定差異化的安全策略,從而提供對應(yīng)的安全服務(wù),而業(yè)務(wù)處理模塊可根據(jù)安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行處理,滿足用戶及業(yè)務(wù)的個性化安全需求。
需要說明的是,該業(yè)務(wù)處理裝置是配合上述安全服務(wù)裝置的裝置,上述安全服務(wù)裝置的實現(xiàn)方式適用于該裝置,也能達到相同的技術(shù)效果。
本發(fā)明的實施例還提供了一種業(yè)務(wù)處理方法,應(yīng)用于云計算安全服務(wù)系統(tǒng),包括:
步驟21,接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;
步驟22,根據(jù)云計算安全服務(wù)系統(tǒng)的安全服務(wù)裝置確定的安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行安全處理。
其中,所述處理至少包括:對接收數(shù)據(jù)的解密、對發(fā)送數(shù)據(jù)的加密、數(shù)據(jù)隔離或數(shù)據(jù)恢復(fù)中的一種或多種。
該業(yè)務(wù)處理方法應(yīng)用于云計算安全服務(wù)系統(tǒng),配合上述安全服務(wù)裝置,通過接收客戶端的認證請求,并根據(jù)所述認證請求對客戶端用戶進行認證;在認證通過后,安全服務(wù)裝置根據(jù)策略標(biāo)識制定差異化的安全策略,從而提供對應(yīng)的安全服務(wù),就可根據(jù)安全策略調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行處理,滿足用戶及業(yè)務(wù)的個性化安全需求。
需要說明的是,該業(yè)務(wù)處理方法是應(yīng)用于上述業(yè)務(wù)處理裝置的方法,上述業(yè)務(wù)處理裝置的實現(xiàn)方式適用于該方法,也能達到相同的技術(shù)效果。
本發(fā)明的實施例還提供了一種云計算安全服務(wù)系統(tǒng),包括如上所述的安全服務(wù)裝置和如上所述的業(yè)務(wù)處理裝置。
該云計算安全服務(wù)系統(tǒng),業(yè)務(wù)處理裝置根據(jù)接收到的客戶端發(fā)送的認證請求,對客戶端進行認證;安全服務(wù)裝置在客戶端認證成功后,根據(jù)客戶端發(fā)送的安全請求,實時獲取客戶端的當(dāng)前應(yīng)用場景和安全級別設(shè)置參數(shù),在確定對應(yīng)的安全策略后,下發(fā)安全策略;安全服務(wù)裝置能夠根據(jù)安全策略向客戶端和/或業(yè)務(wù)處理裝置提供對應(yīng)的安全能力,并監(jiān)測業(yè)務(wù)處理裝置調(diào)用安全服務(wù)能力時所消耗的資源使用量,按照資源計費標(biāo)準(zhǔn)進行計費;業(yè)務(wù)處理裝置通過調(diào)用安全服務(wù)能力,對用戶業(yè)務(wù)數(shù)據(jù)進行安全處理。該系統(tǒng)滿足了用戶及業(yè)務(wù)的個性化安全需求,同時能夠進行資源監(jiān)測,按照資源使用量進行計費,確保了資源的有效利用,達到綠色節(jié)能的目的。
以上所述是本發(fā)明的優(yōu)選實施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明所述原理的前提下,還可以作出若干改進和潤飾,這些改進和潤飾也應(yīng)視為本發(fā)明的保護范圍。