虚拟私有云平台、虚拟私有云安全接入方法和系统

摘要

本发明涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统，虚拟私有云平台接收到用户的接入请求时，使用定位服务器和无线信号源设备对无线云终端进行位置定位并做位置权限判断，位置允许通过则继续验证用户账户的信息，如果无线云终端同时具有位置权限和账户权限，虚拟私有云将允许无线云终端访问所请求的资源，接入成功后，虚拟私有云平台仍对接入的无线云终端进行定位追踪，防止其移动到非法的位置进行攻击。本发明将可攻击区域缩小到指定的范围内，以强化虚拟私有云的安全管控。

说明书

技术领域

本发明涉及网络通信技术，具体涉及一种虚拟私有云平台、虚拟私有云安全 接入方法和系统。

背景技术

近几年，虚拟私有云逐渐为广大企业所接受和采用，它可以让企业享受到云 计算的益处的同时，又不需要将工作负载和数据部署在企业防火墙之外，避免了 一些潜在的安全隐患。通过将虚拟私有云部署在企业防火墙后，企业的IT部门 可以有效掌控云资源的控制权，满足企业对云计算安全性的需求。

但是，虚拟私有云却无法摆脱来自企业内部的攻击。现有的私有云接入安全 方案一般都是通过用户账户验证和网络设备绑定等方式来解决企业内部不同部 门对安全性的需求，无法达到既灵活又安全的办公需求。随着无线设备的普及， 用户对办公方式的灵活性又有了新的要求，现有的这些接入安全的解决方案又面 临着新的挑战。另外，由于无线网络的数据传输是利用微波在空气中辐射传播， 在某种程度上可以看作是一个开放式的公共网络，因此，一些重要的账户信息很 容易通过无线传输泄露，攻击者可以在未知的区域接入网络进行攻击，安全性无 法得到有效保障。

又如CN 102571703 A公开了一种“云数据安全管控系统及方法”，应用于私 有云服务器，企业内部用户端设备通过内部网络访问该私有云服务器，该私有云 服务器存储有私有云数据，各企业内部用户端设备安装有全球定位系统。该云数 据安全管控系统结合用户端当前的经纬度坐标信息及其它权限管控资料对该用 户端进行多重验证。若该用户端设备有任意一项验证失败，则该云数据安全管控 系统拒绝该用户端设备的访问请求。若用户端设备当前的经纬度坐标信息及其它 权限管控资料均通过验证，则云数据安全管控系统允许该用户端设备访问私有云 数据。该专利结合请求访问私有云数据的用户端设备当前的经纬度坐标信息以及 其它权限管理控资料对该用户端设备进行多重验证，强化了私有云的安全管理， 有效地防范了入侵者的攻击。但仍存在一定的安全问题，比如：当云数据安全管 控系统允许用户端设备访问私有云数据后，用户端设备可移动到非法的位置进行 攻击；另，用户端设备采用ＧＰＳ进行定位，如果用户端设备在室内则因为无法 接收ＧＰＳ信号，造成用户端设备不可用。

发明内容

本发明的目的是提供一种虚拟私有云平台、虚拟私有云安全接入方法和系统， 能将可攻击区域缩小到指定的范围内，以强化虚拟私有云的安全管控。

本发明所述的虚拟私有云平台，包括：

接收模块，用于接收无线云终端发送的接入请求消息；

位置权限模块，用于向定位服务器发送定位操作指令，并获取定位服务器对 指定无线云终端的定位策略匹配结果；

账户权限模块，用于根据虚拟私有云预先配置的用户账户信息，获取账户权 限的对应关系；

处理模块，用于调用位置权限模块和账户权限模块，检验无线云终端是否同 时具有位置权限和账户权限，若是，则允许无线云终端接入，否则，拒绝无线云 终端接入；

发送模块，用于向无线云终端发送接入请求处理结果；

当允许无线云终端接入后，所述位置权限模块保持接收定位服务器反馈的实 时定位策略匹配结果，并通过处理模块检验所述无线云终端是否具有位置权限， 以防止无线云终端离开所设定的定位策略区域。

本发明所述的一种虚拟私有云安全接入方法，包括权利要求1所述的虚拟私 有云平台、定位装置和无线云终端；

包括步骤：

虚拟私有云平台接收无线云终端发送的接入请求信息，该接入请求信息包括 请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息；

所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作指令包 括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置 对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚 拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟 私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具 有位置权限；

虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否 具有账户权限；

如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请 求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源；

虚拟私有云平台向无线云终端发送接入请求处理结果；

当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的 位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。

验证无线云终端是否具有账户权限包括：

虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息，验证所述用 户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限，若验 证通过，则向使用该账户登录的无线云终端授予账户权限。

所述定位装置包括定位服务器和无线信号源设备；

验证无线云终端是否具有位置权限包括：

虚拟私有云平台向定位服务器发送定位操作指令，定位服务器通过控制相应 的无线信号源设备，对无线云终端进行信号强度的采集，并基于所述信号强度计 算出无线云终端所处的位置，根据定位服务器中预先配置的虚拟私有云资源对应 的位置策略信息，匹配无线云终端在所处区域的位置权限，若定位策略匹配结果 为允许，则表示无线云终端具有访问所请求的虚拟私有云资源的位置权限；

所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的 对应关系；

所述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝 的标识。

对无线云终端的位置权限的维持包括：

定位服务器结合无线信号源设备对无线云终端进行实时定位，并向虚拟私有 云平台发送实时的定位策略匹配结果。

对无线云终端的位置权限的维持包括：

定位服务器对无线云终端进行定位并做定位策略匹配：

定位服务器在无线云终端接入虚拟私有云资源之后，实时采集追踪无线云终 端的位置，直到接收到虚拟私有云平台下达的停止定位命令，则停止对其指定的 无线云终端进行信号采集和定位，所述停止定位命令至少包含停止标识、无线云 终端信息及相应的虚拟私有云资源号，所述虚拟私有云平台下达的停止定位命令 发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申请；

若定位服务器在定位过程中发现异常，则发送定位异常消息到虚拟私有云平 台；

所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出 申请的情况，所述情况包括无线云终端与无线信号源设备断开连接、无线云终端 移动到定位策略信息拒绝的区域；所述定位异常消息至少包含异常类型、无线云 终端信息和请求虚拟私有云资源号；

虚拟私有云平台接收到异常消息后，根据不同的异常类型，采取相应的安全 措施。

所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号；

所述用户输入的用户账户信息是代表用户身份的信息，包括用户名、密码、 私钥或生物特征；

所述无线云终端设备信息为无线云终端设备的网卡MAC地址，或设备生产 序列号。

所述定位服务器根据所述信号强度通过室内定位的方法计算出无线云终端 所处的位置；

所述室内定位的方法为三角定位法，或为指纹识别法，或为基于机械学习的 室内定位方法。

本发明所述的虚拟私有云安全接入系统，包括：

无线云终端，用于发送接入请求信息和访问虚拟私有云资源；

定位装置，所述定位装置包括无线信号源设备和定位服务器，所述无线信号 源设备用于承载无线通信及采集无线云终端的信号强度；所述定位服务器用于对 无线云终端进行定位，并对所定位的结果进行放行或阻止的定位策略信息匹配；

还包括权利要求1所述的虚拟私有云平台，用于接收所述无线云终端发送的 接入请求信息，并根据无线云终端设备定位策略匹配结果和用户身份验证结果允 许或阻止无线云终端接入虚拟私有云资源。

本发明的有益效果：本发明通过对无线云终端定位，判断其是否处于所请求 的虚拟私有云资源的允许接入的区域内，若处于允许的区域内时，则允许其接入 该虚拟私有云资源。这样可以避免其他用户在不属于自身访问权限的区域外，通 过无线的方式，非法访问虚拟私有云的资源，实现基于区域的云终端访问方式。 本发明从物理角度上将可攻击区域缩小到指定的范围内，强化了虚拟私有云的安 全管控。

附图说明

图1为本发明所述虚拟私有云安全接入方法的主要流程图；

图2为无线云终端接入虚拟私有云资源的具体流程图；

图3为本发明中位置权限维护及异常退出处理的主要流程图；

图4为本发明所述虚拟私有云平台的结构框图；

图5为本发明所述虚拟私有云安全接入系统的结构框图。

具体实施方式

现结合附图对本发明作进一步详细说明：

如图1所示的一种虚拟私有云安全接入方法，包括虚拟私有云平台、无线云 终端和定位装置。

包括以下步骤：

S11、虚拟私有云平台接收无线云终端发送的接入请求信息，所述接入请求 信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户 账号信息；所述虚拟私有云资源号为虚拟私有云平台分配的资源对应的识别号， 所述用户输入的用户账户信息是代表用户身份的信息，例如：用户名、密码、私 钥或生物特征等；所述无线云终端设备信息是无线云终端设备的网卡MAC地址、 设备生产序列号等能够唯一识别该设备的识别号。

S12、所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作 指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定 位装置对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所 请求虚拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈 给虚拟私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端 是否具有位置权限。

验证无线云终端是否具有位置权限的过程如下：

虚拟私有云平台向定位服务器发送定位操作指令，定位服务器通过控制相应 的无线信号源设备，对无线云终端进行信号强度的采集，并基于所述信号强度通 过室内定位的方法计算出无线云终端所处的位置，根据定位服务器中预先配置的 虚拟私有云资源对应的位置策略信息，匹配无线云终端在所处区域的位置权限， 若定位策略匹配结果为允许，则表示无线云终端具有访问所请求的虚拟私有云资 源的位置权限。

所述位置策略信息为管理员在定位服务器上保存的位置区域和接入权限的 对应关系。所述室内定位的方法包括：三角定位法、指纹识别法、基于机械学习 的室内定位方法。所述无线信号源设备根据实际需求可以是一个或两个以上。

S13、虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端 是否具有账户权限。

验证无线云终端是否具有账户权限的过程如下：

虚拟私有云平台根据虚拟私有云资源预先配置的用户账户信息，验证所述用 户输入的用户账号信息在所请求的虚拟私有云资源中对应的用户身份权限，若验 证通过，则向使用该账户登录的无线云终端授予账户权限。

其中，S12和S13之间无时序限制关系。

S14、如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访 问所请求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源。

S15、虚拟私有云平台向无线云终端发送接入请求处理结果。

S16、当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云 终端的位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。

对无线云终端的位置权限的维持包括：定位服务器结合无线信号源设备对无 线云终端进行实时定位，并向虚拟私有云平台发送实时的定位策略匹配结果；所 述定位策略匹配结果至少包含无线云终端设备信息和对应的允许或拒绝的标识。

本发明在通过定义位置的策略信息，对无线云终端的接入位置进行接入行为 决策，在无线云终端访问虚拟私有云时考虑无线云终端所处的位置，避免用户在 不属于自身的区域内访问虚拟私有云的资源，实现基于位置区域的无线云终端安 全访问的方式。

以下结合图2对本发明进行具体的说明：

S21：用户通过无线云终端上的输入设备输入用户账户信息和请求接入的虚 拟私有云资源号。

S22：无线云终端向虚拟私有云平台发送接入请求消息，所述接入请求消息 包括请求接入的虚拟私有云资源号、用户输入的用户账户信息和无线云终端设备 信息。

其中，无线云终端设备信息是虚拟私有云平台用来确定为谁提供虚拟私有云 服务的唯一标识。

S23：虚拟私有云平台会暂时保存收到的接入请求信息，生成本次接入请求 的会话信息，同时，将定位操作指令下发到定位服务器上，所述定位操作指令包 括开始定位标识、会话信息、无线云终端设备信息和所请求的虚拟私有云资源号 等。

因为虚拟私有云平台经常会同时接收到多个接入请求的信息，为方便区分和 更好管理定位服务，所以虚拟私有云平台需要在每次收到接入请求时，生成并开 始维护的会话信息，直至用户退出虚拟私有云平台。

S24：定位服务器根据无线信号源标识符信息，开始该定位工作的初始化， 并将信号采集命令发送至无线信号源设备，所述信号采集命令至少包括开始标识 和无线云终端设备信息。

所述的定位初始化工作包括：初始化信号强度采集的网络通信建立、定位算 法的配置、无线信号采集参数的设置等一切定位的必要操作以及所申请的虚拟私 有云资源对应的定位策略信息读取。

其中，定位服务器保存的定位策略信息为：位置区域与每个独立的虚拟私有 云资源接入权限信息的对应关系，通过该对应关系，定位服务器可以查询并判定 无线云终端是否可以接入所对应的虚拟私有云。

例如，位置区域和对应虚拟私有云资源权限对应关系可以如表1所示：

虚拟私有云资源号 位置区域 权限 资源号1 区域1 允许 资源号1 区域2 拒绝 资源号2 区域1 拒绝 资源号2 区域2 允许 资源号2 区域3 允许 … … …

表1

同样，几个独立的虚拟私有云资源之间的定位策略信息也可以通过分组的形 式进行管理。

例如，表2为虚拟私有云资源分组信息，表3为分组位置区域和对应分组权 限关系。

虚拟私有云资源号 分组号 资源号1 分组1 资源号2 分组1 资源号3 分组2 资源号4 分组2 资源号5 分组1 … ...

表2

分组号 位置区域 权限 分组1 区域1 拒绝 分组1 区域2 拒绝 分组1 区域3 允许 分组2 区域1 允许 分组2 区域2 拒绝 … … …

表3

S25：无线信号源设备启动信号强度采集程序，根据无线云终端设备信息对 该无线云终端设备进行信号强度采集，并将采集的实时信号强度信息发送回定位 服务器。

由于无线信号源设备可以同时采集多个无线云终端的信号强度信息，所以所 述信号强度信息至少包含无线云终端设备信息及其对应的实时信号强度值。

S26：定位服务器根据无线信号源设备采集的无线云终端设备的信号强度进 行定位计算，并将定位结果与对应的定位策略信息进行权限匹配。如果该定位结 果为允许，则发送会话信息及位置允许的定位策略匹配结果消息给虚拟私有云平 台，如果为拒绝，则发送会话信息及位置拒绝的定位策略匹配结果消息给虚拟私 有云平台。

所述定位策略匹配结果消息至少应包含无线云终端设备信息和对应的允许 或拒绝的标识。

S27：虚拟私有云平台根据定位服务器传回的消息，采取相应的措施

本实施例中，如果接收到的定位策略匹配结果消息为允许，则继续根据用户 账户信息进行身份验证过程。如果验证成功，发送允许接入消息和对应虚拟私有 云资源信息给无线云终端设备，并继续接收定位服务器发回的定位策略匹配结果， 以确保开始正常接入访问后，无线云终端移动到拒绝的位置区域进行攻击。所述 虚拟私有云资源信息包括此接入请求的会话信息、虚拟私有云资源号等必要信息。

如果身份验证失败或定位策略匹配结果为拒绝，则直接发送失败消息给无线 云终端设备。所述失败消息的内容可包括：无线云终端设备信息、拒绝消息、拒 绝原因等。

S28：如果收到成功消息，则无线云终端开始访问请求的虚拟私有云资源。

如图3所示，对无线云终端的位置权限的维持包括：

S31、定位服务器对无线云终端进行定位并做定位策略匹配：

定位服务器在无线云终端接入虚拟私有云资源之后，实时采集追踪无线云终 端的位置。直到接收到虚拟私有云平台下达的停止定位命令，则停止对其指定的 无线云终端进行信号采集和定位。所述停止定位命令至少需要包含停止标识、无 线云终端信息及相应的虚拟私有云资源号。所述虚拟私有云平台下达的停止定位 命令发生的唯一条件是用户主动通过无线云终端向虚拟私有云平台发送退出申 请。

S32、如果定位服务器在定位过程中发现异常，则发送定位异常消息到虚拟 私有云平台。

所述异常是指一切非用户主动通过无线云终端向虚拟私有云平台发送退出 申请的情况，所述情况包括：无线云终端与无线信号源设备断开连接、无线云终 端移动到定位策略信息拒绝的区域。所述定位异常消息至少需包含异常类型、无 线云终端信息和请求虚拟私有云资源号。

S33：虚拟私有云平台接收到异常消息后，根据不同的异常类型，采取相应 的安全措施。例如：用户移动到定位策略信息拒绝的区域后，虚拟私有云平台收 到异常类型为定位策略拒绝的异常消息，则立即断开无线云终端与虚拟私有云， 必要时可以回收虚拟私有云资源，并做日志记录等安全响应措施。

如图4所示，本发明所述的虚拟私有云平台，包括接收模块41、位置权限 模块42、账户权限模块43、处理模块44和发送模块45。所述接收模块41用于 接收无线云终端发送的接入请求消息。所述位置权限模块42用于向定位服务器 发送定位操作指令，并获取定位服务器对指定无线云终端的定位策略匹配结果。 所述账户权限模块43用于根据虚拟私有云预先配置的用户账户信息，获取账户 权限的对应关系。所述处理模块44用于调用位置权限模块和账户权限模块，检 验无线云终端是否同时具有位置权限和账户权限，若是，则允许无线云终端接入， 否则，拒绝无线云终端接入。所述发送模块45用于向无线云终端发送接入请求 处理结果。当允许无线云终端接入后，所述位置权限模块保持接收定位服务器反 馈的实时定位策略匹配结果，并通过处理模块检验所述无线云终端是否具有位置 权限，以防止无线云终端离开所设定的定位策略区域。

如图5所示，本发明所述的虚拟私有云安全接入系统，包括无线云终端51、 虚拟私有云平台52、定位服务器53和无线信号源设备54；无线云终端51用于 发送虚拟私有云接入请求和对虚拟私有云资源的访问；虚拟私有云平台52用于 接收接入请求信息，根据无线云终端设备定位策略匹配结果和用户身份验证结果 允许或阻止用户接入虚拟私有云资源；定位服务器53用于对无线云终端进行定 位，并对所定位的结果进行定位策略信息匹配；无线信号源设备54用于承载无 线通信及采集无线云终端的信号强度。

虚拟私有云平台52用于接收无线云终端发送的接入请求信息(即：虚拟私 有云平台52通过接收模块41接收无线云终端发送的接入请求信息。)，该接入请 求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用 户账号信息。

所述定位装置接收虚拟私有云平台发送的定位操作指令(即：虚拟私有云平 台通过位置权限模块42向定位装置发送定位操作指令。)，该定位操作指令包括 定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置对 所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚拟 私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟私 有云平台(即：虚拟私有云平台通过位置权限模块42获取定位服务器对指定无 线云终端的定位策略匹配结果。)，虚拟私有云平台基于该定位策略匹配结果检验 该无线云终端是否具有位置权限(即：虚拟私有云平台通过处理模块44检验无 线云终端是否具有位置权限。)。

虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否 具有账户权限(即：虚拟私有云平台通过账户权限模块4根据虚拟私有云预先配 置的用户账户信息，获取账户权限的对应关系；并通过处理模块44检验无线云 终端是否具有账户权限。)。

如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请 求的虚拟私有云资源，否则拒绝无线云终端访问所请求的虚拟私有云资源(即： 只要当虚拟私有云平台通过处理模块44检验出无线云终端同时具有位置权限和 账户权限时，才允许无线云终端接入，否则，拒绝无线云终端接入。)。

虚拟私有云平台向无线云终端发送接入请求处理结果(即：虚拟私有云平台 通过发送模块45向无线云终端发送接入请求处理结果。)。

当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的 位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域(即：当允 许无线云终端接入后，所述位置权限模块保持接收定位服务器反馈的实时定位策 略匹配结果，并通过处理模块检验所述无线云终端是否具有位置权限，以防止无 线云终端离开所设定的定位策略区域。)。

另外，本实施例也可将定位服务器53放置虚拟私有云平台52中，成为其中一个 功能模块，实现同样的功能。