阅读说明：本技术 云计算网络安全服务 (Cloud computing network security service ) 是由 帅仁俊 马力 郭汉 于 2018-06-05 设计创作，主要内容包括：本发明公开了一种云计算网络安全服务,涉及计算机技术领域,该面向健康云的网络安全服务方法针对健康云用户的网络安全需求提供自动、高效的定制化网络安全服务；提供统一日志管理格式,便于进行网络态势分析,提升系统性能；对于健康云的访问控制有更好的伸缩性和健壮性；降低了健康云系统的成本以及维护和管理的复杂性；提高了健康云系统的延迟、吞吐量、丢包率等网络安全服务性能。(The invention discloses a cloud computing network security service, which relates to the technical field of computers, and provides an automatic and efficient customized network security service aiming at the network security requirement of a healthy cloud user by using a healthy cloud-oriented network security service method; a unified log management format is provided, so that network situation analysis is facilitated, and system performance is improved; the method has better flexibility and robustness for the access control of the healthy cloud; the cost of the healthy cloud system and the complexity of maintenance and management are reduced; the network security service performances such as delay, throughput and packet loss rate of the healthy cloud system are improved.)

云计算网络安全服务

技术领域

本发明涉及计算机技术领域，具体来说，本发明涉及一种云计算网络安全服务。

背景技术

在云计算领域，网络安全被认为是最重要的安全问题之一，它可能会带来和数据安全以及隐私泄露相同的致命威胁。如果云计算安全采用定制化安全服务策略，能够根据服务类型和安全需要等级自适应安全级别进行检查和过滤，从而满足云用户服务的安全需求，并且降低云计算资源消耗。

CloudWatcher提到了定制化云计算网络安全服务，根据云用户服务填写安全需求并下发至CloudWatcher，CloudWatcher解析这些需求并形成定制化安全服务。CloudWatcher仅提到这样的概念，没有具体可行的实施模板和分析需求，以及生成安全检查链等一系列实现过程，并且提供的定制化服务没有考虑Mboxes负载均衡、可使用性和可伸缩性等。Chen，Jianyong等人试图提供按需的云计算安全服务，但是由于越严格的安全需求需要花费更多的安全检测时间、更多的内存和带宽等资源，如果对所有云计算服务都采用最为严格的安全保护措施是不现实的，将严重伤害云计算可用性，甚至导致无法使用。

健康云上承载着复杂的网络服务，传统方式采用集成大量Mbox的方式来保护网络安全，大量的设备会导致高成本、高复杂性、低可扩展性及其严重的性能瓶颈，且不能阻止虚拟机之间的网络攻击。健康云涉及多种用户类型，且存储用户的重要信息，需要保证用户的隐私不被泄露，但云服务商不了解健康云用户的网络安全需求，无法提供定制化的网络安全服务。并且传统方式是采用大量的Mbox保护网络安全，但不同类型的Mbox在配置和管理上存在很大的差异，如果采用人工的方式提供定制化的网络安全服务，是个几乎不可能完成的任务，并且Mbox的成本高，不利于大规模部署。

发明内容

本发明所要解决的技术问题是提供一种云计算网络安全服务，提出了一种自动、高效的方式对Mbox进行配置、管理和维护的方案，为健康云用户提供定制化的网络安全服务；同时充分利用虚拟Mbox代替Mbox，减少硬件设备的开销、降低了成本，提升系统性能。

为实现上述目的，本发明提供以下的技术方案：

该云计算网络安全服务包括健康云平台，健康云平台从移动终端上获取居民健康数据建立健康档案管理系统，提供健康档案查询服务、预约挂号服务、健康知识推送服务、居家健康服务、健康咨询服务、大数据智能分析，健康云用户只需根据自身网络安全需求填写安全模板，安全模板包括IP地址，端口号以及是否需要进行网络层检测、防病毒检测、反垃圾邮件检查等，再根据需要的检查类型细化需要提供的安全需求，健康云用户将安全需求规范成安全模板后加密提交给系统，SPEC分析器通过云用户SPEC、Mbox状态信息、Mbox拓扑和vSwitch信息进行分析，生成FMC安全路径和安全过滤规则；RouteGen转化器将FMC安全路径转化为转发规则，通过转发流到FMC链进行安全检测和过滤；然后MD将转发规则下发到vSwitch，将安全过滤规则转发到对应的Mbox中，除后期调整特殊规则外，整个过程不需要人工的干预，完全由系统自动完成，面向健康云的网络安全定制化服务主要由五个部件组成：SMG、SMD、DomO、service domains(服务域)和vSwitch(虚拟交换机)，无论何时访问服务域，外部流量或内部流量需要通过所需的过滤域；若网络受到攻击，则将攻击日志存放在ELMD(日志管理域)中。

优选的，所述面向健康云的网络安全定制化服务各个部分功能如下：

(1)SMG主要由AS(反垃圾邮件)组，FW(防火墙)组，AV(防病毒)组等安全组构成，负责将检测和过滤产生的攻击日志和统计信息等保存到SMD中的事件和ELMD里；

(2)MD由MD(管理域)和ELMD组成。其中ELMD存储和管理来源于SMG的事件和日志。MD主要负责的功能为：创建/删除SMG中的任何域；下发转发规则到vSwitch，让访问服务域流通过对应的FMC(安全检测链路)，进行安全检测过滤；收集SMG中每一个组的状态信息(如负载，失效)和接受来自vSwitch的转发信息(如流量)；

(3)DomO缩减了权限，不能创建/启动和停止/删除SMG中的任何Domain(域)，但仍然保持权限去处理并管理服务器域中任何虚拟机，包括按照时间片进行调度、I/O分配等；

(4)Service Domains承载多类型的基于网络的健康云用户服务，如FTP服务，Web服务等；

(5)vSwtich负责接受MD下发的转发规则，并且转发内外流通过安全域进行检测和过滤。

优选的，MD主要由SPEC分析器和RouteGen转化器组成，SPEC分析器通过云用户SPEC、Mbox(网络设备)状态信息、Mbox拓扑和vSwitch信息进行分析，生成FMC安全路径和安全过滤规则，RouteGen转化器将FMC安全路径转化为转发规则，通过转发流到FMC链进行安全检测和过滤，最终MD将转发规则下发到vSwitch中，将安全过滤规则转发到对应的Mbox中。

优选的，所述虚拟Mbox应该具备统一日志格式，包括：日志类型、Mbox唯一标识、事件标示、某个特定服务唯一标示、源IP、源端口、目的IP、目的端口、Protocol以及日志事件的详细描述，当ELMD接受日志后，ELMD的日志分类器将这些日志进行分类存储，便于之后基于用户权限的访问。

采用以上技术方案的有益效果是：

1.针对健康云用户的网络安全需求提供自动、高效的定制化网络安全服务；

2.提供统一日志管理格式，便于进行网络态势分析，提升系统性能；

3.对于健康云的访问控制有更好的伸缩性和健壮性；

4.降低了健康云系统的成本以及维护和管理的复杂性；

5.提高了健康云系统的延迟、吞吐量、丢包率等网络安全服务性能。

附图说明

下面结合附图对本发明的

具体实施方式

作进一步详细的描述。

图1是面向健康云的定制化网络安全服务应用原理图；

图2是面向健康云的定制化网络安全服务总体设计原理图；

图3是面向健康云的定制化网络安全服务应用原理图。

图中，IDS-入侵检测系统，WAF-Web应用防火墙，UMT-统一威胁管理，FW-防火墙，EDS-加密***，AV-反病毒，AS-反垃圾邮件。

具体实施方式

下面结合附图详细说明本发明云计算网络安全服务的优选实施方式。

图1至图3出示该云计算网络安全服务的具体实施方式：

健康云的用户类型大体上分为居民、医院医疗机构、政府卫生机构以及第三方机构，每一类用户有不同的角色类型。健康云平台从移动终端(如血压计、血糖计等)上获取居民健康数据建立健康档案管理系统，提供健康档案查询服务、预约挂号服务、健康知识推送服务、居家健康服务、健康咨询服务、大数据智能分析等，如图1所示。面向健康云的网络安全定制化服务针对不同角色的不同服务提供定制化的网络安全服务。

健康云用户只需根据自身网络安全需求填写安全模板，安全模板包括IP地址，端口号以及是否需要进行网络层检测、防病毒检测、反垃圾邮件检查等，再根据需要的检查类型细化需要提供的安全需求。健康云用户将安全需求规范成安全模板后加密提交给系统，SPEC分析器通过云用户SPEC、Mbox状态信息、Mbox拓扑和vSwitch信息进行分析，生成FMC安全路径和安全过滤规则；RouteGen转化器将FMC安全路径转化为转发规则，通过转发流到FMC链进行安全检测和过滤；然后MD将转发规则下发到vSwitch，将安全过滤规则转发到对应的Mbox中。系统整体结构如图2所示。除后期调整特殊规则外，整个过程不需要人工的干预，完全由系统自动完成。

面向健康云的网络安全定制化服务主要由五个部件组成：SMG、SMD、DomO、servicedomains(服务域)和vSwitch(虚拟交换机)。为了保证服务域的网络安全，无论何时访问服务域，外部流量或内部流量需要通过所需的过滤域；若网络受到攻击，则将攻击日志存放在ELMD(日志管理域)中，如图3所示。

各个部分的功能如下：

(1)SMG主要由AS(反垃圾邮件)组，FW(防火墙)组，AV(防病毒)组等安全组构成，负责将检测和过滤产生的攻击日志和统计信息等保存到SMD中的事件和ELMD里。

(2)MD由MD(管理域)和ELMD组成。其中ELMD存储和管理来源于SMG的事件和日志。MD主要负责的功能为：创建/删除SMG中的任何域；下发转发规则到vSwitch，让访问服务域流通过对应的FMC(安全检测链路)，进行安全检测过滤；收集SMG中每一个组的状态信息(如负载，失效)和接受来自vSwitch的转发信息(如流量)。

(3)DomO缩减了权限，不能创建/启动和停止/删除SMG中的任何Domain(域)，但仍然保持权限去处理并管理服务器域中任何虚拟机，包括按照时间片进行调度、I/O分配等。

(4)Service Domains承载多类型的基于网络的健康云用户服务，如FTP服务，Web服务等。

(5)vSwtich负责接受MD下发的转发规则，并且转发内外流通过安全域进行检测和过滤。

MD主要由SPEC分析器和RouteGen转化器组成。SPEC分析器通过云用户SPEC、Mbox(网络设备)状态信息、Mbox拓扑和vSwitch信息进行分析，生成FMC安全路径和安全过滤规则。RouteGen转化器将FMC安全路径转化为转发规则，通过转发流到FMC链进行安全检测和过滤。最终MD将转发规则下发到vSwitch中，将安全过滤规则转发到对应的Mbox中。

为了便于虚拟Mbox日志的识别和标准化管理，虚拟Mbox应该具备统一日志格式。包括：日志类型、Mbox唯一标识、事件标示、某个特定服务唯一标示、源IP、源端口、目的IP、目的端口、Protocol以及日志事件的详细描述。当ELMD接受日志后，ELMD的日志分类器将这些日志进行分类存储，便于之后基于用户权限的访问。例如，健康云用户只能查看自身服务受到攻击时产生的日志及其统计数据，而云服务商可以查看系统日志和审计日志等。

以上的仅是本发明的优选实施方式，应当指出，对于本领域的普通技术人员来说，在不脱离本发明创造构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。