[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN103810444A - 一种云计算平台中多租户应用隔离的方法和系统 - Google Patents

一种云计算平台中多租户应用隔离的方法和系统 Download PDF

Info

Publication number
CN103810444A
CN103810444A CN201210460028.4A CN201210460028A CN103810444A CN 103810444 A CN103810444 A CN 103810444A CN 201210460028 A CN201210460028 A CN 201210460028A CN 103810444 A CN103810444 A CN 103810444A
Authority
CN
China
Prior art keywords
cloud computing
user
application
security
authority
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201210460028.4A
Other languages
English (en)
Other versions
CN103810444B (zh
Inventor
陆平
罗圣美
李静林
胡洁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201210460028.4A priority Critical patent/CN103810444B/zh
Publication of CN103810444A publication Critical patent/CN103810444A/zh
Application granted granted Critical
Publication of CN103810444B publication Critical patent/CN103810444B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Automation & Control Theory (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种云计算平台中多租户应用隔离的方法,包括:在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后云计算安全管理中心为该用户应用建立权限记录;云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。该方法能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。本发明还公开了一种云计算平台中多租户应用隔离的系统。

Description

一种云计算平台中多租户应用隔离的方法和系统
技术领域
本发明涉及云计算技术领域,尤其涉及的是一种云计算平台中多租户应用隔离的方法和系统。
背景技术
云计算平台为云应用提供了开发、运行、管理和监控的环境。
在目前的云计算环境中,用户与云计算平台服务提供商之间的关系是不可靠的,这给云计算平台的安全带来了很大的危害。一方面,云计算用户想要确保他们的作业在云计算平台中被正确地运行,他们的数据信息相对于其他用户或组织是不可见的,而且不会被恶意使用;另一方面云计算平台中存在多个用户,它必须得保证少部分用户对平台的不安全操作不能影响到云计算平台本身,造成云计算平台对其他用户无法提供正常的服务。
目前,云计算平台一般采用多租户架构提供服务,以最大化资源使用效率。在多租户架构下,恶意用户或不知情的用户可能会利用平台软件漏洞,对其他用户的应用造成危害。因此,多租户架构的云计算平台,最核心的安全原则就是多租户的应用隔离。应用隔离指的是不同应用之间在运行时不会相互干扰,包括对业务和数据的处理等各个方面。应用隔离保证应用都运行在一个隔离的工作区内,云计算平台提供安全的管理机制对隔离的工作区进行访问控制。
目前的大部分云计算提供商(如亚马逊等)只关注于多租户架构下的用户数据隔离,尚无完善的多租户架构应用隔离解决方案,因此无法提供平台即服务PaaS(Platform as a Service)云计算服务。而另一些云计算提供商(如谷歌等)则通过单租户方式提供PaaS云计算服务,回避多租户安全问题,但随之而来的是资源利用率较低。
因此,完善的多租户应用隔离机制是建立高效安全的云计算基础设施的核心问题。
发明内容
本发明所要解决的技术问题是提供一种云计算平台中多租户应用隔离的方法和系统,能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
为了解决上述技术问题,本发明提供了一种云计算平台中多租户应用隔离的方法,该方法包括:
在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
进一步地,该方法还具有下述特点:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
进一步地,该方法还具有下述特点:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
进一步地,该方法还具有下述特点:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
进一步地,该方法还具有下述特点:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
为了解决上述技术问题,本发明还提供了一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
进一步地,该系统还具有下述特点:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
进一步地,该系统还具有下述特点:
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
进一步地,该系统还具有下述特点:
该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
进一步地,该系统还具有下述特点:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
与现有技术相比,本发明提供的一种云计算平台中多租户应用隔离的方法和系统,云计算安全管理中心与用户之间进行安全签约并为该用户应用建立权限记录,根据该用户应用的环境部署信息和权限记录生成该用户应用的安全策略并同步给云计算管理平台以供其部署和管理用户应用,该方法和系统能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
附图说明
图1为本发明的多租户架构的网络结构示意图。
图2为本发明实施例的云计算平台中多租户应用隔离的方法的流程图。
图3为本发明实施例的云计算平台中多租户应用隔离的系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
本发明的云计算平台中多租户应用隔离的方法,基于如图1所示的多租户架构,该架构包括:云计算平台(运行一个或多个用户应用)、云计算管理平台和云计算平台安全管理中心,云计算管理平台和云计算平台安全管理中心通过网络相连接。
如图2所示,本发明实施例提供了一种云计算平台中多租户应用隔离的方法,该方法包括:
S10,在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
S20,云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
S30,所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
该方法进一步包括下述特征:
其中,步骤S10中,所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
其中,所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
其中,所述通用权限信息与具体的云计算平台的实现方式无关。
其中,用户的反馈信息中还可以包括应用信息,应用信息是用户提供的该用户应用的综合信息,比如:应用功能描述,应用预期的访问量,应用的安全性等信息。
其中,权限信息可以包括以下权限类型:文件访问控制权限,网络访问控制权限,资源访问控制权限,接口访问控制权限。其中,对文件访问的控制,比如,禁止对文件系统进行写操作,只能读取该用户应用自身的代码和资源文件;对网络访问的控制,比如,禁止私自使用Socket;对资源访问的控制,比如,对用户应用所签约的系统资源使用配额(分钟配额、每日配额)进行控制,对用户应用所使用的系统资源(CPU、内存、带宽等)进行控制;对接口访问的控制,比如,控制应用访问操作系统API,为不同应用分配不同安全级别的系统调用。具体的权限信息,比如:系统文件读写权限,组文件读写权限,文件所有者读写权限,socket访问权限,CPU占用权限,内存分配大小,带宽占用权限,系统调用权限。
其中,步骤S20中,用户应用的环境部署信息包括:服务器类型、操作系统类型、云计算平台类型、开发语言类型、云平台版本号、部署路径等。
其中,步骤S20中,云计算安全管理中心查询用户应用的权限记录,包括:云计算安全管理中心根据用户应用的用户标识和应用名进行权限记录的查询。
其中,步骤S20中,安全策略是用户应用实际运行的云计算运行环境的权限配置信息。
比如,在生成安全策略时,可以通过调整Web服务器的硬件配置来设置相应的权限。服务器的硬件配置包括处理器、内存、磁盘子系统和网络环境。其中,处理器的运行速度以及操作系统对CPU的利用情况决定了Web服务器的服务能力;内存大小以及存储介质对服务器性能最为关键,内存过小,将增加磁盘I/O频率,从而降低系统效率,内存过大,也不会进一步提高性能,属于资源的浪费。另外,不同语言开发环境所需要的权限存在不同,比如,使用ASP.NET构建WEB应用程序时,由于处理大用户量时内存消耗会成为瓶颈,因此对于ASP.NET应用应该分配较大的内存容量。使用CGI(Common Gateway Interface,通用网关接口)的服务器程序时,由于CGI程序每个客户启动一个新进程,当多用户同时访问CGI服务器时,服务器会因进程过多而加重负担,为保证执行效率,应为CGI应用配置较高的进程配额。
其中,步骤S30中,云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署,包括:云计算管理平台根据所述安全策略分配应用运行所需各项资源、预先设置应用访问的权限。
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
比如,当应用使用CGI服务器处理请求时,由于CGI程序为每个客户启动一个新进程,当多用户同时访问CGI服务器时,服务器会因进程过多而加重负担,此时如果应用频繁调用fork()函数增加新的进程,使得当前的进程数已经达到了安全策略规定的上限,则当应用继续调用fork()时,云计算管理平台将返回调用失败响应,阻止该应用的操作,并返回错误码用于提示用户。
其中,步骤S30中,所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署
其中,云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括在线更新和下线更新;
在线更新是指:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
下线更新是指:将用户应用下线,根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署完成后加载用户应用上线。下线更新可以选择应用的非高峰使用时段或应用的非实时性使用时段。
如图3所示,本发明实施例提供了一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
该系统进一步包括下述特征:
其中,所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
其中,所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
其中,所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
其中,该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
其中,云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括在线更新和下线更新;
在线更新是指:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
下线更新是指:将用户应用下线,根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署完成后加载用户应用上线。下线更新可以选择应用的非高峰使用时段或应用的非实时性使用时段。
上述实施例提供的一种云计算平台中多租户应用隔离的方法和系统,云计算安全管理中心与用户之间进行安全签约并为该用户应用建立权限记录,根据该用户应用的环境部署信息和权限记录生成该用户应用的安全策略并同步给云计算管理平台以供其部署和管理用户应用,该方法和系统能够实现多租户架构下的不同租户的应用在隔离的云平台环境下安全运行。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现,相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
需要说明的是,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (10)

1.一种云计算平台中多租户应用隔离的方法,该方法包括:
在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
2.如权利要求1所述的方法,其特征在于:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
3.如权利要求1或2所述的方法,其特征在于:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
4.如权利要求1或2所述的方法,其特征在于:
所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,还包括:
如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
5.如权利要求4所述的方法,其特征在于:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
6.一种云计算平台中多租户应用隔离的系统,该系统包括:
安全签约模块,用于在部署用户应用前,云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心为该用户应用建立权限记录;
策略制定与同步模块,用于云计算安全管理中心接收到云计算管理平台发送的用户应用的环境部署信息后,如查询到该用户应用的权限记录,则根据所述权限记录和环境部署信息生成该用户应用的安全策略并发送给所述云计算管理平台;
策略执行模块,用于所述云计算管理平台接收到所述安全策略后,根据所述安全策略对该用户应用的云计算运行环境进行部署。
7.如权利要求6所述的系统,其特征在于:
所述云计算安全管理中心与用户之间进行安全签约,包括:云计算安全管理中心向用户提供通用权限信息,并对用户的反馈信息进行审核,审核通过后与用户进行安全签约;
所述通用权限信息包括权限项目,用户的反馈信息包括:用户标识、应用名及对所述权限项目的设置值;
所述为该用户应用建立权限记录,包括:根据所述反馈信息为该用户应用建立权限记录。
8.如权利要求6或7所述的系统,其特征在于:
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,在用户应用运行过程中,云计算管理平台监控应用行为,检测操作或访问是否与安全策略相符合,如符合,允许该操作或访问;如不符合,则对不相符的操作或访问进行拦截,在拦截后对该操作或访问进行警告、阻止或强迫应用暂停运行。
9.如权利要求6或7所述的系统,其特征在于:
该系统还包括权限更新模块;
所述策略执行模块,还用于所述云计算管理平台根据所述安全策略对该用户应用的云计算运行环境进行部署之后,开启权限更新模块;
所述权限更新模块,包括权限更新单元、策略更新与推送单元和策略执行单元;
权限更新单元,用于如用户应用向云计算安全管理中心发起权限更新请求,则所述云计算安全管理中心与用户之间进行安全签约,签约完成后所述云计算安全管理中心更新该用户应用的权限记录;
策略更新与推送单元,用于云计算安全管理中心根据更新后的权限记录更新该用户应用的安全策略,并将更新后的安全策略推送给所述云计算管理平台;
策略执行单元,用于云计算管理平台接收到所述更新后的安全策略后,根据更新后的安全策略更新对该用户应用的云计算运行环境的部署。
10.如权利要求9所述的系统,其特征在于:
云计算管理平台根据更新后的安全策略更新对该用户应用的云计算运行环境的部署,包括:云计算管理平台根据更新后的安全策略执行对该用户应用的云计算运行环境的部署,部署过程中不停止已有的应用服务,部署结束后,将已有的应用动态移植到新部署的环境中。
CN201210460028.4A 2012-11-15 2012-11-15 一种云计算平台中多租户应用隔离的方法和系统 Active CN103810444B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210460028.4A CN103810444B (zh) 2012-11-15 2012-11-15 一种云计算平台中多租户应用隔离的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210460028.4A CN103810444B (zh) 2012-11-15 2012-11-15 一种云计算平台中多租户应用隔离的方法和系统

Publications (2)

Publication Number Publication Date
CN103810444A true CN103810444A (zh) 2014-05-21
CN103810444B CN103810444B (zh) 2018-08-07

Family

ID=50707193

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210460028.4A Active CN103810444B (zh) 2012-11-15 2012-11-15 一种云计算平台中多租户应用隔离的方法和系统

Country Status (1)

Country Link
CN (1) CN103810444B (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104123616A (zh) * 2014-07-25 2014-10-29 南京邮电大学 一种面向多租户的云计算系统
CN105183820A (zh) * 2015-08-28 2015-12-23 广东创我科技发展有限公司 一种支持多租户的大数据平台及租户访问方法
CN105354891A (zh) * 2015-11-12 2016-02-24 浪潮软件股份有限公司 一种考勤管理的方法及系统
CN105787382A (zh) * 2016-01-28 2016-07-20 东软集团股份有限公司 访问控制方法和装置
CN106462717A (zh) * 2014-06-23 2017-02-22 甲骨文国际公司 用于在多租户应用服务器环境中支持安全性的系统和方法
CN109002298A (zh) * 2018-10-01 2018-12-14 曾鸿坤 一种第三方平台托管项目通用的自动部署到云平台方法
CN109983743A (zh) * 2016-10-12 2019-07-05 诺基亚技术有限公司 云服务安全管理
CN110868371A (zh) * 2018-08-27 2020-03-06 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
US10742568B2 (en) 2014-01-21 2020-08-11 Oracle International Corporation System and method for supporting multi-tenancy in an application server, cloud, or other environment
CN113395271A (zh) * 2021-06-07 2021-09-14 武汉卓尔信息科技有限公司 一种云计算平台中数据安全访问方法及云计算平台
CN114301695A (zh) * 2021-12-30 2022-04-08 工银科技有限公司 一种数据传输方法、装置、电子设备和存储介质
CN115994036A (zh) * 2023-03-22 2023-04-21 北京腾达泰源科技有限公司 云平台租户隔离方法、装置、设备及存储介质
CN116708037A (zh) * 2023-08-07 2023-09-05 勤源(江苏)科技有限公司 云平台访问权限控制方法及系统

Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090224036A1 (en) * 2004-04-30 2009-09-10 Adams Neil P System And Method Of Operation Control On An Electronic Device
CN101986274A (zh) * 2010-11-11 2011-03-16 东软集团股份有限公司 一种私有云环境下资源调配系统及资源调配方法
CN102098281A (zh) * 2010-12-07 2011-06-15 福建三元达软件有限公司 在电信运营商业务代理系统上部署广告管理平台的方法
CN102314373A (zh) * 2011-07-07 2012-01-11 李鹏 一种基于虚拟化技术实现安全工作环境的方法
CN102427481A (zh) * 2012-01-12 2012-04-25 易云捷讯科技(北京)有限公司 用于对云计算服务进行管理的系统及云计算管理方法
CN102447565A (zh) * 2010-10-11 2012-05-09 中国电信股份有限公司 一种在宽带接入网实现组播控制的方法和系统
CN102467617A (zh) * 2010-11-04 2012-05-23 镇江金软计算机科技有限责任公司 SaaS应用软件的数据隔离方法
CN102546704A (zh) * 2010-12-24 2012-07-04 中兴通讯股份有限公司 下一代网络中的云计算系统
CN102571849A (zh) * 2010-12-24 2012-07-11 中兴通讯股份有限公司 云计算系统及方法
CN102651775A (zh) * 2012-03-05 2012-08-29 国家超级计算深圳中心(深圳云计算中心) 基于云计算的多租户共享对象管理的方法、设备及系统
CN102681889A (zh) * 2012-04-27 2012-09-19 电子科技大学 一种云计算开放平台的调度方法
CN102708316A (zh) * 2012-04-19 2012-10-03 北京华胜天成科技股份有限公司 一种用于多租户架构中数据隔离的方法
CN102724176A (zh) * 2012-02-23 2012-10-10 北京市计算中心 一种面向云计算环境的入侵检测系统
CN102750602A (zh) * 2012-04-20 2012-10-24 广东电网公司信息中心 一种云平台异构一体化资源管理系统

Patent Citations (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090224036A1 (en) * 2004-04-30 2009-09-10 Adams Neil P System And Method Of Operation Control On An Electronic Device
CN102447565A (zh) * 2010-10-11 2012-05-09 中国电信股份有限公司 一种在宽带接入网实现组播控制的方法和系统
CN102467617A (zh) * 2010-11-04 2012-05-23 镇江金软计算机科技有限责任公司 SaaS应用软件的数据隔离方法
CN101986274A (zh) * 2010-11-11 2011-03-16 东软集团股份有限公司 一种私有云环境下资源调配系统及资源调配方法
CN102098281A (zh) * 2010-12-07 2011-06-15 福建三元达软件有限公司 在电信运营商业务代理系统上部署广告管理平台的方法
CN102546704A (zh) * 2010-12-24 2012-07-04 中兴通讯股份有限公司 下一代网络中的云计算系统
CN102571849A (zh) * 2010-12-24 2012-07-11 中兴通讯股份有限公司 云计算系统及方法
CN102314373A (zh) * 2011-07-07 2012-01-11 李鹏 一种基于虚拟化技术实现安全工作环境的方法
CN102427481A (zh) * 2012-01-12 2012-04-25 易云捷讯科技(北京)有限公司 用于对云计算服务进行管理的系统及云计算管理方法
CN102724176A (zh) * 2012-02-23 2012-10-10 北京市计算中心 一种面向云计算环境的入侵检测系统
CN102651775A (zh) * 2012-03-05 2012-08-29 国家超级计算深圳中心(深圳云计算中心) 基于云计算的多租户共享对象管理的方法、设备及系统
CN102708316A (zh) * 2012-04-19 2012-10-03 北京华胜天成科技股份有限公司 一种用于多租户架构中数据隔离的方法
CN102750602A (zh) * 2012-04-20 2012-10-24 广东电网公司信息中心 一种云平台异构一体化资源管理系统
CN102681889A (zh) * 2012-04-27 2012-09-19 电子科技大学 一种云计算开放平台的调度方法

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742568B2 (en) 2014-01-21 2020-08-11 Oracle International Corporation System and method for supporting multi-tenancy in an application server, cloud, or other environment
US11683274B2 (en) 2014-01-21 2023-06-20 Oracle International Corporation System and method for supporting multi-tenancy in an application server, cloud, or other environment
US11343200B2 (en) 2014-01-21 2022-05-24 Oracle International Corporation System and method for supporting multi-tenancy in an application server, cloud, or other environment
CN106462717A (zh) * 2014-06-23 2017-02-22 甲骨文国际公司 用于在多租户应用服务器环境中支持安全性的系统和方法
CN106462717B (zh) * 2014-06-23 2019-06-14 甲骨文国际公司 用于在多租户应用服务器环境中支持安全性的系统和方法
CN104123616A (zh) * 2014-07-25 2014-10-29 南京邮电大学 一种面向多租户的云计算系统
CN105183820A (zh) * 2015-08-28 2015-12-23 广东创我科技发展有限公司 一种支持多租户的大数据平台及租户访问方法
CN105354891A (zh) * 2015-11-12 2016-02-24 浪潮软件股份有限公司 一种考勤管理的方法及系统
CN105787382B (zh) * 2016-01-28 2018-12-21 东软集团股份有限公司 访问控制方法和装置
CN105787382A (zh) * 2016-01-28 2016-07-20 东软集团股份有限公司 访问控制方法和装置
CN109983743A (zh) * 2016-10-12 2019-07-05 诺基亚技术有限公司 云服务安全管理
CN110868371A (zh) * 2018-08-27 2020-03-06 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN110868371B (zh) * 2018-08-27 2022-03-01 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN109002298A (zh) * 2018-10-01 2018-12-14 曾鸿坤 一种第三方平台托管项目通用的自动部署到云平台方法
CN113395271A (zh) * 2021-06-07 2021-09-14 武汉卓尔信息科技有限公司 一种云计算平台中数据安全访问方法及云计算平台
CN114301695A (zh) * 2021-12-30 2022-04-08 工银科技有限公司 一种数据传输方法、装置、电子设备和存储介质
CN114301695B (zh) * 2021-12-30 2024-07-30 工银科技有限公司 一种数据传输方法、装置、电子设备和存储介质
CN115994036A (zh) * 2023-03-22 2023-04-21 北京腾达泰源科技有限公司 云平台租户隔离方法、装置、设备及存储介质
CN116708037A (zh) * 2023-08-07 2023-09-05 勤源(江苏)科技有限公司 云平台访问权限控制方法及系统
CN116708037B (zh) * 2023-08-07 2023-11-24 勤源(江苏)科技有限公司 云平台访问权限控制方法及系统

Also Published As

Publication number Publication date
CN103810444B (zh) 2018-08-07

Similar Documents

Publication Publication Date Title
CN103810444A (zh) 一种云计算平台中多租户应用隔离的方法和系统
CN106991035B (zh) 一种基于微服务架构的主机监控系统
CN102947797B (zh) 使用横向扩展目录特征的在线服务访问控制
WO2019062304A1 (zh) 用于管理区块链节点的计算资源的方法、设备和系统
US10768941B2 (en) Operating system management
CN109379347B (zh) 一种安全防护方法及设备
CN104268484A (zh) 一种基于虚拟隔离机制的云环境下数据防泄漏方法
CN111368330B (zh) 一种基于区块链的以太坊智能合约审计系统及方法
CN104516744A (zh) 软件更新方法及系统
CN112328366B (zh) 一种高效的云平台主机保护方法及系统
CN114706690B (zh) 一种Kubernetes容器共享GPU方法及系统
CN102495987B (zh) 一种电子信息本地防泄密访问的方法和系统
CN116303363A (zh) 一种基于多节点的数据库维护处理方法和装置
CN108694102A (zh) 一种基于Nexus服务的数据操作方法、设备、系统和介质
EP3884648B1 (en) Geo-replicated iot hub
CN114285842A (zh) 一种基于云桌面的电子阅览室搭建方法及系统
CN107302600A (zh) 一种分布式ftp服务的实现方法及装置
CN103179218B (zh) 一种为云电脑分配ip地址的方法和系统
US10476947B1 (en) Methods for managing web applications and devices thereof
KR102591994B1 (ko) 폴더 보호 기능을 제공하는 보안 장비 시스템의 구동 장치 및 그 동작 방법
CN114785813B (zh) 一种工程造价cos成果文件格式化存储系统
CN111264050B (zh) 计算资源的动态部署的受限访问接口
US20240155003A1 (en) Governance and security control for services executing on cloud platforms
Battarra et al. Storm clouds platform: a cloud computing platform for smart city applications
WO2018024348A1 (en) Method and apparatus for distributed network management

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20180514

Address after: 210012 No. 68, Bauhinia Road, Ningnan street, Yuhuatai District, Nanjing, Jiangsu

Applicant after: Nanjing Zhongxing Software Co., Ltd.

Address before: 518057 Nanshan District high tech Industrial Park, Shenzhen, Guangdong, Ministry of justice, Zhongxing Road, South China road.

Applicant before: ZTE Corporation

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20191112

Address after: 518057 Nanshan District science and Technology Industrial Park, Guangdong high tech Industrial Park, ZTE building

Patentee after: ZTE Communications Co., Ltd.

Address before: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68

Patentee before: Nanjing Zhongxing Software Co., Ltd.