一种安全防护方法及安全防护系统与流程

1.本公开涉及通信安全技术领域，特别涉及一种安全防护方法及安全防护系统。


背景技术：

2.针对多租户技术(multi
‑
tenancy technology)，现有技术中采用以下几种方式进行安全防护：第一种，开源云平台，比如openstack的安全组用于vpc(租户)内部虚拟机之间的访问控制和外部对虚拟机的访问控制，但是，该方式只能进行传输层五元组层面的租户隔离防护，无法提供高级内容的安全防护，并且，neutron的安全组主要针对虚拟机port，如果多个虚拟机加入同一个安全组，则同一个安全组的虚拟机网络访问策略必须是一样的，无法对每个虚拟机配置针对性的策略，只能通过关联不同的安全组实现，配置及维护的成本较高并且复杂；第二种，针对多租户安全隔离需求，将多租户虚拟域的构建划分为存储隔离层、虚拟网络隔离层和管理及访问隔离层三个隔离层次；构建了租户资源的均衡映射机制，实现对租户资源的分布式管理；针对映射到同一存储结点上的多租户数据间的安全隔离，基于谓词加密机制，通过数据存储标签和租户数据的安全绑定，设计了一种基于标签谓词加密的租户数据隔离存储方法；最后，通过设计多维度的租户数据隔离控制规则，利用对安全标签的解析与认证，建立租户数据传输的安全通道，构建起租户间独立、逻辑、安全的虚拟域，从而实现租户数据间的安全有效隔离，但该方式主要针对数据层面进行安全隔离，安全防护性能较低；第三种，vmware虚拟化平台专门为集成第三方安全防护功能而设计开发的无代理引流接口，可以将虚拟机的流量重定向到部署于每台宿主机上的虚拟化防火墙中，从而实现无代理的安全防护功能，但该方式只能应用于vmware虚拟化平台，针对大多数开源云平台，以及很多其他云平台无法使用此方法。
3.因此，亟需一种配置及维护成本较低、安全防护性能较高的安全防护方法。


技术实现要素：

4.有鉴于此，本公开实施例的目的在于提供一种安全防护方法及安全防护系统，用于解决现有技术中维护成本较高、安全防护性能较低的问题。
5.第一方面，本公开实施例提供了一种安全防护方法，其中，包括：
6.获取第一数据报文；其中，所述第一数据报文携带目标标识信息；
7.基于所述目标标识信息，从策略库中筛选所述第一数据报文对应的目标安全策略；其中，所述策略库中包括各标识信息与安全策略之间的映射关系；
8.按照所述目标安全策略对所述第一数据报文进行过滤，得到第二数据报文；
9.对所述第二数据报文进行去标识处理以发送给目标租户。
10.在一种可能的实施方式中，所述获取第一数据报文，包括：
11.获取第三数据报文以及所述第三数据报文中包含的目标虚拟网卡信息；
12.基于各网卡信息与租户信息之间的映射关系，确定所述网卡信息对应的目标租户信息；
13.从各租户信息与标识信息确定的对照表中，查找所述目标租户信息对应的目标标识信息；
14.利用所述目标标识信息对所述第三数据报文进行封装，得到所述第一数据报文。
15.在一种可能的实施方式中，所述利用所述目标标识信息对所述第三数据报文进行封装，得到所述第一数据报文，包括：
16.将所述目标标识信息添加在所述第三数据报文的报文头内，得到所述第一数据报文。
17.在一种可能的实施方式中，在基于所述目标标识信息，从策略库中筛选所述第一数据报文对应的目标安全策略之前，还包括：
18.接收租户自定义的安全策略；
19.基于所述租户的标识信息与安全策略建立所述策略库。
20.在一种可能的实施方式中，所述按照所述目标安全策略对所述第一数据报文进行过滤，得到第二数据报文，包括：
21.根据所述目标安全策略要求的目标动作对所述第一数据报文进行操作，其中，所述目标动作至少包括放行、阻断、送至检测隔离区。
22.在一种可能的实施方式中，所述对所述第二数据报文进行去标识处理以发送给目标租户，包括：
23.将所述第二数据报文中的目标标识信息删除，得到目标数据报文；
24.基于所述目标数据报文对应的目标租户信息，将所述目标数据报文发送给所述目标租户。
25.在一种可能的实施方式中，安全防护方法还包括：
26.生成发送日志；其中，所述发送日志至少包括所述目标安全策略、所述目标标识信息以及所述目标租户；
27.将所述发送日志按照所述目标标识信息分组存储。
28.第二方面，本公开实施例还提供了一种安全防护系统，包括：
29.虚拟化防火墙和流量重定向驱动；
30.所述流量重定向驱动获取第一数据报文，并将所述第一数据报文传输给所述虚拟化防火墙；其中，所述第一数据报文携带目标标识信息；
31.所述虚拟化防火墙基于所述目标标识信息，从策略库中筛选所述第一数据报文对应的目标安全策略；其中，所述策略库中包括各标识信息与安全策略之间的映射关系；
32.所述虚拟化防火墙还按照所述目标安全策略对所述第一数据报文进行过滤，得到第二数据报文，并将所述第二数据报文返回给所述流量重定向驱动；
33.所述流量重定向驱动对所述第二数据报文进行去标识处理以发送给目标租户。
34.在一种可能的实施方式中，所述流量重定向驱动获取第三数据报文以及所述第三数据报文中包含的目标虚拟网卡信息；
35.基于各网卡信息与租户信息之间的映射关系，确定所述网卡信息对应的目标租户信息；
36.从各租户信息与标识信息确定的对照表中，查找所述目标租户信息对应的目标标识信息；
37.利用所述目标标识信息对所述第三数据报文进行封装，得到所述第一数据报文。
38.在一种可能的实施方式中，安全防护系统还包括管理端；
39.所述管理端接收租户自定义的安全策略；
40.基于所述租户的标识信息与安全策略建立所述策略库。
41.本公开实施例通过第一数据报文携带目标标识信息以筛选得到第一数据报文对应的目标安全策略，也即第一数据报文对应的目标租户预先自定义的安全策略，以按照该目标安全策略对第一数据报文进行过滤，得到第二数据报文，再对第二数据报文进行去标识处理以发送给目标租户，进而达到了租户与租户之间的数据报文的有效隔离，确保了每个租户的数据报文的安全性，也即安全防护性能较高，并且，只需对接云平台，无需在虚拟机内安装代理，适用于各种平台，维护成本较低。
42.为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
43.为了更清楚地说明本公开或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
44.图1示出了本公开所提供的安全防护方法的流程图；
45.图2示出了本公开所提供的安全防护方法中获取第一数据报文的流程图；
46.图3示出了本公开所提供的安全防护方法中建立策略库的流程图；
47.图4示出了本公开所提供的安全防护方法中对第二数据报文进行去标识处理以发送给目标租户的流程图；
48.图5示出了本公开所提供的安全防护系统的结构示意图。
具体实施方式
49.此处参考附图描述本公开的各种方案以及特征。
50.应理解的是，可以对此处申请的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
51.包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
52.通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本公开的这些和其它特性将会变得显而易见。
53.还应当理解，尽管已经参照一些具体实例对本公开进行了描述，但本领域技术人员能够确定地实现本公开的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
54.当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得
更为显而易见。
55.此后参照附图描述本公开的具体实施例；然而，应当理解，所申请的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所申请的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
56.本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。
57.本公开实施例应用在利用多租户技术实现的云平台资源分配中，云平台自身可以对资源进行切片分配，满足不同租户的资源需求，多租户技术本身是具有一定的安全隔离性的，但不能做到专业虚拟化防火墙级别的安全防护。而采用虚拟化防火墙等安全防护设备对云平台进行防护时，其保护的仍然是南北向进出云平台计算节点的流量，并不能针对多租户做租户之间的隔离防护。并且，在对虚拟计算环境进行安全防护部署时，需要在虚拟机中添加代理软件以实现安全防护。而本公开实施例能够实现在无代理模式下，确保每个租户的数据报文的安全性，并且，适用于各种平台，只需对接云平台，无需在虚拟机内安装代理，维护成本较低。
58.其中，多租户技术(multi
‑
tenancy technology)或称多重租赁技术，是一种软件架构技术，它是在探讨与实现如何于多租户的环境下共用相同的系统或程序组件，并且仍可确保各租户间数据的隔离性。多租户技术可实现基于一套标准软件系统为成百上千的不同客户(又称为租户)提供服务。能够支持不同租户之间数据和配置的隔离，保证每个租户数据的安全与隐私，同时允许租户对诸如界面、业务逻辑、数据结构等的个性化需求。
59.第一方面，为便于对本公开进行理解，首先对本公开所提供的一种安全防护方法进行详细介绍。如图1所示，为本公开实施例提供的安全防护方法，按照图1示出的方法步骤提高数据报文的安全性，进而实现对目标租户的安全防护。其中，具体步骤包括s101
‑
s104。
60.s101，获取第一数据报文；其中，第一数据报文携带目标标识信息。
61.在具体实施中，云平台的计算节点上部署有流量重定向驱动(tae)和虚拟化防火墙(vfw)，云平台管理端部署虚拟化安全防护系统的管理端(vseccenter)。进入云平台计算节点的所有流量包括进出虚拟机的流量和虚拟机之间的流量，都会经过流量重定向驱动，后文中的数据报文即为流量。
62.这里，第一数据报文为需要发送给接收方的数据报文，此时，流量重定向驱动为转发方，发送方可以是其他虚拟机、还可以是租户实体设备等。
63.其中，第一数据报文携带目标标识信息，该目标标识信息为固定格式的内容，该固定格式为根据私有协议确定的，该内容可以包含随机字符串、租户属性信息、接收该第一数据报文的虚拟机的属性信息等，该第一数据报文可以由租户自己定义，也可以根据预设算法计算得到等。其中，第一数据报文可以为一个或多个，但无论是一个或多个其携带的目标标识信息均相同，也即均属于同一租户。
64.具体地，参照图2示出的方法流程图来获取第一数据报文，其中，具体步骤包括s201
‑
s204。
65.s201，获取第三数据报文以及第三数据报文中包含的目标虚拟网卡信息。
66.s202，基于各网卡信息与租户信息之间的映射关系，确定网卡信息对应的目标租户信息。
67.s203，从各租户信息与标识信息确定的对照表中，查找目标租户信息对应的目标标识信息。
68.s204，利用目标标识信息对第三数据报文进行封装，得到第一数据报文。
69.在具体实施中，流量重定向驱动先接收到第三数据报文，该第三数据报文为发送方传输的数据报文。并且，考虑到网卡信息包括的网卡id为虚拟机唯一不变的，因此，在获取第三数据报文的同时获取第三数据报文中包含的目标虚拟网卡信息，以基于各网卡信息与租户信息之间的映射关系，确定网卡信息对应的目标租户信息。其中，每个数据报文中均包括数据块、发送方地址、接收方地址、虚拟网卡信息等。
70.优选地，管理端与云平台连接，从云平台中获取租户信息以及针对该租户信息建立的一个或多个虚拟机的网卡信息，当然也可以同时获取每个虚拟机的mac信息等。之后，管理端将租户信息传输给流量重定向驱动和虚拟化防火墙。进一步地，因流量重定向驱动安装在linux内核中，当针对租户创建虚拟机时，其虚拟机的网卡信息会被流量重定向驱动获取，流量重定向驱动在获取到租户信息以及针对租户信息建立的一个或多个虚拟机的网卡信息之后，建立网卡信息与租户信息之间的映射关系，并进行存储。
71.本公开实施例中，以租户自定义标识信息为例进行阐述，具体地，流量重定向驱动在接收到每个租户自定义的标识信息之后，建立各租户信息与标识信息确定的对照表。并且，在确定出网卡信息对应的目标租户信息之后，从各租户信息与标识信息确定的对照表中，查找目标租户信息对应的目标标识信息。
72.在获取到目标租户信息对应的目标标识信息之后，利用目标标识信息对第三数据报文进行封装，具体为将目标标识信息添加在第三数据报文的报文头内，得到第一数据报文。也就是说，第一数据报文是由第三数据报文添加目标标识信息之后得到的。
73.s102，基于目标标识信息，从策略库中筛选第一数据报文对应的目标安全策略；其中，策略库中包括各标识信息与安全策略之间的映射关系。
74.在具体实施中，虚拟化防火墙中存储中策略库，该策略库中包括各标识信息与安全策略之间的映射关系，安全策略即为防止数据报文中携带不安全信息如病毒、木马等给租户造成安全隐患的规则。
75.在获取到第一数据报文的目标标识信息之后，从策略库中筛选第一数据报文对应的目标安全策略，也即，能够利用该目标安全策略对第一数据报文进行处理。
76.在基于目标标识信息，从策略库中筛选第一数据报文对应的目标安全策略之前，按照图3示的方法流程图建立策略库，具体步骤包括s301和s302。
77.s301，接收租户自定义的安全策略。
78.s302，基于租户的标识信息与安全策略建立策略库。
79.在具体实施中，每个安全策略为每个租户根据自身需求设定的，每个租户可以配置一条或多条安全策略。租户将安全策略直接配置在管理端。具体地，管理端接收租户自定义的安全策略，同时，该安全策略中携带或对应有该租户的标识信息，因此，直接建立各标识信息与安全策略之间的映射关系，将所有的映射关系存储至策略库。
80.s103，按照目标安全策略对第一数据报文进行过滤，得到第二数据报文。
81.在获取到第一数据报文对应的目标安全策略之后，按照目标安全策略对第一数据报文进行过滤，也即第二数据报文为符合租户安全性要求的数据报文。
82.具体地，在按照目标安全策略对第一数据报文进行过滤时，根据虚拟化防火墙目标安全策略要求的目标动作对虚拟化防火墙第一数据报文进行操作，其中，虚拟化防火墙目标动作至少包括放行、阻断、送至检测隔离区，也即放行表征该第一数据报文为安全的，阻断表征该第一数据报文为不安全的，送至检测隔离区表征该第一数据报文的安全性有待进一步确定等。
83.s104，对第二数据报文进行去标识处理以发送给目标租户。
84.虚拟化防火墙在得到第二数据报文之后，将第二数据报文返回给流量重定向驱动。
85.流量重定向驱动在接收到第二数据报文之后，对第二数据报文进行去标识处理得到最原始的第三数据报文，以将原始的第三数据报文发送给目标租户，不会给目标租户带来其他的影响。
86.具体地，图4示出了对第二数据报文进行去标识处理以发送给目标租户的方法流程图，具体步骤包括s401和s402。
87.s401，将第二数据报文中的目标标识信息删除，得到目标数据报文。
88.s402，基于目标数据报文对应的目标租户信息，将目标数据报文发送给目标租户。
89.优选地，流量重定向驱动直接将第二数据报文中的目标标识信息删除，得到目标数据报文，也即第三数据报文。之后，基于目标数据报文对应的目标租户信息确定目标租户，进而将目标数据报文发送给目标租户。
90.本技术实施例无需在各虚拟机内安装代理软件，只需对接云平台，无需在虚拟机内安装代理，能够适用各种平台，并且维护成本较低；本技术实施例中的方法中仅需要一台虚拟化防火墙即可，通过标识信息与安全策略之间的映射关系便能够实现将租户与租户之间隔离的目的，也即针对每个租户使用其设定的安全策略对第一是数据报文进行处理，在对恶意报文进行阻断的同时，还避免了其他租户的数据报文传输给目标租户造成的资源浪费、数据安全性较低等问题，提高了安全防护性能；再者，在第三数据报文进入到流量重定向驱动时便基于其对应的标识信息对其进行处理，以得到带有目标标识信息的第一数据报文，以实现在流量入口便将不同租户的数据报文进行隔离，避免了后续路径中不同租户的数据报文混淆引入更多安全风险，提高了数据报文的安全性。
91.进一步地，虚拟化防火墙还可以基于目标安全策略、目标标识信息以及目标租户生成发送日志，并将发送日志传输给管理端。管理端在接收到发送日志之后，将发送日志按照目标标识信息分组存储，也即将一个目标租户对应的目标安全策略、目标标识信息、第一数据报文等存储在同一个分组内，以便于后台工作人员能够查阅、统计等。
92.基于同一发明构思，本公开的第二方面还提供了一种与安全防护方法对应的安全防护系统，由于本公开中的装置解决问题的原理与本公开上述安全防护方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。
93.参见图5所示，安全防护系统包括虚拟化防火墙501和流量重定向驱动502；
94.所述流量重定向驱动502获取第一数据报文，并将所述第一数据报文传输给所述虚拟化防火墙501；其中，所述第一数据报文携带目标标识信息；
95.所述虚拟化防火墙501基于所述目标标识信息，从策略库中筛选所述第一数据报文对应的目标安全策略；其中，所述策略库中包括各标识信息与安全策略之间的映射关系；
96.所述虚拟化防火墙501还按照所述目标安全策略对所述第一数据报文进行过滤，得到第二数据报文，并将所述第二数据报文返回给所述流量重定向驱动502；
97.所述流量重定向驱动502对所述第二数据报文进行去标识处理以发送给目标租户。
98.在另一实施例中，所述流量重定向驱动502获取第三数据报文以及所述第三数据报文中包含的目标虚拟网卡信息；
99.基于各网卡信息与租户信息之间的映射关系，确定所述网卡信息对应的目标租户信息；
100.从各租户信息与标识信息确定的对照表中，查找所述目标租户信息对应的目标标识信息；
101.利用所述目标标识信息对所述第三数据报文进行封装，得到所述第一数据报文。
102.在另一实施例中，所述流量重定向驱动502利用所述目标标识信息对所述第三数据报文进行封装，得到所述第一数据报文时，具体包括：
103.将所述目标标识信息添加在所述第三数据报文的报文头内，得到所述第一数据报文。
104.在另一实施例中，安全防护系统还包括管理端503；
105.所述管理端503接收租户自定义的安全策略；
106.基于所述租户的标识信息与安全策略建立所述策略库。
107.在另一实施例中，所述虚拟化防火墙501按照所述目标安全策略对所述第一数据报文进行过滤，得到第二数据报文时，具体包括：
108.根据所述目标安全策略要求的目标动作对所述第一数据报文进行操作，其中，所述目标动作至少包括放行、阻断、送至检测隔离区。
109.在另一实施例中，所述流量重定向驱动502对所述第二数据报文进行去标识处理以发送给目标租户时，包括：
110.将所述第二数据报文中的目标标识信息删除，得到目标数据报文；
111.基于所述目标数据报文对应的目标租户信息，将所述目标数据报文发送给所述目标租户。
112.在另一实施例中，还包括：
113.所述虚拟化防火墙501生成发送日志，并将所述发送日志传输给管理端503；其中，所述发送日志至少包括所述目标安全策略、所述目标标识信息以及所述目标租户；
114.所述管理端503将所述发送日志按照所述目标标识信息分组存储。
115.本技术实施例只需对接云平台，无需在各虚拟机内安装代理软件，能够适用各种平台，并且维护成本较低；本技术实施例中的方法中仅需要一台虚拟化防火墙即可，通过标识信息与安全策略之间的映射关系便能够实现将租户与租户之间隔离的目的，也即针对每个租户使用其设定的安全策略对第一是数据报文进行处理，在对恶意报文进行阻断的同时，还避免了其他租户的数据报文传输给目标租户造成的资源浪费、数据安全性较低等问题，提高了安全防护性能；再者，在第三数据报文进入到流量重定向驱动时便基于其对应的
标识信息对其进行处理，以得到带有目标标识信息的第一数据报文，以实现在流量入口便将不同租户的数据报文进行隔离，避免了后续路径中不同租户的数据报文混淆引入更多安全风险，提高了数据报文的安全性。
116.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
117.以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解，本公开中所涉及的公开范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述公开构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
118.此外，虽然采用特定次序描绘了各操作，但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地，在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
119.尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
120.以上对本公开多个实施例进行了详细说明，但本公开不限于这些具体的实施例，本邻域技术人员在本公开构思的基础上，能够做出多种变型和修改实施例，这些变型和修改都应落入本公开所要求保护的范围之内。