[发明专利]一种虚拟机访问权限的控制方法、系统及装置

说明书

技术领域

本发明涉及虚拟机安全控制技术领域，尤其涉及一种虚拟机访问权限的控制方法、系统及装置。

背景技术

云计算是一种利用大规模低成本运算单元通过IP网络相连而所组成的运算系统来提供运算服务的技术。云计算系统底层硬件平台由大量标准化商业服务器组成，通过复杂的IP网络互联，在平台上运行云计算的软件栈。

弹性计算云平台为用户提供了一个虚拟集群环境，使得用户的应用具有充分的灵活性，同时也减轻了云计算平台管理者的管理负担。弹性计算云中的虚拟机实例是一些真正在运行中的虚拟机服务器，每一个虚拟机实例代表一个运行中的虚拟机。对于提供给某一个用户的虚拟机，该用户对该虚拟机具有完整的访问权限，包括针对此虚拟机的管理员用户权限。弹性计算云平台作为云计算应用的动态扩展，在云计算应用运行期间实现支撑云计算应用的虚拟机实例个数的动态增加或者减少，例如，在网络负载较高的时候启动较多的虚拟机实例，在网络负载较低的情况停止一些虚拟机实例。

在弹性云计算平台中，对应虚拟机的安全管理是非常重要的一方面。现有的虚拟机安全管理机制主要集中在虚拟机的网络隔离方面，目前应用较普遍的方案是通过在物理机上安装防火墙来实现虚拟机的隔离和交互，即针对每台虚拟机设置对应的安全访问策略，例如，滤除系统认为存在不安全因素的IP地址。通过防火墙隔离技术，此类被安全访问策略设定的IP地址对应的虚拟机无法访问该虚拟机。该过程主要通过在物理机层次由系统管理员来定制管理，该安全管理方法缺乏灵活性，没有考虑到虚拟机实际对访问权限方面的安全性要求。

综上所述，现有的虚拟机安全管理技术主要基于系统管理员根据网络侧对虚拟机管理的需求实现，不能根据虚拟机实际的安全性要求实现对虚拟机的安全控制。

发明内容

有鉴于此，本发明实施例提供一种虚拟机访问权限的控制方法、系统及装置，采用该技术方案，能够根据虚拟机的安全性要求实现对虚拟机的安全控制。

本发明实施例通过如下技术方案实现：

根据本发明实施例的一个方面，提供了一种虚拟机访问权限的控制方法，包括：

接收第一虚拟机发送的对第二虚拟机的访问请求；

根据所述访问请求，确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识；

在比较确定的所述安全标识一致后，允许所述第一虚拟机访问所述第二虚拟机。

根据本发明实施例的另一个方面，还提供了一种虚拟机访问权限的控制系统，包括：

第一虚拟机、第二虚拟机以及虚拟机访问权限控制装置；

其中：

所述第一虚拟机，用于向所述虚拟机访问权限控制装置发送对第二虚拟机的访问请求；

所述虚拟机访问权限控制装置，用于根据所述第一虚拟机发送的对第二虚拟机的访问请求，确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识，并在比较确定的所述安全标识一致后，允许所述第一虚拟机访问所述第二虚拟机。

根据本发明实施例的另一个方面，还提供了一种虚拟机访问权限的控制装置，包括：

接收单元，用于接收第一虚拟机发送的对第二虚拟机的访问请求；

安全标识确定单元，用于根据所述接收单元接收的访问请求，确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识；

权限控制单元，用于在比较所述安全标识确定单元确定的所述安全标识一致后，允许所述第一虚拟机访问所述第二虚拟机。

通过本发明实施例提供的上述至少一个技术方案，在接收第一虚拟机发送的对第二虚拟机的访问请求后，根据接收的访问请求确定该第一虚拟机以及第二虚拟机分别对应的安全标识，并在比较确定的安全标识一致后，允许第一虚拟机访问第二虚拟机。根据该技术方案，能够根据虚拟机对应的安全标识确定是否允许第一虚拟机对第二虚拟机的访问，从而实现了根据虚拟机的安全性要求对虚拟机的安全控制。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为本发明实施例一提供的物理机逻辑结构示意图；

图2为本发明实施例一提供的虚拟机访问权限的控制方法流程图；

图3为本发明实施例一提供的第一虚拟机向安全管理模块发送对第二虚拟机的访问请求的流程图；