[发明专利]虚拟私有云平台、虚拟私有云安全接入方法和系统

说明书

技术领域

本发明涉及网络通信技术，具体涉及一种虚拟私有云平台、虚拟私有云安全接入方法和系统。

背景技术

近几年，虚拟私有云逐渐为广大企业所接受和采用，它可以让企业享受到云计算的益处的同时，又不需要将工作负载和数据部署在企业防火墙之外，避免了一些潜在的安全隐患。通过将虚拟私有云部署在企业防火墙后，企业的IT部门可以有效掌控云资源的控制权，满足企业对云计算安全性的需求。

但是，虚拟私有云却无法摆脱来自企业内部的攻击。现有的私有云接入安全方案一般都是通过用户账户验证和网络设备绑定等方式来解决企业内部不同部门对安全性的需求，无法达到既灵活又安全的办公需求。随着无线设备的普及，用户对办公方式的灵活性又有了新的要求，现有的这些接入安全的解决方案又面临着新的挑战。另外，由于无线网络的数据传输是利用微波在空气中辐射传播，在某种程度上可以看作是一个开放式的公共网络，因此，一些重要的账户信息很容易通过无线传输泄露，攻击者可以在未知的区域接入网络进行攻击，安全性无法得到有效保障。

又如CN 102571703 A公开了一种“云数据安全管控系统及方法”，应用于私有云服务器，企业内部用户端设备通过内部网络访问该私有云服务器，该私有云服务器存储有私有云数据，各企业内部用户端设备安装有全球定位系统。该云数据安全管控系统结合用户端当前的经纬度坐标信息及其它权限管控资料对该用户端进行多重验证。若该用户端设备有任意一项验证失败，则该云数据安全管控系统拒绝该用户端设备的访问请求。若用户端设备当前的经纬度坐标信息及其它权限管控资料均通过验证，则云数据安全管控系统允许该用户端设备访问私有云数据。该专利结合请求访问私有云数据的用户端设备当前的经纬度坐标信息以及其它权限管理控资料对该用户端设备进行多重验证，强化了私有云的安全管理，有效地防范了入侵者的攻击。但仍存在一定的安全问题，比如：当云数据安全管控系统允许用户端设备访问私有云数据后，用户端设备可移动到非法的位置进行攻击；另，用户端设备采用GPS进行定位，如果用户端设备在室内则因为无法接收GPS信号，造成用户端设备不可用。

发明内容

本发明的目的是提供一种虚拟私有云平台、虚拟私有云安全接入方法和系统，能将可攻击区域缩小到指定的范围内，以强化虚拟私有云的安全管控。

本发明所述的虚拟私有云平台，包括：

接收模块，用于接收无线云终端发送的接入请求消息；

位置权限模块，用于向定位服务器发送定位操作指令，并获取定位服务器对指定无线云终端的定位策略匹配结果；

账户权限模块，用于根据虚拟私有云预先配置的用户账户信息，获取账户权限的对应关系；

处理模块，用于调用位置权限模块和账户权限模块，检验无线云终端是否同时具有位置权限和账户权限，若是，则允许无线云终端接入，否则，拒绝无线云终端接入；

发送模块，用于向无线云终端发送接入请求处理结果；

当允许无线云终端接入后，所述位置权限模块保持接收定位服务器反馈的实时定位策略匹配结果，并通过处理模块检验所述无线云终端是否具有位置权限，以防止无线云终端离开所设定的定位策略区域。

本发明所述的一种虚拟私有云安全接入方法，包括权利要求1所述的虚拟私有云平台、定位装置和无线云终端；

包括步骤：

虚拟私有云平台接收无线云终端发送的接入请求信息，该接入请求信息包括请求接入的虚拟私有云资源号、无线云终端设备信息和用户输入的用户账号信息；

所述定位装置接收虚拟私有云平台发送的定位操作指令，该定位操作指令包括定位指令、无线云终端设备信息和所请求接入的虚拟私有云资源号，定位装置对所述无线云终端进行位置定位，将所述无线云终端定位所在的区域与所请求虚拟私有云资源号的定位策略信息进行匹配，并将该定位策略匹配结果反馈给虚拟私有云平台，虚拟私有云平台基于该定位策略匹配结果检验该无线云终端是否具有位置权限；

虚拟私有云平台基于所述用户输入的用户账号信息验证该无线云终端是否具有账户权限；

如果无线云终端同时具有位置权限和账户权限，则允许无线云终端访问所请求的虚拟私有云资源；否则拒绝无线云终端访问所请求的虚拟私有云资源；

虚拟私有云平台向无线云终端发送接入请求处理结果；

当无线云终端成功接入虚拟私有云资源之后，所述定位装置对无线云终端的位置权限进行追踪维持，防止无线云终端离开所设定的定位策略区域。

验证无线云终端是否具有账户权限包括：