一种自适应云计算环境虚拟安全域访问控制方法和系统

1.一种自适应云计算环境虚拟安全域访问控制方法，其特征在于，在虚拟机管理层部署虚拟安全网关设备，通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息，并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，对于同一物理机内部的网络通信数据包直接进行访问控制；对于跨物理机的网路通信数据包中增加安全控制包，通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制；
所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块；所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。
2.根据权利要求1所述的自适应云计算环境虚拟安全域访问控制方法，其特征在于，所述安全策略信息包括虚拟机的安全信息和访问控制策略信息。
3.根据权利要求1或2所述的自适应云计算环境虚拟安全域访问控制方法，其特征在于，对于同一物理机内部的网络通信数据流直接进行访问控制是指，源虚拟机和目的虚拟机在同一物理机上，源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截，虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过，当安全策略不允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机；当安全策略允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。
4.根据权利要求1或2所述的自适应云计算环境虚拟安全域访问控制方法，其特征在于，对于跨物理机的自适应访问控制是指，源虚拟机和目的虚拟机不在同一物理机上，源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过，在允许所述网络访问时，源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流，目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行，在允许放行时，将网络通信数据流放行给目的虚拟机，在不允许放行时，目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备，所述安全反馈包包含动态调整访问控制策略信息，源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。
5.一种自适应云计算环境虚拟安全域访问控制系统，其特征在于，包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心，所述虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件，所述安全仓库和访问控制策略组件均与云安全策略同步中心相连；
所述安全仓库用于维护本物理机上虚拟机的安全信息和为虚拟机生成安全控制包，所述访问控制策略组件用于维护本物理机上虚拟机的访问控制策略信息，所述安全仓库和访问控制策略组件均与云安全策略同步中心交互以获得的安全策略；所述过滤器根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，对于同一物理机内部的网络通信数据流直接进行访问控制；对于跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据流，并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。
6.根据权利要求5所述的自适应云计算环境虚拟安全域访问控制系统，其特征在于，所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块；所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。
7.根据权利要求5或6所述的自适应云计算环境虚拟安全域访问控制系统，其特征在于，所述安全仓库与云安全策略同步中心交互获得安全信息，所述安全信息包括虚拟机所属安全域信息和虚拟机标示信息；所述访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息。
8.根据权利要求7所述的自适应云计算环境虚拟安全域访问控制系统，其特征在于，所述同一物理机内部的网络通信数据流直接进行访问控制是指，源虚拟机和目的虚拟机在同一物理机上，源虚拟机发出网络访问请求数据包后被所述过滤器拦截，所述过滤器查询安全仓库和访问控制策略组件的安全策略以决定是否允许所述网络访问请求通过，当安全策略不允许所述网络访问时，过滤器将所述网络访问请求数据包丢弃并通知源虚拟机；当安全策略允许所述网络访问时，过滤器将所述网络访问请求数据包和之后的同策略网络通信数据流均放行至目的虚拟机。
9.根据权利要求7所述的自适应云计算环境虚拟安全域访问控制系统，其特征在于，所述跨物理机的自适应访问控制是指，源虚拟机和目的虚拟机不在同一物理机上，源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备中的过滤器拦截并根据查询的安全策略决定是否允许所述网络访问请求通过，在允许所述网络访问时，源虚拟机的虚拟安全网关设备的安全仓库生成安全控制包并通过过滤器插入网路通信数据流，目的虚拟机的虚拟安全网关设备的过滤器接收到所述网络通信数据流后根据查询的安全策略决定是否放行，在允许放行时，将网络通信数据流放行给目的虚拟机，在不允许放行时，目的虚拟机的虚拟安全网络设备的过滤器生成安全反馈包发送至源虚拟机的虚拟安全网关设备，所述安全反馈包包含动态调整访问控制策略信息，源虚拟机的虚拟安全网关设备的访问控制策略组件根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。

一种自适应云计算环境虚拟安全域访问控制方法和系统\n技术领域\n[0001] 本发明涉及数据信息安全技术领域，特别是一种自适应云计算环境虚拟安全域访问控制方法和系统。\n背景技术\n[0002] 云计算是IT资源和服务的一种交付使用模型，它可以实现随时随地、便捷的、按需的通过网络从结构化的计算资源共享池中获取所需的资源（如网络、服务器、存储、应用、服务等），这些资源可以被迅速提供并发布，同时最小化管理成本或服务提供商的干涉。云计算具有多租户、集中化、虚拟化等特点，导致不同租户的不同业务系统运行于同一云计算平台上，无法在物理上进行有效隔离。为了保证不同租户之间的安全隔离，或同一租户不同业务系统之间的安全隔离，需要为不同租户配置不同的虚拟安全域。也就是说，为了保证租户的信息安全，云计算平台往往将不同租户或不同的业务系统划分为不同的虚拟安全域，不同虚拟安全域之间的数据访问需要进行一定的访问控制措施。\n[0003] 传统的网络环境下，不同用户、不同业务系统的网络边界是非常明确的，因此可以基于安全等级和业务特征和地理位置划分安全域。通过在物理网络边界处部署防火墙、安全网关等设备实施安全隔离和访问控制机制是非常有效的手段。\n[0004] 在云计算虚拟网络环境下，传统的网络边界变得非常模糊，由于传统的防火墙、IDS、IPS等网络安全设备只能部署于物理网络的边界，无法实现同一物理机上不同虚拟机之间的通信进行细粒度访问控制。物理机内的某一虚拟机从内部直接向其他虚拟机进行攻击，就能绕过所有的网络边界防护措施。同时，由于云计算平台按照按需分配的原则向用户提供服务，安全域的边界也在动态变化，传统物理防护手段无法提供与之对应的灵活性。因此，传统的基于物理设备的安全访问控制手段对云计算环境下的虚拟安全域防护不再适用。\n发明内容\n[0005] 本发明针对传统的基于物理设备的安全访问控制手段不适用于云计算环境下的虚拟安全域防护的问题，提供一种自适应云计算环境虚拟安全域访问控制方法，通过在虚拟机管理层部署虚拟安全网关设备来对网络通信数据进行访问控制。本发明还涉及一种自适应云计算环境虚拟安全域访问控制系统。\n[0006] 本发明的技术方案如下：\n[0007] 一种自适应云计算环境虚拟安全域访问控制方法，其特征在于，在虚拟机管理层部署虚拟安全网关设备，通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息，并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，对于同一物理机内部的网络通信数据包直接进行访问控制；对于跨物理机的网路通信数据包中增加安全控制包，通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。\n[0008] 所述安全策略信息包括虚拟机的安全信息和访问控制策略信息。\n[0009] 所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块；所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。\n[0010] 对于同一物理机内部的网络通信数据流直接进行访问控制是指，源虚拟机和目的虚拟机在同一物理机上，源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截，虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过，当安全策略不允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机；当安全策略允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。\n[0011] 对于跨物理机的自适应访问控制是指，源虚拟机和目的虚拟机不在同一物理机上，源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过，在允许所述网络访问时，源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流，目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行，在允许放行时，将网络通信数据流放行给目的虚拟机，在不允许放行时，目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备，所述安全反馈包包含动态调整访问控制策略信息，源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。\n[0012] 一种自适应云计算环境虚拟安全域访问控制系统，其特征在于，包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心，所述虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件，所述安全仓库和访问控制策略组件均与云安全策略同步中心相连；\n[0013] 所述安全仓库用于维护本物理机上虚拟机的安全信息和为虚拟机生成安全控制包，所述访问控制策略组件用于维护本物理机上虚拟机的访问控制策略信息，所述安全仓库和访问控制策略组件均与云安全策略同步中心交互以获得的安全策略；所述过滤器根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，对于同一物理机内部的网络通信数据流直接进行访问控制；对于跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据流，并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。\n[0014] 本发明所述系统中，所述云安全策略同步中心为独立的云计算安全管理平台或是位于云计算安全管理平台上的同步模块；所述云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。\n[0015] 所述安全仓库与云安全策略同步中心交互获得安全信息，所述安全信息包括虚拟机所属安全域信息和虚拟机标示信息；所述访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息。\n[0016] 本发明所述系统中，所述同一物理机内部的网络通信数据流直接进行访问控制是指，源虚拟机和目的虚拟机在同一物理机上，源虚拟机发出网络访问请求数据包后被所述过滤器拦截，所述过滤器查询安全仓库和访问控制策略组件的安全策略以决定是否允许所述网络访问请求通过，当安全策略不允许所述网络访问时，过滤器将所述网络访问请求数据包丢弃并通知源虚拟机；当安全策略允许所述网络访问时，过滤器将所述网络访问请求数据包和之后的同策略网络通信数据流均放行至目的虚拟机。\n[0017] 本发明所述系统中，所述跨物理机的自适应访问控制是指，源虚拟机和目的虚拟机不在同一物理机上，源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备中的过滤器拦截并根据查询的安全策略决定是否允许所述网络访问请求通过，在允许所述网络访问时，源虚拟机的虚拟安全网关设备的安全仓库生成安全控制包并通过过滤器插入网路通信数据流，目的虚拟机的虚拟安全网关设备的过滤器接收到所述网络通信数据流后根据查询的安全策略决定是否放行，在允许放行时，将网络通信数据流放行给目的虚拟机，在不允许放行时，目的虚拟机的虚拟安全网络设备的过滤器生成安全反馈包发送至源虚拟机的虚拟安全网关设备，所述安全反馈包包含动态调整访问控制策略信息，源虚拟机的虚拟安全网关设备的访问控制策略组件根据安全反馈包的内容动态调整网络通信数据流以实现跨物理机的自适应访问控制。\n[0018] 本发明的技术效果如下：\n[0019] 本发明涉及一种自适应云计算环境虚拟安全域访问控制方法，该方法通过在虚拟机管理层部署虚拟安全网关设备，由该虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息，并根据所述安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，能够实现在同一物理机或不同物理机上的跨域访问控制。通过云安全策略同步中心统一配置和管理安全策略信息，可有效避免策略冲突等情况，虚拟安全网关设备与云安全策略同步中心进行交互能够即时更新安全策略信息，通过在虚拟机管理层部署虚拟安全网关设备来对网络通信数据进行监控，根据获得的最新的安全策略信息，实现对虚拟安全域的访问控制，且对于同一物理机内部的网络通信数据包直接进行访问控制，对于跨物理机的网路通信数据包中增加安全控制包，结合安全反馈包中包含动态调整访问控制策略信息，故能够动态调整访问控制策略，实现自适应的云计算环境虚拟安全域访问控制。本发明解决了传统的基于物理设备的安全访问控制手段不适用于云计算环境下的虚拟安全域防护的问题，通过虚拟化技术在虚拟机管理层部署虚拟安全网关设备来达到对网络通信流进行访问监控的目的，根据安全策略选择阻止访问或允许访问，并通过生成安全控制包和安全反馈包动态调整访问控制策略，可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流；此外，由于虚拟安全网关设备与云安全策略同步中心进行交互获得安全策略信息，这样，在虚拟机迁移时，安全策略也可自动地随之进行动态迁移，实现云计算环境虚拟安全域访问控制的灵活性和高效性。\n[0020] 本发明还涉及一种自适应云计算环境虚拟安全域访问控制系统，包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心，虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件，安全仓库和访问控制策略组件均与云安全策略同步中心相连以实现安全策略信息的获取。该系统利用安全仓库维护虚拟机安全信息，根据访问控制策略组件获取安全策略，由过滤器在虚拟机网络通信数据包中插入安全控制包作为安全报文，来实现对虚拟安全域的访问控制功能。同时通过安全反馈包动态调整访问控制策略，构造了一种自适应的云环境虚拟安全域访问控制系统，可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流。本发明所述系统通过在虚拟机管理层部署的虚拟安全网关设备来对网络通信数据流进行访问监控的目的，最终能够实现在同一物理机上不同虚拟机之间或不同物理机上不同虚拟机之间的通信进行细粒度访问控制的功能，访问控制策略由云安全策略同步中心统一配置、管理，可有效避免策略冲突等情况，且虚拟机迁移时，安全策略信息可直接由安全仓库和访问控制策略组件从云安全策略同步中心交互即可得到，故安全策略能够自动地随虚拟机进行动态迁移，同时也提高了云计算环境数据信息安全性能。\n附图说明\n[0021] 图1是本发明自适应云计算环境虚拟安全域访问控制系统的第一种结构原理图。\n[0022] 图2是本发明自适应云计算环境虚拟安全域访问控制系统的第二种结构原理图。\n[0023] 图3是本发明自适应云计算环境虚拟安全域访问控制系统的第一种优选工作流程图。\n[0024] 图4是本发明自适应云计算环境虚拟安全域访问控制系统的第二种优选工作流程图。\n[0025] 图5是本发明自适应云计算环境虚拟安全域访问控制方法的流程图。\n具体实施方式\n[0026] 下面结合附图对本发明进行说明。\n[0027] 本发明涉及一种自适应云计算环境虚拟安全域访问控制系统，其结构原理图如图\n1和图2所示，该系统包括部署在虚拟机管理层的虚拟安全网关设备和位于云计算环境中的云安全策略同步中心，虚拟安全网关设备包括依次连接的安全仓库、过滤器和访问控制策略组件，安全仓库和访问控制策略组件均与云安全策略同步中心相连。\n[0028] 云计算环境中每个物理机均具有虚拟机管理层，在每个物理机的虚拟机管理层均部署一虚拟安全网关设备，每个虚拟安全网关设备均包括依次连接的安全仓库、过滤器和访问控制策略组件，每个安全仓库和访问控制策略组件均与云安全策略同步中心相连。在每个物理机上具有多个虚拟机，即图1和图2所示的VM（Virtual Machine，虚拟机），本发明所述的云计算环境虚拟安全域访问可以是在同一物理机上跨域访问，即同一物理机上的源VM向目的VM的访问；也可以是在不同物理机上跨域访问，即一物理机上的源VM向另一物理机上的目的VM的访问，图1所示的是第一种情况，图2所示的是第二种情况。\n[0029] 云安全策略同步中心，可以是独立的云计算安全管理平台，也可以是位于云计算安全管理平台上的同步功能模块。在本发明中，云安全策略同步中心主要负责但不限于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。\n[0030] 虚拟安全网关设备：虚拟安全网关设备位于hypervisor层（即虚拟机管理层），负责对所有虚拟机的网络通信进行访问控制功能。本发明所述系统中，虚拟安全网关设备包括三个独立的组件：安全仓库，负责维护本物理机上所有VM的安全信息，如虚拟机所属安全域信息、虚拟机标识等，并负责为VM生成安全控制包，安全仓库与云安全策略同步中心交互获得最新的安全信息；访问控制策略组件，负责维护本物理机上所有VM的访问控制策略信息，访问控制策略组件与云安全策略同步中心交互获得最新的访问控制策略信息；过滤器，负责对网络通信数据流进行监控，根据安全控制策略选择阻止访问或允许访问，将安全仓库生成的安全控制包插入网络通信数据流。本发明所述系统部署安全仓库和访问控制策略组件均与云安全策略同步中心相连以实现安全策略信息的获取，利用安全仓库维护虚拟机安全信息，根据访问控制策略组件获取安全策略，由过滤器在虚拟机网络通信数据包中插入安全控制包作为安全报文，来实现对虚拟安全域的访问控制功能。同时通过安全反馈包动态调整访问控制策略，构造了一种自适应的云环境虚拟安全域访问控制系统，可根据目的地址的安全策略动态自适应的调节源地址访问控制数据流。\n[0031] 本发明所述系统通过虚拟安全网关设备来达到对网络通信数据流进行访问监控的目的。虚拟安全网关设备通过安全仓库和访问控制策略组件与云安全策略同步中心交互获得的相关安全策略数据信息，并通过过滤器对虚拟机管理层上的虚拟机的网络通信行为进行监控，根据源虚拟机和目的虚拟机是否在同一物理机上，访问控制流程略有不同：对于图1所示的同一物理机内部的网络通信数据流直接进行访问控制；对于图2所示的跨物理机的访问是将安全仓库生成的安全控制包插入网路通信数据包，并通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。\n[0032] 具体地，源VM和目的VM在同一物理机上跨域访问控制的优选流程如图3所示，包括下述步骤：\n[0033] 1）、虚拟安全网关设备定期和云安全策略同步中心同步安全策略信息，此处的同步安全策略信息包括同步安全信息和同步访问控制策略信息，具体是安全仓库与云安全策略同步中心交互获得安全信息，访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息；\n[0034] 2）、源VM发出网络访问请求数据包；\n[0035] 3）、过滤器将此网络访问请求数据包拦截下来，并查询访问控制策略组件和安全仓库，以根据安全策略决定是否允许此网络访问请求通过；\n[0036] 4）、如果安全策略不允许此访问，过滤器将该网络访问请求数据包丢弃，并通知源VM；\n[0037] 5）、如果安全策略允许此访问，过滤器将该网络访问请求数据包放行，并放行之后所有的同策略的网络通信数据流（或者说是将之后的同策略的网络通信数据流中的数据包均放行至目的VM）。过滤器对网络请求数据包之后的同策略的网络通信数据流中的各数据包只接收查看即可放行。\n[0038] 具体地，源VM和目的VM在不同物理机上跨域访问控制的优选流程如图4所示，包括下述步骤：\n[0039] 1）、虚拟安全网关设备定期和云安全策略同步中心同步安全策略信息，此处的同步安全策略信息包括同步安全信息和同步访问控制策略信息；\n[0040] 2）、源VM发出网络访问请求数据包；\n[0041] 3）、过滤器将此网络访问请求数据包拦截下来，并查询访问控制策略组件和安全仓库，以根据安全策略决定是否允许此网络访问请求通过；\n[0042] 4）、如果安全策略不允许此访问，过滤器将该网络访问请求数据包丢弃，并通知源VM；\n[0043] 5）、如果安全策略允许此访问，过滤器根据源VM的安全信息生成安全控制包，并将安全控制包插在网络通信数据流中，优选可插在网络通信数据流的各数据包的前面；此时的安全控制包内含有源VM的安全信息，并作为整个网络通信数据流的触发包以跨物理机访问请求的方式发送；\n[0044] 6）、目的VM的虚拟安全网关设备通过内部的过滤器收到此含有安全控制包的网络通信数据流后，首先查询访问控制策略组件和安全仓库中的控制策略和安全信息，并根据安全控制包的信息来决定是否允许此跨物理机访问请求通过；如果安全策略允许此访问请求，则将此网络通信数据流的各数据包放行给目的VM；\n[0045] 7）、如果安全策略不允许此跨物理机访问请求，或对跨物理机访问有特殊限制，目的VM的虚拟安全网关设备生成安全反馈包，并发送给源VM的虚拟安全网关设备；该安全反馈包包含动态调整访问控制策略信息，如由允许访问调整为禁止访问，或将网络通信数据流的速度进行调整，或按照预定的时间进行网络通信数据流的发送等；安全反馈包可以由本物理机的虚拟安全网关设备中的安全仓库生成，当然，也可以由本物理机的虚拟安全网关设备中的过滤器生成；\n[0046] 8）、源VM的虚拟安全网关设备根据安全反馈包内容由过滤器通知源VM禁止访问，或通过访问控制策略组件根据安全反馈包内容调整访问控制策略，以动态调整网络访问数据流后再进行网络通信数据流的发送，实现跨物理机的自适应访问控制。该网络通信数据流即为网络访问数据流。\n[0047] 本发明还涉及一种自适应云计算环境虚拟安全域访问控制方法，该方法通过在虚拟化技术的hypervisor层部署虚拟安全网关设备来达到对网络通信流进行访问监控的目的，如图5所示流程图，通过虚拟安全网关设备与在云计算环境中的云安全策略同步中心进行交互以获得安全策略信息，该安全策略信息可以包括虚拟机的安全信息和访问控制策略信息，根据所述安全策略对hypervisor层之上的虚拟机（VM）的网络通信行为进行监控，对于同一物理机内部的网络通信数据包直接进行访问控制；对于跨物理机的网路通信数据包中增加安全控制包，通过安全控制包和包含动态调整访问控制策略信息的安全反馈包进行跨物理机的自适应访问控制。\n[0048] 本发明所述方法中采用的云安全策略同步中心可以为独立的云计算安全管理平台，也可以是位于云计算安全管理平台上的同步功能模块；云安全策略同步中心用于对云计算环境数据进行安全策略的配置管理，维护全局安全策略数据，更新的安全策略配置以及下发安全策略至具体的策略实施点。\n[0049] 本发明涉及的自适应云计算环境虚拟安全域访问控制方法，通过在虚拟机管理层部署的虚拟安全网关设备根据与云安全策略同步中心交互获得的安全策略对虚拟机管理层上的虚拟机的网络通信行为进行监控，能够实现在同一物理机或不同物理机上的跨域访问控制。对于同一物理机内部的网络通信数据流直接进行访问控制是指，源虚拟机和目的虚拟机在同一物理机上，源虚拟机发出网络访问请求数据包后被虚拟安全网关设备拦截，虚拟安全网关设备根据安全策略决定是否允许所述网络访问请求通过，当安全策略不允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包丢弃并通知源虚拟机；当安全策略允许所述网络访问时，虚拟安全网关设备将所述网络访问请求数据包和之后的同策略的网络通信数据流均放行至目的虚拟机。对于跨物理机的自适应访问控制是指，源虚拟机和目的虚拟机不在同一物理机上，源虚拟机发出网络访问请求数据包后被源虚拟机的虚拟安全网关设备拦截并根据自身安全策略决定是否允许所述网络访问请求通过，在允许所述网络访问时，源虚拟机的虚拟安全网关设备生成安全控制包插入网路通信数据流，目的虚拟机的虚拟安全网关设备接收到所述网络通信数据流后根据自身安全策略决定是否放行，在允许放行时，将网络通信数据流放行给目的虚拟机，在不允许放行时，目的虚拟机的虚拟安全网络设备生成安全反馈包发送至源虚拟机的虚拟安全网关设备，所述安全反馈包包含动态调整访问控制策略信息，源虚拟机的虚拟安全网关设备根据安全反馈包的内容动态调整网络访问数据流以实现跨物理机的自适应访问控制。\n[0050] 当然，在本发明所述方法中也可以进一步限定所采用的虚拟安全网关设备的结构，设置虚拟安全网关设备包括三个独立的组件：安全仓库、过滤器和访问控制策略组件，此时本发明所述的方法与上述本发明所述的系统相对应。由安全仓库与云安全策略同步中心交互获得安全信息；访问控制策略组件与云安全策略同步中心交互获得访问控制策略信息；过滤器对网络通信数据流进行监控，拦截网络访问请求数据包，并查询访问控制策略组件和安全仓库，以根据安全策略决定是否允许此网络访问请求通过，并在网络通信数据流中插入安全报文，通过安全反馈包动态调整访问控制策略，实现自适应云计算环境虚拟安全域访问控制。其技术实现原理可参考图1和图2所示，图1实现源VM和目的VM在同一物理机上的跨域访问控制，其流程可参考图3所示；图2实现源VM和目的VM在不同物理机上的跨域访问控制，其流程可参考图4所示。\n[0051] 应当指出，以上所述具体实施方式可以使本领域的技术人员更全面地理解本发明创造，但不以任何方式限制本发明创造。因此，尽管本说明书参照附图和实施例对本发明创造已进行了详细的说明，但是，本领域技术人员应当理解，仍然可以对本发明创造进行修改或者等同替换，总之，一切不脱离本发明创造的精神和范围的技术方案及其改进，其均应涵盖在本发明创造专利的保护范围当中。