訪問(wèn)控制方法
【專(zhuān)利摘要】本發(fā)明提供了一種訪問(wèn)控制方法�����,用于與虛擬機(jī)的信息交互�����,包括以下步驟:將預(yù)定訪問(wèn)控制策略下發(fā)給設(shè)置在虛擬機(jī)之間的OVS虛擬交換機(jī)��;對(duì)經(jīng)過(guò)OVS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)�;以及當(dāng)數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略的要求時(shí),丟棄數(shù)據(jù)��。本發(fā)明的訪問(wèn)控制方法克服了現(xiàn)有技術(shù)的缺陷�,能夠?qū)崿F(xiàn)IP層面的訪問(wèn)控制功能,任意的虛擬機(jī)之間的數(shù)據(jù)包都能通過(guò)定義規(guī)則進(jìn)行訪問(wèn)控制��。
【專(zhuān)利說(shuō)明】訪問(wèn)控制方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及計(jì)算機(jī)領(lǐng)域�����,更具體地,涉及訪問(wèn)控制方法��。
【背景技術(shù)】
[0002]訪問(wèn)控制是指系統(tǒng)對(duì)用戶(hù)身份及其所屬的預(yù)先定義的策略組限制其使用數(shù)據(jù)資源能力的手段�。通常用于系統(tǒng)管理員控制用戶(hù)對(duì)服務(wù)器、目錄��、文件等網(wǎng)絡(luò)資源的訪問(wèn)��。訪問(wèn)控制是系統(tǒng)保密性���、完整性���、可用性和合法使用性的重要基礎(chǔ)�����,是網(wǎng)絡(luò)安全防范和資源保護(hù)的關(guān)鍵策略之一�,也是主體依據(jù)某些控制策略或權(quán)限對(duì)客體本身或其資源進(jìn)行的不同授權(quán)訪問(wèn)。
[0003]在現(xiàn)有技術(shù)中��,傳統(tǒng)的訪問(wèn)控制機(jī)制是將機(jī)器之間的訪問(wèn)控制策略置于網(wǎng)絡(luò)邊界的防火墻等設(shè)備上���,因?yàn)樗羞M(jìn)出本網(wǎng)絡(luò)的連接都要經(jīng)過(guò)防火墻�,所以防火墻能夠監(jiān)控和管理網(wǎng)絡(luò)內(nèi)部的所有的連接信息,從而達(dá)到對(duì)網(wǎng)絡(luò)的訪問(wèn)控制功能���。
[0004]然而���,在云計(jì)算領(lǐng)域,網(wǎng)絡(luò)邊界變的模糊�。網(wǎng)絡(luò)內(nèi)部的虛擬機(jī)已經(jīng)成為了不同的網(wǎng)絡(luò)系統(tǒng),這些網(wǎng)絡(luò)系統(tǒng)之間也同樣存在著邊界����。傳統(tǒng)的防火墻等設(shè)備只放在整個(gè)網(wǎng)絡(luò)的出口處,并沒(méi)有放在內(nèi)部網(wǎng)絡(luò)中����。所以并不能對(duì)云計(jì)算環(huán)境下的網(wǎng)絡(luò)連接進(jìn)行訪問(wèn)控制。一旦某臺(tái)虛擬機(jī)遭受攻擊并成為受控對(duì)象�����,該虛擬機(jī)就會(huì)在管理員不知道的情況下攻擊其他虛擬機(jī)�����。
【發(fā)明內(nèi)容】
[0005]針對(duì)以上現(xiàn)有技術(shù)中傳統(tǒng)的防火墻等設(shè)備只放在整個(gè)網(wǎng)絡(luò)的出口處�,從而不能對(duì)云計(jì)算環(huán)境下的網(wǎng)絡(luò)連接進(jìn)行訪問(wèn)控制等缺陷���,本發(fā)明提供了能夠解決上述缺陷的訪問(wèn)控制方法。
[0006]本發(fā)明提供了一種訪問(wèn)控制方法��,用于與虛擬機(jī)的信息交互�,包括以下步驟:將預(yù)定訪問(wèn)控制策略下發(fā)給設(shè)置在虛擬機(jī)之間的0VS虛擬交換機(jī);對(duì)經(jīng)過(guò)0VS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)����;以及當(dāng)數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略的要求時(shí),丟棄數(shù)據(jù)��。
[0007]優(yōu)選地����,在預(yù)定訪問(wèn)控制策略中包含規(guī)則命令����,規(guī)則命令是固定的。
[0008]優(yōu)選地���,在預(yù)定訪問(wèn)控制策略中包含協(xié)議名稱(chēng)�,協(xié)議名稱(chēng)包括TCP���、UDP�����、ICMP��。
[0009]優(yōu)選地�����,在預(yù)定訪問(wèn)控制策略中�,源IP和目標(biāo)IP根據(jù)IP分配情況進(jìn)行確定。
[0010]優(yōu)選地�����,在預(yù)定訪問(wèn)控制策略中包含動(dòng)作項(xiàng)��,動(dòng)作項(xiàng)包括使數(shù)據(jù)通過(guò)���、以及丟棄數(shù)據(jù)�。
[0011]優(yōu)選地��,當(dāng)數(shù)據(jù)符合預(yù)定訪問(wèn)控制策略的要求時(shí)��,使數(shù)據(jù)通過(guò)。
[0012]利用本發(fā)明的技術(shù)方案能夠克服現(xiàn)有技術(shù)的缺陷���,能夠?qū)崿F(xiàn)IP層面的訪問(wèn)控制功能����,任意的虛擬機(jī)之間或虛擬機(jī)與物理機(jī)之間的數(shù)據(jù)包都能通過(guò)定義規(guī)則進(jìn)行訪問(wèn)控制�。【專(zhuān)利附圖】
【附圖說(shuō)明】
[0013]當(dāng)結(jié)合附圖進(jìn)行閱讀時(shí)����,根據(jù)下面詳細(xì)的描述可以更好地理解本發(fā)明。應(yīng)該強(qiáng)調(diào)的是�����,根據(jù)工業(yè)中的標(biāo)準(zhǔn)實(shí)踐����,各種部件沒(méi)有被按比例繪制���。實(shí)際上�����,為了清楚的討論�����,各種部件的尺寸可以被任意增加或減少����。
[0014]圖1是根據(jù)本發(fā)明的示例性實(shí)施例的訪問(wèn)控制方法的總體流程圖;以及
[0015]圖2是根據(jù)本發(fā)明的示例性實(shí)施例的虛擬機(jī)的網(wǎng)絡(luò)連接的示意圖����。
【具體實(shí)施方式】
[0016]為了實(shí)施本發(fā)明的不同部件,以下描述提供了許多不同的實(shí)施例或示例�����。以下描述元件和布置的特定示例以簡(jiǎn)化本發(fā)明�����。當(dāng)然這些僅僅是示例并不打算限定��。再者��,以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接觸形成的實(shí)施例��,并且也可包括其中額外的部件形成插入到第一和第二部件中的實(shí)施例,使得第一和第二部件不直接接觸�。為了簡(jiǎn)明和清楚,可以任意地以不同的尺寸繪制各種部件����。
[0017]圖1是根據(jù)本發(fā)明的示例性實(shí)施例的訪問(wèn)控制方法的總體流程圖。
[0018]參照?qǐng)D1�����,用于與虛擬機(jī)的信息交互的訪問(wèn)控制方法100包括以下步驟����。虛擬機(jī)(Virtual Machine)指通過(guò)軟件模擬的具有完整硬件系統(tǒng)功能的、運(yùn)行在一個(gè)完全隔離環(huán)境中的完整計(jì)算機(jī)系統(tǒng)��。在步驟102中��,將預(yù)定訪問(wèn)控制策略下發(fā)給設(shè)置在虛擬機(jī)之間的0VS虛擬交換機(jī)�����;0VS(0penvSwitch)是一個(gè)高質(zhì)量的�、多層虛擬交換機(jī),使用開(kāi)源Apache2.0許可協(xié)議����。它的目的是讓大規(guī)模網(wǎng)絡(luò)自動(dòng)化可以通過(guò)編程擴(kuò)展,同時(shí)仍然支持標(biāo)準(zhǔn)的管理接口和協(xié)議(例如 NetFlow, sFlow, SPAN, RSPAN, CLI, LACP, 802.lag)�����。在步驟104中��,對(duì)經(jīng)過(guò)OVS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)����;以及在步驟106中,當(dāng)數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略的要求時(shí)��,丟棄數(shù)據(jù)��。
[0019]此外��,該訪問(wèn)控制方法也可以應(yīng)用于虛擬機(jī)與物理機(jī)之間的信息交互����,其操作步驟與圖1所示的操作步驟相同,這里不再重復(fù)其描述����。
[0020]利用本發(fā)明的實(shí)施例的訪問(wèn)控制方法�,能夠?qū)崿F(xiàn)IP層面的訪問(wèn)控制功能�����,任意的虛擬機(jī)之間或虛擬機(jī)與物理機(jī)之間的數(shù)據(jù)包都能通過(guò)定義規(guī)則進(jìn)行訪問(wèn)控制�����。
[0021]圖2是根據(jù)本發(fā)明的示例性實(shí)施例的虛擬機(jī)的網(wǎng)絡(luò)連接的示意圖�。
[0022]本發(fā)明基于Xen虛擬化環(huán)境,每個(gè)虛擬機(jī)都與0VS進(jìn)行信息交互���,也就是說(shuō)�,虛擬機(jī)1和虛擬機(jī)2之間通過(guò)0VS進(jìn)行信息交互�����。其中�,0VS是軟件實(shí)現(xiàn)的虛擬交換機(jī),當(dāng)前可以和KVM�����、Xen等多種虛擬化平臺(tái)相整合,為虛擬機(jī)提供靈活的網(wǎng)絡(luò)互連能力�����。
[0023]以下將參照?qǐng)D1和圖2對(duì)訪問(wèn)控制方法進(jìn)行詳細(xì)描述����。
[0024]首先����,將預(yù)定訪問(wèn)控制策略下發(fā)給設(shè)置在虛擬機(jī)之間的0VS虛擬交換機(jī)。具體地����,在預(yù)定訪問(wèn)控制策略中包含規(guī)則命令,規(guī)則命令是固定的�����。在預(yù)定訪問(wèn)控制策略中包含協(xié)議名稱(chēng)�����,協(xié)議名稱(chēng)包括TCP�、UDP�、ICMP���。在預(yù)定訪問(wèn)控制策略中�,源IP和目標(biāo)IP根據(jù)IP分配情況進(jìn)行確定����。在預(yù)定訪問(wèn)控制策略中包含動(dòng)作項(xiàng),動(dòng)作項(xiàng)包括使數(shù)據(jù)通過(guò)����、以及丟棄數(shù)據(jù)。例如��,預(yù)定訪問(wèn)控制策略包括:ovs_ofctl add-flow網(wǎng)橋名稱(chēng)協(xié)議名稱(chēng),nw_src=源IP,nw_dst=目標(biāo)IP動(dòng)作�。
[0025]其次,對(duì)經(jīng)過(guò)0VS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)����。
[0026]接下來(lái),當(dāng)數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略的要求時(shí)����,丟棄數(shù)據(jù)。具體地�����,0VS虛擬交換機(jī)將經(jīng)過(guò)OVS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比較,當(dāng)比較結(jié)果顯示經(jīng)過(guò)0VS虛擬交換機(jī)的數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略時(shí)��,丟棄該數(shù)據(jù)�����。在一些實(shí)施例中�,將在丟棄該數(shù)據(jù)以后����,通過(guò)聲音或者可視的方式向管理員報(bào)警。例如���,通過(guò)聲音報(bào)警模塊進(jìn)行聲音報(bào)警���,或者在顯示器上進(jìn)行顯示報(bào)警。因此���,管理員在發(fā)現(xiàn)該虛擬機(jī)工作不正常時(shí)�����,能夠及時(shí)檢查并修復(fù)該虛擬機(jī)����,從而為云系統(tǒng)提供良好的運(yùn)行環(huán)境,大幅提高了網(wǎng)絡(luò)安全����。
[0027]此外,當(dāng)數(shù)據(jù)符合預(yù)定訪問(wèn)控制策略的要求時(shí)���,使數(shù)據(jù)通過(guò)�����。具體地�����,0VS虛擬交換機(jī)將經(jīng)過(guò)0VS虛擬交換機(jī)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比較���,當(dāng)比較結(jié)果顯示經(jīng)過(guò)0VS虛擬交換機(jī)的數(shù)據(jù)符合預(yù)定訪問(wèn)控制策略時(shí),使該數(shù)據(jù)通過(guò)�����。
[0028]另外,該訪問(wèn)控制方法也可以應(yīng)用于虛擬機(jī)與物理機(jī)之間的信息交互����,其操作步驟與上述操作步驟相同,這里不再重復(fù)其描述��。
[0029]在具體實(shí)施例中�����,基于0VS和openf low協(xié)議�,將訪問(wèn)控制規(guī)則下發(fā)于0VS網(wǎng)橋,由于所有經(jīng)過(guò)該0VS網(wǎng)橋交換的數(shù)據(jù)包��,openf low協(xié)議都會(huì)將數(shù)據(jù)包與規(guī)則進(jìn)行比對(duì)�,對(duì)于符合規(guī)則的數(shù)據(jù)包�,openflow協(xié)議都會(huì)按照規(guī)則的要求對(duì)數(shù)據(jù)包進(jìn)行放行或丟棄,這樣就實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)間通信數(shù)據(jù)包的控制功能����。OpenFlow (其由斯坦福大學(xué)的Nick McKeown教授于 2008 年 4 月在 ACM Communications Review 上發(fā)表的一篇論文 OpenFlow:enablinginnovation in campus networks 里首先提出來(lái)的)是 Software Definded Network 的一種。它最初的出發(fā)點(diǎn)是用于網(wǎng)絡(luò)研究人員實(shí)驗(yàn)其創(chuàng)新網(wǎng)絡(luò)架構(gòu)���、協(xié)議���,考慮到實(shí)際的網(wǎng)絡(luò)創(chuàng)新思想需要在實(shí)際網(wǎng)絡(luò)上才能更好地驗(yàn)證����,而研究人員又無(wú)法修改在網(wǎng)的網(wǎng)絡(luò)設(shè)備�,故而提出了 OpenFlow的控制轉(zhuǎn)發(fā)分離架構(gòu),將控制邏輯從網(wǎng)絡(luò)設(shè)備盒子中引出來(lái)�,研究者可以通過(guò)一組定義明確的接口對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行任意的編程從而實(shí)現(xiàn)新型的網(wǎng)絡(luò)協(xié)議、拓?fù)浼軜?gòu)而無(wú)需改動(dòng)網(wǎng)絡(luò)設(shè)備本身�����。
[0030]利用本發(fā)明的實(shí)施例的訪問(wèn)控制方法�����,能夠?qū)崿F(xiàn)IP層面的訪問(wèn)控制功能���,任意的虛擬機(jī)之間或虛擬機(jī)與物理機(jī)之間的數(shù)據(jù)包都能通過(guò)定義規(guī)則進(jìn)行訪問(wèn)控制��。從而即使某臺(tái)虛擬機(jī)遭受攻擊并成為受控對(duì)象�,由于通過(guò)0VS虛擬交換機(jī)將該虛擬機(jī)收發(fā)的數(shù)據(jù)與預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)��,并且在虛擬機(jī)收發(fā)的數(shù)據(jù)不符合預(yù)定訪問(wèn)控制策略,丟棄該數(shù)據(jù)����,從而實(shí)現(xiàn)對(duì)該虛擬機(jī)收發(fā)的數(shù)據(jù)的控制,從而避免了通過(guò)該虛擬機(jī)攻擊其他虛擬機(jī)���,相應(yīng)地能夠確保網(wǎng)絡(luò)安全�。此外����,能夠?qū)崿F(xiàn)對(duì)云計(jì)算環(huán)境下的網(wǎng)絡(luò)連接進(jìn)行訪問(wèn)控制。
[0031]上面論述了若干實(shí)施例的部件�,使得本領(lǐng)域普通技術(shù)人員可以更好地理解本發(fā)明的各個(gè)方面。本領(lǐng)域普通技術(shù)人員應(yīng)該理解�,可以很容易地使用本發(fā)明作為基礎(chǔ)來(lái)設(shè)計(jì)或更改其他用于達(dá)到與這里所介紹實(shí)施例相同的目的和/或?qū)崿F(xiàn)相同優(yōu)點(diǎn)的處理和結(jié)構(gòu)。本領(lǐng)域普通技術(shù)人員也應(yīng)該意識(shí)到��,這種等效構(gòu)造并不背離本發(fā)明的精神和范圍��,并且在不背離本發(fā)明的精神和范圍的情況下����,可以進(jìn)行多種變化��、替換以及改變�����。
【權(quán)利要求】
1.一種訪問(wèn)控制方法,用于與虛擬機(jī)的信息交互�����,其特征在于��,包括以下步驟:將預(yù)定訪問(wèn)控制策略下發(fā)給設(shè)置在所述虛擬機(jī)之間的OVS虛擬交換機(jī)���;對(duì)經(jīng)過(guò)所述OVS虛擬交換機(jī)的數(shù)據(jù)與所述預(yù)定訪問(wèn)控制策略進(jìn)行比對(duì)����;以及當(dāng)所述數(shù)據(jù)不符合所述預(yù)定訪問(wèn)控制策略的要求時(shí)��,丟棄所述數(shù)據(jù)��。
2.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,在所述預(yù)定訪問(wèn)控制策略中包含規(guī)則命令����,所述規(guī)則命令是固定的�。
3.根據(jù)權(quán)利要求1所述的方法�,其特征在于���,在所述預(yù)定訪問(wèn)控制策略中包含協(xié)議名稱(chēng)�,所述協(xié)議名稱(chēng)包括TCP、UDP����、ICMP。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����,在所述預(yù)定訪問(wèn)控制策略中���,源IP和目標(biāo)IP根據(jù)IP分配情況進(jìn)行確定。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于,在所述預(yù)定訪問(wèn)控制策略中包含動(dòng)作項(xiàng)�,所述動(dòng)作項(xiàng)包括使所述數(shù)據(jù)通過(guò)、以及丟棄所述數(shù)據(jù)��。
6.根據(jù)權(quán)利要求1-5中任一項(xiàng)所述的方法�,其特征在于,當(dāng)所述數(shù)據(jù)符合所述預(yù)定訪問(wèn)控制策略的要求時(shí)�,使所述數(shù)據(jù)通過(guò)。
【文檔編號(hào)】H04L29/06GK103701822SQ201310752415
【公開(kāi)日】2014年4月2日 申請(qǐng)日期:2013年12月31日 優(yōu)先權(quán)日:2013年12月31日
【發(fā)明者】唐煥煥, 王軍林, 唐明, 徐博, 成書(shū)晟 申請(qǐng)人:曙光云計(jì)算技術(shù)有限公司