一种基于sdn的虚拟机安全策略迁移的系统及方法

一种基于sdn的虚拟机安全策略迁移的系统及方法
【专利摘要】本发明公开了一种基于SDN的虚拟机安全策略迁移的系统，其由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成。此外，本发明还公开了一种基于SDN的虚拟机安全策略迁移的方法。通过本发明使得迁移的整个过程节省了大量的资源，并且随着虚拟机的迁移自动、快速、简便的保证它的安全策略同步、灵活的转移。
【专利说明】—种基于SDN的虚拟机安全策略迁移的系统及方法
【技术领域】
[0001]本发明涉及虚拟化【技术领域】，尤其涉及一种基于SDN的虚拟机安全策略迁移的系统及方法。
【背景技术】
[0002]虚拟机迁移技术为服务器虚拟化提供了便捷的方法。目前流行的虚拟化工具如VMware, Xen, HyperV, KVM都提供了各自的迁移组件。迁移服务器可以为用户节省管理资金、维护费用和升级费用。迁移的优势在于简化系统维护管理，提高系统负载均衡，增强系统错误容忍度和优化系统电源管理。
[0003]但是迁移也带来了一些安全策略实施的问题，如一旦VM虚拟机迁移，该VM虚拟机对应的网络层信息可以通过后端的管理平台自动跟随VM虚拟机迁移到新的位置，但是对于在VM主机所在的网络中针对该VM的安全策略如防火墙、IPS、IDS，只能由网络管理员手动重新单独配置和维护，不能从原有网络自动的迁移至新的网络中去。
[0004]申请号为201210121457.9的发明专利公开了一种虚拟机安全策略迁移装置，应用于数据中心的安全管理服务器上，包括:迁移感知单元，用于接收来自虚拟机管理装置的虚拟机迁移报告，该报告包括虚拟机的位置参数；定位单元，用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备；安全策略管理单元，用于获取配置在原安全设备上的该虚拟机的安全策略，并将所述安全策略下发到新安全设备上。本发明实现了虚拟机在安全设备上的安全策略自动跟随着虚拟机迁移而无缝迁移，免除了管理员因为虚拟机迁移而进行的安全设备手工配置操作，这对虚拟机迁移事件较多的大型数据中心来说意义非常显著。
[0005]该技术是以虚拟机为重点来获取安全策略，随后在目标网络中需要将安全策略从迁移的虚拟机原来所在的安全设备上读取出来，并且再将些安全策略下发到新的安全设备，然后再移除原安全设备上的策略。
[0006]这一过程中还需要从源网络寻找相关的安全设备并提取VM的安全策略，然后再在目标网络中寻找出相应的安全设备并添加策略，这需要能对各种安全设备及不同的操作平台进行操作，并且会耗用较大的资源；此外这一过程还需要根据IP地址和MAC地址等方式来识别虚拟机，需要使用额外的资源用以虚拟机的识别，也影响了系统整体的性能。
[0007]此外，一些虚拟化平台厂商也推出了策略随虚拟机迁移的功能，如VMware推出vMotion功能等。安全策略部署在服务器内的vswitch上,便于做到控制精细，并且在VM的迁移过程中，相应的控制策略也能跟随虚拟化系统软件的迁移功能随着VM到达相应的vswitch。
[0008]另一种集中式的控制策略部署在网络设备上结合RG-S6200的802.1Qbg的方案。对VSU构建的网络，如果对外部访问VM的流量进行策略控制，则可在所有VM的网关层设置入方向的ACL控制策略，如下图所示，控制集中、便于策略维护。
[0009]对于在vswitch上部署过多对于vswitch性能有一定影响，另外对于大二层网络，策略过于分散不利于运行维护。另外VSWitch横跨多个服务器主机，由哪个主机进行维护管理，这也带来了一定的问题。对于在所有VM的网关层进行集中式的控制策略部署，这给网络边界服务器带来了额外的负担。
[0010]最主要的是这些技术均要求在厂商支持的虚拟化平台上才可实施，不可跨虚拟化平台实施，这客观上约束了方案的适用性。

【发明内容】

[0011]本发明为了解决现有技术中虚拟机迁移时其安全策略不能与其同步迁移至新主机所在网络以实现策略的无缝迁移的缺点或不足，采用了一种基于SDN的虚拟机安全策略迁移的系统及方法，从而实现了安全策略如防火墙、流量管理等随虚拟机迁移至目标网络的目的。
[0012]一种基于SDN的虚拟机安全策略迁移的系统，其由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成。
[0013]安全策略管理模块是系统中最重要的模块，包括安全策略执行模块，策略同步模块，安全策略获取模块，安全策略加密传输模块和安全策略数据库。
[0014]安全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上。
[0015]策略同步模块更新指定虚拟机的安全策略至相关的安全设备上并更新安全策略数据库，或将迁出虚拟机相关的安全设备上的安全策略移除并在迁移完成后将此虚拟机的安全策略从本地的安全策略数据库中删去。
[0016]安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策略。
[0017]安全策略加密传输模块对待迁移的虚拟机安全策略进行加密，并选择安全的方式传输到目标网络中的安全策略服务器，或接收待迁入的虚拟机安全策略进行解密。
[0018]控制器集群控制模块对数据中心内的多控制器进行协调管理，包括状态分发/同步模块，分域管理模块，分布式存储管理模块，交换机共享控制模块，交换机接口通信模块。
[0019]虚拟机迁移监控模块对虚拟机的迁移情况进行监控。
[0020]一种基于SDN的虚拟机安全策略迁移的方法，其具体的步骤如下:
[0021]I)当虚拟机准备迁移时，支持SDN的交换机匹配到虚拟机迁移的相关流量，按照SDN控制器下发的流表规则，立即通过南向接口协议报告给SDN控制器；
[0022]2) SDN控制器收到由交换机发来的消息后，将信息直接转发给安全策略管理服务器；
[0023]3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的信息，察觉有虚拟机待迁移；
[0024]4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址，查找安全策略数据库以寻找出目标网络的安全策略管理服务器地址；
[0025]5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以提取该虚拟机相关的安全策略；
[0026]6)安全策略管理服务器调用安全策略加密传输模块通过带外安全传输到目标网络的安全策略管理服务器；
[0027]7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待迁入虚拟机的安全策略信息，通知安全策略执行模块；
[0028]8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上，通知迁出网络的安全策略管理服务器；
[0029]9)迁出网络的安全策略管理服务器调用策略同步模块，将迁出虚拟机相关的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数据库中删去。
[0030]本发明技术方案带来的有益效果:
[0031]一种基于SDN的虚拟机安全策略迁移的系统及方法能不受虚拟化平台的影响，跨平台的完成安全策略迁移的工作。并且这种安全策略迁移方法仅依赖于支持SDN的交换机这一硬件设备，对各种虚拟机的迁移能快速的响应，并迅速从全网的安全策略中选择待迁移的虚拟机相关的安全策略，交由目标网络的安全策略管理服务器以快速下发到相关安全设备实现安全策略的部署。整个过程节省了大量的资源，并且对网络中各虚拟机、安全设备有一个统一清楚的管理，给管理员带来了极大的便利，并且随着虚拟机的迁移自动、快速、简便的保证它的安全策略同步、灵活的转移。
【专利附图】

【附图说明】
[0032]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
[0033]图1是本发明的一种基于SDN的虚拟机安全策略迁移的系统功能模块图；
[0034]图2是本发明的一种基于SDN的虚拟机安全策略迁移的方法网络拓扑图。
【具体实施方式】
[0035]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0036]—种基于SDN的虚拟机安全策略迁移的系统功能模块图如图1所不:
[0037]它由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成。
[0038]安全策略管理模块是系统中最重要的模块，包括安全策略执行模块，策略同步模块，安全策略获取模块，安全策略加密传输模块和安全策略数据库。安全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上。策略同步模块可更新指定虚拟机的安全策略至相关的安全设备上并更新安全策略数据库，或将迁出虚拟机相关的安全设备上的安全策略移除并在迁移完成后将此虚拟机的安全策略从本地的安全策略数据库中删去。安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策略。安全策略加密传输模块对待迁移的虚拟机安全策略进行加密，并选择安全的方式传输到目标网络中的安全策略服务器；或接收待迁入的虚拟机安全策略进行解密。
[0039]控制器集群控制模块对数据中心内的多控制器进行协调管理，包括状态分发/同步模块，分域管理模块，分布式存储管理模块，交换机共享控制模块，交换机接口通信模块。控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信，使用其他模块实现多控制器之间的流表的同步。
[0040]虚拟机迁移监控模块对虚拟机的迁移情况进行监控。通过SDN控制器定义“虚拟迁移发现”流表项，并且下发到数据中心内的支持SDN的交换机。当虚拟机开始迁移时，支持SDN的交换机立即接收到虚拟机迁移的相关数据包并且匹配到“虚拟迁移发现”流表项，并且根据此流表项的动作执行将虚拟迁移信息通知发送给SDN控制器，进而通知到安全策略管理模块。
[0041]一种基于SDN的虚拟机安全策略迁移的方法针对虚拟机迁移时安全策略需要随同迁移的问题，基于SDN技术，将安全策略迁移与虚拟机迁移分离开来。这种方法中安全策略迁移不再依赖虚拟机完成，而是依赖于支持SDN的交换机。
[0042]一种基于SDN的虚拟机安全策略迁移的方法的网络拓扑图如图2所示，其具体的实施流程如下:
[0043]I)当虚拟机准备迁移时，支持SDN的交换机匹配到虚拟机迁移的相关流量，按照SDN控制器下发的流表规则，立即通过南向接口协议报告给SDN控制器；
[0044]2) SDN控制器收到由交换机发来的消息后，将信息直接转发给安全策略管理服务器；
[0045]3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的信息，察觉有虚拟机待迁移；
[0046]4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址，查找安全策略数据库以寻找出目标网络的安全策略管理服务器地址；
[0047]5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以提取该虚拟机相关的安全策略；
[0048]6)安全策略管理服务器调用安全策略加密传输模块通过带外方式将信息安全传输到目标网络的安全策略管理服务器；
[0049]7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待迁入虚拟机的安全策略信息，通知安全策略执行模块；
[0050]8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上，通知迁出网络的安全策略管理服务器；
[0051]9)迁出网络的安全策略管理服务器调用策略同步模块，将迁出虚拟机相关的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数据库中删去。
[0052]此外，本发明还可在现有技术的基础上，通过使用专门算法来识别出虚拟机并在虚拟机中记录其相应的安全策略，最终在迁入网络中使用专门函数提取其安全策略部署至各安全设备上。这需要使用额外对虚拟机较高的识别能力，安全策略提取，跨平台的能力，到达目标网络将安全策略分发到相应安全设备的能力等。[0053]本发明还可直接迁移虚拟机，之后由人工根据每个虚拟机的不同安全策略在迁入的网络中进行设计、配置，并从迁出网络中删去此虚拟机相关的安全策略。这种方法费时费力，且协调虚拟机在目标环境的使用和此虚拟机在目标网络的相关安全策略部署事件上存在困难。
[0054]以上对本发明实施例所提供的一种基于SDN的虚拟机安全策略迁移的系统及方法进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种基于SDN的虚拟机安全策略迁移的系统，其特征在于，该系统由安全策略管理模块、控制器集群控制模块和虚拟机迁移监控模块构成； 安全策略管理模块是该系统中最重要的模块，包括安全策略执行模块，策略同步模块，安全策略获取模块，安全策略加密传输模块和安全策略数据库； 安全策略执行模块负责将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上； 策略同步模块更新指定虚拟机的安全策略至相关的安全设备上并更新安全策略数据库，或将迁出虚拟机相关的安全设备上的安全策略移除并在迁移完成后将此虚拟机的安全策略从本地的安全策略数据库中删去； 安全策略获取模块从安全策略数据库中提取迁移虚拟机相关的所有安全策略； 安全策略加密传输模块对待迁移的虚拟机安全策略进行加密，并选择安全的方式传输到目标网络中的安全策略服务器，或接收待迁入的虚拟机安全策略进行解密； 控制器集群控制模块对数据中心内的多控制器进行协调管理，包括状态分发/同步模块，分域管理模块，分布式存储管理模块，交换机共享控制模块，交换机接口通信模块； 虚拟机迁移监控模块对虚拟机的迁移情况进行监控。
2.根据权利要求1所述的系统，其特征在于，控制器集群控制模块通过交换机接口通信模块使用南向接口协议与支持SDN的交换机进行通信，使用其他模块实现多控制器之间的流表的同步。
3.根据权利要求1所述的系统，其特征在于，虚拟机迁移监控模块通过SDN控制器定义“虚拟迁移发现”流表项，`并且下发到数据中心内的支持SDN的交换机；当虚拟机开始迁移时，支持SDN的交换机立即接收到虚拟机迁移的相关数据包并且匹配到“虚拟迁移发现”流表项，并且根据此流表项的动作执行将虚拟迁移信息通知发送给SDN控制器，进而通知到安全策略管理模块。
4.一种基于SDN的虚拟机安全策略迁移的方法，其特征在于，该方法的步骤如下: 1)当虚拟机准备迁移时，支持SDN的交换机匹配到虚拟机迁移的相关流量，按照SDN控制器下发的流表规则，立即通过南向接口协议报告给SDN控制器； 2)SDN控制器收到由交换机发来的消息后，将信息直接转发给安全策略管理服务器； 3)安全策略管理服务器收到控制器集群中其中一台SDN控制器发送的信息，察觉有虚拟机待迁移； 4)安全策略管理服务器通过信息分析出虚拟机迁移的目标网络地址，查找安全策略数据库以寻找出目标网络的安全策略管理服务器地址； 5)安全策略管理服务器调用安全策略获取模块查找安全策略数据库以提取该虚拟机相关的安全策略； 6)安全策略管理服务器调用安全策略加密传输模块通过带外方式将信息安全传输到目标网络的安全策略管理服务器； 7)目标网络的安全策略管理服务器调用安全策略加密传输模块解密待迁入虚拟机的安全策略信息，通知安全策略执行模块； 8)安全策略执行模块将迁入的虚拟机相关的安全策略添加到安全策略数据库中，并通过与安全策略相关的安全设备的接口将迁入虚拟机的安全策略添加到相关的安全设备上，通知迁出网络的安全策略管理服务器； 9)迁出网络的安全策略管理服务器调用策略同步模块，将迁出虚拟机相关的安全设备上的安全策略移除并将此虚拟机的安全策略从本地的安全策略数据库中删去。
5.根据权利要求4所述的方法，其特征在于，本发明还可在现有技术的基础上，通过使用专门算法来识别出虚拟机并在虚拟机中记录其相应的安全策略，最终在迁入网络中使用专门函数提取其安全策略部署至各安全设备上。
6.根据权利要求4所述的方法，其特征在于，本发明还可直接迁移虚拟机，之后由人工根据每个虚拟机的不同安全策略在迁入的网络中进行设计、配置，并从迁出网络中删去此虚拟机相关的安全策略。
【文档编号】H04L12/24GK103685250SQ201310646449
【公开日】2014年3月26日 申请日期:2013年12月4日 优先权日:2013年12月4日
【发明者】杨育斌, 程丽明 申请人:蓝盾信息安全技术股份有限公司