访问控制方法
【专利摘要】本发明提供了一种访问控制方法,用于与虚拟机的信息交互,包括以下步骤:将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机;对经过OVS虚拟交换机的数据与预定访问控制策略进行比对;以及当数据不符合预定访问控制策略的要求时,丢弃数据。本发明的访问控制方法克服了现有技术的缺陷,能够实现IP层面的访问控制功能,任意的虚拟机之间的数据包都能通过定义规则进行访问控制。
【专利说明】访问控制方法
【技术领域】
[0001]本发明总体上涉及计算机领域,更具体地,涉及访问控制方法。
【背景技术】
[0002]访问控制是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
[0003]在现有技术中,传统的访问控制机制是将机器之间的访问控制策略置于网络边界的防火墙等设备上,因为所有进出本网络的连接都要经过防火墙,所以防火墙能够监控和管理网络内部的所有的连接信息,从而达到对网络的访问控制功能。
[0004]然而,在云计算领域,网络边界变的模糊。网络内部的虚拟机已经成为了不同的网络系统,这些网络系统之间也同样存在着边界。传统的防火墙等设备只放在整个网络的出口处,并没有放在内部网络中。所以并不能对云计算环境下的网络连接进行访问控制。一旦某台虚拟机遭受攻击并成为受控对象,该虚拟机就会在管理员不知道的情况下攻击其他虚拟机。
【发明内容】
[0005]针对以上现有技术中传统的防火墙等设备只放在整个网络的出口处,从而不能对云计算环境下的网络连接进行访问控制等缺陷,本发明提供了能够解决上述缺陷的访问控制方法。
[0006]本发明提供了一种访问控制方法,用于与虚拟机的信息交互,包括以下步骤:将预定访问控制策略下发给设置在虚拟机之间的0VS虚拟交换机;对经过0VS虚拟交换机的数据与预定访问控制策略进行比对;以及当数据不符合预定访问控制策略的要求时,丢弃数据。
[0007]优选地,在预定访问控制策略中包含规则命令,规则命令是固定的。
[0008]优选地,在预定访问控制策略中包含协议名称,协议名称包括TCP、UDP、ICMP。
[0009]优选地,在预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。
[0010]优选地,在预定访问控制策略中包含动作项,动作项包括使数据通过、以及丢弃数据。
[0011]优选地,当数据符合预定访问控制策略的要求时,使数据通过。
[0012]利用本发明的技术方案能够克服现有技术的缺陷,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。【专利附图】
【附图说明】
[0013]当结合附图进行阅读时,根据下面详细的描述可以更好地理解本发明。应该强调的是,根据工业中的标准实践,各种部件没有被按比例绘制。实际上,为了清楚的讨论,各种部件的尺寸可以被任意增加或减少。
[0014]图1是根据本发明的示例性实施例的访问控制方法的总体流程图;以及
[0015]图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。
【具体实施方式】
[0016]为了实施本发明的不同部件,以下描述提供了许多不同的实施例或示例。以下描述元件和布置的特定示例以简化本发明。当然这些仅仅是示例并不打算限定。再者,以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接触形成的实施例,并且也可包括其中额外的部件形成插入到第一和第二部件中的实施例,使得第一和第二部件不直接接触。为了简明和清楚,可以任意地以不同的尺寸绘制各种部件。
[0017]图1是根据本发明的示例性实施例的访问控制方法的总体流程图。
[0018]参照图1,用于与虚拟机的信息交互的访问控制方法100包括以下步骤。虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在步骤102中,将预定访问控制策略下发给设置在虚拟机之间的0VS虚拟交换机;0VS(0penvSwitch)是一个高质量的、多层虚拟交换机,使用开源Apache2.0许可协议。它的目的是让大规模网络自动化可以通过编程扩展,同时仍然支持标准的管理接口和协议(例如 NetFlow, sFlow, SPAN, RSPAN, CLI, LACP, 802.lag)。在步骤104中,对经过OVS虚拟交换机的数据与预定访问控制策略进行比对;以及在步骤106中,当数据不符合预定访问控制策略的要求时,丢弃数据。
[0019]此外,该访问控制方法也可以应用于虚拟机与物理机之间的信息交互,其操作步骤与图1所示的操作步骤相同,这里不再重复其描述。
[0020]利用本发明的实施例的访问控制方法,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。
[0021]图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。
[0022]本发明基于Xen虚拟化环境,每个虚拟机都与0VS进行信息交互,也就是说,虚拟机1和虚拟机2之间通过0VS进行信息交互。其中,0VS是软件实现的虚拟交换机,当前可以和KVM、Xen等多种虚拟化平台相整合,为虚拟机提供灵活的网络互连能力。
[0023]以下将参照图1和图2对访问控制方法进行详细描述。
[0024]首先,将预定访问控制策略下发给设置在虚拟机之间的0VS虚拟交换机。具体地,在预定访问控制策略中包含规则命令,规则命令是固定的。在预定访问控制策略中包含协议名称,协议名称包括TCP、UDP、ICMP。在预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。在预定访问控制策略中包含动作项,动作项包括使数据通过、以及丢弃数据。例如,预定访问控制策略包括:ovs_ofctl add-flow网桥名称协议名称,nw_src=源IP,nw_dst=目标IP动作。
[0025]其次,对经过0VS虚拟交换机的数据与预定访问控制策略进行比对。
[0026]接下来,当数据不符合预定访问控制策略的要求时,丢弃数据。具体地,0VS虚拟交换机将经过OVS虚拟交换机的数据与预定访问控制策略进行比较,当比较结果显示经过0VS虚拟交换机的数据不符合预定访问控制策略时,丢弃该数据。在一些实施例中,将在丢弃该数据以后,通过声音或者可视的方式向管理员报警。例如,通过声音报警模块进行声音报警,或者在显示器上进行显示报警。因此,管理员在发现该虚拟机工作不正常时,能够及时检查并修复该虚拟机,从而为云系统提供良好的运行环境,大幅提高了网络安全。
[0027]此外,当数据符合预定访问控制策略的要求时,使数据通过。具体地,0VS虚拟交换机将经过0VS虚拟交换机的数据与预定访问控制策略进行比较,当比较结果显示经过0VS虚拟交换机的数据符合预定访问控制策略时,使该数据通过。
[0028]另外,该访问控制方法也可以应用于虚拟机与物理机之间的信息交互,其操作步骤与上述操作步骤相同,这里不再重复其描述。
[0029]在具体实施例中,基于0VS和openf low协议,将访问控制规则下发于0VS网桥,由于所有经过该0VS网桥交换的数据包,openf low协议都会将数据包与规则进行比对,对于符合规则的数据包,openflow协议都会按照规则的要求对数据包进行放行或丢弃,这样就实现了对网络间通信数据包的控制功能。OpenFlow (其由斯坦福大学的Nick McKeown教授于 2008 年 4 月在 ACM Communications Review 上发表的一篇论文 OpenFlow:enablinginnovation in campus networks 里首先提出来的)是 Software Definded Network 的一种。它最初的出发点是用于网络研究人员实验其创新网络架构、协议,考虑到实际的网络创新思想需要在实际网络上才能更好地验证,而研究人员又无法修改在网的网络设备,故而提出了 OpenFlow的控制转发分离架构,将控制逻辑从网络设备盒子中引出来,研究者可以通过一组定义明确的接口对网络设备进行任意的编程从而实现新型的网络协议、拓扑架构而无需改动网络设备本身。
[0030]利用本发明的实施例的访问控制方法,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。从而即使某台虚拟机遭受攻击并成为受控对象,由于通过0VS虚拟交换机将该虚拟机收发的数据与预定访问控制策略进行比对,并且在虚拟机收发的数据不符合预定访问控制策略,丢弃该数据,从而实现对该虚拟机收发的数据的控制,从而避免了通过该虚拟机攻击其他虚拟机,相应地能够确保网络安全。此外,能够实现对云计算环境下的网络连接进行访问控制。
[0031]上面论述了若干实施例的部件,使得本领域普通技术人员可以更好地理解本发明的各个方面。本领域普通技术人员应该理解,可以很容易地使用本发明作为基础来设计或更改其他用于达到与这里所介绍实施例相同的目的和/或实现相同优点的处理和结构。本领域普通技术人员也应该意识到,这种等效构造并不背离本发明的精神和范围,并且在不背离本发明的精神和范围的情况下,可以进行多种变化、替换以及改变。
【权利要求】
1.一种访问控制方法,用于与虚拟机的信息交互,其特征在于,包括以下步骤:将预定访问控制策略下发给设置在所述虚拟机之间的OVS虚拟交换机;对经过所述OVS虚拟交换机的数据与所述预定访问控制策略进行比对;以及当所述数据不符合所述预定访问控制策略的要求时,丢弃所述数据。
2.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含规则命令,所述规则命令是固定的。
3.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含协议名称,所述协议名称包括TCP、UDP、ICMP。
4.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。
5.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含动作项,所述动作项包括使所述数据通过、以及丢弃所述数据。
6.根据权利要求1-5中任一项所述的方法,其特征在于,当所述数据符合所述预定访问控制策略的要求时,使所述数据通过。
【文档编号】H04L29/06GK103701822SQ201310752415
【公开日】2014年4月2日 申请日期:2013年12月31日 优先权日:2013年12月31日
【发明者】唐焕焕, 王军林, 唐明, 徐博, 成书晟 申请人:曙光云计算技术有限公司