CN102571698B - 一种虚拟机访问权限的控制方法、系统及装置 - Google Patents
一种虚拟机访问权限的控制方法、系统及装置 Download PDFInfo
- Publication number
- CN102571698B CN102571698B CN201010594536.2A CN201010594536A CN102571698B CN 102571698 B CN102571698 B CN 102571698B CN 201010594536 A CN201010594536 A CN 201010594536A CN 102571698 B CN102571698 B CN 102571698B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- secure
- machine
- mac address
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 53
- 238000004321 preservation Methods 0.000 claims description 12
- 230000005540 biological transmission Effects 0.000 claims description 5
- 239000011800 void material Substances 0.000 claims description 2
- 230000008569 process Effects 0.000 description 25
- 238000002955 isolation Methods 0.000 description 9
- 230000003993 interaction Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000001914 filtration Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000009172 bursting Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005194 fractionation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 239000010979 ruby Substances 0.000 description 1
- 229910001750 ruby Inorganic materials 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Abstract
本发明公开了一种虚拟机访问权限的控制方法、系统及装置,主要技术方案包括:接收第一虚拟机发送的对第二虚拟机的访问请求;根据所述访问请求,确定第一虚拟机以及该第二虚拟机分别对应的安全标识;在比较确定的安全标识一致后,允许该第一虚拟机访问第二虚拟机。根据该技术方案,能够根据虚拟机的安全标识确定是否允许第一虚拟机对第二虚拟机的访问,从而实现了根据虚拟机的安全性要求对虚拟机的安全控制。
Description
技术领域
本发明涉及虚拟机安全控制技术领域,尤其涉及一种虚拟机访问权限的控制方法、系统及装置。
背景技术
云计算是一种利用大规模低成本运算单元通过IP网络相连而所组成的运算系统来提供运算服务的技术。云计算系统底层硬件平台由大量标准化商业服务器组成,通过复杂的IP网络互联,在平台上运行云计算的软件栈。
弹性计算云平台为用户提供了一个虚拟集群环境,使得用户的应用具有充分的灵活性,同时也减轻了云计算平台管理者的管理负担。弹性计算云中的虚拟机实例是一些真正在运行中的虚拟机服务器,每一个虚拟机实例代表一个运行中的虚拟机。对于提供给某一个用户的虚拟机,该用户对该虚拟机具有完整的访问权限,包括针对此虚拟机的管理员用户权限。弹性计算云平台作为云计算应用的动态扩展,在云计算应用运行期间实现支撑云计算应用的虚拟机实例个数的动态增加或者减少,例如,在网络负载较高的时候启动较多的虚拟机实例,在网络负载较低的情况停止一些虚拟机实例。
在弹性云计算平台中,对应虚拟机的安全管理是非常重要的一方面。现有的虚拟机安全管理机制主要集中在虚拟机的网络隔离方面,目前应用较普遍的方案是通过在物理机上安装防火墙来实现虚拟机的隔离和交互,即针对每台虚拟机设置对应的安全访问策略,例如,滤除系统认为存在不安全因素的IP地址。通过防火墙隔离技术,此类被安全访问策略设定的IP地址对应的虚拟机无法访问该虚拟机。该过程主要通过在物理机层次由系统管理员来定制管理,该安全管理方法缺乏灵活性,没有考虑到虚拟机实际对访问权限方面的安全性要求。
综上所述,现有的虚拟机安全管理技术主要基于系统管理员根据网络侧对虚拟机管理的需求实现,不能根据虚拟机实际的安全性要求实现对虚拟机的安全控制。
发明内容
有鉴于此,本发明实施例提供一种虚拟机访问权限的控制方法、系统及装置,采用该技术方案,能够根据虚拟机的安全性要求实现对虚拟机的安全控制。
本发明实施例通过如下技术方案实现:
根据本发明实施例的一个方面,提供了一种虚拟机访问权限的控制方法,包括:
接收第一虚拟机发送的对第二虚拟机的访问请求;
根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识;
在比较确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机。
根据本发明实施例的另一个方面,还提供了一种虚拟机访问权限的控制系统,包括:
第一虚拟机、第二虚拟机以及虚拟机访问权限控制装置;
其中:
所述第一虚拟机,用于向所述虚拟机访问权限控制装置发送对第二虚拟机的访问请求;
所述虚拟机访问权限控制装置,用于根据所述第一虚拟机发送的对第二虚拟机的访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,并在比较确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机。
根据本发明实施例的另一个方面,还提供了一种虚拟机访问权限的控制装置,包括:
接收单元,用于接收第一虚拟机发送的对第二虚拟机的访问请求;
安全标识确定单元,用于根据所述接收单元接收的访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识;
权限控制单元,用于在比较所述安全标识确定单元确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机。
通过本发明实施例提供的上述至少一个技术方案,在接收第一虚拟机发送的对第二虚拟机的访问请求后,根据接收的访问请求确定该第一虚拟机以及第二虚拟机分别对应的安全标识,并在比较确定的安全标识一致后,允许第一虚拟机访问第二虚拟机。根据该技术方案,能够根据虚拟机对应的安全标识确定是否允许第一虚拟机对第二虚拟机的访问,从而实现了根据虚拟机的安全性要求对虚拟机的安全控制。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明实施例一起用于解释本发明,并不构成对本发明的限制。在附图中:
图1为本发明实施例一提供的物理机逻辑结构示意图;
图2为本发明实施例一提供的虚拟机访问权限的控制方法流程图;
图3为本发明实施例一提供的第一虚拟机向安全管理模块发送对第二虚拟机的访问请求的流程图;
图4为本发明实施例一提供的控制第一虚拟机对第二虚拟机的访问权限的流程图;
图5为本发明实施例一提供的控制第一虚拟机对第二虚拟机的访问权限的另一流程图;
图6为本发明实施例一提供的虚拟机系统示意图;
图7为本发明实施例二提供的虚拟机访问权限的控制装置示意图;
图8为本发明实施例三提供的虚拟机访问权限的控制系统示意图。
具体实施方式
为了给出根据虚拟机的安全性要求实现对虚拟机的安全控制的实现方案,本发明实施例提供了一种虚拟机访问权限的控制方法、系统及装置,以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
实施例一
本发明实施例一提供了一种虚拟机访问权限的控制方法,基于该方法能够根据虚拟机的安全性要求实现对虚拟机的安全控制。
本发明实施例一提供的方法可应用于虚拟机系统中,该虚拟机系统包括如图1所示的多个物理机,其中,每个物理机包括用户层以及位于用户层之上的中间层,用户层至少包括第一虚拟机,中间层包括安全管理模块,该安全管理模块主要实现对第一虚拟机的访问权限的控制。第一虚拟机可以通过安全管理模块的控制访问所在物理机上的第二虚拟机,也可以通过该安全管理模块的控制访问其它物理机上的第二虚拟机。
如图2所示,该实施例一提供的虚拟机访问权限的控制方法,主要包括如下步骤:
步骤201、第一虚拟机向安全管理模块发送对第二虚拟机的访问请求。
步骤202、安全管理模块根据第一虚拟机发送的对第二虚拟机的访问请求后,确定该第一虚拟机以及第二虚拟机分别对应的安全标识。
步骤203、根据确定的安全标识,控制第一虚拟机对第二虚拟机的访问权限,即允许或拒绝该第一虚拟机访问第二虚拟机。
至此,对虚拟机访问权限的控制流程结束。
图2所述流程包括的步骤202中,安全管理模块在确定第一虚拟机以及第二虚拟机分别对应的安全标识时,根据访问请求中包括的不同信息,具体确定过程也有所不同,具体包括如下几种情况:
情况一:第一虚拟机发送的访问请求中包括第一虚拟机以及第二虚拟机分别对应的虚拟机ID;
相应地,该情况一下,安全管理模块根据该访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识的过程,包括:
从访问请求中获取携带的第一虚拟机以及第二虚拟机分别对应的虚拟机ID;
根据获取的虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定第一虚拟机以及第二虚拟机分别对应的安全标识。
情况二:访问请求中包括第一虚拟机的MAC地址以及第二虚拟机的虚拟机ID;其中,第一虚拟机的MAC地址根据第一虚拟机对应的安全标识生成,具体生成方式将在后续实施例中详细说明,此处暂不描述。
相应地,该情况二下,安全管理模块根据该访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识的过程,包括:
从访问请求中获取第一虚拟机的MAC地址,获取该MAC地址中携带的第一虚拟机的安全标识;以及
从访问请求中获取第二虚拟机的虚拟机ID,并根据获取的虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定该第二虚拟机对应的安全标识。
情况三:访问请求中包括第一虚拟机的虚拟机ID以及第二虚拟机的MAC地址;其中,第二虚拟机的MAC地址根据第二虚拟机对应的安全标识生成,具体生成方式将在后续实施例中详细说明,此处暂不描述。
相应地,该情况三下,安全管理模块根据该访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识的过程,包括:
从该访问请求中获取第一虚拟机的虚拟机ID,并根据获取的虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定该第一虚拟机对应的安全标识;以及
从该访问请求中获取第二虚拟机的MAC地址,获取该MAC地址中携带的该第二虚拟机的安全标识。
情况四:访问请求中包括第一虚拟机以及第二虚拟机分别对应的MAC地址;其中,该MAC地址分别根据所对应虚拟对应的安全标识生成;具体生成方式将在后续实施例中详细说明,此处暂不描述。
相应地,该情况四下,安全管理模块根据该访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识的过程,包括:
从该访问请求中获取携带的第一虚拟机以及第二虚拟机分别对应的MAC地址;
获取第一虚拟机对应的MAC地址中携带的该第一虚拟机对应的安全标识;以及
获取第二虚拟机对应的MAC地址中携带的第二虚拟机的安全标识。
其中,上述情况一、二以及三中,安全管理模块保存各虚拟机ID以及安全标识的对应关系,可以通过如下方式:
在各虚拟机创建完成后,由虚拟机主动将对应的安全标识上报给安全管理模块,安全管理模块保存该虚拟机以及安全标识的对应关系,在保存该对应关系时,为减少存储的信息量,通常保存虚拟机ID以及安全标识的对应关系;
或
安全管理模块主动向各虚拟机发送安全标识获取请求,并保存各虚拟机ID以及各虚拟机反馈的安全标识信息的对应关系。
为便于理解,以下以上述情况四为例,说明第一虚拟机向安全管理模块发送对第二虚拟机的访问请求的具体过程,如图3所示,第一虚拟机向安全管理模块发送对第二虚拟机的访问请求,主要包括如下步骤:
步骤301、第一虚拟机确定自身对应的MAC地址以及第二虚拟机的MAC地址。
步骤302、第一虚拟机将确定的自身的MAC地址以及第二虚拟机的MAC地址携带在访问请求中发送至安全管理模块。
至此,第一虚拟机向安全管理模块发送对第二虚拟机的访问请求的流程结束。
图3所述流程的优选实施方式中,虚拟机的MAC地址可以在创建该虚拟机时生成,并且MAC地址可以根据所对应虚拟机对应的安全标识生成,具体地,第一虚拟机根据自身对应的安全标识生成MAC地址的一个具体示例如下:
MAC地址一般表示为00:03:AA:BB:CC:DD(均为十六进制),其中,可以将其中的00:03指定为MAC地址前缀(可修改),可以指定AA、BB、CC或DD中的任意一个表示安全标识,其余的可以用于表示用户ID等信息。
以上所述为本发明实施例一提供的第一虚拟机在访问请求中携带根据虚拟机的安全标识生成的MAC地址的优选实施方式,实际应用中,第一虚拟机以及第二虚拟机的安全标识还可以直接携带在访问请求中,在此情况下,第一虚拟机中可以保存各虚拟机安全标识的列表,在需要访问第二虚拟机时,可以通过查找此列表确定第二虚拟机对应的安全标识,此处不再一一列举。
实际应用中,虚拟机对应的安全标识可以在虚拟机创建时进行设置,具体过程如下:
用户根据业务或者应用需求创建虚拟机,除了要设定需要的虚拟机的CPU、内存、硬盘等信息外,还需要设定安全标识信息。在创建虚拟机时,还需要确定虚拟机的IP、MAC地址等信息。虚拟机的IP是从IP资源池中获取。而虚拟机的MAC地址如上所述,可以根据安全标识来生成。其生成方法如下:
假设MAC地址为00:03:AA:BB:CC:DD(均为十六进制),其中00:03为指定的MAC地址前缀(可修改),AA:BB代表用户ID(实际应用中,最多支持65536个用户),CC表示安全标识,DD代表用户分配的虚拟机ID(每个用户最多256个虚拟机),此处仅为示例,实际应用中可以灵活配置MAC地址中包含的信息。
进一步地,可以设置私有安全标识以及公有安全标识,其中,公有安全标识可以被具有相同安全标识的其它虚拟机访问,私有安全标识只能被具有相同安全标识以及相同用户ID的其它虚拟机访问,例如,可以设定安全标识在[0,127]之间的安全标识为私有安全标识,安全标识在[128,255]之间的安全标识为公有安全标识。
进一步地,为了增加对应公有安全标识的虚拟机的安全性,可以进一步设定访问密钥,即具有相同安全标识的其它虚拟机在访问该虚拟机时,需要进一步提供正确的访问密钥。
以Centos 5.2中使用Xen创建虚拟机为例,根据用户申请创建的虚拟机的模板文件如下所示,该模板文件中包括上述设置的信息:
name=′one-302′
memory=′4096′
bootloader=″/usr/bin/pygrub″
disk=[
′tap:aio:/one_images/302/images/disk.0,xvda,w′,
′tap:aio:/one_images/302/images/disk.1,xvdb,w′,
′tap:aio:/one_images/302/images/disk.2,sdc,r′,
]
vif=[
′mac=00:03:0a:04:03:07,bridge=xenbr.eth0′,
]
vcpus=2
本发明实施例一还提供了图2所述流程包括的步骤203的优选实施方式,即安全管理模块根据确定的安全标识,控制该第一虚拟机对第二虚拟机的访问权限,如图4所示,主要包括如下步骤:
步骤401、比较确定的第一虚拟机以及第二虚拟机分别对应的安全标识是否一致,若是,执行步骤402,若否,执行步骤403。
步骤402、允许该第一虚拟机访问该第二虚拟机,至此,根据确定的安全标识控制虚拟机的流程结束。
步骤403、拒绝该第一虚拟机访问该第二虚拟机,至此,根据确定的安全标识控制虚拟机的流程结束。
本发明实施例一还提供了图2所述流程包括的步骤203的又一优选实施方式,即安全管理模块根据确定的安全标识,控制该第一虚拟机对第二虚拟机的访问权限,如图5所示,主要包括如下步骤:
步骤501、比较确定的第一虚拟机以及第二虚拟机分别对应的安全标识是否一致,若是,执行步骤502,若否,执行步骤506。
步骤502、判断第二虚拟机对应的安全标识是否为公有安全标识,若否,执行步骤503,若是,执行步骤505。
步骤503、根据接收的访问请求,确定第一虚拟机以及第二虚拟机分别对应的用户标识。
步骤504、比较确定的用户标识是否一致,若是,执行步骤505,若否,执行步骤506。
步骤505、允许该第一虚拟机访问该第二虚拟机,至此,根据获取的安全标识控制虚拟机的流程结束。
步骤506、拒绝该第一虚拟机访问该第二虚拟机,至此,根据获取的安全标识控制虚拟机的流程结束。
具体地,图5所述流程包括的步骤503中,根据接收的访问请求,确定第一虚拟机以及第二虚拟机分别对应的用户标识的获取方式,与上述实施例中根据访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识的具体过程基本一致,即:
根据确定第一虚拟机以及第二虚拟机对应的安全标识时获取的第一虚拟机以及第二虚拟机分别对应的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第一虚拟机以及第二虚拟机分别对应的用户ID;或
根据确定第一虚拟机对应的安全标识时获取的第一虚拟机的MAC地址,获取该MAC地址中携带的第一虚拟机对应的用户ID;以及根据确定第二虚拟机对应的安全标识时获取的第二虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第二虚拟机对应的用户ID;或
根据确定第一虚拟机对应的安全标识时获取的第一虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第一虚拟机对应的用户ID;以及根据确定第二虚拟机对应的安全标识时获取的第二虚拟机的MAC地址,获取该第二虚拟机对应的MAC地址中携带的第二虚拟机对应的用户ID;或
根据确定第一虚拟机以及第二虚拟机对应的安全标识时获取的第一虚拟机以及第二虚拟机分别对应的MAC地址,获取第一虚拟机对应的MAC地址中携带的第一虚拟机对应的用户ID,以及获取第二虚拟机对应的MAC地址中携带的第二虚拟机对应的用户ID。
通过图5所述的流程,在根据获取的第一虚拟机以及第二虚拟机分别对应的安全
标识控制第一虚拟机的访问权限时,若确定第二虚拟机的安全标识标识为公有安全标识标
识,则在确定第一虚拟机以及第二虚拟机分别对应的安全标识一致后,允许第一虚拟机访
问该第二虚拟机;若确定第二虚拟机对应的安全标识为私有安全标识,则需要在确定第一
虚拟机与第二虚拟机对应的安全标识一致,并且第一虚拟机与第二虚拟机对应的用户ID一
致后,才允许第一虚拟机访问所述第二虚拟机。实际应用中,虚拟机的访问控制是通过
Linux系统的ebtables来实现的。Ebtables即是以太网桥防火墙,以太网桥工作在数据链路
层,Ebtables来过滤数据链路层数据包。以Centos 5.2中使用Xen创建虚拟机为例,使用
ruby构建安全标识的ebtables的虚拟机访问权限的控制代码如下:
vm_id=`sudo xm domid#{VM_NAME}`.strip
networks=`sudo xm network-list#{vm_id}`.split(″\n″)[1..-1]
networks.each{|net|
n=net.split
iface_id=n[0]
iface_mac=n[2]
tap=″vif#{vm_id}.#{iface_id}″
if interfaces.include?tap
mac=iface_mac.split(′:′)
mac[-1]=′00′
net_mac=mac.join(′:′)
in_rule=″FORWARD-s!#{net_mac}/ff:ff:ff:ff:ff:00-o#{tap}-jDROP″
out_rule=″FORWARD-s!#{iface_mac}-i#{tap}-j DROP″
activate(in_rule)
activate(out_rule)
end
}
可以看出,in_rule中使用的子网掩码是ff:ff:ff:ff:ff:00,即只有具有相同MAC前缀、相同用户ID、相同安全标识的其它虚拟机才可访问。对于公有安全标识,in_rule中使用的子网掩码设置为ff:ff:00:00:ff:00,即只需要具有相同MAC前缀、相同安全标识的其它虚拟机均可访问。
本发明实施例一还提供了通过上述方法,允许第一虚拟机访问第二虚拟机后的数据传输方法,该过程所涉及的虚拟机系统如图6所示,该虚拟机系统中每个物理机包括用户层、位于用户层之上的中间层以及网桥层,其中,第一物理机中的用户层至少包括第一虚拟机(图中示出两台作为示例),第二物理机中的用户层至少包括第二虚拟机(图中示出两台作为示例),每个物理机的中间层包括安全管理模块,用于实现对第一虚拟机的访问权限的控制,网桥层包括分别与物理机上的物理网卡绑定的网桥。第一虚拟机可以通过安全管理模块的控制访问第二虚拟机,实际应用中,第二虚拟机也可以和第一虚拟机位于同一台物理机。其中,每个虚拟机在创建时需要指定网桥,且每个网桥需要与所对应虚拟机所在物理机上的物理网卡绑定,用于实现不同物理机之间的通信。在网桥层,通过网桥将网络的多个网段在数据链路层连接起来,并对网络数据的流通进行管理。如此一来,物理机和之上运行的虚拟机的网卡在同一网桥上,便可以实现两者的互连。如果多个网段的物理机加入到同一网桥,便可以实现在多个网段的物理机上运行的虚拟机的互连。同时,可以构建多个网桥,创建类似多套虚拟网络。实际应用中,可以通过软件手段在物理网卡之上构建网桥,从而在物理机上构建一个虚拟网络。对应同一网桥的多个虚拟机可以互连,而对应不同网桥的虚拟机则不能互连。网桥可以是专门硬件设备,也可以由计算机加装的网桥软件来实现,这时计算机上会安装多个网络适配器(网卡)。
基于图6所示的虚拟机系统,在安全管理模块允许第一虚拟机访问第二虚拟机后,还包括:
将第一虚拟机对第二虚拟机的访问请求,通过与该虚拟机对应且与该虚拟机所在物理机上的物理网卡绑定的网桥发送至第二虚拟机,其中,第二虚拟机与第一虚拟机对应同一个网桥。
例如,若第一虚拟机和第二虚拟机在创建时设置的网桥均为网桥1,则第一虚拟机发送的访问请求在安全管理模块验证通过后(即允许第一虚拟机访问第二虚拟机),该访问请求沿图6所示系统中发送的路径如下:
第一物理机的安全管理模块→第一物理机的网桥1→第一物理机的物理网卡1→第二物理机的物理网卡1→第二物理机的网桥1→第二物理机的安全管理模块→第二虚拟机。
以上实施例中,在中间层,根据用户需求实现不同用户虚拟机的隔离,根据应用把用户虚拟机分成若干安全标识,实现安全标识之间的隔离,以及多用户的相同安全标识虚拟机之间的交互。
本发明实施例中,网桥可以在虚拟机构建时产生,具体地,可以通过Linux的brctl命令构建网桥,把网桥绑定在物理机的网卡上。下面以Centos 5.2系统为例,创建网桥的过程如下:
brctl addbr xenbr.eth0 #创建网桥
brctl addif xenbr.eth0 eth0 #向网桥中添加网卡eth0
ifconfig xenbr.eth0 up #启动网桥
在实施例一提供的以上技术方案的基础上,用户还可以根据需求创建自身的虚拟
机的用户安全模式。在用户虚拟机中,用户可以在用户层根据需求创建虚拟机的用户安全
模式。如Linux系统中,用户可以用iptables构建用户层的虚拟机安全策略。iptables是与
2.4.x版本及之后版本的Linux内核集成的IP信息包过滤系统。iptables是一种功能强大的
工具,可用于添加、编辑和除去规则,这些规则是在做信息包过滤决定时,防火墙所遵循和
组成的规则。这些规则存储在专用的信息包过滤表中,而这些表集成在Linux内核中。例如:
允许访问虚拟机的80端口,可在虚拟机上添加iptables规则:iptables-IINPUT--
dporr 80 -j ACCEPT
不允许192.168.32.*网段访问虚拟机,可在虚拟机上添加iptables规则:
iptables-A INPUT-s 192.168.32.1/24-j DROP
需要指出的是,用户层的虚拟机安全策略并不能影响中间层的安全管理机制。中间层的安全管理是在物理机操作系统中完成的。
实施例二
本发明实施例二提供了虚拟机访问权限的控制装置,基于该装置能够根据虚拟机的安全性要求实现对虚拟机的安全控制。
如图7所示,本发明实施例二提供的虚拟机访问权限的控制装置,主要包括:
接收单元701、安全标识确定单元702以及权限控制单元703;
其中:
接收单元701,用于接收第一虚拟机发送的对第二虚拟机的访问请求;
安全标识确定单元702,用于根据接收单元701接收的访问请求,确定第一虚拟机以及第二虚拟机分别对应的安全标识;
权限控制单元703,用于在比较安全标识确定单元702确定的安全标识一致后,允许第一虚拟机访问第二虚拟机。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的安全标识确定单元702,具体用于:
从接收单元701接收的访问请求中获取携带的第一虚拟机以及第二虚拟机分别对应的虚拟机ID,并根据获取的虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定第一虚拟机以及第二虚拟机分别对应的安全标识。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的安全标识确定单元702,具体用于:
从接收单元接收的访问请求中获取携带的第一虚拟机的MAC地址,获取该MAC地址中携带的第一虚拟机的安全标识;以及
从接收单元接收的访问请求中获取携带的第二虚拟机的虚拟机ID,并根据获取的虚拟机ID以及保存的各虚拟机ID,以及安全标识的对应关系,确定第二虚拟机对应的安全标识。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的安全标识确定单元702,具体用于:
从接收单元接收的访问请求中获取携带的第一虚拟机的虚拟机ID,并根据获取的虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定第一虚拟机对应的安全标识;以及
从接收单元接收的访问请求中获取携带的第二虚拟机的MAC地址,并获取该MAC地址中携带的第二虚拟机的安全标识。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的安全标识确定单元702,具体用于:
从访问请求中获取携带的第一虚拟机的MAC地址以及第二虚拟机的MAC地址;
获取第一虚拟机的MAC地址携带的所述第一虚拟机对应的安全标识;以及获取第二虚拟机的MAC地址携带的所述第二虚拟机对应的安全标识。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的权限控制单元703,还用于:
在允许第一虚拟机访问第二虚拟机之前,确定第二虚拟机对应的安全标识为公有安全标识;或确定第二虚拟机对应的安全标识为私有安全标识,并且确定第一虚拟机以及第二虚拟机分别对应的用户ID一致。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的权限控制单元703,具体用于:
根据确定第一虚拟机以及第二虚拟机对应的安全标识时获取的第一虚拟机以及第二虚拟机分别对应的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第一虚拟机以及第二虚拟机分别对应的用户ID;或
根据确定第一虚拟机对应的安全标识时获取的第一虚拟机的MAC地址,获取MAC地址中携带的第一虚拟机的用户ID;以及根据确定第二虚拟机对应的安全标识时获取的第二虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第二虚拟机对应的用户ID;或
根据确定第一虚拟机对应的安全标识时获取的第一虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定第一虚拟机对应的用户ID;以及根据确定第二虚拟机对应的安全标识时获取的第二虚拟机的MAC地址,获取第二虚拟机对应的MAC地址中携带的第二虚拟机对应的用户ID;或
根据确定第一虚拟机以及第二虚拟机对应的安全标识时获取的第一虚拟机以及第二虚拟机分别对应的MAC地址,获取第一虚拟机对应的MAC地址中携带的第一虚拟机对应的用户ID,以及获取第二虚拟机对应的MAC地址中携带的第二虚拟机对应的用户ID。
本发明实施例二提供的一个优选实施方式中,图7所示装置包括的权限控制单元703,还用于:
在允许第一虚拟机访问第二虚拟机后,将第一虚拟机对第二虚拟机的访问请求,通过与第一虚拟机以及第二虚拟机分别对应的网桥发送至第二虚拟机,其中,网桥分别与第一虚拟机以及第二虚拟机所在的物理机的物理网卡绑定。
应当理解,以上虚拟机访问权限的控制装置包括的单元仅为根据该装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的装置所实现的功能与上述实施例一提供的虚拟机访问权限的控制方法流程一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例一中已做详细描述,此处不再详细描述。
实施例三
本发明实施例三提供了虚拟机访问权限的控制系统,基于该系统能够根据虚拟机的安全性要求实现对虚拟机的安全控制。
如图8所示,本发明实施例三提供的虚拟机访问权限的控制系统,主要包括:
第一虚拟机801、虚拟机访问权限控制装置802以及第二虚拟机803;
其中:
第一虚拟机801,用于向所述虚拟机访问权限控制装置发送对第二虚拟机的访问请求;
虚拟机访问权限控制装置802,用于根据所述第一虚拟机发送的对第二虚拟机的访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,并在比较确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机。
应当理解,以上虚拟机访问权限的控制系统包括的虚拟机访问权限的控制装置所实现的功能与上述实施例二提供的虚拟机访问权限的控制装置对应,对于该装置所实现的更为详细的处理流程,在上述实施例二中已做详细描述,此处不再详细描述。
本发明提供的上述实施例可以在Linux操作系统之上实现,通过xen、kvm、vmware、
hypervisor等创建用户虚拟机。这些用户虚拟机操作系统包括Linux、Windows等。在Linux
操作系统之上,安装brctl和ebtables、iptables等软件包,本发明利用这些软件包实现虚
拟机的安全管理机制。
进一步地,根据本发明实施例提供的技术方案,在弹性计算云平台中,还可以满足用户如下需求:
(1)虚拟机的网络隔离。
每个用户拥有独立的数据空间,为保证用户数据的安全性,不同用户之间的虚拟机实例需要实现网络隔离。本发明提供的技术方案根据用户应用需求构建虚拟机的安全标识,通过区分安全标识来控制虚拟机访问权限,实现了不同用户虚拟机的网络隔离。
(2)多个物理机上虚拟机的网络交互。
用户使用的多个虚拟机实例或者不同用户的虚拟机之间需要达到计算能力和用户数据的共享,而这多个虚拟机实例可能分配运行在多个物理服务器上,因此跨物理服务器的虚拟机之间的交互很有必要。本发明通过网桥实现不同物理机上的虚拟机的通信,从而实现了多个物理机上虚拟机的网络交互。
(3)安全标识模式。
每个安全标识包括一系列的虚拟机实例,这些虚拟机实例可能由多个用户创建,也可能由一个用户创建。具体地,安全标识模式主要包括两种形式,一是用户的虚拟机实例上可能运行多个应用,应用所在的虚拟机之间需要隔离,每种应用的虚拟机实例可以设置在一个私有安全标识里;二是多个用户的虚拟机实例上运行相同的应用,这些虚拟机实例上需要交互,相同应用的虚拟机实例可以设置为跨多用户的公有安全标识。本发明实施例通过设置公有安全标识和私有安全标识实现了上述目的。
(4)用户模式。用户可以根据应用或业务需求设置自己的网络安全模式。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (17)
1.一种虚拟机访问权限的控制方法,其特征在于,所述方法应用于虚拟机系统,所述虚拟机系统包括用户层和中间层,所述方法包括:
所述中间层接收位于所述用户层的第一虚拟机发送的对第二虚拟机的访问请求;
根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识;其中,虚拟机的安全标识是在用户层根据用户应用需求构建的;
在比较确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机;
在比较确定的所述安全标识不一致后,拒绝所述第一虚拟机访问所述第二虚拟机。
2.如权利要求1所述的方法,其特征在于,根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,包括:
从所述访问请求中获取携带的所述第一虚拟机以及所述第二虚拟机分别对应的虚拟机标识ID;
根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识。
3.如权利要求1所述的方法,其特征在于,根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,包括:
从所述访问请求中获取携带的所述第一虚拟机的MAC地址,获取所述MAC地址中携带的所述第一虚拟机的安全标识;以及
从所述访问请求中获取携带的所述第二虚拟机的虚拟机ID,并根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第二虚拟机对应的安全标识。
4.如权利要求1所述的方法,其特征在于,根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,包括:
从所述访问请求中获取携带的所述第一虚拟机的虚拟机ID,并根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第一虚拟机对应的安全标识;以及
从所述访问请求中获取携带的所述第二虚拟机的MAC地址,获取所述MAC地址中携带的所述第二虚拟机的安全标识。
5.如权利要求1所述的方法,其特征在于,根据所述访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,包括:
从所述访问请求中获取携带的所述第一虚拟机以及所述第二虚拟机分别对应的MAC地址;
获取所述第一虚拟机对应的MAC地址中携带的所述第一虚拟机的安全标识,以及获取所述第二虚拟机对应的MAC地址中携带的所述第二虚拟机的安全标识。
6.如权利要求1所述的方法,其特征在于,允许所述第一虚拟机访问所述第二虚拟机之前,还包括:
确定所述第二虚拟机对应的安全标识为公有安全标识;或
确定所述第二虚拟机对应的安全标识为私有安全标识,并且确定所述第一虚拟机以及所述第二虚拟机分别对应的用户ID一致。
7.如权利要求6所述的方法,其特征在于,所述第一虚拟机以及所述第二虚拟机分别对应的用户ID的确定方式,包括:
根据确定所述第一虚拟机以及所述第二虚拟机对应的安全标识时获取的所述第一虚拟机以及所述第二虚拟机分别对应的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第一虚拟机以及所述第二虚拟机分别对应的用户ID;或
根据确定所述第一虚拟机对应的安全标识时获取的所述第一虚拟机的MAC地址,获取所述MAC地址中携带的所述第一虚拟机对应的用户ID;以及根据确定所述第二虚拟机对应的安全标识时获取的所述第二虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第二虚拟机对应的用户ID;或
根据确定所述第一虚拟机对应的安全标识时获取的第一虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第一虚拟机对应的用户ID;以及根据确定所述第二虚拟机对应的安全标识时获取的所述第二虚拟机的MAC地址,获取所述MAC地址中携带的所述第二虚拟机对应的用户ID;或
根据确定所述第一虚拟机以及所述第二虚拟机对应的安全标识时获取的所述第一虚拟机以及所述第二虚拟机分别对应的MAC地址,获取所述第一虚拟机对应的MAC地址中携带的所述第一虚拟机对应的用户ID,以及获取所述第二虚拟机对应的MAC地址携带的所述第二虚拟机对应的用户ID。
8.如权利要求1所述的方法,其特征在于,允许所述第一虚拟机访问所述第二虚拟机后,还包括:
将所述第一虚拟机对第二虚拟机的访问请求,通过与所述第一虚拟机以及第二虚拟机分别对应的网桥发送至所述第二虚拟机,其中,所述网桥分别与所述第一虚拟机以及所述第二虚拟机所在的物理机的物理网卡绑定。
9.一种虚拟机访问权限的控制系统,其特征在于,所述控制系统应用于虚拟机系统,所述虚拟机系统包括用户层和中间层,所述控制系统包括:
位于用户层的第一虚拟机、第二虚拟机以及位于中间层的虚拟机访问权限控制装置;
其中:
所述第一虚拟机,用于向所述虚拟机访问权限控制装置发送对第二虚拟机的访问请求;
所述虚拟机访问权限控制装置,用于根据所述第一虚拟机发送的对第二虚拟机的访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识,并在比较确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机,在比较确定的所述安全标识不一致后,拒绝所述第一虚拟机访问所述第二虚拟机,其中,虚拟机的安全标识是在用户层根据用户应用需求构建的。
10.一种虚拟机访问权限的控制装置,其特征在于,所述装置应用于虚拟机系统,所述虚拟机系统包括用户层和中间层,所述装置位于所述中间层,包括:
接收单元,用于接收位于所述用户层的第一虚拟机发送的对第二虚拟机的访问请求;
安全标识确定单元,用于根据所述接收单元接收的访问请求,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识;其中,虚拟机的安全标识是在用户层根据用户应用需求构建的;
权限控制单元,用于在比较所述安全标识确定单元确定的所述安全标识一致后,允许所述第一虚拟机访问所述第二虚拟机,以及在比较确定的所述安全标识不一致后,拒绝所述第一虚拟机访问所述第二虚拟机。
11.如权利要求10所述的装置,其特征在于,所述安全标识确定单元,具体用于:
从所述接收单元接收的访问请求中获取携带的所述第一虚拟机以及所述第二虚拟机分别对应的虚拟机ID,并根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第一虚拟机以及所述第二虚拟机分别对应的安全标识。
12.如权利要求10所述的装置,其特征在于,所述安全标识确定单元,具体用于:
从所述接收单元接收的访问请求中获取携带的所述第一虚拟机的MAC地址,获取所述MAC地址中携带的所述第一虚拟机的安全标识;以及
从所述接收单元接收的访问请求中获取携带的所述第二虚拟机的虚拟机ID,并根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第二虚拟机对应的安全标识。
13.如权利要求10所述的装置,其特征在于,所述安全标识确定单元,具体用于:
从所述接收单元接收的访问请求中获取携带的所述第一虚拟机的虚拟机ID,并根据获取的所述虚拟机ID,以及保存的各虚拟机ID以及安全标识的对应关系,确定所述第一虚拟机对应的安全标识;以及
从所述接收单元接收的访问请求中获取携带的所述第二虚拟机的MAC地址,获取所述MAC地址中携带的所述第二虚拟机的安全标识。
14.如权利要求10所述的装置,其特征在于,所述安全标识确定单元,具体用于:
从所述访问请求中获取携带的所述第一虚拟机的MAC地址以及所述第二虚拟机的MAC地址;
获取所述第一虚拟机的MAC地址携带的所述第一虚拟机对应的安全标识;以及获取所述第二虚拟机的MAC地址携带的所述第二虚拟机对应的安全标识。
15.如权利要求10所述的装置,其特征在于,所述权限控制单元,还用于:
在允许所述第一虚拟机访问所述第二虚拟机之前,确定所述第二虚拟机对应的安全标识为公有安全标识;或确定所述第二虚拟机对应的安全标识为私有安全标识,并且确定所述第一虚拟机以及所述第二虚拟机分别对应的用户ID一致。
16.如权利要求15所述的装置,其特征在于,所述权限控制单元,具体用于:
根据确定所述第一虚拟机以及所述第二虚拟机对应的安全标识时获取的所述第一虚拟机以及所述第二虚拟机分别对应的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第一虚拟机以及所述第二虚拟机分别对应的用户ID;或
根据确定所述第一虚拟机对应的安全标识时获取的所述第一虚拟机的MAC地址,获取所述MAC地址中携带的所述第一虚拟机对应的用户ID;以及根据确定所述第二虚拟机对应的安全标识时获取的所述第二虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第二虚拟机对应的用户ID;或
根据确定所述第一虚拟机对应的安全标识时获取的第一虚拟机的虚拟机ID,以及保存的各虚拟机ID以及用户ID的对应关系,确定所述第一虚拟机对应的用户ID;以及根据确定所述第二虚拟机对应的安全标识时获取的所述第二虚拟机的MAC地址,获取所述MAC地址中携带的所述第二虚拟机对应的用户ID;或
根据确定所述第一虚拟机以及所述第二虚拟机对应的安全标识时获取的所述第一虚拟机以及所述第二虚拟机分别对应的MAC地址,获取所述第一虚拟机对应的MAC地址中携带的所述第一虚拟机对应的用户ID,以及获取所述第二虚拟机对应的MAC地址携带的所述第二虚拟机对应的用户ID。
17.如权利要求10所述的装置,其特征在于,所述权限控制单元,还用于:
在允许所述第一虚拟机访问所述第二虚拟机后,将所述第一虚拟机对第二虚拟机的访问请求,通过与所述第一虚拟机以及第二虚拟机分别对应的网桥发送至所述第二虚拟机,其中,所述网桥分别与所述第一虚拟机以及所述第二虚拟机所在的物理机的物理网卡绑定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010594536.2A CN102571698B (zh) | 2010-12-17 | 2010-12-17 | 一种虚拟机访问权限的控制方法、系统及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010594536.2A CN102571698B (zh) | 2010-12-17 | 2010-12-17 | 一种虚拟机访问权限的控制方法、系统及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102571698A CN102571698A (zh) | 2012-07-11 |
CN102571698B true CN102571698B (zh) | 2017-03-22 |
Family
ID=46416186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010594536.2A Expired - Fee Related CN102571698B (zh) | 2010-12-17 | 2010-12-17 | 一种虚拟机访问权限的控制方法、系统及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102571698B (zh) |
Families Citing this family (32)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102929690A (zh) * | 2012-11-07 | 2013-02-13 | 曙光云计算技术有限公司 | 虚拟机访问控制的方法和装置 |
CN103229489B (zh) * | 2012-12-21 | 2016-05-25 | 华为技术有限公司 | 虚拟机控制策略的配置方法和交换机 |
US9170956B2 (en) * | 2013-02-07 | 2015-10-27 | Texas Instruments Incorporated | System and method for virtual hardware memory protection |
CN104469762A (zh) * | 2013-09-12 | 2015-03-25 | 西安龙飞网络科技有限公司 | 一种3g/wifi无线路由器用户分级控制方法 |
CN104519026B (zh) * | 2013-09-30 | 2018-11-30 | 中国电信股份有限公司 | 虚拟机的安全接入控制实现方法和系统 |
CN104580314A (zh) * | 2013-10-24 | 2015-04-29 | 中国移动通信集团广东有限公司 | 一种云计算系统数据隔离的方法、装置及终端 |
CN103533088A (zh) * | 2013-11-01 | 2014-01-22 | 中国联合网络通信集团有限公司 | 虚拟机之间的通信方法、设备和系统 |
CN103595826B (zh) * | 2013-11-01 | 2016-11-02 | 国云科技股份有限公司 | 一种防止虚拟机ip和mac伪造的方法 |
CN103560948B (zh) * | 2013-11-01 | 2016-11-02 | 中国联合网络通信集团有限公司 | 虚拟机之间的通信方法、设备和系统 |
CN104702566B (zh) * | 2013-12-06 | 2021-08-06 | 苏州海博智能系统有限公司 | 一种虚拟设备的授权使用方法及装置 |
CN103685605A (zh) * | 2013-12-20 | 2014-03-26 | 国云科技股份有限公司 | 一种检测虚拟机ip冲突的方法 |
CN104901923B (zh) | 2014-03-04 | 2018-12-25 | 新华三技术有限公司 | 一种虚拟机访问装置和方法 |
CN105450430B (zh) * | 2014-07-17 | 2019-02-26 | 华为技术有限公司 | 一种信息传输方法及装置 |
CN104239122B (zh) * | 2014-09-04 | 2018-05-11 | 华为技术有限公司 | 一种虚拟机迁移方法和装置 |
CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
CN105991558B (zh) * | 2015-02-04 | 2019-09-17 | 中国移动通信集团公司 | 一种移动网云化场景下安全模式协商方法、装置和设备 |
CN105491020B (zh) * | 2015-11-24 | 2019-01-29 | 上海市共进通信技术有限公司 | 实现智能设备的操作系统中程序访问ip地址限制的方法 |
CN105376345B (zh) * | 2015-11-27 | 2019-01-25 | 曙光信息产业(北京)有限公司 | 一种云平台安全处理方法、控制器和云计算系统 |
CN105511940B (zh) * | 2015-11-30 | 2019-02-01 | 云宏信息科技股份有限公司 | 一种Xen虚拟化中授权虚拟机访问Xenstore的方法及系统 |
US20170180325A1 (en) * | 2015-12-22 | 2017-06-22 | Intel Corporation | Technologies for enforcing network access control of virtual machines |
CN105592088A (zh) * | 2015-12-24 | 2016-05-18 | 北京奇虎科技有限公司 | 一种虚拟机流量的监控方法及装置、终端 |
CN105872059B (zh) * | 2016-03-31 | 2019-08-09 | 北京奇艺世纪科技有限公司 | 一种远程执行方法及装置 |
CN108111471B (zh) * | 2016-11-25 | 2021-05-11 | 中国电信股份有限公司 | 报文的处理方法、系统及vtep |
CN107085535B (zh) * | 2017-03-30 | 2020-10-27 | 联想(北京)有限公司 | 一种信息处理方法及电子设备 |
CN107484037A (zh) * | 2017-09-22 | 2017-12-15 | 上海斐讯数据通信技术有限公司 | 一种实现无线接入设备控制视频流的方法及系统 |
CN107948061B (zh) * | 2017-11-23 | 2021-11-12 | 成都智蜂网科技有限责任公司 | 基于桥接可分流的热备双路由系统及其控制方法 |
CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
US11240160B2 (en) * | 2018-12-28 | 2022-02-01 | Alibaba Group Holding Limited | Method, apparatus, and computer-readable storage medium for network control |
CN110471744B (zh) * | 2019-08-20 | 2021-11-30 | 北京首都在线科技股份有限公司 | 密码修改方法、装置、设备和计算机可读存储介质 |
CN111522638B (zh) * | 2020-04-14 | 2023-09-19 | 高明飞 | 一种云计算资源池管理方法及装置 |
CN113765884A (zh) * | 2021-07-29 | 2021-12-07 | 苏州浪潮智能科技有限公司 | 一种跨网络的文件强制访问控制方法、装置、系统 |
CN113965376B (zh) * | 2021-10-21 | 2023-09-19 | 合肥城市云数据中心股份有限公司 | 一种基于数据隔离平台的云主机远程数据通信方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
CN101008903A (zh) * | 2006-01-23 | 2007-08-01 | 联想(北京)有限公司 | 一种虚拟机系统及其设备访问方法 |
CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和系统 |
US7793101B2 (en) * | 2006-10-19 | 2010-09-07 | Novell, Inc. | Verifiable virtualized storage port assignments for virtual machines |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101119383B (zh) * | 2007-09-19 | 2010-07-21 | 杭州华三通信技术有限公司 | 目标端和发起端建立iSCSI会话的方法及设备 |
GB2460393B (en) * | 2008-02-29 | 2012-03-28 | Advanced Risc Mach Ltd | A data processing apparatus and method for controlling access to secure memory by virtual machines executing on processing circuitry |
CN101452397B (zh) * | 2008-11-27 | 2012-08-22 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
-
2010
- 2010-12-17 CN CN201010594536.2A patent/CN102571698B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
CN101008903A (zh) * | 2006-01-23 | 2007-08-01 | 联想(北京)有限公司 | 一种虚拟机系统及其设备访问方法 |
US7793101B2 (en) * | 2006-10-19 | 2010-09-07 | Novell, Inc. | Verifiable virtualized storage port assignments for virtual machines |
CN101605084A (zh) * | 2009-06-29 | 2009-12-16 | 北京航空航天大学 | 基于虚拟机的虚拟网络报文处理方法和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102571698A (zh) | 2012-07-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102571698B (zh) | 一种虚拟机访问权限的控制方法、系统及装置 | |
US11500670B2 (en) | Computing service with configurable virtualization control levels and accelerated launches | |
US11218364B2 (en) | Network-accessible computing service for micro virtual machines | |
CN108780410B (zh) | 计算系统中的容器的网络虚拟化 | |
US10176020B2 (en) | Dynamic management of computing platform resources | |
US11469964B2 (en) | Extension resource groups of provider network services | |
CN109254831B (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
CN105684357A (zh) | 虚拟机中地址的管理 | |
CN110088732A (zh) | 一种数据包处理方法、主机和系统 | |
CN107846313B (zh) | 一种网络服务模板生成的方法及网络设备 | |
TWI752412B (zh) | 用於安全介面控制安全儲存硬體標記之電腦實施的方法、電腦系統及電腦程式產品 | |
US10666572B2 (en) | Dynamic management of computing platform resources | |
CN106878204B (zh) | 一种虚拟机的创建方法和装置 | |
US10223170B2 (en) | Dynamic management of computing platform resources | |
CN103685608A (zh) | 一种自动配置安全虚拟机ip地址的方法及装置 | |
CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
CN106209423B (zh) | 虚拟桌面分配方法及装置 | |
CN106130765B (zh) | 虚拟桌面分配方法及装置 | |
CN112637111B (zh) | 虚拟化云平台系统 | |
JP7212158B2 (ja) | プロバイダネットワークサービス拡張 | |
US11537425B2 (en) | Methods for application deployment across multiple computing domains and devices thereof | |
CN114039751A (zh) | 一种网络动态感知装置、系统和方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170322 |