CN103457933A - 一种虚拟机迁移安全策略动态配置系统和方法 - Google Patents
一种虚拟机迁移安全策略动态配置系统和方法 Download PDFInfo
- Publication number
- CN103457933A CN103457933A CN201310356147XA CN201310356147A CN103457933A CN 103457933 A CN103457933 A CN 103457933A CN 201310356147X A CN201310356147X A CN 201310356147XA CN 201310356147 A CN201310356147 A CN 201310356147A CN 103457933 A CN103457933 A CN 103457933A
- Authority
- CN
- China
- Prior art keywords
- security
- policy
- module
- strategy
- host node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明涉及一种虚拟机迁移安全策略动态配置系统和方法,在源主机节点和目标主机节点上均设置策略代理模块,安全管理中心分别连接安全策略库和策略协调模块,策略协调模块还与所有策略代理模块连接;其中安全管理中心查询安全策略数据库判断本地安全策略中间值是否违背全局安全策略,如果违背则将本地安全策略中间值调整为安全策略最终值,否则将本地安全策略中间值设定为安全策略最终值。由于在生成安全策略最终值的过程中引入全局安全策略,安全策略最终值无论如何都不能违背该全局安全策略,将虚拟机迁移后在目标主机节点上的局部安全策略调整纳入到全局安全策略规划中,从而有效地防止虚拟机迁移前后整体安全性的降低。
Description
技术领域
本发明涉及一种信息安全系统和方法,具体涉及一种虚拟机迁移安全策略动态配置系统和方法。
背景技术
云计算是一种面向互联网的分布式计算服务,作为IT资源和服务的一种交付使用模型,它可以实现随时随地、便捷的、按需的从可配置计算资源共享池中获取所需的资源(如网络、服务器、存储、应用、服务等),这些资源可以被迅速提供并发布,同时最小化管理成本或服务提供商的干涉。在云计算环境下,安全策略的实施由于网络的虚拟化而面临诸多难点,虚拟化使得传统网络边界模糊,按照虚拟机方式划分的不同网络不在受到物理网络边界的限制,导致安全策略的部署和维护变的更加复杂,需要为各种安全服务组件提供一种适当的安全策略部署和维护模式。
虚拟机的动态迁移是云计算的特性之一,虚拟机会根据各种负载均衡策略以及安全管理及维护策略,进行动态迁移、部署、撤销等操作,由负载较重的源主机节点上迁移到负载较轻的目标主机节点上,保证不同平台的硬件资源充分利用。但是虚拟机的动态迁移将导致原有为虚拟机所设定的运行环境、安全策略失效的问题,比如,因为虚拟机的迁移,使得配置的网络访问规则在不同的主机服务器上不一致,就会使的迁移后的虚拟机面临网络安全风险。
要解决因虚拟机迁移而带来安全风险,通常需要跟踪虚拟机启动、关闭、创建、迁移和删除等操作,根据不同状态采取相应措施(如安全策略动态调整、策略跟随等),保证虚拟机迁移时安全策略一致性。在现有的虚拟化管理软件和平台化软件产品中,虚拟机迁移是常备功能之一,这类虚拟机迁移的解决方案并没有从安全的角度来考虑虚拟机迁移后是否能够保障系统整体的安全性,而只是简单调整迁移后虚拟机的网络访问策略,确保虚拟机迁移前后的网络服务连续性,而对该虚拟机的安全控制涉及的很少或没有考虑。这样即使虚拟机能够成功从源主机节点迁移到目标主机节点,并能保证服务连续性,却仍然暴露在网络安全风险之下,相当于在虚拟机迁移之后,系统的整体安全性降低了。
另外,现有的虚拟机迁移安全解决方案并没有从全局的角度来考虑安全策略的配置管理,这样会导致在迁移前后对安全策略的管理比较复杂,涉及到迁移虚拟机出入口的所有安全访问策略,以及和它相关联的其他虚拟机的安全策略配置,一旦迁移过程频繁发生,那么这种对策略的更新和同步将变的异常复杂。
发明内容
本发明针对现有技术中在虚拟机发生迁移时不能够保证系统的整体安全性问题,提出一种能够自动发现迁移的源主机节点的地址和目标主机节点的地址,并对迁移前后虚拟机的运行环境的安全状态所对应的安全策略进行对比分析、统一协调和相应修改,确保系统整体在虚拟机发生迁移前后的安全性保持一致的虚拟机迁移安全策略动态配置系统;以及实现该系统的方法。
本发明的技术方案如下:
一种虚拟机迁移安全策略动态配置系统,其特征在于:它包括安全管理中心、策略协调模块、策略代理模块和全局安全策略库,在源主机节点和目标主机节点上均设置所述策略代理模块,所述安全管理中心分别连接所述安全策略库和策略协调模块,所述策略协调模块还与所有所述策略代理模块连接;设置在所述源主机节点上的策略代理模块用于向所述策略协调模块提供所述源主机节点的安全状态信息;设置在所述目标主机节点上的策略代理模块应所述策略协调模块发出的安全评估请求返回迁移参数,并执行所述策略协调模块发出的更新安全策略;所述策略协调模块用于根据所述安全状态信息触发安全评估机制并发出所述安全评估请求,根据所述迁移参数生成安全评估结果,向所述安全管理中心发出包括所述安全评估结果和迁移前所述目标主机节点的本地安全策略中间值的安全策略更新请求,接收所述安全管理中心发出的安全策略最终值后生成所述更新安全策略;所述安全管理中心用于查询所述安全策略数据库并判断所述本地安全策略中间值是否违背全局安全策略,如果违背则将所述本地安全策略中间值调整为安全策略最终值,否则将所述本地安全策略中间值设定为安全策略最终值。
所述安全状态信息包括迁移虚拟机的目标主机节点、目标主机节点的地址和源主机节点的当前安全策略参数。
所述安全管理中心设置在云数据中心中或设置在虚拟机管理平台中或为独立的安全管理中心模块。
如果将所述本地安全策略中间值更新为所述安全策略最终值,所述策略协调模块向所述安全管理中心发送更新成功应答;之后所述安全管理中心更新所述全局安全策略库。
所述安全管理中心包括策略配置管理模块,所述策略协调模块包括安全策略生成模块和安全策略缓存,所述策略代理模块包括迁移事件监控模块和策略实施模块;安全策略评估模块包括设置在策略代理模块中的下级安全策略评估模块和设置在策略协调模块中的上级安全策略评估模块。
所述策略配置管理模块用于维护和查询所述全局安全策略库,向所述安全策略生成模块发出针对所述安全策略更新请求的包含所述安全策略最终值的安全策略更新应答。
所述下级安全策略评估模块用于响应所述策略协调模块发出的安全评估请求返回迁移参数;所述上级安全策略评估模块用于根据所述迁移参数在具体情况的全局安全策略要求下,通过不同级别的安全评估方法生成安全评估结果。
所述安全策略生成模块根据所述安全评估结果,结合所述安全策略缓存中存储的迁移前所述目标主机的本地安全策略,生成所述本地安全策略中间值,并向所述策略配置管理模块发出所述安全策略更新请求;所述安全策略生成模块根据所述安全策略最终值生成更新安全策略,并将所述更新安全策略分发到所述目标主机节点的策略实施模块上。
所述安全策略缓存用于缓存所述源主机节点和目标主机节点上的所有虚拟机的本地安全策略,并实时更新。
一种实现所述虚拟机迁移安全策略动态配置系统的方法,其步骤包括:
1)设置安全管理中心和策略协调模块,在源主机节点和目标主机节点上分别设置策略代理模块;
2)所述源主机节点上的策略代理模块发现虚拟机迁移事件,获取安全状态信息,并向所述策略协调模块发送;
3)所述策略协调模块收到所述安全状态信息后启动安全评估过程,向所述目标主机节点上的策略代理模块发送安全评估请求;
4)所述目标主机节点的策略代理模块根据安全评估请求,将迁移参数发送所述策略协调模块;
5)所述策略协调模块根据所述迁移参数生成安全评估结果,同时查询本地安全策略缓存中存储的迁移前所述目标主机节点的本地安全策略后生成本地安全策略中间值;之后向所述安全管理中心发出包括安全评估结果和所述本地安全策略中间值的安全策略更新请求;
6)所述安全管理中心查询查询所述安全策略数据库判断所述本地安全策略中间值是否违背全局安全策略,如果违背则将所述本地安全策略中间值调整为安全策略最终值,否则将所述本地安全策略中间值设定为安全策略最终值;并将所述安全策略最终值下发到所述策略协调模块中;
7)所述策略协调模块根据所述安全策略最终值生成更新安全策略,并向所述目标主机节点上的策略代理模块发出的更新安全策略;
8)所述目标主机节点的策略代理模块执行更新安全策略;
9)所述策略协调模块更新安全策略缓存中的本地安全策略。
本发明的技术效果如下:
本发明的一种虚拟机迁移安全策略动态配置系统,在源主机节点和目标主机节点上均设置策略代理模块,安全管理中心分别连接安全策略库和策略协调模块,策略协调模块还与所有策略代理模块连接;其中安全管理中心查询安全策略数据库判断迁移前目标主机节点的本地安全策略中间值是否违背全局安全策略,如果违背则将本地安全策略中间值调整为安全策略最终值,否则将本地安全策略中间值设定为安全策略最终值。由于在生成安全策略最终值的过程中引入全局安全策略,安全策略最终值无论如何都不能违背该全局安全策略,将虚拟机迁移后在目标主机节点上的局部安全策略调整纳入到全局安全策略规划中,从而有效地防止虚拟机迁移前后整体安全性的降低。
本发明的策略协调模块根据目标主机节点的迁移参数生成安全评估结果,从而引入安全评估机制,使得虚拟机迁移过程中,不仅仅是获得服务连续性的特点,还能够在虚拟机运行环境发生变化时,安全功能仍然能够发挥作用。除此之外,安全评估机制依据全局安全策略的要求,采用不同级别的安全评估方法以适应不同的虚拟机安全迁移需求:即在安全等级要求严格的环境下,实现较为严格的安全评估方法;在安全等级要求一般的环境下,实现简化的安全评估方法。
本发明由于在虚拟机迁移发生时对目标主机节点的网络环境、安全域等迁移参数进行安全评估,并根据安全评估的等级选择不同的安全评估方法,因此具备一定的扩展性和兼容性,不需要关注具体的安全评估方法,满足不同安全等级需求的应用环境,也能够支持第三方安全评估工具。
本发明优化了本地安全策略和全局安全策略的更新过程,一旦虚拟机发生由源主机节点到目标主机节点迁移,安全策略缓存由于能够向安全管理中心的策略配置管理模块提供迁移前目标主机节点的本地安全策略中间值与全局安全策略相匹配,判断是否将本地安全策略中间值作为安全策略最终值,从而可节省目标主机节点的安全策略更新的效率,当虚拟机迁移频繁发生时,安全策略的更新操作效率更高。
附图说明
图1是本发明的虚拟机迁移安全策略动态配置系统结构示意图
图2是本发明的系统各部分具体结构示意图
图3是本发明的虚拟机迁移安全策略动态配置方法流程示意图
具体实施方式
下面结合附图对本发明进行说明。
在以下描述中,一些具体细节为计算机领域的技术人员提供对本发明的整体理解。在实施例中,以示意图或者框图的形式表明实现具体功能的元件,以便突出技术重点,而不会在不必要的细节方面模糊本发明。比如,由于本领域普通技术人员的理解范围中涵盖了关于网络通信、电磁信号指令技术、用户端接口或输入/输出技术等本领域中公开的、常识性的细节,因而在实施例中最大程度上省略了上述技术细节,而不认为这些细节是获得本发明完整技术方案所必须的特征。
如图1所示,本发明的虚拟机迁移安全策略动态配置系统主要包括安全管理中心1、策略协调模块2、策略代理模块3和全局安全策略库4。当设置于源主机节点5地址VM3上的虚拟机需要迁移到目标主机节点6的地址VM1上时,上述系统会分析目标主机节点6上安全策略并进行适应性修改,确保云数据中心的整体运行环境在虚拟机发生迁移前后的安全性保持一致。
策略代理模块3设置在源主机节点5和目标主机节点6上,策略代理模块3负责与策略协调模块2进行数据交换,由设置在源主机节点5上的策略代理模块3向策略协调模块2提供包括虚拟机迁移事件的发现、定位和源主机节点5的当前安全策略参数的安全状态信息,其中当前安全策略参数包括与安全策略缓存中存储的本地安全策略相同;由设置在目标主机节点6上的策略代理模块3接收策略协调模块2发出的安全评估请求,并根据安全评估请求向策略协调模块2提交包括迁移参数(包括目标主机节点6的网络环境、IP地址、安全域信息等环境变量和状态参数)的安全状态更新请求,之后接收策略协调模块2发出的更新安全策略,并在目标主机节点6上执行更新安全策略。除上述元素之外,安全状态信息还包括源主机节点5的软硬件系统配置、网络配置和安全域信息等,安全状态信息将用作在安全管理中心1中判断是否需要将迁移前目标主机节点6的本地安全策略中间值更新为安全策略最终值的依据。
策略协调模块2设置在安全管理中心1一侧,在接收到设置在源主机节点5上的策略代理模块3发出的虚拟机迁移事件的安全状态信息后,触发安全评估机制,向目标主机节点6上的策略代理模块3发送安全评估请求;接收到目标主机节点6的迁移参数后生成安全评估结果,在查询本地安全策略缓存中存储的目标主机节点6的本地安全策略后生成本地安全策略中间值,之后向安全管理中心1发出对目标主机节点6的包括安全状态信息、迁移参数、安全评估结果和本地安全策略中间值的安全策略更新请求;策略协调模块2接收安全管理中心1针对安全策略更新请求的包含安全策略最终值的安全策略更新应答,根据安全策略最终值生成更新安全策略,之后向设置在目标主机节点6上的策略代理模块3发出的更新安全策略;策略代理模块3执行更新安全策略后,向安全管理中心1返回更新成功应答。
安全管理中心1通常设置在云数据中心中,也可设置在虚拟机管理平台中,或以独立的安全管理中心模块的形式存在。在本实施例中,安全管理中心1主要负责但不限于对云数据中心的整体运行环境进行安全策略的配置管理,并维护与之连接的全局安全策略数据库4。安全管理中心1同策略协调模块2进行通信,获取由策略协调模块2输入的安全策略更新请求(包括安全状态信息、迁移参数、安全评估结果和本地安全策略中间值);安全管理中心1查询全局安全策略数据库4并综合了安全状态信息、迁移参数、安全评估结果之后,判断本地安全策略中间值是否违背全局安全策略,如果违背,则调整本地安全策略中间值生成安全策略最终值,否则,认可本地安全策略中间值即为安全策略最终值;并将包含安全策略最终值的安全策略更新应答下发到策略协调模块2中。
安全策略最终值的生成方法具体包括:从本地安全策略中间值的中间值规则中提取规则关联方,比如源主机节点和目标主机节点的标识;之后依据规则关联方,从全局安全策略数据库4中查询相关规则,比较中间值规则是否同全局安全策略规则相违背;如果违背,则放弃该中间值规则,以查询出的全局安全策略规则为安全策略最终值,如果不违背,则直接将该中间值规则作为安全策略最终值。
如图2所示,本实施例中,安全管理中心1具体包括策略配置管理模块11;策略协调模块2具体包括安全策略生成模块21、安全策略缓存22、安全策略分发模块23;策略代理模块3具体包括迁移事件监控模块31和策略实施模块32。
策略配置管理模块11主要用于管理维护全局安全策略库4,还负责通过联系策略协调模块2中的安全策略生成模块21,发出针对安全策略更新请求的包含安全策略最终值的安全策略更新应答,对迁移到目标主机节点6上的虚拟机的安全策略进行统一协调和更新,以确保全局安全策略的一致性,保证迁移前后系统的整体安全性不变。
安全策略评估模块分为上级安全策略评估模块24和下级安全策略评估模块34两部分。其中,下级安全策略评估模块34设置在策略代理模块3中,它主要是响应策略协调模块2发出的安全评估请求,并根据安全评估请求返回目标主机节点6的迁移参数,实现对目标主机节点6环境变量及状态参数的收集和反馈。上级安全策略评估模块24设置在策略协调模块2中,在接收到目标主机节点6的迁移参数后,依据具体情况下的全局安全策略的要求,通过不同级别的安全评估方法生成安全评估结果,以适应不同的虚拟机安全迁移需求:即在安全等级要求严格的环境下,实现较为严格的安全评估方法;在安全等级要求一般的环境下,实现简化的安全评估方法。
安全策略生成模块21根据上级安全评估模块24生成的安全评估结果,结合安全策略缓存22中存储的关于迁移前该虚拟机的本地安全策略,生成迁移前目标主机节点6的本地安全策略中间值,并向策略配置管理模块11发出对目标主机节点6的包括迁移参数、安全评估结果和本地安全策略中间值的安全策略更新请求。安全策略生成模块21还接收来自策略配置管理模块11的包含安全策略最终值的安全策略更新应答,将目标主机节点6的本地安全策略中间值更新为安全策略最终值,并根据安全策略最终值生成更新安全策略,之后调用安全策略分发模块23将更新安全策略分发到目标主机节点6的策略实施模块32上。
安全策略缓存22用于缓存策略协调模块2所连接的源主机节点5和目标主机节点6上的所有虚拟机在迁移前的本地安全策略(包括本地安全策略中间值),并实时更新。一旦虚拟机发生由源主机节点5到目标主机节点6迁移,安全策略缓存22由于能够向安全管理中心1的策略配置管理模块11提供目标主机节点6的本地安全策略中间值与全局安全策略相匹配,判断是否将本地安全策略中间值作为安全策略最终值,从而可节省目标主机节点6的安全策略更新的效率。
安全策略分发模块23用于将包含安全策略最终值的更新后的安全策略分发到目的地主机节点6上,并向安全管理中心1转交由策略代理模块3中策略实施模块32发出的更新成功应答。
迁移事件监控模块31用于对源主机节点5上发生的虚拟机迁移事件进行监控,能够获取迁移虚拟机的目标主机节点6、源主机节点5的当前安全策略参数、目标主机节点6的地址等安全状态信息,并向策略协调模块2中的上级安全策略评估模块24提供上述安全状态信息。
策略实施模块32用于将安全策略生成模块21发出的更新安全策略部署到目标主机节点6中,并向安全策略分发模块23发出更新成功应答。
如图3所示,本发明的虚拟机迁移安全策略动态配置方法包括以下步骤:
1)在云数据中心、虚拟机管理平台或独立的安全管理中心模块上设置安全管理中心1,在安全管理中心1一侧设置策略协调模块2,在源主机节点5和目标主机节点6上设置策略代理模块3;上级安全策略评估模块24设置在策略协调模块2中,下级安全策略评估模块34设置在策略代理模块3中;
2)源主机节点5上的策略代理模块3发现虚拟机迁移事件,并获取迁移虚拟机的目标主机节点6、源主机节点5的当前安全策略参数、目标主机节点6的地址等安全状态信息;
3)策略协调模块2接收到源主机节点5上策略代理模块3发出的安全状态信息后,启动安全评估过程,向目标主机节点6上的策略代理模块3发送安全评估请求;
4)目标主机节点6的策略代理模块3根据安全评估请求,将安全评估过程需要的目标主机节点6的迁移参数的安全状态更新请求返回给策略协调模块2;
5)策略协调模块2根据迁移参数,依据具体情况下的全局安全策略的要求,通过不同级别的安全评估方法生成安全评估结果;策略协调模块2在查询本地安全策略缓存中存储的本地安全策略后生成本地安全策略中间值;之后向安全管理中心1发出对目标主机节点6的包括迁移参数、安全评估结果和本地安全策略中间值的安全策略更新请求;
6)安全管理中心1查询全局安全策略库4,判断本地安全策略中间值是否违背全局安全策略,如果违背,则调整本地安全策略中间值生成安全策略最终值;否则,认可本地安全策略中间值即为安全策略最终值;并将包含安全策略最终值的安全策略更新应答下发到策略协调模块2中;
7)策略协调模块2根据安全策略最终值生成更新安全策略,之后向设置在目标主机节点6上的策略代理模块3发出的更新安全策略;
8)目标主机节点6的策略代理模块3执行更新安全策略后,向策略协调模块2返回更新成功应答;
9)策略协调模块2更新安全策略缓存中的本地安全策略;
10)如果需要将本地安全策略中间值更新为安全策略最终值,则策略协调模块2向安全管理中心1发送更新成功应答;安全管理中心1根据安全策略最终值的变化更新全局安全策略库4。
应当指出,以上所述具体实施方式可以使本领域的技术人员更全面地理解本发明创造,但不以任何方式限制本发明创造。因此,尽管本说明书参照附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换,总之,一切不脱离本发明创造的精神和范围的技术方案及其改进,其均应涵盖在本发明创造专利的保护范围当中。
Claims (10)
1.一种虚拟机迁移安全策略动态配置系统,其特征在于:它包括安全管理中心、策略协调模块、策略代理模块和全局安全策略库,在源主机节点和目标主机节点上均设置所述策略代理模块,所述安全管理中心分别连接所述安全策略库和策略协调模块,所述策略协调模块还与所有所述策略代理模块连接;设置在所述源主机节点上的策略代理模块用于向所述策略协调模块提供所述源主机节点的安全状态信息;设置在所述目标主机节点上的策略代理模块应所述策略协调模块发出的安全评估请求返回迁移参数,并执行所述策略协调模块发出的更新安全策略;所述策略协调模块用于根据所述安全状态信息触发安全评估机制并发出所述安全评估请求,根据所述迁移参数生成安全评估结果,向所述安全管理中心发出包括所述安全评估结果和迁移前所述目标主机节点的本地安全策略中间值的安全策略更新请求,接收所述安全管理中心发出的安全策略最终值后生成所述更新安全策略;所述安全管理中心用于查询所述安全策略数据库并判断所述本地安全策略中间值是否违背全局安全策略,如果违背则将所述本地安全策略中间值调整为安全策略最终值,否则将所述本地安全策略中间值设定为安全策略最终值。
2.如权利要求1所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述安全状态信息包括迁移虚拟机的目标主机节点、目标主机节点的地址和源主机节点的当前安全策略参数。
3.如权利要求1所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述安全管理中心设置在云数据中心中或设置在虚拟机管理平台中或为独立的安全管理中心模块。
4.如权利要求1所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:如果将所述本地安全策略中间值更新为所述安全策略最终值,所述策略协调模块向所述安全管理中心发送更新成功应答;之后所述安全管理中心更新所述全局安全策略库。
5.如权利要求1或2或3或4所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述安全管理中心包括策略配置管理模块,所述策略协调模块包括安全策略生成模块和安全策略缓存,所述策略代理模块包括迁移事件监控模块和策略实施模块;安全策略评估模块包括设置在策略代理模块中的下级安全策略评估模块和设置在策略协调模块中的上级安全策略评估模块。
6.如权利要求5所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述策略配置管理模块用于维护和查询所述全局安全策略库,向所述安全策略生成模块发出针对所述安全策略更新请求的包含所述安全策略最终值的安全策略更新应答。
7.如权利要求5所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述下级安全策略评估模块用于响应所述策略协调模块发出的安全评估请求返回迁移参数;所述上级安全策略评估模块用于根据所述迁移参数在具体情况的全局安全策略要求下,通过不同级别的安全评估方法生成安全评估结果。
8.如权利要求5所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述安全策略生成模块根据所述安全评估结果,结合所述安全策略缓存中存储的迁移前所述目标主机的本地安全策略,生成所述本地安全策略中间值,并向所述策略配置管理模块发出所述安全策略更新请求;所述安全策略生成模块根据所述安全策略最终值生成更新安全策略,并将所述更新安全策略分发到所述目标主机节点的策略实施模块上。
9.如权利要求5所述的一种虚拟机迁移安全策略动态配置系统,其特征在于:所述安全策略缓存用于缓存所述源主机节点和目标主机节点上的所有虚拟机的本地安全策略,并实时更新。
10.一种实现如权利要求1-9所述的虚拟机迁移安全策略动态配置系统的方法,其步骤包括:
1)设置安全管理中心和策略协调模块,在源主机节点和目标主机节点上分别设置策略代理模块;
2)所述源主机节点上的策略代理模块发现虚拟机迁移事件,获取安全状态信息,并向所述策略协调模块发送;
3)所述策略协调模块收到所述安全状态信息后启动安全评估过程,向所述目标主机节点上的策略代理模块发送安全评估请求;
4)所述目标主机节点的策略代理模块根据安全评估请求,将迁移参数发送所述策略协调模块;
5)所述策略协调模块根据所述迁移参数生成安全评估结果,同时查询本地安全策略缓存中存储的迁移前所述目标主机节点的本地安全策略后生成本地安全策略中间值;之后向所述安全管理中心发出包括安全评估结果和所述本地安全策略中间值的安全策略更新请求;
6)所述安全管理中心查询查询所述安全策略数据库判断所述本地安全策略中间值是否违背全局安全策略,如果违背则将所述本地安全策略中间值调整为安全策略最终值,否则将所述本地安全策略中间值设定为安全策略最终值;并将所述安全策略最终值下发到所述策略协调模块中;
7)所述策略协调模块根据所述安全策略最终值生成更新安全策略,并向所述目标主机节点上的策略代理模块发出的更新安全策略;
8)所述目标主机节点的策略代理模块执行更新安全策略;
9)所述策略协调模块更新安全策略缓存中的本地安全策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310356147.XA CN103457933B (zh) | 2013-08-15 | 2013-08-15 | 一种虚拟机迁移安全策略动态配置系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310356147.XA CN103457933B (zh) | 2013-08-15 | 2013-08-15 | 一种虚拟机迁移安全策略动态配置系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103457933A true CN103457933A (zh) | 2013-12-18 |
| CN103457933B CN103457933B (zh) | 2016-11-02 |
Family
ID=49739887
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310356147.XA Active CN103457933B (zh) | 2013-08-15 | 2013-08-15 | 一种虚拟机迁移安全策略动态配置系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103457933B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104050038A (zh) * | 2014-06-27 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 一种基于策略感知的虚拟机迁移方法 |
| WO2015196774A1 (zh) * | 2014-06-24 | 2015-12-30 | 华为技术有限公司 | 虚拟机迁移方法及设备 |
| CN105245405A (zh) * | 2015-10-27 | 2016-01-13 | 浙江大学软件学院(宁波)管理中心(宁波软件教育中心) | 一种面向数据交换的云迁移优化评估方法 |
| CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
| CN106663022A (zh) * | 2014-07-27 | 2017-05-10 | 斯特拉托斯卡莱有限公司 | 对使用外部化存储页面的虚拟机的实时迁移 |
| CN107918732A (zh) * | 2017-11-12 | 2018-04-17 | 长沙曙通信息科技有限公司 | 一种桌面虚拟化虚拟机迁移安全策略管理方法 |
| CN108471394A (zh) * | 2017-02-23 | 2018-08-31 | 蓝盾信息安全技术有限公司 | 一种使用区块链实现的虚拟机迁移的安全保护方法 |
| CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
| CN109076063A (zh) * | 2016-03-22 | 2018-12-21 | 赛门铁克公司 | 在云环境中保护动态和短期虚拟机实例 |
| CN109246136A (zh) * | 2016-08-25 | 2019-01-18 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN110908769A (zh) * | 2019-10-31 | 2020-03-24 | 北京浪潮数据技术有限公司 | 一种虚拟机迁移方法、系统、电子设备及存储介质 |
| WO2020077612A1 (en) * | 2018-10-19 | 2020-04-23 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for policy management |
| CN111600775A (zh) * | 2020-05-15 | 2020-08-28 | 苏州浪潮智能科技有限公司 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
| US11334672B2 (en) | 2019-11-22 | 2022-05-17 | International Business Machines Corporation | Cluster security based on virtual machine content |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101937357A (zh) * | 2009-07-01 | 2011-01-05 | 华为技术有限公司 | 一种虚拟机迁移决策方法、装置及系统 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103067356A (zh) * | 2012-12-12 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 保障业务虚拟机安全的系统及方法 |
-
2013
- 2013-08-15 CN CN201310356147.XA patent/CN103457933B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101937357A (zh) * | 2009-07-01 | 2011-01-05 | 华为技术有限公司 | 一种虚拟机迁移决策方法、装置及系统 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103067356A (zh) * | 2012-12-12 | 2013-04-24 | 北京启明星辰信息技术股份有限公司 | 保障业务虚拟机安全的系统及方法 |
Non-Patent Citations (2)
| Title |
|---|
| 武少杰: "云计算下虚拟环境安全的关键技术研究", 《硕士学位论文》 * |
| 王光波: "云计算环境下虚拟机迁移机制研究", 《硕士学位论文》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015196774A1 (zh) * | 2014-06-24 | 2015-12-30 | 华为技术有限公司 | 虚拟机迁移方法及设备 |
| CN104050038A (zh) * | 2014-06-27 | 2014-09-17 | 国家计算机网络与信息安全管理中心 | 一种基于策略感知的虚拟机迁移方法 |
| CN104050038B (zh) * | 2014-06-27 | 2018-04-10 | 国家计算机网络与信息安全管理中心 | 一种基于策略感知的虚拟机迁移方法 |
| CN106663022A (zh) * | 2014-07-27 | 2017-05-10 | 斯特拉托斯卡莱有限公司 | 对使用外部化存储页面的虚拟机的实时迁移 |
| CN106549792A (zh) * | 2015-09-22 | 2017-03-29 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
| CN106549792B (zh) * | 2015-09-22 | 2019-10-15 | 中国移动通信集团公司 | 一种vnf的安全监管的方法、装置及系统 |
| CN105245405A (zh) * | 2015-10-27 | 2016-01-13 | 浙江大学软件学院(宁波)管理中心(宁波软件教育中心) | 一种面向数据交换的云迁移优化评估方法 |
| CN105245405B (zh) * | 2015-10-27 | 2018-02-23 | 浙江大学软件学院(宁波)管理中心(宁波软件教育中心) | 一种面向数据交换的云迁移优化评估方法 |
| CN109076063A (zh) * | 2016-03-22 | 2018-12-21 | 赛门铁克公司 | 在云环境中保护动态和短期虚拟机实例 |
| CN109076063B (zh) * | 2016-03-22 | 2021-12-28 | Ca公司 | 在云环境中保护动态和短期虚拟机实例 |
| CN109246136B (zh) * | 2016-08-25 | 2020-12-04 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN109246136A (zh) * | 2016-08-25 | 2019-01-18 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN108471394A (zh) * | 2017-02-23 | 2018-08-31 | 蓝盾信息安全技术有限公司 | 一种使用区块链实现的虚拟机迁移的安全保护方法 |
| CN107918732A (zh) * | 2017-11-12 | 2018-04-17 | 长沙曙通信息科技有限公司 | 一种桌面虚拟化虚拟机迁移安全策略管理方法 |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN109254831B (zh) * | 2018-09-06 | 2020-05-29 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
| WO2020077612A1 (en) * | 2018-10-19 | 2020-04-23 | Nokia Shanghai Bell Co., Ltd. | Method and apparatus for policy management |
| CN112840615A (zh) * | 2018-10-19 | 2021-05-25 | 上海诺基亚贝尔股份有限公司 | 用于策略管理的方法和装置 |
| CN112840615B (zh) * | 2018-10-19 | 2023-07-11 | 上海诺基亚贝尔股份有限公司 | 用于策略管理的方法和装置 |
| CN110908769A (zh) * | 2019-10-31 | 2020-03-24 | 北京浪潮数据技术有限公司 | 一种虚拟机迁移方法、系统、电子设备及存储介质 |
| US11334672B2 (en) | 2019-11-22 | 2022-05-17 | International Business Machines Corporation | Cluster security based on virtual machine content |
| CN111600775A (zh) * | 2020-05-15 | 2020-08-28 | 苏州浪潮智能科技有限公司 | 一种集群加密迁移的安全性测试方法、装置、设备和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103457933B (zh) | 2016-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103457933A (zh) | 一种虚拟机迁移安全策略动态配置系统和方法 | |
| US11019104B2 (en) | Service oriented software-defined security framework | |
| CN107943580A (zh) | 用于管理区块链节点处的用户智能合约的方法以及设备 | |
| US8490150B2 (en) | System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems | |
| US20190253482A1 (en) | Escalation of Feedback Instances | |
| CN114514507B (zh) | 在云基础设施环境中支持配额策略语言的系统和方法 | |
| CN105074692A (zh) | 使用基于逻辑多维标签的策略模型的分布式网络管理系统 | |
| CN105579965A (zh) | 经由提供商定义接口的客户端驻地资源控制 | |
| CN104735102A (zh) | 一种基于云平台和云计算的客户关系管理系统 | |
| CN103810444A (zh) | 一种云计算平台中多租户应用隔离的方法和系统 | |
| CN103200020A (zh) | 一种资源部署方法和系统 | |
| CN102681899A (zh) | 云计算服务平台的虚拟计算资源动态管理系统 | |
| CN102362258B (zh) | 验证虚拟机 | |
| CN103477326A (zh) | 基础设施控制结构系统以及方法 | |
| CN102780601A (zh) | 管理虚拟网络的方法与系统 | |
| CN110661842B (zh) | 一种资源的调度管理方法、电子设备和存储介质 | |
| CN107005426A (zh) | 一种虚拟网络功能的生命周期管理方法,及装置 | |
| Luo et al. | Orchestration of software-defined security services | |
| CN102629348A (zh) | 一种基于云计算的设备管理方法 | |
| CN108347343A (zh) | 一种策略管理方法、装置和系统 | |
| CN104781783A (zh) | 在现有计算环境中部署的集成计算平台 | |
| CN103036855A (zh) | 一种权限管理的实现设备和方法 | |
| CN105471662A (zh) | 云服务器、虚拟网络策略集中控制系统和方法 | |
| CN104601680A (zh) | 一种资源管理方法及装置 | |
| CN104536805A (zh) | 一种虚拟化平台的资源提供系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |