CN103516822A - 一种用于虚拟化网络中的虚拟化数据交换安全系统 - Google Patents
一种用于虚拟化网络中的虚拟化数据交换安全系统 Download PDFInfo
- Publication number
- CN103516822A CN103516822A CN201210219075.XA CN201210219075A CN103516822A CN 103516822 A CN103516822 A CN 103516822A CN 201210219075 A CN201210219075 A CN 201210219075A CN 103516822 A CN103516822 A CN 103516822A
- Authority
- CN
- China
- Prior art keywords
- virtual
- module
- data
- address
- virtualization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种用于虚拟化网络中的虚拟化数据交换安全系统,涉及计算机、操作系统领域中虚拟化系统下的数据交换安全管理领域。本发明包括服务器和内置于服务器中的虚拟交换系统。其结构特点是,所述虚拟交换系统中还设有虚拟交换接口定义模块、服务注册认证模块、违规数据修复模块和数据路由模块。虚拟机虚拟地址中的各虚拟地址编号分别与虚拟交换接口定义模块中的各接口编号一一对应后连接到虚拟交换机虚拟地址,虚拟交换机虚拟地址依次通过访问控制模块、服务注册认证模块、违规数据修复模块和数据路由模块连接到数据转发模块。本发明通过虚拟端口和安全管理模块的方式保证虚拟化数据的安全交换,具有真实、实用、安全的特点。
Description
技术领域
本发明涉及计算机、操作系统领域中虚拟化系统下的数据交换安全管理领域,特别是虚拟化数据交换安全系统。
背景技术
现有技术中,虚拟化环境中的数据交换仅通过网卡地址进行通讯,缺乏对虚拟交换系统进行的虚拟接口管理,从而使很多物理交换技术中基于端口号标识的安全管理技术在虚拟化环境下很难得以实现,如图1所示。这样的技术方案,一旦在虚拟化环境中产生数据包欺骗,虚拟化的交换网络系统就将面临着巨大的挑战。会产生泛洪攻击瘫痪、中间人侦听攻击侦听虚拟机虚拟地址间的数据、泛洪攻击任何制定的IP/MAC地址。
如中国专利,申请号为2009101357636的“地址查找方法、交换机和网络系统”。它的技术方案中只有IP-MAC-接口的记录方法,该方法仅应用于物理交换机中,无法在虚拟化系统中构建虚拟接口。又如“思科UCS虚拟化技术白皮书”中,只描写了虚拟链路,并未提及虚拟端口和虚拟端口的工作方法,以及未提及在虚拟化及虚拟化端口下后续的安全策略构建和方法。
发明内容
针对上述现有技术中存在的问题和缺点,本发明的目的是提供一种用于虚拟化网络中的虚拟化数据交换安全系统。它通过虚拟端口和安全管理模块的方式保证虚拟化数据的安全交换,具有真实、实用、安全的特点。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种用于虚拟化网络中的虚拟化数据交换安全系统,它包括服务器和内置于服务器中的虚拟交换系统。服务器内设有网卡物理地址和虚拟机虚拟地址,虚拟交换系统内包括虚拟交换机虚拟地址、访问控制模块和数据转发模块。其结构特点是,所述虚拟交换系统中还设有虚拟交换接口定义模块、服务注册认证模块、违规数据修复模块和数据路由模块。虚拟机虚拟地址中的各虚拟地址编号分别与虚拟交换接口定义模块中的各接口编号一一对应后连接到虚拟交换机虚拟地址,虚拟交换机虚拟地址依次通过访问控制模块、服务注册认证模块、违规数据修复模块和数据路由模块连接到数据转发模块。
本发明由于采用了上述的结构,基于虚拟接口进行标识,实施虚拟安全管理。本发明保证了虚拟化环境下数据交换的信息安全管理,填补了信息安全概念应用在虚拟化领域的空白。本发明中的数据安全管理方案符合技术的发展,在物理交换技术中广泛的得到应用,是在虚拟化环境下重要的技术支撑,是国际虚拟化数据安全交互的根基。
下面结合附图和具体实施方式对本发明作进一步说明。
附图说明
图1为现有技术虚拟化环境中数据交换系统的结构示意图;
图2为本发明的结构示意图;
图3为在本发明中进行虚拟化数据交换的流程图。
具体实施方式
参看图2,本发明包括服务器400和内置于服务器400中的虚拟交换系统200。服务器400内设有网卡物理地址300和虚拟机虚拟地址100,虚拟交换系统200包括虚拟交换机虚拟地址202、访问控制模块203和数据转发模块207。其结构特点是,所述虚拟交换系统200中还设有虚拟交换接口定义模块201、服务注册认证模块204、违规数据修复模块205和数据路由模块206。虚拟机虚拟地址100中的各虚拟地址编号分别与虚拟交换接口定义模块201中的各接口编号一一对应后连接到虚拟交换机虚拟地址202,虚拟交换机虚拟地址202依次通过访问控制模块203、服务注册认证模块204、违规数据修复模块205和数据路由模块206连接到数据转发模块207。
本发明在虚拟交换系统200中增加虚拟交换接口定义模块201,使交换表IP->MAC的对应关系增加为IP->MAC->Bx(Bx为虚拟交换接口定义模块201中的接口编号),其中虚拟交换接口定义模块201中的接口编号与虚拟机虚拟地址100中的Mac_x地址编号一一对应,既B0->Mac_0、B1->Mac_1、B2->Mac_2方式生成。
参看图3,采用本发明系统进行虚拟化数据交换DHCP,通过标准的DHCP流程,可以在虚拟化环境下交互。虚拟机虚拟地址100中DM2的Mac_2通过DHCP请求协议向子网广播发送请求数据包,在虚拟交换系统200处接收到请求,由服务注册认证模块204指定的DHCP服务器交换地址。假设在虚拟机虚拟地址100中的DM1上起动了DHCP服务,则会在虚拟交换系统200中生成对应的注册记录IP->MAC->B1->DHCP(如果无则表示普通客户端,任何服务器均可以通过服务注册认证模块204进行注册,如SMTP、POP3、FTP、SSH),DHCP服务器会返回DHCP租用信息给DM2的Mac_2(100),DM2接受后同意租用信息中的IP地址和租期,返回信息给虚拟机虚拟地址100中的DM1,DM1会注册并同步DHCP表中IP-MAC的对应关系给虚拟交换系统200。在虚拟交换系统200中注册IP-MAC-B2的对应关系。
在以上基础上,数据上行实现从虚拟机虚拟地址100发送到网卡物理地址300,下行实现从网卡物理地址300发送到虚拟机虚拟地址100。以上行从虚拟机虚拟地址100发送到网卡物理地址300为例说明。数据从虚拟机虚拟地址100发到虚拟交换系统200,先经过虚拟交换接口定义模块201,通过对应关系形成对应的虚拟链路如虚拟机虚拟地址100中的DM2,IP-Mac_2-B2,在虚拟交换系统的交换表中产生主机交换记录,该记录是由DHCP的成功注册而产生的,并非自DM2广播生成,实现了依靠DHCP租用成功信息构建交换表数据的可靠性。在虚拟交换接口定义模块201的B2中,可以配置IP-MAC-B2的对应关系数量以支持一台虚拟机多个IP地址的情况,如IP10-Mac10-B2、IP11-Mac11-B2,同时也抑制了虚拟机虚拟地址10中的0Mac_2发布IP和Mac对应的数量,有效的减少了交换表的更新速度和数量,避免了数据包疯狂的更新交换表内容的攻击,对于超过许可范围内的更新交换表数据包则被丢弃。在虚拟交换接口定义模块201处可以配置对不同协议的通讯速率,如ARP协议数据包在指定时间内的总数,如果超过则可以执行阻断、延迟(时间以秒为单位)、放行的策略。
数据从虚拟交换接口定义模块201处发送到虚拟交换机虚拟地址202,虚拟交换机虚拟地址202会检测虚拟交换系统200的安全策略,判断下一跳执行(顺序为从访问控制模块203、服务注册认证模块204、违规数据修复模块205、数据路由模块206到数据转发模块207),如果没有任何安全策略可以直接跳到数据转发模块207,如果有安全策略则跳到指定的安全策略模块进行数据处理。如果开启全部安全策略,则按从访问控制模块203、服务注册认证模块204、违规数据修复模块205、数据路由模块206到数据转发模块207的先后顺序一一进行数据转发、覆盖和处理。
数据从虚拟交换机虚拟地址202发送到访问控制模块203时,通过ACL的规则判断数据是否可以通行,如果可以放行则进入下一步,如果不可以放行则按策略进行处理(丢弃、延迟、延迟次数、返回消息、返回消息内容设置)
数据从访问控制模块203发送到服务注册认证模块204时,检测IP-MAC-B2的交换列表是否是由在服务注册认证模块204处注册的DHCP分发。如果属于DHCP地址池范围内的数据,并且符合DHCP注册的IP-MAC-B2对应关系,则发送正确信号给违规数据修复模块205,同时转发数据到违规数据修复模块205。如果属于DHCP地址池范围内的数据,不符合DHCP注册的IP-MAC-B2对应关系,则向违规数据修复模块205发送错误信号,并转发数据到违规数据修复模块205,等待违规数据修复模块205处理。如果不属于DHCP地址池范围,则检测在服务注册认证模块204处是否有静态注册记录,如果有静态注册按符合对应关系进行,如果没有静态注册记录则按不符合对应关系进行。
数据发送到违规数据修复模块205时,违规数据修复模块205根据数据处理信号进行处理,如果符合对应关系则放行转发到数据路由模块206,如果不符合对应关系则进行处理(丢弃、延迟、延迟次数、返回消息、返回消息内容设置,如果虚拟机虚拟地址100处IP和MAC的对应关系是DHCP发布的但与交换表中虚拟交换系统200不符,则发送数据给服务注册认证模块204,要求服务注册认证模块204认证的DHCP停止Mac_2的IP地址租期,并要求Mac_2重新申请DHCP。如果虚拟机虚拟地址100处IP和MAC的对应关系是手动指定的,则在返回消息中提示IP地址冲突,要求其与指定联系人沟通,并丢弃其数据)。通过该方法可以继承、纠正、修复DHCP认证的IP-MAC-B2的对应关系,防止手动指定IP地址或使用非法DHCP分发的地址在虚拟交换中进行数据通讯。数据符合对应关系则发送到数据路由模块206。
数据发送到数据路由模块206后,按数据路由模块206中配置的IP地址进行三层通讯,该模块主要应用于三层交换功能的需求以及策略路由的需求,通过GRE、L2TP的方法生成的路由表规定数据下一跳地址,实现在虚拟化环境下路由转发的走向标识。无论是否有路由设置,数据都会提交给数据转发模块207。可以利用该功能,将数据在抵达目的地址之前,通过指定的路由专网,如,在路由专网中构建端到端系统,实现加解密、内容过滤、内容审计、病毒处理、垃圾由件处理、关键字过滤、访问网址控制等应用层处理模块,提供虚拟化下的数据检测、阻断等安全服务。
数据到数据转发模块207后,会按数据路由模块206中传递的IP地址进行查询,按查询IP地址进行MAC转换,询问网关其下一跳地址的MAC地址,并进行数据转发,抵达目的地址。
Claims (1)
1.一种用于虚拟化网络中的虚拟化数据交换安全系统,它包括服务器(400)和内置于服务器(400)中的虚拟交换系统(200),服务器(400)内设有网卡物理地址(300)和虚拟机虚拟地址(100),虚拟交换系统(200)内包括虚拟交换机虚拟地址(202)、访问控制模块(203)和数据转发模块(207),其特征在于,所述虚拟交换系统(200)中还设有虚拟交换接口定义模块(201)、服务注册认证模块(204)、违规数据修复模块(205)和数据路由模块(206),虚拟机虚拟地址(100)中的各虚拟地址编号分别与虚拟交换接口定义模块(201)中的各接口编号一一对应后连接到虚拟交换机虚拟地址(202),虚拟交换机虚拟地址(202)依次通过访问控制模块(203)、服务注册认证模块(204)、违规数据修复模块(205)和数据路由模块(206)连接到数据转发模块(207)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210219075.XA CN103516822A (zh) | 2012-06-29 | 2012-06-29 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210219075.XA CN103516822A (zh) | 2012-06-29 | 2012-06-29 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103516822A true CN103516822A (zh) | 2014-01-15 |
Family
ID=49898839
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210219075.XA Pending CN103516822A (zh) | 2012-06-29 | 2012-06-29 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103516822A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112671579A (zh) * | 2020-12-23 | 2021-04-16 | 安徽长泰信息安全服务有限公司 | 一种基于云管理的远程网关管理系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1601996A (zh) * | 2003-09-26 | 2005-03-30 | 华为技术有限公司 | 一种虚拟交换机系统接入ip公网的方法 |
| US20050129019A1 (en) * | 2003-11-19 | 2005-06-16 | Cheriton David R. | Tunneled security groups |
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
| CN101548509A (zh) * | 2006-03-06 | 2009-09-30 | 诺基亚公司 | Vci路由表的聚集 |
| CN101635702A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 应用安全策略的数据包转发方法 |
| CN101809943A (zh) * | 2007-09-24 | 2010-08-18 | 英特尔公司 | 用于虚拟端口通信的方法和系统 |
| CN101990004A (zh) * | 2010-11-05 | 2011-03-23 | 中国科学院声学研究所 | 一种基于物联网家庭网关的虚拟id和虚拟ip分配方法 |
| WO2011037104A1 (ja) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法 |
| WO2011155484A1 (ja) * | 2010-06-09 | 2011-12-15 | 日本電気株式会社 | 通信システム、論理チャネル制御装置、制御装置、通信方法およびプログラム |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
| CN102325073A (zh) * | 2011-07-06 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种基于vpls的报文处理方法及其装置 |
-
2012
- 2012-06-29 CN CN201210219075.XA patent/CN103516822A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1601996A (zh) * | 2003-09-26 | 2005-03-30 | 华为技术有限公司 | 一种虚拟交换机系统接入ip公网的方法 |
| US20050129019A1 (en) * | 2003-11-19 | 2005-06-16 | Cheriton David R. | Tunneled security groups |
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
| CN101548509A (zh) * | 2006-03-06 | 2009-09-30 | 诺基亚公司 | Vci路由表的聚集 |
| CN101809943A (zh) * | 2007-09-24 | 2010-08-18 | 英特尔公司 | 用于虚拟端口通信的方法和系统 |
| CN101635702A (zh) * | 2008-07-21 | 2010-01-27 | 山石网科通信技术(北京)有限公司 | 应用安全策略的数据包转发方法 |
| WO2011037104A1 (ja) * | 2009-09-24 | 2011-03-31 | 日本電気株式会社 | 仮想サーバ間通信識別システム、及び仮想サーバ間通信識別方法 |
| WO2011155484A1 (ja) * | 2010-06-09 | 2011-12-15 | 日本電気株式会社 | 通信システム、論理チャネル制御装置、制御装置、通信方法およびプログラム |
| CN101990004A (zh) * | 2010-11-05 | 2011-03-23 | 中国科学院声学研究所 | 一种基于物联网家庭网关的虚拟id和虚拟ip分配方法 |
| CN102325073A (zh) * | 2011-07-06 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种基于vpls的报文处理方法及其装置 |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112671579A (zh) * | 2020-12-23 | 2021-04-16 | 安徽长泰信息安全服务有限公司 | 一种基于云管理的远程网关管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8370834B2 (en) | Routing across a virtual network | |
| CN102664972B (zh) | 一种虚拟网络中地址映射方法和装置 | |
| EP2724497B1 (en) | Private virtual local area network isolation | |
| EP2491684B1 (en) | Method and apparatus for transparent cloud computing with a virtualized network infrastructure | |
| RU2544766C2 (ru) | Способ, устройство и система маршрутизации данных между сегментами сетей | |
| CN103650430A (zh) | 报文处理方法、装置、主机和网络系统 | |
| KR20130056648A (ko) | 가상 사설 망 관리 시스템 및 그 방법 | |
| CN107547351B (zh) | 地址分配方法和装置 | |
| CN1248447C (zh) | 一种宽带网络接入方法 | |
| WO2007112691A1 (fr) | Système, procédé et dispositif réseau permettant à un client de réseau privé virtuel (vpn) d'accéder à un réseau public | |
| JP3858884B2 (ja) | ネットワークアクセスゲートウェイ及びネットワークアクセスゲートウェイの制御方法並びにプログラム | |
| CN103067531A (zh) | 一种公网ip地址资源管理分配方法 | |
| RU2292118C2 (ru) | Защищенность в зональных сетях | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN102724087A (zh) | 网络资源共享的实现方法和系统 | |
| CN1859384B (zh) | 控制用户报文通过网络隔离设备的方法 | |
| CN102571592B (zh) | 具有端口绑定功能的三层交换设备和数据报文转发方法 | |
| CN103516822A (zh) | 一种用于虚拟化网络中的虚拟化数据交换安全系统 | |
| CN115834291B (zh) | 分布式内网服务数据获取方法、装置、设备及存储介质 | |
| CN101399693B (zh) | 基于arp应答的内网ip地址保护方法 | |
| CN114710388A (zh) | 一种校园网安全架构及网络监护系统 | |
| JP2006128803A (ja) | ネットワーク中継装置及びネットワークシステム | |
| Cisco | MPLS VPN ID | |
| CN109714271B (zh) | 一种信息处理方法、设备、系统及计算机可读存储介质 | |
| JP2014110454A (ja) | ネットワークシステム、通信制御方法、通信制御装置及び通信制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140115 |
|
| WD01 | Invention patent application deemed withdrawn after publication |