CN103701822A - 访问控制方法 - Google Patents
访问控制方法 Download PDFInfo
- Publication number
- CN103701822A CN103701822A CN201310752415.XA CN201310752415A CN103701822A CN 103701822 A CN103701822 A CN 103701822A CN 201310752415 A CN201310752415 A CN 201310752415A CN 103701822 A CN103701822 A CN 103701822A
- Authority
- CN
- China
- Prior art keywords
- control strategy
- data
- access control
- scheduled visit
- visit control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种访问控制方法,用于与虚拟机的信息交互,包括以下步骤:将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机;对经过OVS虚拟交换机的数据与预定访问控制策略进行比对;以及当数据不符合预定访问控制策略的要求时,丢弃数据。本发明的访问控制方法克服了现有技术的缺陷,能够实现IP层面的访问控制功能,任意的虚拟机之间的数据包都能通过定义规则进行访问控制。
Description
技术领域
本发明总体上涉及计算机领域,更具体地,涉及访问控制方法。
背景技术
访问控制是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础,是网络安全防范和资源保护的关键策略之一,也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。
在现有技术中,传统的访问控制机制是将机器之间的访问控制策略置于网络边界的防火墙等设备上,因为所有进出本网络的连接都要经过防火墙,所以防火墙能够监控和管理网络内部的所有的连接信息,从而达到对网络的访问控制功能。
然而,在云计算领域,网络边界变的模糊。网络内部的虚拟机已经成为了不同的网络系统,这些网络系统之间也同样存在着边界。传统的防火墙等设备只放在整个网络的出口处,并没有放在内部网络中。所以并不能对云计算环境下的网络连接进行访问控制。一旦某台虚拟机遭受攻击并成为受控对象,该虚拟机就会在管理员不知道的情况下攻击其他虚拟机。
发明内容
针对以上现有技术中传统的防火墙等设备只放在整个网络的出口处,从而不能对云计算环境下的网络连接进行访问控制等缺陷,本发明提供了能够解决上述缺陷的访问控制方法。
本发明提供了一种访问控制方法,用于与虚拟机的信息交互,包括以下步骤:将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机;对经过OVS虚拟交换机的数据与预定访问控制策略进行比对;以及当数据不符合预定访问控制策略的要求时,丢弃数据。
优选地,在预定访问控制策略中包含规则命令,规则命令是固定的。
优选地,在预定访问控制策略中包含协议名称,协议名称包括TCP、UDP、ICMP。
优选地,在预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。
优选地,在预定访问控制策略中包含动作项,动作项包括使数据通过、以及丢弃数据。
优选地,当数据符合预定访问控制策略的要求时,使数据通过。
利用本发明的技术方案能够克服现有技术的缺陷,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。
附图说明
当结合附图进行阅读时,根据下面详细的描述可以更好地理解本发明。应该强调的是,根据工业中的标准实践,各种部件没有被按比例绘制。实际上,为了清楚的讨论,各种部件的尺寸可以被任意增加或减少。
图1是根据本发明的示例性实施例的访问控制方法的总体流程图;以及
图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。
具体实施方式
为了实施本发明的不同部件,以下描述提供了许多不同的实施例或示例。以下描述元件和布置的特定示例以简化本发明。当然这些仅仅是示例并不打算限定。再者,以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接触形成的实施例,并且也可包括其中额外的部件形成插入到第一和第二部件中的实施例,使得第一和第二部件不直接接触。为了简明和清楚,可以任意地以不同的尺寸绘制各种部件。
图1是根据本发明的示例性实施例的访问控制方法的总体流程图。
参照图1,用于与虚拟机的信息交互的访问控制方法100包括以下步骤。虚拟机(Virtual Machine)指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在步骤102中,将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机;OVS(OpenvSwitch)是一个高质量的、多层虚拟交换机,使用开源Apache2.0许可协议。它的目的是让大规模网络自动化可以通过编程扩展,同时仍然支持标准的管理接口和协议(例如NetFlow,sFlow,SPAN,RSPAN,CLI,LACP,802.1ag)。在步骤104中,对经过OVS虚拟交换机的数据与预定访问控制策略进行比对;以及在步骤106中,当数据不符合预定访问控制策略的要求时,丢弃数据。
此外,该访问控制方法也可以应用于虚拟机与物理机之间的信息交互,其操作步骤与图1所示的操作步骤相同,这里不再重复其描述。
利用本发明的实施例的访问控制方法,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。
图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。
本发明基于Xen虚拟化环境,每个虚拟机都与OVS进行信息交互,也就是说,虚拟机1和虚拟机2之间通过OVS进行信息交互。其中,OVS是软件实现的虚拟交换机,当前可以和KVM、Xen等多种虚拟化平台相整合,为虚拟机提供灵活的网络互连能力。
以下将参照图1和图2对访问控制方法进行详细描述。
首先,将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机。具体地,在预定访问控制策略中包含规则命令,规则命令是固定的。在预定访问控制策略中包含协议名称,协议名称包括TCP、UDP、ICMP。在预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。在预定访问控制策略中包含动作项,动作项包括使数据通过、以及丢弃数据。例如,预定访问控制策略包括:ovs-ofctl add-flow网桥名称协议名称,nw_src=源IP,nw_dst=目标IP动作。
其次,对经过OVS虚拟交换机的数据与预定访问控制策略进行比对。
接下来,当数据不符合预定访问控制策略的要求时,丢弃数据。具体地,OVS虚拟交换机将经过OVS虚拟交换机的数据与预定访问控制策略进行比较,当比较结果显示经过OVS虚拟交换机的数据不符合预定访问控制策略时,丢弃该数据。在一些实施例中,将在丢弃该数据以后,通过声音或者可视的方式向管理员报警。例如,通过声音报警模块进行声音报警,或者在显示器上进行显示报警。因此,管理员在发现该虚拟机工作不正常时,能够及时检查并修复该虚拟机,从而为云系统提供良好的运行环境,大幅提高了网络安全。
此外,当数据符合预定访问控制策略的要求时,使数据通过。具体地,OVS虚拟交换机将经过OVS虚拟交换机的数据与预定访问控制策略进行比较,当比较结果显示经过OVS虚拟交换机的数据符合预定访问控制策略时,使该数据通过。
另外,该访问控制方法也可以应用于虚拟机与物理机之间的信息交互,其操作步骤与上述操作步骤相同,这里不再重复其描述。
在具体实施例中,基于OVS和openflow协议,将访问控制规则下发于OVS网桥,由于所有经过该OVS网桥交换的数据包,openflow协议都会将数据包与规则进行比对,对于符合规则的数据包,openflow协议都会按照规则的要求对数据包进行放行或丢弃,这样就实现了对网络间通信数据包的控制功能。OpenFlow(其由斯坦福大学的Nick McKeown教授于2008年4月在ACM Communications Review上发表的一篇论文OpenFlow:enabling innovation in campus networks里首先提出来的)是SoftwareDefinded Network的一种。它最初的出发点是用于网络研究人员实验其创新网络架构、协议,考虑到实际的网络创新思想需要在实际网络上才能更好地验证,而研究人员又无法修改在网的网络设备,故而提出了OpenFlow的控制转发分离架构,将控制逻辑从网络设备盒子中引出来,研究者可以通过一组定义明确的接口对网络设备进行任意的编程从而实现新型的网络协议、拓扑架构而无需改动网络设备本身。
利用本发明的实施例的访问控制方法,能够实现IP层面的访问控制功能,任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。从而即使某台虚拟机遭受攻击并成为受控对象,由于通过OVS虚拟交换机将该虚拟机收发的数据与预定访问控制策略进行比对,并且在虚拟机收发的数据不符合预定访问控制策略,丢弃该数据,从而实现对该虚拟机收发的数据的控制,从而避免了通过该虚拟机攻击其他虚拟机,相应地能够确保网络安全。此外,能够实现对云计算环境下的网络连接进行访问控制。
上面论述了若干实施例的部件,使得本领域普通技术人员可以更好地理解本发明的各个方面。本领域普通技术人员应该理解,可以很容易地使用本发明作为基础来设计或更改其他用于达到与这里所介绍实施例相同的目的和/或实现相同优点的处理和结构。本领域普通技术人员也应该意识到,这种等效构造并不背离本发明的精神和范围,并且在不背离本发明的精神和范围的情况下,可以进行多种变化、替换以及改变。
Claims (6)
1.一种访问控制方法,用于与虚拟机的信息交互,其特征在于,包括以下步骤:
将预定访问控制策略下发给设置在所述虚拟机之间的OVS虚拟交换机;
对经过所述OVS虚拟交换机的数据与所述预定访问控制策略进行比对;以及
当所述数据不符合所述预定访问控制策略的要求时,丢弃所述数据。
2.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含规则命令,所述规则命令是固定的。
3.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含协议名称,所述协议名称包括TCP、UDP、ICMP。
4.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中,源IP和目标IP根据IP分配情况进行确定。
5.根据权利要求1所述的方法,其特征在于,在所述预定访问控制策略中包含动作项,所述动作项包括使所述数据通过、以及丢弃所述数据。
6.根据权利要求1-5中任一项所述的方法,其特征在于,当所述数据符合所述预定访问控制策略的要求时,使所述数据通过。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752415.XA CN103701822A (zh) | 2013-12-31 | 2013-12-31 | 访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310752415.XA CN103701822A (zh) | 2013-12-31 | 2013-12-31 | 访问控制方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103701822A true CN103701822A (zh) | 2014-04-02 |
Family
ID=50363218
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310752415.XA Pending CN103701822A (zh) | 2013-12-31 | 2013-12-31 | 访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103701822A (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168200A (zh) * | 2014-07-10 | 2014-11-26 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
| CN104484236A (zh) * | 2014-11-28 | 2015-04-01 | 曙光云计算技术有限公司 | 一种ha访问自适应的方法 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN105471662A (zh) * | 2015-12-30 | 2016-04-06 | 中电长城网际系统应用有限公司 | 云服务器、虚拟网络策略集中控制系统和方法 |
| CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094097A (zh) * | 2006-06-23 | 2007-12-26 | 联想(北京)有限公司 | 一种硬件访问控制系统和方法 |
| CN101115018A (zh) * | 2007-09-17 | 2008-01-30 | 中兴通讯股份有限公司 | 控制设备访问的方法 |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
| US20120240182A1 (en) * | 2011-03-18 | 2012-09-20 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
| CN102857416A (zh) * | 2012-09-18 | 2013-01-02 | 中兴通讯股份有限公司 | 一种实现虚拟网络的方法和虚拟网络 |
| CN103023827A (zh) * | 2012-11-23 | 2013-04-03 | 杭州华三通信技术有限公司 | 一种虚拟化数据中心的数据转发方法及其实现设备 |
| CN103414626A (zh) * | 2013-08-28 | 2013-11-27 | 盛科网络(苏州)有限公司 | 基于网络虚拟化的报文处理方法及装置 |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| CN104243608A (zh) * | 2014-09-29 | 2014-12-24 | 华为技术有限公司 | 一种通信方法、云管理服务器及虚拟交换机 |
-
2013
- 2013-12-31 CN CN201310752415.XA patent/CN103701822A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101094097A (zh) * | 2006-06-23 | 2007-12-26 | 联想(北京)有限公司 | 一种硬件访问控制系统和方法 |
| CN101115018A (zh) * | 2007-09-17 | 2008-01-30 | 中兴通讯股份有限公司 | 控制设备访问的方法 |
| US20120240182A1 (en) * | 2011-03-18 | 2012-09-20 | Juniper Networks, Inc. | Security enforcement in virtualized systems |
| CN102707985A (zh) * | 2011-03-28 | 2012-10-03 | 中兴通讯股份有限公司 | 一种虚拟机系统的访问控制方法和系统 |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| CN102299929A (zh) * | 2011-09-15 | 2011-12-28 | 北京天地云箱科技有限公司 | 虚拟机的访问控制方法、系统和装置 |
| CN102857416A (zh) * | 2012-09-18 | 2013-01-02 | 中兴通讯股份有限公司 | 一种实现虚拟网络的方法和虚拟网络 |
| CN103023827A (zh) * | 2012-11-23 | 2013-04-03 | 杭州华三通信技术有限公司 | 一种虚拟化数据中心的数据转发方法及其实现设备 |
| CN103414626A (zh) * | 2013-08-28 | 2013-11-27 | 盛科网络(苏州)有限公司 | 基于网络虚拟化的报文处理方法及装置 |
| CN103763367A (zh) * | 2014-01-17 | 2014-04-30 | 浪潮(北京)电子信息产业有限公司 | 一种云计算数据中心分布式虚拟网络设计方法及系统 |
| CN104243608A (zh) * | 2014-09-29 | 2014-12-24 | 华为技术有限公司 | 一种通信方法、云管理服务器及虚拟交换机 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104168200A (zh) * | 2014-07-10 | 2014-11-26 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
| CN104168200B (zh) * | 2014-07-10 | 2017-08-25 | 汉柏科技有限公司 | 一种基于Open vSwitch实现ACL功能的方法及系统 |
| CN104270467B (zh) * | 2014-10-24 | 2017-09-29 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN104270467A (zh) * | 2014-10-24 | 2015-01-07 | 冯斌 | 一种用于混合云的虚拟机管控方法 |
| CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104363230B (zh) * | 2014-11-14 | 2018-01-12 | 山东乾云启创信息科技股份有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104484236A (zh) * | 2014-11-28 | 2015-04-01 | 曙光云计算技术有限公司 | 一种ha访问自适应的方法 |
| CN104484236B (zh) * | 2014-11-28 | 2017-11-03 | 曙光云计算集团有限公司 | 一种ha访问自适应的方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN105471662A (zh) * | 2015-12-30 | 2016-04-06 | 中电长城网际系统应用有限公司 | 云服务器、虚拟网络策略集中控制系统和方法 |
| CN105471662B (zh) * | 2015-12-30 | 2019-02-26 | 中电长城网际系统应用有限公司 | 云服务器、虚拟网络策略集中控制系统和方法 |
| CN107612843A (zh) * | 2017-09-27 | 2018-01-19 | 国云科技股份有限公司 | 一种防止云平台ip和mac伪造的方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103701822A (zh) | 访问控制方法 | |
| US11902120B2 (en) | Synthetic data for determining health of a network security system | |
| CN105592052B (zh) | 一种防火墙规则配置方法及装置 | |
| US9245147B1 (en) | State machine reference monitor for information system security | |
| CN104253820A (zh) | 软件定义网安全控制系统和控制方法 | |
| WO2014149490A4 (en) | Secure end-to-end permitting system for device operations | |
| WO2016018369A1 (en) | Remediating a security threat to a network | |
| US20170134400A1 (en) | Method for detecting malicious activity on an aircraft network | |
| CN105871811A (zh) | 控制应用程序权限的方法及控制器 | |
| CN105357114A (zh) | 一种分布式网络设备 | |
| US20170093912A1 (en) | Layer-2 security for industrial automation by snooping discovery and configuration messages | |
| CN105959282A (zh) | Dhcp攻击的防护方法及装置 | |
| CA2931687A1 (en) | System and method for creating service chains and virtual networks in the cloud | |
| Khan et al. | FML: A novel forensics management layer for software defined networks | |
| KR20160145373A (ko) | 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램 | |
| US10541873B2 (en) | Determining violation of a network invariant | |
| JP2016046736A (ja) | サービスチェイニングシステム、サービスチェイニングフォワーダ装置、及びサービスチェイニング方法 | |
| CN105827629A (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
| CN106899553A (zh) | 一种基于私有云的工业控制系统安全防护方法 | |
| CN104717212A (zh) | 一种云端虚拟网络安全的防护方法与系统 | |
| CN105553948A (zh) | 一种基于虚拟机的弹性防攻击方法 | |
| CN106650425A (zh) | 一种安全沙箱的控制方法及装置 | |
| KR102144594B1 (ko) | 보안 데이터 패킷을 교환하기 위한 타임-록드 네트워크 및 노드 | |
| US9774628B2 (en) | Method for analyzing suspicious activity on an aircraft network | |
| CN103905407A (zh) | 一种防火墙访问控制策略的分析方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant after: Shuguang Cloud Computing Group Co Ltd Address before: 100193 Beijing, Haidian District, northeast Wang West Road, building 8, building 36, floor 5 Applicant before: Shuguang Cloud Computing Technology Co., Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140402 |