CN105376256A - 一种基于Openflow对用户访问虚拟机进行控制的方法 - Google Patents
一种基于Openflow对用户访问虚拟机进行控制的方法 Download PDFInfo
- Publication number
- CN105376256A CN105376256A CN201510901792.4A CN201510901792A CN105376256A CN 105376256 A CN105376256 A CN 105376256A CN 201510901792 A CN201510901792 A CN 201510901792A CN 105376256 A CN105376256 A CN 105376256A
- Authority
- CN
- China
- Prior art keywords
- stream
- ovs
- access
- virtual machine
- switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及云计算安全技术领域,特别是一种基于Openflow对用户访问虚拟机进行控制的方法。本发明首先在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);然后用户从访问终端发出访问请求被提交到运行所访问的虚拟机的物理服务器中运行的OVS上;然后OVS将中无法找到从源地址(访问终端)到目的地址(虚拟服务机)的流,于是向控制器发出PACKET-IN事件信号;然后控制器查询访问控制白名单,确认这次访问是否符合预设的规则;最后如果访问合规,则生成相应的流,并下发到对应的OVS上;如果访问不合规,则直接丢弃这次访问请求。本发明解决;俄传统攻击防御方案中在云计算环境中需要使用昂贵硬件、无法满足多样化接入设备攻击的问题,可以用于虚拟机的访问控制。
Description
技术领域
本发明涉及云计算安全技术领域,特别是一种基于Openflow对用户访问虚拟机进行控制的方法。
背景技术
随着云计算模式的流行,许多机构希望建设私有云,私有云的建设无疑为IT部门带来了诸多好处,如可以实现信息资源的集中管理、IT基础设施能够得到更高效的利用等。但是在带来这些优点的同时,由于私有云会对网络架构进行一些调整,因此也会产生一些新的问题,主要体现在以下几点:
1)多样化的接入设备(如BYOD)带来了私有云遭受攻击的可能性。在传统的内网环境中,终端可以通过一系列手段进行控制,以确保终端环境安全可靠。但是在切换成私有云之后,由于接入设备多种多样,传统的技术手段无法完全兼容,甚至有些BYOD设备会存在病毒、木马或已经被黑客渗透成为跳板,从而对私有云造成威胁。这类攻击在方法上与传统的网络入侵相类似,但是相对规模很小,如果使用独立的防御设备(如IDS/IPS/DDoS防范等),难以找到防御成本与效果的平衡。
Openflow是一种将网络设备的数据平面(Data-Panel)和控制平面(ControlPanel)相分离的技术,使用逻辑上的控制器(Controller)对整个网络进行管理,提高了网络管理的灵活性,降低了网络维护的复杂度。Openflow是SDN(SoftwareDefinedNetwork,软件定义网络)的代表技术之一,甚至在一定程度上被认为与SDN技术等价,Openflow和SDN技术被建议在未来的企业私有云和云平台的建设中采用,来优化云内部的虚拟网络。
发明内容
本发明解决的技术问题在于提供一种基于Openflow对用户访问虚拟机进行控制的方法;防御成本和效果比较均衡,解决传统攻击防御方案中在云计算环境中需要使用昂贵硬件、无法满足多样化接入设备攻击的问题。
本发明解决上述技术问题的技术方案是:
所述的方法包括以下步骤:
步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);
步骤2:用户从访问终端发出访问请求被提交到运行所访问的虚拟机的物理服务器中运行的OVS上;
步骤3:OVS将无法找到从源地址(访问终端)到目的地址(虚拟服务机)的流,向控制器发出PACKET-IN事件信号;
步骤4:控制器查询访问控制白名单,确认这次访问是否符合预设的规则;
步骤5:如果访问合规,则生成相应的流,并下发到对应的OVS上;如果访问不合规,则直接丢弃这次访问请求。
所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机远程添加/删除/修改流。
所述流是OVS交换机上FlowTable流表中的一条转发规则,进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
所述白名单是一个包含被允许转发的源地址/目的地址对的列表;源地址是访问终端的网卡的MAC地址,目的地址是被访问虚拟机的网卡的MAC地址;包含该源地址/目的地址对的数据包将被OVS交换机转发,源地址的访问终端就能访问到目的地址的虚拟机。
本发明的方法能产生如下的有益效果:
1、本发明的方法全部使用软件Openflow实现,避免传统防御方法使用昂贵的安全设备,是一种经济的访问控制方法;
2、本发明的方法能对多种接入终端同时进行访问控制,是一种适应性较强的方法;
3、本发明的方法实现具有白名单特征的方法,可以有效防止访问终端绕过访问规则对虚拟机进行访问。
本发明针对私有云的网络特点,结合Openflow技术实现具有白名单特征的访问隔离,解决传统攻击防御方案中在云计算环境中需要使用昂贵硬件、无法满足多样化接入设备攻击的问题,是一种防御成本和效果比较均衡的方法。
附图说明
下面结合附图对本发明进一步说明:
图1为本发明的网络部署结构图;
图2为本发明的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先按照图1、2所示进行物理服务器、虚拟机和OVS交换机的部署。
在控制器中植入如下的白名单:
00:0c:29:a8:9c:6c#5e:8b:22:89:88:2a
5e:8b:22:89:88:2a#00:0c:29:a8:9c:6c
00:0e:c6:f0:06:51#00:0c:29:a8:9c:6c
00:0c:29:a8:9c:6c#00:0e:c6:f0:06:51
5e:8b:22:89:88:2a#00:0e:c6:f0:06:51
00:0e:c6:f0:06:51#5e:8b:22:89:88:2a
00:11:22:33:44:55#00:11:22:33:44:66
00:11:22:33:44:55#00:0e:c6:f0:06:51
上述白名单的源地址/目标地址对以#号隔开,同时相同源地址的访问终端可以访问多个目的地址的虚拟机,相同目的地址的虚拟机也可以被多个源地址的访问终端访问。
在外部终端访问虚拟机时,首先匹配终端的MAC地址和虚拟机的MAC地址,如果在白名单中时,按照下述方法分发到虚拟机所在的物理服务器的OVS上
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:0c:29:a8:9c:6c,dl_dst=5e:8b:22:89:88:2a,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=5e:8b:22:89:88:2a,dl_dst=00:0c:29:a8:9c:6c,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:0e:c6:f0:06:51,dl_dst=00:0c:29:a8:9c:6c,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:0c:29:a8:9c:6c,dl_dst=00:0e:c6:f0:06:51,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=5e:8b:22:89:88:2a,dl_dst=00:0e:c6:f0:06:51,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:0e:c6:f0:06:51,dl_dst=5e:8b:22:89:88:2a,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:11:22:33:44:55,dl_dst=00:11:22:33:44:66,actions=accept″
$ovs-ofctladd-flowovs-switch″table=0,dl_src=00:11:22:33:44:55,dl_dst=00:0e:c6:f0:06:51,actions=accept″
若不在则拒绝该次请求,并返回以下的提示
INFO:of_sw_tutorial_00:__NO00:0e:c6:f0:06:51-------->00:11:22:33:44:66matched.____
INFO:of_sw_tutorial_00:__NO00:0e:c6:f0:06:51-------->00:11:22:33:44:66matched.____
root@ubuntu-ovs:~#ovs-ofctldump-flowsovsbr0
NXST_FLOWreply(xid=0x4):
cookie=0x0,duration=19.905s,table=0,n_packets=2281,n_bytes=138518,idle_timeout=10,hard_timeout=30,dl_src=00:0e:c6:f0:06:51,dl_dst=8e:38:6d:53:99:40actions=output:2
cookie=0x0,duration=19.905s,table=0,n_packets=727,n_bytes=5903946,idle_timeout=10,hard_timeout=30,dl_src=8e:38:6d:53:99:40,dl_dst=00:0e:c6:f0:06:51actions=output:1。
Claims (5)
1.一种基于Openflow对用户访问虚拟机进行控制的方法,其特征在于,所述的方法包括以下步骤:
步骤1:在每一台运行虚拟机的物理服务器上部署虚拟交换机Openvswitch(OVS);
步骤2:用户从访问终端发出访问请求被提交到运行所访问的虚拟机的物理服务器中运行的OVS上;
步骤3:OVS将无法找到从源地址(访问终端)到目的地址(虚拟服务机)的流,向控制器发出PACKET-IN事件信号;
步骤4:控制器查询访问控制白名单,确认这次访问是否符合预设的规则;
步骤5:如果访问合规,则生成相应的流,并下发到对应的OVS上;如果访问不合规,则直接丢弃这次访问请求。
2.根据权利要求1所述的方法,其特征在于:所述控制器用于对各虚拟交换机进行管理,可以在控制器上为其管理的OVS交换机远程添加/删除/修改流。
3.根据权利要求1所述的方法,其特征在于,所述流是OVS交换机上FlowTable流表中的一条转发规则,进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
4.根据权利要求2所述的方法,其特征在于,所述流是OVS交换机上FlowTable流表中的一条转发规则,进入OVS交换机的数据包通过查询流表来获得转发的目的端口;流由头域、计数器和操作组成;其中头域是个十元组,是流的标识;计数器用来计算流的统计数据;操作标明了与该流匹配的数据包应该执行的操作。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述白名单是一个包含被允许转发的源地址/目的地址对的列表;源地址是访问终端的网卡的MAC地址,目的地址是被访问虚拟机的网卡的MAC地址;包含该源地址/目的地址对的数据包将被OVS交换机转发,源地址的访问终端就能访问到目的地址的虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510901792.4A CN105376256A (zh) | 2015-12-08 | 2015-12-08 | 一种基于Openflow对用户访问虚拟机进行控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510901792.4A CN105376256A (zh) | 2015-12-08 | 2015-12-08 | 一种基于Openflow对用户访问虚拟机进行控制的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105376256A true CN105376256A (zh) | 2016-03-02 |
Family
ID=55378061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510901792.4A Pending CN105376256A (zh) | 2015-12-08 | 2015-12-08 | 一种基于Openflow对用户访问虚拟机进行控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105376256A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
| CN108259642A (zh) * | 2018-01-02 | 2018-07-06 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 基于私有云的公共服务虚拟机访问方法和装置 |
| CN111274620A (zh) * | 2020-01-16 | 2020-06-12 | 四川效率源科技有限责任公司 | 一种基于Windows操作系统的USB设备的管控方法 |
| CN112968867A (zh) * | 2021-01-29 | 2021-06-15 | 北京首都在线科技股份有限公司 | 访问控制方法、系统、物理主机及通信设备 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283756A (zh) * | 2013-07-02 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种实现分布式多租户虚拟网络的方法和装置 |
-
2015
- 2015-12-08 CN CN201510901792.4A patent/CN105376256A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104283756A (zh) * | 2013-07-02 | 2015-01-14 | 杭州华三通信技术有限公司 | 一种实现分布式多租户虚拟网络的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 马威等: "基于Openflow的私有云虚拟网络结构设计", 《北京交通大学学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106534111A (zh) * | 2016-11-09 | 2017-03-22 | 国云科技股份有限公司 | 一种基于流规则实现云平台防御网络攻击的方法 |
| CN108259642A (zh) * | 2018-01-02 | 2018-07-06 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 基于私有云的公共服务虚拟机访问方法和装置 |
| CN111274620A (zh) * | 2020-01-16 | 2020-06-12 | 四川效率源科技有限责任公司 | 一种基于Windows操作系统的USB设备的管控方法 |
| CN112968867A (zh) * | 2021-01-29 | 2021-06-15 | 北京首都在线科技股份有限公司 | 访问控制方法、系统、物理主机及通信设备 |
| CN116389032A (zh) * | 2022-12-29 | 2023-07-04 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
| CN116389032B (zh) * | 2022-12-29 | 2023-12-08 | 国网甘肃省电力公司庆阳供电公司 | 一种基于sdn架构的电力信息传输链路身份验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105376256A (zh) | 一种基于Openflow对用户访问虚拟机进行控制的方法 | |
| JP7004405B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| EP3128705B1 (en) | Resource pool management system and communication method | |
| EP3226508B1 (en) | Attack packet processing method, apparatus, and system | |
| US9654395B2 (en) | SDN-based service chaining system | |
| US9860170B2 (en) | Method, device, and system for packet routing in a network | |
| US10742697B2 (en) | Packet forwarding apparatus for handling multicast packet | |
| WO2012160809A1 (en) | Communication system, control device, communication method, and program | |
| US20130329738A1 (en) | Communication system, data base, control apparatus, communication method, and program | |
| CN105471907B (zh) | 一种基于Openflow的虚拟防火墙传输控制方法及系统 | |
| JP2019500822A (ja) | 仮想マシンパケット制御 | |
| US10122654B2 (en) | Divided hierarchical network system based on software-defined networks | |
| US20170026274A1 (en) | Method for processing packet in network, forwarding device, and packet processing system | |
| EP2924926B1 (en) | Lookup table creation method and query method, and controller, forwarding device and system therefor | |
| WO2014112616A1 (ja) | 制御装置、通信装置、通信システム、スイッチの制御方法及びプログラム | |
| CN106161457B (zh) | 基于sdn的网络域隔离装置及方法 | |
| JP2017507566A (ja) | ネットワークサービスのクラウドベースネットワーク機能注入 | |
| CN105553948A (zh) | 一种基于虚拟机的弹性防攻击方法 | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| WO2016019676A1 (zh) | 一种软件定义网络sdn中处理数据包的方法、装置及系统 | |
| EP4360279A1 (en) | Routing policies for graphical processing units | |
| US10498637B2 (en) | Switch processing method, controller, switch, and switch processing system | |
| CN105099725A (zh) | 边缘网络的组播实现方法和装置 | |
| WO2023249822A1 (en) | Geometric based flow programming | |
| US20180115581A1 (en) | Software defined network for preventing an attack on a host tracking service and controller included in the same |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160302 |