CN107294980A - 一种虚拟机网络接入分层控制系统及方法 - Google Patents

一种虚拟机网络接入分层控制系统及方法 Download PDF

Info

Publication number
CN107294980A
CN107294980A CN201710515982.1A CN201710515982A CN107294980A CN 107294980 A CN107294980 A CN 107294980A CN 201710515982 A CN201710515982 A CN 201710515982A CN 107294980 A CN107294980 A CN 107294980A
Authority
CN
China
Prior art keywords
virtual machine
machine
physical machine
physical
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710515982.1A
Other languages
English (en)
Other versions
CN107294980B (zh
Inventor
郝虹
段成德
于治楼
聂品
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Inspur Science Research Institute Co Ltd
Original Assignee
Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jinan Inspur Hi Tech Investment and Development Co Ltd filed Critical Jinan Inspur Hi Tech Investment and Development Co Ltd
Priority to CN201710515982.1A priority Critical patent/CN107294980B/zh
Publication of CN107294980A publication Critical patent/CN107294980A/zh
Application granted granted Critical
Publication of CN107294980B publication Critical patent/CN107294980B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

本发明特别涉及一种虚拟机网络接入分层控制系统及方法。该虚拟机网络接入分层控制系统,包括虚拟机,虚拟机所在宿主机,物理机网络接入控制服务器,物理机安全策略服务器,虚拟机安全策略服务器和物理机接入策略执行点。该虚拟机网络接入分层控制系统及方法,在云环境下,对于新加入云的物理机的入网请求,由云中的物理机网络接入控制服务器根据物理机安全策略处理;而物理机上新创建的虚拟机的入网请求,则由物理机根据虚拟机安全策略处理,减轻了网络接入控制服务器的压力,提高了处理效率的目的。

Description

一种虚拟机网络接入分层控制系统及方法
技术领域
本发明涉及虚拟机网络安全技术领域,特别涉及一种虚拟机网络接入分层控制系统及方法。
背景技术
在云环境下,每个云内会存在大量的虚拟机,而且随时可能会有新的虚拟机被创建,并请求接入。如果所有的虚拟机网络接入请求都由统一的一个网络接入控制服务器处理,势必会增加网络接入控制服务器的工作量,进而降低处理效率。
目前各类虚拟机的网络模式大致包括:桥接模式(Bridge)、网络转换模式(NAT)、仅主机模式(Host-Only)等,其中最常用较方便的网络模式为NAT模式。在该网络模式下,虚拟机的IP只需要配置NAT网段中的IP,访问外部虚拟机或宿主机则是通过其所在宿主机的IP访问,虚拟机不需要有外部网络独立的IP,如果宿主机对其上的虚拟机禁用物理网卡设备,则虚拟机就无法接入外部网络。
基于上述情况,本发明提出了一种虚拟机网络接入分层控制系统及方法。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的虚拟机网络接入分层控制系统及方法。
本发明是通过如下技术方案实现的:
一种虚拟机网络接入分层控制系统,其特征在于,包括虚拟机,虚拟机所在宿主机,物理机网络接入控制服务器,物理机安全策略服务器,虚拟机安全策略服务器和物理机接入策略执行点;所述虚拟机安全策略服务器和物理机接入策略执行点均连接到虚拟机所在宿主机,所述物理机安全策略服务器通过物理机网络接入控制服务器连接物理机接入策略执行点。
一种虚拟机网络接入分层控制系统的控制方法,包括物理机网络接入和虚拟机网络接入两部分;在云环境下,对于新加入云的物理机的入网请求,由云中的物理机网络接入控制服务器根据物理机安全策略处理;而物理机上新创建的虚拟机的入网请求,则由物理机根据虚拟机安全策略处理。
所述物理机的网络接入流程,包括以下步骤:
(1)虚拟机所在宿主机向物理机接入策略执行点申请接入网络,并将自身安全性信息发送给物理机接入策略执行点;
(2)物理机接入策略执行点将虚拟机所在宿主机的安全性信息转发给物理机网络接入控制服务器;
(3)物理机网络接入控制服务器将虚拟机所在宿主机的安全性信息交给物理机安全策略服务器进行认证;
(4)物理机安全策略服务器根据策略验证虚拟机所在宿主机安全性信息,将认证结果发送给物理机网络接入控制服务器;
(5)物理机网络接入控制服务器根据认证结果给出虚拟机所在宿主机的接入策略,若安全性信息认证通过则允许接入,否则拒绝接入;
(6)物理机接入策略执行点实施接入策略,并通知虚拟机所在宿主机。
所述虚拟机网络接入流程,包括以下步骤:
(1)虚拟机请求使用虚拟机所在宿主机上的物理网卡接入网络;
(2)虚拟机所在宿主机上的虚拟机监控器定位到虚拟机,并收集虚拟机的安全性信息,将信息转发给宿主机管理员;
(3)宿主机管理员将虚拟机的安全性信息交给虚拟机安全策略服务器进行认证;
(4)虚拟机安全策略服务器根据策略验证虚拟机安全性信息,并给出认证结果;
(5)宿主机管理员根据认证结果给出物理网卡的使用权限,若安全性信息认证通过则允许使用,否则禁止使用。
本发明的有益效果是:该虚拟机网络接入分层控制系统及方法,在云环境下,对于新加入云的物理机的入网请求,由云中的物理机网络接入控制服务器根据物理机安全策略处理;而物理机上新创建的虚拟机的入网请求,则由物理机根据虚拟机安全策略处理,减轻了网络接入控制服务器的压力,提高了处理效率的目的。
附图说明
附图1为本发明虚拟机网络接入分层控制系统示意图。
附图2为本发明物理机的网络接入流程示意图。
附图3为本发明虚拟机网络接入流程示意图。
附图中,A1为虚拟机,A2为虚拟机所在宿主机,A3为物理机网络接入控制服务器,A4为物理机安全策略服务器,A5为虚拟机安全策略服务器,A6为物理机接入策略执行点。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图和实施例,对本发明进行详细的说明。应当说明的是,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
该虚拟机网络接入分层控制系统,包括虚拟机,虚拟机所在宿主机,物理机网络接入控制服务器,物理机安全策略服务器,虚拟机安全策略服务器和物理机接入策略执行点;所述虚拟机安全策略服务器和物理机接入策略执行点均连接到虚拟机所在宿主机,所述物理机安全策略服务器通过物理机网络接入控制服务器连接物理机接入策略执行点。
该虚拟机网络接入分层控制系统的控制方法,包括物理机网络接入和虚拟机网络接入两部分;在云环境下,对于新加入云的物理机的入网请求,由云中的物理机网络接入控制服务器根据物理机安全策略处理;而物理机上新创建的虚拟机的入网请求,则由物理机根据虚拟机安全策略处理。
所述物理机的网络接入流程,包括以下步骤:
(1)虚拟机所在宿主机向物理机接入策略执行点申请接入网络,并将自身安全性信息发送给物理机接入策略执行点;
(2)物理机接入策略执行点将虚拟机所在宿主机的安全性信息转发给物理机网络接入控制服务器;
(3)物理机网络接入控制服务器将虚拟机所在宿主机的安全性信息交给物理机安全策略服务器进行认证;
(4)物理机安全策略服务器根据策略验证虚拟机所在宿主机安全性信息,将认证结果发送给物理机网络接入控制服务器;
(5)物理机网络接入控制服务器根据认证结果给出虚拟机所在宿主机的接入策略,若安全性信息认证通过则允许接入,否则拒绝接入;
(6)物理机接入策略执行点实施接入策略,并通知虚拟机所在宿主机。
所述虚拟机网络接入流程,包括以下步骤:
(1)虚拟机请求使用虚拟机所在宿主机上的物理网卡接入网络;
(2)虚拟机所在宿主机上的虚拟机监控器定位到虚拟机,并收集虚拟机的安全性信息,将信息转发给宿主机管理员;
(3)宿主机管理员将虚拟机的安全性信息交给虚拟机安全策略服务器进行认证;
(4)虚拟机安全策略服务器根据策略验证虚拟机安全性信息,并给出认证结果;
(5)宿主机管理员根据认证结果给出物理网卡的使用权限,若安全性信息认证通过则允许使用,否则禁止使用。

Claims (4)

1.一种虚拟机网络接入分层控制系统,其特征在于,包括以下步骤:包括虚拟机,虚拟机所在宿主机,物理机网络接入控制服务器,物理机安全策略服务器,虚拟机安全策略服务器和物理机接入策略执行点;所述虚拟机安全策略服务器和物理机接入策略执行点均连接到虚拟机所在宿主机,所述物理机安全策略服务器通过物理机网络接入控制服务器连接物理机接入策略执行点。
2.根据权利要求1所述的虚拟机网络接入分层控制系统的控制方法,其特征在于:包括物理机网络接入和虚拟机网络接入两部分;在云环境下,对于新加入云的物理机的入网请求,由云中的物理机网络接入控制服务器根据物理机安全策略处理;而物理机上新创建的虚拟机的入网请求,则由物理机根据虚拟机安全策略处理。
3.根据权利要求2所述的虚拟机网络接入分层控制系统的控制方法,其特征在于,所述物理机的网络接入流程,包括以下步骤:
(1)虚拟机所在宿主机向物理机接入策略执行点申请接入网络,并将自身安全性信息发送给物理机接入策略执行点;
(2)物理机接入策略执行点将虚拟机所在宿主机的安全性信息转发给物理机网络接入控制服务器;
(3)物理机网络接入控制服务器将虚拟机所在宿主机的安全性信息交给物理机安全策略服务器进行认证;
(4)物理机安全策略服务器根据策略验证虚拟机所在宿主机安全性信息,将认证结果发送给物理机网络接入控制服务器;
(5)物理机网络接入控制服务器根据认证结果给出虚拟机所在宿主机的接入策略,若安全性信息认证通过则允许接入,否则拒绝接入;
(6)物理机接入策略执行点实施接入策略,并通知虚拟机所在宿主机。
4.根据权利要求2所述的虚拟机网络接入分层控制系统的控制方法,其特征在于,所述虚拟机网络接入流程,包括以下步骤:
(1)虚拟机请求使用虚拟机所在宿主机上的物理网卡接入网络;
(2)虚拟机所在宿主机上的虚拟机监控器定位到虚拟机,并收集虚拟机的安全性信息,将信息转发给宿主机管理员;
(3)宿主机管理员将虚拟机的安全性信息交给虚拟机安全策略服务器进行认证;
(4)虚拟机安全策略服务器根据策略验证虚拟机安全性信息,并给出认证结果;
(5)宿主机管理员根据认证结果给出物理网卡的使用权限,若安全性信息认证通过则允许使用,否则禁止使用。
CN201710515982.1A 2017-06-29 2017-06-29 一种虚拟机网络接入分层控制方法 Active CN107294980B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710515982.1A CN107294980B (zh) 2017-06-29 2017-06-29 一种虚拟机网络接入分层控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710515982.1A CN107294980B (zh) 2017-06-29 2017-06-29 一种虚拟机网络接入分层控制方法

Publications (2)

Publication Number Publication Date
CN107294980A true CN107294980A (zh) 2017-10-24
CN107294980B CN107294980B (zh) 2021-01-01

Family

ID=60099634

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710515982.1A Active CN107294980B (zh) 2017-06-29 2017-06-29 一种虚拟机网络接入分层控制方法

Country Status (1)

Country Link
CN (1) CN107294980B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506170B2 (en) * 2004-05-28 2009-03-17 Microsoft Corporation Method for secure access to multiple secure networks
CN102291452A (zh) * 2011-08-09 2011-12-21 北京星网锐捷网络技术有限公司 基于云策略的虚拟机管理方法、云管理服务器及云系统
CN103458003A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种自适应云计算环境虚拟安全域访问控制方法和系统
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506170B2 (en) * 2004-05-28 2009-03-17 Microsoft Corporation Method for secure access to multiple secure networks
CN102291452A (zh) * 2011-08-09 2011-12-21 北京星网锐捷网络技术有限公司 基于云策略的虚拟机管理方法、云管理服务器及云系统
CN103458003A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种自适应云计算环境虚拟安全域访问控制方法和系统
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法

Also Published As

Publication number Publication date
CN107294980B (zh) 2021-01-01

Similar Documents

Publication Publication Date Title
EP3574625B1 (de) Verfahren zum durchführen einer authentifizierung
CN103618752B (zh) 一种虚拟机远程桌面安全访问系统及方法
CN107528853A (zh) 微服务权限控制的实现方法
JP2016514295A5 (zh)
CN103428211B (zh) 基于交换机的网络认证系统及其认证方法
CN104065731A (zh) 一种ftp文件传输系统及传输方法
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE112012003293T5 (de) Vorrichtung und Verfahren zur Verbesserung der Datensicherheit in einer Host-Computer-Vorrichtung und einer Peripherie-Vorrichtung
CN102143177A (zh) 一种Portal认证方法、装置、设备及系统
DE112020000244T5 (de) Initialisierung einer Datenspeicherungsvorrichtung mit einer Managervorrichtung
CN104539600A (zh) 一种支持过滤iec104协议的工控防火墙实现方法
DE112020000180T5 (de) Mehrvorrichtungsentsperrung einer datenspeichervorrichtung
CN103957194B (zh) 一种网络协议ip接入方法及接入设备
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
CN108769004B (zh) 一种工业互联网智能设备远程操作安全验证方法
CN107294980A (zh) 一种虚拟机网络接入分层控制系统及方法
CN104009864B (zh) 一种云化管理平台
DE102014112478A1 (de) Verfahren zur Verteilung von Tasks zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
CN205812053U (zh) 一种用于交换机管理的网络准入控制系统
CN102999728B (zh) 基于安全桌面的数据存储方法及装置
CN108111461B (zh) 实现虚拟机访问管理网络的方法、装置、网关及系统
CN106452781B (zh) 一种基于预解密的移动终端透明加密方法
CN203164961U (zh) 一种安全移动存储设备
CN107317851A (zh) 一种基于软件定义网络的安全通信方法
EP3105899B1 (de) Verfahren zum hochfahren eines produktions-computersystems

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20201210

Address after: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong

Applicant after: INSPUR GROUP Co.,Ltd.

Address before: 250100 First Floor of R&D Building 2877 Kehang Road, Sun Village Town, Jinan High-tech Zone, Shandong Province

Applicant before: JINAN INSPUR HIGH-TECH TECHNOLOGY DEVELOPMENT Co.,Ltd.

GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230328

Address after: 250000 building S02, No. 1036, Langchao Road, high tech Zone, Jinan City, Shandong Province

Patentee after: Shandong Inspur Scientific Research Institute Co.,Ltd.

Address before: No. 1036, Shandong high tech Zone wave road, Ji'nan, Shandong

Patentee before: INSPUR GROUP Co.,Ltd.