CN110191105A - OpenStack加密链路实现方法及系统 - Google Patents

OpenStack加密链路实现方法及系统 Download PDF

Info

Publication number
CN110191105A
CN110191105A CN201910393080.4A CN201910393080A CN110191105A CN 110191105 A CN110191105 A CN 110191105A CN 201910393080 A CN201910393080 A CN 201910393080A CN 110191105 A CN110191105 A CN 110191105A
Authority
CN
China
Prior art keywords
intermediate node
node
openstack
encrypted link
vpn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910393080.4A
Other languages
English (en)
Other versions
CN110191105B (zh
Inventor
高丽彪
王国伟
王鹏
唐海均
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Sai Ning Information Technology Co Ltd
Original Assignee
Nanjing Sai Ning Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Sai Ning Information Technology Co Ltd filed Critical Nanjing Sai Ning Information Technology Co Ltd
Priority to CN201910393080.4A priority Critical patent/CN110191105B/zh
Publication of CN110191105A publication Critical patent/CN110191105A/zh
Application granted granted Critical
Publication of CN110191105B publication Critical patent/CN110191105B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种OpenStack加密链路实现方法及系统,其中方法包括:OpenStack集群中网络节点管理程序启动VPN客户端连接第一个中间节点的VPN服务,并提供密钥完成认证;在网络节点与第一个中间节点间的连接建立之后,管理程序通过SSH远程控制指示第一个中间节点连接第二个中间节点的VPN服务,并提供第二个中间节点的密钥完成认证;以此类推,直到所有中间节点完成连接和认证,所形成的若干条加密隧道串联构成整个加密链路;集群中的所有虚拟机访问目标站点时依次通过网络节点和若干中间节点形成的加密链路连接互联网。本发明能够以最小的配置,对整个集群的每个虚拟机设置一条加密链路,并且通过多个中间节点将链路复杂化,加大了溯源难度,降低了暴露风险。

Description

OpenStack加密链路实现方法及系统
技术领域
本发明涉及一种OpenStack加密链路实现方法以及基于该方法的OpenStack集群网络访问控制系统,属于信息处理技术领域。
背景技术
随着大数据、云计算、人工智能、物联网等新技术的快速发展,互联网信息系统和各种网络应用的普适性和复杂性越来越高,伴随而来的各类网络信息安全事件频发。
公共安全部门在执行任务时面临以下难题需要亟待解决:
·手段工具准备周期长
·执行任务有溯源风险
·面对存在监控的网络环境,需要对网络行为进行保护,做到自由地访问目标站点。
基于OpenStack云平台的解决方案,已经具备智能部署工具、快速销毁操作机等功能,但是在反跟踪、反溯源方面能力不足。目前对于个人电脑已经存在这样的技术,比如VPN。使用VPN技术可以在操作机和VPN服务器之间的建立一条加密隧道,所有报文经过加密。这样,中间设备无法监控网络访问情况。另一方面,被访问的目标站点,看到的来访者是VPN服务器,而不是真实的操作机。这样就能够帮助操作机隐藏身份,防止被反查。
在OpenStack集群中,对于单个虚拟机,也可以安装一套软件来达到这样的目的。但是每一个虚拟机模板都需要安装和配置,而且用模板生成的虚拟机的配置都是一样的,缺少灵活性,多个虚拟机使用相同的加密链路,很容易被流量分析系统察觉。而让用户对每一个虚拟机自行配置各自的加密链路,工作量将成倍增加。另外,传统的单个中间节点组成的加密链路,如果这个节点被攻破就会直接暴露操作机的地址,这种风险是难以接受的。
发明内容
发明目的:针对现有技术中存在的问题,本发明的目的是提出一种应用于OpenStack集群的加密链路实现方法以及使用该方法的OpenStack集群网络访问控制系统。该方法能够以最小的配置,对整个集群的每个虚拟机设置一条加密链路,并且通过将链路复杂化,以便将操作机隐藏得更深。
技术方案:为实现上述发明目的,本发明所述的OpenStack加密链路实现方法,包括如下步骤:
(1)OpenStack集群中的网络节点上的管理程序启动VPN客户端连接第一个中间节点的VPN服务,并提供密钥完成认证;
(2)在网络节点与第一个中间节点间的连接建立之后,形成一条加密隧道作为加密链路的第一段;
(3)网络节点上的管理程序通过SSH远程控制指示第一个中间节点用VPN客户端连接第二个中间节点的VPN服务,并提供第二个中间节点的密钥完成认证;
(4)在第一个中间节点与第二个中间节点连接建立之后,第一个中间节点与第二个中间节点间的加密隧道作为加密链路的第二段;以此类推,直到第N-1个中间节点与第N个中间节点完成连接和认证,所形成的N条加密隧道串联构成整个加密链路;其中N为大于1的自然数;
(5)OpenStack集群中的所有虚拟机在访问互联网上的目标站点时依次通过网络节点、第一个中间节点至第N个中间节点形成的加密链路连接互联网。
在优选的实施方案中,每个中间节点的加密算法和密钥都不同。
在优选的实施方案中,每段加密隧道支持双向通信。
在优选的实施方案中,加密链路的中间节点列表由网络节点上的管理程序定义,各个中间节点的密钥由网络节点上的管理程序保管。
在优选的实施方案中,网络节点上管理多条加密链路,通过识别虚拟机的内部地址来将不同的虚拟机的流量引导到不同的加密链路上。
本发明所述的使用上述OpenStack加密链路实现方法的OpenStack集群网络访问控制系统,包括OpenStack集群和至少两个中间节点,所述OpenStack集群包括网络节点和若干虚拟机;
所述网络节点部署有VPN客户端和服务,SSH客户端和服务以及管理程序,所述管理程序用于通过网络节点上VPN客户端连接第一个中间节点的VPN服务,并提供密钥完成认证;以及通过SSH远程控制指示第n-1个中间节点用VPN客户端连接第n个中间节点的VPN服务,并提供第n个中间节点的密钥完成认证,2≤n≤N;
所述中间节点部署有VPN客户端和服务,SSH客户端和服务;每个中间节点在创建加密隧道时连接的VPN服务地址和SSH服务地址,以及采用的加密算法和密钥由网络节点上的管理程序提供;所述虚拟机通过网络节点连接互联网,不感知加密链路的中间节点信息。
在优选的实施方案中,所述网络节点上设有流量引导模块,通过识别虚拟机的内部地址利用iptables工具将不同的虚拟机的流量引导到不同的加密链路上。
有益效果:与现有技术相比,本发明具有如下优点:
1、能够为OpenStack集群中每一个虚拟机增加反跟踪、反溯源能力;
2、采用多个中间节点加大溯源难度,降低暴露风险;
3、对虚拟机完全透明,支持所有操作系统,包括各种Linux和Windows;并且不需要在虚拟机里安装软件,自动对所有应用程序的网络流量进行加密。
附图说明
图1为本发明实施例中的加密链路连接示意图。
图2为本发明实施例中的加密链路创建过程示意图。
图3为本发明实施例中的多条加密链路结构示意图。
具体实施方式
下面结合具体实施例,进一步阐明本发明,应理解这些实施例仅用于说明本发明而不用于限制本发明的范围,在阅读了本发明之后,本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。
如图1所示,本发明实施例公开的OpenStack集群网络访问控制系统,主要包括OpenStack集群和集群之外用于跳转的若干链路中间节点。集群中包括若干虚拟机和网络节点,所有虚拟机都是通过网络节点连接到互联网。网络节点上运行链路管理程序,负责控制链路的创建、删除和切换。虚拟机本身不需要特殊配置,不会感知到网络变化。中间节点上,需要运行VPN服务和SSH服务。每个节点的加密算法和密钥都不一样。
根据业务需求配置一条加密链路中的中间节点数量。具体OpenStack加密链路实现方法是:首先管理程序启动VPN客户端连接第一个中间节点的VPN服务,并提供密钥完成认证。在连接建立之后,会在网络节点上会生成一个网络隧道设备tun0,与第一个中间节点的tun0(VPN服务端默认第一个设备是tun0)形成一条加密隧道作为加密链路的第一段。此时管理程序通过SSH远程控制指示第一个中间节点用VPN客户端连接去连接第二个中间节点的VPN服务,同时提供第二个中间节点的密钥。在这个连接建立之后,第一个中间节点上会再生成一个网络隧道设备tun1(因为tun0已存在,新设备依次编号取名为tun1),与第二个中间节点的tun0形成一条加密隧道,作为加密链路的第二段。以此类推,直到最后一个中间节点完成连接和认证,加密链路创建完毕(见图2)。每一段加密隧道都是支持双向通信的,因此整个加密链路也是双向的。报文从链路的第一段进入,会自动流经每一段隧道,最后从末端流出,反向报文也是一样的。加密链路的中间节点列表由网络节点上的管理程序来定义,各中间节点的密钥也是由管理程序保管。每个中间节点是独立的,不会暴露其它中间节点的信息。同时可以很方便地增加或者减少中间节点数目。
中间节点可以被多条链路复用(见图3),通过管理程序可以自由地排列若干中间节点,组成一条新的链路。因为中间节点连接下一个节点时都会生成一个网络隧道设备,所以当中间节点被多条链路复用时,都会生成多个网络隧道设备(tun1、tun2...tunX)。OpenStack集群的网络节点也是这样,当存在多条链路时,会有多个网络隧道设备与之对应。
加密链路建立好以后还不能直接使用,因为默认情况下虚拟机访问目标站点会直接连通,而不会经过中间节点。这时,需要在网络节点上,利用iptables工具,把虚拟机的流量引导到加密链路上。若存在多条加密链路,可以通过识别虚拟机的内部地址来将不同的虚拟机的流量引导到不同的加密链路上,实现更加精细的控制。
这样,虚拟机通过加密链路连接任意目标站点。不管使用什么协议,比如HTTP、HTTPS、FTP,本方案能够保证集群与链路最后一条之间是加密的,无法被轻易破解;目标站点看到的来访者,是链路中的最后一个中间节点,而不是OpenStack集群。

Claims (7)

1.OpenStack加密链路实现方法,其特征在于,包括如下步骤:
(1)OpenStack集群中的网络节点上的管理程序启动VPN客户端连接第一中间节点的VPN服务,并提供密钥完成认证;
(2)在网络节点与第一个中间节点间的连接建立之后,形成一条加密隧道作为加密链路的第一段;
(3)网络节点上的管理程序通过SSH远程控制指示第一个中间节点用VPN客户端连接第二个中间节点的VPN服务,并提供第二个中间节点的密钥完成认证;
(4)在第一个中间节点与第二个中间节点连接建立之后,第一个中间节点与第二个中间节点间的加密隧道作为加密链路的第二段;以此类推,直到第N-1个中间节点与第N个中间节点完成连接和认证,所形成的N条加密隧道串联构成整个加密链路;其中N为大于1的自然数;
(5)OpenStack集群中的所有虚拟机在访问互联网上的目标站点时依次通过网络节点、第一个中间节点至第N个中间节点形成的加密链路连接互联网。
2.根据权利要求1所述的OpenStack加密链路实现方法,其特征在于,每个中间节点的加密算法和密钥都不同。
3.根据权利要求1所述的OpenStack加密链路实现方法,其特征在于,每段加密隧道支持双向通信。
4.根据权利要求1所述的OpenStack加密链路实现方法,其特征在于,加密链路的中间节点列表由网络节点上的管理程序定义,各个中间节点的密钥由网络节点上的管理程序保管。
5.根据权利要求1所述的OpenStack加密链路实现方法,其特征在于,网络节点上管理多条加密链路,通过识别虚拟机的内部地址来将不同的虚拟机的流量引导到不同的加密链路上。
6.使用根据权利要求1-5任一项所述的OpenStack加密链路实现方法的OpenStack集群网络访问控制系统,其特征在于,包括OpenStack集群和至少两个中间节点,所述OpenStack集群包括网络节点和若干虚拟机;
所述网络节点部署有VPN客户端和服务,SSH客户端和服务以及管理程序,所述管理程序用于通过网络节点上VPN客户端连接第一个中间节点的VPN服务,并提供密钥完成认证;以及通过SSH远程控制指示第n-1个中间节点用VPN客户端连接第n个中间节点的VPN服务,并提供第n个中间节点的密钥完成认证,2≤n≤N;
所述中间节点部署有VPN客户端和服务,SSH客户端和服务;每个中间节点在创建加密隧道时连接的VPN服务地址和SSH服务地址,以及采用的加密算法和密钥由网络节点上的管理程序提供;所述虚拟机通过网络节点连接互联网,不感知加密链路的中间节点信息。
7.根据权利要求6所述的OpenStack集群网络访问控制系统,其特征在于,所述网络节点上设有流量引导模块,通过识别虚拟机的内部地址利用iptables工具将不同的虚拟机的流量引导到不同的加密链路上。
CN201910393080.4A 2019-05-13 2019-05-13 OpenStack加密链路实现方法及系统 Active CN110191105B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910393080.4A CN110191105B (zh) 2019-05-13 2019-05-13 OpenStack加密链路实现方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910393080.4A CN110191105B (zh) 2019-05-13 2019-05-13 OpenStack加密链路实现方法及系统

Publications (2)

Publication Number Publication Date
CN110191105A true CN110191105A (zh) 2019-08-30
CN110191105B CN110191105B (zh) 2021-05-18

Family

ID=67714478

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910393080.4A Active CN110191105B (zh) 2019-05-13 2019-05-13 OpenStack加密链路实现方法及系统

Country Status (1)

Country Link
CN (1) CN110191105B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064569A (zh) * 2019-12-09 2020-04-24 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN112165494A (zh) * 2020-09-30 2021-01-01 厦门亿联网络技术股份有限公司 报文分析方法、装置、电子设备及存储介质
CN113542077A (zh) * 2021-09-17 2021-10-22 南京赛宁信息技术有限公司 openstack加密链路管理方法和系统
CN115118521A (zh) * 2022-07-26 2022-09-27 南京赛宁信息技术有限公司 一种按地区负载均衡的加密链路节点选择方法与系统
CN115277044A (zh) * 2022-05-17 2022-11-01 南京赛宁信息技术有限公司 OpenStack加密链路节点分层方法与系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2468454A (en) * 2007-12-31 2010-09-08 Intel Corp Personal guard
CN106549936A (zh) * 2016-09-29 2017-03-29 北京知道未来信息技术有限公司 一种基于多路vpn负载均衡的扫描器反溯源方法和设备
WO2018044876A1 (en) * 2016-09-01 2018-03-08 Zitovault Software, Inc. Secure tunnels for the internet of things
CN107835151A (zh) * 2017-09-21 2018-03-23 北京知道未来信息技术有限公司 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置
CN107925575A (zh) * 2015-06-22 2018-04-17 赛门铁克公司 用于管理网络通信隐私的技术
CN108632237A (zh) * 2017-09-15 2018-10-09 湖南科技大学 一种基于多匿名器匿名的位置服务方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2468454A (en) * 2007-12-31 2010-09-08 Intel Corp Personal guard
CN107925575A (zh) * 2015-06-22 2018-04-17 赛门铁克公司 用于管理网络通信隐私的技术
WO2018044876A1 (en) * 2016-09-01 2018-03-08 Zitovault Software, Inc. Secure tunnels for the internet of things
CN106549936A (zh) * 2016-09-29 2017-03-29 北京知道未来信息技术有限公司 一种基于多路vpn负载均衡的扫描器反溯源方法和设备
CN108632237A (zh) * 2017-09-15 2018-10-09 湖南科技大学 一种基于多匿名器匿名的位置服务方法
CN107835151A (zh) * 2017-09-21 2018-03-23 北京知道未来信息技术有限公司 一种即插即用式多协议链路自主切换的无痕上网浏览方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
张越: "国密IPSec VPN安全机制研究与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑 2019年》 *
罗军舟等: "匿名通信与暗网研究综述", 《计算机研究与发展 2019年》 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111064569A (zh) * 2019-12-09 2020-04-24 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN111064569B (zh) * 2019-12-09 2021-04-20 支付宝(杭州)信息技术有限公司 可信计算集群的集群密钥获取方法及装置
CN112165494A (zh) * 2020-09-30 2021-01-01 厦门亿联网络技术股份有限公司 报文分析方法、装置、电子设备及存储介质
CN113542077A (zh) * 2021-09-17 2021-10-22 南京赛宁信息技术有限公司 openstack加密链路管理方法和系统
CN115277044A (zh) * 2022-05-17 2022-11-01 南京赛宁信息技术有限公司 OpenStack加密链路节点分层方法与系统
CN115118521A (zh) * 2022-07-26 2022-09-27 南京赛宁信息技术有限公司 一种按地区负载均衡的加密链路节点选择方法与系统
CN115118521B (zh) * 2022-07-26 2022-11-22 南京赛宁信息技术有限公司 一种按地区负载均衡的加密链路节点选择方法与系统

Also Published As

Publication number Publication date
CN110191105B (zh) 2021-05-18

Similar Documents

Publication Publication Date Title
CN110191105A (zh) OpenStack加密链路实现方法及系统
CN110348830B (zh) 一种基于区块链的网络系统、认证方法、设备及存储介质
CN101553821B (zh) 用于分析数据处理环境的安全状况的方法和系统
CN112134956A (zh) 一种基于区块链的分布式物联网指令管理方法和系统
CN110557385B (zh) 一种基于行为混淆的信息隐匿访问方法及系统、服务器
CN110009201B (zh) 一种基于区块链技术的电力数据链接系统及方法
CN102238203A (zh) 一种实现物联网业务的方法及系统
CN108512939A (zh) 一种区块链共识方法、装置及相关设备
CN111737735A (zh) 一种BDChain区块链服务平台
CN102404326B (zh) 一种验证报文安全性的方法、系统以及装置
CN106302413A (zh) 企业内网访问方法、ios终端、中转处理方法、中转服务器
CN110909083A (zh) 区块链上可验证随机函数的共识方法及其系统
Tiwari et al. Blockchain Enabled Reparations in Smart Buildings-Cyber Physical System.
Levshun et al. Design lifecycle for secure cyber-physical systems based on embedded devices
Tichy et al. Application of Cybersecurity Approaches within Smart Cities and ITS
CN110096039A (zh) 一种自动化设备机器互联系统及方法
CN116070253A (zh) 驾驶数据处理方法、装置和存储介质
CN103514407B (zh) 从办公网传输到生产网的音视频文件的杀毒方法和系统
Bali et al. Cyber-physical, IoT, and Autonomous Systems in Industry 4.0
CN114007149A (zh) 电力系统的监测方法、装置、系统、存储介质及处理器
CN115442029A (zh) 一种用于智能工厂的云平台
CN114567678A (zh) 一种云安全服务的资源调用方法、装置及电子设备
CN110475227B (zh) 车联网信息安全防护的方法、装置、系统、电子设备
CN113127919A (zh) 数据处理方法、装置及计算设备、存储介质
CN104537090A (zh) 用户信息标准化数据处理方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant