CN112491896A - 一种基于虚拟化网络的可信接入认证系统 - Google Patents
一种基于虚拟化网络的可信接入认证系统 Download PDFInfo
- Publication number
- CN112491896A CN112491896A CN202011373666.3A CN202011373666A CN112491896A CN 112491896 A CN112491896 A CN 112491896A CN 202011373666 A CN202011373666 A CN 202011373666A CN 112491896 A CN112491896 A CN 112491896A
- Authority
- CN
- China
- Prior art keywords
- network
- trusted
- access authentication
- virtual
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000008439 repair process Effects 0.000 claims abstract description 37
- 238000002955 isolation Methods 0.000 claims abstract description 25
- 238000013475 authorization Methods 0.000 claims abstract description 21
- 238000012795 verification Methods 0.000 claims description 26
- 238000005259 measurement Methods 0.000 claims description 19
- 238000004891 communication Methods 0.000 claims description 15
- 238000000034 method Methods 0.000 claims description 11
- 230000008569 process Effects 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 6
- 239000003550 marker Substances 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种基于虚拟化网络的可信接入认证系统,包括:虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信Open vSwitch和可信接入交换控制器,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端;可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端,可信Open vSwitch包括带有虚拟机网络授权信息的预设流表规则,可信Open vSwitch基于预设流表规则向虚拟机提供虚拟网络支持。本发明能够实现虚拟机网络访问的有效控制。
Description
技术领域
本发明涉及虚拟化网络、SDN软件定义网络、TNC可信网络连接和远程证明,具体涉及一种基于虚拟化网络的可信接入认证系统。
背景技术
云计算在社会生活和日常办公环境中的应用带来了诸多便利,但也带来了相应的安全风险和挑战。从技术上来看,云计算通过虚拟化技术实现了数据中心中计算资源、存储资源和网络资源的池化,供云中心用户统一分配使用,给用户使用带来了诸多的便利,但虚拟化技术的引入,也带来了虚拟化资源难于管理、虚拟化网络边界难于界定等新的风险,恶意攻击者通过攻击虚拟机入侵虚拟化网络,在虚拟化网络中传播病毒或盗取信息数据,给运行于云计算平台的业务应用和用户数据带来严重安全威胁,而虚拟化网络的接入威胁,传统的网络安全设备很难防护到位。
综上,依托SDN软件定义网络和TNC可信网络连接技术,研究虚拟化网络虚拟机可信接入认证技术刻不容缓。
发明内容
为解决以上问题,本发明提出了一种基于虚拟化网络的可信接入认证系统,包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信Open vSwitch和可信接入交换控制器,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信Open vSwitch包括带有虚拟机网络授权信息的预设流表规则,可信Open vSwitch基于所述预设流表规则向虚拟机提供虚拟网络支持。
在本发明的一些实施方式中,可信Open vSwitch包括:
Open vSwitch,Open vSwitch与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
VMM可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
在本发明的一些实施方式中,可信接入认证客户端包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到TNC客户端;
TNC客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信Open vSwitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态。
在本发明的一些实施方式中,可信接入认证客户端还包括:
隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
在本发明的一些实施方式中,可信接入认证服务端包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
TNC服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从TNC服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
在本发明的一些实施方式中,可信接入认证服务端还包括:
VMM可信完整性验证模块,配置用于与所述Open vSwitch的VMM可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
在本发明的一些实施方式中,可信接入交换控制器包括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
SDN控制器,配置用于与Open vSwitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到Open vSwitch,以及将通过OpenvSwitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
在本发明的一些实施方式中,隔离修复服务端包括:
可信接入认证客户端下载服务模块,配置用于通过Open vSwitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过Open vSwitch对虚拟网络中的虚拟机提供完整性度量修复服务。
在本发明的一些实施方式中,可信接入认证管理端包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
在本发明的一些实施方式中,Open vSwitch还包括:根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
根据本发明提出的一种基于虚拟化网络的可信接入认证系统,通过获取虚拟网络中虚拟机进程状态、文件完整性、端口状态和U盘接入状态、虚拟机平台身份信息、宿主机上的虚拟机监控器信息进行验证,并根据可信验证结果制定Open vSwitch的流表规则,实现对虚拟网络中虚拟机的网络会话进行控制,以实现对虚拟化网络的安全控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一种基于虚拟化网络的可信接入认证系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
如图1所示,本发明提出了一种基于虚拟化网络的可信接入认证系统包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信Open vSwitch 3和可信接入交换控制器4,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端1和位于控制节点的可信接入认证服务端2,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端6和位于控制节点的可信接入认证管理端5,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信Open vSwitch 3包括带有虚拟机网络授权信息的预设流表规则,可信Open vSwitch 3基于所述预设流表规则向虚拟机提供虚拟网络支持。
在本发明的实施例中,通过Open vSwitch虚拟交换技术提供安全虚拟交换网络服务,可信接入认证客户端1和可信接入认证服务端2之间的网络通信都经过可信OpenvSwitch 3和可信接入交换控制器4。
在本发明的一些实施例中,可信Open vSwitch 3包括:
Open vSwitch,虚拟交换机与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
VMM可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
在本实施例中,Open vSwitch作为虚拟交换机基于802.1x局域网接入认证协议,前端采用EAP可扩展身份验证协议中的EAP-TTLS协议,后端采用Radius AAA协议,实现TNC可信网络连接架构,通过获取到的流表规则对虚拟网络中的虚拟机的通信进行控制,负责对虚拟网络中所有虚拟机的数据交换,VMM可信完整性证明模块位于虚拟机所在的宿主机上,提供宿主机上的虚拟机监控器的认证数据。
在本发明的一些实施例中,可信接入认证客户端1包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到TNC客户端;
TNC客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信Open vSwitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态。
在本实施例中,网络请求访问模块通过Open vSwitch发送可信接入认证请求,在接收到Open vSwitch回信后。完整性度量收集器收集当前虚拟机的进程状态、文件完整性、端口状态和U盘接入状态、虚拟机平台完整性报告、及虚拟机平台身份信息,并将收集到的认证信息发送到TNC客户端。TNC客户端根据网络通信协议,将收到的认证信息封装成网络数据包,并将网络数据包发送到网络访问请求模块。网络访问请求模块将收到的包含认证信息的网络数据包发送到Open vSwitch。
在网络访问请求模块接收到通过Open vSwitch转发的可信接入认证结果之后,将可信接入认证结果的数据包发送到TNC客户端解析,若认证结果为通过,则虚拟机中的其他应用可直接通过Open vSwitch与外部网络通信。同时,实时安全检测模块对虚拟机的进程状态、文件完整性、端口状态和U盘接入状态进行实时检测,如果检测失败,通过网络访问请求模块向Open vSwitch 3发送EAPol-logoff帧并,断开网络连接。
在本发明的一些实施例中,可信接入认证客户端1还包括:隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
在本实施例中,当可信接入认证的结果为验证失败,隔离修复请求模块需要对虚拟机的完整性度量信息进行修复,通过网络访问请求模块向同在虚拟网络中的隔离修复服务端发起隔离修复请求,虚拟机可访问隔离修复web服务,进行可信接入认证客户端和重要配置文件的下载操作,可完成虚拟机接入认证失败后的修复操作
在本发明的一些实施例中,可信接入认证服务端2包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
TNC服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从TNC服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
在本实施例中,网络访问授权从可信接入交换控制器4获取到认证信息数据包后,将认证信息交给TNC服务端对认证信息数据包进行解析,TNC服务端将解析出的认证信息发送到完整性度量验证器进行验证,若验证不通过,则网络访问授权模块向可信接入交换控制器4发出验证失败的可信接入认证结果,日志模块记录所有的认证动作。
在本发明的一些实施例中,可信接入认证服务端2还包括:
VMM可信完整性验证模块,配置用于与所述Open vSwitch的VMM可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
在本实施例中,在完整性度量验证器对认证信息进行验证且验证结果通过后,VMM可信完整性验证模块向可信Open vSwitch 3的VMM可信完整性证明模块发送宿主机身份证明验证请求,在收到宿主机上的虚拟机监控器身份证明,且验证通过后,通过网络访问授权模块发送可信进入认证通过结果。
在本发明的一些实施例中,可信接入交换控制器包4括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
SDN控制器,配置用于与Open vSwitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到Open vSwitch,以及将通过OpenvSwitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
在本实施例中,802.1协议支持模块,对可信接入交换控制器包4所有收到的EAP-TTLS协议封装的数据包进行解析。SDN控制器作为可信接入交换控制器包4数据交换接口接收来自可信接入认证服务端的可信认证验证结果,并将结果交由802.1协议支持模块解析,并将验证结果发送到流表规则模块,流表规则模块将验证结果转换成Open vSwitch支持的流表规则并通过SDN控制器发送到Open vSwitch执行流表规则,流表规则包括对具体虚拟机的网络通信的许可,网络会话管理模块将可信接入认证通过的可信接入认证失败的虚拟机信息的存入到数据库。
在本发明的一些实施例中,隔离修复服务端6包括:
可信接入认证客户端下载服务模块,配置用于通过Open vSwitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过Open vSwitch对虚拟网络中的虚拟机提供完整性度量修复服务。
在本实施例中,可信接入认证客户端下载服务模块提供可信接入认证客户端的下载服务,完整性度量修复模块提供重要配置文件下载服务,,通过vlan网络隔离和OpenvSwitch流表规则控制,虚拟机中的隔离修复请求模块可访问隔离修复web服务端的可信接入认证客户端下载服务模块下载可信接入认证客户端,访问完整性度量修复模块下载重要配置文件。
在本发明的一些实施例中,可信接入认证管理端5包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
在本实施例中,安全策略配置模块提供对对进程状态、文件完整性、端口状态和U盘接入状态等安全策略内容进行修改的功能,操作人员可通过认证管理端或运安全管理平台对上述安全策略进行修改。网络会话设置模块,从可信接入交换控制器4的网络会话管理模块维护的数据库中读取虚拟机的网络授权认证信息,实时显示虚拟化网络可信接入认证成功的虚拟机网络会话状态,可对当前虚拟网络中虚拟机的网络授权状态进行改变。隔离修复模块对隔离修复服务端6的隔离修复服务的可信接入认证客户端下载服务和完整性度量修复模块的文件进行更新和修改,并将文件的路径发送到位于可信接入交换控制器4的流表规则控制模块制定流表规则发送到Open vSwitch执行。
在本发明的一些实施方式中,Open vSwitch还包括:根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
在本实施例中,Open vSwitch在支持可信接入认证服务的安全通信之外,根据由可信接入验证结果生成的流表规则,对虚拟机的网络通信进行限制。
根据本发明提出的一种基于虚拟化网络的可信接入认证系统,通过获取虚拟网络中虚拟机进程状态、文件完整性、端口状态和U盘接入状态、虚拟机平台身份信息、宿主机上的虚拟机监控器信息进行验证,并根据可信验证结果制定Open vSwitch的流表规则,实现对虚拟网络中虚拟机的网络会话进行控制,以实现对虚拟化网络的安全控制。
Claims (10)
1.一种基于虚拟化网络的可信接入认证系统,其特征在于,包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信Open vSwitch和可信接入交换控制器,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信Open vSwitch包括带有虚拟机网络授权信息的预设流表规则,可信OpenvSwitch基于所述预设流表规则向虚拟机提供虚拟网络支持。
2.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信OpenvSwitch包括:
Open vSwitch,Open vSwitch与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
VMM可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
3.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证客户端包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到TNC客户端;
TNC客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信Open vSwitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态。
4.根据权利要求3所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证客户端还包括:
隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
5.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证服务端包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
TNC服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从TNC服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
6.根据权利要求5所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证服务端还包括:
VMM可信完整性验证模块,配置用于与所述Open vSwitch的VMM可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
7.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入交换控制器包括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
SDN控制器,配置用于与Open vSwitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到Open vSwitch,以及将通过OpenvSwitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
8.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述隔离修复服务端包括:
可信接入认证客户端下载服务模块,配置用于通过Open vSwitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过Open vSwitch对虚拟网络中的虚拟机提供完整性度量修复服务。
9.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证管理端包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
10.根据权利要求4所述的虚拟化网络的可信接入认证系统,其特征在于,所述OpenvSwitch还包括:
根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011373666.3A CN112491896B (zh) | 2020-11-30 | 2020-11-30 | 一种基于虚拟化网络的可信接入认证系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011373666.3A CN112491896B (zh) | 2020-11-30 | 2020-11-30 | 一种基于虚拟化网络的可信接入认证系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112491896A true CN112491896A (zh) | 2021-03-12 |
| CN112491896B CN112491896B (zh) | 2022-08-02 |
Family
ID=74937643
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011373666.3A Active CN112491896B (zh) | 2020-11-30 | 2020-11-30 | 一种基于虚拟化网络的可信接入认证系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112491896B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
| CN115378636A (zh) * | 2022-07-11 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种sdn架构下虚拟网络接入鉴权系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
| CN103347027A (zh) * | 2013-07-16 | 2013-10-09 | 湘潭大学 | 一种可信网络连接方法和系统 |
| CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
| CN104683165A (zh) * | 2013-11-27 | 2015-06-03 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 |
| CN105933245A (zh) * | 2016-06-23 | 2016-09-07 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
| CN111464335A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 一种内生可信网络的服务智能定制方法及系统 |
-
2020
- 2020-11-30 CN CN202011373666.3A patent/CN112491896B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
| CN103347027A (zh) * | 2013-07-16 | 2013-10-09 | 湘潭大学 | 一种可信网络连接方法和系统 |
| CN103581203A (zh) * | 2013-11-20 | 2014-02-12 | 北京可信华泰信息技术有限公司 | 基于可信计算的可信网络连接方法 |
| CN104683165A (zh) * | 2013-11-27 | 2015-06-03 | 北京天地超云科技有限公司 | 一种Xen虚拟化环境下虚拟机网络数据的监控方法 |
| CN104378387A (zh) * | 2014-12-09 | 2015-02-25 | 浪潮电子信息产业股份有限公司 | 一种虚拟化平台下保护信息安全的方法 |
| CN105933245A (zh) * | 2016-06-23 | 2016-09-07 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
| CN111464335A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 一种内生可信网络的服务智能定制方法及系统 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612787A (zh) * | 2021-08-10 | 2021-11-05 | 浪潮思科网络科技有限公司 | 一种终端认证方法 |
| CN115378636A (zh) * | 2022-07-11 | 2022-11-22 | 中国电子科技集团公司第三十研究所 | 一种sdn架构下虚拟网络接入鉴权系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112491896B (zh) | 2022-08-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI690173B (zh) | 供安全性監控虛擬網路功能用的安全個人化之技術 | |
| Lal et al. | NFV: Security threats and best practices | |
| US9509692B2 (en) | Secured access to resources using a proxy | |
| CN107251514B (zh) | 用于虚拟化网络的可扩缩安全架构的技术 | |
| EP1305687B1 (en) | Filtered application-to-application communication | |
| US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
| EP3643001B1 (en) | Actively monitoring encrypted traffic by inspecting logs | |
| CA2895522A1 (en) | System and method for monitoring data in a client environment | |
| CN112491896B (zh) | 一种基于虚拟化网络的可信接入认证系统 | |
| US11805104B2 (en) | Computing system operational methods and apparatus | |
| CN113614691A (zh) | 供传统虚拟交付器件使用的连接租用系统和相关方法 | |
| CN105518693A (zh) | 一种安全防护方法,及装置 | |
| Varadharajan et al. | TREASURE: Trust enhanced security for cloud environments | |
| Benzidane et al. | Secured architecture for inter-VM traffic in a Cloud environment | |
| Ruixuan et al. | Research on the network access authentication technology of SDN based on 802.1 X | |
| CN115499177A (zh) | 云桌面访问方法、零信任网关、云桌面客户端和服务端 | |
| CN109040225A (zh) | 一种动态端口桌面接入管理方法和系统 | |
| CN115664686A (zh) | 一种登录方法、装置、计算机设备和存储介质 | |
| Tupakula et al. | Trust enhanced security for tenant transactions in the cloud environment | |
| Varadharajan et al. | Techniques for securing 5G network services from attacks | |
| KR102576357B1 (ko) | 제로 트러스트 보안인증 시스템 | |
| Kalil | Policy Creation and Bootstrapping System for Customer Edge Switching | |
| Mireles et al. | Securing an InfiniBand network and its effect on performance | |
| Carthern et al. | Management Plane | |
| US20130286887A1 (en) | Communications flow analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Chang Shuangju Inventor after: Liang Jibin Inventor after: Li Weidong Inventor after: Liang Jinlin Inventor before: Chang Shuangju Inventor before: Liang Jibin Inventor before: Li Weidong Inventor before: Liang Jinlin |