CN115296939A - 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质 - Google Patents

解决虚拟机迁移与IPsec机制冲突的方法、设备及介质 Download PDF

Info

Publication number
CN115296939A
CN115296939A CN202211228174.4A CN202211228174A CN115296939A CN 115296939 A CN115296939 A CN 115296939A CN 202211228174 A CN202211228174 A CN 202211228174A CN 115296939 A CN115296939 A CN 115296939A
Authority
CN
China
Prior art keywords
ipsec
virtual machine
service
gateway
gateways
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211228174.4A
Other languages
English (en)
Inventor
郭栋
陈世康
罗晋
梁嬿良
姜鹏博
高洋洋
谭觅
朱建明
陈敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202211228174.4A priority Critical patent/CN115296939A/zh
Publication of CN115296939A publication Critical patent/CN115296939A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45575Starting, stopping, suspending or resuming virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种解决虚拟机迁移与IPsec机制冲突的方法、设备及介质,其中方法包括以下步骤:业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密钥交换协议IKE协商建立协商安全联盟即IKE SA;在IKE SA的保护下,业务发起方的IPsec网关将选定的IPsec SA信息发送到其它的IPsec网关以建立IPsec SA,使虚拟机在不同的IPsec网关所保护的物理机之间迁移时业务能够自动恢复。本发明具有业务不中断、无需调整配置等优点,实现了在IPsec环境下的虚拟机动态迁移,适合在虚拟私有云中应用。

Description

解决虚拟机迁移与IPsec机制冲突的方法、设备及介质
技术领域
本发明涉及云计算技术领域,尤其涉及一种解决虚拟机迁移与IPsec机制冲突的方法、设备及介质。
背景技术
目前,在云数据中心内,虚拟机在不同物理机间进行迁移的情况时有发生,为保证虚拟机持续提供服务,要求在其迁移前后自身的IP地址和MAC地址保持不变。
IP网络普遍采用IPsec技术对数据在网络传输时提供加密保护。在实际应用中,因为标准IPsec机制需要将IPsec网关与被保护的主机或子网进行绑定,所以在IPsec环境下,虚拟机维持地址不变进行动态迁移、无需人工干预即能持续提供服务的需求无法得到满足,虚拟机迁移后需要对涉及与该虚拟机通信提供保护的所有IPsec网关进行安全策略调整,在大规模网络中,所涉及的配置工作量大且容易出错,因此急需一种解决虚拟机迁移与IPsec机制冲突的办法,以满足虚拟机灵活迁移的需求。目前,尚未发现涉及该方法的相关研究。
发明内容
针对云数据中心VPC内采用IPsec技术进行网络层数据保护的环境下,虚拟机迁移后的用户业务无法自动恢复、安全策略调整工作量大且容易出错等问题,本发明提出一种解决虚拟机迁移与IPsec机制冲突的方法、设备及介质。
本发明采用的技术方案如下:
一种解决虚拟机迁移与IPsec机制冲突的方法,包括以下步骤:
S1. 业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密钥交换协议IKE协商建立协商安全联盟即IKE SA;
S2. 在IKE SA的保护下,业务发起方的IPsec网关将选定的IPsec SA信息发送到其它的IPsec网关以建立IPsec SA,使虚拟机在不同的IPsec网关所保护的物理机之间迁移时业务能够自动恢复。
进一步地,步骤S1之前还包括以下步骤:
IPsec网关预留SPI段,不做自动分配;业务发起方的IPsec网关生成业务密钥,从预留的SPI段中选取一个未使用的SPI值,指定报文封装模式为传输模式,指定使用的认证算法及加密算法,建立外出方向IPsec SA。
进一步地,步骤S2中,其它的IPsec网关收到业务发起方发送的IPsec SA信息后,能够建立进入方向IPsec SA,从而使业务发起方的IPsec网关能够与VPC中其它的IPsec网关建立具有相同的SPI及密钥的IPsec SA。
进一步地,步骤S2中,当接收业务的虚拟机迁移到其它物理机上后,业务发起方的IPsec网关加密后的报文将被转发至新的IPsec网关。
进一步地,步骤S2中,新的IPsec网关通过检索报文中的SPI能够找到之前建立的进入方向IPsec SA,实现对报文的解密。
进一步地,所述IPsec SA信息包括SPI、密钥、封装模式、安全协议、认证算法和加密算法。
一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现上述解决虚拟机迁移与IPsec机制冲突的方法的步骤。
一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现上述解决虚拟机迁移与IPsec机制冲突的方法的步骤。
本发明的有益效果在于:
在IPsec保护的虚拟私有云环境中,当虚拟机在不同物理机之间迁移时,通常需要手动配置涉及该虚拟机业务的所有IPsec网关的安全策略,才能实现虚拟机迁移后的业务正常访问。在规模较大的网络实施IPsec后,虚拟机迁移后存在业务中断、手工配置工作量大等问题。本发明具有业务不中断、无需调整配置等优点,实现了在IPsec环境下的虚拟机动态迁移,适合在虚拟私有云中应用。
附图说明
图1是本发明实施例1的工作流程图。
图2是本发明实施例1的业务流程图(虚拟机迁移前)。
图3是本发明实施例1的业务流程图(虚拟机迁移后)。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本实施例提供了一种解决虚拟机迁移与IPsec机制冲突的方法,包括以下步骤:
S1. IPsec网关预留SPI段,不做自动分配;
S2. 业务发起方的IPsec网关生成业务密钥,从预留的SPI段中选取一个未使用的SPI值,指定报文封装模式为传输模式,指定使用的认证算法及加密算法,建立外出方向IPsec SA;
S3. 业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密钥交换协议IKE协商建立协商安全联盟即IKE SA;
S4. 在IKE SA的保护下,业务发起方的IPsec网关将选定的IPsec SA信息发送到其它的IPsec网关以建立IPsec SA,使虚拟机在不同的IPsec网关所保护的物理机之间迁移时业务能够自动恢复。具体地,其它的IPsec网关收到业务发起方发送的IPsec SA信息后建立进入方向IPsec SA,这样业务发起方的IPsec网关就能够与VPC中其它的IPsec网关建立具有相同的SPI及密钥的IPsec SA。
优选地,当接收业务的虚拟机迁移到其它物理机上后,业务发起方的IPsec网关加密后的报文将被转发至新的IPsec网关,新的IPsec网关通过检索报文中的SPI能够找到之前建立的进入方向IPsec SA,实现对报文的解密。
优选地,IPsec SA信息包括SPI、密钥、封装模式、安全协议、认证算法和加密算法。
下面以部署到IPsec环境下的虚拟机1、虚拟机2、虚拟机3为例,对该方法进行详细说明。在该例子中,首先是部署在物理机1上的虚拟机1和部署在物理机2上的虚拟机2之间进行通信,其中虚拟机1作为业务发起方,虚拟机2作为业务接收方;之后,将虚拟机2从物理机2迁移到物理机3,迁移完成后,在未对虚拟机2的IP及MAC网络地址、IPsec网关配置进行任何修改的情况下,虚拟机1访问虚拟机2业务依然正常。
业务访问流程如图2和图3所示,步骤如下:
(1)IPsec网关1选择SPI,生成业务密钥,指定封装模式、加密算法和认证算法,建立外出方向IPsec SA。
(2)IPsec网关1向IPsec网关2发起IKE协商。
(3)IPsec网关1与IPsec网关2完成IKE协商,建立安全通道。
(4)IPsec网关1通过安全通道将选择的SPI、业务密钥、封装模式、加密算法和认证算法发送给IPsec网关2。
(5)IPsec网关2建立SPI号为Y的进入方向IPsec SA。
(6)IPsec网关1与IPsec网关2之间维持IPsec SA加密通道。
(7)IPsec网关1向IPsec网关3发起IKE协商。
(8)IPsec网关1与IPsec网关3完成IKE协商,建立安全通道。
(9)IPsec网关1通过安全通道将指定的SPI、业务密钥、封装模式、加密算法和认证算法发送给IPsec网关3。
(10)IPsec网关3建立SPI号为Y的进入方向IPsec SA。
(11)IPsec网关1与IPsec网关3之间维持IPsec SA加密通道。
(12)虚拟机1访问虚拟机2上的服务,报文经过IPsec网关1时被其按照SPI号为Y的安全策略进行加密,加密后的报文被交换机转发到IPsec网关2,IPsec网关2运用SPI号为Y的安全策略,对报文进行解密,发送到虚拟机2,实现虚拟机1与2之间的加密访问。
(13)虚拟机2进行迁移,从物理机2迁移到物理机3。
(14)虚拟机1继续访问虚拟机2的服务,报文经过IPsec网关1时被其按照SPI号为Y的安全策略进行加密,加密后的报文被交换机转发到IPsec网关3,IPsec网关3运用SPI号为Y的安全策略,对报文进行解密,发送到虚拟机2,实现虚拟机1与迁移后的虚拟机2之间的加密访问。
(15)虚拟机2从物理机2到物理机3的动态迁移完成。
实施例2
本实施例在实施例1的基础上:
本实施例提供了一种计算机设备,包括存储器和处理器,该存储器存储有计算机程序,该处理器执行该计算机程序时实现实施例1的解决虚拟机迁移与IPsec机制冲突的方法的步骤。其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。
实施例3
本实施例在实施例1的基础上:
本实施例提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时实现实施例1的解决虚拟机迁移与IPsec机制冲突的方法的步骤。其中,计算机程序可以为源代码形式、对象代码形式、可执行文件或者某些中间形式等。存储介质包括:能够携带计算机程序代码的任何实体或装置、记录介质、计算机存储器、只读存储器(ROM)、随机存取存储器(RAM)、电载波信号、电信信号以及软件分发介质等。需要说明的是,存储介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,存储介质不包括电载波信号和电信信号。
需要说明的是,对于前述的方法实施例,为了简便描述,故将其表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请并不受所描述的动作顺序的限制,因为依据本申请,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本申请所必须的。

Claims (8)

1.一种解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,包括以下步骤:
S1. 业务发起方的IPsec网关与虚拟私有云VPC内其它的IPsec网关通过因特网密钥交换协议IKE协商建立协商安全联盟即IKE SA;
S2. 在IKE SA的保护下,业务发起方的IPsec网关将选定的IPsec SA信息发送到其它的IPsec网关以建立IPsec SA,使虚拟机在不同的IPsec网关所保护的物理机之间迁移时业务能够自动恢复。
2.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,步骤S1之前还包括以下步骤:
IPsec网关预留SPI段,不做自动分配;业务发起方的IPsec网关生成业务密钥,从预留的SPI段中选取一个未使用的SPI值,指定报文封装模式为传输模式,指定使用的认证算法及加密算法,建立外出方向IPsec SA。
3.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,步骤S2中,其它的IPsec网关收到业务发起方发送的IPsec SA信息后,能够建立进入方向IPsecSA,从而使业务发起方的IPsec网关能够与VPC中其它的IPsec网关建立具有相同的SPI及密钥的IPsec SA。
4.根据权利要求3所述的解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,步骤S2中,当接收业务的虚拟机迁移到其它物理机上后,业务发起方的IPsec网关加密后的报文将被转发至新的IPsec网关。
5.根据权利要求3所述的解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,步骤S2中,新的IPsec网关通过检索报文中的SPI能够找到之前建立的进入方向IPsec SA,实现对报文的解密。
6.根据权利要求1所述的解决虚拟机迁移与IPsec机制冲突的方法,其特征在于,所述IPsec SA信息包括SPI、密钥、封装模式、安全协议、认证算法和加密算法。
7.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述的解决虚拟机迁移与IPsec机制冲突的方法的步骤。
8.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1-6任一项所述的解决虚拟机迁移与IPsec机制冲突的方法的步骤。
CN202211228174.4A 2022-10-09 2022-10-09 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质 Pending CN115296939A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211228174.4A CN115296939A (zh) 2022-10-09 2022-10-09 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211228174.4A CN115296939A (zh) 2022-10-09 2022-10-09 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质

Publications (1)

Publication Number Publication Date
CN115296939A true CN115296939A (zh) 2022-11-04

Family

ID=83819407

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211228174.4A Pending CN115296939A (zh) 2022-10-09 2022-10-09 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质

Country Status (1)

Country Link
CN (1) CN115296939A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010047474A1 (en) * 2000-05-23 2001-11-29 Kabushiki Kaisha Toshiba Communication control scheme using proxy device and security protocol in combination
CN102970277A (zh) * 2012-09-29 2013-03-13 国家计算机网络与信息安全管理中心 一种多源安全关联建立方法及系统
CN110011892A (zh) * 2019-03-15 2019-07-12 平安科技(深圳)有限公司 一种虚拟专用网络的通信方法及相关装置
US20190327112A1 (en) * 2018-04-24 2019-10-24 Microsoft Technology Licensing, Llc Dynamic scaling of virtual private network connections
WO2022001705A1 (zh) * 2020-06-28 2022-01-06 中兴通讯股份有限公司 一种支持tcp动态迁移的方法、装置、设备和存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010047474A1 (en) * 2000-05-23 2001-11-29 Kabushiki Kaisha Toshiba Communication control scheme using proxy device and security protocol in combination
CN102970277A (zh) * 2012-09-29 2013-03-13 国家计算机网络与信息安全管理中心 一种多源安全关联建立方法及系统
US20190327112A1 (en) * 2018-04-24 2019-10-24 Microsoft Technology Licensing, Llc Dynamic scaling of virtual private network connections
CN110011892A (zh) * 2019-03-15 2019-07-12 平安科技(深圳)有限公司 一种虚拟专用网络的通信方法及相关装置
WO2022001705A1 (zh) * 2020-06-28 2022-01-06 中兴通讯股份有限公司 一种支持tcp动态迁移的方法、装置、设备和存储介质

Similar Documents

Publication Publication Date Title
EP3632057B1 (en) Distributed ipsec gateway
US11546444B2 (en) Traffic forwarding and disambiguation by using local proxies and addresses
CN109150688B (zh) IPSec VPN数据传输方法及装置
US8713305B2 (en) Packet transmission method, apparatus, and network system
US9712504B2 (en) Method and apparatus for avoiding double-encryption in site-to-site IPsec VPN connections
CN111277543B (zh) 信息同步方法、认证方法及装置
US8006297B2 (en) Method and system for combined security protocol and packet filter offload and onload
US10587579B2 (en) Varying encryption level of traffic through network tunnels
US11303431B2 (en) Method and system for performing SSL handshake
US20160308904A1 (en) Integrative network management method and apparatus for supplying connection between networks based on policy
US20120324090A1 (en) Resource control method, apparatus, and system in peer-to-peer network
JP2004128782A (ja) 鍵交換代理ネットワークシステム
US10785196B2 (en) Encryption key management of client devices and endpoints within a protected network
CN111787025B (zh) 加解密处理方法、装置、系统以及数据保护网关
US20190207776A1 (en) Session management for communications between a device and a dtls server
EP4287550A1 (en) Packet processing method, client end device, server end device, and computer-readable medium
US20220141191A1 (en) Secure distribution of configuration to facilitate a privacy-preserving virtual private network system
CN110798437B (zh) 一种数据保护方法、装置及计算机存储介质
US10764949B2 (en) Multi-connection access point
CN114500176B (zh) 用于vpn的多流负载均衡方法、装置、系统及存储介质
CN116471586A (zh) 一种数据处理方法、装置以及可读存储介质
CN109450849B (zh) 一种基于区块链的云服务器组网方法
EP2941716B1 (en) Systems and methods for providing a renat communications environment
CN115296939A (zh) 解决虚拟机迁移与IPsec机制冲突的方法、设备及介质
CN112968902B (zh) 一种基于命名数据网络的隐藏ip方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20221104

RJ01 Rejection of invention patent application after publication