一種基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)及其隔離方法
【技術領域】
[0001] 本發(fā)明設及云計算安全技術領域，特別是一種基于化enflow的私有云網(wǎng)絡動態(tài) 安全隔離系統(tǒng)及其隔離方法。
【背景技術】
[0002] 隨著云計算模式的流行，許多機構希望建設私有云，私有云的建設無疑為IT部口 帶來了諸多好處；如可W實現(xiàn)信息資源的集中管理、IT基礎設施能夠得到更高效的利用 等。但是在帶來運些優(yōu)點的同時，由于私有云會對網(wǎng)絡架構進行一些調整，因此也會產(chǎn)生一 些新的問題，主要體現(xiàn)在W下幾點：
[0003] 1)計算資源的集中部署使得安全隔離的問題日益凸顯。首先，在內網(wǎng)中，不同類 型的應用（例如業(yè)務應用、財務應用和人事應用等）彼此之間應當保證一定程度的隔離，W 避免不同種類的信息產(chǎn)生混淆。但是云計算的一大特征是將計算資源虛擬化為細粒度的資 源池，運使得傳統(tǒng)的隔離手段或粒度過于粗放（如基于主機的隔離），或不夠靈活（如基于 VLAN的隔離）。
[0004] 2)當虛擬服務器需要在不同的物理服務器之間進行遷移時，VLAN配置會隨之丟 失，造成隔離失效。 陽0化]化enf low(簡寫OV巧是一種將網(wǎng)絡設備的數(shù)據(jù)平面值ata-Panel)和控制平 面（Control Panel)相分離的技術，使用邏輯上的控制器（Controller)對整個網(wǎng)絡進行 管理，提高了網(wǎng)絡管理的靈活性，降低了網(wǎng)絡維護的復雜度?；痚nflow是SDN(Software Defined化twork，軟件定義網(wǎng)絡）的代表技術之一，甚至在一定程度上被認為與SDN技術 等價，化enf low和SDN技術被建議在未來的企業(yè)私有云和云平臺的建設中采用，來優(yōu)化云 內部的虛擬網(wǎng)絡。

【發(fā)明內容】

[0006] 本發(fā)明解決的技術問題之一在于提供基于化enflow的私有云網(wǎng)絡動態(tài)安全隔離 系統(tǒng)，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題。
[0007] 本發(fā)明解決的技術問題之二在于提供基于化enflow的私有云網(wǎng)絡動態(tài)安全隔離 方法，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題。
[0008] 本發(fā)明解決上述技術問題之一的技術方案：
[0009] 所述的系統(tǒng)包括虛擬機運行平臺、虛擬化的用戶操作平臺、虛擬網(wǎng)絡連接平臺；
[0010] 所述的虛擬機運行平臺，用于運行虛擬機W承載不同類型的應用，允許應用的虛 擬機在物理機上隨機分布；
[0011] 所述的虛擬化的用戶操作平臺，用于用戶使用不同的終端對后端的應用服務進行 訪問；
[0012] 所述的虛擬網(wǎng)絡連接平臺，用于使用化enflow技術對私有云網(wǎng)絡按需進行隔離 和動態(tài)調整。
[0013] 所述虛擬機運行平臺運行私有云的內網(wǎng)應用，不同類型的應用按照私有云平臺的 資源分配原則被隨機地分配到物理服務器上；同一應用的虛擬機既可W運行在同一臺物理 服務器上，也可W運行在不同的物理服務器上；同一臺物理服務器上既可W運行一個應用 的虛擬機，也可W運行不同應用的虛擬機。
[0014] 所述虛擬網(wǎng)絡連接平臺使用化enflow技術對虛擬網(wǎng)絡進行控制，實現(xiàn)使用軟件 方式對虛擬網(wǎng)絡進行快速調整，滿足私有云對網(wǎng)絡的動態(tài)需求。
[0015] 本發(fā)明解決上述技術問題之二的技術方案：
[0016] 所述方法是在物理服務器與物理服務器之間的鏈路采用現(xiàn)有的交換機進行連接； 包括承載不同應用的虛擬機在內的不同的虛擬平臺問采用虛擬交換機OVS進行連接，實現(xiàn) 網(wǎng)絡中對化enflow的支持；用于管理OVS交換機來控制虛擬服務器（組）之間隔離的控制 器與各臺物理服務器相獨立，并與物理服務器之間使用化enflow協(xié)議進行通信；用于管理 從虛擬桌面終端到虛擬機之間的訪問控制的應用監(jiān)視器在邏輯上與控制器相結合。
[0017] 所述控制器用于對各虛擬交換機進行管理，可W在控制器上為其管理的OVS交換 機上的端口遠程添加/刪除/修改VLAN-TAG。
[0018] 所述控制器在虛擬機在物理之間遷移是在控制器上將原OVS端口的VLAN-TAG刪 除，而在現(xiàn)OVS端口上添加對應的VLAN-TAG。
[0019] 本發(fā)明的有益效果：
[0020] 1、本發(fā)明的系統(tǒng)和方法是一種小粒度的、靈活的虛擬網(wǎng)絡管理方法，能構建有效 的、動態(tài)的虛擬化網(wǎng)絡；
[0021] 2、本發(fā)明是一種安全的虛擬網(wǎng)絡管理方法，由于控制器中集中控制整個虛擬網(wǎng)絡 的信息，本發(fā)明能確保訪問控制機制對實施訪問的主體（虛擬桌面或其他終端）和客體 (虛擬服務器）來說是透明的，避免訪問控制機遭到篡改。
[0022] 本發(fā)明結合化enflow技術對私有云網(wǎng)絡進行設計，解決傳統(tǒng)隔離方法隔離粒度 過粗、不靈活的問題，提出一種動態(tài)安全隔離的系統(tǒng)和方法。
【附圖說明】
[0023] 下面結合附圖對本發(fā)明進一步說明：
[0024] 圖1為本發(fā)明系統(tǒng)結構圖。
【具體實施方式】
[0025] 下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完 整的描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；?本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他 實施例，都屬于本發(fā)明保護的范圍。
[00%] 首先按照圖1所示進行物理服務器、虛擬機和OVS交換機的部署。
[0027] 虛擬服務器之間的隔離通過基于動態(tài)安裝流的訪問控制實現(xiàn)。分別為圖中標記為 APP1、APP2、APP3的虛擬機添加不同的VLAN-TAG。
[0028] root感ub陽肋-訊巧:~留QVS-V瓣1:1.S娩Porttap!切n)〇t(@ubun1;u-ovs:~#ovs-VSCtlshow 11c8ea12-ab45-7653-a8741 -巧87b8246ad Bridge"ovsbrO" Port"ovsbrCr 拉搶渝攜"ovsbrO"iype;internal Port"tapr#為APP2 添加 2 的VLAN-TAG tag: 2 In化rface"tapI" ：pQrt"ovsbrOpr In化il'ace"ovsbrOpI"type:internal
[0029] 齡巧嘴誠，， In化計ace"e出()'' Port"tapO" #為APPl添加 1 的VLAN-TAGtag. 1 虹憤:技戰(zhàn)心;卿0的 〇￥s_version; "1.4.6''rootf嫂ubunixi-ovs:~冉 添加VLAN-TAG后測試APPl和APP2的連通性APPh (?:\[)0技11放6田ts:過11過.S后地;n答s\iVdi沮虹is:trator>p:iiigI.0..0.0 22 Pinging!0.0.0.22with32bytesofdata: ReplyfromlO.Q.0.22:bytes=32 TTL=128 .Replyfrom10.0.0.22:by1;es=32tirnecImsTTL=:.OS民ejpiyfrom10.0.0.22:by1;es二32time<lmsTTL二 12S 民eplyfrom10.0.0.22:b>'tes=32time<ImsTTL= 12S 於打裝statis垃傑份r10.0.0.22: Packets:Send:= 4,Received= 4、Lost:= 0 (0%Loss),Approximateroundtriptimesinmilli-seconds: Mininum0msMaxinum二 0ms,Average二 0ms
[0030] C:'\Docuroe如S孤idSett虹gs\A;dm虹i.說rator>p'ing10..0,0.22Pinging10,0.0,22whh32bytesofdal;a: Requesttimedout. Requesttimedout. Requesttimedout. APP2： C:\DocumentsandSettings\Administrator>ping10.0.0.2 Pinging10.0.0.2with32bytesofdata: 民epiyfrom!0.0.0.2:by化S二32time<lmsTTL二 12S Replyfroml0.0.0.2:byt:es=^time<lmsTTL^128 Re_p]yfrom10.0.0.2:byl;es二32time<lmsTTL二12S 艮eplyfrom10.0.0.2:byl;es=32time<lmsTTL= 128 Pingstatisticsfor10.0.0.2; Packets:Send二 4,Received二-4,Lost= 0 (0%Loss)，Appro姑描姐eroundtripti風民Smm出i-seconds::..
[0031] Minimim=OmSsMaximiin= 0ms,Average=Oms C:\DocumentsandSe!:tiiigs\Administrator>ping10.0.0.2 Pinging10.0.0.2with32byksofdaia: Requesttimedout. Requesttimedout. Requesttimedout. 陽03引可W看到，在添加VLAN-TAG后，原來可W相互通f目的兩臺虛擬機APPl和APP2無 法正常通信，證實了虛擬機之間隔離的有效性。
【主權項】
1. 一種基于openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)，其特征在于：所述的系統(tǒng)包括 虛擬機運行平臺、虛擬化的用戶操作平臺、虛擬網(wǎng)絡連接平臺； 所述的虛擬機運行平臺，用于運行虛擬機以承載不同類型的應用，允許應用的虛擬機 在物理機上隨機分布； 所述的虛擬化的用戶操作平臺，用于用戶使用不同的終端對后端的應用服務進行訪 問； 所述的虛擬網(wǎng)絡連接平臺，用于使用Openflow技術對私有云網(wǎng)絡按需進行隔離和動 態(tài)調整。2. 根據(jù)權利要求1所述一種基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)，其特征在 于：所述虛擬機運行平臺運行私有云的內網(wǎng)應用，不同類型的應用按照私有云平臺的資源 分配原則被隨機地分配到物理服務器上；同一應用的虛擬機既可以運行在同一臺物理服務 器上，也可以運行在不同的物理服務器上；同一臺物理服務器上既可以運行一個應用的虛 擬機，也可以運行不同應用的虛擬機。3. 根據(jù)權利要求1所述一種基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)，其特征在 于，所述虛擬網(wǎng)絡連接平臺使用Openflow技術對虛擬網(wǎng)絡進行控制，實現(xiàn)使用軟件方式對 虛擬網(wǎng)絡進行快速調整，滿足私有云對網(wǎng)絡的動態(tài)需求。4. 根據(jù)權利要求2所述一種基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)，其特征在 于，所述虛擬網(wǎng)絡連接平臺使用Openflow技術對虛擬網(wǎng)絡進行控制，實現(xiàn)使用軟件方式對 虛擬網(wǎng)絡進行快速調整，滿足私有云對網(wǎng)絡的動態(tài)需求。5. 權利要求1至4任一項所述的基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)的隔 離方法，其特征在于：所述方法是在物理服務器與物理服務器之間的鏈路采用現(xiàn)有的交換 機進行連接；包括承載不同應用的虛擬機在內的不同的虛擬平臺間采用虛擬交換機0VS進 行連接，實現(xiàn)網(wǎng)絡中對Openflow的支持；用于管理0VS交換機來控制虛擬服務器（組）之 間隔離的控制器與各臺物理服務器相獨立，并與物理服務器之間使用Openflow協(xié)議進行 通信；用于管理從虛擬桌面終端到虛擬機之間的訪問控制的應用監(jiān)視器在邏輯上與控制器 相結合。6. 根據(jù)權利要求5所述的方法，其特征在于，所述控制器用于對各虛擬交換機進行管 理，可以在控制器上為其管理的0VS交換機上的端口遠程添加/刪除/修改VLAN-TAG。7. 根據(jù)權利要求6所述的方法，其特征在于，所述控制器在虛擬機在物理之間迀移是 在控制器上將原0VS端口的VLAN-TAG刪除，而在現(xiàn)0VS端口上添加對應的VLAN-TAG。
【專利摘要】本發(fā)明涉及云計算安全技術領域，特別是一種基于Openflow的私有云網(wǎng)絡動態(tài)安全隔離系統(tǒng)及其隔離方法。本發(fā)迷宮系統(tǒng)包括：虛擬機運行平臺、虛擬化的用戶操作平臺、虛擬網(wǎng)絡連接平臺。虛擬機運行平臺用于運行虛擬機以承載不同類型的應用，允許應用的虛擬機在物理機上隨機分布；虛擬化的用戶操作平臺用于用戶使用不同的終端對后端的應用服務進行訪問；虛擬網(wǎng)絡連接平臺用于使用Openflow技術對私有云網(wǎng)絡按需進行隔離和動態(tài)調整。本發(fā)明結合Openflow技術對私有云網(wǎng)絡進行設計，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題，提出一種動態(tài)安全隔離的系統(tǒng)和方法；可以用于私有云網(wǎng)絡動態(tài)安全隔離。
【IPC分類】H04L12/46, H04L29/06
【公開號】CN105429995
【申請?zhí)枴緾N201510939692
【發(fā)明人】莫展鵬, 楊松, 季統(tǒng)凱
【申請人】國云科技股份有限公司
【公開日】2016年3月23日
【申請日】2015年12月15日