技術(shù)領(lǐng)域

本發(fā)明涉及云計(jì)算安全技術(shù)領(lǐng)域，特別是一種基于Openflow的私有云網(wǎng)絡(luò)動(dòng)態(tài)安全隔離系統(tǒng)及其隔離方法。

背景技術(shù)

隨著云計(jì)算模式的流行，許多機(jī)構(gòu)希望建設(shè)私有云，私有云的建設(shè)無疑為IT部門帶來了諸多好處；如可以實(shí)現(xiàn)信息資源的集中管理、IT基礎(chǔ)設(shè)施能夠得到更高效的利用等。但是在帶來這些優(yōu)點(diǎn)的同時(shí)，由于私有云會(huì)對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行一些調(diào)整，因此也會(huì)產(chǎn)生一些新的問題，主要體現(xiàn)在以下幾點(diǎn)：

1)計(jì)算資源的集中部署使得安全隔離的問題日益凸顯。首先，在內(nèi)網(wǎng)中，不同類型的應(yīng)用(例如業(yè)務(wù)應(yīng)用、財(cái)務(wù)應(yīng)用和人事應(yīng)用等)彼此之間應(yīng)當(dāng)保證一定程度的隔離，以避免不同種類的信息產(chǎn)生混淆。但是云計(jì)算的一大特征是將計(jì)算資源虛擬化為細(xì)粒度的資源池，這使得傳統(tǒng)的隔離手段或粒度過于粗放(如基于主機(jī)的隔離)，或不夠靈活(如基于VLAN的隔離)。

2)當(dāng)虛擬服務(wù)器需要在不同的物理服務(wù)器之間進(jìn)行遷移時(shí)，VLAN配置會(huì)隨之丟失，造成隔離失效。

Openflow(簡寫OVS)是一種將網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)平面(Data-Panel)和控制平面(ControlPanel)相分離的技術(shù)，使用邏輯上的控制器(Controller)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行管理，提高了網(wǎng)絡(luò)管理的靈活性，降低了網(wǎng)絡(luò)維護(hù)的復(fù)雜度。Openflow是SDN(SoftwareDefinedNetwork，軟件定義網(wǎng)絡(luò))的代表技術(shù)之一，甚至在一定程度上被認(rèn)為與SDN技術(shù)等價(jià)，Openflow和SDN技術(shù)被建議在未來的企業(yè)私有云和云平臺(tái)的建設(shè)中采用，來優(yōu)化云內(nèi)部的虛擬網(wǎng)絡(luò)。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問題之一在于提供基于Openflow的私有云網(wǎng)絡(luò)動(dòng)態(tài)安全隔離系統(tǒng)，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題。

本發(fā)明解決的技術(shù)問題之二在于提供基于Openflow的私有云網(wǎng)絡(luò)動(dòng)態(tài)安全隔離方法，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題。

本發(fā)明解決上述技術(shù)問題之一的技術(shù)方案：

所述的系統(tǒng)包括虛擬機(jī)運(yùn)行平臺(tái)、虛擬化的用戶操作平臺(tái)、虛擬網(wǎng)絡(luò)連接平臺(tái)；

所述的虛擬機(jī)運(yùn)行平臺(tái)，用于運(yùn)行虛擬機(jī)以承載不同類型的應(yīng)用，允許應(yīng)用的虛擬機(jī)在物理機(jī)上隨機(jī)分布；

所述的虛擬化的用戶操作平臺(tái)，用于用戶使用不同的終端對(duì)后端的應(yīng)用服務(wù)進(jìn)行訪問；

所述的虛擬網(wǎng)絡(luò)連接平臺(tái)，用于使用Openflow技術(shù)對(duì)私有云網(wǎng)絡(luò)按需進(jìn)行隔離和動(dòng)態(tài)調(diào)整。

所述虛擬機(jī)運(yùn)行平臺(tái)運(yùn)行私有云的內(nèi)網(wǎng)應(yīng)用，不同類型的應(yīng)用按照私有云平臺(tái)的資源分配原則被隨機(jī)地分配到物理服務(wù)器上；同一應(yīng)用的虛擬機(jī)既可以運(yùn)行在同一臺(tái)物理服務(wù)器上，也可以運(yùn)行在不同的物理服務(wù)器上；同一臺(tái)物理服務(wù)器上既可以運(yùn)行一個(gè)應(yīng)用的虛擬機(jī)，也可以運(yùn)行不同應(yīng)用的虛擬機(jī)。

所述虛擬網(wǎng)絡(luò)連接平臺(tái)使用Openflow技術(shù)對(duì)虛擬網(wǎng)絡(luò)進(jìn)行控制，實(shí)現(xiàn)使用軟件方式對(duì)虛擬網(wǎng)絡(luò)進(jìn)行快速調(diào)整，滿足私有云對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)需求。

本發(fā)明解決上述技術(shù)問題之二的技術(shù)方案：

所述方法是在物理服務(wù)器與物理服務(wù)器之間的鏈路采用現(xiàn)有的交換機(jī)進(jìn)行連接；包括承載不同應(yīng)用的虛擬機(jī)在內(nèi)的不同的虛擬平臺(tái)問采用虛擬交換機(jī)OVS進(jìn)行連接，實(shí)現(xiàn)網(wǎng)絡(luò)中對(duì)Openflow的支持；用于管理OVS交換機(jī)來控制虛擬服務(wù)器(組)之間隔離的控制器與各臺(tái)物理服務(wù)器相獨(dú)立，并與物理服務(wù)器之間使用Openflow協(xié)議進(jìn)行通信；用于管理從虛擬桌面終端到虛擬機(jī)之間的訪問控制的應(yīng)用監(jiān)視器在邏輯上與控制器相結(jié)合。

所述控制器用于對(duì)各虛擬交換機(jī)進(jìn)行管理，可以在控制器上為其管理的OVS交換機(jī)上的端口遠(yuǎn)程添加/刪除/修改VLAN-TAG。

所述控制器在虛擬機(jī)在物理之間遷移是在控制器上將原OVS端口的VLAN-TAG刪除，而在現(xiàn)OVS端口上添加對(duì)應(yīng)的VLAN-TAG。

本發(fā)明的有益效果：

1、本發(fā)明的系統(tǒng)和方法是一種小粒度的、靈活的虛擬網(wǎng)絡(luò)管理方法，能構(gòu)建有效的、動(dòng)態(tài)的虛擬化網(wǎng)絡(luò)；

2、本發(fā)明是一種安全的虛擬網(wǎng)絡(luò)管理方法，由于控制器中集中控制整個(gè)虛擬網(wǎng)絡(luò)的信息，本發(fā)明能確保訪問控制機(jī)制對(duì)實(shí)施訪問的主體(虛擬桌面或其他終端)和客體(虛擬服務(wù)器)來說是透明的，避免訪問控制機(jī)遭到篡改。

本發(fā)明結(jié)合Openflow技術(shù)對(duì)私有云網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)，解決傳統(tǒng)隔離方法隔離粒度過粗、不靈活的問題，提出一種動(dòng)態(tài)安全隔離的系統(tǒng)和方法。

附圖說明