[發明專利]一種基于安全組的訪問控制方法及裝置有效
| 申請號: | 201610944504.8 | 申請日: | 2016-10-26 |
| 公開(公告)號: | CN107995144B | 公開(公告)日: | 2020-11-06 |
| 發明(設計)人: | 李陽;劉濤 | 申請(專利權)人: | 北京金山云網絡技術有限公司;北京金山云科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 北京柏杉松知識產權代理事務所(普通合伙) 11413 | 代理人: | 馬敬;項京 |
| 地址: | 100085 北京*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 安全 訪問 控制 方法 裝置 | ||
1.一種基于安全組的訪問控制方法,其特征在于,應用于宿主機,包括:
接收針對至少兩個目標安全組的配置請求;
確定目標虛擬機;
建立所述目標虛擬機分別與每一所述目標安全組之間的訪問控制關系;
所述建立所述目標虛擬機分別與每一所述目標安全組之間的訪問控制關系,包括:
將所述目標安全組合并生成新的安全組,建立所述目標虛擬機與所述新的安全組之間的訪問控制關系。
2.根據權利要求1所述的方法,其特征在于,在所述接收針對至少兩個目標安全組的配置請求之后,還包括:
獲得每一所述目標安全組的訪問控制規則;
根據所述目標安全組的訪問控制規則之間的邏輯關系,對所獲得的規則進行合并處理,生成目標訪問控制規則。
3.根據權利要求2所述的方法,其特征在于,還包括:
接收目標報文;
判斷第一類安全組和第二類安全組中是否存在相同的安全組,其中,所述第一類安全組與所述目標報文的源虛擬機之間存在訪問控制關系,所述第二類安全組為與所述目標報文的目的虛擬機之間存在訪問控制關系;
若存在,向所述目的虛擬機發送所述目標報文。
4.根據權利要求3所述的方法,其特征在于,還包括:
若所述第一類安全組和所述第二類安全組中不存在相同的安全組,針對所述源虛擬機和所述目的虛擬機,進行會話匹配;
若會話匹配成功,執行所述向所述目的虛擬機發送所述目標報文的步驟。
5.根據權利要求4所述的方法,其特征在于,還包括:
若會話匹配失敗,根據所述第一類安全組與所述第二類安全組,針對所述源虛擬機和所述目的虛擬機,進行安全組訪問控制規則匹配;
若安全組訪問控制規則匹配失敗,丟棄所述目標報文;
若安全組訪問控制規則匹配成功,執行所述向所述目的虛擬機發送所述目標報文的步驟。
6.根據權利要求5所述的方法,其特征在于,在所述執行所述向所述目的虛擬機發送所述目標報文的步驟之后,還包括:
建立所述源虛擬機與所述目的虛擬機間的會話。
7.根據權利要求3所述的方法,其特征在于,所述判斷第一類安全組和第二類安全組中是否存在相同的安全組的步驟,包括:
判斷所述目標報文的發送路徑是否為第一目標路徑,所述第一目標路徑為由所述宿主機以外的其他宿主機發送至本地的虛擬機;
若是,解析所述目標報文,并根據解析結果,獲得匹配結果標識信息,判斷所述匹配結果標識信息是否為第一預設值,如果是,判定所述第一類安全組和第二類安全組中存在相同安全組,如果否,判定所述第一類安全組和第二類安全組中不存在相同安全組。
8.根據權利要求3所述的方法,其特征在于,在所述向所述目的虛擬機發送所述目標報文的步驟之前,還包括:
判斷所述目標報文的發送路徑是否為第二目標路徑,所述第二目標路徑為由本地的虛擬機發送至所述宿主機以外的其他宿主機;
若是,將第二預設值寫入所述目標報文,其中,所述第二預設值為用于表明所述第一類安全組和所述第二類安全組中存在相同安全組的值。
9.一種基于安全組的訪問控制裝置,其特征在于,應用于宿主機,所述裝置包括:
配置請求接收模塊,用于接收針對至少兩個目標安全組的配置請求;
虛擬機確定模塊,用于確定目標虛擬機;
訪問控制關系建立模塊,用于建立所述目標虛擬機分別與每一所述目標安全組之間的訪問控制關系;
所述訪問控制關系建立模塊,具體用于:
將所述目標安全組合并生成新的安全組,建立所述目標虛擬機與所述新的安全組之間的訪問控制關系。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京金山云網絡技術有限公司;北京金山云科技有限公司,未經北京金山云網絡技術有限公司;北京金山云科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201610944504.8/1.html,轉載請聲明來源鉆瓜專利網。
