本发明专利技术公开了一种IaaS管理平台及方法,包括:网络加固单元,用于在检测到客户域虚拟机用户执行自主网络配置操作时,拦截自主网络配置操作;并向服务单元发送页表修改服务请求;虚拟机监视器中的服务单元,用于接收所述网络加固单元发送的页表修改服务请求,并根据所述页表修改服务请求确定系统调用表,修改所述网络加固单元对所述系统调用表对应的页表项操作权限,以及向所述网络加固单元发送页表修改服务响应指令;所述网络加固单元,还用于按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理,用以解决用户有意或无意更改IP地址或MAC地址时带来的管理和安全问题。
【技术实现步骤摘要】
本专利技术涉及云计算
,尤其是涉及一种基础设置即服务(英文:Infrastructure as a Service,缩写:IaaS)管理平台及方法。
技术介绍
自云计算概念提出以来,云计算的热潮已席卷了整个IT行业,改变着全社会的信息服务提供与使用方式,掀起了国内外云计算在IaaS、平台即服务(英文:Platform as a Service缩写:PaaS)、程序即服务(英文:Software as a Service,缩写:SaaS)的研究热潮。其中,IaaS主要向用户交付可远程访问的虚拟机;当前,主流IaaS服务包括商业公司Amazon EC2、开源组织Eucalyptus、OpenStack、OpenNebula等。目前情况下,在当前主流的IaaS解决方案中,涉及底层的主流虚拟化软件,例如Xen、KVM、VM Ware、Hyper-V等,以及上层的Amazon EC2、Eucalyptus、Open Stack、Open Nebula等。目前绝大多数企业或研究机构在构建和研究IaaS时,倾向于以主流开源技术为基础,将虚拟机所需使用的互联网协议(英文:Internet Protocol,缩写:IP)地址与虚拟机实例进行绑定,可以防止用户更改IP地址带来的管理和安全问题。然而,由开源机构推出的IaaS解决方法,从底层虚拟化软件如Xen、KVM、Hyper-V,到上层的IaaS软件如Eucalyptus、Open Stack、Open Nebula针对基于虚拟化技术构建的IaaS环境下的网络环境进行安全加固,无法解决用户更改IP地址或媒体接入控制(英文:Madia Access Control,缩写:MAC)地址带来的管理和安全问题,网络环境的安全性较差。
技术实现思路
本专利技术提供了一种IaaS管理平台及方法,用以解决用户有意或无意更改IP地址或MAC地址时带来的管理和安全问题,提高网络环境的安全性。一种IaaS管理平台,包括:网络加固单元,用于在检测到客户域虚拟机用户执行自主网络配置操作时,拦截所述自主网络配置操作;并向服务单元发送页表修改服务请求;虚拟机监视器中的服务单元,用于接收所述网络加固单元发送的页表修改服务请求,并根据所述页表修改服务请求确定系统调用表,修改所述网络加固单元对所述系统调用表对应的页表项操作权限,以及向所述网络加固单元发送页表修改服务响应指令;所述网络加固单元,还用于按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。所述网络加固单元检测的客户域虚拟机用户执行的自主网络配置操作包括:对网络配置文件的永久性或临时性修改。所述网络加固单元检测的客户域虚拟机用户执行的网络配置文件,包括:客户域虚拟机的互联网协议IP地址;和/或客户域虚拟机的媒体接入控制MAC地址。所述网络加固单元,还用于注册用于请求对客户域虚拟机用户执行自主网络配置操作进行检测的网络环境。所述网络加固单元,具体用于向服务单元发送内存资源操作请求;所述服务单元,具体用于接收内存资源操作请求,并根据所述内存资源操作请求,设置所述网络加固单元对内存资源的修改权限;以及向网络加固单元发送内存资源操作响应消息;所述网络加固单元,具体用于接收所述虚拟机监视器发送的内存资源操作响应消息;按照所述内存资源操作响应消息中的内存设置权限,修改所述内存
资源。所述服务单元,还用于在所述网络加固单元修改所述内存资源之后,还原所述内存资源的修改权限,并禁止对所述内存资源进行修改。还包括:模块隐藏单元,用于隐藏所述网络加固单元。一种IaaS方法,包括:在检测到客户域虚拟机用户执行自主网络配置操作时,拦截所述自主网络配置操作;并向虚拟机监视器发送页表修改服务请求;以及按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。所述自主网络配置操作包括:对网络配置文件的永久性或临时性修改。网络配置文件,包括:客户域虚拟机的互联网协议IP地址;和/或客户域虚拟机的媒体接入控制MAC地址。在对客户域虚拟机用户执行自主网络配置操作检测之前,还包括:注册用于请求对客户域虚拟机用户执行自主网络配置操作进行检测的网络环境。注册用于请求对客户域虚拟机用户执行自主网络配置操作进行检测的网络环境,包括:向虚拟机监视器发送内存资源操作请求;并接收所述虚拟机监视器发送的内存资源操作响应消息;按照所述内存资源操作响应消息中的内存设置权限,修改所述内存资源。还包括:隐藏用于请求对客户域虚拟机用户执行自主网络配置操作进行检测的网
络环境。一种IaaS方法,包括:接收页表修改服务请求;并根据所述页表修改服务请求确定系统调用表,修改所述网络加固单元对所述系统调用表对应的页表项操作权限;以及发送页表修改服务响应指令,指示按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。在接收页表修改服务请求之前,还包括:接收内存资源操作请求;并根据所述内存资源操作请求,设置对内存资源的修改权限;以及发送内存资源操作响应消息。在发送内存资源操作响应消息之后,还包括:还原所述内存资源的修改权限,并禁止对所述内存资源进行修改。通过采用上述技术方案,将客户域虚拟机用户执行的子帧网络配置操作进行重定向,并通过服务单元发送的页表修改服务响应指令,对拦截的客户域虚拟机用户的自主网络配置操作进行处理,实现拦截自主网络配置操作,用以解决用户有意或无意更改IP地址或MAC地址时带来的管理和安全问题,提高网络环境的安全性。附图说明图1为本专利技术实施例一中,提出的IaaS管理平台结构组成示意图;图2a为本专利技术实施例一中,提出的IaaS管理平台拦截网络自主配置行为示意图;图2b为本专利技术实施例一中,提出的网络加固单元处理网络自主配置行为示意图;图3为本专利技术实施例二中,提出的IaaS方法流程图;图4为本专利技术实施例二中,提出的IaaS方法流程图。具体实施方式针对开源环境下,用户有意或无意更改IP地址或MAC地址时带来的管理和安全问题,网络环境的安全性较差的问题,本专利技术提出一种技术方案,通过增加网络加固单元,用于在检测到客户域虚拟机用户执行自主网络配置操作时,拦截所述自主网络配置操作;并向服务单元发送页表修改服务请求,以及服务单元,接收所述网络加固单元发送的页表修改服务请求,并根据页表修改服务请求确定系统调用表,修改网络加固单元对所述系统调用表对应的页表项操作权限,以及向网络加固单元发送页表修改服务响应指令,网络加固单元,还用于按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。用以解决用户有意或无意更改IP地址或MAC地址时带来的管理和安全问题,提高网络环境的安全性。下面将结合各个附图对本专利技术实施例技术方案的主要实现原理、具体实施方式及其对应能够达到的有益效果进行详细地阐述。实施例一本专利技术实施例一提出一种IaaS管理平台,如图1所示,包括用于对整个系统进行管理的云计算平台、交换机以及至少一个物理机,物理机中设置有至少一个虚拟机,物理机之间通过交换机连接,进行数据本文档来自技高网...
【技术保护点】
一种IaaS管理平台,其特征在于,包括:网络加固单元,用于在检测到客户域虚拟机用户执行自主网络配置操作时,拦截所述自主网络配置操作;并向服务单元发送页表修改服务请求;虚拟机监视器中的服务单元,用于接收所述网络加固单元发送的页表修改服务请求,并根据所述页表修改服务请求确定系统调用表,修改所述网络加固单元对所述系统调用表对应的页表项操作权限,以及向所述网络加固单元发送页表修改服务响应指令;所述网络加固单元,还用于按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。
【技术特征摘要】
1.一种IaaS管理平台,其特征在于,包括:网络加固单元,用于在检测到客户域虚拟机用户执行自主网络配置操作时,拦截所述自主网络配置操作;并向服务单元发送页表修改服务请求;虚拟机监视器中的服务单元,用于接收所述网络加固单元发送的页表修改服务请求,并根据所述页表修改服务请求确定系统调用表,修改所述网络加固单元对所述系统调用表对应的页表项操作权限,以及向所述网络加固单元发送页表修改服务响应指令;所述网络加固单元,还用于按照接收到的所述虚拟机监视器发送的页表修改服务响应指令,对拦截的所述客户域虚拟机用户的自主网络配置操作进行处理。2.如权利要求1所述的平台,其特征在于,所述网络加固单元检测的客户域虚拟机用户执行的自主网络配置操作包括:对网络配置文件的永久性或临时性修改。3.如权利要求2所述的平台,其特征在于,所述网络加固单元检测的客户域虚拟机用户执行的网络配置文件,包括:客户域虚拟机的互联网协议IP地址;和/或客户域虚拟机的媒体接入控制MAC地址。4.如权利要求1~3任一所述的平台,其特征在于,所述网络加固单元,还用于注册用于请求对客户域虚拟机用户执行自主网络配置操作进行检测的网络环境。5.如权利要求4所述的平台,其特征在于,所述网络加固单元,具体用于向服务单元发送内存资源操作请求;所述服务单元,具体用于接收内存资源操作请求,并根据所述内存资源操作请求,设置所述网络加固单元对内存资源的修改权限;以及向网络加固单元发送内存资源操作响应消息;所述网络加固单元,具体用于接收所述虚拟机监视器发送的内存资源操作
\t响应消息;按照所述内存资源操作响应消息中的内存设置权限,修改所述内存资源。6.如权利要求5所述的平台,其特征在于,所述服务单元,还用于在所述网络加固单元修改所述内存资源之后,还原所述内存资源的修改权限,并禁止对所述内存资源进行修改。7.如权利要求1~3任一所述的平台,其特征在于,还包括:模块隐藏单元,用于隐藏所述网络加固单元。8.一种IaaS方法,其特征在于,包...
【专利技术属性】
技术研发人员:柏洪涛,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。