本发明专利技术实施例公开了对虚拟防火墙的授权进行限制的方法和系统,属于虚拟防火墙技术领域。该方法包括:获取导入至授权管理虚拟机中的限制性授权文件;限制性授权文件包括:防火墙授权文件和加密锁身份识别码;获取挂载在授权管理虚拟机上的加密锁中存储的加密锁身份识别码;将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对;若比对结果一致,则对防火墙授权文件进行生效操作;获取虚拟防火墙发送的授权请求;基于生效的防火墙授权文件对虚拟防火墙进行授权。本发明专利技术实施例利用了现有技术中的软硬件结合的加密装置,能够使得防火墙厂商有效的对虚拟防火墙的授权进行控制,从而避免了防火墙厂商的利益收到损害。
【技术实现步骤摘要】
一种对虚拟防火墙的授权进行限制的方法和系统
本专利技术涉及虚拟防火墙
,特别涉及一种对虚拟防火墙的授权进行限制的方法和系统。
技术介绍
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(SecurityGateway),该网关内的计算机流入流出的所有网络通信和数据包均要经过此防火墙,从而保护内部网免受非法用户的侵入。传统的物理防火墙设备使用license授权方式,用户在购买了物理防火墙设备之后,可以享受该防火墙的一些普通的功能,但如果用户想要享受更加高级的功能,只有在购买了license之后,才能激活物理防火墙的高级功能。随着云计算的快速发展,虚拟防火墙出现并且使用越来越普遍。虚拟防火墙,即安装部署在虚拟机中的防火墙,就是可以将一台物理防火墙在逻辑上划分成多台虚拟的防火墙。由于虚拟的克隆、快照等技术的出现,使得传统的物理防火墙的license授权方式变得不再可控,具体来说:想要使用虚拟防火墙的用户需要从防火墙厂商处购买一个license(授权文件),通过该license(授权文件)可以使得建立的虚拟防火墙得到授权。但是由于虚拟克隆等技术的出现,用户在购买到一个license(授权文件)后,能够克隆出多台授权的虚拟防火墙,这样用户就实现了花一台防火墙授权的价格获取到了多台防火墙的使用资源,严重损害了防火墙厂商的利益。
技术实现思路
本专利技术的目的是提供一种有效的对虚拟防火墙的授权进行限制的方法和系统,利用了现有技术中的软硬件结合的加密装置,能够使得防火墙厂商有效的对虚拟防火墙的授权进行控制,从而避免了防火墙厂商的利益收到损害。根据本专利技术实施例的一个方面,提供了一种对虚拟防火墙的授权进行限制的方法,包括:获取导入至授权管理虚拟机中的限制性授权文件;所述限制性授权文件包括:防火墙授权文件和加密锁身份识别码;获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码;将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对;若比对结果一致,则对所述防火墙授权文件进行生效操作;获取虚拟防火墙发送的授权请求;基于生效的防火墙授权文件对所述虚拟防火墙进行授权。根据本专利技术实施例的另一个方面,提供了一种对虚拟防火墙的授权进行限制的系统,包括:限制性授权文件获取模块,用于获取导入至授权管理虚拟机中的限制性授权文件;所述限制性授权文件包括:防火墙授权文件、加密锁身份识别码;加密锁身份识别码获取模块,用于获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码;第一比对模块,用于将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对;若比对结果一致,则向防火墙授权文件生效模块发送生效指令;防火墙授权文件生效模块,用于在接收到所述生效指令后对所述防火墙授权文件进行生效操作;授权请求获取模块,用于获取虚拟防火墙发送的授权请求;授权模块,用于基于生效的防火墙授权文件对所述虚拟防火墙进行授权。本专利技术实施例的有益效果在于,相较于现有技术中的通过售卖一个软件文件——防火墙授权文件license,通过该防火墙授权文件license来实现对虚拟防火墙的授权进行限制的方法。本专利技术实施例提供的对虚拟防火墙的授权进行限制的方法,不仅仅包括软件,还包括硬件。具体来说:在原有的防火墙授权文件license中加入了加密锁的身份识别码,形成了限制性授权文件,另外,开发了一套授权管理软件licenseserver,在授权给用户时,用户需要同时具备授权管理软件licenseserver、限制性授权文件和加密锁才能实现对虚拟防火墙的授权,由于加密锁是硬件设备,不能像软件那样可以随意复制,因此,对于用户来讲,其需要使用虚拟防火墙的高级功能,则必须要通过合法途径从虚拟防火墙厂商处购买加密锁,并将该加密锁插在物理防火墙上才可以使用虚拟防火墙,大大限制了对虚拟机防火墙的授权方式,在一定程度上保护了虚拟防火墙厂商的利益。附图说明图1是本专利技术第一实施例对虚拟防火墙授权进行限制的方法的流程图;图2是本专利技术第二实施例对虚拟防火墙授权进行限制的方法的流程图;图3是本专利技术第三实施例对虚拟防火墙授权进行限制的方法的流程图;图4是本专利技术第四实施例对虚拟防火墙授权进行限制的方法的流程图;图5是本专利技术第五实施例对虚拟防火墙授权进行限制的系统示意图;图6是本专利技术第六实施例对虚拟防火墙授权进行限制的系统示意图;图7是本专利技术第七实施例对虚拟防火墙授权进行限制的系统示意图;图8是本专利技术第八实施例对虚拟防火墙授权进行限制的系统示意图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本专利技术进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本专利技术的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本专利技术的概念。请参阅图1,图1是本专利技术第一实施例提供的对虚拟防火墙的授权进行限制的方法的流程图。在本专利技术实施方式中,对虚拟防火墙的授权进行限制的方法可以通过计算机程序来指令相关硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-OnlyMemory,简称ROM)或随机存取存储器(RandomAccessMemory,简称RAM)等。如图1所示,对虚拟防火墙的授权进行限制的方法包括以下步骤S1—S6:步骤S1,获取导入至授权管理虚拟机中的限制性授权文件。本专利技术实施例中,限制性授权文件包括防火墙授权文件和加密锁身份识别码。防火墙授权文件,英文名称为license,该文件中包括了对防火墙一些高级功能的使用权限。该文件本身为现有技术,不是本专利技术的专利技术点。沿本专利技术沿用了现有技术中物理防火墙设备使用的license授权方式。本专利技术实施例中的限制性授权文件,除了包括现有技术中的license之外,还包括加密锁身份识别码。加密锁身份识别码是加密锁的唯一识别编号,加密锁是一种软硬结合的加密存储装置。例如现有技术中的UKey,全称为USBKey,USBKey的模样跟普通的U盘差不多,不同的是它里面存放了单片机或智能卡芯片,USBKey有一定的存储空间,可以存储用户的私钥以及数字证书,利用USBKey内置的公钥算法可以实现对用户身份的认证。目前USBKey被广泛应用于国内的网上银行领域,是公认的较为安全的身份认证技术。在本专利技术实施例中,加密锁中存储了该加密锁的唯一识别编号,即所述加密锁身份识别码。限制性授权文件由防火墙厂商制作,除了限制性授权文件,防火墙厂商制作还会制作一套授权管理软件licenseserver,防火墙厂商在制作好限制性授权文件和授权管理软件licenseserver之后,当有用户需要购买虚拟防火墙时,防火墙厂商将制作限制性授权文件时用到的加密锁和授权管理软件licenseserver一起出售给用户。用户拿到加密锁和授权管理软件licenseserver后,需要对建立的虚拟防火墙进行授权本文档来自技高网...
【技术保护点】
一种对虚拟防火墙的授权进行限制的方法,其特征在于,包括:获取导入至授权管理虚拟机中的限制性授权文件;所述限制性授权文件包括:防火墙授权文件和加密锁身份识别码;获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码;将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对;若比对结果一致,则对所述防火墙授权文件进行生效操作;获取虚拟防火墙发送的授权请求;基于生效的防火墙授权文件对所述虚拟防火墙进行授权。
【技术特征摘要】
1.一种对虚拟防火墙的授权进行限制的方法,其特征在于,包括:获取导入至授权管理虚拟机中的限制性授权文件;所述限制性授权文件包括:防火墙授权文件和加密锁身份识别码;获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码;将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对;若比对结果一致,则对所述防火墙授权文件进行生效操作;获取虚拟防火墙发送的授权请求;基于生效的防火墙授权文件对所述虚拟防火墙进行授权。2.根据权利要求1所述的方法,其特征在于,所述限制性授权文件还包括:虚拟防火墙授权数量阈值;在获取虚拟防火墙发送的授权请求后,检测当前获得授权的虚拟防火墙的数量;将当前获得授权的虚拟防火墙的数量与所述虚拟防火墙授权数量阈值进行比对;若未达到所述虚拟防火墙授权数量阈值,则基于生效的防火墙授权文件对该虚拟防火墙进行授权。3.根据权利要求2所述的方法,其特征在于,所述限制性授权文件还包括:授权生效时间;当获取到所述导入至授权管理虚拟机中的限制性授权文件时,所述授权生效时间开始倒计时;在对虚拟防火墙进行授权之前,检测当前授权生效时间是否到达时间阈值时,若未到达,则基于生效的防火墙授权文件对该虚拟防火墙进行授权。4.根据权利要求2-3任一项所述的方法,其特征在于,还包括:在预定时间内判断是否接收到已经获得授权的虚拟防火墙发送的重新授权请求;若接收到,则基于生效的防火墙授权文件对该已经授权的虚拟防火墙重新进行授权。5.根据权利要求1-3任一项所述的方法,其特征在于,所述加密锁采用Ukey装置;所述加密锁身份识别码为Ukey装置的串码信息。6.一种对虚拟防火墙的授权进行限制的系统,其特征在于,包括:限制性授权文件获取模块,用于获取导入至授权管理虚拟机中的限制性授权文件;所述限制性授权文件包括:防火墙授权文件、加密锁身份识别码;加密锁身份识别码获取模块,用于获取挂载在所述授权管理虚拟机上的加密锁中存储...
【专利技术属性】
技术研发人员:张辉,
申请(专利权)人:汉柏科技有限公司,
类型:发明
国别省市:天津,12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。