一种超融合架构下的系统网络安全保障装置及方法制造方法及图纸

本发明专利技术涉及系统网络安全保障技术领域，提供了一种超融合架构下的系统网络安全保障装置，包括：封装生成器,随机生成两个不同的字符组成加密对；更新定时器，周期性调用封装生成器更新加密对，并在超融合架构中所有节点同步完成配置后进行加密对替换；报文加密器，将封装生成器产生的加密对插入到数据报文的头部信息中；地址校验器，对接收到的数据报文进行地址校验，若地址校验不通过，则认为数据报文为攻击者构造的仿冒报文，进行丢弃处理；报文解析器，判断数据报文的头部信息中包含的加密对与当前封装生成器生成的加密对是否一致。集成在超融合系统内部，无需额外部署，并且不需要用户做额外的配置即可实现提升超融合系统网络安全的目标。网络安全的目标。网络安全的目标。

【技术实现步骤摘要】
一种超融合架构下的系统网络安全保障装置及方法


[0001]本专利技术涉及系统网络安全保障的
，尤其涉及一种超融合架构下的系统网络安全保障装置及方法。

技术介绍

[0002]超融合架构系统(Hyperconverged Infrastructure，HCI)是一种集成了计算、存储和网络功能的整合性数据中心架构。它将计算、存储和网络资源集成到一台物理服务器或节点中，通过软件定义的方式进行管理和提供服务。HCI旨在简化数据中心的部署和管理，并提供高度可扩展性和灵活性。
[0003]典型的超融合架构系统包括以下组件：
[0004](1)计算节点(Compute Nodes)：每个计算节点都是一台物理服务器，负责运行虚拟机(VM)和处理计算任务。计算节点通常配备多个处理器、大量内存和本地存储资源。
[0005](2)存储节点(Storage Nodes)：存储节点提供分布式存储，将所有节点的存储资源汇集在一起，形成一个共享存储池。存储节点使用软件定义的存储技术，如分布式文件系统或对象存储，以提供高效的数据存储和管理。
[0006](3)网络设备(Network Devices)：超融合架构系统需要一个高性能的网络基础设施，用于节点之间的通信和数据传输。网络设备包括交换机、路由器和网络控制器，以确保数据中心内的网络流量流畅和可靠。
[0007](4)管理软件(Management Software)：超融合架构系统使用专门的管理软件来实现资源管理、虚拟机配置、性能监控、容错和自动化管理。管理软件提供集中化的控制界面，简化了系统的配置、部署和维护。
[0008]超融合架构系统的优势包括：
[0009](1)简化管理：通过集成的管理软件，管理员可以通过单个控制界面管理整个基础架构，包括计算、存储和网络资源。
[0010](2)灵活性和可扩展性：超融合架构系统可以根据需求进行横向扩展，通过添加更多的节点来增加计算和存储能力。
[0011](3)高可用性：系统中的多个节点和分布式存储技术提供了容错和冗余功能，以确保在单个节点或存储设备故障时的持续可用性。
[0012](4)节省空间和能源：通过整合计算、存储和网络功能到少量物理节点中，超融合架构系统可以减少数据中心的占用空间和能源消耗。
[0013]超融合架构系统已经成为现代数据中心的重要选择，特别适用于虚拟化环境和私有云部署。它提供了一种集成、高效和灵活的方式来管理和提供数据中心的基础设施服务。
[0014]尽管超融合架构系统在安全性方面具有一些内在的优势，但安全性仍然是一个持续的挑战。系统管理员需要采取适当的安全措施，如合理的配置和管理、定期的安全评估和漏洞扫描，以确保超融合架构系统的安全性能得到最大程度的保障。
[0015]在现有技术中，目前可以用于提升超融合架构系统网络安全等级的常用方法一般
有使用南北向防火墙和入侵检测及防攻击等安全设备。但是这些安全设备几乎都需要部署额外的硬件或软件组件才能够实现，并且需要用户手动添加对应的安全防护规则。

技术实现思路

[0016]针对上述问题，本专利技术的目的在于提供一种超融合架构下的系统网络安全保障装置及方法，集成在超融合系统内部，无需额外部署，并且不需要用户做额外的配置即可实现提升超融合系统网络安全的目标。
[0017]本专利技术的上述专利技术目的是通过以下技术方案得以实现的：
[0018]一种超融合架构下的系统网络安全保障装置，包括以下组件：
[0019]封装生成器,用于随机生成两个不同的字符组成一组加密对；
[0020]更新定时器，用于周期性调用所述封装生成器更新所述加密对，并在超融合架构中所有节点同步完成配置后进行所述加密对的替换；
[0021]报文加密器，用于在将数据报文从所述节点发出去之前，将所述封装生成器产生的所述加密对插入到所述数据报文的头部信息中；
[0022]地址校验器，用于对从其他所述节点接收到的所述数据报文进行地址校验，若所述地址校验不通过，则认为所述数据报文为攻击者构造的仿冒报文，进行丢弃处理；
[0023]报文解析器，用于在通过所述地址校验器的校验之后，判断所述数据报文的所述头部信息中包含的所述加密对与当前所述封装生成器生成的所述加密对是否一致，若一致则转发所述数据报文，若不一致则判定为仿冒报文，进行丢弃处理。
[0024]进一步地，在所述封装生成器中，随机生成两个不同的字符组成一组所述加密对，具体为：
[0025]采用随机数生成算法随机生成两个数字，用作VLAN字段的VLAN ID标识符，并将这两个不同的VLAN ID标识符形成的802.1q封装头组合在一起，形成一组加密对。
[0026]进一步地，在所述报文加密器中，将所述数据报文从所述节点发出去之前，将所述封装生成器产生的所述加密对插入到所述数据报文的所述头部信息中，具体为：
[0027]获取所述数据报文的所述头部信息中原始的VLAN ID，将所述加密对插入到原始的VLAN ID之后，实现加密效果。
[0028]进一步地，在所述地址校验器中，对从其他所述节点接收到的所述数据报文进行地址校验，具体为：
[0029]根据超融合架构系统内部数据库中所记录的全部节点的系统网络IP地址和MAC地址的绑定关系，对从其他所述节点接收到的所述数据报文进行所述地址校验；
[0030]当接收到的所述数据报文中的所述IP地址和所述MAC地址与数据库中记录的所述节点的所述IP地址和所述MAC地址的对应关系不符合时，则认为所述数据报文为攻击者构造的仿冒报文，进行丢弃处理。
[0031]进一步地，在所述报文解析器中，通过所述地址校验器的校验之后，判断所述数据报文的所述头部信息中包含的所述加密对与当前所述封装生成器生成的所述加密对是否一致，具体为：
[0032]接收到所述数据报文，且通过所述地址校验器的校验之后，所述报文解析器将所述数据报文最外层的802.1q封装进行剥离，并校验剩余的两层封装是否与当前所述封装生
成器已设置的所述加密对是否一致；
[0033]若一致，则转发所述数据报文，若不一致，则判定所述数据报文为仿冒报文，丢弃所述数据报文。
[0034]一种采用如上述的超融合架构下的系统网络安全保障装置执行的超融合架构下的系统网络安全保障方法，包括：
[0035]发送报文流程，采用所述封装生成器、所述更新定时器和所述报文加密器生成待发送的所述数据报文进行发送；
[0036]报文接收流程，采用所述封装生成器、所述更新定时器、所述地址校验器和所述报文解析器对接收的所述数据报文进行校验，并对校验合格的所述数据报文进行转发。
[0037]进一步地，所述发送报文流程，具体为：
[0038]S110：启动超融合架构系统守护进程，所述所述封装生成器、所述更新定时器和所述报文加密器进入工作状态；
[0039]S120：所述更新本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种超融合架构下的系统网络安全保障装置，其特征在于，包括以下组件：封装生成器,用于随机生成两个不同的字符组成一组加密对；更新定时器，用于周期性调用所述封装生成器更新所述加密对，并在超融合架构中所有节点同步完成配置后进行所述加密对的替换；报文加密器，用于在将数据报文从所述节点发出去之前，将所述封装生成器产生的所述加密对插入到所述数据报文的头部信息中；地址校验器，用于对从其他所述节点接收到的所述数据报文进行地址校验，若所述地址校验不通过，则认为所述数据报文为攻击者构造的仿冒报文，进行丢弃处理；报文解析器，用于在通过所述地址校验器的校验之后，判断所述数据报文的所述头部信息中包含的所述加密对与当前所述封装生成器生成的所述加密对是否一致，若一致则转发所述数据报文，若不一致则判定为仿冒报文，进行丢弃处理。2.根据权利要求1所述的超融合架构下的系统网络安全保障装置，其特征在于，在所述封装生成器中，随机生成两个不同的字符组成一组所述加密对，具体为：采用随机数生成算法随机生成两个数字，用作VLAN字段的VLANID标识符，并将这两个不同的VLANID标识符形成的802.1q封装头组合在一起，形成一组加密对。3.根据权利要求1所述的超融合架构下的系统网络安全保障装置，其特征在于，在所述报文加密器中，将所述数据报文从所述节点发出去之前，将所述封装生成器产生的所述加密对插入到所述数据报文的所述头部信息中，具体为：获取所述数据报文的所述头部信息中原始的VLANID，将所述加密对插入到原始的VLANID之后，实现加密效果。4.根据权利要求1所述的超融合架构下的系统网络安全保障装置，其特征在于，在所述地址校验器中，对从其他所述节点接收到的所述数据报文进行地址校验，具体为：根据超融合架构系统内部数据库中所记录的全部节点的系统网络IP地址和MAC地址的绑定关系，对从其他所述节点接收到的所述数据报文进行所述地址校验；当接收到的所述数据报文中的所述IP地址和所述MAC地址与数据库中记录的所述节点的所述IP地址和所述MAC地址的对应关系不符合时，则认为所述数据报文为攻击者构造的仿冒报文，进行丢弃处理。5.根据权利要求1所述的超融合架构下的系统网络安全保障装置，其特征在于，在所述报文解析器中，通过所述地址校验器的校验之后，判断所述数据报文的所述头部信息中包含的所述加密对与当前所述封装生成器生成的所述加密对是否一致，具体为：接收到所述数据报文，且通过所述地址校验器的校验之后，所述报文解析器将所述数据报文最外层的802.1q封装进行剥离，并校验剩余的两层封装是否与当前所述封装生成器已设置的所述加密对是否一致；...

【专利技术属性】
技术研发人员：李文飞，徐文豪，张凯，王弘毅，
申请(专利权)人：北京志凌海纳科技有限公司，
类型：发明
国别省市：