一种用于虚拟化网络中的虚拟化数据交换安全系统,涉及计算机、操作系统领域中虚拟化系统下的数据交换安全管理领域。本发明专利技术包括服务器和内置于服务器中的虚拟交换系统。其结构特点是,所述虚拟交换系统中还设有虚拟交换接口定义模块、服务注册认证模块、违规数据修复模块和数据路由模块。虚拟机虚拟地址中的各虚拟地址编号分别与虚拟交换接口定义模块中的各接口编号一一对应后连接到虚拟交换机虚拟地址,虚拟交换机虚拟地址依次通过访问控制模块、服务注册认证模块、违规数据修复模块和数据路由模块连接到数据转发模块。本发明专利技术通过虚拟端口和安全管理模块的方式保证虚拟化数据的安全交换,具有真实、实用、安全的特点。
【技术实现步骤摘要】
—种用于虚拟化网络中的虚拟化数据交换安全系统
本专利技术涉及计算机、操作系统领域中虚拟化系统下的数据交换安全管理领域,特别是虚拟化数据交换安全系统。
技术介绍
现有技术中,虚拟化环境中的数据交换仅通过网卡地址进行通讯,缺乏对虚拟交换系统进行的虚拟接口管理,从而使很多物理交换技术中基于端口号标识的安全管理技术在虚拟化环境下很难得以实现,如图1所示。这样的技术方案,一旦在虚拟化环境中产生数据包欺骗,虚拟化的交换网络系统就将面临着巨大的挑战。会产生泛洪攻击瘫痪、中间人侦听攻击侦听虚拟机虚拟地址间的数据、泛洪攻击任何制定的IP/MAC地址。如中国专利,申请号为2009101357636的“地址查找方法、交换机和网络系统”。它的技术方案中只有IP-MAC-接口的记录方法,该方法仅应用于物理交换机中,无法在虚拟化系统中构建虚拟接口。又如“思科UCS虚拟化技术白皮书”中,只描写了虚拟链路,并未提及虚拟端口和虚拟端口的工作方法,以及未提及在虚拟化及虚拟化端口下后续的安全策略构建和方法。
技术实现思路
针对上述现有技术中存在的问题和缺点,本专利技术的目的是提供一种用于虚拟化网络中的虚拟化数据交换安全系统。它通过虚拟端口和安全管理模块的方式保证虚拟化数据的安全交换,具有真实、实 用、安全的特点。为了达到上述专利技术目的,本专利技术的技术方案以如下方式实现: 一种用于虚拟化网络中的虚拟化数据交换安全系统,它包括服务器和内置于服务器中的虚拟交换系统。服务器内设有网卡物理地址和虚拟机虚拟地址,虚拟交换系统内包括虚拟交换机虚拟地址、访问控制模块和数据转发模块。其结构特点是,所述虚拟交换系统中还设有虚拟交换接口定义模块、服务注册认证模块、违规数据修复模块和数据路由模块。虚拟机虚拟地址中的各虚拟地址编号分别与虚拟交换接口定义模块中的各接口编号--对应后连接到虚拟交换机虚拟地址,虚拟交换机虚拟地址依次通过访问控制模块、服务注册认证模块、违规数据修复模块和数据路由模块连接到数据转发模块。本专利技术由于采用了上述的结构,基于虚拟接口进行标识,实施虚拟安全管理。本专利技术保证了虚拟化环境下数据交换的信息安全管理,填补了信息安全概念应用在虚拟化领域的空白。本专利技术中的数据安全管理方案符合技术的发展,在物理交换技术中广泛的得到应用,是在虚拟化环境下重要的技术支撑,是国际虚拟化数据安全交互的根基。下面结合附图和【具体实施方式】对本专利技术作进一步说明。【附图说明】图1为现有技术虚拟化环境中数据交换系统的结构示意图;图2为本专利技术的结构示意图; 图3为在本专利技术中进行虚拟化数据交换的流程图。【具体实施方式】参看图2,本专利技术包括服务器400和内置于服务器400中的虚拟交换系统200。服务器400内设有网卡物理地址300和虚拟机虚拟地址100,虚拟交换系统200包括虚拟交换机虚拟地址202、访问控制模块203和数据转发模块207。其结构特点是,所述虚拟交换系统200中还设有虚拟交换接口定义模块201、服务注册认证模块204、违规数据修复模块205和数据路由模块206。虚拟机虚拟地址100中的各虚拟地址编号分别与虚拟交换接口定义模块201中的各接口编号--对应后连接到虚拟交换机虚拟地址202,虚拟交换机虚拟地址202依次通过访问控制模块203、服务注册认证模块204、违规数据修复模块205和数据路由模块206连接到数据转发模块207。本专利技术在虚拟交换系统200中增加虚拟交换接口定义模块201,使交换表1P_>MAC的对应关系增加为IP->MAC->Bx (Bx为虚拟交换接口定义模块201中的接口编号),其中虚拟交换接口定义模块201中的接口编号与虚拟机虚拟地址100中的Mac_x地址编号——对应,既 B0->Mac_0、Bl->Mac_UB2->Mac_2 方式生成。参看图3,采用本专利技术系统进行虚拟化数据交换DHCP,通过标准的DHCP流程,可以在虚拟化环境下交互。虚拟机虚拟地址100中DM2的Mac_2通过DHCP请求协议向子网广播发送请求数据包,在虚拟交换系统200处接收到请求,由服务注册认证模块204指定的DHCP服务器交换地址。假设在虚拟机虚拟地址100中的DMl上起动了 DHCP服务,则会在虚拟交换系统200中生成对应的注册记录IP->MAC->B1->DHCP(如果无则表示普通客户端,任何服务器均可以通过服务注册认证模块204进行注册,如SMTP、P0P3、FTP、SSH),DHCP服务器会返回DHCP租用信息给DM2的Mac_2 (100),DM2接受后同意租用信息中的IP地址和租期,返回信息给虚拟机虚拟地址100中的DM1,DM1会注册并同步DHCP表中IP-MAC的对应关系给虚拟交换系统200。在虚拟交换系统200中注册IP-MAC-B2的对应关系。在以上基础上,数据上行实现从虚拟机虚拟地址100发送到网卡物理地址300,下行实现从网卡物理地址300发送到虚拟机虚拟地址100。以上行从虚拟机虚拟地址100发送到网卡物理地址300为例说明。数据从虚拟机虚拟地址100发到虚拟交换系统200,先经过虚拟交换接口定义模块201,通过对应关系形成对应的虚拟链路如虚拟机虚拟地址100中的DM2,IP-Mac_2-B2,在虚拟交换系统的交换表中产生主机交换记录,该记录是由DHCP的成功注册而产生的,并非自DM2广播生成,实现了依靠DHCP租用成功信息构建交换表数据的可靠性。在虚拟交换接口定义模块201的B2中,可以配置IP-MAC-B2的对应关系数量以支持一台虚拟机多个IP地址的情况,如IP10-Macl0-B2、IPl1-Macl 1-B2,同时也抑制了虚拟机虚拟地址10中的0Mac_2发布IP和Mac对应的数量,有效的减少了交换表的更新速度和数量,避免了数据包疯狂的更新交换表内容的攻击,对于超过许可范围内的更新交换表数据包则被丢弃。在虚拟交换接口定义模块201处可以配置对不同协议的通讯速率,如ARP协议数据包在指定时间内的总数,如果超过则可以执行阻断、延迟(时间以秒为单位)、放行的策略。数据从虚拟交换接口定义模块201处发送到虚拟交换机虚拟地址202,虚拟交换机虚拟地址202会检测虚拟交换系统200的安全策略,判断下一跳执行(顺序为从访问控制模块203、服务注册认证模块204、违规数据修复模块205、数据路由模块206到数据转发模块207),如果没有任何安全策略可以直接跳到数据转发模块207,如果有安全策略则跳到指定的安全策略模块进行数据处理。如果开启全部安全策略,则按从访问控制模块203、服务注册认证模块204、违规数据修复模块205、数据路由模块206到数据转发模块207的先后顺序一一进行数据转发、覆盖和处理。数据从虚拟交换机虚拟地址202发送到访问控制模块203时,通过ACL的规则判断数据是否可以通行,如果可以放行则进入下一步,如果不可以放行则按策略进行处理(丢弃、延迟、延迟次数、返回消息、返回消息内容设置) 数据从访问控制模块203发送到服务注册认证模块204时,检测IP-MAC-B2的交换列表是否是由在服务注册认证模块204处注册的DHCP分发。如果属于DHCP地址池范围内的数据,并且符合本文档来自技高网...
【技术保护点】
一种用于虚拟化网络中的虚拟化数据交换安全系统,它包括服务器(400)和内置于服务器(400)中的虚拟交换系统(200),服务器(400)内设有网卡物理地址(300)和虚拟机虚拟地址(100),虚拟交换系统(200)内包括虚拟交换机虚拟地址(202)、访问控制模块(203)和数据转发模块(207),其特征在于,所述虚拟交换系统(200)中还设有虚拟交换接口定义模块(201)、服务注册认证模块(204)、违规数据修复模块(205)和数据路由模块(206),虚拟机虚拟地址(100)中的各虚拟地址编号分别与虚拟交换接口定义模块(201)中的各接口编号一一对应后连接到虚拟交换机虚拟地址(202),虚拟交换机虚拟地址(202)依次通过访问控制模块(203)、服务注册认证模块(204)、违规数据修复模块(205)和数据路由模块(206)连接到数据转发模块(207)。
【技术特征摘要】
1.一种用于虚拟化网络中的虚拟化数据交换安全系统,它包括服务器(400)和内置于服务器(400)中的虚拟交换系统(200),服务器(400)内设有网卡物理地址(300)和虚拟机虚拟地址(100),虚拟交换系统(200)内包括虚拟交换机虚拟地址(202)、访问控制模块(203)和数据转发模块(207),其特征在于,所述虚拟交换系统(200)中还设有虚拟交换接口定义模块(201)、服...
【专利技术属性】
技术研发人员:孙睿,
申请(专利权)人:同方股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。