基于云计算的虚拟机间安全通信保护系统及其方法

文档序号:7760751阅读:202来源:国知局

专利名称::基于云计算的虚拟机间安全通信保护系统及其方法
技术领域
:本发明涉及云计算
技术领域
,特指一种基于云计算的虚拟机间安全通信保护系统及其方法。
背景技术
:计算机的应用模式大体经历了以大型机为主体的集中式架构(数据中心1.0)、以PC机为主体的客户/服务器分布式计算架构(数据中心2.0)、以虚拟化技术为核心面向服务的体系结构(SOA)及基于*吐2.0应用特征的新型架构(数据中心3.0)。计算机的应用模式、技术架构及实现特征的演变是云计算发展的时代背景。互联网技术成为ICT应用的基础,层出不穷的互联网应用需求也要求ICT理念进行重新思考和设计。这种改变不仅带来ICT应用平台的更新换代,而且也带来ICT应用实现和商用模式的创新。这种变化的影响是如此巨大而鲜明,以至于人们可以从多个角度和视角来描述这些新的特征和现象。尽管云计算的概念和定义很多,但究其本质还是为了满足ICT应用和业务的网络实现。为了理论和讨论的严谨性,给云计算更为明确而严格的定义云计算是在整合的架构之下,基于IP网络的虚拟化资源平台,提供规模化ICT应用的实现方式。云计算的实质是网络下的应用,是由IP和IT技术共同构建的。从发展的角度来看,“云”的技术和目标是一个逐步演化的过程。比如,Web技术出现时,就具备了云计算的应用特征有了统一界面的雏形。随着服务器应用平台上的虚拟化技术的成熟和Web统一界面的推出,虚拟化和Web走向结合,使得云计算可以在一个整合的架构上统一实现。虚拟机是指支持多操作系统并行运行在单个物理服务器上的一种系统,能够提供更加有效的底层硬件使用。在虚拟机中,中央处理器芯片从系统其它部分划分出一段存储区域,操作系统和应用程序运行在“保护模式”环境下。如果在某虚拟机中出现程序冻结现象,这并不会影响运行在虚拟机外的程序操作和操作系统的正常工作。在云计算领域中,物理上相邻的物理服务器可以联合成一个集群,多个集群又可以联合成一个系统,在这种拓扑结构下虚拟机一般来说是分配给不同的用户使用的,这时候如何限制这些虚拟机之间的通信,同时在有必要是又可以提供相互访问的灵活性就显得尤为重要。因此,在云计算领域需要一个虚拟机间安全通信保护系统和方法。
发明内容本发明解决的技术问题之一在于提供一种基于云计算的虚拟机间安全通信保护系统,为云计算虚拟机安全通信提供一个标准的系统。本发明解决的技术问题之二在于提供一种安全、简单、高性能的基于云计算的虚拟机间安全通信的方法,确保云计算虚拟机之间的安全通信。本发明解决上述技术问题之一的技术方案是包括虚拟机安全通信输入/输出处理单元、弹性IP查询和修改单元、安全路由查4询和修改单元、通信策略处理单元、地址转换处理单元和虚拟机网络接口处理单元;虚拟机安全通信输入/输出处理单元,用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示;弹性IP查询和修改单元,用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定;安全路由查询和修改单元,用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则;通信策略处理单元,用于判断要与虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道;地址转换处理单元,用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址;虚拟机网络接口处理单元,用于在虚拟机通信的网络接口上设置和执行用户设置的安全规则。所述虚拟机安全通信相关的命令包括弹性IP的查询和修改命令、安全路由的查询和修改命令以及通信连接的命令;所述弹性IP是指一个IP地址池中的IP,IP地址池是一组不用的共有IP地址,用户能在虚拟机启动或运行时动态地请求这个集合中的一个IP,在虚拟机暂停或关闭时把请求的IP释放到这个集合中;所述安全路由是一种IP数据包的转发规则,所有通过系统的入口数据包都要符合这些规则才会被转发,否则被丢弃;所述通信策略处理是一种根据虚拟机之间所处位置的具体情况决定采用何种通信方式的决策机制,是虚拟机通信的全面考虑,确保处在任何位置的虚拟机之间的连通性;所述地址转换是公有IP地址与虚拟网络中使用的私有IP地址之间的转换;所述虚拟网络接口是虚拟机连接到物理网络的接口,其通过桥接的方式连接到物理网卡。所述的安全路由结构包括协议、源端口、目标端口、用户/组和源CIDR,其中,协议,用于表示具体的通信协议,安全路由只转发此种协议的数据,包括TCP、UDP以及ICMP;源端口表示一个端口范围的左边界,目标端口表示一个端口范围的右边界,安全路由只允许访问此端口范围(包括左边界和右边界)的数据进入系统,否则数据将会被丢弃;用户/组与源CIDR二选其一,用户/组表示安全路由只允许拥有此用户/组标识的数据进入系统,否则数据将会被丢弃;源CIDR与用户/组二选其一,源CIDR表示安全路由只允许此CIDR表示的IP地址范围内的主机发送的数据进入系统,否则数据将会被丢弃。本发明解决上述技术问题之二的技术方案是包括如下步骤A、用户被允许在运行时把虚拟机实例附加到一个属于用户的虚拟网络中;每个这样的网络都被赋予一个唯一的VLAN标签和一个唯一的IP子网;用这种方法,每个虚拟网络中的虚拟机集合与其他使用相同机制创建的虚拟网络隔离开了,而且使用更细的子网划分;B、在虚拟机网络之间有一个安全路由器的角色,默认的策略是阻断所有虚拟机网络之间的通信;如果用户愿意的话,他/她们可以在其虚拟网络上创建入口规则,允许比如ICMP的ping进/出公网;C、所有虚拟机的IP都在一个私有IP地址池中获得;指定一组不用的公共IP地址,然后让用户在虚拟机启动或运行时动态地请求这个集合中的一个IP;最后,使用Linuxiptables网络地址转换(NAT)的特性定义动态的目的NAT(DNAT)和源NAT(SNAT)的从公有IP到私有IP地址的转换。本发明可达到的有益效果如下1、本发明限制了虚拟机与虚拟机、虚拟机与外网之间的通信,避免了虚拟机之间的相互干扰;2、本发明在限制通信的同时提供了可配置的灵活性,通过配置,需要进行通信的虚拟机可以互连;3、本发明全面了考虑了当前云计算领域虚拟机分布的特点,智能地选择虚拟机之间的通信方式;4、本发明的实现对于Linux系统无入侵性,充分利用其原有的软件包而不对操作系统本身做改动,实施相对容易。下面结合附图对本发明进一步说明图1为本发明基于云计算的虚拟机间安全通信保护系统的结构框图;图2为本发明安全路由示意图;图3为本发明虚拟机间通信示意图。具体实施例方式如图1所示,本发明基于云计算的虚拟机间安全通信保护系统包括虚拟机安全通信输入/输出处理单元10、弹性IP查询和修改单元11、安全路由查询和修改单元12、通信策略处理单元13、地址转换处理单元14和虚拟网络接口处理单元15。虚拟机安全通信输入/输出处理单元10,用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示。弹性IP查询和修改单元11,用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定。安全路由查询和修改单元12,用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则。通信策略处理单元13,用于判断要与虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道。地址转换处理单元14,用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址。虚拟机网络接口处理单元15,用于在虚拟机通信的网络接口上设置和执行用户设置的安全规则,是实现基于云计算的虚拟机间安全通信的实际软件单位。对于弹性IP,本系统各模块之间以及系统和外界之间的信息交互是通过IP地址来进行的。本系统IP地址包括三大类公有IP地址、私有IP地址以及弹性IP地址。虚拟机一旦被创建就会自动地分配两个IP地址,也就是公有IP地址和私有IP地址。公有IP地址和私有IP地址之间通过网络地址转换(NAT)技术来实现相互之间的转换。公有IP地址和特定的实例相对应,在某个虚拟机关闭或者被弹性IP地址替代之前,公有IP地址会一直存在,虚拟机通过这个公有IP地址和外界进行通信。私有IP地址也和某个特定的虚拟机相对应,它由动态主机配置协议(DHCP)分配产生。公有IP地址和弹性IP地址都在一个由管理员分配的公有IP地址池里获取,弹性IP可以被用户分配占用,然后把其与某个正在运行的虚拟机关联,相反,弹性IP也可以被用户取消与某个正在运行的虚拟机的关联以及释放不再使用。本系统使用Linuxiptables网络地址转换(NAT)的特性进行公有IP到私有IP或弹性IP到私有IP之间的转换。如图2所示,通过设置安全路由规则限制了虚拟网络A与虚拟网络B之间的通信。本系统使用Linuxiptables包过滤系统执行安全路由入口规则。对于通信方式,指的是虚拟机之间通信,虚拟机以集群的方式组织,在同一个集群下,虚拟机又被划分为不同的虚拟子网,因此,虚拟机之间有三种位置关系关系一两台虚拟机在同一集群的同一个虚拟子网下关系二两台虚拟机在同一集群的不同虚拟子网下关系三两台虚拟机在不同的集群下两台虚拟机在同一集群的同一个虚拟子网下时,通过如图3所示的虚拟网络接口直接互连;两台虚拟机在同一个集群的不同虚拟子网下时,通过如图3所示的虚拟网络接口连接到物理网络然后间接互连;两台虚拟机在不同的集群下是,通过如图3所示的物理网络接口连接到物理网络然后间接互连。权利要求1.基于云计算的虚拟机间安全通信保护系统,其特征在于包括虚拟机安全通信输入/输出处理单元(10)、弹性IP查询和修改单元(11)、安全路由查询和修改单元(12)、通信策略处理单元(13)、地址转换处理单元(14)和虚拟机网络接口处理单元(15);虚拟机安全通信输入/输出处理单元(10),用于接收虚拟机安全通信相关的命令、判断命令的类型并把命令输出到相应的功能单元,最后把返回的结果进行显示;弹性IP查询和修改单元(11),用于查询用户的弹性IP资源和对弹性IP的属性进行操作,包括分配新的弹性IP、释放所分配的弹性IP、绑定弹性IP到虚拟机和解除弹性IP与虚拟机的绑定;安全路由查询和修改单元(12),用于查询用户设置的安全路由规则和对路由规则进行操作,包括创建新的安全路由规则、删除已有的安全路由规则和修改已有的安全路由规则;通信策略处理单元(13),用于判断要与虚拟机通信的类型,针对不同的类型采用不同的通信策略、使用不同的通道;地址转换处理单元(14),用于把外部入口的数据包中的公共IP地址转换成虚拟机内部使用的私有IP地址;虚拟机网络接口处理单元(15),用于在虚拟机通信的网络接口上设置和执行用户设置的安全规则。2.根据权利要求1所述的基于云计算的虚拟机间安全通信保护系统,其特征在于所述虚拟机安全通信相关的命令包括弹性IP的查询和修改命令、安全路由的查询和修改命令以及通信连接的命令;所述弹性IP是指一个IP地址池中的IP,IP地址池是一组不用的共有IP地址,用户能在虚拟机启动或运行时动态地请求这个集合中的一个IP,在虚拟机暂停或关闭时把请求的IP释放到这个集合中;所述安全路由是一种IP数据包的转发规则,所有通过系统的入口数据包都要符合这些规则才会被转发,否则被丢弃;所述通信策略处理是一种根据虚拟机之间所处位置的具体情况决定采用何种通信方式的决策机制,是虚拟机通信的全面考虑,确保处在任何位置的虚拟机之间的连通性;所述地址转换是公有IP地址与虚拟网络中使用的私有IP地址之间的转换;所述虚拟网络接口是虚拟机连接到物理网络的接口,其通过桥接的方式连接到物理网卡。3.根据权利要求2所述的基于云计算的虚拟机间安全通信保护系统,其特征在于所述的安全路由结构包括协议、源端口、目标端口、用户/组和源CIDR,其中,协议,用于表示具体的通信协议,安全路由只转发此种协议的数据,包括TCP、UDP以及ICMP;源端口表示一个端口范围的左边界,目标端口表示一个端口范围的右边界,安全路由只允许访问此端口范围(包括左边界和右边界)的数据进入系统,否则数据将会被丢弃;用户/组与源CIDR二选其一,用户/组表示安全路由只允许拥有此用户/组标识的数据进入系统,否则数据将会被丢弃;源CIDR与用户/组二选其一,源CIDR表示安全路由只允许此CIDR表示的IP地址范围内的主机发送的数据进入系统,否则数据将会被丢弃。4.权利要求1所述的虚拟机间安全通信保护系统的通信方法,其特征在于包括如下步骤A、用户被允许在运行时把虚拟机实例附加到一个属于用户的虚拟网络中;每个这样的网络都被赋予一个唯一的VLAN标签和一个唯一的IP子网;用这种方法,每个虚拟网络中的虚拟机集合与其他使用相同机制创建的虚拟网络隔离开了,而且使用更细的子网划分;B、在虚拟机网络之间有一个安全路由器的角色,默认的策略是阻断所有虚拟机网络之间的通信;如果用户愿意的话,他/她们可以在其虚拟网络上创建入口规则,允许比如ICMP的Ping进/出公网;C、所有虚拟机的IP都在一个私有IP地址池中获得;指定一组不用的公共IP地址,然后让用户在虚拟机启动或运行时动态地请求这个集合中的一个IP;最后,使用Linuxiptables网络地址转换(NAT)的特性定义动态的目的NAT(DNAT)和源NAT(SNAT)的从公有IP到私有IP地址的转换。全文摘要本发明涉及云计算
技术领域
,特指一种基于云计算的虚拟机间安全通信保护系统及其方法。包括虚拟机安全通信输入/输出处理单元、弹性IP查询和修改单元、安全路由查询和修改单元、通信策略处理单元、地址转换处理单元和虚拟网络接口处理单元。本发明为云计算领域虚拟机之间的通信提供了一种安全、简单、高性能的系统和方法;可应用于虚拟机之间的通信。文档编号H04L29/12GK102307246SQ20101029214公开日2012年1月4日申请日期2010年9月25日优先权日2010年9月25日发明者季统凯,岳强,杨松,肖翱,莫展鹏申请人:广东电子工业研究院有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1