一种访问控制系统及其方法
一种访问控制系统及其方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种访问控制系统及其方法。
【背景技术】
[0002]云计算的特点之一就是将资源进行集中分配调度。虚拟化使得物理设备转化为资源池,具有按需分配和互相隔离的特征,因此虚拟化是资源能够灵活分配调度的必要条件。服务器虚拟化和存储虚拟化都有比较成熟的解决方案,但是数据中心的业务是离不开网络的,每个租户都需要通过网络连接自己的虚拟机,并且不能与其他租户的网络互相干扰,因此,网络作为资源的一部分同样向着虚拟化方向发展。数据中心的网络必须隔离成多个虚拟网络,分配给各个租户,使每个租户都感觉在独立使用网络,可以分配自己的IP地址,设置自己的网络安全策略。
[0003]按照目前的网络技术,租户网络的隔离可以采用虚拟局域网(Virtual LocalArea NetWOrk,VLAN)技术,安全策略可以在交换机上进行配置。然而,虚拟机的申请、释放和迀移都具有动态性,这使得与虚拟机相关的网络配置也必须具有动态性,因此频繁修改网络配置影响网络管理。
【发明内容】
[0004]为解决上述问题,本发明提供一种访问控制系统及其方法,用于解决现有的云计算虚拟网络的安全策略的改变影响网络管理的问题。
[0005]为此,本发明提供一种访问控制方法,包括:
[0006]步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;
[0007]步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。
[0008]可选的,所述步骤S2包括:
[0009]根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制;
[0010]根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。
[0011]可选的,所述步骤S2包括:
[0012]根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制;
[0013]根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。
[0014]可选的,所述步骤S1包括:
[0015]改变所述第一访问控制策略;
[0016]根据改变后的第一访问控制策略形成多个安全域。
[0017]可选的,所述步骤S2包括:
[0018]监测所述第一访问控制策略的状态;
[0019]当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
[0020]本发明提供一种访问控制系统,包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接;
[0021]所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机;
[0022]所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。
[0023]可选的,所述安全代理单元包括第一安全代理模块和第二安全代理模块;
[0024]所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制;
[0025]所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。
[0026]可选的,所述安全代理单元包括第三安全代理模块和第四安全代理模块;
[0027]所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制;
[0028]所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。
[0029]可选的,所述云安全管理单元包括改变模块和第一形成模块,所述改变模块与所述第一形成模块连接;
[0030]所述改变模块用于改变所述第一访问控制策略;
[0031]所述第一形成模块用于根据改变后的第一访问控制策略形成多个安全域。
[0032]可选的,所述安全代理单元包括监测模块和第二形成模块,所述监测模块与所述第二形成模块连接;
[0033]所述监测模块用于监测所述第一访问控制策略的状态;
[0034]所述第二形成模块用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
[0035]本发明具有下述有益效果:
[0036]本发明提供的访问控制系统及其方法中,所述访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本发明提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本发明提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本发明提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
【附图说明】
[0037]图1为本发明实施例一提供的一种访问控制方法的流程图;
[0038]图2为本发明实施例二提供的一种访问控制系统的结构示意图;
[0039]图3为本发明实施例二提供的一种访问控制系统的架构图。
【具体实施方式】
[0040]为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的访问控制系统及其方法进行详细描述。
[0041 ] 实施例一
[0042]图1为本发明实施例一提供的一种访问控制方法的流程图。如图1所示,所述访问控制方法包括:
[0043]步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内。
[0044]本实施例中,所述云安全管理单元集中管理虚拟网络中的所有虚拟机,根据实际需要设置第一访问控制策略,以形成多个安全域,从而实现对虚拟网络的安全隔离。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。
[0045]步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。
[0046]本实施例中,所述安全代理单元设置在各个物理主机上。所述安全代理单元根据云安全管理单元设置的第一访问控制策略形成第二访问控制策略,从而完成对虚拟机进一步的访问控制。可选的,所述安全代理单元采用OpenFlow技术或者IPtable技术在所述物理主机上形成第二访问控制策略。
[0047]优选的,所述步骤S2包括:根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制,根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制方法通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制。
[0048]本实施例中,所述步骤S2包括:根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制,根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制方法通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现物理主机之间以及物理主机之内的细粒度访问控制。
[0049]优选的,所述步骤S1包括:改变所述第一访问控制策略,根据改变后的第一访问控制策略形成多个安全域。所述步骤S2包括:监测所述第一访问控制策略的状态,当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。本实施例提供的访问控制方法将网络资源虚拟化,使得网络资源的调度摆脱了网络束缚。所述访问控制方法关注的焦点不是交换机体系或者ASIC标准体系,而是访问控制策略的集中控制和管理。集中控制和管理的访问控制策略可以随时获得全局网络视图或者其它更多的网络状态信息,从而可以实现原来分布式网络控制模式下难以实现的网络功能。对访问控制策略的集中控制和管理使得虚拟网络具有可编程性,从而可以实现支持多租户、优化流量以及迀移虚拟机等网络功能。
[0050]本实施例提供的访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本实施例提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
[0051 ] 实施例二
[0052]图2为本发明实施例二提供的一种访问控制系统的结构示意图,图3为本发明实施例二提供的一种访问控制系统的架构图。如图2和图3所示,所述访问控制系统包括云安全管理单元101和安全代理单元102,所述云安全管理单元101设置在云计算虚拟网络内,所述安全代理单元102设置在物理主机内,所述云安全管理单元101与所述安全代理单元102连接。所述云安全管理单元101用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机。所述安全代理单元102用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。
[0053]本实施例中,所述云安全管理单元101集中管理虚拟网络中的所有虚拟机,根据实际需要设置第一访问控制策略,以形成多个安全域,从而实现对虚拟网络的安全隔离。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。
[0054]本实施例中,所述安全代理单元102设置在各个物理主机上。所述安全代理单元102根据云安全管理单元101设置的第一访问控制策略形成第二访问控制策略,从而完成对虚拟机进一步的访问控制。可选的,所述安全代理单元102采用OpenFlow技术或者IPtable技术在所述物理主机上形成第二访问控制策略。
[0055]优选的,所述安全代理单元102包括第一安全代理模块和第二安全代理模块。所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制。所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制系统通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制。
[0056]本实施例中,所述安全代理单元102包括第三安全代理模块和第四安全代理模块。所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制。所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制系统通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现物理主机之间以及物理主机之内的细粒度访问控制。 [0057]优选的,所述云安全管理单元101包括改变模块201和第一形成模块202,所述改变模块201与所述第一形成模块202连接。所述改变模块201用于改变所述第一访问控制策略,所述第一形成模块202用于根据改变后的第一访问控制策略形成多个安全域。所述安全代理单元102包括监测模块203和第二形成模块204,所述监测模块203与所述第二形成模块204连接,所述监测模块203用于监测所述第一访问控制策略的状态,所述第二形成模块204用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。所述访问控制系统关注的焦点不是交换机体系或者ASIC标准体系,而是访问控制策略的集中控制和管理。集中控制和管理的访问控制策略可以随时获得全局网络视图或者其它更多的网络状态信息,从而可以实现原来分布式网络控制模式下难以实现的网络功能。对访问控制策略的集中控制和管理使得虚拟网络具有可编程性,从而可以实现支持多租户、优化流量以及迀移虚拟机等网络功能。
[0058]本实施例提供的访问控制系统包括:包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接。所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机。所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本实施例提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
[0059]可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
【主权项】
1.一种访问控制方法,其特征在于,包括: 步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内; 步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。2.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S2包括: 根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制; 根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。3.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S2包括: 根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制; 根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。4.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S1包括: 改变所述第一访问控制策略; 根据改变后的第一访问控制策略形成多个安全域。5.根据权利要求4所述的访问控制方法,其特征在于,所述步骤S2包括: 监测所述第一访问控制策略的状态; 当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。6.—种访问控制系统,其特征在于,包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接; 所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机; 所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。7.根据权利要求6所述的访问控制系统,其特征在于,所述安全代理单元包括第一安全代理模块和第二安全代理模块; 所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制; 所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。8.根据权利要求6所述的访问控制系统,其特征在于,所述安全代理单元包括第三安全代理模块和第四安全代理模块; 所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制; 所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。9.根据权利要求6所述的访问控制系统,其特征在于,所述云安全管理单元包括改变模块和第一形成模块,所述改变模块与所述第一形成模块连接; 所述改变模块用于改变所述第一访问控制策略; 所述第一形成模块用于根据改变后的第一访问控制策略形成多个安全域。10.根据权利要求9所述的访问控制系统,其特征在于,所述安全代理单元包括监测模块和第二形成模块,所述监测模块与所述第二形成模块连接; 所述监测模块用于监测所述第一访问控制策略的状态; 所述第二形成模块用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
【专利摘要】本发明公开了一种访问控制系统及其方法,所述访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。
【IPC分类】H04L29/06
【公开号】CN105491061
【申请号】CN201511024577
【发明人】张兴, 王海洋, 何武红, 陈幼雷, 施光源
【申请人】中电长城网际系统应用有限公司
【公开日】2016年4月13日
【申请日】2015年12月30日
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种访问控制系统及其方法。
【背景技术】
[0002]云计算的特点之一就是将资源进行集中分配调度。虚拟化使得物理设备转化为资源池,具有按需分配和互相隔离的特征,因此虚拟化是资源能够灵活分配调度的必要条件。服务器虚拟化和存储虚拟化都有比较成熟的解决方案,但是数据中心的业务是离不开网络的,每个租户都需要通过网络连接自己的虚拟机,并且不能与其他租户的网络互相干扰,因此,网络作为资源的一部分同样向着虚拟化方向发展。数据中心的网络必须隔离成多个虚拟网络,分配给各个租户,使每个租户都感觉在独立使用网络,可以分配自己的IP地址,设置自己的网络安全策略。
[0003]按照目前的网络技术,租户网络的隔离可以采用虚拟局域网(Virtual LocalArea NetWOrk,VLAN)技术,安全策略可以在交换机上进行配置。然而,虚拟机的申请、释放和迀移都具有动态性,这使得与虚拟机相关的网络配置也必须具有动态性,因此频繁修改网络配置影响网络管理。
【发明内容】
[0004]为解决上述问题,本发明提供一种访问控制系统及其方法,用于解决现有的云计算虚拟网络的安全策略的改变影响网络管理的问题。
[0005]为此,本发明提供一种访问控制方法,包括:
[0006]步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;
[0007]步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。
[0008]可选的,所述步骤S2包括:
[0009]根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制;
[0010]根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。
[0011]可选的,所述步骤S2包括:
[0012]根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制;
[0013]根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。
[0014]可选的,所述步骤S1包括:
[0015]改变所述第一访问控制策略;
[0016]根据改变后的第一访问控制策略形成多个安全域。
[0017]可选的,所述步骤S2包括:
[0018]监测所述第一访问控制策略的状态;
[0019]当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
[0020]本发明提供一种访问控制系统,包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接;
[0021]所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机;
[0022]所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。
[0023]可选的,所述安全代理单元包括第一安全代理模块和第二安全代理模块;
[0024]所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制;
[0025]所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。
[0026]可选的,所述安全代理单元包括第三安全代理模块和第四安全代理模块;
[0027]所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制;
[0028]所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。
[0029]可选的,所述云安全管理单元包括改变模块和第一形成模块,所述改变模块与所述第一形成模块连接;
[0030]所述改变模块用于改变所述第一访问控制策略;
[0031]所述第一形成模块用于根据改变后的第一访问控制策略形成多个安全域。
[0032]可选的,所述安全代理单元包括监测模块和第二形成模块,所述监测模块与所述第二形成模块连接;
[0033]所述监测模块用于监测所述第一访问控制策略的状态;
[0034]所述第二形成模块用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
[0035]本发明具有下述有益效果:
[0036]本发明提供的访问控制系统及其方法中,所述访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本发明提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本发明提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本发明提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
【附图说明】
[0037]图1为本发明实施例一提供的一种访问控制方法的流程图;
[0038]图2为本发明实施例二提供的一种访问控制系统的结构示意图;
[0039]图3为本发明实施例二提供的一种访问控制系统的架构图。
【具体实施方式】
[0040]为使本领域的技术人员更好地理解本发明的技术方案,下面结合附图对本发明提供的访问控制系统及其方法进行详细描述。
[0041 ] 实施例一
[0042]图1为本发明实施例一提供的一种访问控制方法的流程图。如图1所示,所述访问控制方法包括:
[0043]步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内。
[0044]本实施例中,所述云安全管理单元集中管理虚拟网络中的所有虚拟机,根据实际需要设置第一访问控制策略,以形成多个安全域,从而实现对虚拟网络的安全隔离。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。
[0045]步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。
[0046]本实施例中,所述安全代理单元设置在各个物理主机上。所述安全代理单元根据云安全管理单元设置的第一访问控制策略形成第二访问控制策略,从而完成对虚拟机进一步的访问控制。可选的,所述安全代理单元采用OpenFlow技术或者IPtable技术在所述物理主机上形成第二访问控制策略。
[0047]优选的,所述步骤S2包括:根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制,根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制方法通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制。
[0048]本实施例中,所述步骤S2包括:根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制,根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制方法通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现物理主机之间以及物理主机之内的细粒度访问控制。
[0049]优选的,所述步骤S1包括:改变所述第一访问控制策略,根据改变后的第一访问控制策略形成多个安全域。所述步骤S2包括:监测所述第一访问控制策略的状态,当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。本实施例提供的访问控制方法将网络资源虚拟化,使得网络资源的调度摆脱了网络束缚。所述访问控制方法关注的焦点不是交换机体系或者ASIC标准体系,而是访问控制策略的集中控制和管理。集中控制和管理的访问控制策略可以随时获得全局网络视图或者其它更多的网络状态信息,从而可以实现原来分布式网络控制模式下难以实现的网络功能。对访问控制策略的集中控制和管理使得虚拟网络具有可编程性,从而可以实现支持多租户、优化流量以及迀移虚拟机等网络功能。
[0050]本实施例提供的访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本实施例提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
[0051 ] 实施例二
[0052]图2为本发明实施例二提供的一种访问控制系统的结构示意图,图3为本发明实施例二提供的一种访问控制系统的架构图。如图2和图3所示,所述访问控制系统包括云安全管理单元101和安全代理单元102,所述云安全管理单元101设置在云计算虚拟网络内,所述安全代理单元102设置在物理主机内,所述云安全管理单元101与所述安全代理单元102连接。所述云安全管理单元101用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机。所述安全代理单元102用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。
[0053]本实施例中,所述云安全管理单元101集中管理虚拟网络中的所有虚拟机,根据实际需要设置第一访问控制策略,以形成多个安全域,从而实现对虚拟网络的安全隔离。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。
[0054]本实施例中,所述安全代理单元102设置在各个物理主机上。所述安全代理单元102根据云安全管理单元101设置的第一访问控制策略形成第二访问控制策略,从而完成对虚拟机进一步的访问控制。可选的,所述安全代理单元102采用OpenFlow技术或者IPtable技术在所述物理主机上形成第二访问控制策略。
[0055]优选的,所述安全代理单元102包括第一安全代理模块和第二安全代理模块。所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制。所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制系统通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制。
[0056]本实施例中,所述安全代理单元102包括第三安全代理模块和第四安全代理模块。所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制。所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。本实施例提供的访问控制系统通过设置不同等级的访问控制策略可以实现不同层级的访问控制,从而实现物理主机之间以及物理主机之内的细粒度访问控制。 [0057]优选的,所述云安全管理单元101包括改变模块201和第一形成模块202,所述改变模块201与所述第一形成模块202连接。所述改变模块201用于改变所述第一访问控制策略,所述第一形成模块202用于根据改变后的第一访问控制策略形成多个安全域。所述安全代理单元102包括监测模块203和第二形成模块204,所述监测模块203与所述第二形成模块204连接,所述监测模块203用于监测所述第一访问控制策略的状态,所述第二形成模块204用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。所述访问控制系统关注的焦点不是交换机体系或者ASIC标准体系,而是访问控制策略的集中控制和管理。集中控制和管理的访问控制策略可以随时获得全局网络视图或者其它更多的网络状态信息,从而可以实现原来分布式网络控制模式下难以实现的网络功能。对访问控制策略的集中控制和管理使得虚拟网络具有可编程性,从而可以实现支持多租户、优化流量以及迀移虚拟机等网络功能。
[0058]本实施例提供的访问控制系统包括:包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接。所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机。所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。另外,本实施例提供的技术方案可以为多个租户提供可靠、安全以及可扩展的网络,通过设置访问控制策略实现对虚拟机与外界之间的访问控制行为,同一安全域内的虚拟机对外界具有相同的访问策略,从而实现安全域的划分。同时,本实施例提供的技术方案通过设置不同等级的访问控制策略还可以实现不同层级的访问控制,从而实现安全域之间以及安全域之内的细粒度访问控制,从而可以降低云服务提供商向租户提供网络服务的成本。
[0059]可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
【主权项】
1.一种访问控制方法,其特征在于,包括: 步骤S1、云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内; 步骤S2、安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。2.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S2包括: 根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制; 根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。3.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S2包括: 根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制; 根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。4.根据权利要求1所述的访问控制方法,其特征在于,所述步骤S1包括: 改变所述第一访问控制策略; 根据改变后的第一访问控制策略形成多个安全域。5.根据权利要求4所述的访问控制方法,其特征在于,所述步骤S2包括: 监测所述第一访问控制策略的状态; 当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。6.—种访问控制系统,其特征在于,包括云安全管理单元和安全代理单元,所述云安全管理单元设置在云计算虚拟网络内,所述安全代理单元设置在物理主机内,所述云安全管理单元与所述安全代理单元连接; 所述云安全管理单元用于根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机; 所述安全代理单元用于根据所述第一访问控制策略形成第二访问控制策略,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制。7.根据权利要求6所述的访问控制系统,其特征在于,所述安全代理单元包括第一安全代理模块和第二安全代理模块; 所述第一安全代理模块用于根据所述第一访问控制策略形成第三访问控制策略,所述第三访问控制策略用于对同一个安全域内的虚拟机之间的通信进行访问控制; 所述第二安全代理模块用于根据所述第一访问控制策略形成第四访问控制策略,所述第四访问控制策略用于对一个安全域内的虚拟机与另一个安全域内的虚拟机之间的通信进行访问控制。8.根据权利要求6所述的访问控制系统,其特征在于,所述安全代理单元包括第三安全代理模块和第四安全代理模块; 所述第三安全代理模块用于根据所述第一访问控制策略形成第五访问控制策略,所述第五访问控制策略用于对同一个物理主机内的虚拟机之间的通信进行访问控制; 所述第四安全代理模块用于根据所述第一访问控制策略形成第六访问控制策略,所述第六访问控制策略用于对一个物理主机内的虚拟机与另一个物理主机内的虚拟机之间的通信进行访问控制。9.根据权利要求6所述的访问控制系统,其特征在于,所述云安全管理单元包括改变模块和第一形成模块,所述改变模块与所述第一形成模块连接; 所述改变模块用于改变所述第一访问控制策略; 所述第一形成模块用于根据改变后的第一访问控制策略形成多个安全域。10.根据权利要求9所述的访问控制系统,其特征在于,所述安全代理单元包括监测模块和第二形成模块,所述监测模块与所述第二形成模块连接; 所述监测模块用于监测所述第一访问控制策略的状态; 所述第二形成模块用于当所述第一访问控制策略改变时根据改变后的第一访问控制策略形成新的第二访问控制策略。
【专利摘要】本发明公开了一种访问控制系统及其方法,所述访问控制方法包括:云安全管理单元根据预设的第一访问控制策略在虚拟网络之中形成多个安全域,所述安全域包括至少一个虚拟机,所述云安全管理单元设置在云计算虚拟网络内;安全代理单元根据所述第一访问控制策略形成第二访问控制策略,所述安全代理单元设置在物理主机内,所述第二访问控制策略用于对所述物理主机内的虚拟机进行访问控制,所述云安全管理单元与所述安全代理单元连接。本实施例提供的技术方案改变虚拟网络的安全策略时不用修改与虚拟网络的网络配置,从而避免网络配置的修改影响到虚拟网络的管理。
【IPC分类】H04L29/06
【公开号】CN105491061
【申请号】CN201511024577
【发明人】张兴, 王海洋, 何武红, 陈幼雷, 施光源
【申请人】中电长城网际系统应用有限公司
【公开日】2016年4月13日
【申请日】2015年12月30日
最新回复(0)