[发明专利]一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法

说明书

技术领域

本发明涉及云计算安全技术领域，特别是一种基于Openflow的私有云网络动态安全隔离系统及其隔离方法。

背景技术

随着云计算模式的流行，许多机构希望建设私有云，私有云的建设无疑为IT部门带来了诸多好处；如可以实现信息资源的集中管理、IT基础设施能够得到更高效的利用等。但是在带来这些优点的同时，由于私有云会对网络架构进行一些调整，因此也会产生一些新的问题，主要体现在以下几点：

1)计算资源的集中部署使得安全隔离的问题日益凸显。首先，在内网中，不同类型的应用(例如业务应用、财务应用和人事应用等)彼此之间应当保证一定程度的隔离，以避免不同种类的信息产生混淆。但是云计算的一大特征是将计算资源虚拟化为细粒度的资源池，这使得传统的隔离手段或粒度过于粗放(如基于主机的隔离)，或不够灵活(如基于VLAN的隔离)。

2)当虚拟服务器需要在不同的物理服务器之间进行迁移时，VLAN配置会随之丢失，造成隔离失效。

Openflow(简写OVS)是一种将网络设备的数据平面(Data-Panel)和控制平面(ControlPanel)相分离的技术，使用逻辑上的控制器(Controller)对整个网络进行管理，提高了网络管理的灵活性，降低了网络维护的复杂度。Openflow是SDN(SoftwareDefinedNetwork，软件定义网络)的代表技术之一，甚至在一定程度上被认为与SDN技术等价，Openflow和SDN技术被建议在未来的企业私有云和云平台的建设中采用，来优化云内部的虚拟网络。

发明内容

本发明解决的技术问题之一在于提供基于Openflow的私有云网络动态安全隔离系统，解决传统隔离方法隔离粒度过粗、不灵活的问题。

本发明解决的技术问题之二在于提供基于Openflow的私有云网络动态安全隔离方法，解决传统隔离方法隔离粒度过粗、不灵活的问题。

本发明解决上述技术问题之一的技术方案：

所述的系统包括虚拟机运行平台、虚拟化的用户操作平台、虚拟网络连接平台；

所述的虚拟机运行平台，用于运行虚拟机以承载不同类型的应用，允许应用的虚拟机在物理机上随机分布；

所述的虚拟化的用户操作平台，用于用户使用不同的终端对后端的应用服务进行访问；

所述的虚拟网络连接平台，用于使用Openflow技术对私有云网络按需进行隔离和动态调整。

所述虚拟机运行平台运行私有云的内网应用，不同类型的应用按照私有云平台的资源分配原则被随机地分配到物理服务器上；同一应用的虚拟机既可以运行在同一台物理服务器上，也可以运行在不同的物理服务器上；同一台物理服务器上既可以运行一个应用的虚拟机，也可以运行不同应用的虚拟机。

所述虚拟网络连接平台使用Openflow技术对虚拟网络进行控制，实现使用软件方式对虚拟网络进行快速调整，满足私有云对网络的动态需求。

本发明解决上述技术问题之二的技术方案：

所述方法是在物理服务器与物理服务器之间的链路采用现有的交换机进行连接；包括承载不同应用的虚拟机在内的不同的虚拟平台问采用虚拟交换机OVS进行连接，实现网络中对Openflow的支持；用于管理OVS交换机来控制虚拟服务器(组)之间隔离的控制器与各台物理服务器相独立，并与物理服务器之间使用Openflow协议进行通信；用于管理从虚拟桌面终端到虚拟机之间的访问控制的应用监视器在逻辑上与控制器相结合。

所述控制器用于对各虚拟交换机进行管理，可以在控制器上为其管理的OVS交换机上的端口远程添加/删除/修改VLAN-TAG。

所述控制器在虚拟机在物理之间迁移是在控制器上将原OVS端口的VLAN-TAG删除，而在现OVS端口上添加对应的VLAN-TAG。

本发明的有益效果：

1、本发明的系统和方法是一种小粒度的、灵活的虚拟网络管理方法，能构建有效的、动态的虚拟化网络；

2、本发明是一种安全的虚拟网络管理方法，由于控制器中集中控制整个虚拟网络的信息，本发明能确保访问控制机制对实施访问的主体(虚拟桌面或其他终端)和客体(虚拟服务器)来说是透明的，避免访问控制机遭到篡改。

本发明结合Openflow技术对私有云网络进行设计，解决传统隔离方法隔离粒度过粗、不灵活的问题，提出一种动态安全隔离的系统和方法。

附图说明