[发明专利]一种对虚拟防火墙的授权进行限制的方法和系统

说明书

技术领域

本发明涉及虚拟防火墙技术领域，特别涉及一种对虚拟防火墙的授权进行限制的方法和系统。

背景技术

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，该网关内的计算机流入流出的所有网络通信和数据包均要经过此防火墙，从而保护内部网免受非法用户的侵入。传统的物理防火墙设备使用license授权方式，用户在购买了物理防火墙设备之后，可以享受该防火墙的一些普通的功能，但如果用户想要享受更加高级的功能，只有在购买了license之后，才能激活物理防火墙的高级功能。

随着云计算的快速发展，虚拟防火墙出现并且使用越来越普遍。虚拟防火墙，即安装部署在虚拟机中的防火墙，就是可以将一台物理防火墙在逻辑上划分成多台虚拟的防火墙。由于虚拟的克隆、快照等技术的出现，使得传统的物理防火墙的license授权方式变得不再可控,具体来说：想要使用虚拟防火墙的用户需要从防火墙厂商处购买一个license(授权文件)，通过该license(授权文件)可以使得建立的虚拟防火墙得到授权。但是由于虚拟克隆等技术的出现，用户在购买到一个license(授权文件)后，能够克隆出多台授权的虚拟防火墙，这样用户就实现了花一台防火墙授权的价格获取到了多台防火墙的使用资源，严重损害了防火墙厂商的利益。

发明内容

本发明的目的是提供一种有效的对虚拟防火墙的授权进行限制的方法和系统，利用了现有技术中的软硬件结合的加密装置，能够使得防火墙厂商有效的对虚拟防火墙的授权进行控制，从而避免了防火墙厂商的利益收到损害。

根据本发明实施例的一个方面，提供了一种对虚拟防火墙的授权进行限制的方法，包括：获取导入至授权管理虚拟机中的限制性授权文件；所述限制性授权文件包括：防火墙授权文件和加密锁身份识别码；获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码；将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对；若比对结果一致，则对所述防火墙授权文件进行生效操作；获取虚拟防火墙发送的授权请求；基于生效的防火墙授权文件对所述虚拟防火墙进行授权。

根据本发明实施例的另一个方面，提供了一种对虚拟防火墙的授权进行限制的系统，包括：限制性授权文件获取模块，用于获取导入至授权管理虚拟机中的限制性授权文件；所述限制性授权文件包括：防火墙授权文件、加密锁身份识别码；加密锁身份识别码获取模块，用于获取挂载在所述授权管理虚拟机上的加密锁中存储的加密锁身份识别码；第一比对模块，用于将该加密锁中的加密锁身份识别码与限制性授权文件中的加密锁身份识别码进行比对；若比对结果一致，则向防火墙授权文件生效模块发送生效指令；防火墙授权文件生效模块，用于在接收到所述生效指令后对所述防火墙授权文件进行生效操作；授权请求获取模块，用于获取虚拟防火墙发送的授权请求；授权模块，用于基于生效的防火墙授权文件对所述虚拟防火墙进行授权。

本发明实施例的有益效果在于，相较于现有技术中的通过售卖一个软件文件——防火墙授权文件license，通过该防火墙授权文件license来实现对虚拟防火墙的授权进行限制的方法。本发明实施例提供的对虚拟防火墙的授权进行限制的方法，不仅仅包括软件，还包括硬件。具体来说：在原有的防火墙授权文件license中加入了加密锁的身份识别码，形成了限制性授权文件，另外，开发了一套授权管理软件license server，在授权给用户时，用户需要同时具备授权管理软件license server、限制性授权文件和加密锁才能实现对虚拟防火墙的授权，由于加密锁是硬件设备，不能像软件那样可以随意复制，因此，对于用户来讲，其需要使用虚拟防火墙的高级功能，则必须要通过合法途径从虚拟防火墙厂商处购买加密锁，并将该加密锁插在物理防火墙上才可以使用虚拟防火墙，大大限制了对虚拟机防火墙的授权方式，在一定程度上保护了虚拟防火墙厂商的利益。

附图说明

图1是本发明第一实施例对虚拟防火墙授权进行限制的方法的流程图；

图2是本发明第二实施例对虚拟防火墙授权进行限制的方法的流程图；

图3是本发明第三实施例对虚拟防火墙授权进行限制的方法的流程图；

图4是本发明第四实施例对虚拟防火墙授权进行限制的方法的流程图；

图5是本发明第五实施例对虚拟防火墙授权进行限制的系统示意图；