[发明专利]面向云环境多租户网络的可信控制器架构及其操作方法

说明书

本发明公开了一种面向云环境多租户网络的可信控制器架构，包括：提出了一种租户网络抽象的安全规范说明，它指明了在多租户环境下租户网络应该满足安全需求；根据安全规范说明提出了一个通用的SDN租户网络控制器架构，能够提高多租户网络管理的安全性；提出一个新的网络管理权限模型，隔离云管理员的网络权限，防止云管理员滥用权限攻击租户网络，同时赋予TN管理员必要的网络权限用于租户网络自主管理；在本发明中，控制器可以利用安全设备实时监控网络状态被恶意攻击或篡改，同时TN管理员和云管理员可向控制器验证网络是否处于一个安全状态。本发明适用于多租户云网络，能够防止恶意的云管理员危害租户网络安全和隐私。

技术领域

本发明属于云环境多租户网络安全领域，特别是涉及一种面向云环境多租户网络的可信控制器架构及其操作方法。

背景技术

随着云技术的不断发展和日渐完善，许多企业纷纷把自己的IT基础设施外包给IaaS云提供商以节省成本。从云提供商的角度看，这些被外包的IT基础设施都是虚拟的基础设施，包括虚拟机以及虚拟的网络设施。我们把一个被外包给云提供商的IT基础设施叫做租户网络(Tenant Network，简称TN)。为了服务多个租户，IaaS提供商需要把一个物理的云网络虚拟化成多个虚拟的TN。

软件定义网络(Software-defined Network，简称SDN)因其网络决策服务(控制层)和数据转发功能相(数据层)分离的特点，而被越来越多的应用于云环境，以方便云网络管理，但其不能实现TN的自主管理。为了实现网络虚拟化以及方便云租户网络自主管理，有人提出了虚拟软件定义网络(Virtualized SDN，简称vSDN)技术，即在数据层和控制层之间引入SDN管理器(SDN Hypervisor)，它把底层的物理网络映射成多个虚拟网络，每个虚拟网络对应一个租户网络，有专门的vSDN控制器供TN管理员自主管理。

然而，现有的vSDN技术存在以下的技术问题：首先，违背最小特权原则，即SDN管理器为云管理员提供了过大的网络特权，这意味着无论是云管理员本身成为内部攻击者，还是他所使用的管理终端被恶意入侵，都会威胁所有租户网络的安全；其次，违背职责分离原则，即vSDN控制器本来由TN管理员使用以管理租户网络，而却由云管理员分配，使得vSDN控制器的完整性易遭到恶意云管理员的破坏。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种面向云环境多租户网络的可信控制器架构及其操作方法，其目的在于，解决现有vSDN技术中存在的违背最小特权和职责分离原则的问题，同时本发明在保证云租户网络自主管理的同时，提高其安全性和效率。

为实现上述目的，按照本发明的一个方面，提供了一种面向云环境多租户网络的可信控制器架构，包括云管理员域、多个TN管理员域、以及控制域，云管理员域与外部的云管理员通信连接，TN管理员域与外部的TN管理员通信连接，控制域与云管理员域、TN管理员域、以及数据层通信连接，控制域包括网络控制器和TN管理器，网络控制器用于接收来自于云管理员域和TN管理员域的网络命令，对该网络命令进行处理后转发给TN管理器，TN管理器用于使用虚实映射表将数据层抽象成多个虚拟的租户网络，并包括网络权限监视器，用于区分和隔离云管理员和TN管理员的权限，并使用虚实映射表对来自于控制域的网络命令进行转换后，将该网络命令发送给对应的租户网络，TN管理器还用于从数据层接收租户网络的状态信息，并将状态信息转发到云管理域和租户管理域，云管理员域用于运行来自于云管理员的云管理应用程序，以实现对整个云网络的管理，并用于启动控制域和TN管理员域，TN管理员域用于运行来自于TN管理员的TN管理应用程序，以实现对租户网络的管理。

优选地，控制域和TN管理员域都处于用户域，云管理员域处于特权域。

优选地，虚实映射表是设置于控制器架构的内存中，用于记录每个租户网络中的虚拟资源与数据层中的实际资源之间的映射关系，其中虚拟资源包括虚拟的交换机、端口、流表、组表、计量表，实际资源包括实际的交换机、端口、流表、组表、计量表。