[发明专利]一种基于虚拟化网络的可信接入认证系统

说明书

一种基于虚拟化网络的可信接入认证系统，包括：虚拟可信接入交换组件，所述虚拟可信接入认证组件包括可信Open vSwitch和可信接入交换控制器，配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持；可信接入认证组件，所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端；可信接入管理组件，所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端，可信Open vSwitch包括带有虚拟机网络授权信息的预设流表规则，可信Open vSwitch基于预设流表规则向虚拟机提供虚拟网络支持。本发明能够实现虚拟机网络访问的有效控制。

技术领域

本发明涉及虚拟化网络、SDN软件定义网络、TNC可信网络连接和远程证明，具体涉及一种基于虚拟化网络的可信接入认证系统。

背景技术

云计算在社会生活和日常办公环境中的应用带来了诸多便利，但也带来了相应的安全风险和挑战。从技术上来看，云计算通过虚拟化技术实现了数据中心中计算资源、存储资源和网络资源的池化，供云中心用户统一分配使用，给用户使用带来了诸多的便利，但虚拟化技术的引入，也带来了虚拟化资源难于管理、虚拟化网络边界难于界定等新的风险，恶意攻击者通过攻击虚拟机入侵虚拟化网络，在虚拟化网络中传播病毒或盗取信息数据，给运行于云计算平台的业务应用和用户数据带来严重安全威胁，而虚拟化网络的接入威胁，传统的网络安全设备很难防护到位。

综上，依托SDN软件定义网络和TNC可信网络连接技术，研究虚拟化网络虚拟机可信接入认证技术刻不容缓。

发明内容

为解决以上问题，本发明提出了一种基于虚拟化网络的可信接入认证系统，包括：

虚拟可信接入交换组件，所述虚拟可信接入认证组件包括可信Open vSwitch和可信接入交换控制器，配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持；

可信接入认证组件，所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端，配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证；

可信接入管理组件，所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端，配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务，

其中，可信Open vSwitch包括带有虚拟机网络授权信息的预设流表规则，可信Open vSwitch基于所述预设流表规则向虚拟机提供虚拟网络支持。

在本发明的一些实施方式中，可信Open vSwitch包括：

Open vSwitch，Open vSwitch与可信接入认证客户端和虚拟可信接入交换控制器进行通信；

VMM可信完整性证明模块，配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。

在本发明的一些实施方式中，可信接入认证客户端包括：

完整性度量收集器，配置用于将收集到的完整性度量信息并发送到TNC客户端；

TNC客户端，配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装；

网络请求访问模块，与所述可信Open vSwitch进行通信，配置用于发送可信接入认证请求信息和接收可信接入认证结果；

实时安全检测模块，配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和U盘接入状态。

在本发明的一些实施方式中，可信接入认证客户端还包括：