[发明专利]基于虚拟网络的安全域控制方法和系统有效
| 申请号: | 201310751701.4 | 申请日: | 2013-12-31 |
| 公开(公告)号: | CN103763309B | 公开(公告)日: | 2018-03-30 |
| 发明(设计)人: | 张翔;王军林;唐明;徐博;成书晟 | 申请(专利权)人: | 曙光云计算集团有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京德恒律治知识产权代理有限公司11409 | 代理人: | 章社杲,孙征 |
| 地址: | 100193 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明提供了一种基于虚拟网络的安全域控制方法,包括安全域控制器接收基于虚拟交换标准OVS的OVS交换机发送的数据包头,其中,数据包头为流入OVS交换机的数据流中的数据包的数据包头;安全域控制器根据数据包头携带的信息以及预设的安全域中的白名单确定出OVS接收到的数据流为安全数据流时,指示OVS交换机放行数据流。此外,本发明还提供了一种基于虚拟网络的安全域控制系统。 | ||
| 搜索关键词: | 基于 虚拟 网络 全域 控制 方法 系统 | ||
【主权项】:
一种基于虚拟网络的安全域控制方法,包括:安全域控制器接收基于虚拟交换标准OVS的OVS交换机发送的数据包头,其中,所述数据包头为流入所述OVS交换机的数据流中的数据包的数据包头;所述安全域控制器根据所述数据包头携带的信息以及预设的安全域中的白名单确定出OVS接收到的数据流为安全数据流时,指示所述OVS交换机放行所述数据流;其中,在安全域控制器接收基于虚拟交换标准OVS的OVS交换机发送的数据包头之前,所述方法还包括:所述OVS交换机判断是否有与流入的数据流对应的数据流规则,如果为否,则将数据流中的数据包的数据包头发送给安全域控制器;所述安全域控制方法还包括:所述安全域控制器根据所述数据包头携带的协议信息判断出所述数据包为TCP协议数据包时,进一步根据所述数据包头携带的其他信息检测所述数据包是否为SYN包以及所述数据包的源IP地址是否为安全域内的主机;检测为是时,根据所述安全域中的白名单判断是否允许TCP协议访问,如果为是,则指示所述OVS交换机放行所述数据流;如果为否,则指示所述OVS交换机丢弃所述数据流;其中,安全域控制器根据所述数据包头携带的信息以及预定的安全域中的白名单确定出OVS接收到的数据流为安全数据流时,指示所述OVS交换机放行所述数据流,包括:安全域控制器获取所述数据包头中的目标IP,并判断所述目标IP是否对应安全域中的虚拟机;如果是,获取所述数据包头中的源IP和协议信息,并且将所述源IP和协议信息与安全域中的白名单进行匹配;如果匹配,则建立与所述数据包的类型相对应的数据流规则,并向所述OVS交换机发送所述数据流规则;以及,所述安全域控制方法还包括所述OVS交换机在接收到所述数据流规则后,根据所述数据流规则放行所述数据流;所述安全域控制方法还包括:如果所述源IP和协议信息中的任一个与安全域中的白名单不匹配,则建立与所述数据包的类型相对应的丢弃规则,并向OVS交换机发送所述丢弃规则;所述OVS交换机在接收到所述丢弃规则后,丢弃所述数据流。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于曙光云计算集团有限公司,未经曙光云计算集团有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201310751701.4/,转载请声明来源钻瓜专利网。
