本发明涉及虚拟化网络、sdn软件定义网络、tnc可信网络连接和远程证明,具体涉及一种基于虚拟化网络的可信接入认证系统。
背景技术:
云计算在社会生活和日常办公环境中的应用带来了诸多便利,但也带来了相应的安全风险和挑战。从技术上来看,云计算通过虚拟化技术实现了数据中心中计算资源、存储资源和网络资源的池化,供云中心用户统一分配使用,给用户使用带来了诸多的便利,但虚拟化技术的引入,也带来了虚拟化资源难于管理、虚拟化网络边界难于界定等新的风险,恶意攻击者通过攻击虚拟机入侵虚拟化网络,在虚拟化网络中传播病毒或盗取信息数据,给运行于云计算平台的业务应用和用户数据带来严重安全威胁,而虚拟化网络的接入威胁,传统的网络安全设备很难防护到位。
综上,依托sdn软件定义网络和tnc可信网络连接技术,研究虚拟化网络虚拟机可信接入认证技术刻不容缓。
技术实现要素:
为解决以上问题,本发明提出了一种基于虚拟化网络的可信接入认证系统,包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信openvswitch和可信接入交换控制器,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信openvswitch包括带有虚拟机网络授权信息的预设流表规则,可信openvswitch基于所述预设流表规则向虚拟机提供虚拟网络支持。
在本发明的一些实施方式中,可信openvswitch包括:
openvswitch,openvswitch与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
vmm可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
在本发明的一些实施方式中,可信接入认证客户端包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到tnc客户端;
tnc客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信openvswitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态。
在本发明的一些实施方式中,可信接入认证客户端还包括:
隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
在本发明的一些实施方式中,可信接入认证服务端包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
tnc服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从tnc服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
在本发明的一些实施方式中,可信接入认证服务端还包括:
vmm可信完整性验证模块,配置用于与所述openvswitch的vmm可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
在本发明的一些实施方式中,可信接入交换控制器包括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
sdn控制器,配置用于与openvswitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到openvswitch,以及将通过openvswitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
在本发明的一些实施方式中,隔离修复服务端包括:
可信接入认证客户端下载服务模块,配置用于通过openvswitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过openvswitch对虚拟网络中的虚拟机提供完整性度量修复服务。
在本发明的一些实施方式中,可信接入认证管理端包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
在本发明的一些实施方式中,openvswitch还包括:根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
根据本发明提出的一种基于虚拟化网络的可信接入认证系统,通过获取虚拟网络中虚拟机进程状态、文件完整性、端口状态和u盘接入状态、虚拟机平台身份信息、宿主机上的虚拟机监控器信息进行验证,并根据可信验证结果制定openvswitch的流表规则,实现对虚拟网络中虚拟机的网络会话进行控制,以实现对虚拟化网络的安全控制。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的实施例。
图1为本发明一种基于虚拟化网络的可信接入认证系统结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
如图1所示,本发明提出了一种基于虚拟化网络的可信接入认证系统包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信openvswitch3和可信接入交换控制器4,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端1和位于控制节点的可信接入认证服务端2,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端6和位于控制节点的可信接入认证管理端5,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信openvswitch3包括带有虚拟机网络授权信息的预设流表规则,可信openvswitch3基于所述预设流表规则向虚拟机提供虚拟网络支持。
在本发明的实施例中,通过openvswitch虚拟交换技术提供安全虚拟交换网络服务,可信接入认证客户端1和可信接入认证服务端2之间的网络通信都经过可信openvswitch3和可信接入交换控制器4。
在本发明的一些实施例中,可信openvswitch3包括:
openvswitch,虚拟交换机与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
vmm可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
在本实施例中,openvswitch作为虚拟交换机基于802.1x局域网接入认证协议,前端采用eap可扩展身份验证协议中的eap-ttls协议,后端采用radiusaaa协议,实现tnc可信网络连接架构,通过获取到的流表规则对虚拟网络中的虚拟机的通信进行控制,负责对虚拟网络中所有虚拟机的数据交换,vmm可信完整性证明模块位于虚拟机所在的宿主机上,提供宿主机上的虚拟机监控器的认证数据。
在本发明的一些实施例中,可信接入认证客户端1包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到tnc客户端;
tnc客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信openvswitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态。
在本实施例中,网络请求访问模块通过openvswitch发送可信接入认证请求,在接收到openvswitch回信后。完整性度量收集器收集当前虚拟机的进程状态、文件完整性、端口状态和u盘接入状态、虚拟机平台完整性报告、及虚拟机平台身份信息,并将收集到的认证信息发送到tnc客户端。tnc客户端根据网络通信协议,将收到的认证信息封装成网络数据包,并将网络数据包发送到网络访问请求模块。网络访问请求模块将收到的包含认证信息的网络数据包发送到openvswitch。
在网络访问请求模块接收到通过openvswitch转发的可信接入认证结果之后,将可信接入认证结果的数据包发送到tnc客户端解析,若认证结果为通过,则虚拟机中的其他应用可直接通过openvswitch与外部网络通信。同时,实时安全检测模块对虚拟机的进程状态、文件完整性、端口状态和u盘接入状态进行实时检测,如果检测失败,通过网络访问请求模块向openvswitch3发送eapol-logoff帧并,断开网络连接。
在本发明的一些实施例中,可信接入认证客户端1还包括:隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
在本实施例中,当可信接入认证的结果为验证失败,隔离修复请求模块需要对虚拟机的完整性度量信息进行修复,通过网络访问请求模块向同在虚拟网络中的隔离修复服务端发起隔离修复请求,虚拟机可访问隔离修复web服务,进行可信接入认证客户端和重要配置文件的下载操作,可完成虚拟机接入认证失败后的修复操作
在本发明的一些实施例中,可信接入认证服务端2包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
tnc服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从tnc服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
在本实施例中,网络访问授权从可信接入交换控制器4获取到认证信息数据包后,将认证信息交给tnc服务端对认证信息数据包进行解析,tnc服务端将解析出的认证信息发送到完整性度量验证器进行验证,若验证不通过,则网络访问授权模块向可信接入交换控制器4发出验证失败的可信接入认证结果,日志模块记录所有的认证动作。
在本发明的一些实施例中,可信接入认证服务端2还包括:
vmm可信完整性验证模块,配置用于与所述openvswitch的vmm可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
在本实施例中,在完整性度量验证器对认证信息进行验证且验证结果通过后,vmm可信完整性验证模块向可信openvswitch3的vmm可信完整性证明模块发送宿主机身份证明验证请求,在收到宿主机上的虚拟机监控器身份证明,且验证通过后,通过网络访问授权模块发送可信进入认证通过结果。
在本发明的一些实施例中,可信接入交换控制器包4括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
sdn控制器,配置用于与openvswitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到openvswitch,以及将通过openvswitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
在本实施例中,802.1协议支持模块,对可信接入交换控制器包4所有收到的eap-ttls协议封装的数据包进行解析。sdn控制器作为可信接入交换控制器包4数据交换接口接收来自可信接入认证服务端的可信认证验证结果,并将结果交由802.1协议支持模块解析,并将验证结果发送到流表规则模块,流表规则模块将验证结果转换成openvswitch支持的流表规则并通过sdn控制器发送到openvswitch执行流表规则,流表规则包括对具体虚拟机的网络通信的许可,网络会话管理模块将可信接入认证通过的可信接入认证失败的虚拟机信息的存入到数据库。
在本发明的一些实施例中,隔离修复服务端6包括:
可信接入认证客户端下载服务模块,配置用于通过openvswitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过openvswitch对虚拟网络中的虚拟机提供完整性度量修复服务。
在本实施例中,可信接入认证客户端下载服务模块提供可信接入认证客户端的下载服务,完整性度量修复模块提供重要配置文件下载服务,,通过vlan网络隔离和openvswitch流表规则控制,虚拟机中的隔离修复请求模块可访问隔离修复web服务端的可信接入认证客户端下载服务模块下载可信接入认证客户端,访问完整性度量修复模块下载重要配置文件。
在本发明的一些实施例中,可信接入认证管理端5包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
在本实施例中,安全策略配置模块提供对对进程状态、文件完整性、端口状态和u盘接入状态等安全策略内容进行修改的功能,操作人员可通过认证管理端或运安全管理平台对上述安全策略进行修改。网络会话设置模块,从可信接入交换控制器4的网络会话管理模块维护的数据库中读取虚拟机的网络授权认证信息,实时显示虚拟化网络可信接入认证成功的虚拟机网络会话状态,可对当前虚拟网络中虚拟机的网络授权状态进行改变。隔离修复模块对隔离修复服务端6的隔离修复服务的可信接入认证客户端下载服务和完整性度量修复模块的文件进行更新和修改,并将文件的路径发送到位于可信接入交换控制器4的流表规则控制模块制定流表规则发送到openvswitch执行。
在本发明的一些实施方式中,openvswitch还包括:根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
在本实施例中,openvswitch在支持可信接入认证服务的安全通信之外,根据由可信接入验证结果生成的流表规则,对虚拟机的网络通信进行限制。
根据本发明提出的一种基于虚拟化网络的可信接入认证系统,通过获取虚拟网络中虚拟机进程状态、文件完整性、端口状态和u盘接入状态、虚拟机平台身份信息、宿主机上的虚拟机监控器信息进行验证,并根据可信验证结果制定openvswitch的流表规则,实现对虚拟网络中虚拟机的网络会话进行控制,以实现对虚拟化网络的安全控制。
1.一种基于虚拟化网络的可信接入认证系统,其特征在于,包括:
虚拟可信接入交换组件,所述虚拟可信接入认证组件包括可信openvswitch和可信接入交换控制器,配置用于根据虚拟验证结果对虚拟网络中虚拟机的网络接入认证提供虚拟网络支持;
可信接入认证组件,所述可信接入认证组件包括位于虚拟网络中虚拟机中的可信接入认证客户端和位于控制节点的可信接入认证服务端,配置用于对虚拟网络中虚拟机的网络接入提供可信接入验证;
可信接入管理组件,所述可信接入管理组件包括位于虚拟网络中虚拟机中的隔离修复服务端和位于控制节点的可信接入认证管理端,配置用于对虚拟网络中虚拟机的网络接入验证提供修复服务,
其中,可信openvswitch包括带有虚拟机网络授权信息的预设流表规则,可信openvswitch基于所述预设流表规则向虚拟机提供虚拟网络支持。
2.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信openvswitch包括:
openvswitch,openvswitch与可信接入认证客户端和虚拟可信接入交换控制器进行通信;
vmm可信完整性证明模块,配置用于提供当前物理机上的虚拟机监控器的可信完整性证明数据。
3.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证客户端包括:
完整性度量收集器,配置用于将收集到的完整性度量信息并发送到tnc客户端;
tnc客户端,配置用于对网络请求访问模块接收的数据进行解析以及对所述网络请求访问模块将要发送的数据进行封装;
网络请求访问模块,与所述可信openvswitch进行通信,配置用于发送可信接入认证请求信息和接收可信接入认证结果;
实时安全检测模块,配置用于实时检测虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态。
4.根据权利要求3所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证客户端还包括:
隔离修复请求模块,配置用于通过网络请求访问模块向所述隔离修复服务端发起隔离修复请求。
5.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证服务端包括:
网络访问授权模块,与所述虚拟可信接入交换控制器进行通信,配置用于实现所述可信接入认证服务端在虚拟网络中的网络通信;
tnc服务端,配置用于对网络访问授权模块接收的数据进行解析以及对所述网络访问授权模块将要发送的数据进行封装;
完整性度量验证器,配置用于对从tnc服务端接收到的虚拟机的完整性度量信息、以及计算节点虚拟机平台的平台身份和平台完整性进行验证;
日志审计模块,配置用于记录虚拟机可信网络接入认证日志,以及管理员通过可信接入认证管理端的管理操作日志。
6.根据权利要求5所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证服务端还包括:
vmm可信完整性验证模块,配置用于与所述openvswitch的vmm可信完整性证明模块通信,并对虚拟机所在的宿主机中的虚拟机监控器可信完整性验证。
7.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入交换控制器包括:
网络会话管理模块,配置用于将所述虚拟网络中的虚拟机的可信接入认证状态保存到数据库中;
802.1x协议支持模块,配置用于解析和封装虚拟网络中的网络数据;
流标规则控制模块,配置用于将所述虚拟机的可信接入认证客户端发起的认证请求的结果和隔离修复服务访问路径转换为相应的流表规则;
sdn控制器,配置用于与openvswitch和可信和网络访问授权模块进行通信,配置用于将可信接入认证服务端的可信接入认证结果发送到openvswitch,以及将通过openvswitch转发的可信接入认证客户端发送的接入认证请求信息转发到可信接入认证服务端。
8.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述隔离修复服务端包括:
可信接入认证客户端下载服务模块,配置用于通过openvswitch为虚拟网络中的虚拟机提供可信接入认证客户端下载服务;
完整性度量修复模块,配置用于通过openvswitch对虚拟网络中的虚拟机提供完整性度量修复服务。
9.根据权利要求1所述的虚拟化网络的可信接入认证系统,其特征在于,所述可信接入认证管理端包括:
安全策略配置模块,配置用于对虚拟网络中虚拟机的进程状态、文件完整性、端口状态和u盘接入状态进行设置;
网络会话设置模块,配置用于查看虚拟网络中虚拟机的网络会话状态和对虚拟网络中虚机的网络通信进行控制;
隔离修复管理模块。配置用于设置隔离修复服务的访问路径。
10.根据权利要求4所述的虚拟化网络的可信接入认证系统,其特征在于,所述openvswitch还包括:
根据收到的流表规则实现对虚拟网络中虚拟机的网络通信控制。
技术总结