一种云平台安全处理方法、控制器和云计算系统的利记博彩app
【技术领域】
[0001]本申请涉及云计算技术领域,尤其涉及一种云平台安全处理方法、控制器和云计算系统。
【背景技术】
[0002]转向云计算(cloud computing),是业界将要面临的一个重大改变。各种云平台(cloud platforms)的出现是该转变的最重要环节之一。而云平台最大的几个特点就是:
[0003]a)超大规模
[0004]b)虚拟化
[0005]c)高可靠性
[0006]d)通用性
[0007]e)高扩展性
[0008]f)廉价
[0009]在这些特点中,企业或者个人最关注的应该就是高可靠性。无论是平台的高可靠,还是数据的高可靠。虽然云计算为用户提供了强大的计算和存储能力,但云服务商很难识别用户行为的目的,无法区分用户的所要求的云计算服务是否合法。所以一些用户的非法请求所造成的潜在风险就对云平台的安全可靠产生了巨大的冲击。
[0010]黑客团体已经把攻击目标锁定在利益丰厚的云数据中心上,以“Guest 0S(客户操作系统)镜像篡改”、“虚拟机蔓延”和 “API 接口(Applicat1n Programming Interface,应用程序编程接口)滥用”等为代表的新型威胁开始广泛出现。以封堵查杀为主的消极被动的防护措施,在新的信息安全形势面前防不胜防,传统的网络安全、终端安全、边界安全解决方案已无法适应云数据中心的安全需求。
[0011]现有的云平台主机安全方案就是,使用专用的安全服务器,专用的虚拟机安全套件,专用的安全操作系统,专用的安全容器套件以及特殊的安全管理平台,通过这样的五大组成部分来形成一个安全的云平台。
[0012]采用现有的云平台主机安全方案存在以下问题:
[0013]a)依赖性高。
[0014]现有的技术使用的都是专用的服务器和专用的服务配件,这就造成了搭建安全的云平台环境的依赖性。
[0015]b)复杂度高。
[0016]使用现有的技术确实可以实现主机的安全可靠,但是却需要从内到外,从服务器到系统镜像都进行安全防护认证来实现。这样无疑对硬件会提出更高的需求,同时也会使整个平台的搭建更加复杂。
【发明内容】
[0017]本申请实施例提出了一种云平台安全处理方法、控制器和云计算系统,不需要使用专用的安全服务器,专用的虚拟机安全套件,专用的安全操作系统,专用的安全容器套件以及特殊的安全管理平台,通过这样的五大组成部分来形成一个安全的云平台,并保障主机的安全。
[0018]在一个方面,本申请实施例提供了一种云平台安全处理方法,包括:
[0019]控制器接收地址解析协议请求;
[0020]根据所述请求携带的信息判断所述请求是虚拟集群的请求或物理集群的请求;
[0021]根据判断结果采用虚拟集群或物理集群的控制策略。
[0022]在另一个方面,本申请实施例提供了一种控制器,包括:
[0023]接收模块,用于接收地址解析协议请求;
[0024]判断模块,用于根据所述请求携带的信息判断所述请求是虚拟集群的请求或物理集群的请求;
[0025]控制模块,用于根据判断结果采用虚拟集群或物理集群的控制策略。
[0026]此外,本申请实施例还提供了一种云计算系统,包括上述控制器。
[0027]有益效果如下:
[0028]在本发明实施例中,控制器接收地址解析协议请求;根据该请求携带的信息判断该请求是虚拟集群的请求或物理集群的请求;并根据判断结果采用虚拟集群或物理集群的控制策略。通过控制器的操作,实现了虚拟平台和物理集群的剥离,使得整个云平台的系统运行不会影响到物理集群的运行,不会因为虚拟平台的攻击请求使得真实的物理机或者控制器受到攻击。
【附图说明】
[0029]下面将参照附图描述本申请的具体实施例,其中:
[0030]图1示出了本申请实施例中的云平台安全处理方法的流程示意图;
[0031]图2示出了本申请实施例中实施例一的云平台安全处理方法的流程示意图;
[0032]图3示出了 ARP协议的报文格式示意图;
[0033]图4示出了本申请实施例中实施例二的云平台安全处理方法的流程示意图;
[0034]图5示出了本申请实施例中控制器的结构示意图。
【具体实施方式】
[0035]为了使本申请的技术方案及优点更加清楚明白,以下结合附图对本申请的示例性实施例进行进一步详细的说明,显然,所描述的实施例仅是本申请的一部分实施例,而不是所有实施例的穷举。并且在不冲突的情况下,本说明书中的实施例及实施例中的特征可以互相结合。
[0036]发明人在发明过程中注意到:现有的云平台主机安全方案,使用专用的安全服务器,专用的虚拟机安全套件,专用的安全操作系统,专用的安全容器套件以及特殊的安全管理平台,通过这样的五大组成部分来形成一个安全的云平台。而采用现有的云平台主机安全方案存在依赖性高、复杂度高的问题。发明人希望采用完全开源的技术进行云计算平台的搭建。
[0037]图1示出了本申请实施例中的云平台安全处理方法,如图所示,包括:
[0038]步骤101,控制器接收ARP (Address Resolut1n Protocol,地址解析协议)请求;
[0039]步骤102,根据该ARP请求携带的信息判断该ARP请求是虚拟集群的请求或物理集群的请求;
[0040]步骤103,根据判断结果采用虚拟集群或物理集群的控制策略。
[0041]进一步地,控制器具体如何根据该ARP请求携带的信息判断该ARP请求是虚拟集群的请求或物理集群的请求,可以分为方式一和方式二。
[0042]在方式一中,控制器对接收到的请求进行监听;
[0043]上述根据该ARP请求携带的信息判断该ARP请求是虚拟集群的请求或物理集群的请求为:根据该ARP请求所携带的发送者的信息判断该ARP请求是虚拟集群的请求或物理集群的请求。
[0044]为进行判断,控制器中可以存储虚拟集群中各虚拟节点的网口信息;
[0045]根据该ARP请求携带的信息判断该ARP请求是虚拟集群的请求或物理集群的请求为:判断该发送者的信息是否存在于控制器本地,若是,判断为虚拟集群的请求,否则,判断为物理集群的请求。
[0046]在具体实现时,不限于在控制器中存储虚拟集群中各虚拟节点的网口信息,例如也可以存储全部物理集群中各节点的相关信息。
[0047]该发送者的信息可以包括发送者硬件地址和/或发送者IP地址。
[0048]在方式二中,控制器不对接收到的请求进行监听,而是虚拟集监听本身的虚拟网口,在每一个发出的请求中打上该预设标识。上述根据该ARP请求携带的信息判断该ARP请求是虚拟集群的请求或物理集群的请求为:根据该ARP请求携带的信息中是否存在预设标识判断该ARP请求是虚拟集群的请求或物理集群的请求。具体来说,存在该预设标识的是虚拟集群的请求,否则是物理集群的请求。
[0049]为了便于本申请的实施,下面以实施例进行说明。
[0050]实施例一:
[0051]实施例一中,采用完全开源的技术进行云计算平台的搭建。
[0052]虚拟机的管理平台:CloudStack管理软件
[0053]服务器:SDN(Software Defined Network,软件定义网络)服务器
[0054]控制器程序:Flowlight
[0055]控制节点:高性能计算机
[0056]存储集群:存储集群
[0057]SDN云平台共分为三层,第一层是应用层(即客户端),第二层是控制层(即控制器软件),第三层是服务器层(即SDN服务器集群)。在这个简单的云平台中,用户从外部API进入虚拟桌面后如果进行攻击性操作,这将影响到整个平台的信息安全。
[0058]在这套系统中如何实现数据安全和主机安全呢?
[0059]数据的安全还是靠数据分离,将数据进行独立存储,放在一个单独的存储集群上,用户进行数据获取时都要调用安全的数字证书进行认证。用户的数据我们会进行独立存储只有在使用的时候才会通过安全的方式调用。
[0060]主机的安全靠的是虚拟机集群和物理机集群的剥离,使得整个云平台的系统运行不会影响到物理集群的运行,这样在做云安全平台实验的时候就不会因为虚拟平台的攻击请求使得真实的物理机或者控制器受到攻击。
[0061]而在实现这些安全的时候,虚拟平台和物理集群的剥离是最关键的一环,如何实现剥离呢?
[0062]由于我们是使用的SDN的服务器,所以无论是虚拟集群的请求,还是物理集群的请求,都会进行一次的控制器上送,这样才会形成一张SDN模式的路由表。通过控制这张路由表我们就能够对虚拟集群和物理集群进行分离处理,但是,问题来了,如何进行集群信息的区分呢?
[0063]如何进行集群信息的区分,我们就不得不对上送信息进行研究,上送的信息中,在ARP包的头部中有一些位是不起实际意义的补位,所以我们就可以用这个来做文章,在上送信息中加入一些我们的特殊辨别串。如何加入这些特殊辨别串又成了问题,这就依赖于我们的控制器了,我们的控制器是使用的开源的flowlight来实现的,我们就需要在里面加一个监听单元,而这个监听单元要设置为最高级别监听,同时我们要在控制器所在节点添加一个数据库,进行存放我们所有的虚拟节点的网口信息。