[发明专利]一种用于虚拟化网络中的虚拟化数据交换安全系统

说明书

技术领域

 本发明涉及计算机、操作系统领域中虚拟化系统下的数据交换安全管理领域，特别是虚拟化数据交换安全系统。

背景技术

现有技术中，虚拟化环境中的数据交换仅通过网卡地址进行通讯，缺乏对虚拟交换系统进行的虚拟接口管理，从而使很多物理交换技术中基于端口号标识的安全管理技术在虚拟化环境下很难得以实现，如图1所示。这样的技术方案，一旦在虚拟化环境中产生数据包欺骗，虚拟化的交换网络系统就将面临着巨大的挑战。会产生泛洪攻击瘫痪、中间人侦听攻击侦听虚拟机虚拟地址间的数据、泛洪攻击任何制定的IP/MAC地址。

如中国专利，申请号为2009101357636的“地址查找方法、交换机和网络系统”。它的技术方案中只有IP-MAC-接口的记录方法，该方法仅应用于物理交换机中，无法在虚拟化系统中构建虚拟接口。又如“思科UCS虚拟化技术白皮书”中，只描写了虚拟链路，并未提及虚拟端口和虚拟端口的工作方法，以及未提及在虚拟化及虚拟化端口下后续的安全策略构建和方法。

发明内容

针对上述现有技术中存在的问题和缺点，本发明的目的是提供一种用于虚拟化网络中的虚拟化数据交换安全系统。它通过虚拟端口和安全管理模块的方式保证虚拟化数据的安全交换，具有真实、实用、安全的特点。

    为了达到上述发明目的，本发明的技术方案以如下方式实现：

一种用于虚拟化网络中的虚拟化数据交换安全系统，它包括服务器和内置于服务器中的虚拟交换系统。服务器内设有网卡物理地址和虚拟机虚拟地址，虚拟交换系统内包括虚拟交换机虚拟地址、访问控制模块和数据转发模块。其结构特点是，所述虚拟交换系统中还设有虚拟交换接口定义模块、服务注册认证模块、违规数据修复模块和数据路由模块。虚拟机虚拟地址中的各虚拟地址编号分别与虚拟交换接口定义模块中的各接口编号一一对应后连接到虚拟交换机虚拟地址，虚拟交换机虚拟地址依次通过访问控制模块、服务注册认证模块、违规数据修复模块和数据路由模块连接到数据转发模块。

    本发明由于采用了上述的结构，基于虚拟接口进行标识，实施虚拟安全管理。本发明保证了虚拟化环境下数据交换的信息安全管理，填补了信息安全概念应用在虚拟化领域的空白。本发明中的数据安全管理方案符合技术的发展，在物理交换技术中广泛的得到应用，是在虚拟化环境下重要的技术支撑，是国际虚拟化数据安全交互的根基。

    下面结合附图和具体实施方式对本发明作进一步说明。

附图说明

图1为现有技术虚拟化环境中数据交换系统的结构示意图；

图2为本发明的结构示意图；

图3为在本发明中进行虚拟化数据交换的流程图。

具体实施方式

    参看图2，本发明包括服务器400和内置于服务器400中的虚拟交换系统200。服务器400内设有网卡物理地址300和虚拟机虚拟地址100，虚拟交换系统200包括虚拟交换机虚拟地址202、访问控制模块203和数据转发模块207。其结构特点是，所述虚拟交换系统200中还设有虚拟交换接口定义模块201、服务注册认证模块204、违规数据修复模块205和数据路由模块206。虚拟机虚拟地址100中的各虚拟地址编号分别与虚拟交换接口定义模块201中的各接口编号一一对应后连接到虚拟交换机虚拟地址202，虚拟交换机虚拟地址202依次通过访问控制模块203、服务注册认证模块204、违规数据修复模块205和数据路由模块206连接到数据转发模块207。

本发明在虚拟交换系统200中增加虚拟交换接口定义模块201，使交换表IP->MAC的对应关系增加为IP->MAC->Bx（Bx为虚拟交换接口定义模块201中的接口编号），其中虚拟交换接口定义模块201中的接口编号与虚拟机虚拟地址100中的Mac_x地址编号一一对应，既B0->Mac_0、B1->Mac_1、B2->Mac_2方式生成。