[发明专利]访问控制方法

说明书

技术领域

本发明总体上涉及计算机领域，更具体地，涉及访问控制方法。

背景技术

访问控制是指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。访问控制是系统保密性、完整性、可用性和合法使用性的重要基础，是网络安全防范和资源保护的关键策略之一，也是主体依据某些控制策略或权限对客体本身或其资源进行的不同授权访问。

在现有技术中，传统的访问控制机制是将机器之间的访问控制策略置于网络边界的防火墙等设备上，因为所有进出本网络的连接都要经过防火墙，所以防火墙能够监控和管理网络内部的所有的连接信息，从而达到对网络的访问控制功能。

然而，在云计算领域，网络边界变的模糊。网络内部的虚拟机已经成为了不同的网络系统，这些网络系统之间也同样存在着边界。传统的防火墙等设备只放在整个网络的出口处，并没有放在内部网络中。所以并不能对云计算环境下的网络连接进行访问控制。一旦某台虚拟机遭受攻击并成为受控对象，该虚拟机就会在管理员不知道的情况下攻击其他虚拟机。

发明内容

针对以上现有技术中传统的防火墙等设备只放在整个网络的出口处，从而不能对云计算环境下的网络连接进行访问控制等缺陷，本发明提供了能够解决上述缺陷的访问控制方法。

本发明提供了一种访问控制方法，用于与虚拟机的信息交互，包括以下步骤：将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机；对经过OVS虚拟交换机的数据与预定访问控制策略进行比对；以及当数据不符合预定访问控制策略的要求时，丢弃数据。

优选地，在预定访问控制策略中包含规则命令，规则命令是固定的。

优选地，在预定访问控制策略中包含协议名称，协议名称包括TCP、UDP、ICMP。

优选地，在预定访问控制策略中，源IP和目标IP根据IP分配情况进行确定。

优选地，在预定访问控制策略中包含动作项，动作项包括使数据通过、以及丢弃数据。

优选地，当数据符合预定访问控制策略的要求时，使数据通过。

利用本发明的技术方案能够克服现有技术的缺陷，能够实现IP层面的访问控制功能，任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。

附图说明

当结合附图进行阅读时，根据下面详细的描述可以更好地理解本发明。应该强调的是，根据工业中的标准实践，各种部件没有被按比例绘制。实际上，为了清楚的讨论，各种部件的尺寸可以被任意增加或减少。

图1是根据本发明的示例性实施例的访问控制方法的总体流程图；以及

图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。

具体实施方式

为了实施本发明的不同部件，以下描述提供了许多不同的实施例或示例。以下描述元件和布置的特定示例以简化本发明。当然这些仅仅是示例并不打算限定。再者，以下描述中第一部件形成在第二部件上可包括其中第一和第二部件以直接接触形成的实施例，并且也可包括其中额外的部件形成插入到第一和第二部件中的实施例，使得第一和第二部件不直接接触。为了简明和清楚，可以任意地以不同的尺寸绘制各种部件。

图1是根据本发明的示例性实施例的访问控制方法的总体流程图。

参照图1，用于与虚拟机的信息交互的访问控制方法100包括以下步骤。虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。在步骤102中，将预定访问控制策略下发给设置在虚拟机之间的OVS虚拟交换机；OVS(OpenvSwitch)是一个高质量的、多层虚拟交换机，使用开源Apache2.0许可协议。它的目的是让大规模网络自动化可以通过编程扩展,同时仍然支持标准的管理接口和协议（例如NetFlow,sFlow,SPAN,RSPAN,CLI,LACP,802.1ag）。在步骤104中，对经过OVS虚拟交换机的数据与预定访问控制策略进行比对；以及在步骤106中，当数据不符合预定访问控制策略的要求时，丢弃数据。

此外，该访问控制方法也可以应用于虚拟机与物理机之间的信息交互，其操作步骤与图1所示的操作步骤相同，这里不再重复其描述。

利用本发明的实施例的访问控制方法，能够实现IP层面的访问控制功能，任意的虚拟机之间或虚拟机与物理机之间的数据包都能通过定义规则进行访问控制。

图2是根据本发明的示例性实施例的虚拟机的网络连接的示意图。