[发明专利]一种在安全组中实现安全域功能的方法有效
申请号: | 201911327844.6 | 申请日: | 2019-12-20 |
公开(公告)号: | CN111031056B | 公开(公告)日: | 2021-10-12 |
发明(设计)人: | 刘立京 | 申请(专利权)人: | 紫光云(南京)数字技术有限公司 |
主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/931;H04L12/743 |
代理公司: | 暂无信息 | 代理人: | 暂无信息 |
地址: | 210000 江苏省南京市浦口区江浦街*** | 国省代码: | 江苏;32 |
权利要求书: | 查看更多 | 说明书: | 查看更多 |
摘要: | |||
搜索关键词: | 一种 安全 实现 全域 功能 方法 | ||
本发明的一种在安全组中实现安全域功能的方法,涉及OSS‑API接口安全通信应用技术领域,S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表,S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶,S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步,S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃,安全域中的虚拟机数量为N则效率提高N倍,实现安全组下安全域的功能。
技术领域
本发明涉及安全组应用技术领域,具体涉及一种在安全组中实现安全域功能的方法。
背景技术
安全组功能主要提供主机侧的保护,通过对报文协议(TCP、UDP、ICMP)以及端口的过滤保证在数据中心下对虚拟机的访问进行严格的控制,安全组创建后,用户可以在安全组中定义各种访问规则,当云服务器加入该安全组后,即受到这些访问规则保护,同一个安全组内的服务器共享同一个安全域,在安全域内的云服务器可以相互访问,不同安全域之间流量是隔离的,主机侧的安全组功能实现方式是在虚拟交换机中下发流表,通过流表来约束流量是否通过。
但是当前方案有一个缺点,如果当前安全组绑定了很多个虚机,每一个虚机下面都会下发虚机数量*2的流表,由于匹配流表是顺序匹配的,流表数量增大,直接影响虚拟交换机匹配流表的效率,导致匹配效率过低。因此我们有必要针对现有技术的不足而提供一种在安全组中实现安全域功能的方法。
发明内容
为了克服现有技术中的不足,本发明的一种在安全组中实现安全域功能的方法 ,其API安全通信的安全级别高。
为了实现上述目的,本发明的一种在安全组中实现安全域功能的方法 ,包括如下步骤:
S1,创建安全组,用户在安全组中定义各种访问规则,并将用户定义的规则转换成虚拟交换机对应的流表。
S2,创建M个哈希桶,每个哈希桶里面填充当前虚拟机绑定所有安全组下的IP地址,每一个虚拟机对应唯一一个哈希桶。
S3,虚拟机流量从虚拟端口进行流表匹配,匹配成功,直接将流量转发,匹配不成功则进行下一步。
S4,虚拟机流量从虚拟端口进出匹配当前虚拟端口的哈希桶,若源IP地址或者目的IP地址在此哈希桶中,直接将流量转发,若源IP地址或者目的IP地址不在此哈希桶中则流量丢弃。
优选的,S1中,虚拟交换机的每个流表对应有零至多个动作,如果没有定义转发动作,那么与流表匹配的数据包将被默认丢弃。
优选的,S2中,每一台虚拟机占用虚拟交换机上的一个虚拟端口,虚拟端口为虚拟机流量的入口或出口。
优选的,S4中,哈希桶通过把关键码值映射到表中一个位置来访问记录。
本发明具有以下有益效果:
将安全域的匹配从流表中剥离出来,减少匹配的次数,摒弃流量顺序匹配的弊端,通过哈希取值,保证了匹配的效率,相同安全域判断条件从是否绑定一个安全组转移到是否在同一个虚拟端口的哈希桶中,安全域的匹配从流表中剥离出来,进行单独的匹配,提高匹配效率,提高匹配的效率,安全域中的虚拟机数量为N,效率提高N倍,实现安全组下安全域的功能。
附图说明
下面结合附图对本发明作进一步描写和阐述。
图1是一种在安全组中实现安全域功能的方法流程图。
图2是一种在安全组中实现安全域功能的方法中哈希桶工作原理图。
具体实施方式
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于紫光云(南京)数字技术有限公司,未经紫光云(南京)数字技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911327844.6/2.html,转载请声明来源钻瓜专利网。