基于软件定义网络的IaaS虚拟机通信访问控制方法

doi:10.11772/j.issn.1001-9081.2015.05.1262

计算机应用 ›› 2015, Vol. 35 ›› Issue (5): 1262-1266.DOI: 10.11772/j.issn.1001-9081.2015.05.1262

基于软件定义网络的IaaS虚拟机通信访问控制方法

韩贞阳, 陈兴蜀, 胡亮, 陈林

四川大学计算机学院, 成都 610065

收稿日期:2014-11-24 修回日期:2015-01-08 发布日期:2015-05-14 出版日期:2015-05-10
通讯作者: 陈兴蜀
作者简介:韩贞阳(1988-),男,河南商丘人,硕士研究生,主要研究方向:云计算网络; 陈兴蜀(1968-),女,四川成都人,教授,博士生导师,博士,主要研究方向:信息安全、计算机网络、云计算; 胡亮(1990-),男,四川成都人,硕士研究生,主要研究方向:云计算安全; 陈林(1983-),男,四川宜宾人,博士研究生,主要研究方向:云计算安全.
基金资助:
国家科技支撑计划项目(2012BAH18B05).

Communication access control method based on software defined networking for virtual machines in IaaS platforms

HAN Zhenyang, CHEN Xingshu, HU Liang, CHEN Lin

College of Computer Science, Sichuan University, Chengdu Sichuan 610065, China

Received:2014-11-24 Revised:2015-01-08 Online:2015-05-14 Published:2015-05-10

摘要/Abstract

摘要：

针对云计算基础设施即服务(IaaS)平台所面临的虚拟机网络通信访问控制问题,提出了一种可适于IaaS平台的虚拟机通信访问控制方法.该通信访问控制方法基于软件定义网络(SDN),实现针对虚拟机通信的L2~L4层访问控制.实验结果表明:该通信访问控制方法能够有效实现对租户虚拟机通信的灵活访问控制,保障IaaS平台中租户网络的安全.

关键词: 软件定义网络, 访问控制, 云计算, 基础设施即服务, 防火墙

Abstract:

Concerning the problem that the network access control of Virtual Machines (VM) in the cloud computing Infrastructure as a Service (IaaS) platforms, a method of communication access control for VM in IaaS platforms was proposed. The method based on Software Defined Networking (SDN) was realized to customize the communication access control rules from Layer 2 to Layer 4. The experimental results show that the method can manage communication access permissions of tenants' VM flexibly, and ensure the security of tenants' network.

Key words: Software Defined Networking (SDN), access control, cloud computing, Infrastructure as a Service (IaaS), firewall

中图分类号:

TP393.02

韩贞阳, 陈兴蜀, 胡亮, 陈林. 基于软件定义网络的IaaS虚拟机通信访问控制方法[J]. 计算机应用, 2015, 35(5): 1262-1266.

HAN Zhenyang, CHEN Xingshu, HU Liang, CHEN Lin. Communication access control method based on software defined networking for virtual machines in IaaS platforms[J]. Journal of Computer Applications, 2015, 35(5): 1262-1266.

参考文献

[1] MELL P, GRANCE T. The NIST definition of cloud computing, NIST SP 800-145[R]. Gaithersburg: National Institute of Standards and Technology, 2011: 1-7.
[2] ONF Market Education Committee. Software-defined networking: the new norm for networks[M]. Palo Alto, California: Open Networking Foundation, 2012:1-12.
[3] ETSI. Network function virtualization introductory white paper [EB/OL]. [2014-08-10]. http://portal.etsi.org/nfv/nfv_white_paper.pdf.
[4] JANSEN W, GRANCE T. Guidelines on security and privacy in public cloud computing, NIST SP 800-144[J]. Gaithersburg: National Institute of Standards and Technology, 2011:23-24.
[5] ARCHER J, BOEHM A. Security guidance for critical areas of focus in cloud computing v3.0[R/OL].[2014-06-20].https://cloudsecurityalliance.org/csaguide.pdf.
[6] CATTEDDU D, HOGBEN G. Cloud computing: information assurance framework[C/OL] .[2014-06-20].http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-information-assurance-framework.
[7] VMware, Inc. Next generation security with VMware NSX and Palo Alto networks VM-series [EB/OL]. [2014-09-20]. http://www.vmware.com/files/pdf/products/nsx/NSX-Palo-Alto-Networks-WP.pdf.
[8] Internetworking task groups of IEEE 802.1. 802.1Qbg-edge virtual bridging [EB/OL]. [2014-12-31].http://www.ieee802.org/1/pages/ 802.1bg.html.
[9] Internetworking task groups of IEEE 802.1. 802. 1BR-bridge port extension [EB/OL]. [2014-12-31].http://www.ieee802.org/1/ pages/802.1br.html.
[10] TANG H, WANG J. Access control method: China, 103701822A[P] . 2014-04-02.(唐焕焕, 王军林. 访问控制方法: 中国, 103701822A[P] . 2014-04-02) .
[11] Open Netwroking Foundation. OpenFlow switch specification 1.3.1[EB/OL]. [2014-08-01].https://www.opennetworking.org/images/stories/downloads/specification/openflow-spec-v1.3.1.pdf.
[12] MAHALINGAM M, DUTT D, DUDA K, et al. VxLAN: a framework for overlaying virtualized layer 2 networks over layer 3 networks[EB/OL]. [2014-08-01]. http://tools.ietf.org/html/draft-mahalingam-dutt-dcops-vxlan-04.
[13] SRIDHARAN M, WANG Y, GRAG P, et al. NVGRE: network virtualization using generic routing encapsulation [EB/OL]. [2014-08-01]. http://tools.ietf.org/html/draft-sridharan-virtualization-nvgre-03.
[14] DAVIE B. STT: a stateless transport tunneling protocol for network virtualization[EB/OL]. [2014-08-15]. http://tools.ietf.org/html/draft-davie-stt-03.
[15] CHEN L, CHEN X, JIANG J, et al. The research and practice of dynamic network security architecture for IaaS platform[J]. Tsinghua Science and Technology, 2014, 19(5):496-507.
[16] THAMES J L, ABLER R, KEELING D. A distributed firewall and active response architecture providing preemptive protection[C]// Proceedings of the 46th Annual Southeast Regional Conference on XX. New York: ACM, 2008: 220-225.

基于软件定义网络的IaaS虚拟机通信访问控制方法

Communication access control method based on software defined networking for virtual machines in IaaS platforms

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

[1]	李欣, 保利勇, 丁洪伟, 官铮. 基于MEC服务器优先服务的路侧单元MAC层调度策略[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1227-1235.
[2]	陈美宏, 袁凌云, 夏桐. 基于主从多链的数据分类分级访问控制模型[J]. 《计算机应用》唯一官方网站, 2024, 44(4): 1148-1157.
[3]	高改梅, 段明博, 荀亚玲, 刘春霞, 党伟超. 支持密码逆向防火墙的基于SM9的属性基可搜索加密方案[J]. 《计算机应用》唯一官方网站, 2024, 44(11): 3495-3502.
[4]	张欢, 王静宇, 刘立新, 姜晓宇. 双重授权的多组织协同数据共享方案[J]. 《计算机应用》唯一官方网站, 2024, 44(10): 3307-3314.
[5]	马海英, 李金舟, 杨及坤. 基于区块链可撤销属性的去中心化属性基加密方案[J]. 《计算机应用》唯一官方网站, 2023, 43(9): 2789-2797.
[6]	葛晨洋, 刘勤让, 裴雪, 魏帅, 朱正彬. 软件定义网络中高效协同防御分布式拒绝服务攻击的方案[J]. 《计算机应用》唯一官方网站, 2023, 43(8): 2477-2485.
[7]	陆佳行, 戴华, 刘源龙, 周倩, 杨庚. 面向云环境密文排序检索的字典划分向量空间模型[J]. 《计算机应用》唯一官方网站, 2023, 43(7): 1994-2000.
[8]	曹萌, 余孙婕, 曾辉, 史红周. 基于区块链的医疗数据分级访问控制与共享系统[J]. 《计算机应用》唯一官方网站, 2023, 43(5): 1518-1526.
[9]	游坤, 王钦辉, 李鑫. 通用的多元抵制假名的云计算拍卖机制[J]. 《计算机应用》唯一官方网站, 2023, 43(11): 3351-3357.
[10]	孙京宇, 朱家玉, 田自强, 史国振, 关川江. 基于椭圆曲线加密且支持撤销的属性基加密方案[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2094-2103.
[11]	张杰, 许姗姗, 袁凌云. 基于区块链与边缘计算的物联网访问控制模型[J]. 《计算机应用》唯一官方网站, 2022, 42(7): 2104-2111.
[12]	李杨, 徐龙, 李研强, 李绍鹏. 基于智能合约的物联网访问控制架构与验证[J]. 《计算机应用》唯一官方网站, 2022, 42(6): 1922-1931.
[13]	张金泉, 徐寿伟, 李信诚, 王重洋, 徐景芝. 基于正交自适应鲸鱼优化的云计算任务调度[J]. 《计算机应用》唯一官方网站, 2022, 42(5): 1516-1523.
[14]	刘向举, 路小宝, 方贤进, 尚林松. 软件定义网络环境下的低速率拒绝服务攻击检测方法[J]. 《计算机应用》唯一官方网站, 2022, 42(4): 1301-1307.
[15]	张立群, 林海涛, 郇文明, 毕文婷. 基于OpenFlow的软件定义网络流规则冲突检测系统[J]. 《计算机应用》唯一官方网站, 2022, 42(2): 528-533.