一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于網(wǎng)絡(luò)信息安全領(lǐng)域,具體涉及一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置。
【背景技術(shù)】
[0002]在云計(jì)算領(lǐng)域中的基礎(chǔ)架構(gòu)即服務(wù)商業(yè)模式中,云計(jì)算服務(wù)商通過云計(jì)算虛擬化操作系統(tǒng)把機(jī)架式服務(wù)器虛擬化成N片虛擬主機(jī)提供web網(wǎng)站服務(wù),將這些虛擬云主機(jī)租賃給企業(yè)客戶使用,客戶有時(shí)需要實(shí)現(xiàn)同一物理服務(wù)器的不同虛擬設(shè)備間的訪問和控制,然而,由于各個(gè)虛擬設(shè)備常常是靠共享一個(gè)物理以太網(wǎng)口與互聯(lián)網(wǎng)相連,而防火墻配置也是基于一個(gè)集合端口,當(dāng)不同虛擬設(shè)備間的方位和控制引流到防火墻后,會(huì)出現(xiàn)防火墻無法根據(jù)物理端口找到相應(yīng)域的情況,防火墻也無法進(jìn)行策略控制和深度安全處理,且安全性低。
【發(fā)明內(nèi)容】
[0003]為解決上述問題,本發(fā)明提供了一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,既可以合理分配云計(jì)算系統(tǒng)的虛擬主機(jī)端口、又可以有效進(jìn)行防控的防火墻,且安全性高。
[0004]為實(shí)現(xiàn)上述目的,本發(fā)明采取的技術(shù)方案為:
[0005]—種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,包括云計(jì)算網(wǎng)絡(luò)、虛擬交換機(jī)、核心物理交換機(jī)和旁路防火墻,云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換機(jī)相連接,所述的虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,所述的核心物理交換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路防火墻的trust接口連接,所述的旁路防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接,云計(jì)算網(wǎng)絡(luò)和虛擬交換機(jī)內(nèi)各設(shè)置有一個(gè)加密模塊,虛擬交換機(jī)中還設(shè)有一個(gè)身份驗(yàn)證模塊,每進(jìn)行一次訪問后,即進(jìn)行一次加密模塊的密鑰更新,加密模塊加密的步驟包括:
[0006]S1、從密鑰中提取一個(gè)隨機(jī)數(shù)除以密鑰的進(jìn)制數(shù),獲得商數(shù)以及余數(shù);
[0007]S2、將計(jì)算獲得的商數(shù)作為當(dāng)前待加密數(shù)據(jù),并繼續(xù)執(zhí)行步驟S1,直至計(jì)算獲取的商數(shù)為零;
[0008]S3、使用密鑰中的提取運(yùn)算規(guī)則選取出一個(gè)特定明文段;
[0009]S4、將每次計(jì)算獲取的余數(shù)排列和特定明文段作為加密數(shù)據(jù)序列。
[0010]解密數(shù)據(jù)的步驟包括:
[0011](1)計(jì)算當(dāng)前加密數(shù)據(jù)與密鑰的進(jìn)制數(shù)的乘積值,并計(jì)算乘積值與解密數(shù)據(jù)序列中對(duì)應(yīng)數(shù)據(jù)的和值;
[0012](2)將計(jì)算獲得的和值作為當(dāng)前加密數(shù)據(jù),并繼續(xù)執(zhí)行步驟(1),直至解密數(shù)據(jù)序列中所有的數(shù)據(jù)均計(jì)算和值完成;
[0013](3)使用密鑰中的提取運(yùn)算規(guī)則選取出一個(gè)特定明文段;
[0014](4)將最終計(jì)算獲得的和值和特定明文段作為所述加密數(shù)據(jù)對(duì)應(yīng)的解密數(shù)據(jù)。
[0015]使用者通過客戶端模塊輸入用戶名和身份確認(rèn)信息,通過身份驗(yàn)證模塊進(jìn)行身份驗(yàn)證;若身份驗(yàn)證錯(cuò)誤,則拒絕訪問;若身份驗(yàn)證正確,則根據(jù)用戶權(quán)限,虛擬交換機(jī)與核心物理交換機(jī)建立連接,每進(jìn)行一次訪問后,即進(jìn)行一次密鑰更新。
[0016]其中,所述的旁路防火墻的trust接口和untrust接口通過802.1Q協(xié)議劃分VLAN子接口,分成各自隔咼的VLAN通道。
[0017]其中,訪問記錄采用數(shù)據(jù)鏈表形式存儲(chǔ),當(dāng)無存儲(chǔ)空間時(shí),優(yōu)先刪除舊的訪問記錄。
[0018]其中,在訪問前,虛擬交換機(jī)首先對(duì)儲(chǔ)存的訪問記錄進(jìn)行檢索,根據(jù)歷史記錄確定訪問優(yōu)先級(jí)。
[0019]其中,訪問優(yōu)先級(jí)為高訪問量的優(yōu)先級(jí)高于少訪問量。
[0020]其中,所述的云計(jì)算網(wǎng)絡(luò)包括多個(gè)虛擬主機(jī),虛擬主機(jī)分別與虛擬交換機(jī)連接的通道構(gòu)成一個(gè)VLAN,VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)的vlan id,每個(gè)客戶端租賃的虛擬web劃分在一個(gè)獨(dú)立的vlan id。
[0021]本發(fā)明具有以下有益效果:
[0022]保證了云計(jì)算網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)安全、可靠、透明地傳輸,在訪問時(shí),通過對(duì)訪問記錄的檢索,可以提高訪問效率。經(jīng)試驗(yàn),可以減少訪問時(shí)間約45%,密鑰每使用一次即進(jìn)行更新,并且使用明文分割和加入冗余段的加密算法,加密效果好,提高了安全性。
【附圖說明】
[0023]圖1為本發(fā)明實(shí)施例一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0024]為了使本發(fā)明的目的及優(yōu)點(diǎn)更加清楚明白,以下結(jié)合實(shí)施例對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
[0025]如圖1所示,本發(fā)明實(shí)施例提供了一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,包括云計(jì)算網(wǎng)絡(luò)、虛擬交換機(jī)、核心物理交換機(jī)和旁路防火墻,云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換機(jī)相連接,所述的虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,所述的核心物理交換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路防火墻的trust接口連接,所述的旁路防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接,云計(jì)算網(wǎng)絡(luò)和虛擬交換機(jī)內(nèi)各設(shè)置有一個(gè)加密模塊,虛擬交換機(jī)中還設(shè)有一個(gè)身份驗(yàn)證模塊,每進(jìn)行一次訪問后,即進(jìn)行一次加密模塊的密鑰更新,加密模塊加密的步驟包括:
[0026]S1、從密鑰中提取一個(gè)隨機(jī)數(shù)除以密鑰的進(jìn)制數(shù),獲得商數(shù)以及余數(shù);
[0027]S2、將計(jì)算獲得的商數(shù)作為當(dāng)前待加密數(shù)據(jù),并繼續(xù)執(zhí)行步驟S1,直至計(jì)算獲取的商數(shù)為零:
[0028]S3、使用密鑰中的提取運(yùn)算規(guī)則選取出一個(gè)特定明文段;
[0029]S4、將每次計(jì)算獲取的余數(shù)排列和特定明文段作為加密數(shù)據(jù)序列。
[0030]解密數(shù)據(jù)的步驟包括:
[0031](1)計(jì)算當(dāng)前加密數(shù)據(jù)與密鑰的進(jìn)制數(shù)的乘積值,并計(jì)算乘積值與解密數(shù)據(jù)序列中對(duì)應(yīng)數(shù)據(jù)的和值;
[0032](2)將計(jì)算獲得的和值作為當(dāng)前加密數(shù)據(jù),并繼續(xù)執(zhí)行步驟(1),直至解密數(shù)據(jù)序列中所有的數(shù)據(jù)均計(jì)算和值完成;
[0033](3)使用密鑰中的提取運(yùn)算規(guī)則選取出一個(gè)特定明文段;
[0034](4)將最終計(jì)算獲得的和值和特定明文段作為所述加密數(shù)據(jù)對(duì)應(yīng)的解密數(shù)據(jù)。
[0035]使用者通過客戶端模塊輸入用戶名和身份確認(rèn)信息,通過身份驗(yàn)證模塊進(jìn)行身份驗(yàn)證;若身份驗(yàn)證錯(cuò)誤,則拒絕訪問;若身份驗(yàn)證正確,則根據(jù)用戶權(quán)限,虛擬交換機(jī)與核心物理交換機(jī)建立連接,每進(jìn)行一次訪問后,即進(jìn)行一次密鑰更新。
[0036]所述的旁路防火墻的trust接口和untrust接口通過802.1Q協(xié)議劃分VLAN子接口,分成各自隔離的VLAN通道。
[0037]訪問記錄采用數(shù)據(jù)鏈表形式存儲(chǔ),當(dāng)無存儲(chǔ)空間時(shí),優(yōu)先刪除舊的訪問記錄。
[0038]在訪問前,虛擬交換機(jī)首先對(duì)儲(chǔ)存的訪問記錄進(jìn)行檢索,根據(jù)歷史記錄確定訪問優(yōu)先級(jí)。
[0039]訪問優(yōu)先級(jí)為高訪問量的優(yōu)先級(jí)高于少訪問量。
[0040]所述的云計(jì)算網(wǎng)絡(luò)包括多個(gè)虛擬主機(jī),虛擬主機(jī)分別與虛擬交換機(jī)連接的通道構(gòu)成一個(gè)VLAN,VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)的vlan id,每個(gè)客戶端租賃的虛擬web劃分在一個(gè)獨(dú)立的vlan id。
[0041]本發(fā)明保證了云計(jì)算網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)安全、可靠、透明地傳輸,在訪問時(shí),通過對(duì)訪問記錄的檢索,可以提高訪問效率。經(jīng)試驗(yàn),可以減少訪問時(shí)間約45%,密鑰每使用一次即進(jìn)行更新,并且使用明文分割和加入冗余段的加密算法,加密效果好,提高了安全性。
[0042]以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤(rùn)飾,這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
【主權(quán)項(xiàng)】
1.一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,包括云計(jì)算網(wǎng)絡(luò)、虛擬交換機(jī)、核心物理交換機(jī)和旁路防火墻,云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換機(jī)相連接,所述的虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,所述的核心物理交換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路防火墻的trust接口連接,所述的旁路防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接,云計(jì)算網(wǎng)絡(luò)和虛擬交換機(jī)內(nèi)各設(shè)置有一個(gè)加密模塊,虛擬交換機(jī)中還設(shè)有一個(gè)身份驗(yàn)證模塊,每進(jìn)行一次訪問后,即進(jìn)行一次加密模塊的密鑰更新,加密模塊加密的步驟包括: 51、從密鑰中提取一個(gè)隨機(jī)數(shù)除以密鑰的進(jìn)制數(shù),獲得商數(shù)以及余數(shù); 52、將計(jì)算獲得的商數(shù)作為當(dāng)前待加密數(shù)據(jù),并繼續(xù)執(zhí)行步驟S1,直至計(jì)算獲取的商數(shù)為零; 53、使用密鑰中的提取運(yùn)算規(guī)則選取出一個(gè)特定明文段; 54、將每次計(jì)算獲取的余數(shù)排列和特定明文段作為加密數(shù)據(jù)序列。2.根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,所述的旁路防火墻的trust接口和untrust接口通過802.1Q協(xié)議劃分VLAN子接口,分成各自隔離的VLAN通道。3.根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,訪問記錄采用數(shù)據(jù)鏈表形式存儲(chǔ),當(dāng)無存儲(chǔ)空間時(shí),優(yōu)先刪除舊的訪問記錄。4.根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,在訪問前,虛擬交換機(jī)首先對(duì)儲(chǔ)存的訪問記錄進(jìn)行檢索,根據(jù)歷史記錄確定訪問優(yōu)先級(jí)。5.根據(jù)權(quán)利要求4所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,訪問優(yōu)先級(jí)為高訪問量的優(yōu)先級(jí)高于少訪問量。6.根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,其特征在于,所述的云計(jì)算網(wǎng)絡(luò)包括多個(gè)虛擬主機(jī),虛擬主機(jī)分別與虛擬交換機(jī)連接的通道構(gòu)成一個(gè)VLAN,VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)的vlan id,每個(gè)客戶端租賃的虛擬web劃分在一個(gè)獨(dú)立的 vlan id。
【專利摘要】本發(fā)明公開了一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的防火墻配置,云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換機(jī)相連接,虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,核心物理交換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路防火墻的trust接口連接,旁路防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接,云計(jì)算網(wǎng)絡(luò)和虛擬交換機(jī)內(nèi)各設(shè)置有一個(gè)加密模塊,虛擬交換機(jī)中還設(shè)有一個(gè)身份驗(yàn)證模塊,每進(jìn)行一次訪問后,即進(jìn)行一次加密模塊的密鑰更新。本發(fā)明保證了云計(jì)算網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)安全、可靠、透明地傳輸,在訪問時(shí),通過對(duì)訪問記錄的檢索,可以提高訪問效率,加密效果好,提高了安全性。
【IPC分類】H04L12/46, H04L29/08, H04L29/06
【公開號(hào)】CN105262668
【申請(qǐng)?zhí)枴緾N201510744758
【發(fā)明人】蔣毅
【申請(qǐng)人】四川理工學(xué)院
【公開日】2016年1月20日
【申請(qǐng)日】2015年10月31日