WO2017025005A1

WO2017025005A1 - 实现云平台安全

Info

Publication number: WO2017025005A1
Application number: PCT/CN2016/093909
Authority: WO
Inventors: 侯叶飞
Original assignee: Hangzhou H3C Technologies Co Ltd
Current assignee: Hangzhou H3C Technologies Co Ltd
Priority date: 2015-08-07
Filing date: 2016-08-08
Publication date: 2017-02-16
Anticipated expiration: 2018-02-07
Also published as: CN106385365A; EP3313032A1; EP3313032B1; US10887280B2; CN106385365B; JP2018527813A; JP6595698B2; US20180212929A1; EP3313032A4

Abstract

本申请提供了实现云平台安全的方法和装置。本申请中，云平台中的云服务器上创建用于代替MAC桥的Openflow桥，Openflow桥通过Openflow安全表实现云平台安全。

Description

实现云平台安全

背景

安全一直是各云平台的必选特性，在目前的开源云平台和非开源云平台中，都是通过动态学习的ip表(iptable)和二层MAC转发表实现云平台安全的。

以开源云平台Openstack为例，非开源云平台原理类似。图1示出了开源云平台Openstack中任一云服务器的结构图。Linux内核的原生桥(qbr网桥，也称为MAC桥)，如图1所示的MAC bridge_1、MAC bridge_2、MAC bridge_3是通过动态学习的iptable和二层MAC转发表实现开源云平台Openstack安全。以如图1所示的虚拟机(VM：Virtual Machine)1发送报文至VM2为例，VM1通过本地接口eth0发送报文，MAC桥通过VM1的虚拟网卡(Veth：Virtual ethernet)在MAC桥的端口Veth1接收到来自VM1发送的报文，依赖于之前动态学习的iptable对报文进行过滤识别，依赖于动态学习的二层MAC转发表继续转发通过过滤的报文。

附图简要说明

图1示出了开源云平台Openstack中任一云服务器的结构图；

图2为本申请例子中提供的云平台中任一云服务器的结构图；

图3A为本申请例子中提供的基于开放流(Openflow)表实现云平台安全的方法流程图；

图3B为本申请例子中提供的源Openflow桥根据查找到的Openflow安全表中的转发动作转发第一报文的流程示意图。

图4为本申请一个例子中提供的应用组网的结构示意图；

图5为本申请又一个例子中提供的应用组网的结构示意图；

图6为本申请例子中提供的基于Openflow表实现云平台安全的装置结构图；

图7为本申请例子中提供的基于Openflow表实现云平台安全的装置硬件结构图。

实施本申请的方式

目前云平台中云服务器上的MAC桥在实现开源云平台Openstack安全时是基于iptable和二层MAC转发表实现，而iptable和二层MAC转发表的可控制性比较差，远远不如Openflow表。并且，目前云平台中云服务器上的其他网桥比如内部桥(BR-Int)、外部桥((BR-Ext)内的表项都是Openflow表，因此，同一云服务器上MAC桥上的iptable和二层MAC转发表会和其他网桥上的Openflow表不统一。

为了使本申请的目的、技术方案和优点更加清楚，下面结合附图和具体实施例对本申请进行详细描述。

本申请中，为实现基于Openflow表实现云平台安全，在云平台中的云服务器上创建Openflow桥，由Openflow桥替换背景技术部分描述的MAC桥来实现云平台安全，图2示出了本申请提供的云平台中任一云服务器的结构图。如图2所示，Openflow桥的位置与背景技术部分描述的MAC桥的位置相同，连接在VM和BR-Int之间，但相比于MAC桥通过动态学习的iptable和二层MAC转发表实现云平台安全，本申请中，Openflow桥是基于预先配置的Openflow安全表实现云平台安全。

本申请中，Openflow安全表包含多条Openflow安全表项，每一Openflow安全表项包含以下两部分：匹配条件和转发动作。

作为本申请的一个例子，这里的匹配条件可包含报文接收端口、报文携带的报文属性参数。在一个例子中，报文携带的报文属性参数可以为报文五元组或者七元组中的至少一个。其中，报文五元组为：目的IP地址、源IP地址、目的端口号、源端口号、协议类型；报文七元组为：目的IP地址、源IP地址、目的MAC地址、源MAC地址、目的端口号、源端口号、协议类型。

作为本申请的一个例子，转发动作可以为对匹配Openflow安全表项的报文执行的转发动作。下文具体描述了如何依据Openflow安全表项中的转发动作转发报文，这里暂不赘述。

基于上面的描述，下面对Openflow桥如何基于预先配置的Openflow安全表实现云平台安全的过程进行详细描述。

参见图3A，图3A为本申请提供的基于Openflow表实现云平台安全的的方法流程图。该流程应用于如上所述的Openflow桥，如图3A所示，该流程可包括以下步骤：

步骤301，接收报文。

本步骤中，所述报文可以为来自本地VM发送的第一报文；或者也可以为发向本地VM的第二报文。

需要说明的是，这里的第一报文、第二报文只是为便于区分VM发送的报文和发向VM的报文，并非限定本申请。

步骤302，当所述报文为来自本地VM发送的报文，或者为发向本地VM的报文时，将接收到所述报文的端口、所述报文携带的报文属性参数作为关键词在本地预先配置的Openflow安全表中查找匹配条件为所述关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发所述报文，若未查找到，丢弃所述报文。

为便于描述，当Openflow桥接收来自本地VM发送的第一报文，则称Openflow桥为源Openflow桥，而当Openflow桥接收发向本地VM 的第二报文，则称Openflow桥为目的Openflow桥。以下均以Openflow桥细分源Openflow桥和目的Openflow桥描述。

源Openflow桥将收到第一报文的第一端口、第一报文携带的报文属性参数作为第一关键词在本地预先配置的Openflow安全表中查找匹配条件为第一关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第一报文，若未查找到，丢弃第一报文。

目的Openflow桥将收到第二报文的第二端口、第二报文携带的报文属性参数作为第二关键词在本地预先配置的Openflow安全表查找匹配条件为所述第二关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作通过第一端口向VM转发第二报文，若未查找到，丢弃第二报文。

作为一个例子，依据查找到的Openflow安全表项中的转发动作转发第二报文可包括：通过本Openflow桥连接VM的第一端口向VM发送第二报文。

至此，完成图3A所示的流程。

作为本申请的一个例子，图3B为本申请例子中提供的源Openflow桥根据查找到的Openflow安全表中的转发动作转发第一报文的流程示意图。如图3B所示，源Openflow桥依据查找到的Openflow安全表项中的转发动作转发第一报文可包括：

步骤a1，源Openflow桥确定第一报文是否为首包，在第一报文为首包时，执行步骤a2，在第一报文不为首包时，执行步骤a3。

这里，第一报文是否为首包的确定方式类似现有确定首包的方式，不再展开描述。

步骤a2，源Openflow桥通过本Openflow桥上的第二端口向BR-Int上与所述第二端口互为一对(Peer)的第三端口转发第一报文。结束当前流程。

本步骤a2是在第一报文为首包的前提下执行的。

本申请中，在第一报文为首包时，当源Openflow桥通过本Openflow桥上第二端口向BR-Int上与第二端口互为一对(Peer)的第三端口发送第一报文后，第一报文会到达BR-Int上的第三端口。当BR-Int通过第三端口收到第一报文后，会在本地Openflow转发表中查找到与第一报文匹配的Openflow转发表项，记为表项1，按照查找到的表项1中的转发动作继续转发第一报文。

当第一报文的目的设备是同一云服务器上的其他VM时，上述BR-Int查找到的表项1中的转发动作就是：通过本BR-Int上的第四端口发送第一报文至接入目的设备的Openflow桥(即为目的Openflow桥)上与第四端口互为Peer的第五端口，基于此，BR-Int就会通过本BR-Int上的第四端口向目的Openflow桥上与第四端口互为Peer的第五端口发送第一报文。当目的Openflow桥通过第五端口收到第一报文时，因为第一报文是发向本地VM的，则目的Openflow桥就会按照类似步骤303的描述，依据收到第一报文的第五端口、第一报文携带的报文属性参数在本地预先配置的Openflow安全表查找匹配的Openflow安全表项，记为表项2，若查找到，依据查找到的表项2中的转发动作通过连接目的设备的出端口发送第一报文至目的设备，最终，第一报文会到达目的设备，若未查找到，丢弃第一报文。

当第一报文的目的设备是物理网络上的主机或者不同云服务器上其他VM时，BR-Int查找到的表项1中的转发动作就是：通过本BR-Int上第六端口发送第一报文至BR-Ext上与第六端口互为Peer的第七端口，基于此，BR-Int就会通过本BR-Int上的第六端口向BR-Ext上与第六端口互为Peer的第七端口发送第一报文。当BR-Ext收到第一报文后，会在本地Openflow转发表中查找到与第一报文匹配的Openflow转发表项，记为表项3，依据查找到的表项3中的转发动作继续转发第一报文。这里，查找到的表项3中的转发动作可以为：对第一报文进行VXLAN封装，并通过BR-Ext上物理端口(到达目的设备的路由出端口)转发VXLAN封装后的第一报文，最终，第一报文会到达目的设备。

基于上面描述的第一报文为发向目的设备的首包且目的设备为同一云服务器上其他VM时第一报文在源Openflow桥、BR-Int、目的Openflow桥的转发，或者第一报文为发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时第一报文在源Openflow桥、BR-Int、BR-Ext的转发描述，本申请中，云平台上的控制器比如SDN控制器还可进一步动态生成用于转发第一报文的Openflow转发表项，记为表项4，并下发至源Openflow桥进行存储。例如，存储在源Openflow桥的Openflow转发表中。

在本申请中，当第一报文是发向目的设备的首包且目的设备为同一云服务器上其他VM时，表项4就是按照无重复原则对第一报文经由源Openflow桥、BR-Int、目的Openflow桥时查找到的与第一报文匹配的Openflow表项进行组合形成的表项；举例描述，当第一报文是发向目的设备的首包且目的设备为同一云服务器上其他VM时，基于上面描述的第一报文在源Openflow桥、BR-Int、目的Openflow桥的转发，则表项4的匹配条件就是第一报文经由源Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的匹配条件、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项中的匹配条件、第一报文经由目的Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的匹配条件的组合(注意，最终组合的匹配条件需保证没有重复的内容)，表项4的转发动作就是第一报文经由源Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的转发动作、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项中的转发动作、第一报文经由目的Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的转发动作的组合(注意，最终组合的转发动作中可省略掉中间环节的转发操作，即仅保留上面描述的表项2中的转发操作)。

而当第一报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时，表项4就是按照无重复原则对第一报文经由的源Openflow桥、BR-Int、BR-Ext时查找到的与第一报文匹配的Openflow表项进行组合形成的表项。举例描述，当第一报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同网络节点上的其他VM时，基于上面描述的第一报在源Openflow桥、BR-Int、BR-Ext的转发，则表项4的匹配条件就是第一报文经由源Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的匹配条件、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项中的匹配条件、第一报文经由BR-Ext时与第一报文匹配的Openflow转发表项中的匹配条件的组合(注意，最终组合的匹配条件需保证没有重复的内容)，表项4的转发动作就是第一报文经由源Openflow桥时查找到的与第一报文匹配的Openflow安全表项中的转发动作、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项中的转发动作、第一报文经由BR-Ext时与第一报文匹配的Openflow转发表项中的转发动作的组合(注意，最终组合的转发动作中可省略掉中间环节的转发操作，但其他非转发操作比如VXLAN封装等不需要省略)。

基于上面描述的表项4可以看出，在第一报文为发向目的设备的首包时，不管目的设备为同一云服务器上其他VM，还是为物理网络上的主机或者不同云服务器上的其他VM，表项4最终汇聚了第一报文经由云服务器上各个网桥时查找到的匹配的Openflow表项，这能够保证后续发向目的设备的非首包直接在源Openflow桥执行一次Openflow转发表项查找，不必再在云服务器中的其他各个网桥查找Openflow表项就能转发至目的设备，提高报文转发效率，具体见步骤a3。

步骤a3，源Openflow桥在本地Openflow转发表中查找与第一报文匹配的Openflow转发表项(也即上述的表项4)，按照查找到的Openflow转发表项中的转发动作转发第一报文。结束当前流程。

本步骤a3是在第一报文为非首包的前提下执行的。

基于上面描述的表项4可以看出，表项4汇聚了发向目的设备的首包经由云服务器中各个网桥时查找到的与首包匹配的Openflow表项，基于此，当第一报文为发向目的设备的非首包时，本步骤a3中源Openflow桥在本地Openflow转发表中查找到的与第一报文匹配的Openflow转发表项也即为上述的表项4，因为表项4汇聚了发向目的设备的首包经由云服务器中各个网桥时查找到的与首包匹配的Openflow表项，基于此，本步骤a3中按照查找到的Openflow转发表项中的转发动作转发第一报文，也就意味着第一报文直接穿越云服务器中各个网桥进行转发，实现了只需在源Openflow桥执行一次Openflow转发表，不必再在云服务器中其他各个网桥查找Openflow表项就能转发至第一报文至目的设备，提高了报文转发效率。

举例描述，以报文p1为发向目的设备(同一云服务器中其他VM)的非首包为例，当源Openflow桥收到报文p1时，发现报文p1为发向目的设备的非首包，则在本地Openflow转发表中查找到与报文p1匹配的Openflow转发表项，按照查找到的Openflow转发表项中的转发动作转发报文p1。这里与报文p1匹配的Openflow转发表项是对发向目的设备的首包经由源Openflow桥、BR-Int、目的Openflow桥时查找到的匹配的Openflow表项的叠加，如此，按照查找到的Openflow转发表项中的转发动作转发报文p1最终是穿越源Openflow桥、BR-Int、目的Openflow桥将报文p1发向目的Openflow桥上连接目的设备的端口，直接通过该端口转发即可，无需再在BR-Int、目的Openflow桥上查找Openflow表项转发。

本申请中，为了保证步骤a1至步骤a3顺利实现，可限定同一云服务器中的各个网桥之间通过端口类型为Patch的端口联通，具体为：源Openflow桥上第二端口、BR-Int上与第二端口互为Peer的第三端口、BR-Int上第四端口、目的Openflow桥上与第四端口互为Peer的第五端口、BR-Int上第六端口、BR-Ext上与第六端口互为Peer的第七端口的端口类型都为Patch。端口类型为Patch，能够保证首包在穿越类型为patch的端口联通的各个Openflow类型的网桥(实质是具有Openflow表项的网桥，即Openflow桥、BR-Int、BR-Ext等)时，会自动组合所有Openflow类型的网桥的Openflow表项，最终生成一条Openflow转发表项(如上述步骤a2中当第一报文为首包时生成的表项4)指导后续非首包的流量转发。

以上对步骤302进行了描述。

下面通过两个具体例子对图3A所示方法流程进行描述：

图4为一个例子中的应用组网示意图。图4的应用组网仅以云平台的其中一个服务器的网络为例。如图4所示，VM_11通过本地端口eth_11连接Openflow桥_11上的虚拟网卡Veth_11，VM_12通过本地端口eth_12连接至Openflow桥_12的虚拟网卡Veth_12，依次类推，VM_1n通过本地端口eth_1n连接至Openflow桥_1n的虚拟网卡Veth_1n。在图4中，Openflow桥_11通过端口Patch_VM_11连接至BR-Int的端口Patch_Int_11，Openflow桥_12通过端口Patch_VM_12连接至BR-Int的端口Patch_Int_12，依次类推，Openflow桥_1n通过端口Patch_VM_1n连接至BR-Int的端口Patch_Int_1n，其中，Openflow桥_11上的端口Patch_VM_11与BR-Int上的端口Patch_Int_11互为一对Peer，端口类型为Patch，Openflow桥_12上的端口Patch_VM_12与BR-Int上的端口Patch_Int_12互为一对Peer，端口类型为Patch，依次类推，Openflow桥_1n上的端口Patch_VM_1n与BR-Int上的端口Patch_Int_1n互为一对Peer，端口类型为Patch。在图4中，BR-Int通过端口Patch_40连接至BR-Ext上的端口Patch_41，Patch_40、Patch_41的端口类型为Patch。在图4中的VM_11直至VM_1n、Openflow桥_11直至Openflow桥_1n、BR-Int、BR-Ext位于同一云服务器上。

在本例子中，以VM_11访问VM_12为例，则，

VM_11通过eth_11发送用于访问VM_12的报文，为便于描述，这里将报文记为报文01。

Openflow桥_11通过Veth_11收到报文01，发现报文01为本Openflow桥_11首次收到的VM_11访问VM_12的报文(即为首包)，则以Veth_11、以及报文01携带的报文属性参数作为关键词在本地预先配置的Openflow安全表中查找匹配条件为该关键词的Openflow安全表项。

假如Openflow桥_11未查找到Openflow安全表项，则Openflow桥_11直接丢弃报文01。

假如Openflow桥_11查找到Openflow安全表项(将该查找到的Openflow安全表项记为表项41)，则按照表项41中的转发动作继续将报文01通过本Openflow桥_11的端口Patch_VM_11发送出去。

BR-Int通过Patch_Int_11收到报文01时，在本地的Openflow转发表中查找到与报文01匹配的Openflow转发表项(将该查找到的Openflow转发表项记为表项42)，按照表项42中的转发动作将报文01通过端口Patch_Int_12转发。

Openflow桥_12通过Patch_VM_12接收到报文01，发现报文01是发向VM_12的，则以Patch_VM_12、报文01携带的报文属性参数作为关键词在本地预先配置的Openflow安全表中查找到匹配条件为该关键词的Openflow安全表项，如果查找到，这里将该查找到的Openflow安全表项记为表项43，则按照表项43中的转发动作通过本Openflow桥_12的端口Veth_12发送报文01。最终，VM_11发送的报文01会到达VM_12，即实现了VM_11访问VM_12。

云平台上的SDN控制器在报文01从Openflow桥_11、BR-Int、Openflow桥_12三者的转发过程中，进一步将报文01经由Openflow桥_11时查找到的表项41、报文01经由BR-Int时查找到的表项42、以及报文01经由Openflow桥_12时查找到的表项43进行叠加生成一个与报文01匹配的Openflow转发表项(记为表项40)下发至Openflow桥_11的Openflow转发表。该表项40中的匹配条件为表项41至表项43中匹配条件的无重复叠加，该表项40中的转发动作为表项41至表项43中转发动作的无重复叠加，这里以转发动作为通过Openflow桥_12的端口Veth_12转发为例。

之后，VM_11再次访问VM_12时，VM_11通过eth_11发送用于访问VM_12的报文，为便于描述，这里将报文记为报文02。

Openflow桥_11通过Veth_11收到报文02，发现报文02不为本Openflow桥_11首次收到的VM_11访问VM_12的报文(即为非首包)，则在本地Openflow转发表中查找与报文02匹配的Openflow转发表项(即上述SDN控制器生成的表项40)。

Openflow桥_11按照查找到的表项40中的转发动作将报文02透传至Openflow桥_12的Veth_l2，触使Openflow桥_12通过Veth_12转发报文02，最终，VM_11发送的报文02会到达VM_12，即实现了VM_11再次访问VM_12。

图5为另一个例子中的应用组网示意图。图5的应用组网仅以云平台的其中一个服务器的网络为例。如图5所示，VM_21通过本地端口eth_21连接至Openflow桥_21的虚拟网卡Veth_21，VM_22通过本地端口eth_22连接至Openflow桥_22的虚拟网卡Veth_22，依次类推，VM_2n通过本地端口eth_2n连接至Openflow桥_2n的虚拟网卡Veth_2n。在图5中，Openflow桥_21通过端口Patch_VM_21连接至BR-Int的端口Patch_Int_21，Openflow桥_22通过端口Patch_VM_22连接至BR-Int的端口Patch_Int_22，依次类推，Openflow桥_2n通过端口Patch_VM_2n连接至BR-Int的端口Patch_Int_2n，其中，Openflow桥_21上的端口Patch_VM_21与BR-Int上的端口Patch_Int_21互为一对Peer，端口类型为Patch，Openflow桥_22上的端口Patch_VM_22与BR-Int上的端口Patch_Int_22互为一对Peer，端口类型为Patch，依次类推，Openflow桥_2n上的端口Patch_VM_2n与BR-Int上的端口Patch_Int_2n互为一对Peer，端口类型为Patch。在图5中，BR-Int通过端口Patch_50连接至BR-Ext上的端口Patch_51，Patch_50、Patch_51的端口类型为Patch。在图5中的VM_21直至VM_2n、Openflow桥_21直至Openflow桥_2n、BR-Int、BR-Ext位于同一服务器上。

在本例子中，以VM_21访问物理网络主机PM_21为例，则，

VM_21通过eth_21发送用于访问PM_21的报文，为便于描述，这里将报文记为报文21。

Openflow桥_21通过Veth_21收到报文21，发现报文21为本Openflow桥_21首次收到的VM_21访问PM_21的报文(即为首包)，则以Veth_21、以及报文21携带的报文属性参数作为关键词在本地预先配置的Openflow安全表中查找匹配条件为该关键词的Openflow安全表项；

假如Openflow桥_21未查找到Openflow安全表项，则Openflow桥_21直接丢弃报文21；

假如Openflow桥_21查找到Openflow安全表项(将该查找到的Openflow安全表项记为表项51)，则按照表项51中的转发动作继续将报文21通过本Openflow桥_21的端口Patch_VM_21发送出去。

BR-Int通过Patch_Int_21收到报文21时，在本地的Openflow转发表中查找到与报文21匹配的Openflow转发表项(将该查找到的Openflow转发表项记为表项52)，按照表项52中的转发动作将报文21通过端口Patch_50转发。

BR-Ext通过Patch_51接收到报文21，在本地的Openflow转发表中查找到与报文21匹配的Openflow转发表项(这里将该查找到的Openflow安全表项记为表项53)，按照查找到的表项53中转发动作中的封装操作将报文21进行VXLAN封装并按照查找到的表项53中转发动作中的转发操作通过物理端口Port_21转发出去。最终，VM_21发送的报文21会到达PM_21，即实现了VM_21访问PM_21。

云平台上的SDN控制器在报文21从Openflow桥_21、BR-Int、BR-Ext三者的转发过程中，进一步将报文21经由Openflow桥_21时查找到的表项51、报文21经由BR-Int时查找到的表项52、以及报文21经由BR-Ext时查找到的表项53进行叠加生成一个与报文21匹配的 Openflow转发表项(记为表项50)下发至Openflow桥_21的Openflow转发表。该表项50中的匹配条件为表项51至表项53中匹配条件的无重复叠加，该表项50中的转发动作为表项51至表项53中转发动作的无重复叠加，这里以转发动作为进行VXLAN封装并通过物理端口Port_21转发为例。

之后，VM_21再次访问PM_21时，VM_21通过eth_21发送用于访问PM_21的报文，为便于描述，这里将报文记为报文22。

Openflow桥_21通过Veth_21收到报文22，发现报文22不为本Openflow桥_21首次收到的VM_21访问PM_22的报文(即为非首包)，则在本地Openflow转发表中查找与报文22匹配的Openflow转发表项(即上述SDN控制器生成的表项50)。

Openflow桥_21按照查找到的表项50中的转发动作将报文22进行VXLAN封装并透传至BR-Ext的物理端口Port_21，触使BR-Ext通过物理端口Port_21转发VXLAN封装后的报文22，最终，VM_21再次发送的报文22会到达VM_21，即实现了VM_21再次访问PM_21。

至此，完成本申请提供的方法描述。下面对本申请提供的装置进行描述。

参见图6，图6为本申请例子中提供的基于Openflow表实现云平台安全的装置结构图。该装置应用于在云平台中云服务器上创建出的用于代替MAC桥的Openflow桥，Openflow桥连接在云服务器上的VM和BR-Int之间，该装置可包括：Openflow表项存储单元601、出流量控制单元602和入流量控制单元603。

其中，Openflow表项存储单元601用于存储预先配置的Openflow安全表。

出流量控制单元602用于接收来自本地VM发送的第一报文，将收到第一报文的第一端口、第一报文携带的报文属性参数作为第一关键词在所述Openflow表项存储单元存储的Openflow安全表中查找匹配条件为第一关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第一报文，若未查找到，丢弃第一报文。

入流量控制单元603用于接收发向所述VM的第二报文，将收到第二报文的第二端口、第二报文携带的报文属性参数作为第二关键词在所述Openflow表项存储单元存储的Openflow安全表查找匹配条件为所述第二关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发第二报文，若未查找到，丢弃第二报文。

优选地，Openflow表项存储单元601可进一步存储Openflow转发表。

基于此，所述出流量控制单元602依据查找到的Openflow安全表项中的转发动作转发第一报文可包括：在所述第一报文为首包时，通过本Openflow桥上第二端口向BR-Int上与所述第二端口互为一对Peer的第三端口发送第一报文；在所述第一报文不为首包时，在所述Openflow表项存储单元601存储的Openflow转发表中查找与第一报文匹配的Openflow转发表项，按照查找到的Openflow转发表项中的转发动作转发第一报文。

其中，在所述第一报文为首包时，所述Openflow表项存储单元601进一步接收云平台中控制器生成并下发的与第一报文匹配的Openflow转发表项，将接收的Openflow转发表项存储至本地Openflow转发表中.

其中，当第一报文是所述VM发向目的设备的首包且目的设备为同一云服务器上的其他VM时，与第一报文匹配的Openflow转发表项为所述第一报文经由本Openflow桥时查找到的与第一报文匹配的Openflow安全表项、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项、第一报文经由所述目的设备接入的目的Openflow桥时查找到的与第一报文匹配的Openflow安全表项的组合；当第一报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时，与第一报文匹配的Openflow转发表项是所述第一报文经由本Openflow桥时查找到的与第一报文匹配的Openflow安全表项、第一报文经由BR-Int时查找到的与第一报文匹配的Openflow转发表项、第一报文经由外部网桥BR-Ext时查找到的与第一报文匹配的Openflow转发表项的组合。

在一个例子中，云服务器上的Openflow桥、BR-Int、BR-Ext通过端口类型为Patch的端口联通。

在一个例子中，所述入流量控制单元603依据查找到的Openflow安全表项中的转发动作转发第二报文可包括：通过所述Openflow桥连接所述VM的第一端口向所述VM发送第二报文。

至此，完成图6所示的装置结构描述。

本发明还提供了图6所示装置的硬件结构图。参见图7，图7为本发明提供的图6所示基于Openflow表实现云平台安全的装置的硬件结构图。如图7所示，该硬件结构图可包括：存储器710、与存储器710通信连接的处理器720、以及接口730。其中存储器710可以为非易性存储介质，其存储有可由处理器720执行的计算机可执行指令，该计算机可执行指令可实现如图3A至图5中任一图中所示实现云平台安全的方法的操作。此外，所述计算机可执行指令也可实现图6所示基于Openflow表实现云平台安全的装置的操作。

或者，也可以理解为该存储器710存储有上述图6中的Openflow表项存储单元601、出流量控制单元602和入流量控制单元603。相应地，处理器720用于执行Openflow表项存储单元601运行的控制程序以控制存储器710中的Openflow表项存储单元601执行如上所述的操作；用于执行出流量控制单元602运行的控制程序以控制存储器710中的出流量控制单元602执行如上所述的操作；以及用于执行入流量控制单元603运行的控制程序以控制存储器710中的入流量控制单元603执行如上所述的操作。

本申请提供了实现云平台安全的方法和装置。本申请中，云平台中的云服务器上创建用于代替MAC桥的Openflow桥，Openflow桥通过Openflow安全表实现云平台安全，这达到了基于Openflow表实现云平台安全的目的，提高了云平台安全的可控制性能；并且，本申请中，由于Openflow桥采用Openflow类型的流表实现云平台安全，这可以与云服务器上的其他网桥比如BR-Int、BR-Ext(也采用Openflow类型的流表)统一采用相同的流表管理，简化网络配置和管理。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

一种实现云平台安全的方法，其特征在于，该方法应用于在云平台中的云服务器上创建出的用于代替MAC桥的Openflow桥，Openflow桥位于所述云服务器上的虚拟机VM和内部桥BR-Int之间，该方法包括：

接收报文；

当所述报文为来自本地VM发送的报文，或者为发向本地VM的报文时，将接收到所述报文的端口、以及所述报文携带的报文属性参数作为关键词在本地预先配置的Openflow安全表中查找匹配条件为所述关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发所述报文，若未查找到，丢弃所述报文。
根据权利要求1所述的方法，当所述报文为来自本地VM发送的报文，且接收到所述报文的端口为第一端口时，所述依据查找到的Openflow安全表项中的转发动作转发所述报文，具体包括：

在所述报文为首包时，通过本Openflow桥上的第二端口向BR-Int上与所述第二端口互为一对Peer的第三端口发送所述报文；

在所述报文不为首包时，在本地Openflow转发表中查找与所述报文匹配的Openflow转发表项，按照查找到的Openflow转发表项中的转发动作转发所述报文。
根据权利要求2所述的方法，在所述所述报文为首包时，该方法进一步包括：

接收云平台中控制器生成并下发的与所述报文匹配的Openflow转发表项，在本地Openflow转发表中存储接收的Openflow转发表项；

其中，当所述报文是所述VM发向目的设备的首包且目的设备为同一云服务器上的其他VM时，与所述报文匹配的Openflow转发表项为所述报文经由本Openflow桥时查找到的与所述报文匹配的Openflow安全表项、所述报文经由BR-Int时查找到的与所述报文匹配的Openflow转发表项、所述报文经由所述目的设备接入目的Openflow桥时查找到的与所述报文匹配的Openflow安全表项的组合；

当所述报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时，与所述报文匹配的Openflow转发表项是所述报文经由本Openflow桥时查找到的与所述报文匹配的Openflow安全表项、所述报文经由BR-Int时查找到的与所述报文匹配的Openflow转发表项、所述报文经由外部网桥BR-Ext时查找到的与所述报文匹配的Openflow转发表项的组合。
根据权利要求3所述的方法，所述云服务器上的Openflow桥、BR-Int、BR-Ext通过端口类型为Patch的端口联通。
根据权利要求1所述的方法，当所述报文为发向本地VM的报文，且接收到所述报文的端口为第二端口时，所述依据查找到的Openflow安全表项中的转发动作转发所述报文，具体包括：

通过所述Openflow桥连接所述VM的第一端口向所述VM发送所述报文。
一种实现云平台安全的装置，该装置应用于在云平台中云服务器上创建出的用于代替MAC桥的Openflow桥，Openflow桥位于所述云服务器上的虚拟机VM和内部桥BR-Int之间，该装置包括：处理器和存储器；

所述存储器中存储有可被所述处理器执行的计算机可执行指令，所述计算机可执行指令用于使所述处理器执行如下操作：接收报文；

当所述报文为来自本地VM发送的报文，或者为发向本地VM的报文时，将接收到所述报文的端口、所述报文携带的报文属性参数作为关键词在本地预先存储的Openflow安全表中查找匹配条件为所述关键词的Openflow安全表项，若查找到，依据查找到的Openflow安全表项中的转发动作转发所述报文，若未查找到，丢弃所述报文。
根据权利要求6所述的装置，当所述报文为来自本地VM发送的报文，且接收到所述报文的端口为第一端口时，所述计算机可执行指令用于使所述处理器具体执行如下操作：

在所述报文为首包时，通过本Openflow桥上第二端口向BR-Int上与所述第二端口互为一对Peer的第三端口发送第一报文；

在所述报文不为首包时，在所述Openflow表项存储单元存储的Openflow转发表中查找与所述报文匹配的Openflow转发表项，按照查找到的Openflow转发表项中的转发动作转发所述报文。
根据权利要求7所述的装置，在所述报文为首包时，所述计算机可执行指令用于使所述处理器进一步执行如下操作：

接收云平台中控制器生成并下发的与所述报文匹配的Openflow转发表项，将接收的Openflow转发表项存储至本地Openflow转发表中；

其中，当所述报文是所述VM发向目的设备的首包且目的设备为同一云服务器上的其他VM时，与所述报文匹配的Openflow转发表项为所述报文经由本Openflow桥时查找到的与所述报文匹配的Openflow安全表项、所述报文经由BR-Int时查找到的与所述报文匹配的Openflow转发表项、所述报文经由所述目的设备接入的目的Openflow桥时查找到的与所述报文匹配的Openflow安全表项的组合；

当所述报文是发向目的设备的首包且目的设备为物理网络上的主机或者不同云服务器上的其他VM时，与所述报文匹配的Openflow转发表项是所述报文经由本Openflow桥时查找到的与所述报文匹配的 Openflow安全表项、所述报文经由BR-Int时查找到的与所述报文匹配的Openflow转发表项、所述报文经由外部网桥BR-Ext时查找到的与所述报文匹配的Openflow转发表项的组合。
根据权利要求8所述的装置，所述云服务器上的Openflow桥、BR-Int、BR-Ext通过端口类型为Patch的端口联通。
根据权利要求6所述的装置，当所述报文为发向所述VM的报文，且接收到所述报文的端口为第二端口时，所述计算机可执行指令用于使所述处理器具体执行如下操作：

通过所述Openflow桥连接所述VM的第一端口向所述VM发送所述报文。