CN113285983A - 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** - Google Patents
一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** Download PDFInfo
- Publication number
- CN113285983A CN113285983A CN202110453134.9A CN202110453134A CN113285983A CN 113285983 A CN113285983 A CN 113285983A CN 202110453134 A CN202110453134 A CN 202110453134A CN 113285983 A CN113285983 A CN 113285983A
- Authority
- CN
- China
- Prior art keywords
- virtual
- openstack
- service
- card
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000007726 management method Methods 0.000 claims description 21
- 238000004891 communication Methods 0.000 claims description 17
- 230000006870 function Effects 0.000 claims description 15
- 238000002474 experimental method Methods 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 7
- 230000015654 memory Effects 0.000 claims description 6
- 230000007123 defense Effects 0.000 claims description 4
- 238000005553 drilling Methods 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 9
- 238000000034 method Methods 0.000 description 8
- 101100513046 Neurospora crassa (strain ATCC 24698 / 74-OR23-1A / CBS 708.71 / DSM 1257 / FGSC 987) eth-1 gene Proteins 0.000 description 7
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000007547 defect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000011534 incubation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/568—Storing data temporarily at an intermediate stage, e.g. caching
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,基于OpenStack搭建云平台,该平台部署多台硬件服务器和交换机,配置一台硬件服务器配置为控制节点,其余硬件服务器为OpenStack计算节点;在计算节点创建虚拟安防装置以及虚拟化加密令牌,在控制节点部署硬件加密卡服务程序,供虚拟安防装置调用。本发明只需内置一个加密卡提供密码服务,通过共享单加密卡密码服务,所有的虚拟安防装置共同使用一个硬件加密卡就能完成数据加密解密,从而降低搭建安防装置业务拓扑的成本,提高硬件加密卡的使用效率。
Description
技术领域
本发明属于通信安全技术领域,具体涉及一种支持多虚拟化安防设备共享单加密卡的虚拟实验***。
背景技术
云计算***的平台管理技术能够使大量的服务器协同工作,方便进行业务部署和开通,快速发现和恢复***故障,通过自动化、智能化的手段实现大规模***的可靠运营。云计算的一个核心思想就是在服务器端提供集中的物理计算资源,这些计算资源可以被分解成更小的单位去独立地服务于不同的用户,也就是在共享物理资源的同时,为每个用户提供隔离、安全、可信的虚拟工作环境,而这一切不可避免地要依赖于虚拟化技术。
虚拟化是构建云基础架构不可或缺的关键技术之一。云计算的云端***,其实质上就是一个大型的分布式***。虚拟化通过在一个物理平台上虚拟出更多的虚拟平台,而其中的每一个虚拟平台则可以作为独立的终端加入云端的分布式***。比起直接使用物理平台,虚拟化在资源的有效利用、动态调配和高可靠性方面有着巨大的优势。利用虚拟化,企业不必抛弃现有的基础架构即可构建全新的信息基础架构,从而更加充分地利用原有的IT投资。
虚拟化技术具有可以减少服务器的过度提供、提高设备利用率、减少IT的总体投资、增强提供IT环境的灵活性、可以共享资源等优点,但虚拟化技术在安全性能上较为薄弱,虚拟化设备是潜在恶意代码或者黑客的首选攻击对象。
基于云计算和虚拟化技术实现的虚拟实验室,支持在其中创建各种网络设备,包括虚拟交换机、虚拟路由器、虚拟防火墙、虚拟安防装置和虚拟电力隔离装置,以及各种虚拟主机(Windows和linux),可以提供电力环境中的各种网络设备的组网和配置、模拟真实的网络场景。
在硬件安防装置中,硬件安防装置需要安装单独的硬件加密卡,通过调用硬件加密卡完成数据加密解密。现有技术缺点是:每台硬件安防设备需要使用单独的硬件加密卡,硬件加密卡价格高,使用成本增加。硬件使用单独的加密卡,造成资源浪费,硬件加密卡的使用效率不高。
发明内容
本发明的目的在于克服现有技术中的不足,提供了一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,解决虚拟化安防设备使用同一个硬件加密卡,而硬件安防设备都需要使用单独的硬件加密卡,造成资源浪费的技术问题。
为达到上述目的,本发明采用的技术方案如下:
本发明提供一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,包括:
基于OpenStack搭建云平台;所述云平台采用多台配置相同的硬件服务器和交换机搭建网络;一台硬件服务器配置为OpenStack控制节点,用于控制、管理和调度云平台资源;其余硬件服务器配置为OpenStack计算节点,用于调度并处理计算资源;
所述OpenStack计算节点用于创建安防装置虚拟机,以及虚拟化加密令牌;
所述OpenStack控制节点部署硬件加密卡服务程序,供虚拟安防装置调用。
进一步的,所述硬件服务器配置处理器、内存、磁盘和网卡,所述网卡数量大于等于3块,所述硬件服务器上安装CentOS 7操作***。
进一步的,所述OpenStack计算节点部署计算服务和网络代理;所述网络代理包括DHCP代理、虚拟交换机代理和虚拟路由器代理;
所述OpenStack控制节点部署网络服务、认证服务、图形化服务以及镜像服务;所述镜像服务用于管理虚拟实验***所需的镜像文件。
进一步的,所述OpenStack控制节点配置一块网卡为管理网卡,用于控制OpenStack控制节点和OpenStack计算节点间的通讯;所述OpenStack控制节点配置第二块网卡用于与OpenStack计算节点的第二块网卡建立通信隧道;
所述OpenStack计算节点配置一块网卡为管理网卡,用于控制OpenStack控制节点和OpenStack计算节点间的通讯;所述OpenStack计算节点配置第二块网卡用于不同OpenStack计算节点上的虚拟设备之间的通讯。
进一步的,所述OpenStack计算节点具体用于,
从OpenStack控制节点拷贝安防装置的镜像文件创建安防装置虚拟机,并为安防装置虚拟机配置两块虚拟业务网卡,一块虚拟管理网卡和一块虚拟加解密通信网卡;
在创建好的安防装置虚拟机中创建设备工作目录;
将安防装置的设备程序保存至创建好的设备工作目录下,并设置为开机自启动;
将安防装置虚拟机的虚拟管理网卡桥接到OpenStack计算节点的管理网卡;将安防装置虚拟机的一块虚拟业务网卡与其余安防装置虚拟机的虚拟业务网卡桥接;将安防装置虚拟机的另一块业务网卡桥接到非安防装置虚拟机。
进一步的,所述OpenStack计算节点具体用于,
通过发送二层报文,将加密令牌信息包括用户名、密码和连接状态发送给安防装置虚拟机,虚拟化加密令牌。
进一步的,所述安防装置虚拟机用于,
通过虚拟加解密通信网卡向部署于OpenStack控制节点的硬件加密卡服务程序发起TCP连接,申请数据加密或数据解密;
接收硬件加密卡服务程序返回的加密或解密后的数据。
进一步的,数据加密或数据解密申请格式如下:
|宿主机ID|虚拟机ID|ip地址|密钥|功能码|数据长度|需要加密或解密的数据|;
数据加密或解密后回复格式如下:
|宿主机ID|虚拟机ID|数据长度|加密或解密后的数据|。
进一步的,所述OpenStack控制节点以Web服务的形式运行虚拟实验***管理器;
所述虚拟实验***管理器用于,提供电力安防场景下的虚拟化组件,提供图形化管理工具以及提供API;
所述图形化管理工具用于搭建和配置电力安防拓扑实验场景,虚实互通场景,调取实验案例和攻防演练;
所述API用于虚拟实验***嵌入第三方平台。
进一步的,所述虚拟实验***管理器后端采用Django实现Web服务,利用uWsgi+Nginx作为Web容器以及访问调度,采用MySQL数据库+ Redis作为数据存储/缓存服务;前端采用HTML5 + CSS3 + React。
与现有技术相比,本发明所达到的有益效果是:
本发明提供一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,只需内置一个加密卡提供密码服务,通过共享单加密卡密码服务的技术,所有的虚拟安防装置共同使用一个硬件加密卡就能完成数据加密解密,从而降低搭建安防装置业务拓扑的成本,提高硬件加密卡的使用效率。
附图说明
图1为本发明的虚拟实验室架构图。
图2为本发明的虚拟设备和加密卡程序加密解密过程。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
动态构建电力监控***安全防护模型的虚拟实验室目的是设计和配置以一种经济、成本有效的方式为电力***提供实验、教学以及攻防演练服务的云计算***。对照图1中的***架构,本发明的支持多虚拟化安防设备共享单加密卡的虚拟实验***,具体构建过程如下:
步骤1:利用硬件服务器搭建基于OpenStack(Queens版本)的私有云平台服务;在原生OpenStack网络服务(Neutron)基础上改造网络拓扑实现虚实互通网络场景(即:云内部虚拟设备与云外部物理设备的互联互通)。此平台将为虚拟实验室提供基础云环境支持。
OpenStack是一个开源的云计算管理平台,由多个组件组合起来完成具体工作,目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算平台,通过各种互补的服务提供了基础设置即服务(IaaS)的解决方案。
本虚拟实验室基于OpenStack(Queens版本)搭建云平台,主要利用到的具体服务有:计算服务(Nova)、网络服务(Neutron)、认证服务(Keystone)、图形化服务(Horizon)以及镜像服务(Glance)。
主要部署方式为:
所需硬件:多台配置相同的硬件服务器(服务器至少包括处理器、内存、磁盘、和网卡,且网卡数量大于等于3块,服务器上安装有CentOS 7操作***);多台交换机,用于配合硬件服务器组建网络;
多台硬件服务器中其中一台硬件服务器作为OpenStack控制节点(Controller),用于控制、管理、调度云平台的资源以及其他组件服务,此控制节点具体部署的服务有:网络服务、认证服务、图形化服务以及镜像服务。镜像服务用于管理虚拟实验室所需的镜像文件,主要是虚拟的镜像文件。镜像文件是一种特殊文件,它将特定的一些文件按照一定的格式制作成单一的文件,以方便用户下载和使用,同时可以被特定程序识别并加载;在虚拟实验室中,通过镜像服务管理的虚拟设备文件能够创建出设备虚拟机。控制节点的第一块网卡(eth0)作为管理网络,用于控制节点和计算节点间通讯,第二块网卡(eth1)作为OverLay网络,即交叉网络:为虚拟设备在云内部通信网络,虚拟设备通过Float IP访问控制节点管理网络。控制节点eth1口和计算节点eth1口之间会形成vxlan隧道,虚拟机流量会通过vxlan隧道进行通信。
多台硬件服务器中其余硬件服务器均作为OpenStack计算节点(Compute),用于调度并处理计算资源(CPU、内存、磁盘、网络等)。各计算节点具体部署的服务有:计算服务和网络代理,其中网络代理包括DHCP代理、虚拟交换机代理和虚拟路由器代理,各代理均被控制节点的网络服务所管理,最终实现各自具体功能,DHCP代理实现DHCP服务端以及客户端功能,虚拟交换机代理实现二层交换机功能,虚拟路由代理实现三层路由功能。计算节点的第一块网卡(eth0)作为管理网络,与控制节点管理网络相同,用于控制节点与各计算节点直接通讯;第二块网卡(eth1)作为隧道网络,用于设备跨计算节点间通讯,即在不同计算节点上的虚拟机之间通讯。
步骤2:基于OpenStack,研制安防装置加密认证网管虚拟化版本,为虚拟实验室提供电力专用设备的虚拟组件支持。
安防装置的虚拟化:
安防装置是一种已有的实体硬件设备(实体设备),是为电力调度数据网专门研制开发的广域网边界保护装置,是具有“认证”功能的密码设备。为在虚拟实验室中使用设备,需要将原有实体设备改造为虚拟设备(虚拟设备,即能够在虚拟机中正常运行的设备)。
改造过程如下:
首先,在任意计算节点创建虚拟机,镜像服务的api接口和镜像文件在控制节点上,当在计算节点创建虚拟机时,将镜像文件拷贝到计算节点再进行孵化。
操作***为CentOS 7,分配四块虚拟网卡(虚拟网卡eth0和虚拟网卡eth1为业务网卡,功能与原实体设备一致;虚拟网卡eth2为管理网卡,用于管理并配置设备;虚拟网卡eth3为虚拟加解密通信网卡,需要分配Float IP,即通过此虚拟网卡与控制节点的管理网卡eth0进行通信);
其次,在创建好的虚拟机中创建设备工作目录,用于存放并运行设备程序;
再次,将已有的设备程序(此程序与原实体设备程序基本一致,只进行了运行平台的移至适配,即从ARM平台移至到x86平台)上传至刚创建好的设备工作目录下,并设置为开机自启动,即虚拟机开机后此设备程序会以守护进程的形式自动运行;
最后,将此虚拟机的虚拟管理网卡eth2桥接到计算节点的管理网卡eth0,用于对此虚拟机进行管理和配置;将此虚拟机的虚拟业务网卡eth1与其他虚拟机(其他虚拟机的创建方式与此虚拟机创建方式相同,可以是同一计算节点上的虚拟机,也可以是不同计算节点上的虚拟机)的虚拟业务网卡eth1桥接,用于模拟连接;主站纵向和厂站纵向虚拟机的虚拟业务网卡eth0分别桥接到其他普通虚拟机(虚拟实验室中运行着正常的windows或linux***的普通虚拟机),用于模拟普通虚拟主机与安防设备虚拟机之间的连接。
加密令牌(UKEY)的虚拟化:
加密令牌是一种数字证书设备(实体加密令牌),每个用户唯一,用于用户登录虚拟设备的唯一认证,其中保存着用户的个人信息(用户名、密码、连接状态信息等)。为在虚拟实验室中使用加密令牌设备,需要将原有实体加密令牌改造成虚拟化版本(虚拟化加密令牌)。
改造过程为:
在使用虚拟化UKEY连接安防设备虚拟机时,通过发送二层报文,将令牌信息(用户名、密码、连接状态)发送给安防设备虚拟机,模拟UKEY基本功能。
以虚拟化装置UKEY组件为例,每一个UKEY组件对应一个文件,文件记录了虚拟机id、用户名、用户密码、连接状态等信息,与虚拟装置进行验证匹配即可。
步骤3:利用多种Web 技术搭建虚拟实验室的管理器以及对外释放调用接口。为用户提供便捷,灵活的操作体验;同时对外部第三方应用提供可调动的接口。
虚拟实验室管理器的一个重要作用是为用户提供电力安防场景下的虚拟化组件,包括但不限于虚拟设备、虚拟电力隔离、虚拟UKEY、虚拟主机(Windows 7、CentOS 7)、虚拟路由器、虚拟交换机、虚拟网络线等;虚拟实验室管理器的另一个重要作用是为用户提供一套实验室图形化管理工具,用户可以利用浏览器访问并通过灵活、便捷的操作,完成搭建和配置经典电力安防拓扑实验场景、虚实互通场景、调取实验案例,攻防演练等,为用户了解并熟练搭建、配置电力专有业务安防场景提供实验平台;管理器第三个作用是可以让实验室灵活的嵌入其他第三方平台,提供完整的API(Application Programming Interface,即应用程序编程接口)。
虚拟实验室管理器(在控制节点上以Web服务的形式运行),后端采用Django(Python Web框架)实现Web服务,利用uWsgi+ Nginx作为Web容器以及访问调度,采用MySQL(数据库)+ Redis(NoSQL)作为数据存储/缓存服务;前端采用当前流行的HTML5 + CSS3 +React实现前端。
步骤4:将硬件加密卡服务程序部署OpenStack控制节点中,虚拟化安防装置调用控制节点的硬件加密卡服务程序进行数据加密解密。
由于OpenStack计算节点上的虚拟设备数量随机,(虚拟实验室可以创建多台虚拟安防装置),硬件加密卡不能被某一台虚拟安防装置独自占用,需要能为所有虚拟提供无差别的加密服务。因此把硬件加密卡,和加密卡服务程序部署在OpenStack控制节点中,在OpenStack控制结点上实现加密解密服务程序,作为服务端随OpenStack控制节点开机启动,监听TCP端口60000,并发采用多线程网络服务模型实现加解密并发服务,该程序调用加密卡接口为所有虚拟安防装置提供数据加密服务。
参见图2,当虚拟安防装置需要加密卡加密数据时,虚拟安防装置作为TCP客户端向硬件加密卡服务程序发起TCP连接申请数据加密或数据解密。加解密申请报文中需要携带宿主机ID和虚拟装置ID。加密解密服务程序将数据加密(解密)后回复给虚拟安防装置,回复的报文中也携带有OpenStack计算节点主机ID和虚拟装置ID。通过识别OpenStack计算节点主机ID和虚拟装置ID可以确认是给哪台虚拟安防装置回复的报文。多台虚拟安防装置可以同时连接该TCP服务申请数据加密和解密,从而实现多虚拟化设备共享单加密卡密码服务的技术。
加密或解密申请TCP数据格式如下:
|宿主机ID|虚拟机ID|ip地址|密钥|功能码|数据长度|需要加密(解密)的数据|。
数据加密或解密后回复TCP数据格式:
|宿主机ID|虚拟机ID|数据长度|加密(解密)后的数据|。
本领域内的技术人员应明白,本申请的实施例可提供为方法、***、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
Claims (10)
1.一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,包括:
基于OpenStack搭建云平台;所述云平台采用多台配置相同的硬件服务器和交换机搭建网络;一台硬件服务器配置为OpenStack控制节点,用于控制、管理和调度云平台资源;其余硬件服务器配置为OpenStack计算节点,用于调度并处理计算资源;
所述OpenStack计算节点用于创建安防装置虚拟机,以及虚拟化加密令牌;
所述OpenStack控制节点部署硬件加密卡服务程序,供虚拟安防装置调用。
2.根据权利要求1所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述硬件服务器配置处理器、内存、磁盘和网卡,所述网卡数量大于等于3块,所述硬件服务器上安装CentOS 7操作***。
3.根据权利要求1所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述OpenStack计算节点部署计算服务和网络代理;所述网络代理包括DHCP代理、虚拟交换机代理和虚拟路由器代理;
所述OpenStack控制节点部署网络服务、认证服务、图形化服务以及镜像服务;所述镜像服务用于管理虚拟实验***所需的镜像文件。
4.根据权利要求1所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,
所述OpenStack控制节点配置一块网卡为管理网卡,用于控制OpenStack控制节点和OpenStack计算节点间的通讯;所述OpenStack控制节点配置第二块网卡用于与OpenStack计算节点的第二块网卡建立通信隧道;
所述OpenStack计算节点配置一块网卡为管理网卡,用于控制OpenStack控制节点和OpenStack计算节点间的通讯;所述OpenStack计算节点配置第二块网卡用于不同OpenStack计算节点上的虚拟设备之间的通讯。
5.根据权利要求4所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述OpenStack计算节点具体用于,
从OpenStack控制节点拷贝安防装置的镜像文件创建安防装置虚拟机,并为安防装置虚拟机配置两块虚拟业务网卡,一块虚拟管理网卡和一块虚拟加解密通信网卡;
在创建好的安防装置虚拟机中创建设备工作目录;
将安防装置的设备程序保存至创建好的设备工作目录下,并设置为开机自启动;
将安防装置虚拟机的虚拟管理网卡桥接到OpenStack计算节点的管理网卡;将安防装置虚拟机的一块虚拟业务网卡与其余安防装置虚拟机的虚拟业务网卡桥接;将安防装置虚拟机的另一块业务网卡桥接到非安防装置虚拟机。
6.根据权利要求5所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述OpenStack计算节点具体用于,
通过发送二层报文,将加密令牌信息包括用户名、密码和连接状态发送给安防装置虚拟机,虚拟化加密令牌。
7.根据权利要求5所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述安防装置虚拟机用于,
通过虚拟加解密通信网卡向部署于OpenStack控制节点的硬件加密卡服务程序发起TCP连接,申请数据加密或数据解密;
接收硬件加密卡服务程序返回的加密或解密后的数据。
8.根据权利要求7所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,
数据加密或数据解密申请格式如下:
|宿主机ID|虚拟机ID|ip地址|密钥|功能码|数据长度|需要加密或解密的数据|;
数据加密或解密后回复格式如下:
|宿主机ID|虚拟机ID|数据长度|加密或解密后的数据|。
9.根据权利要求1所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述OpenStack控制节点以Web服务的形式运行虚拟实验***管理器;
所述虚拟实验***管理器用于,提供电力安防场景下的虚拟化组件,提供图形化管理工具以及提供API;
所述图形化管理工具用于搭建和配置电力安防拓扑实验场景,虚实互通场景,调取实验案例和攻防演练;
所述API用于虚拟实验***嵌入第三方平台。
10.根据权利要求9所述的一种支持多虚拟化安防设备共享单加密卡的虚拟实验***,其特征在于,所述虚拟实验***管理器后端采用Django实现Web服务,利用uWsgi+ Nginx作为Web容器以及访问调度,采用MySQL数据库+ Redis作为数据存储/缓存服务;前端采用HTML5 + CSS3 + React。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110453134.9A CN113285983A (zh) | 2021-04-26 | 2021-04-26 | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110453134.9A CN113285983A (zh) | 2021-04-26 | 2021-04-26 | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113285983A true CN113285983A (zh) | 2021-08-20 |
Family
ID=77275806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110453134.9A Pending CN113285983A (zh) | 2021-04-26 | 2021-04-26 | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285983A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629789A (zh) * | 2022-03-10 | 2022-06-14 | 常州工程职业技术学院 | 一种基于OpenStack架构的私有云IaaS实践平台构建方法 |
| CN114844744A (zh) * | 2022-03-04 | 2022-08-02 | 阿里巴巴(中国)有限公司 | 虚拟私有云网络配置方法和装置、电子设备及计算机可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102270153A (zh) * | 2011-08-12 | 2011-12-07 | 曙光信息产业(北京)有限公司 | 一种虚拟环境下加密卡共享的方法和装置 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| US20170063532A1 (en) * | 2015-06-29 | 2017-03-02 | Intel Corporation | Efficient sharing of hardware encryption pipeline for multiple security solutions |
| CN111049686A (zh) * | 2019-12-20 | 2020-04-21 | 北京科东电力控制***有限责任公司 | 一种电力监控***安全防护虚拟实验室及其构建方法 |
| CN111291332A (zh) * | 2020-02-24 | 2020-06-16 | 山东超越数控电子股份有限公司 | 一种在虚拟化环境下共享使用加密卡的方法及*** |
-
2021
- 2021-04-26 CN CN202110453134.9A patent/CN113285983A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102270153A (zh) * | 2011-08-12 | 2011-12-07 | 曙光信息产业(北京)有限公司 | 一种虚拟环境下加密卡共享的方法和装置 |
| CN104951712A (zh) * | 2014-03-24 | 2015-09-30 | 国家计算机网络与信息安全管理中心 | 一种Xen虚拟化环境下的数据安全防护方法 |
| US20170063532A1 (en) * | 2015-06-29 | 2017-03-02 | Intel Corporation | Efficient sharing of hardware encryption pipeline for multiple security solutions |
| CN111049686A (zh) * | 2019-12-20 | 2020-04-21 | 北京科东电力控制***有限责任公司 | 一种电力监控***安全防护虚拟实验室及其构建方法 |
| CN111291332A (zh) * | 2020-02-24 | 2020-06-16 | 山东超越数控电子股份有限公司 | 一种在虚拟化环境下共享使用加密卡的方法及*** |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114844744A (zh) * | 2022-03-04 | 2022-08-02 | 阿里巴巴(中国)有限公司 | 虚拟私有云网络配置方法和装置、电子设备及计算机可读存储介质 |
| CN114844744B (zh) * | 2022-03-04 | 2023-07-21 | 阿里巴巴(中国)有限公司 | 虚拟私有云网络配置方法和装置、电子设备及计算机可读存储介质 |
| CN114629789A (zh) * | 2022-03-10 | 2022-06-14 | 常州工程职业技术学院 | 一种基于OpenStack架构的私有云IaaS实践平台构建方法 |
| CN114629789B (zh) * | 2022-03-10 | 2024-05-14 | 常州工程职业技术学院 | 一种基于OpenStack架构的私有云IaaS实践平台构建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111049686B (zh) | 一种电力监控***安全防护虚拟实验室及其构建方法 | |
| AU2020234675B2 (en) | Binding secure keys of secure guests to a hardware security module | |
| US7761573B2 (en) | Seamless live migration of virtual machines across optical networks | |
| US20130173900A1 (en) | Key transmission method and device of a virtual machine under full disk encryption during pre-boot | |
| CN104199722A (zh) | 一种虚拟计算机存储服务***及其使用方法 | |
| RU2683630C2 (ru) | Способ обновления дескриптора сетевой службы nsd и устройство | |
| US11659058B2 (en) | Provider network connectivity management for provider network substrate extensions | |
| CN102884761A (zh) | 用于云计算的虚拟交换覆盖 | |
| CN103677858A (zh) | 一种云环境中虚拟机软件管理的方法、***及设备 | |
| US11563799B2 (en) | Peripheral device enabling virtualized computing service extensions | |
| US20180048588A1 (en) | Automated instantiation of wireless virtual private networks | |
| CN104901923A (zh) | 一种虚拟机访问装置和方法 | |
| US20200159555A1 (en) | Provider network service extensions | |
| CN113285983A (zh) | 一种支持多虚拟化安防设备共享单加密卡的虚拟实验*** | |
| CN104486234A (zh) | 一种将业务交换机卸载到物理网卡的方法及服务器 | |
| CN104735176A (zh) | Pxe启动的方法、装置和服务器单板 | |
| CN113626133B (zh) | 一种虚拟机控制方法、装置、设备及计算机可读存储介质 | |
| US20210281443A1 (en) | Systems and methods for preserving system contextual information in an encapsulated packet | |
| CN112099913A (zh) | 一种基于OpenStack实现虚拟机安全隔离的方法 | |
| CN108462752B (zh) | 一种访问共享网络的方法、***及vpc管理设备以及可读存储介质 | |
| CN111190700B (zh) | 针对虚拟化设备的跨域安全访问与资源控制方法 | |
| US11374789B2 (en) | Provider network connectivity to provider network substrate extensions | |
| WO2020264323A1 (en) | Provider network connectivity management for provider network substrate extensions | |
| CN108540301B (zh) | 一种预置账户的密码初始化方法及相关设备 | |
| CN115766618A (zh) | 一种多服务器的资源配置*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20211217 Address after: No. 19, Chengxin Avenue, Jiangning District, Nanjing, Jiangsu 210006 Applicant after: STATE GRID ELECTRIC POWER RESEARCH INSTITUTE Co.,Ltd. Applicant after: BEIJING KEDONG POWER CONTROL SYSTEM Co.,Ltd. Applicant after: STATE GRID FUJIAN ELECTRIC POWER Co.,Ltd. Applicant after: STATE GRID CORPORATION TECHNICAL College BRANCH Address before: 5 / F, main building, No.15, Xiaoying East Road, Qinghe, Haidian District, Beijing 100192 Applicant before: BEIJING KEDONG POWER CONTROL SYSTEM Co.,Ltd. |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210820 |