面向虚拟化环境的网络访问控制系统

问控制系统框架VE-NAC,设计了适用于虚拟化环境的网络访问控制流程。该框架 与802.lx协议兼容，不需要对认证客户端进行修改。文章在openstack虚拟化环境下 对VE-NAC予以实现，并对VE-NAC原型系统进行了功能测试和延迟测试，验证了 VE-NAC在虚拟化环境中实施网络访问控制的有效性和可行性。关键词:虚拟化环境；SDN ; OpenFlow ;网络访问控制

中图分类号：TP309文献标识码：A文章编号：1671-1122 (2019) 10-0001-09中文引用格式：时向泉，陶静，赵宝康.面向虚拟化环境的网络访问控制系统[J].信息网络安全，2019,

19 (10): 1-9.英文引用格式:SHI Xiangquan, TAO Jing, ZHAO Baokang. A Network Access Control System in Virtualized

Environments [J]. Netinfb Security, 2019,19(10): 1-9.A Network Access Control System in Virtualized EnvironmentsSHI Xiangquan, TAO Jing, ZHAO Baokang(College ofComputer、National University of Defense Technology, Changsha Hunan 410073, China)Abstract: Network access control technology is one of the main technologies to ensure the security of network communication systems. It is widely used in traditional data centers, campus networks and enterprise networks. However, in virtualized environment, traditional port-based network access control (PNAC) is difficult to effectively control virtual machine network access. This paper comprehensively analyzes the reasons of the failure of traditional network access control technology in virtualized environment, develops a network access control framework VE-NAC for virtualized environment, and designs the network access control process suitable for virtualized environment. VE-NAC is compatible with 802.lx protocol and does not need to modify the authentication client. This paper implements VE- NAC in openstack virtualization environment, and tests the functions and delay of VE- NAC prototype system, which verifies the validity and feasibility of VE-NAC implementing network access control in virtualization environment.Key words: virtualized environment; SDN; OpenFlow; network access control收稿日期：2019-5-10基金项目：国家自然科学基金[61601483];国家重点研发计划[2017YFB0802300]作者简介：时向泉（1972—）,男,天津，副研究员，博士，主要研究方向为云计算数据中心网络、软件定义网络、网络空间安全；陶静（1971—）, 女，吉林，副研究员，硕士，主要研究方向为软件定义网络、网络空间安全；赵宝康（1981—）,男，湖北，副教授，博士，主要研究方向

为软件定义网络、天地一体化网络、网络空间妥全。通信作者：陶静 ellen5702@aliyun.comnCtinfo SECURITY等级保护2019年第10城、0引言网络访问控制（Network Access Control）可以实

现对联网设备在接入网络之前的身份合法性认证，在 数据中心网络、园区网、企业网和移动互联网等场景

中广泛应用，是网络安全领域的重要研究方向。虚拟化环境随着云计算的推广而日趋普及。在虚

拟化环境中，虚拟机作为主要的应用载体和网络通信

实体，其安全性和可控性日益成为虚拟化环境安全的 关键度量指标闪。同时由于虚拟化环境按需服务的特

性，导致虚拟机必须具备动态性、临时性和软件定义 特性，使传统的网络访问控制机制在虚拟化环境下衍 生出很多问题。1 ）传统的网络访问控制机制在虚拟化环境下的

失效传统的基于802.1X协议的网络访问控制机制，其

实现模式是基于物理交换设备的网络接入控制模式,

通过检査通信实体的MAC地址是否合法来做出是否允

许通信实体访问网络的判断。在虚拟化环境下，一个

物理交换设备端口可能连接几十到上百个虚拟机，虚 拟机接入网络的方式有网络地址转换、桥接等。在桥

接模式下，不同虚拟机接入物理网络会有不同的MAC

地址；网络地址转换模式下，不同虚拟机采用同一个 MAC地址接入网络，因此很难基于MAC地址对虚拟

机进行准确的区分和控制。此外，物理交换设备不再 是虚拟机接入网络的第一跳，导致同_主机上的虚拟

机之间的通信报文不再经过外部物理交换设备端口， 因此逆设备端口无法对虚拟WSfiW可控制。2）现有虚拟化环境下强制网络访问控制机制的 缺失在现有的虚拟化环境中，普遍缺乏对强制网络

访问控制机制的支持。以openstack环境为例，没有

提供统一的租户虚拟机网络访问控制机制，其防火墙

服务主要部署在网络节点（具体是在网络主机的虚拟

路由器命名空间中）实现，主要作用是对外部输入的 流量进行访问控制，但是对于同一个子网内部不同虚

2拟网卡间的报文不能过滤。其安全组服务由二层代 理模块实现，如 neutron_openvswitch_agent 和 neutron_

linuxbridge agent,在节点上通过配置iptables规贝!| 限制虚拟机的网络通信，但是安全组不对租户进行网

络访问的合法性认证和授权。3） 虚拟化环境给网络访问控制机制带来的新需求（1） 虚拟机迁移场景下的网络访问控制机制虚拟化环境的主要特点之一就是能够保证虚拟机 业务不间断。当主机出现故障或者资源出现不足时,

需要对虚拟机进行主动/被动迁移，并在迁移前后保

应务不中断。因此，网络访问控制机制必须保证虚 拟机在迁移过程中,其网络访问控制策略也同时迁移,

使获得合法访问授权的虚拟机在迁移之后能够透明地

获得对网络进行正常访问的能力，保证访问网络的不

间断。（2） 虚拟机重启场景下的网络访问控制机制虚拟机的高度动态性使得可以在很短时间内完成

一个生命周期循环。如何避免每次虚拟机重启后在策

略规定的合法时间段内的反复认证，进而提高系统的

整体服务能力，也是必须考虑的问题。（3） 虚拟机网络的软件定义导致的灵活性虚拟机本身的软件定义特性使得租户在创建虚拟

机时，可以手工指定虚拟网卡的MAC地址，这导致 不同租户的虚拟机可能具有相同的MAC地址，同时

在多租户环境下，属于不同虚拟子网的虚拟机也可能

具有相同的MAC地址，此时以MAC地址作为授权检

査标识，将导致没有授权的虚拟机绕过网络访问控制

机制，达到非法访问网络的目的，形成系统安全漏洞。4） 对虚拟化环境下的主动防御提出新要求虚拟化环境下，物理主机的网络资源和计算资源

在所有虚拟机之间共享，如果一个虚拟机被恶意代码 控制成为僵尸主机或者租户本身存在恶性占用网络带

宽和非法访问网络的意图，将危害整个虚拟化环境的

安全稳定和其他租户的正常应用丽。此外，由于虚

拟机流量的不可见性和虚拟机的高度动态性，在完成

N0TINFO SECURITY_________________________________________________________________________________________________________ 2019年第10期等级保护操作之后可以快速销毁，因此必须在源头上对虚拟机 进行网络访问控制，实现对虚拟机恶意、非法网络访

问行为的主动防御。综上所述，本文提出一种面向虚拟化环境的虚拟

机网络访问控制系统(Network Access Admission Control

System for Virtualized Bwironments, VE-NAC )o VE-NAC 采用 SDN (Software Defined Network, SDN)思想对

虚拟化环境下的虚拟机网络访问进行控制，同时实现

了在线迁移场景、动态重启场景下虚拟机的快速网络 访问控制授权机制，有效解决了虚拟化环境下虚拟机

的动态性、软件定义性和可迁移性导致的网络访问控

制问题。1相关工作采用SDN思想，对入网实体进行用户身驱证的

研究目前主要集中在两点:1)解决以SDN为基础的

网络本身的安全问题，通过把用户网络访问技术应用

到SDN环境中以提高SDN网络本身的安全性；2)在

传统应用场景下，采用SDN思想对传统网络访问控制

机制进行重新实现，并附加服务质量保证、应用与服 务控制等增 O务。在云计算和网络功能虚拟化环境下，SDN控制器

已经成为系统的关键组件。目前针对SDN控制器的 拒绝服务攻击，针对SDN数据通路实体的恶意扫描、 非授权访问阴,针对SDN组件的脆弱性攻击也日益 频繁丽。文献［8］提出一种面向SDN网络的认证和访

问控制机制AuthFlow,该机制通过对认证服务器和

SDN控制器之间的流量信息进行基于SSL的加密，保

证认证过程和认证结果不被中间人窥视和篡改，但这 也导致了终敝证响应延迟较大。文献［9］实现了一个细粒度的基于服务的网络访 问控制系统FlowNAC,对终端系统上的应用服务进

行认证和授权，在同_台主机上实现了多个基于预定

义规则的面向应用的认证过程。为此文献［9］设计了 EAPoL-in-EAPoL协议，用于区分同一用户的不同服

务，对传统的802.1X协议进行扩展，在外部EAPoL协

议头中封装了服务标识。由此也导致需要对认证过程

裁者、认嘩端、认证设备和认艮务器进行修改。

Flowldentityt101与FlowNAC的设计目标类似，不同之处 是Flowldentity没有重新定义认证协议，而是通过一个

基于用户身份的有状态防火墙系统来实现策略授权过 程。有状态策略防火墙提供基于上下文的控制，可以

针对特定的应用设置安全策略和报文优先级，同时防

火墙的策略规则可以通过网络访问控制器进行动态更

新，实现动态策略控制过程。上述工作大部分可以通

过基于SDN的防火墙应用来实现，也可以由云平台， 如openstack中的安全策略组来实现。文献［11］针对传

统802.1X协议实现的复杂性和部署的特定设备需求, 面向小规模网络和边缘IoT传感网实现了基于SDN的

网络访问控制机制。该机制彻底摒弃了 802.1X协议,OpenFlow 交换;问控制，Python 脚本 实现了客户端认证和服务端授权，并可以针对不同的

用户设置访问策略和带宽限制。该机制设计仅适用于 小型网络场景，没有给出具体的802.1X替代协议规范

描述。文献［12］基于ONOS实现了一个面向无线网络

的NAC系统，该系统可以基于MAC地址进行设备认证, 实现对WLAN AP的动态管理。文献［13］与文献［10］类

似，只不过没有通过有状态防火墙进行规则实施，而

过控制器进行规贝！I下载，通过OpenFlow交换;fcTJS

行规则实施。文献［13］给出了原型实现，但是没有给

出系统的性能测试。上述基于SDN思想的网络访问控制研究都是基 于现有的传统数据中心和物理终端，对传统的802.1X

的实现进行SDN技术改造，其应用场景与传统的网

络访问控制技术相同，没有针对虚拟化环境下虚拟通

信实体的特性和虚拟化环境的需求进行研究，不能实 现虚拟化环境下虚拟终端的网络访问和控制。2VE-NAC2.1 VE-NAC 结构VE-NAC结构如图1所示。3nCtinfo SECURITY等级保护2019 年第 10 _________________________________________________________________________________________________________

网s-BisiaMmAisjs图1 VE-NAC结构VE>NAC主要包括7个部分：虚拟化环境计算主 机上的虚拟机认证客户端、虚拟机认证监视器代理和

虚拟交换机，网络访问控制准入节点上的虚拟机认证

监视器，SDN控制器上的认证代醒用和认证执行应

用，以及认证服务器。虚拟机认证客户端用来进行认证发起，驻留在虚

拟机内部作为虚拟机网络认证受控实体。虚拟交换机 作为虚拟机网络控制的第一跳入口，负责对虚拟机流

量进行具体策略实施。SDN控制器上的认证代理应 用主要负责转发虚拟机认证客户端的认证报文和认证

服务器之间的流量，负责不同协议之间的封装/解封

装。SDN控制器上的认证执行应用接收认证代理应用 转发的认证服务器的认证结果通知，并根据结果下发

相应的流表给虚拟交换机。虚拟机认证监视器代理和

虚拟机认证监视器负责虚拟机全局认证信息的统一管 理，通过虚拟机管理器检测到虚拟机启动、在线迁移 等事件发生时，获取虚拟机的身份指纹（通过虚拟机

UUID生成），并与全局认证数据库中的认证记录和认

证有效期进行匹配。如果命中，则说明该虚拟机的认

证信息在有效期内，不用进行重复认证，并把相应的

虚拟交埶翩、虚拟端口翩蝕紀证执行应用, 认证执行应用对相应的虚拟交换机进行流表设置，进

4而实现访问策略的快速部署，避免网络业务中断和重

复认证。针对虚拟化环境的特殊性，V&NAC着重解决了

以下问题:1） 基于SDN网络的虚拟机网络访问控制VE-NAC基于SDN网络的思想对虚拟交换机进

行控制，使第一跳虚拟交换机代替物理交换机成为

802.1X协议的认证设备，对虚拟机发起的认证EAP报 文进行转发。通过OpenFlow协议封装packet-in消息, 把封装后的认证报文转发给SDN控制器。在SDN控

制器上设计实现认证代理应用，认证代理应用接收虚 拟交换机发送的认证报文，通过相应的封装发送缺

证服务器，并通过认证执行应用把认证结果转发给虚

拟交换机，同时下发相应流表对虚拟机的网络流量进

行控制。2） 虚拟机迁移场景下的网络访问控制在虚拟化环境下，虚拟机的迁移不可避免。无论

是在线迁移还是离线迁移，都需要保证虚拟机迁移前

后的网络访问控制能力的连续性和透明性。虚拟机迁

移之后在同一个大二层网络中，其租户虚拟网络IP地

址和MACMtk保持不变，VE-NAC实现了虚拟痕移

之后的透明认证和授权机制，保证了服务不中断，保

证了虚拟机对网络访问不用进行重复认证。3） 虚拟机动态重启场景下的网络访问控制在虚拟化环境下，虚拟机的频繁启动与关闭已

是常态，但是同一个虚拟机在一定的时间段内，不应

重复认证以妨碍业务的连贯性。VE-NAC提出一种基

于时效的虚拟机快速认证机制，提取并保存虚拟机关 键特征指纹，在策略配置的认证有效期内对已经认证

通过的虚拟机，在指纹核对无误的情况下予以免认证

操作。4） 虚拟机身份标识的唯一性在虚拟化环境下，物理设备中使用的［用户名（租

户），虚拟机地址］二元组并不能保证虚拟机的身份,

需要对虚拟机的身份标识进行强制认证以避免发生

N0TINFO SECURITY_________________________________________________________________________________________________________ 2019年第10期等级保护虚拟机MAC地址欺骗问题。V&NAC采用虚拟机的

UUID （ Universally Unique Identifier）作为虚拟机身份的

唯一标识，从而避免了虚拟机地址冒用导致的非授权

问题，同时虚拟机租户对该身份标识不可见，不能对

该人堀改。2.2 VE-NAC组件通信协议与接口V&NAC为主要组件之间定义了通信协议和接口,

保证了系统的可扩展性和兼容性。图2给出了VE-NAC 主要组件之间的通信协议和接口。图2 VE-NAC组件通信协议与接口1 ）认证客户端与虚拟交换机认证客户端与虚拟交换机之间采用802.1X协议作

为通信协议。EAP （Extensible Authentication Protocol,可 扩展认证协议）是802.1X协议中的一种支持多种认证方

法的认证框架协议，主要用于网络接入认证。该协议

运行在数据链路层上。VENAC采用EAP在以太网上

的封装格式EAPoL来实现虚拟机认证。2 ）虚拟交换机与SDN控制器虚拟交换机收到认证客户端发送的EAPoL报文, 判定为认根据OpenFlow协议将其封装

为packet-in报文发送给SDN控制器，交由认证代理应 用开启认证过程。认证过程结束后，认证结果由认证 执行应用通过OpenFlow协议封装为packer-out报文发

送给虚拟交换机，认证执行应用同时设置相应流表下 发给虚拟交换机。3） 认证代理应用与认证服务器认证代理应用与认证服务器之间根据认证服务器

的类型选择不同的认证协议。如果采用RADIUS服务

器，则二者之间采用RADIUS协议进行认证;如果采 用 LDAP （Lightweight Directoiy Access Protocol,轻量目

茹问协议）服务器，则二者之间采用LDAP协阳行

认证。4） 虚拟机认证监视器与SDN控制器虚拟机认证监视器与SDN控制器之间通过系统

定义的私有RestAPI进行调用。在认证执行应用下发

完毕虚拟交换机流表后，需要把该次认证信息（包含

生效时间段）通告给虚拟机认证监视器。虚拟机认证 监视器收到该信息后，存入全局认证数据库，在虚拟

机重启或迁移时用来进行透明认证。5） 虚拟机认证监视器代理与虚拟机认证监视器 虚拟机认证监视器代理与虚拟机认证监视器之间采用RestAPI进行调用。当虚拟机认证监视器代理监

控到虚拟机创建和重启、迁移事件发生时，查询虚拟 机认证监视器的全局认证数据库，获得该虚拟机的认

证信息，以避免虚拟机重启或迁移造成的业务中断。6） 虚拟机认视樹弋理与虚拟化平台管程 虚拟机认证监视器代理调用libvirt的API获取当前虚拟机的UUID指纹、MAC地址和其与虚拟交换机 连接的端口号，并监测虚拟机重启、迁移、创建事件 的发生。如果上述事件发生，则向虚拟机认证监视器

请求该虚拟机的认证状态进行快速控制。2.3 VE-NAC网络访问控制过程与状态转换VE-NAC针对虚拟机首次启动、重启和迁移3种场

景下的控制过程进行了定义，分为全流程常规控制和

快速控制两种，如图3所示。图3中实线表示VE-NAC

认证流程，该流程对虚线表示的802.1X认证流程进行

了扩展。1）全流程常规控制虚拟机首次启动的全流程常规控制过程如下:N0TINFO SECURITY ----------------------y

等级保护2019年第10^ _________________________________________________________________________________________________________

常规准入控制

昨前快速准入控制

---------------------► 802.1X认► VE4MC 认证JR8图3 VE-NAC虚拟机网络访问控制过程（1）虚拟机首次启动后，其虚拟端口会在启动

后激活，激活后其对应的虚拟交换机端口也会发生状

态改变。虚拟交换机端口状态激活会被虚拟机认证监

视器代理检测到，虚拟机认证监视器代理通过虚拟 机管理器接口调用获取该虚拟端口对应的虚拟机的

UUIDo UUID为虚拟机定义了一个全球唯一的标识符, 其格式必须遵循RFC 4122指定的格式，当创建虚拟

机没有指定UUID时会随机生成一个UUID。UUID在 虚拟机生命周期内保持不变，并且租户不可见，不可

修改。UUID会被放入虚拟机认证监视器的全局认证 数据库。（2 ）认证客户端主动向虚拟交换机发送EAPOJ

Start报文来触发认证，该报文目的地址为IEEE 802.1x

协议分配的一个组播MAC地址01-80-C2-00-00-03,

随后开启正常的802.1X认证流程。（3）SDN控制器的认证代理应用收到认证客户

6端发送的认证请求报文，将该报文经过封装后发送给

认证服务器。（4） 认证服务器将认证结果发送给SDN控制器

的认证代壘用，认证代驰用把认证成功结果发送

给认证执行应用，认证执行应用构造相应的流表发送 给虚拟交换机实施控制。（5） SDN控制器的认证执行应用将认证结果更

新信息发送给虚拟机认证监视器，更新全局认证数 据库。2）快速控制虚拟机快速控制过程主要覆盖虚拟机重启和虚拟

机迁移场景下的认证过程。虚拟机重启快速控制过程

与虚拟机首次启动全流程常规控制的步骤（1）相同。 虚拟血移的快速控制过程是:对虚拟机指纹进行比

对，如果虚拟机全局认证数据库中存在认证成功记录, 则通知SDN控制器的认证执行应用，认证执行应用下 发相应的流表到对应的虚拟交换机。虚拟机迁移后的

虚拟交换机发生改变，改变后的虚拟交换机标识由虚

拟机认证监视巒理获取并通告虚拟机认证监视器。VENAC网络访问控制过程中主要有6种状态:未

«A、等駆证状态、认证完成状态、授权®A状态、

准入総状态和准入确认状态。这6种状态的触发事件

包括虚拟机创建、虚拟机重启和虚拟机迁移，如图4所示。虚拟机创建图4 VE-NAC网络访问控制状态转换2.4 VE-NAC 分析综上所述，VE-NAC具有如下特点：1）物理设备无关性传统物理环境下，认证设备一般由具有认证扩展

N0TINFO SECURITY_________________________________________________________________________________________________________ 2019年第10期等级保护功能的物理交换机实现，这就提高了数据中心的建设

成本，并且容易造成单点失效。VE-NAC的网络访问控

制认证设备为虚拟交换机，驻留在主机内部，在系统

鰐时，不需要额外的財。2）网络架构无关性VE-NAC与虚拟网络架构和底层物理网络架构无

关，支持VLAN、VxLAN等多种网络架构。VE-NAC

的访问控制点在虚拟流量进入虚拟网络和底层物理网

络之前,此时的报文不携 WLAN ID或VxLAN封装头, 不需要对报文进行封装/解封装操作，因此虚拟网络

和底层物理网络采用何种机制对VE>NAC没有影响。3 ）可扩展性V&NAC采用软件定义架构，可以支持多种虚拟化

环境。在VENAC中，与具体的虚拟化环境相关的设计

主要通过虚拟机管理器获取虚拟机的指纹实现。对于

KVM虚拟化环境，可以采用libvirt接口获取指纹；对于 hyper-V、Vmware、Xen、QEMU 等虚拟化环境，也

对应的服务接口获取指纹。因此，VENAC具有高度的 可扩展性，可以支持多种虚拟化环嵬4）兼容性VE>NAC对802.1X认证协议、认证客户端、认证

服务器采用了兼容I^W。这些功能部署琢寸,

可以充分利用大量经过生产环境验证的成熟软件来实

施，降低了系统部署的难度，提高了系统的可靠性。5 ）高性能针对虚拟化环境的特点和应用场景，设计了全

流程常规控制过程和快速控制过程，不仅解决了核 场景下的功能需求（如虚拟机迁移场景下的业务持续

性），且大大缩短了虚拟机重启和迁移场景下的认证

时间。3系统实现与测试3.1 VE-NAC原型实现VE-NAC原型实现如图5所示。系统的虚拟化环境

基于openstack搭建，使用openvswitch虚拟交换机作为

PEP （Policy Enftttcement Point,策略执行）设备，使用

OpenRADIUS作为认证服务器，使用Qemu-KVM作为

虚拟机管理器。使用Floodlight作为SDN控制器，通过

基于Floodlight实现的认证代理应用接收虚拟机认证客

户端发送的802.1x/EAPoL身份验证请求，并将其转发

给外部OpenRADIUS服务器进行认证。验证环境一共

包括3个openstacld十算节点、1个openstac锻制/网络节点、

1个VENAC认证/授权节点和］个VBNAC网络访问控

制节点。VE-NAC认证/授权节点

KSOpenRADIUS

EH认证裁认证openstack 控制/

网络节点认证代理—认证执行蠶应用Floodlight控制虚拟网络策略下openflovVE-NAC网络访间控制准入节点VH庖启彌/状杏监控报告VM Wte-int «WS)认证

测机监视黠代理酥理Nova-ctwuteNova-cofflpute狀杏监控|状态雌|Kvm/libvirtKvm/libvirt计和点-01点-02虚拟化环境物理网络 虚拟化环境物理网络图5 VE-NAC原型实现系统用户对OpenRADIUS认证服务器和虚拟机网 络访问控制准入节点分别进行用户名/密码配置和授略配置。虚拟机通过openstack的计算服务（nova） 进行管理，并通过网络服务（neutton）进行虚拟子网

的创建和分配。openvswitch虚拟交换机仅放行neutron 相关的虚拟网络配置报文，保证虚拟机正确获取IP

地址，但不和其他节点进行通信。VE-NAC不需要对

openstack的正常工作流程进行修改。在虚拟机启动后,

运行wpa_supplicant工具进行用户认证，并进行虚拟机7nCtinfo SECURITY等级保护2019年第10城、网络访问控制。3.2 VE-NAC 测试测试时，首先需要对被测虚拟机开启SSH访问授

权，然后认证测试脚本远程登录到被测虚拟机，启动

认证客户端进行网络访问授权认证。测试内容主要包 括全流程常规控制和快速控制（包括虚拟机迁移和重

启）场景下的虚拟机认证和授权延迟测试。虚拟机认 证和授权延迟是指客户端超认证请求至虚拟交换机

到虚拟交换机接收到控制器下发的流表的时间或者认 证失败的时间，是系统的重要性能评估指标。测试方

法是系统预先创建60个虚拟机，分别随机选择1个、

5个、10个、20个客户端进行并发用户认证，每次变 更客户端数量的测试都重复2次，结果取平均值。测

试中虚拟机与主机映射分配由openstack控制。1）全流程常规控制场景下虚拟机认证和授权延 迟测试该场景下的虚拟机认证和授权延迟测试结果如

表1所示。表1全流程常规控制场景下虚拟机认证和授权延迟虚拟机个数/个虚拟机认证和授权延迟/ms1719.625741.8110782.7320814.832）快速控制场景下虚拟机迁移认证和授权延迟

测试该场景通过openstack cli命令执行特定虚拟机的

在线迁移。迁移之前完成虚拟机的入网认证，迁移之

后客户端不需要进行重复认证。系统获取从迁移完成 至网络访问策略部署完成的虚拟机认证和授权延迟,

测试结果如表2所示。表2快速控制场景下虚拟机迁移认证和授权延迟迁移虚拟机个数/个虚拟机迁移认证和授权延迟/ms1189.325190.5710191.2320194.438由表2可知，迁移之后的网络访问控制生效时

间与首次启动网络访问控制生效时间相比大大缩短,

因为迁移之后的认证不需要认证服务器和SDN控

制器的介入，而是通过虚拟机认证监视器代理对虚

拟机指纹进行査询，发现是在有效期内认证过的虚

拟机，直接下载访问控制策略到对应的虚拟交换机

执行。3）快速控制场景下虚拟机动态重启认证和授权 延迟测试该场景通过openstack cli命令执行特定虚拟机的

重启操作。重启之前完成虚拟机的入网认证，重启之

后客户端不需要进行重复认证。系统获取从重启完成 至网络访问策略部署完成的虚拟机认证和授权延迟,

测试结果如表3所示。表3快速控制场景下虚拟机动态重启认证和授权延迟葩虚拟机个数/个重启虚拟机认证和授权延迟/ms145.89547.151047.86204&59由表3可知，重启之后的网络访问控制生效时间

与首次启动生效时间和在线迁移生效时间相比大大缩

短，因为重启之后的认证不需要认证服务器和SDN控

制器的介入，而是通过虚拟机认证监视器代理对虚拟

机指妞行査询，发现是在有确内认ffiil的虚拟机,

不需要下载访问控制策略到对应的虚拟交换机执行,

宜接删亍。4结束语虚拟机的动态性、软件定义性和可迁移性导致了

传统网络访问控制机制在虚拟化环境下的失效，因此 本文提出了适用于虚拟化环境的网络访问控制系统V& NAC,且通过测试验证了系统的有效性。但VE-NAC仅

仅实现了网络访问控制机制，未来还将进一步实现面

向服务的安全策略部署、面向特定应用的QoS保证以

及虚拟机网络测量和计费等增值应用。（责编马珂）_________________________________________________________________________________________________________上019年第10期N0TINFO SECURITY参考文献：[1] FENG Dengguo, ZHANG Min, ZHANG Wn, et al. Study on Cloud Computing Security!]]. Journal of Software, 2011, 22(1): 71—83.冯登国，张敏，张妍，等.云计算安全研究U].软件学报，2011, 22(1)：

71-83.[2] LIN Chuang, SU Wenbo, MENG Kun, et al. Cloud Computing Security: Architecture, Mechanism and Modeling[J]. Chinese Journal of

Computers, 2013,36(9):1765—1784.林闯，苏文博，孟坤，等.云计算安全：架构、机制与模型评价[)].计算 机学报，2013, 36(9)： 1765-1784.[3] INDU I, RUBESH ANAND P M, BHASKAR V. Identity and Access

Management in Cloud Environment: Mechanisms and Challenges[J]. Engineering Science and Technology, 201&21(4):574—58&[4] BENTON K, CAMP LJ, SMALL C. OpenFlow Vulnerability Assessment[C]ZZA.CM.2nd ACM SIGCOMM Workshop on Hot Topics in

Software Defined Networking, August 16, 2013,HongKong, China. New York: ACM, 2013:151-152.[5] DANGOVAS V, KULIESIUS F. SDN-Driven Authentication

and Access Control System[EB/OL]. https:〃www.researchgate.net/ publication/263917691_SDN—Driven_Authentication_and_Access_ Control_System, 2017—12—23.[6] DARGAHI T, CAPONI A, AMBROSIN M, et al. A Survey on the Security of Stateful SDN Data Planes[J]. IEEE Communications Surv^rs & Tutorials, 2017,19 ⑶:1701—1725.[7] NAYAK A K, REIMERS A, FEAMSTER N, et al. Resonance: 等级保护Dynamic Access Control for Enterprise Networks[C]>yACM. The 1st

ACM Workshop on Research on Enterprise Networking, August 21, 2009, Barcelona, Spain. New York: ACM, 2009:11—1&

[8] MATTOS D M. F, DUARTE O C M B. AuthFlow: Authentication

and Access Control Mechanism for Software Defined NetworkingQ].

Annals of Telecommunications, 2016,71(11—12): 607—615.[9] MATIASJ, GARAYJ, MENDIOLA A, et al. FlowNAC: Flow-based

Network Access Control[C]//IEEE. 2014 Third European Workshop on Software Defined Networks, September 1—3, 2014, London, UK.NJ:

IEEE, 2014:79-84.[10] YAKASAI S T, GUY C G. Flowldentity: Software-Defined Network Access Control[C]//IEEE. 2015 IEEE Conference on Network Function Virtualization and Softvrare Defined Network, November 18—

21, 2015, San Francisco, CA, USA.NJ: IEEE, 2015:115-120.[11] HAUSER F, SCHMIDT M, MENTH M. Establishing A Session

Database for SDN Using 802.1X and Multiple Authentication Resources[C]〃 IEEE. 2017 IEEE International Conference on Communications, May 21—25,

2017, Paris, France.NJ:IEEE,2017:1-7.[12] SHIN J W LEE H Y, LEE W J, et al. Access Control with ONOS ControUer in the SDN based WLAN Testbed[C]//IEEE. 2016 Eighth

International Conference on Ubiquitous and Future Networks, July 5_&

2016, Vienna, Austria.NJ:IEEE, 2016::656-660.[13] NIFE F, KOTULSKI 乙 New SDN-Oriented Authentication and Access Control Mechanism[M]Z^Springer. International Conference on

Computer Networks. Cham: Springer, Cham, 201& 74—88.