本發(fā)明涉及虛擬防火墻技術(shù)領(lǐng)域，特別涉及一種對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法和系統(tǒng)。

背景技術(shù)：

防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)(Security Gateway)，該網(wǎng)關(guān)內(nèi)的計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過(guò)此防火墻，從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。傳統(tǒng)的物理防火墻設(shè)備使用license授權(quán)方式，用戶在購(gòu)買(mǎi)了物理防火墻設(shè)備之后，可以享受該防火墻的一些普通的功能，但如果用戶想要享受更加高級(jí)的功能，只有在購(gòu)買(mǎi)了license之后，才能激活物理防火墻的高級(jí)功能。

隨著云計(jì)算的快速發(fā)展，虛擬防火墻出現(xiàn)并且使用越來(lái)越普遍。虛擬防火墻，即安裝部署在虛擬機(jī)中的防火墻，就是可以將一臺(tái)物理防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻。由于虛擬的克隆、快照等技術(shù)的出現(xiàn)，使得傳統(tǒng)的物理防火墻的license授權(quán)方式變得不再可控,具體來(lái)說(shuō)：想要使用虛擬防火墻的用戶需要從防火墻廠商處購(gòu)買(mǎi)一個(gè)license(授權(quán)文件)，通過(guò)該license(授權(quán)文件)可以使得建立的虛擬防火墻得到授權(quán)。但是由于虛擬克隆等技術(shù)的出現(xiàn)，用戶在購(gòu)買(mǎi)到一個(gè)license(授權(quán)文件)后，能夠克隆出多臺(tái)授權(quán)的虛擬防火墻，這樣用戶就實(shí)現(xiàn)了花一臺(tái)防火墻授權(quán)的價(jià)格獲取到了多臺(tái)防火墻的使用資源，嚴(yán)重?fù)p害了防火墻廠商的利益。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種有效的對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法和系統(tǒng)，利用了現(xiàn)有技術(shù)中的軟硬件結(jié)合的加密裝置，能夠使得防火墻廠商有效的對(duì)虛擬防火墻的授權(quán)進(jìn)行控制，從而避免了防火墻廠商的利益收到損害。

根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法，包括：獲取導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件；所述限制性授權(quán)文件包括：防火墻授權(quán)文件和加密鎖身份識(shí)別碼；獲取掛載在所述授權(quán)管理虛擬機(jī)上的加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼；將該加密鎖中的加密鎖身份識(shí)別碼與限制性授權(quán)文件中的加密鎖身份識(shí)別碼進(jìn)行比對(duì)；若比對(duì)結(jié)果一致，則對(duì)所述防火墻授權(quán)文件進(jìn)行生效操作；獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求；基于生效的防火墻授權(quán)文件對(duì)所述虛擬防火墻進(jìn)行授權(quán)。

根據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，提供了一種對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的系統(tǒng)，包括：限制性授權(quán)文件獲取模塊，用于獲取導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件；所述限制性授權(quán)文件包括：防火墻授權(quán)文件、加密鎖身份識(shí)別碼；加密鎖身份識(shí)別碼獲取模塊，用于獲取掛載在所述授權(quán)管理虛擬機(jī)上的加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼；第一比對(duì)模塊，用于將該加密鎖中的加密鎖身份識(shí)別碼與限制性授權(quán)文件中的加密鎖身份識(shí)別碼進(jìn)行比對(duì)；若比對(duì)結(jié)果一致，則向防火墻授權(quán)文件生效模塊發(fā)送生效指令；防火墻授權(quán)文件生效模塊，用于在接收到所述生效指令后對(duì)所述防火墻授權(quán)文件進(jìn)行生效操作；授權(quán)請(qǐng)求獲取模塊，用于獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求；授權(quán)模塊，用于基于生效的防火墻授權(quán)文件對(duì)所述虛擬防火墻進(jìn)行授權(quán)。

本發(fā)明實(shí)施例的有益效果在于，相較于現(xiàn)有技術(shù)中的通過(guò)售賣一個(gè)軟件文件——防火墻授權(quán)文件license，通過(guò)該防火墻授權(quán)文件license來(lái)實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法。本發(fā)明實(shí)施例提供的對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法，不僅僅包括軟件，還包括硬件。具體來(lái)說(shuō)：在原有的防火墻授權(quán)文件license中加入了加密鎖的身份識(shí)別碼，形成了限制性授權(quán)文件，另外，開(kāi)發(fā)了一套授權(quán)管理軟件license server，在授權(quán)給用戶時(shí)，用戶需要同時(shí)具備授權(quán)管理軟件license server、限制性授權(quán)文件和加密鎖才能實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)，由于加密鎖是硬件設(shè)備，不能像軟件那樣可以隨意復(fù)制，因此，對(duì)于用戶來(lái)講，其需要使用虛擬防火墻的高級(jí)功能，則必須要通過(guò)合法途徑從虛擬防火墻廠商處購(gòu)買(mǎi)加密鎖，并將該加密鎖插在物理防火墻上才可以使用虛擬防火墻，大大限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，在一定程度上保護(hù)了虛擬防火墻廠商的利益。

附圖說(shuō)明

圖1是本發(fā)明第一實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖；

圖2是本發(fā)明第二實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖；

圖3是本發(fā)明第三實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖；

圖4是本發(fā)明第四實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖；

圖5是本發(fā)明第五實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖；

圖6是本發(fā)明第六實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖；

圖7是本發(fā)明第七實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖；

圖8是本發(fā)明第八實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖。

具體實(shí)施方式

為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明了，下面結(jié)合具體實(shí)施方式并參照附圖，對(duì)本發(fā)明進(jìn)一步詳細(xì)說(shuō)明。應(yīng)該理解，這些描述只是示例性的，而并非要限制本發(fā)明的范圍。此外，在以下說(shuō)明中，省略了對(duì)公知結(jié)構(gòu)和技術(shù)的描述，以避免不必要地混淆本發(fā)明的概念。

請(qǐng)參閱圖1，圖1是本發(fā)明第一實(shí)施例提供的對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法的流程圖。

在本發(fā)明實(shí)施方式中，對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法可以通過(guò)計(jì)算機(jī)程序來(lái)指令相關(guān)硬件來(lái)完成，所述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，包括如下如上述各方法的實(shí)施例的流程。其中，所述的存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)、只讀存儲(chǔ)記憶體(Read-OnlyMemory，簡(jiǎn)稱ROM)或隨機(jī)存取存儲(chǔ)器(RandomAccessMemory，簡(jiǎn)稱RAM)等。

如圖1所示，對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法包括以下步驟S1—S6：

步驟S1，獲取導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件。

本發(fā)明實(shí)施例中，限制性授權(quán)文件包括防火墻授權(quán)文件和加密鎖身份識(shí)別碼。防火墻授權(quán)文件，英文名稱為license，該文件中包括了對(duì)防火墻一些高級(jí)功能的使用權(quán)限。該文件本身為現(xiàn)有技術(shù)，不是本發(fā)明的發(fā)明點(diǎn)。沿本發(fā)明沿用了現(xiàn)有技術(shù)中物理防火墻設(shè)備使用的license授權(quán)方式。本發(fā)明實(shí)施例中的限制性授權(quán)文件，除了包括現(xiàn)有技術(shù)中的license之外，還包括加密鎖身份識(shí)別碼。

加密鎖身份識(shí)別碼是加密鎖的唯一識(shí)別編號(hào)，加密鎖是一種軟硬結(jié)合的加密存儲(chǔ)裝置。例如現(xiàn)有技術(shù)中的UKey，全稱為USB Key，USB Key的模樣跟普通的U盤(pán)差不多，不同的是它里面存放了單片機(jī)或智能卡芯片，USB Key有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用USB Key內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。目前USB Key被廣泛應(yīng)用于國(guó)內(nèi)的網(wǎng)上銀行領(lǐng)域，是公認(rèn)的較為安全的身份認(rèn)證技術(shù)。在本發(fā)明實(shí)施例中，加密鎖中存儲(chǔ)了該加密鎖的唯一識(shí)別編號(hào)，即所述加密鎖身份識(shí)別碼。

限制性授權(quán)文件由防火墻廠商制作，除了限制性授權(quán)文件，防火墻廠商制作還會(huì)制作一套授權(quán)管理軟件license server，防火墻廠商在制作好限制性授權(quán)文件和授權(quán)管理軟件license server之后，當(dāng)有用戶需要購(gòu)買(mǎi)虛擬防火墻時(shí)，防火墻廠商將制作限制性授權(quán)文件時(shí)用到的加密鎖和授權(quán)管理軟件license server一起出售給用戶。用戶拿到加密鎖和授權(quán)管理軟件license server后，需要對(duì)建立的虛擬防火墻進(jìn)行授權(quán)時(shí)，在該虛擬防火墻所在的物理服務(wù)器中的一臺(tái)虛擬機(jī)(即授權(quán)管理虛擬機(jī))中安裝授權(quán)管理軟件license server，該授權(quán)管理軟件license server在安裝成功后，可以在該授權(quán)管理虛擬機(jī)中導(dǎo)入前文所述的限制性授權(quán)文件，文件導(dǎo)入成功后，則授權(quán)管理軟件license server獲取到限制性授權(quán)文件。

需要說(shuō)明的是用戶創(chuàng)建的所有虛擬防火墻都只有管理口能夠通信，并且需要配置授權(quán)管理軟件license server的地址，虛擬防火墻會(huì)根據(jù)配置的授權(quán)管理軟件license server的地址與授權(quán)管理軟件license server建立通信連接。即用戶創(chuàng)建的所有虛擬防火墻到授權(quán)管理軟件license server所在的虛擬機(jī)(即授權(quán)管理虛擬機(jī))網(wǎng)絡(luò)可達(dá)。

步驟S2，獲取掛載在授權(quán)管理虛擬機(jī)上的加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼。

用戶在拿到加密鎖之后，將加密鎖插到物理服務(wù)器上并掛載在授權(quán)管理軟件license server所在的虛擬機(jī)上(即授權(quán)管理虛擬機(jī))。掛載成功之后，授權(quán)管理軟件license server便可以讀取到該加密鎖中的數(shù)據(jù)，即可以獲取加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼。

步驟S3，將該加密鎖中的加密鎖身份識(shí)別碼與限制性授權(quán)文件中的加密鎖身份識(shí)別碼進(jìn)行比對(duì)，若比對(duì)結(jié)果一致，則執(zhí)行步驟S4；若比對(duì)結(jié)果不一致，則不對(duì)防火墻授權(quán)文件進(jìn)行生效操作。

步驟S4，對(duì)防火墻授權(quán)文件進(jìn)行生效操作。

對(duì)防火墻授權(quán)文件進(jìn)行生效操作，即使得防火墻授權(quán)文件生效。需要說(shuō)明的是，對(duì)防火墻授權(quán)文件進(jìn)行生效操作可以采用現(xiàn)有技術(shù)的生效操作方法。如何使得防火墻授權(quán)文件生效并不是本發(fā)明的發(fā)明點(diǎn)，在此不再贅述。

步驟S5，獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求。

在用戶創(chuàng)建虛擬防火墻，并且為創(chuàng)建的虛擬防火墻配置完成授權(quán)管理軟件license server的地址，使得虛擬防火墻和授權(quán)管理軟件license server能夠通信后，創(chuàng)建的虛擬防火墻會(huì)自動(dòng)會(huì)根據(jù)配置的授權(quán)管理軟件license server地址向授權(quán)管理軟件license server發(fā)送授權(quán)請(qǐng)求。從而使得授權(quán)管理軟件license server能夠獲取到虛擬防火墻發(fā)送的授權(quán)請(qǐng)求。

步驟S6，基于生效的防火墻授權(quán)文件對(duì)虛擬防火墻進(jìn)行授權(quán)。

當(dāng)授權(quán)管理軟件license server能夠獲取到虛擬防火墻發(fā)送的授權(quán)請(qǐng)求之后。授權(quán)管理軟件license server會(huì)根據(jù)步驟S4中生效的防火墻授權(quán)文件對(duì)虛擬防火墻進(jìn)行授權(quán)。虛擬防火墻在得到授權(quán)管理軟件license server的授權(quán)后才能激活一些高級(jí)功能。

本發(fā)明實(shí)施例的有益效果在于：相較于現(xiàn)有技術(shù)中的通過(guò)售賣一個(gè)軟件文件——防火墻授權(quán)文件license，通過(guò)該防火墻授權(quán)文件license來(lái)實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法。本發(fā)明實(shí)施例提供的對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法，不僅僅包括軟件，還包括硬件。具體來(lái)說(shuō)：在原有的防火墻授權(quán)文件license中加入了加密鎖的身份識(shí)別碼，形成了限制性授權(quán)文件，另外，開(kāi)發(fā)了一套授權(quán)管理軟件license server，在授權(quán)給用戶時(shí)，用戶需要同時(shí)具備授權(quán)管理軟件license server、限制性授權(quán)文件和加密鎖才能實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)，由于加密鎖是硬件設(shè)備，不能像軟件那樣可以隨意復(fù)制，因此，對(duì)于用戶來(lái)講，其需要使用虛擬防火墻的高級(jí)功能，則必須要通過(guò)合法途徑從虛擬防火墻廠商處購(gòu)買(mǎi)加密鎖，并將該加密鎖插在物理防火墻上才可以使用虛擬防火墻，大大限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，在一定程度上保護(hù)了虛擬防火墻廠商的利益。

圖2是本發(fā)明第二實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖。

在本發(fā)明實(shí)施例中，限制性授權(quán)文件除了包括第一實(shí)施例中所述的防火墻授權(quán)文件和加密鎖身份識(shí)別碼，還包括：虛擬防火墻授權(quán)數(shù)量閾值。

如圖2所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法在前述第一實(shí)施方式的基礎(chǔ)之上，在步驟S5，獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求后，還包括以下步驟S51-步驟S52。

步驟S51，檢測(cè)當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量。

授權(quán)管理軟件license server設(shè)有授權(quán)數(shù)量累計(jì)值，該授權(quán)數(shù)量累計(jì)值表示當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量，授權(quán)管理軟件license server每對(duì)一個(gè)虛擬防火墻進(jìn)行授權(quán)之后，授權(quán)數(shù)量累計(jì)值則會(huì)增加1，因此，每當(dāng)有新的虛擬防火墻向授權(quán)管理軟件license server發(fā)送授權(quán)請(qǐng)求后，授權(quán)管理軟件license server則獲取一次當(dāng)前的授權(quán)數(shù)量累計(jì)值。

步驟S52，將當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量與虛擬防火墻授權(quán)數(shù)量閾值進(jìn)行比對(duì)；若當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量未達(dá)到虛擬防火墻授權(quán)數(shù)量閾值，則執(zhí)行步驟S6。若當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量達(dá)到虛擬防火墻授權(quán)數(shù)量閾值，則不對(duì)當(dāng)前請(qǐng)求授權(quán)的虛擬防火墻進(jìn)行授權(quán)。

本發(fā)明實(shí)施例的進(jìn)一步的有益效果為：對(duì)于一個(gè)已經(jīng)通過(guò)合法途徑購(gòu)買(mǎi)了授權(quán)管理軟件license server、加密鎖和限制性授權(quán)文件的用戶來(lái)說(shuō)，由于虛擬防火墻授權(quán)數(shù)量閾值的存在，使得其不能隨意創(chuàng)建大量的虛擬防火墻，進(jìn)一步限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，進(jìn)一步保護(hù)了虛擬防火墻廠商的利益。

圖3是本發(fā)明第三實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖。

在本發(fā)明實(shí)施例中，限制性授權(quán)文件除了包括第一實(shí)施例中所述的防火墻授權(quán)文件和加密鎖身份識(shí)別碼，或包括第二實(shí)施例中所述的虛擬防火墻授權(quán)數(shù)量閾值之外，還包括授權(quán)生效時(shí)間。

如圖3所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法在前述第一或第二實(shí)施方式的基礎(chǔ)之上，在步驟S1，獲取到導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件時(shí)，還包括步驟S11-步驟S12。

步驟S11，從獲取到導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件起，授權(quán)生效時(shí)間開(kāi)始倒計(jì)時(shí)。

步驟S12，在對(duì)虛擬防火墻進(jìn)行授權(quán)之前，檢測(cè)當(dāng)前授權(quán)生效時(shí)間是否到達(dá)時(shí)間閾值時(shí)，若未到達(dá)，則執(zhí)行步驟S6。若到達(dá)，則不對(duì)當(dāng)前請(qǐng)求授權(quán)的虛擬防火墻進(jìn)行授權(quán)。

本發(fā)明實(shí)施例的進(jìn)一步的有益效果為：授權(quán)生效時(shí)間的設(shè)置使得用戶不能無(wú)限制時(shí)間的獲得虛擬防火墻的授權(quán)。進(jìn)一步限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，進(jìn)一步保護(hù)了虛擬防火墻廠商的利益。

圖4是本發(fā)明第四實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法的流程圖。

如圖4所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的方法在前述第一、第二或第三實(shí)施方式的基礎(chǔ)之上，在步驟S6之后，還包括：

步驟S7，在預(yù)定時(shí)間內(nèi)判斷是否接收到已經(jīng)獲得授權(quán)的虛擬防火墻發(fā)送的重新授權(quán)請(qǐng)求；若接收到，則執(zhí)行步驟S8，若沒(méi)有接收到，則執(zhí)行步驟S9。

步驟S8，基于生效的防火墻授權(quán)文件對(duì)該已經(jīng)授權(quán)的虛擬防火墻重新進(jìn)行授權(quán)。

步驟S9，對(duì)該已經(jīng)獲得授權(quán)的虛擬防火墻取消授權(quán)。

圖5是本發(fā)明第五實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖。

如圖5所示，本發(fā)明實(shí)施例提供的虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)為圖5中所示的授權(quán)管理軟件license server。虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)為計(jì)算機(jī)程序，該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中。其中，所述的存儲(chǔ)介質(zhì)可為磁碟、光盤(pán)、只讀存儲(chǔ)記憶體(Read-OnlyMemory，簡(jiǎn)稱ROM)或隨機(jī)存取存儲(chǔ)器(RandomAccessMemory，簡(jiǎn)稱RAM)等。

如圖5所示，授權(quán)管理軟件license server包括限制性授權(quán)文件獲取模塊、加密鎖身份識(shí)別碼獲取模塊、第一比對(duì)模塊、防火墻授權(quán)文件生效模塊、授權(quán)請(qǐng)求獲取模塊和授權(quán)模塊。

限制性授權(quán)文件獲取模塊，用于獲取導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件。

本發(fā)明實(shí)施例中，限制性授權(quán)文件包括防火墻授權(quán)文件和加密鎖身份識(shí)別碼。防火墻授權(quán)文件，英文名稱為license，該文件中包括了對(duì)防火墻一些高級(jí)功能的使用權(quán)限。該文件本身為現(xiàn)有技術(shù)，不是本發(fā)明的發(fā)明點(diǎn)。沿本發(fā)明沿用了現(xiàn)有技術(shù)中物理防火墻設(shè)備使用的license授權(quán)方式。本發(fā)明實(shí)施例中的限制性授權(quán)文件，除了包括現(xiàn)有技術(shù)中的license之外，還包括加密鎖身份識(shí)別碼。

加密鎖身份識(shí)別碼是加密鎖的唯一識(shí)別編號(hào)，加密鎖是一種軟硬結(jié)合的加密存儲(chǔ)裝置。例如現(xiàn)有技術(shù)中的UKey，全稱為USB Key，USB Key的模樣跟普通的U盤(pán)差不多，不同的是它里面存放了單片機(jī)或智能卡芯片，USB Key有一定的存儲(chǔ)空間，可以存儲(chǔ)用戶的私鑰以及數(shù)字證書(shū)，利用USB Key內(nèi)置的公鑰算法可以實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。目前USB Key被廣泛應(yīng)用于國(guó)內(nèi)的網(wǎng)上銀行領(lǐng)域，是公認(rèn)的較為安全的身份認(rèn)證技術(shù)。在本發(fā)明實(shí)施例中，加密鎖中存儲(chǔ)了該加密鎖的唯一識(shí)別編號(hào)，即所述加密鎖身份識(shí)別碼。

限制性授權(quán)文件由防火墻廠商制作，除了限制性授權(quán)文件，防火墻廠商制作還會(huì)制作一套授權(quán)管理軟件license server，防火墻廠商在制作好限制性授權(quán)文件和授權(quán)管理軟件license server之后，當(dāng)有用戶需要購(gòu)買(mǎi)虛擬防火墻時(shí)，防火墻廠商將制作限制性授權(quán)文件時(shí)用到的加密鎖和授權(quán)管理軟件license server一起出售給用戶。用戶拿到加密鎖和授權(quán)管理軟件license server后，需要對(duì)建立的虛擬防火墻進(jìn)行授權(quán)時(shí)，在該虛擬防火墻所在的物理服務(wù)器中的一臺(tái)虛擬機(jī)(即授權(quán)管理虛擬機(jī))中安裝授權(quán)管理軟件license server，該授權(quán)管理軟件license server在安裝成功后，可以在該授權(quán)管理虛擬機(jī)中導(dǎo)入前文所述的限制性授權(quán)文件，文件導(dǎo)入成功后，則授權(quán)管理軟件license server獲取到限制性授權(quán)文件。

需要說(shuō)明的是用戶創(chuàng)建的所有虛擬防火墻都只有管理口能夠通信，并且需要配置授權(quán)管理軟件license server的地址，虛擬防火墻會(huì)根據(jù)配置的授權(quán)管理軟件license server的地址與授權(quán)管理軟件license server建立通信連接。即用戶創(chuàng)建的所有虛擬防火墻到授權(quán)管理軟件license server所在的虛擬機(jī)(即授權(quán)管理虛擬機(jī))網(wǎng)絡(luò)可達(dá)。

加密鎖身份識(shí)別碼獲取模塊，用于獲取掛載在授權(quán)管理虛擬機(jī)上的加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼。用戶在拿到加密鎖之后，將加密鎖插到物理服務(wù)器上并掛載在授權(quán)管理軟件license server所在的虛擬機(jī)上(即授權(quán)管理虛擬機(jī))。掛載成功之后，授權(quán)管理軟件license server便可以讀取到該加密鎖中的數(shù)據(jù)，即可以獲取加密鎖中存儲(chǔ)的加密鎖身份識(shí)別碼。

第一比對(duì)模塊，用于將該加密鎖中的加密鎖身份識(shí)別碼與限制性授權(quán)文件中的加密鎖身份識(shí)別碼進(jìn)行比對(duì)。若比對(duì)結(jié)果一致，則向防火墻授權(quán)文件生效模塊發(fā)送生效指令。否則，則不向防火墻授權(quán)文件生效模塊發(fā)送生效指令。

防火墻授權(quán)文件生效模塊，用于在接收到生效指令后對(duì)防火墻授權(quán)文件進(jìn)行生效操作。對(duì)防火墻授權(quán)文件進(jìn)行生效操作，即使得防火墻授權(quán)文件生效。需要說(shuō)明的是，對(duì)防火墻授權(quán)文件進(jìn)行生效操作可以采用現(xiàn)有技術(shù)的生效操作方法。如何使得防火墻授權(quán)文件生效并不是本發(fā)明的發(fā)明點(diǎn)，在此不再贅述。

授權(quán)請(qǐng)求獲取模塊，用于獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求。在用戶創(chuàng)建虛擬防火墻，并且為創(chuàng)建的虛擬防火墻配置完成授權(quán)管理軟件license server的地址，使得虛擬防火墻和授權(quán)管理軟件license server能夠通信后，創(chuàng)建的虛擬防火墻會(huì)自動(dòng)會(huì)根據(jù)配置的授權(quán)管理軟件license server地址向授權(quán)管理軟件license server發(fā)送授權(quán)請(qǐng)求。從而使得授權(quán)管理軟件license server能夠獲取到虛擬防火墻發(fā)送的授權(quán)請(qǐng)求。

授權(quán)模塊，用于基于生效的防火墻授權(quán)文件對(duì)虛擬防火墻進(jìn)行授權(quán)。當(dāng)授權(quán)管理軟件license server能夠獲取到虛擬防火墻發(fā)送的授權(quán)請(qǐng)求之后。授權(quán)管理軟件license server會(huì)根據(jù)步驟S4中生效的防火墻授權(quán)文件對(duì)虛擬防火墻進(jìn)行授權(quán)。虛擬防火墻在得到授權(quán)管理軟件license server的授權(quán)后才能激活一些高級(jí)功能。

本發(fā)明實(shí)施例的有益效果在于：相較于現(xiàn)有技術(shù)中的通過(guò)售賣一個(gè)軟件文件——防火墻授權(quán)文件license，通過(guò)該防火墻授權(quán)文件license來(lái)實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法。本發(fā)明實(shí)施例提供的對(duì)虛擬防火墻的授權(quán)進(jìn)行限制的方法，不僅僅包括軟件，還包括硬件。具體來(lái)說(shuō)：在原有的防火墻授權(quán)文件license中加入了加密鎖的身份識(shí)別碼，形成了限制性授權(quán)文件，另外，開(kāi)發(fā)了一套授權(quán)管理軟件license server，在授權(quán)給用戶時(shí)，用戶需要同時(shí)具備授權(quán)管理軟件license server、限制性授權(quán)文件和加密鎖才能實(shí)現(xiàn)對(duì)虛擬防火墻的授權(quán)，由于加密鎖是硬件設(shè)備，不能像軟件那樣可以隨意復(fù)制，因此，對(duì)于用戶來(lái)講，其需要使用虛擬防火墻的高級(jí)功能，則必須要通過(guò)合法途徑從虛擬防火墻廠商處購(gòu)買(mǎi)加密鎖，并將該加密鎖插在物理防火墻上才可以使用虛擬防火墻，大大限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，在一定程度上保護(hù)了虛擬防火墻廠商的利益。

圖6是本發(fā)明第六實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖。

在本發(fā)明實(shí)施例中，限制性授權(quán)文件除了包括第五實(shí)施例中的防火墻授權(quán)文件和加密鎖身份識(shí)別碼，還包括虛擬防火墻授權(quán)數(shù)量閾值。

如圖6所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)在前述第五實(shí)施方式所包括的模塊基礎(chǔ)之上還包括檢測(cè)模塊和第二比對(duì)模塊。

檢測(cè)模塊，用于當(dāng)授權(quán)請(qǐng)求獲取模塊獲取虛擬防火墻發(fā)送的授權(quán)請(qǐng)求后，檢測(cè)當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量。

授權(quán)管理軟件license server設(shè)有授權(quán)數(shù)量累計(jì)值，該授權(quán)數(shù)量累計(jì)值表示當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量，授權(quán)管理軟件license server每對(duì)一個(gè)虛擬防火墻進(jìn)行授權(quán)之后，授權(quán)數(shù)量累計(jì)值則會(huì)增加1，因此，每當(dāng)有新的虛擬防火墻向授權(quán)管理軟件license server發(fā)送授權(quán)請(qǐng)求后，授權(quán)管理軟件license server則獲取一次當(dāng)前的授權(quán)數(shù)量累計(jì)值。

第二比對(duì)模塊，用于將當(dāng)前獲得授權(quán)的虛擬防火墻的數(shù)量與虛擬防火墻授權(quán)數(shù)量閾值進(jìn)行比對(duì)。若未達(dá)到虛擬防火墻授權(quán)數(shù)量閾值，則向授權(quán)模塊發(fā)送授權(quán)指令。若達(dá)到虛擬防火墻授權(quán)數(shù)量閾值，則不對(duì)該虛擬防火墻進(jìn)行授權(quán)。所述授權(quán)模塊，在接收到授權(quán)指令后，基于生效的防火墻授權(quán)文件對(duì)虛擬防火墻進(jìn)行授權(quán)。

本發(fā)明實(shí)施例的進(jìn)一步的有益效果為：對(duì)于一個(gè)已經(jīng)通過(guò)合法途徑購(gòu)買(mǎi)了授權(quán)管理軟件license server、加密鎖和限制性授權(quán)文件的用戶來(lái)說(shuō)，由于虛擬防火墻授權(quán)數(shù)量閾值的存在，使得其不能隨意創(chuàng)建大量的虛擬防火墻，進(jìn)一步限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，進(jìn)一步保護(hù)了虛擬防火墻廠商的利益。

圖7是本發(fā)明第七實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖。

在本發(fā)明實(shí)施例中，限制性授權(quán)文件除了包括第五實(shí)施例中所述的防火墻授權(quán)文件和加密鎖身份識(shí)別碼，或包括第六實(shí)施例中所述的虛擬防火墻授權(quán)數(shù)量閾值之外，還包括授權(quán)生效時(shí)間。

如圖7所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)在前述第五或第六實(shí)施方式的基礎(chǔ)之上，該系統(tǒng)還包括倒計(jì)時(shí)模塊和生效時(shí)間檢測(cè)模塊。

倒計(jì)時(shí)模塊，用于當(dāng)限制性授權(quán)文件獲取模塊獲取到導(dǎo)入至授權(quán)管理虛擬機(jī)中的限制性授權(quán)文件時(shí)，基于授權(quán)生效時(shí)間開(kāi)始倒計(jì)時(shí)。

生效時(shí)間檢測(cè)模塊，用于在授權(quán)模塊對(duì)虛擬防火墻進(jìn)行授權(quán)之前，檢測(cè)當(dāng)前授權(quán)生效時(shí)間是否到達(dá)時(shí)間閾值時(shí)，若未到達(dá)，則基于生效的防火墻授權(quán)文件對(duì)該虛擬防火墻進(jìn)行授權(quán)。若到達(dá)則不對(duì)該虛擬防火墻進(jìn)行授權(quán)。

本發(fā)明實(shí)施例的進(jìn)一步的有益效果為：授權(quán)生效時(shí)間的設(shè)置使得用戶不能無(wú)限制時(shí)間的獲得虛擬防火墻的授權(quán)。進(jìn)一步限制了對(duì)虛擬機(jī)防火墻的授權(quán)方式，進(jìn)一步保護(hù)了虛擬防火墻廠商的利益。

圖8是本發(fā)明第八實(shí)施例對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)示意圖。

如圖8所示，在本發(fā)明實(shí)施例中，對(duì)虛擬防火墻授權(quán)進(jìn)行限制的系統(tǒng)在前述第五、第六或第七實(shí)施方式的基礎(chǔ)之上，該系統(tǒng)還包括重新授權(quán)請(qǐng)求檢測(cè)模塊。

重新授權(quán)請(qǐng)求檢測(cè)模塊，用于在預(yù)定時(shí)間內(nèi)判斷是否接收到已經(jīng)獲得授權(quán)的虛擬防火墻發(fā)送的重新授權(quán)請(qǐng)求。若接收到，則向授權(quán)模塊發(fā)送重新授權(quán)指令。若沒(méi)有接收到，則對(duì)該已經(jīng)獲得授權(quán)的虛擬防火墻取消授權(quán)。

授權(quán)模塊，還用于在接收到授權(quán)指令后，基于生效的防火墻授權(quán)文件對(duì)該已經(jīng)授權(quán)的虛擬防火墻重新進(jìn)行授權(quán)。

本發(fā)明實(shí)施例方法中的步驟可以根據(jù)實(shí)際需要進(jìn)行順序調(diào)整、合并和刪減。本發(fā)明實(shí)施例系統(tǒng)中的模塊可以根據(jù)實(shí)際需要進(jìn)行合并、劃分和刪減。

應(yīng)當(dāng)理解的是，本發(fā)明的上述具體實(shí)施方式僅僅用于示例性說(shuō)明或解釋本發(fā)明的原理，而不構(gòu)成對(duì)本發(fā)明的限制。因此，在不偏離本發(fā)明的精神和范圍的情況下所做的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。此外，本發(fā)明所附權(quán)利要求旨在涵蓋落入所附權(quán)利要求范圍和邊界、或者這種范圍和邊界的等同形式內(nèi)的全部變化和修改例。