一種虛擬機動態(tài)遷移安全框架的制作方法
【專利摘要】本發(fā)明涉及計算機信息安全【技術領域】，特別涉及一種虛擬機動態(tài)遷移安全框架。本發(fā)明由集中控制引擎和本地遷移引擎組成，集中控制引擎在安全策略的控制下，提供雙向身份鑒別、訪問控制、安全審計功能，并實時監(jiān)控物理服務器和虛擬機的資源使用情況，為虛擬機動態(tài)遷移提供資源依據(jù)；本地遷移引擎在安全策略的控制下，根據(jù)既定的遷移策略，分階段完成虛擬機的動態(tài)遷移。該安全框架支持多種安全機制和虛擬機動態(tài)遷移策略，有效保護虛擬機敏感信息的安全性，抵御針對虛擬機動態(tài)遷移的安全攻擊，并具有較強的兼容性。
【專利說明】一種虛擬機動態(tài)遷移安全框架
【技術領域】
[0001]本發(fā)明涉及計算機信息安全【技術領域】，特別涉及一種虛擬機動態(tài)遷移安全框架?！颈尘凹夹g】
[0002]隨著虛擬化技術的發(fā)展，產(chǎn)生了很多新技術，其中虛擬機動態(tài)遷移是虛擬化獨有的也是其最重要的技術之一。虛擬機動態(tài)遷移，是指虛擬機在運行時且能持續(xù)提供服務的前提下，從一臺虛擬平臺服務器遷移到其它的虛擬平臺服務器運行。虛擬機動態(tài)遷移實現(xiàn)了虛擬機運行狀態(tài)通過網(wǎng)絡在物理機之間快速透明的遷移，可以用于大規(guī)模虛擬化環(huán)境中負載的動態(tài)調(diào)整、系統(tǒng)在線維護和主動容錯以及應用的靈活部署、資源優(yōu)化和電源管理等，應用廣泛。
[0003]目前，Citrix, VMware以及微軟等幾家主要的虛擬平臺廠商都提出了自己虛擬機動態(tài)遷移技術。然而，現(xiàn)有的虛擬機動態(tài)遷移技術和產(chǎn)品中卻存在著重大的安全隱患，也曝光了若干安全漏洞，在動態(tài)遷移的實現(xiàn)極少甚至沒有考慮動態(tài)遷移的安全性。業(yè)界已經(jīng)認識到虛擬機動態(tài)遷移的安全性及其重要性，并開展了深入的研究。針對虛擬機動態(tài)遷移的安全威脅和攻擊，主要包括三類:
(I)控制層面
虛擬機監(jiān)控器啟動和管理虛擬機動態(tài)遷移的通信機制必須進行鑒別并能抵抗攻擊。此夕卜，必須保護在控制層面中使用的協(xié)議以避免欺騙和重放攻擊。缺乏正確的訪問控制可使得攻擊者能任意啟動虛擬機遷移。攻擊者可能操縱虛擬機監(jiān)控器的控制層面以影響虛擬機動態(tài)遷移并獲得客戶操作系統(tǒng)的控制。針對控制層面的攻擊包括遷入控制、遷出控制、發(fā)布虛假資源等。
[0004](2)數(shù)據(jù)層面
必須確保進行虛擬機遷移的數(shù)據(jù)層面的安全性并保護其免于對客戶操作系統(tǒng)狀態(tài)的窺探和破壞。針對數(shù)據(jù)層面的被動攻擊可導致客戶操作系統(tǒng)中敏感信息的泄露，而主動攻擊可導致客戶操作系統(tǒng)的完全破壞。攻擊者可使用諸如ARP欺騙、DNS投毒和路由劫持等技術，使其邏輯地處于遷移傳輸路徑中，從而導致針對虛擬機動態(tài)遷移的中間人攻擊。
[0005](3)遷移模塊
實現(xiàn)虛擬機動態(tài)遷移功能的虛擬機監(jiān)控器組件必須能抵御攻擊。由于遷移模塊提供網(wǎng)絡服務，通過服務進行虛擬機的傳輸，常見的軟件漏洞如棧、堆和整數(shù)溢出可被遠程攻擊者所利用以破壞虛擬機監(jiān)控器。即使虛擬機遷移并不常常視為開放的服務，遷移模塊的代碼卻沒有得到詳細的審查。
[0006]Xensploit工具，對虛擬機的動態(tài)遷移執(zhí)行中間人攻擊。其原理是，在虛擬機動態(tài)遷移過程中，當虛擬機在網(wǎng)絡中傳輸時，操控虛擬機的內(nèi)存。Xensploit基于fragroute框架，能夠攻擊Xen和VMware的虛擬機動態(tài)遷移。

【發(fā)明內(nèi)容】
[0007]為了解決現(xiàn)有技術的問題，本發(fā)明提供了一種虛擬機動態(tài)遷移安全框架，通過提供安全保障機制，保護虛擬機敏感信息的安全性，抵御針對虛擬機動態(tài)遷移的安全攻擊。
[0008]本發(fā)明所采用的技術方案如下:
一種虛擬機動態(tài)遷移安全框架，由集中控制引擎和位于各獨立服務器上的本地遷移引擎組成，所述的集中控制引擎在安全策略的控制下，提供雙向身份鑒別、訪問控制、安全審計功能，實時監(jiān)控物理服務器和虛擬機的資源使用情況，為虛擬機動態(tài)遷移提供資源依據(jù)；所述的本地遷移引擎在安全策略的控制下，根據(jù)既定的遷移策略，分階段完成虛擬機的動態(tài)遷移。
[0009]集中控制引擎由安全遷移策略、身份鑒別、訪問控制、安全審計、熱點探查、安全遷移管理六部分組成，其中:
(1)安全遷移策略:管理和制定虛擬機動態(tài)遷移的安全策略，只有滿足安全遷移策略的遷移請求，才能允許執(zhí)行；
(2)身份鑒別:通過公鑰證書方式，對虛擬機遷移的源域、目標域進行雙向身份鑒別，核驗源域、目標域身份的合法性；
(3)訪問控制:對虛擬機動態(tài)遷移相關的操作、請求進行強制訪問控制或基于角色的訪問控制，只有擁有動態(tài)遷移權(quán)限的虛擬機才能被動態(tài)遷移；
(4)安全審計:記錄虛擬機動態(tài)遷移過程中的一切操作痕跡，作為一種事后追蹤、取證的措施，追查虛擬機動態(tài)遷移相關的風險和漏洞；
(5)熱點探查:周期性的與本地遷移引擎中的資源監(jiān)控器發(fā)出請求，獲取各物理服務器和虛擬機對于CPU、內(nèi)存和網(wǎng)絡帶寬的使用情況，并匯集形成整個平臺的資源使用概況，根據(jù)資源使用概況查找資源使用熱點，提供給安全遷移管理模塊使用；
(6)安全遷移管理:最終確定是否發(fā)起以及如何發(fā)起虛擬機的動態(tài)遷移操作，在滿足虛擬機遷移所需資源時，向本地遷移引擎發(fā)生“遷移請求”信號。
[0010]熱點探查基于以下條件進行熱點探查:
(1)虛擬機不能獲得期望的網(wǎng)絡帶寬；
(2)物理服務器對于CPU和帶寬的使用率超過預定閥值；
(3)物理服務器頻繁發(fā)生內(nèi)存換出。
[0011]本地遷移引擎向集中控制引擎提供本地資源使用情況、接收集中控制引擎發(fā)出的遷移請求并進行實際的遷移操作，所述的本地遷移引擎主要由資源監(jiān)控器、遷移監(jiān)聽、遷移支撐、遷移運行、遷移喚醒、安全傳輸六個部分組成，其中:
(1)資源監(jiān)控器:負責獲取本地服務器上CPU、內(nèi)存和網(wǎng)絡帶寬資源的使用情況以及各虛擬機的資源使用情況；
(2)遷移支撐:提供虛擬機動態(tài)遷移所需的支撐基礎，包括遷移策略和遷移優(yōu)化策略，遷移監(jiān)聽模塊根據(jù)當前資源使用情況、可用網(wǎng)絡帶寬條件，選擇適合的遷移策略和遷移優(yōu)化策略；
(3)遷移監(jiān)聽:從集中控制引擎接收遷移請求，同目標域中的遷移監(jiān)聽交互，從遷移支撐模塊中選擇合適的遷移策略和遷移優(yōu)化策略；目標域中的遷移監(jiān)聽進行虛擬機動態(tài)遷移的初始化；初始化完成后，目標域通過虛擬機監(jiān)控器VMM向源域遷移運行模塊發(fā)送“啟動遷移”信號，進入遷移運行模塊； (4)遷移運行:根據(jù)所選擇的遷移策略和遷移優(yōu)化策略，完成虛擬機狀態(tài)從源域向目標域的拷貝；運行遷移模塊拷貝完虛擬機操作系統(tǒng)的最后狀態(tài)信息，向目標域發(fā)送“拷貝結(jié)束”信號；
(5)遷移激活:接收到“拷貝結(jié)束”信號，激活目標域中新遷移的虛擬機，在目標域上恢復源域的服務，向源域返回“遷移成功”信息；源域VMM接收此信息，銷毀源域中被遷移的虛擬機；
(6)安全傳輸:通過數(shù)據(jù)加密等措施保證虛擬機在遷移過程中的傳輸安全，保護其機密性和完整性。
[0012]本發(fā)明實施例提供的技術方案帶來的有益效果是:
集中控制引擎從整體上掌握平臺中物理和虛擬資源的使用情況，在安全遷移策略的控制下，按需發(fā)起虛擬機動態(tài)遷移操作，實現(xiàn)平臺范圍內(nèi)的負載均衡。
[0013]本發(fā)明的安全框架支持多種安全機制和虛擬機動態(tài)遷移策略，有效保護虛擬機敏感信息的安全性，抵御針對虛擬機動態(tài)遷移的安全攻擊，并具有較強的兼容性。
【專利附圖】

【附圖說明】
[0014]圖1為本發(fā)明的一種虛擬機動態(tài)遷移安全框架的結(jié)構(gòu)示意圖。
【具體實施方式】
[0015]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚，下面將結(jié)合附圖對本發(fā)明實施方式作進一步地詳細描述。
[0016]實施例一
本發(fā)明的工作原理及構(gòu)成如下:
(一)環(huán)境構(gòu)成
(I)虛擬環(huán)境
在虛擬環(huán)境中，設兩臺物理服務器Sa和Sb分別運行著源域A和目標域B。源域A中，運行著虛擬機監(jiān)控器VMM，特權(quán)虛擬機DomO、虛擬機VMa ;目標域B中，運行著虛擬機監(jiān)控器VMM，特權(quán)虛擬機DomO。
[0017]目標域B具有虛擬機動態(tài)遷移所需的資源，源域A中的虛擬機VMa將根據(jù)虛擬機動態(tài)遷移安全框架遷移到目標域B中。
[0018](2)虛擬機動態(tài)遷移安全框架
虛擬機動態(tài)遷移安全框架由集中控制引擎和位于獨立服務器上的本地遷移引擎組成。集中控制引擎運行于獨立的服務器中，本地遷移引擎運行于源域A和目標域B的特權(quán)虛擬機DomO中。
[0019](二)集中控制引擎
集中控制引擎從整體上掌握平臺中物理和虛擬資源的使用情況，根據(jù)預設策略，在安全遷移策略的控制下，按需發(fā)起虛擬機動態(tài)遷移操作，實現(xiàn)平臺范圍內(nèi)的負載均衡。集中控制引擎由安全遷移策略、身份鑒別、訪問控制、安全審計、熱點探查、安全遷移管理六個部分組成。
[0020](三)本地遷移引擎 本地遷移引擎向集中控制引擎提供本地資源使用情況、接收集中控制引擎發(fā)出的遷移請求并進行實際的遷移操作。本地遷移引擎由資源監(jiān)控器、遷移監(jiān)聽、遷移支撐、遷移運行、遷移喚醒、安全傳輸六個部分組成。
[0021](四)框架初始化
(1)遷移安全策略制定:通過安全遷移策略模塊制定虛擬機動態(tài)遷移所應滿足的安全策略；同時也制定強制訪問控制策略等；
(2)身份鑒別:設置參與虛擬機動態(tài)遷移過程的源域A和目標域B的公鑰數(shù)字證書CertA和CertB，通過公鑰數(shù)字證書進行源域A和目標域B的雙向身份鑒別。
[0022](3)權(quán)限管理:設置參與虛擬機動態(tài)遷移過程中虛擬機的權(quán)限，如遷移虛擬機；
(4)熱點探查條件:設定熱點探查條件，據(jù)此熱點探查模塊進行熱點探查，并選擇滿足虛擬機動態(tài)遷移所需資源的虛擬機；
(5)安全傳輸參數(shù):設置安全傳輸所用的加密算法、密鑰長度、操作模式、雜湊算法等；
(6)遷移支撐:設置虛擬機動態(tài)遷移所使用的遷移策略，如內(nèi)存預拷貝策略、內(nèi)存后拷貝策略等，遷移優(yōu)化策略，如內(nèi)存壓縮、DMA方式等。
[0023](五)虛擬機動態(tài)遷移
(1)集中控制引擎中的熱點探查通過本地遷移引擎中的資源監(jiān)控器實時獲取物理服務器Sa、Sb以及虛擬機源域A和目標域B中的資源使用情況，形成整個虛擬環(huán)境中資源使用概況，根據(jù)熱點探查條件，選擇滿足虛擬機動態(tài)遷移所需資源的目標域B ；
(2)進行源域A和目標域B的雙向身份鑒別，通過后檢查源域A和目標域B的權(quán)限。只有通過后，選擇加密算法、密鑰長度、操作模式以及雜湊算法，并建立安全傳輸通道。源域A中的安全遷移管理向源域A中的遷移監(jiān)聽發(fā)生遷移請求信號；
(3)接收到遷移請求，源域A中的遷移監(jiān)聽同目標域B中的遷移監(jiān)聽交互，從遷移支撐模塊中選擇合適的遷移策略和遷移優(yōu)化策略；
(4)進行虛擬機動態(tài)遷移的初始化，如在目標域B進行遷移虛擬機VMa’的創(chuàng)建工作，創(chuàng)建源域的虛擬設備、為新建的域進行內(nèi)存的動態(tài)分配、對新建的域進行設置等。初始化完成后，目標域通過虛擬機監(jiān)控器VMM向源域A遷移運行模塊發(fā)送“啟動遷移”信號，進入遷移運行模塊；
(5)根據(jù)所選擇的遷移策略和遷移優(yōu)化策略，完成虛擬機狀態(tài)從源域A向目標域B的拷貝。運行遷移模塊拷貝完虛擬機操作系統(tǒng)的最后狀態(tài)信息，向目標域B發(fā)送“拷貝結(jié)束”信號;
(6)目標域B中遷移激活接收到“拷貝結(jié)束”信號，激活新遷移的虛擬機VMa’，在目標域B上恢復源域A的服務，向源域A返回“遷移成功”信息。源域A中VMM接收此信息，銷毀源域中被遷移虛擬機VMa。
[0024]以上所述僅為本發(fā)明的較佳實施例，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進等，均應包含在本發(fā)明的保護范圍之內(nèi)。
【權(quán)利要求】
1.一種虛擬機動態(tài)遷移安全框架，其特征在于:由集中控制引擎和位于各獨立服務器上的本地遷移引擎組成，所述的集中控制引擎在安全策略的控制下，提供雙向身份鑒別、訪問控制、安全審計功能，實時監(jiān)控物理服務器和虛擬機的資源使用情況，為虛擬機動態(tài)遷移提供資源依據(jù)；所述的本地遷移引擎在安全策略的控制下，根據(jù)既定的遷移策略，分階段完成虛擬機的動態(tài)遷移。
2.根據(jù)權(quán)利要求1所述的一種虛擬機動態(tài)遷移安全框架，其特征在于，所述的集中控制引擎由安全遷移策略、身份鑒別、訪問控制、安全審計、熱點探查、安全遷移管理六部分組成，其中: (1)安全遷移策略:管理和制定虛擬機動態(tài)遷移的安全策略，只有滿足安全遷移策略的遷移請求，才能允許執(zhí)行； (2)身份鑒別:通過公鑰證書方式，對虛擬機遷移的源域、目標域進行雙向身份鑒別，核驗源域、目標域身份的合法性； (3)訪問控制:對虛擬機動態(tài)遷移相關的操作、請求進行強制訪問控制或基于角色的訪問控制，只有擁有動態(tài)遷移權(quán)限的虛擬機才能被動態(tài)遷移； (4)安全審計:記錄虛擬機動態(tài)遷移過程中的一切操作痕跡，作為一種事后追蹤、取證的措施，追查虛擬機動態(tài)遷移相關的風險和漏洞； (5)熱點探查:周期性的與本地遷移引擎中的資源監(jiān)控器發(fā)出請求，獲取各物理服務器和虛擬機對于CPU、內(nèi)存和網(wǎng)絡帶寬的使用情況，并匯集形成整個平臺的資源使用概況，根據(jù)資源使用概況查找資源使用熱點，提供給安全遷移管理模塊使用； (6)安全遷移管理:最終確定是否發(fā)起以及如何發(fā)起虛擬機的動態(tài)遷移操作，在滿足虛擬機遷移所需資源時，向本地遷移引擎發(fā)生“遷移請求”信號。
3.根據(jù)權(quán)利要求2所述的一種虛擬機動態(tài)遷移安全框架，其特征在于，所述的熱點探查基于以下條件進行熱點探查: (1)虛擬機不能獲得期望的網(wǎng)絡帶寬； (2)物理服務器對于CPU和帶寬的使用率超過預定閥值； (3)物理服務器頻繁發(fā)生內(nèi)存換出。
4.根據(jù)權(quán)利要求1所述的一種虛擬機動態(tài)遷移安全框架，其特征在于，所述的本地遷移引擎向集中控制引擎提供本地資源使用情況、接收集中控制引擎發(fā)出的遷移請求并進行實際的遷移操作，所述的本地遷移引擎主要由資源監(jiān)控器、遷移監(jiān)聽、遷移支撐、遷移運行、遷移喚醒、安全傳輸六個部分組成，其中: (1)資源監(jiān)控器:負責獲取本地服務器上CPU、內(nèi)存和網(wǎng)絡帶寬資源的使用情況以及各虛擬機的資源使用情況； (2)遷移支撐:提供虛擬機動態(tài)遷移所需的支撐基礎，包括遷移策略和遷移優(yōu)化策略，遷移監(jiān)聽模塊根據(jù)當前資源使用情況、可用網(wǎng)絡帶寬條件，選擇適合的遷移策略和遷移優(yōu)化策略； (3)遷移監(jiān)聽:從集中控制引擎接收遷移請求，同目標域中的遷移監(jiān)聽交互，從遷移支撐模塊中選擇合適的遷移策略和遷移優(yōu)化策略；目標域中的遷移監(jiān)聽進行虛擬機動態(tài)遷移的初始化；初始化完成后，目標域通過虛擬機監(jiān)控器向源域遷移運行模塊發(fā)送“啟動遷移”信號，進入遷移運行模塊；(4)遷移運行:根據(jù)所選擇的遷移策略和遷移優(yōu)化策略，完成虛擬機狀態(tài)從源域向目標域的拷貝；運行遷移模塊拷貝完虛擬機操作系統(tǒng)的最后狀態(tài)信息，向目標域發(fā)送“拷貝結(jié)束”信號； (5)遷移激活:接收到“拷貝結(jié)束”信號，激活目標域中新遷移的虛擬機，在目標域上恢復源域的服務，向源域返回“遷移成功”信息；源域接收此信息，銷毀源域中被遷移的虛擬機； (6)安全傳輸:通過數(shù)據(jù)加密等措施保證虛擬機在遷移過程中的傳輸安全，保護其機密性和完 整性。
【文檔編號】G06F9/455GK103645949SQ201310671771
【公開日】2014年3月19日 申請日期:2013年12月12日 優(yōu)先權(quán)日:2013年12月12日
【發(fā)明者】李清玉 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司