一种虚拟机动态迁移安全框架的制作方法

文档序号:6512157阅读:143来源:国知局
一种虚拟机动态迁移安全框架的制作方法
【专利摘要】本发明涉及计算机信息安全【技术领域】,是提供一种安全框架,特别涉及一种虚拟机动态迁移安全框架。本发明由集中控制引擎和本地迁移引擎组成,集中控制引擎在安全策略的控制下,提供双向身份鉴别、访问控制、安全审计功能,并实时监控物理服务器和虚拟机的资源使用情况,为虚拟机动态迁移提供资源依据;本地迁移引擎在安全策略的控制下,根据既定的迁移策略,分阶段完成虚拟机的动态迁移。该安全框架支持多种安全机制和虚拟机动态迁移策略,有效保护虚拟机敏感信息的安全性,抵御针对虚拟机动态迁移的安全攻击,并具有较强的兼容性。
【专利说明】一种虚拟机动态迁移安全框架
【技术领域】
[0001]本发明涉及计算机信息安全【技术领域】,是提供一种安全框架,特别涉及一种虚拟机动态迁移安全框架。
[0002]
【背景技术】
[0003]随着虚拟化技术的发展,产生了很多新技术,其中虚拟机动态迁移是虚拟化独有的也是其最重要的技术之一。虚拟机动态迁移,是指虚拟机在运行时且能持续提供服务的前提下,从一台虚拟平台服务器迁移到其它的虚拟平台服务器运行。虚拟机动态迁移实现了虚拟机运行状态通过网络在物理机之间快速透明的迁移,可以用于大規模虚拟化环境中负载的动态调整、系统在线维护和主动容错以及应用的灵活部署、资源优化和电源管理等,应用广泛。
[0004]目前,Citrix Systems、VMware以及微软等几家主要的虚拟平台厂商都提出了自己虚拟机动态迁移技木。然而,现有的虚拟机动态迁移技术和产品中却存在着重大的安全隐患,也曝光了若干安全漏洞,在动态迁移的实现极少甚至没有考虑动态迁移的安全性。业界已经认识到虚拟机动态迁移的安全性及其重要性,并开展了深入的研究。针对虚拟机动态迁移的安全威胁和攻击,主要包括三类:
(1)控制层面
虚拟机监控器启动和管理虚拟机动态迁移的通信机制必须进行鉴别并能抵抗攻击。此夕卜,必须保护在控制层面中使用的协议以避免欺骗和重放攻击。缺乏正确的访问控制可使得攻击者能任意启动虚拟机迁移。攻击者可能操纵虚拟机监控器的控制层面以影响虚拟机动态迁移并获得客户操作系统的控制。针对控制层面的攻击包括迁入控制、迁出控制、发布虚假资源等;
(2)数据层面
必须确保进行虚拟机迁移的数据层面的安全性并保护其免于对客户操作系统状态的窥探和破坏。针对数据层面的被动攻击可导致客户操作系统中敏感信息的泄露,而主动攻击可导致客户操作系统的完全破坏。攻击者可使用诸如ARP欺骗、DNS投毒和路由劫持等技木,使其逻辑地处于迁移传输路径中,从而导致针对虚拟机动态迁移的中间人攻击;
(3)迁移模块
实现虚拟机动态迁移功能的虚拟机监控器组件必须能抵御攻击。由于迁移模块提供网络服务,通过服务进行虚拟机的传输,常见的软件漏洞如栈、堆和整数溢出可被远程攻击者所利用以破坏虚拟机监控器。即使虚拟机迁移并不常常视为开放的服务,迁移模块的代码却没有得到详细的审查。
[0005]Xensploit工具,对虚拟机的动态迁移执行中间人攻击。其原理是,在虚拟机动态迁移过程中,当虚拟机在网络中传输时,操控虚拟机的内存。Xensploit基于fragroute框架,能够攻击Xen和VMware的虚拟机动态迁移。
【发明内容】

[0006]为了解决现有技术的问题,本发明提供了一种虚拟机动态迁移安全框架,其通过提供安全保障机制,保护虚拟机敏感信息的安全性,抵御针对虚拟机动态迁移的安全攻击。
[0007]本发明所采用的技术方案如下:
一种虚拟机动态迁移安全框架,由集中控制引擎和位于各独立服务器上的本地迁移引擎组成,所述的集中控制引擎从整体上掌握平台中物理和虚拟资源的使用情况,在安全迁移策略的控制下,按需发起虚拟机动态迁移操作,实现平台范围内的负载均衡;所述的本地迁移引擎向集中控制引擎提供本地资源使用情况、接收集中控制引擎发出的迁移请求并进行实际的迁移操作。
[0008]集中控制引擎由安全迁移策略、身份鉴别、访问控制、安全审计、热点探查、安全迁移管理六个部分组成,其中,
安全迁移策略:管理和制定虚拟机动态迁移的安全策略,只有满足安全迁移策略的迁移请求,才能允许执行;
身份鉴别:通过公钥证书等方式,对虚拟机迁移的源域、目标域进行双向身份鉴别,核验源域、目标域身份的合法性;
访问控制:对虚拟机动态迁移相关的操作、请求等进行强制访问控制或基于角色的访问控制,只有拥有动态迁移权限的虚拟机才能被动态迁移;
安全审计:记录虚拟机动态迁移过程中的一切操作痕迹,作为一种事后追踪、取证的措施,追查虚拟机动态迁移相关的风险和漏洞;
热点探查:周期性地与本地迁移引擎中的资源监控器发出请求,获取各物理服务器和虚拟机对于CPU、内存和网络带宽的使用情况,并汇集形成整个平台的资源使用概况,根据资源使用概况查找资源使用热点,提供给安全迁移管理模块使用;
安全迁移管理:最终确定是否发起以及如何发起虚拟机的动态迁移操作,在满足虚拟机迁移所需资源时,向本地迁移引擎发生“迁移请求”信号。
[0009]热点探查部分中,热点的探查主要基于以下:
A、虚拟机的服务等级协议不能被满足;
B、物理服务器对于CPU和带宽的使用率超过预定阀值;
C、物理服务器频繁发生内存换出。
[0010]所述的本地迁移引擎由资源监控器、迁移监听、迁移支撑、迁移运行、迁移唤醒、安全传输六个部分组成,其中,
资源监控器:负责获取本地服务器上CPU、内存和网络带宽等资源的使用情况以及各虚拟机的资源使用情况;
迁移支撑:提供虚拟机动态迁移所需的支撑基础,包括迁移策略和迁移优化策略,迁移监听模块根据当前资源使用情况、可用网络带宽等条件选择适合的迁移策略和迁移优化策略;
迁移监听:从集中控制引擎接收迁移请求,同目标域中的迁移监听交互,从迁移支撑模块中选择合适的迁移策略和迁移优化策略;
迁移运行:根据所选择的迁移策略和迁移优化策略,完成虚拟机状态从源域向目标域的拷贝;迁移运行模块拷贝完虚拟机操作系统的最后状态信息,向目标域发送“拷贝结束”
信号;
迁移激活:接收到“拷贝结束”信号,激活目标域中新迁移的虚拟机,在目标域上恢复源域的服务,向源域返回“迁移成功”信息;
安全传输:通过数据加密等措施保证虚拟机在迁移过程中的传输安全,保护其机密性和完整性。
[0011]本发明提供的技术方案带来的有益效果是:
本发明的安全框架支持多种安全机制和虚拟机动态迁移策略,有效保护虚拟机敏感信息的安全性,抵御针对虚拟机动态迁移的安全攻击,并具有较强的兼容性。
【专利附图】

【附图说明】
[0012]图1为本发明的一种虚拟机动态迁移安全框架的结构图。
【具体实施方式】
[0013]为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进ー步地详细描述。
[0014]本实施例的虚拟机动态迁移安全框架由集中控制引擎和位于各独立服务器上的本地迁移引擎组成。
[0015]集中控制引擎从整体上掌握平台中物理和虚拟资源的使用情况,在安全迁移策略的控制下,按需发起虚拟机动态迁移操作,实现平台范围内的负载均衡。
[0016]集中控制引擎由安全迁移策略、身份鉴别、访问控制、安全审计、热点探査、安全迁移管理六个部分组成。
[0017](I)安全迁移策略:管理和制定虚拟机动态迁移的安全策略,只有满足安全迁移策略的迁移请求,才能允许执行。
[0018](2)身份鉴别:通过公钥证书等方式,对虚拟机迁移的源域、目标域进行双向身份鉴别,核验源域、目标域身份的合法性。
[0019](3)访问控制:对虚拟机动态迁移相关的操作、请求等进行强制访问控制或基于角色的访问控制,只有拥有动态迁移权限的虚拟机才能被动态迁移。
[0020](4)安全审计:记录虚拟机动态迁移过程中的一切操作痕迹,作为ー种事后追踪、取证的措施,追查虚拟机动态迁移相关的风险和漏洞。
[0021](5)热点探査:周期性地与本地迁移引擎中的资源监控器发出请求,获取各物理服务器和虚拟机对于CPU、内存和网络带宽的使用情況,并汇集形成整个平台的资源使用概况,根据资源使用概况查找资源使用热点,提供给安全迁移管理模块使用。
[0022]热点的探査主要基于以下几点:虚拟机的SLA不能被满足,例如不能获得期望的网络带宽;物理服务器对于CPU和带宽的使用率超过预定阀值;物理服务器频繁发生内存换出等。
[0023](6)安全迁移管理:最終确定是否发起以及如何发起虚拟机的动态迁移操作。在满足虚拟机迁移所需资源时,向本地迁移引擎发生“迁移请求”信号。
[0024]本地迁移引擎向集中控制引擎提供本地资源使用情况、接收集中控制引擎发出的迁移请求并进行实际的迁移操作。
[0025]本地迁移引擎主要由资源监控器、迁移监听、迁移支撑、迁移运行、迁移唤醒、安全传输六个部分组成。
[0026](I)资源监控器:负责获取本地服务器上CPU、内存和网络带宽等资源的使用情况以及各虚拟机的资源使用情况。在虚拟环境下,各虚拟机对于不同资源的需求不尽相同,取决于其中执行的应用程序。
[0027](2)迁移支撑:提供虚拟机动态迁移所需的支撑基础,包括迁移策略和迁移优化策略,迁移监听模块根据当前资源使用情况、可用网络带宽等条件选择适合的迁移策略和迁移优化策略。
[0028](3)迁移监听:从集中控制引擎接收迁移请求,同目标域中的迁移监听交互,从迁移支撑模块中选择合适的迁移策略和迁移优化策略。目标域中的迁移监听进行虚拟机动态迁移的初始化,如在目标域进行迁移虚拟机的创建工作,创建源域的虚拟设备、为新建的域进行内存的动态分配、对新建的域进行设置等。初始化完成后,目标域通过虚拟机监控器VMM向源域迁移运行模块发送“启动迁移”信号,进入迁移运行模块。
[0029](4)迁移运行:根据所选择的迁移策略和迁移优化策略,完成虚拟机状态从源域向目标域的拷贝。迁移运行模块拷贝完虚拟机操作系统的最后状态信息,向目标域发送“拷贝结束”信号。
[0030](5)迁移激活:接收到“拷贝结束”信号,激活目标域中新迁移的虚拟机,在目标域上恢复源域的服务,向源域返回“迁移成功”信息。源域VMM接收此信息,销毁源域中被迁移虚拟机。
[0031](6)安全传输:通过数据加密等措施保证虚拟机在迁移过程中的传输安全,保护其机密性和完整性。
[0032]本实施例的工作原理如下:
(一)环境构成
(I)虚拟环境
在虚拟环境中,设两台物理服务器Sa和Sb分别运行着源域A和目标域B。源域A中,运行着虚拟机监控器VMM,特权虚拟机DomO、虚拟机VMa ;目标域B中,运行着虚拟机监控器VMM,特权虚拟机DomO。
[0033]目标域B具有虚拟机动态迁移所需的资源,源域A中的虚拟机VMa将根据虚拟机动态迁移安全框架迁移到目标域B中。
[0034](2)虚拟机动态迁移安全框架
虚拟机动态迁移安全框架由集中控制引擎和位于独立服务器上的本地迁移引擎组成。集中控制引擎运行于独立的服务器中,本地迁移引擎运行于源域A和源域B的特权虚拟机DomO 中。
[0035](二)集中控制引擎
集中控制引擎从整体上掌握平台中物理和虚拟资源的使用情况,根据预设策略,在安全迁移策略的控制下,按需发起虚拟机动态迁移操作,实现平台范围内的负载均衡。集中控制引擎由安全迁移策略、身份鉴别、访问控制、安全审计、热点探查、安全迁移管理六个部分组成。[0036](三)本地迁移引擎
本地迁移引擎向集中控制引擎提供本地资源使用情况、接收集中控制引擎发出的迁移请求并进行实际的迁移操作。本地迁移引擎由资源监控器、迁移监听、迁移支撑、迁移运行、迁移唤醒、安全传输六个部分组成。
[0037](四)框架初始化
(I)迁移安全策略制定:通过安全迁移策略模块制定虚拟机动态迁移所应满足的安全策略;同时也制定強制访问控制策略等。
[0038](2)身份鉴别:设置參与虚拟机动态迁移过程的源域A和目标域B的公钥数字证书CertA和CertB,通过公钥数字证书进行源域A和目标域B的双向身份鉴别。
[0039](3)权限管理:设置參与虚拟机动态迁移过程中虚拟机的权限,如迁移虚拟机。
[0040](4)热点探査条件:设定热点探査条件,据此热点探查模块进行热点探査,并选择满足虚拟机动态迁移所需 资源的虚拟机。
[0041](5)安全传输參数:设置安全传输所用的加密算法、密钥长度、操作模式、杂凑算法等。
[0042](6)迁移支撑:设置虚拟机动态迁移所使用的迁移策略,如内存预拷贝策略、内存后拷贝策略等,迁移优化策略,如内存压缩、DMA方式等。
[0043](五)虚拟机动态迁移
(I)集中控制引擎中的热点探查通过本地迁移引擎中的资源监控器实时获取物理服务器Sa、Sb以及虚拟机源域A和目标域B中的资源使用情况,形成整个虚拟环境中资源使用概況,根据热点探査条件,选择满足虚拟机动态迁移所需资源的目标域B。
[0044](2)进行源域A和目标域B的双向身份鉴别,通过后检查源域A和目标域B的权限。只有通过后,选择加密算法、密钥长度、操作模式以及杂凑算法,并建立安全传输通道。源域A中的安全迁移管理向源域A中的迁移监听发生迁移请求信号。
[0045](3)接收到迁移请求,源域A中的迁移监听同目标域B中的迁移监听交互,从迁移支撑模块中选择合适的迁移策略和迁移优化策略。
[0046](4)进行虚拟机动态迁移的初始化,如在目标域B进行迁移虚拟机VMa’的创建エ作,创建源域的虚拟设备、为新建的域进行内存的动态分配、对新建的域进行设置等。初始化完成后,目标域通过虚拟机监控器VMM向源域A迁移运行模块发送“启动迁移”信号,进入迁移运行模块。
[0047](5)根据所选择的迁移策略和迁移优化策略,完成虚拟机状态从源域A向目标域B的拷贝。运行迁移模块拷贝完虚拟机操作系统的最后状态信息,向目标域B发送“拷贝结
束”信号。
[0048](6)目标域B中迁移激活接收到“拷贝结束”信号,激活新迁移的虚拟机VMa’,在目标域B上恢复源域A的服务,向源域A返回“迁移成功”信息。源域A中VMM接收此信息,销毁源域中被迁移虚拟机VMa。
[0049]以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种虚拟机动态迁移安全框架,由集中控制引擎和位于各独立服务器上的本地迁移引擎组成,所述的集中控制引擎从整体上掌握平台中物理和虚拟资源的使用情况,在安全迁移策略的控制下,按需发起虚拟机动态迁移操作,实现平台范围内的负载均衡;所述的本地迁移引擎向集中控制引擎提供本地资源使用情况、接收集中控制引擎发出的迁移请求并进行实际的迁移操作。
2.根据权利要求1所述的ー种虚拟机动态迁移安全框架,其特征在于,所述的集中控制引擎由安全迁移策略、身份鉴别、访问控制、安全审计、热点探査、安全迁移管理六个部分组成,其中, 安全迁移策略:管理和制定虚拟机动态迁移的安全策略,只有满足安全迁移策略的迁移请求,才能允许执行; 身份鉴别:通过公钥证书等方式,对虚拟机迁移的源域、目标域进行双向身份鉴别,核验源域、目标域身份的合法性; 访问控制:对虚拟机动态迁移相关的操作、请求等进行强制访问控制或基于角色的访问控制,只有拥有动态迁移权限的虚拟机才能被动态迁移; 安全审计:记录虚拟机动态迁移过程中的一切操作痕迹,作为ー种事后追踪、取证的措施,追查虚拟机动态迁移相关的风险和漏洞; 热点探査:周期性地与本地迁移引擎中的资源监控器发出请求,获取各物理服务器和虚拟机对于CPU、内存和网络带宽的使用情况,并汇集形成整个平台的资源使用概况,根据资源使用概况查找资源使用热点,提供给安全迁移管理模块使用; 安全迁移管理:最終确定是否发起以及如何发起虚拟机的动态迁移操作,在满足虚拟机迁移所需资源时,向本地迁移`引擎发生“迁移请求”信号。
3.根据权利要求2所述的ー种虚拟机动态迁移安全框架,其特征在干,所述的热点探查部分中,热点的探査主要基于以下: A、虚拟机的服务等级协议不能被满足; B、物理服务器对于CPU和带宽的使用率超过预定阀值; C、物理服务器频繁发生内存换出。
4.根据权利要求1所述的ー种虚拟机动态迁移安全框架,其特征在于,所述的本地迁移引擎由资源监控器、迁移监听、迁移支撑、迁移运行、迁移唤醒、安全传输六个部分組成,其中, 资源监控器:负责获取本地服务器上CPU、内存和网络带宽等资源的使用情况以及各虚拟机的资源使用情况; 迁移支撑:提供虚拟机动态迁移所需的支撑基础,包括迁移策略和迁移优化策略,迁移监听模块根据当前资源使用情况、可用网络带宽等条件选择适合的迁移策略和迁移优化策略; 迁移监听:从集中控制引擎接收迁移请求,同目标域中的迁移监听交互,从迁移支撑模块中选择合适的迁移策略和迁移优化策略; 迁移运行:根据所选择的迁移策略和迁移优化策略,完成虚拟机状态从源域向目标域的拷贝;迁移运行模块拷贝完虚拟机操作系统的最后状态信息,向目标域发送“拷贝结束”信号;迁移激活:接收到“拷贝结束”信号,激活目标域中新迁移的虚拟机,在目标域上恢复源域的服务,向源域返回“迁移成功”信息; 安全传输:通过数据加密等措施保证虚拟机在迁移过程中的传输安全,保护其机密性和完整 性。
【文档编号】G06F21/31GK103455373SQ201310426905
【公开日】2013年12月18日 申请日期:2013年9月18日 优先权日:2013年9月18日
【发明者】李清玉 申请人:浪潮电子信息产业股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1