大小、CPU核数等,然后再选择是否启用安全模式,当选择安全模式后,就可按照一星到五星的级另IJ,选择自己可以接受的安全等级,该过程的流程图如图2所示。
[0035]4.开源的虚拟机管理器安全管理方法
本发明的桌面云环境是采用基于Linux的虚拟化平台。由于该平台的开源性,所以较容易存在攻击风险。为此,本发明采用限制对KVM主机上服务和端口的访问来保护桌面云环境免遭未经授权的入侵。如果主机受到侵害,则该主机上的虚拟机也将面临受到侵害的威胁。为此,通过设定特定的防火墙规则来保护KVM主机,并且对默认的类似SSH等服务进行关闭,以达到最大限度的防止入侵威胁。本发明通过Active Directory目录服务来配置KVM实现对用户的管理。如果要在每台主机上都创建本地用户帐户,则涉及到必须在多个主机间同步帐户名和密码的问题。若将KVM主机加入到Active Directory域中,贝lj无需再创建和维护本地用户帐户。使用Active Directory进行用户身份验证可以简化KVM主机配置,并能降低可导致出现未授权访问的配置问题的风险。为提高KVM主机的安全性,本发明将其置于锁定模式。在锁定模式下,所有操作都必须通过桌面云的管理平台执行。当主机处于锁定模式时,任何直接访问虚拟机管理器的途径都将被关闭。
[0036]除此之外,关闭一切软件安装功能。不论各类软件库,或者rPm、deb包等默认的Linux所支持的软件都将剔除其对应的软件包安装方法。取而代之的是本发明提供的一个统一认证平台,倘若要安装新的软件,必须在该认证平台上进行申请,申请认证成功后再从桌面云的管理平台的入口导入该软件。像防火墙规则等类似的服务,也需要通过和软件一样的方式进行安装或升级。通过采用这样的策略,本发明可以确保运行桌面虚拟化的虚拟机管理器环境的绝对安全,从而从根本上保证所有虚拟机的安全性。
[0037]最后,本发明还在宿主机上采用了隔离方法。所谓隔离性,就是通过硬件的冗余为每一个虚拟机保留一个独立的执行通道,这个通道包括独立的CPU计算资源、内存、I/O通道等。主要采用以下两种方式:
第一种是硬件协助的安全内存管理(SMM)
当虚拟机共享或者重新分配硬件资源时会造成很多的安全风险。首先,信息可能会在虚拟机之间被泄露。其次,如果虚拟机占用额外的内存,然而在释放的时候没有重置这些区域,分配在这块内存上的新的虚拟机就可以读取到敏感信息。本发明采用SMM提供加/解密来实现客户虚拟机内存与VM0内存间的隔离。SMM架构图如图3所示。
[0038]第二种是硬件协助的安全I/O管理(S10M)
在KVM中,每台客户虚拟机都被分配了软件模拟的I/O设备。在主机上,所有虚拟机共享用来虚拟I/O设备的内存和物理I/O设备的缓存。这里设计了一个基于硬件的安全的I/O虚拟架构。图4中的箭头表明I/O路径不再通过VM0,所以采用VMM强制执行虚拟隔离方法,使得即使VM0的出现故障也不会影响到整个I/O系统。
[0039]对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。
[0040]此外,应当理解,虽然本说明书按照实施方式加以描述,但并非每个实施方式仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
【主权项】
1.一种桌面云环境下的虚拟机安全加固方法,其特征在于,包括以下几个步骤: 步骤一:解决远程桌面协议连接的安全性问题;将Token作为一种端口变动规则,并集结合Hash运算,来改变默认的SPICE连接端口号,产生不与该VMM上其他虚拟机端口号重复的端口; 步骤二:解决一台宿主机和运行在其上的虚拟机的安全问题,解决的问题包括VMM安全防护、VM安全防护、VM与VMM安全防护及VM与VM安全防护; 步骤三:解决桌面云安全资源按需分配问题,采用Virt1半虚拟化框架来提供虚拟机与虚拟机管理器间的I/O数据传输,并且根据Virt1的可编程性来提供桌面云安全资源按需分配方案; 步骤四:解决开源的虚拟机管理器的安全防护问题,采用限制对KVM主机上服务和端口的访问来保护桌面云免遭未经授权的入侵;提供一个统一认证平台,如果安装新的软件,需要在认证平台进行申请,申请认证成功后再从桌面云的管理平台的入口导入该软件。2.根据权利要求1所述桌面云环境下的虚拟机安全加固方法,其特征在于,所述VMM安全防护包括两部分,第一:解决VM超载:合理部署虚拟机,对虚拟机状态进行监控,对虚拟机进行动态迀移;第二:解决恶意更改VMM配置:强制访问控制防止被修改,使用TPM保护数据,实时监控并与标准配置对比。3.根据权利要求1所述桌面云环境下的虚拟机安全加固方法,其特征在于,所述的VM安全防护包括:首先,对虚拟机进行源码的脆弱性检测、漏洞扫描、软件升级、虚拟化脆弱性检测和虚拟机隔离与加固,在部署阶段发现虚拟机软件的漏洞;其次,使用虚拟机的完整性度量、VMM安全增强方法提高运行阶段VMM的安全性;然后利用隔离、强制性访问、虚拟机隔离与加固和动态完整性度量方法保证虚拟机运行时的安全。4.根据权利要求1所述桌面云环境下的虚拟机安全加固方法,其特征在于,所述的VMM与VM之间的安全防护分为三个部分,第一、解决VMM修改VM内存问题:限制VMM对VM控制能力,限制VMM进入VM的内存,入侵检测防止VMM对VM的入侵,监视VMM执行的命令和操作;第二、解决VMM修改VM指令问题:限制VMM对VM控制能力,使用隔离方法限制VMM进入VM的内存,入侵检测防止VMM对VM的入侵,监视VMM执行的命令和操作;第三、解决VMM窃取VM数据问题:限制VMM对VM控制能力,通过审计手段监视VMM执行的命令和操作。5.根据权利要求4所述桌面云环境下的虚拟机安全加固方法,其特征在于,隔离方法是在宿主机上采用的;采用以下两种方式: 第一种是硬件协助的安全内存管理:采用SMM提供加/解密来实现客户虚拟机内存与VM0内存间的隔离; 第二种是硬件协助的安全I/O管理:采用VMM强制执行虚拟隔离方法,使得即使VM0的出现故障也不会影响到整个I/O系统。6.根据权利要求1所述桌面云环境下的虚拟机安全加固方法,其特征在于,所述的VM与VM之间的安全防护包括两部分,第一、解决同物理机上VM间通信不可视的问题:在VMM中实现对同一物理机上虚拟机间通信流量进行安全监控;第二、解决共享VM内存和缓冲区的问题:使用内存擦除方法时擦除内存或缓冲区中的内容,使用一个独立的执行通道防止出现共享缓冲。7.根据权利要求6所述桌面云环境下的虚拟机安全加固方法,其特征在于,所述独立的 执行通道包括独立的CPU计算资源、内存与I/O通道。
【专利摘要】本发明公开了一种桌面云环境下的虚拟机安全加固方法,包括解决远程桌面协议连接的安全性问题;解决一台宿主机和运行在其上的虚拟机的安全问题,解决桌面云安全资源按需分配问题,解决开源的虚拟机管理器的安全防护问题。本发明主要是研究了和桌面云后台安全相关的各类问题,通过降低关键因素对于虚拟机安全的影响,辅以专门针对桌面虚拟化环境下的资源调度,实现了对虚拟机的安全加固以及虚拟机的安全管理,保证了用户的虚拟机安全。
【IPC分类】H04L29/06, G06F9/455, G06F21/12, H04L29/08, G06F21/57
【公开号】CN105487916
【申请号】CN201510818384
【发明人】翁树华
【申请人】上海君是信息科技有限公司
【公开日】2016年4月13日
【申请日】2015年11月24日