The embodiment of the present invention provides a method and device for realizing the security isolation of virtual machines. The method includes: using the same layer address space isolation mechanism to create a security isolation execution environment in the virtualization layer; using the security isolation execution environment, using the memory dynamic marking and tracking strategy to isolate the memory of the target virtual machine from the untrusted virtualization execution. The target virtual machine is isolated from other virtual machines, and the context switching and address mapping of the target virtual machine are monitored in the secure isolated execution environment by using VMCS, extended page table structure hiding and virtual machine exit redirection strategy. The embodiment of the invention adopts the same layer address space isolation mechanism to isolate the virtual machine in a non-trusted virtualization execution environment, which can effectively guarantee the system performance overhead, isolate the virtual machine memory comprehensively and improve the system security.
【技术实现步骤摘要】
实现虚拟机安全隔离的方法与装置
本专利技术实施例涉及计算机操作系统与虚拟化
,更具体地,涉及一种实现虚拟机安全隔离的方法与装置。
技术介绍
云计算技术利用虚拟化技术来给上层的多租户提供资源,但是由于多租户资源隔离性不强,导致上层租户中敏感数据泄露问题严峻,数据安全问题已发展成为一个全球性问题,研究非可信虚拟化执行环境中的虚拟机安全具有十分重要的理论意义和实际应用价值。虚拟机监控器(Hypervisor)在底层给上层虚拟机提供物理资源分配和管理功能,并被授予最高权限。当攻击者攻击虚拟机监控器时,很可能会危及到整个云计算基础设施的安全,并危及租户的数据安全。另外,多租户和虚拟机监控器共享底层的物理资源,攻击者通过跨域攻击和虚拟机逃逸攻击,可对共享同一物理服务器的其它虚拟机进行攻击,泄露其敏感数据。目前针对x86平台非可信虚拟化执行环境中虚拟机敏感数据的安全问题的解决方法中,存在系统运行的性能开销大、实现复杂、移植性差以及对原系统改造较大等问题。另外,当前x86平台上的硬件扩展方法SGX只提供对应用程序的隔离保护,无法提供对整个虚拟机的内存保护,且更改复杂。
技术实现思路
为了克服上述问题或者至少部分地解决上述问题,本专利技术实施例提供一种实现虚拟机安全隔离的方法与装置,用以有效保证系统性能开销,全面地对虚拟机内存进行隔离,提高系统的安全性。第一方面,本专利技术实施例提供一种实现虚拟机安全隔离的方法,包括:采用同层地址空间隔离机制,在虚拟化层创建一个安全隔离的执行环境;利用所述安全隔离的执行环境,采用内存动态标记与跟踪策略,将目标虚拟机的内存隔离于非可信的虚拟 ...
【技术保护点】
1.一种实现虚拟机安全隔离的方法,其特征在于,包括:采用同层地址空间隔离机制,在虚拟化层创建一个安全隔离的执行环境;利用所述安全隔离的执行环境,采用内存动态标记与跟踪策略,将目标虚拟机的内存隔离于非可信的虚拟化执行坏境,并实现所述目标虚拟机与其余虚拟机之间的相互隔离;利用VMCS结构体、扩展页表关键数据结构隐藏和虚拟机退出重定向策略,在所述安全隔离的执行环境中,监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。
【技术特征摘要】
1.一种实现虚拟机安全隔离的方法,其特征在于,包括:采用同层地址空间隔离机制,在虚拟化层创建一个安全隔离的执行环境;利用所述安全隔离的执行环境,采用内存动态标记与跟踪策略,将目标虚拟机的内存隔离于非可信的虚拟化执行坏境,并实现所述目标虚拟机与其余虚拟机之间的相互隔离;利用VMCS结构体、扩展页表关键数据结构隐藏和虚拟机退出重定向策略,在所述安全隔离的执行环境中,监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。2.根据权利要求1所述的方法,其特征在于,所述采用同层地址空间隔离机制,在虚拟化层创建一个安全隔离的执行环境的步骤具体包括:采用同层地址空间隔离机制,创建与所述虚拟化层相同特权级别的运行隔离空间框架,得到隔离的地址空间;创建当在原地址空间中监控的事件发生时,所述安全隔离的执行环境和原虚拟化执行环境之间的安全切换门,以隐藏所述隔离的地址空间的入口地址,防止破坏所述安全切换门的安全性;当所述虚拟化层不再可信时,对所述隔离的地址空间进行安全防护,以防止破坏所述隔离的地址空间的安全性。3.根据权利要求1所述的方法,其特征在于,所述利用所述安全隔离的执行环境,采用内存动态标记与跟踪策略,将目标虚拟机的内存隔离于非可信的虚拟化执行坏境,并实现所述目标虚拟机与其余虚拟机之间的相互隔离的步骤具体包括:通过绑定扩展页表和所述目标虚拟机,对扩展页表进行标记,并进行动态内存的标记与跟踪;设定共享页接口,以处理共享页问题,并进行虚拟机地址映射时的潜在多映射和重映射攻击防护。4.根据权利要求2所述的方法,其特征在于,所述监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射的步骤具体包括:在所述隔离的地址空间中,采用VMCS结构体和扩展页表关键数据结构隐藏策略,监控所述目标虚拟机和虚拟机监控器的上下文切换及虚拟机地址映射;在所述隔离的地址空间中,通过退出重定向策略,完成所述目标虚拟机的退出函数处理。5.根据权...
【专利技术属性】
技术研发人员:涂碧波,刘文清,张坤,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。