本发明专利技术提供一种云环境下抗同驻的虚拟机部署方法,步骤包括:1)获取用户已创建的虚拟机数量VmNum,将其与阈值VmNumForCentralize作比较,判断所创建的虚拟机是在蜜罐物理机上还是普通物理机上;2)如果所创建的虚拟机是在普通物理机上,则将VmNum与阈值VmNumForSpread作比较,判断虚拟机是集中创建还是分散创建;3)获取该用户所创建虚拟机已占据的物理机个数HostNum,将其与阈值HostNumForSpread作比较,获取所有物理机的评分,选择评分最高的物理机作为本次创建虚拟机的宿主机;4)获取该宿主机上已承载的用户数UserNum,将其与每个物理机上的阈值UserNumInOneHost比较,如果UserNum不大于UserNumInOneHost,则在此宿主机上创建虚拟机,否则重新选择新的宿主机。
【技术实现步骤摘要】
本专利技术涉及云计算平台安全领域,尤其涉及一种云环境下抗同驻的虚拟机部署方法。
技术介绍
云计算是可以通过虚拟化技术,将云服务提供商,提供的物理资源虚拟化,为用户提供了弹性的计算和存储能力,使得不同的用户可以共享地使用资源。虚拟机(Virtual Machine,VM)是云计算平台中最常见的资源,对于云服务提供商来说,虚拟机资源增加了整个云平台资源的使用率,对于用户来说,虚拟机的资源可以更加灵活可扩展地使用。然而除了这些优点,由于虚拟机资源的使用,产生了一种新的安全威胁——虚拟机同驻(Virtual Machine Co-residency)。虚拟机同驻指的是不同的虚拟机运行在同一台物理机上,同驻的虚拟机共享该台物理机的资源,如cpu、内存、磁盘等。虽然同驻的虚拟机在逻辑上是隔离的,但是实际上,恶意用户可以通过一定的方式来突破隔离。如恶意用户可以通过侧信道(Side Channel)来获取同驻虚拟机的敏感信息,如获取工作负载和网络流量率或者密钥等。除了侧信道,同驻虚拟机还可以通过隐蔽通道(Covert Channel)来将机密信息传递出去,除此之外,同驻虚拟机还可能产生拒绝服务攻击的威胁。为了减少同驻威胁的产生,可以从云平台的虚拟机部署策略入手,从根本上减少同驻威胁的产生。当用户创建一个虚拟机时,云平台会为用户的虚拟机选择一个创建的位置,选择创建位置的算法就是该云平台的虚拟机部署策略。目前的虚拟机部署策略大多关注平台资源的利用率以及平台的电力使用情况,而忽视了云平台中用户的安全特性,虽然由于资源共享特性的存在,虚拟机同驻威胁是不可避免的,但是通过对云平台的虚拟机部署策略的完善,还是可以大大减少虚拟机同驻威胁在云平台上的出现。目前对虚拟机部署策略的安全问题,只有以下研究关注到:AzarY、Kamara S、Menache I等研究人员提出了一种虚拟机分配策略,通过设置一个标签来标记物理机能否创建新的虚拟机,只有存在标记的物理机可以创建用户新创建的物理机,当某一标记物理机创建满虚拟机之后,才对其他物理机进行标记(见Co-location-resistant clouds[C]//Proceedings of the 6th edition oftheACMWorkshop on Cloud Computing Security.ACM,2014:9-20.);Han Y、Chan J、Alpcan T等研究人员也提出一种将物理机进行划分的虚拟机分配策略来减少虚拟机的同驻,
该研究将某一范围的物理机划给某一用户来分配虚拟机(见Using Virtual Machine Allocation Policies to Defend against Co-resident Attacks in Cloud Computing[J].2015.);Varadarajan V、Zhang Y、Ristenpart T等研究人员则是通过指定冲突来减少虚拟机同驻的发生,发生冲突的物理机不能创建某一用户的虚拟机,只有没有冲突的物理机才可以创建(见A placement vulnerability study in multi-tenant public clouds[C]//24th USENIX Security Symposium(USENIX Security 15).2015:913-928.)。以上的研究不足之处是,需要引入新的属性以进行决策,而且会导致更多的资源消耗。
技术实现思路
针对上述问题,本专利技术提供一种云环境下抗同驻的虚拟机部署方法,减少不同用户之间同驻的发生概率,即增加某一恶意用户企图获取与目标虚拟机同驻的虚拟机的难度。采用“先分散后集中,且越创建越集中”的虚拟机分配策略,该策略设定了四种阈值,包括:一个用户分散创建的虚拟机个数阈值VmNumForSpread、一个用户集中创建的虚拟机个数阈值VmNumForCentralize、一个用户分散创建虚拟机覆盖的物理机个数阈值HostNumForSpread、一个物理机承载的用户个数阈值UserNumInOneHost等,本专利技术还使用了蜜罐物理机来减少同驻概率,设计了虚拟机的部署算法以及蜜罐物理机的选择算法。为解决上述技术问题,本专利技术所采用的技术方案为:一种云环境下抗同驻的虚拟机部署方法,步骤包括:1)获取用户已创建的虚拟机数量VmNum,将其与一个用户集中创建的虚拟机个数阈值VmNumForCentralize作比较,判断所创建的虚拟机是在蜜罐物理机上还是普通物理机上;2)如果所创建的虚拟机是在普通物理机上,则将VmNum与一个用户分散创建的虚拟机个数阈值VmNumForSpread作比较,判断虚拟机是集中创建还是分散创建;3)获取该用户所创建虚拟机已占据的物理机个数HostNum,将其与一个用户分散创建覆盖的物理机个数阈值HostNumForSpread作比较,获取所有物理机的评分,选择评分最高的物理机作为本次创建虚拟机的宿主机;4)获取该宿主机上已承载的用户数UserNum,将其与每个物理机上承载最多的用户数阈值UserNumInOneHost比较,如果UserNum不大于UserNumInOneHost,则在此宿主机上创建虚拟机,否则重新选择新的宿主机。进一步地,所述VmNum、HostNum、UserNum和评分由负责云平台虚拟机部署的调度器获取。进一步地,如果VmNum大于VmNumForCentralize,则所创建的虚拟机是在蜜罐物理机上,
否则在普通物理机上。进一步地,如果VmNum大于VmNumForSpread,则虚拟机是集中创建,否则是分散创建。进一步地,所述蜜罐物理机由整个云平台中资源量足够的多个物理机来承担。进一步地,所述蜜罐物理机的数量根据平台用户规模决定,由云平台管理员配置。进一步地,如果虚拟机是集中创建,则根据每个物理机上创建该用户的虚拟机个数,对物理机进行正向的加权;如果虚拟机是分散创建,则根据每个物理机上创建该用户的虚拟机个数,对物理机进行反向的加权。进一步地,获取评分的方法是:如果HostNum不大于HostNumForSpread,则根据每个物理机上创建该用户的虚拟机个数,对物理机进行反向的加权;如果HostNum大于HostNumForSpread,则根据每个物理机上创建该用户的虚拟机个数,对物理机进行正向的加权;经过上述加权后,根据每个物理机剩余的资源量对每个物理机进行正向的加权,获取评分。进一步地,根据所述评分,对所有物理机按照评分从高到低进行排名,按照该排名选择创建虚拟机的宿主机。进一步地,所述重新选择新的宿主机是指,选择除原宿主机以外的评分最高的物理机作为创建虚拟机的新的宿主机。本专利技术的有益效果是,现有技术需要引入新的属性以进行决策,且会导致更多的资源消耗,与之相比,本方法部署简单,不需添加额外的属性,只需要修改云平台相应的调度部分即可,通过制定四个阈值,云平台管理员可根据自己对安全性和可用性的权衡,来快速调节部署策略,灵活性好,而且在提高虚拟机抗同驻能力的同时不会引入更多的资源消耗。本方法是关注安全的虚拟机部署策略,防止恶意用户攻击普通用户,效果明显,可以减少同驻情况本文档来自技高网...
【技术保护点】
一种云环境下抗同驻的虚拟机部署方法,步骤包括:1)获取用户已创建的虚拟机数量VmNum,将其与一个用户集中创建的虚拟机个数阈值VmNumForCentralize作比较,判断所创建的虚拟机是在蜜罐物理机上还是普通物理机上;2)如果所创建的虚拟机是在普通物理机上,则将VmNum与一个用户分散创建的虚拟机个数阈值VmNumForSpread作比较,判断虚拟机是集中创建还是分散创建;3)获取该用户所创建虚拟机已占据的物理机个数HostNum,将其与一个用户分散创建覆盖的物理机个数阈值HostNumForSpread作比较,获取所有物理机的评分,选择评分最高的物理机作为本次创建虚拟机的宿主机;4)获取该宿主机上已承载的用户数UserNum,将其与每个物理机上承载最多的用户数阈值UserNumInOneHost比较,如果UserNum不大于UserNumInOneHost,则在此宿主机上创建虚拟机,否则重新选择新的宿主机。
【技术特征摘要】
1.一种云环境下抗同驻的虚拟机部署方法,步骤包括:1)获取用户已创建的虚拟机数量VmNum,将其与一个用户集中创建的虚拟机个数阈值VmNumForCentralize作比较,判断所创建的虚拟机是在蜜罐物理机上还是普通物理机上;2)如果所创建的虚拟机是在普通物理机上,则将VmNum与一个用户分散创建的虚拟机个数阈值VmNumForSpread作比较,判断虚拟机是集中创建还是分散创建;3)获取该用户所创建虚拟机已占据的物理机个数HostNum,将其与一个用户分散创建覆盖的物理机个数阈值HostNumForSpread作比较,获取所有物理机的评分,选择评分最高的物理机作为本次创建虚拟机的宿主机;4)获取该宿主机上已承载的用户数UserNum,将其与每个物理机上承载最多的用户数阈值UserNumInOneHost比较,如果UserNum不大于UserNumInOneHost,则在此宿主机上创建虚拟机,否则重新选择新的宿主机。2.根据权利要求1所述的方法,其特征在于,所述VmNum、HostNum、UserNum和评分由负责云平台虚拟机部署的调度器获取。3.根据权利要求1所述的方法,其特征在于,如果VmNum大于VmNumForCentralize,则所创建的虚拟机是在蜜罐物理机上,否则在普通物理机上。4.根据权利要求1所述的方法,其特征在于,如...
【专利技术属性】
技术研发人员:沈晴霓,李聪,杨雅辉,吴中海,
申请(专利权)人:北京大学,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。