本发明专利技术公开了一种实现虚拟机系统的安全监控系统及方法,本发明专利技术在虚拟机系统中为每个虚拟机设置安全增强模块,设置了针对虚拟机的安全监控策略,根据安全监控策略对虚拟机进行安全监控。其中,安全监控策略包括安全策略及安全插件,安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略,安全插件是统一设置的安全功能,用户虚拟机可以根据需要,进行选择配置。本发明专利技术可以根据虚拟机个性化需求进行安全监控,减少虚拟机监控器的安全监控功能,进一步使得虚拟机系统的自身结构变得简洁,整个虚拟机系统更加的安全可靠。
【技术实现步骤摘要】
一种实现虚拟机系统的安全监控系统及方法
本专利技术涉及虚拟机系统领域,特别涉及一种实现虚拟机系统的安全监控系统及方法。
技术介绍
虚拟化技术允许在一台物理计算机上设置多台具有物理计算机功能的虚拟机,这些虚拟机可以像真正的物理计算机那样工作,每台虚拟机上具有操作系统,同一物理计算机上的多台虚拟机可以并行工作,各个虚拟机之间的工作是相互独立的,其中一个虚拟机的崩溃不会影响到其他虚拟机。虚拟化技术通过资源的共享,极大地提升了资源的利用率,且促进了云计算的发展,在云端的物理机设置多个虚拟机的方式,可以允许各地人员共用一个物理计算机,最大程度的进行资源共享。虚拟化技术并不需要操作系统做任何更改就可以运行在虚拟机之上,已有的应用程序也很容易地移植到虚拟机之中,这也使得虚拟机很容易让开发人员接受,并且虚拟机还可以提供备份及还原等功能,使得其更受欢迎。图1为现有技术的虚拟机系统结构示意图,包括:一个虚拟机监视器及多个虚拟机,其中,虚拟机监视器,用于监管物理计算机的硬件资源,分别为多个虚拟机提供虚拟机化的硬件资源,分别设置多个虚拟机的权限,设置多个虚拟机之间的隔离性;虚拟机,用于根据虚拟机监视器的设置,在所分配的对应的虚拟化的硬件资源上按照所设置的权限运行;在该系统中,虚拟机监视器所设置的权限为:管理虚拟机和用户虚拟机。管理虚拟机除了拥有用户虚拟机的功能外,还可以管理其他用户虚拟机,比如对控制其他用户虚拟机的开启和关闭,控制其他用户虚拟机拥有多少内存等。在实际应用中,管理虚拟机主要为系统管理员所拥有。用户虚拟机就是普通虚拟机,在虚拟化的硬件资源上运行操作系统,在操作系统下执行应用程序。虚拟机上设置的虚拟化的硬件资源可以运行操作系统,执行各种功能。为了叙述方便,将运行在管理虚拟机的操作系统称为管理操作系统,将运行在用户虚拟机的操作系统称为用户操作系统。在该系统中,虚拟机监视器需要对虚拟机提供虚拟化的硬件资源,而且还设置虚拟机的权限,防止虚拟机访问非授权的硬件资源,保障安全性。因此,虚拟机监视器必须能够控制虚拟机和硬件资源之间的数据交互。传统的安全策略是虚拟机监视器对虚拟机执行的每一条指令进行检测,如果有非法指令,则不运行执行。这种方式会造成虚拟机执行指令的效率比较低下,所以一种高效率的安全策略被提出。该高效率的安全策略为:虚拟机监视器为每个虚拟机设置对应的一个配置文件,该配置文件为虚拟机启动时设置的,配置文件中包括硬件资源访问规则和一个回调函数。其中,硬件资源访问规则表明虚拟机允许访问的硬件资源地址范围,虚拟机运行使用的中断号等。在虚拟机启动时,虚拟机运行时,运行该配置文件,监控虚拟机执行的指令是否符合配置文件中的硬件资源访问规则,如果不符合,则调用配置文件中的回调函数执行。该回调函数设置了各种具体情况信息所对应的处理方式,比如可以采用关闭虚拟机的处理方式或者允许虚拟机访问某些硬件资源等。可以看出,虚拟机监视器是虚拟机系统中的核心单元,通常运行于该系统的最高权限层。随着虚拟机的各种需求增加,虚拟机监视器所承载的功能也急剧增加。如何在虚拟机系统中平衡功能和安全性也成为一大难题。在现实中,出于对市场利益的驱动,往往优先于在虚拟机系统中添加功能,而忽视其可能带来的安全隐患。为了保障虚拟机的安全性,所设置的安全策略主要有两个目的:一个是防止外部攻击虚拟机,另一个是防止虚拟机攻击别人。对于虚拟机系统管理者来说,这两个安全需求同样重要,对于虚拟机的用户来说,其安全需求更侧重于前者。目前,虚拟机系统只允许为所有虚拟机设置统一的安全策略,并不能根据虚拟机个性所需分别设置安全策略,所以这种安全策略设置的方式无法满足各个虚拟机个性需求。
技术实现思路
有鉴于此,本专利技术提供一种实现虚拟机系统的安全监控系统、该系统能够根据虚拟机个性化需求进行安全监控,减少虚拟机监控器的安全监控功能。本专利技术还提供一种实现虚拟机系统的安全监控方法,该方法能够根据虚拟机个性化需求进行安全监控,减少虚拟机监控器的安全监控功能。为达到上述目的,本专利技术实施的技术方案具体是这样实现的:一种实现虚拟机系统的安全监控系统,包括:一虚拟机监视器、一管理虚拟机、多用户虚拟机及一安全增强模块,其中,虚拟机监视器,用于分别为管理虚拟机、用户虚拟机和安全增强模块分配硬件资源及设置访问规则;管理虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与用户虚拟机及安全增强模块交互;用户虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与管理虚拟机和安全增强模块交互;安全增强模块,用于对应用户虚拟机设置安全监控策略,根据安全监控策略监控用户虚拟机或启动后对用户虚拟机的监控事件进行处理。所述安全监控策略包括全局安全策略、自主安全策略或/和具有各种安全功能的安全插件,其中,所述管理虚拟机,还用于将对应用户虚拟机的全局安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将对应自身用户虚拟机的自主安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将所选择的安全插件通过所述虚拟机监视器设置在安全增强模块中。所述全局安全策略或自主安全策略为所设置的配置文件,包括硬件资源访问规则和通过虚拟机监视器回调到安全增强模块的回调函数,将该配置文件设置在所述用户虚拟机运行,监控用户虚拟机执行事件,当符合硬件资源访问规则的事件触发后,则通过所述虚拟机监视器调用回调函数,启动对应的所述安全增强模块上对事件处理。所述虚拟机监视器包括:系统服务模块、虚拟机配置模块及虚拟机调度模块,其中,系统服务模块,用于接收来用户虚拟机、管理虚拟机或安全增强模块发送的请求命令,根据所接收请求命令设置安全增强模块中的安全监控策略;虚拟机配置模块,用于根据系统服务模块接收的请求命令,对用户虚拟机和/或安全增强模块分配或更新硬件资源;虚拟机调度模块,用于安全增强模块需要对用户虚拟机运行的事件处理时,进行用户虚拟机和安全增强模块之间的启动切换。一种实现虚拟机系统的安全监控方法,在虚拟机系统中设置安全增强模块,该方法还包括:在安全增强模块中对应用户虚拟机设置安全监控策略;安全增强模块根据安全监控策略监控用户虚拟机或启动后对用户虚拟机的监控事件进行处理。所述安全监控策略包括全局安全策略、自主安全策略或/和具有各种安全功能的安全插件,其中,全局安全策略是虚拟机系统中的管理虚拟机通过虚拟机系统中的虚拟机监视器设置的;自主安全策略是用户虚拟机通过虚拟机监视器设置的;所述安全插件是由用户虚拟机选择通过虚拟机监视器设置的。所述全局安全策略或自主安全策略为所设置的配置文件,包括硬件资源访问规则和一个通过虚拟机监视器回调到安全增强模块的回调函数,将该配置文件设置在用户虚拟机运行,监控用户虚拟机执行的事件,当符合硬件资源访问规则的事件触发后,则通过虚拟机监视器调用回调函数,启动对应的安全增强模块上对所述监控事件进行处理。由上述方案可以看出,本专利技术在虚拟机系统中为每个虚拟机设置安全增强模块,设置了针对虚拟机的安全监控策略,根据安全监控策略对虚拟机进行安全监控。其中,安全监控策略包括安全策略及安全插件,安全策略可以由用户虚拟机配置的自主安全策略和管理虚拟机配置的全局安全策略,安全插件是统一设置的安全功能,用户虚拟机可以根本文档来自技高网...
【技术保护点】
一种实现虚拟机系统的安全监控系统,其特征在于,包括:一虚拟机监视器、一管理虚拟机、多用户虚拟机及一安全增强模块,其中,虚拟机监视器,用于分别为管理虚拟机、用户虚拟机和安全增强模块分配硬件资源及设置访问规则;管理虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与用户虚拟机及安全增强模块交互;用户虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与管理虚拟机和安全增强模块交互;安全增强模块,用于对应用户虚拟机设置安全监控策略,根据安全监控策略监控用户虚拟机或启动后对用户虚拟机的监控事件进行处理;所述安全监控策略包括全局安全策略、自主安全策略或/和具有各种安全功能的安全插件,其中,所述管理虚拟机,还用于将对应用户虚拟机的全局安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将对应自身用户虚拟机的自主安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将所选择的安全插件通过所述虚拟机监视器设置在安全增强模块中。
【技术特征摘要】
1.一种实现虚拟机系统的安全监控系统,其特征在于,包括:一虚拟机监视器、一管理虚拟机、多用户虚拟机及一安全增强模块,其中,虚拟机监视器,用于分别为管理虚拟机、用户虚拟机和安全增强模块分配硬件资源及设置访问规则;管理虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与用户虚拟机及安全增强模块交互;用户虚拟机,用于在所分配的硬件资源上运行,根据访问规则分别与管理虚拟机和安全增强模块交互;安全增强模块,用于对应用户虚拟机设置安全监控策略,根据安全监控策略监控用户虚拟机或启动后对用户虚拟机的监控事件进行处理;所述安全监控策略包括全局安全策略、自主安全策略或/和具有各种安全功能的安全插件,其中,所述管理虚拟机,还用于将对应用户虚拟机的全局安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将对应自身用户虚拟机的自主安全策略通过所述虚拟机监视器在安全增强模块中设置;所述用户虚拟机,还用于将所选择的安全插件通过所述虚拟机监视器设置在安全增强模块中。2.如权利要求1所述的系统,其特征在于,所述全局安全策略或自主安全策略为所设置的配置文件,包括硬件资源访问规则和通过虚拟机监视器回调到安全增强模块的回调函数,将该配置文件设置在所述用户虚拟机运行,监控用户虚拟机执行事件,当符合硬件资源访问规则的事件触发后,则通过所述虚拟机监视器调用回调函数,启动对应的所述安全增强模块上对事件处理。3.如权利要求1所述的系统,其特征在于,...
【专利技术属性】
技术研发人员:潘无穷,荆继武,林璟锵,高能,夏鲁宁,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。