一种基于集群虚拟机license认证的安全监控方法技术

本发明专利技术提供了一种基于集群虚拟机license认证的安全监控方法，包括如下步骤：S1、在cvm创建虚拟机的同时，利用加密算法生成license；S2、通过虚拟机部署模式直接将license信息注入到虚拟机内部；S3、通过虚拟机内部的agent程序判断license的有效性，进而判断虚拟机是否在安全的hypervisor环境中。本发明专利技术所述的基于集群虚拟机license认证的安全监控方法如果运行中不安全的hypervisor环境当中，也能保证安全有效的监控和保护，创新性的采用投票算法，判断整个集群的license有效性。

【技术实现步骤摘要】
一种基于集群虚拟机license认证的安全监控方法
本专利技术属于云计算安全
，尤其是涉及一种基于集群虚拟机license认证的安全监控方法。
技术介绍
基于虚拟化的内部监控模型的典型代表系统是Lares和SIM，图1描述了Lares内部监控系统的架构。在Lares内部监控系统的架构中，安全工具部署在一个隔离的虚拟机中，该虚拟机所在的环境在理论上被认为是安全的，称为安全域，如Xen的管理虚拟机。基于虚拟化的外部监控模型的典型代表是Liveware，图2描述了Livewire外部监控系统的架构。对比图1和图2可以看出，外部监控架构中安全工具和客户操作系统的部署和内部监控架构相同，分别位于两个彼此隔离的虚拟机中，增强了安全工具的安全性。但是现有技术方案问题，就是如果目标虚拟机被盗走，运行在不安全的hypervisor环境上，那么虚拟机的保护将会全部失效。一旦虚拟机被运行在不安全的hypervisor之上，理论上目标虚拟机内的任何资料都将无法得到保护，目标虚拟机的任何行为都将不受控制。目标虚拟机上的核心数据有被窃取的风险。当前云平台大多由多个虚拟机组成一个集群软件提供特定服务。单个虚拟机的破解有可能意味着整个集群内所有服务所有数据的丢失。本文将采用投票机制保证监控范围内的虚拟机一旦被破解，将无法加入软件集群获取数据，再有当集群内大多数虚拟机被攻破，那么整个集群都将不能得到执行。
技术实现思路
有鉴于此，本专利技术旨在提出一种基于集群虚拟机license认证的安全监控方法，以解决目前目标虚拟机上的核心数据存在被窃取的问题。为达到上述目的，本专利技术的技术方案是这样实现的：一种基于集群虚拟机license认证的安全监控方法，包括如下步骤：S1、在cvm创建虚拟机的同时，利用加密算法生成license；S2、通过虚拟机部署模式直接将license信息注入到虚拟机内部；S3、通过虚拟机内部的agent程序判断license的有效性，进而判断虚拟机是否在安全的hypervisor环境中。进一步的，所述步骤S1中，加密算法为ras加密算法。进一步的，所述步骤S3中，通过虚拟机的mac地址进行校验；如果校验正确，说明目标虚拟机运行在安全的hypervisor环境中，正常启动，同时上传虚拟机正常的状态信息；如果校验失败，说明目标虚拟机处于不安全的hypervisor环境中，agent代理程序做销毁数据进行保护。进一步的，虚拟机集群通过投票机制进行license认证，管理系统给每个虚拟机都发送一个license证书，当license满足集群的投票数条件时才算通过认证。相对于现有技术，本专利技术所述的基于集群虚拟机license认证的安全监控方法具有以下优势：(1)本专利技术所述的基于集群虚拟机license认证的安全监控方法如果运行中不安全的hypervisor环境当中，也能保证安全有效的监控和保护，创新性的采用投票算法，判断整个集群的license有效性。(2)本专利技术所述的基于集群虚拟机license认证的安全监控方法通过注入license，目标虚拟机可以识别出是否运行在安全可靠的hypervisor环境中，从而通过agent代理程序改变目标虚拟机的限制和保护行为。附图说明构成本专利技术的一部分的附图用来提供对本专利技术的进一步理解，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1为本专利技术实施例所述的Lares内部监控系统的架构图；图2为本专利技术实施例所述的Livewire外部监控系统的架构图；图3为本专利技术实施例所述的虚拟机单机认证原理图；图4为本专利技术实施例所述的虚拟机集群认证原理图。具体实施方式需要说明的是，在不冲突的情况下，本专利技术中的实施例及实施例中的特征可以相互组合。在本专利技术的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本专利技术和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本专利技术的限制。此外，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本专利技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。在本专利技术的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本专利技术中的具体含义。下面将参考附图并结合实施例来详细说明本专利技术。基于虚拟机集群的投票机制license，动态认证保证虚拟机集群的安全可靠。(一)先看一下单机如图3所示，认证流程：我们将在此基础上做虚拟机的license认证，保证一个license唯一对应一个虚拟机。1)首先在cvm创建虚拟机的同时，根据rsa加密算法(比如用虚拟机的mac地址)生成license。2)通过虚拟机部署模式直接将license信息注入到虚拟机内部。虚拟机正常启动，agent程序启动会首先判断license的有效性。如果license正确有效(这里判断license有效性可以通过mac地址校验)，如果校验正确，说明目标虚拟机运行在安全的hypervisor环境中，正常启动。同时上传虚拟机正常的状态信息。如果校验失败，说明目标虚拟机处于不安全的hypervisor环境中，agent代理程序可以做销毁数据等保护措施。(二)虚拟机集群投票机制的license认证管理系统分发给每一台虚拟机的license证书都带有集群新型，表示此license需要集群认证，换句话说此license属于集群A。那么只有当license满足集群A的投票数条件时才算通过认证。而传统的license认证只要单个license认证通过就算通过。比如下面情况：1)三台虚拟机组成的集群如图4所示，。只有一台license校验通过，那么所有的license都会认证失败。2)三台虚拟机组成的集群。只有超过半数也就是两台license校验通过，那么这两台license都认证认证成功。这种投票机制的的license将保证单个虚拟机的license认证不会放行，只有当集群超过半数license校验通过，才能确认license得到认证。以上所述仅为本专利技术的较佳实施例而已，并本文档来自技高网...

【技术保护点】
1.一种基于集群虚拟机license认证的安全监控方法，其特征在于，包括如下步骤：/nS1、在cvm创建虚拟机的同时，利用加密算法生成license；/nS2、通过虚拟机部署模式直接将license信息注入到虚拟机内部；/nS3、通过虚拟机内部的agent程序判断license的有效性，进而判断虚拟机是否在安全的hypervisor环境中。/n

【技术特征摘要】
1.一种基于集群虚拟机license认证的安全监控方法，其特征在于，包括如下步骤：
S1、在cvm创建虚拟机的同时，利用加密算法生成license；
S2、通过虚拟机部署模式直接将license信息注入到虚拟机内部；
S3、通过虚拟机内部的agent程序判断license的有效性，进而判断虚拟机是否在安全的hypervisor环境中。


2.根据权利要求1所述的基于集群虚拟机license认证的安全监控方法，其特征在于：所述步骤S1中，加密算法为ras加密算法。


3.根据权利要求1所述的基于集群虚拟机lic...

【专利技术属性】
技术研发人员：张旭东，
申请(专利权)人：紫光云技术有限公司，
类型：发明
国别省市：天津;12