【技术实现步骤摘要】
本专利技术属于网络安全领域,特别涉及一种软硬件结合的虚拟机防攻击保护方法和装置。
技术介绍
1、支持单根输入输出虚拟化(sriov)特性的网卡可以虚拟化出多个虚拟功能(vf)设备,并采用直通(pass through)方式直通给虚拟机使用,以解决云化场景下的网卡性能问题。为了保障客户的服务等级协议(sla),云化场景对设备的安全性和稳定性要求极高,云服务提供商将会采取多种保护措施以抵抗对直通设备的恶意攻击。
2、尽管支持sriov特性的网卡为每个vf分配单独的硬件队列,但队列间设置有共享dma硬件引擎,恶意攻击者可以通过硬件队列间接地向dma引擎发起攻击,影响其他用户甚至达到使云服务瘫痪的目的。传统的保护措施是基于软件的方案,不向虚拟机(vm)暴露真实的硬件队列资源,而是用软件模拟的方式,在虚拟机监视器(hypervisor)内对vm下发的数据进行校验,阻止黑客的攻击。然而,由于引入了软件开销,并且描述符数据的校验检查操作发生在数据通道上,因此导致网卡收发效率极低。
3、支持硬件卸载的描述符域段的数量非常多,友商...
【技术保护点】
1.一种软硬件结合的虚拟机防攻击保护方法,其特征在于,包括:
2.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,所述通过虚拟机管理软件将待处理描述符和报文数据写入队列描述符空间,并向芯片网卡子系统下发门铃命令,进一步包括:
3.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,所述从所述队列描述符空间中读取所述待处理描述符并进行合法性检查,进一步包括:
4.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,在所述进行合法性检查之后,还包括:
5.根据权利要求1所述的软硬...
【技术特征摘要】
1.一种软硬件结合的虚拟机防攻击保护方法,其特征在于,包括:
2.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,所述通过虚拟机管理软件将待处理描述符和报文数据写入队列描述符空间,并向芯片网卡子系统下发门铃命令,进一步包括:
3.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,所述从所述队列描述符空间中读取所述待处理描述符并进行合法性检查,进一步包括:
4.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征在于,在所述进行合法性检查之后,还包括:
5.根据权利要求1所述的软硬件结合的虚拟机防攻击保护方法,其特征...
【专利技术属性】
技术研发人员:廖源,吴寅,冯波,金俊浩,
申请(专利权)人:无锡众星微系统技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。