本发明专利技术公开了一种虚拟机系统的访问控制方法,在系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;其中,所述访问控制模块,设置在管理虚拟机中,用于根据客户虚拟机信息对客户虚拟机进行访问控制;所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机访问请求信息,并将访问请求信息转发到访问控制模块;本发明专利技术的技术方案既不增加虚拟机监控器的规模,不降低虚拟机监控器的安全性,又能实现对虚拟机进行访问控制,有效地控制虚拟机对物理资源的访问,防止虚拟机系统中的虚拟机之间攻击、虚拟机之间的通信、拒绝服务等安全威胁。
【技术实现步骤摘要】
本专利技术涉及资源访问技术,尤其涉及一种基于云计算的虚拟机系统访问控制方法和系统。
技术介绍
云计算带给商业领域一个信息技术(IT, Information Technology)服务提供及消费的新时代。云计算强化了协作性、敏捷性、扩展性、可用性,以及通过优化的、更有效率的计算来降低成本的特点。更具体的说,云描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。云计算中组成组件可以迅速置备、部署和退役,并且可以迅速扩充或缩减,提供按需的、与效用计算类似的分配和消费模式。美国国家标准技术研究院(NIST,National Institute of Standards andTechnology)给云计算定义了五个关键特征,即按需自服务、宽带接入、虚拟化的资源“池”、快速弹性架构、可测量的服务等。多租户作为云计算的本质特征,也是云计算的重要因素。云计算系统之所以能够自动控制优化某种服务的资源使用,是因为利用了经过某种程度抽象的测量能力。在云计算中,虚拟化技术是将资源抽象的重要选择技术之一。在虚拟机化技术中,根据待虚拟的实体不同,可以分为不同类型的虚拟化。其中,系统虚拟化技术是被广泛认识的一种虚拟化技术。系统虚拟化的核心思想是虚拟化软件在一台物理机上虚拟出一台或多台虚拟机。虚拟机运行在一个隔离环境中,是具有完整硬件功能的逻辑计算机系统,其包括客户操作系统和其中的应用程序。在虚拟机系统中,多个操作系统可以互不影响地在同一台物理机上同时运行,复用物理资源。在X86服务器(采用复杂指令架构计算机(CISC, Complex InstructionSetComputer)架构处理器的服务器)中,使用虚拟机技术可以提高服务器的利用率。虚拟机系统已经得到大规模的商用。尽管虚拟化技术得到迅猛发展,但是虚拟机系统的安全技术却严重滞后。在虚拟机上运行各种服务并保障系统安全,要比在单一计算机上复杂的多。虚拟机系统的安全威胁很多,例如虚拟机之间的攻击、资源占用冲突以及逃逸威胁等。因此,在使用虚拟机带来应用和管理便利的同时,应该更加重视解决虚拟安全问题,研究虚拟机安全机制。目前,虚拟安全问题尚在讨论阶段,如何实施以及实施什么样的虚拟机安全机制尚不能确定。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种虚拟机系统的访问控制方法和系统,能实现对虚拟机系统的安全管理,也不会增加虚拟机监控器的处理负担。为达到上述目的,本专利技术的技术方案是这样实现的一种虚拟机系统的访问控制系统,其特征在于,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;所述装置还包括访问控制模块和访问控制代理模块,其中,所述访问控制模块,设置在管理虚拟机中,用于对客户虚拟机进行访问控制;所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机的访问请求,并将所述访问请求转发至所述访问控制模块。优选地,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息。优选地,所述访问请求包括资源访问请求、访问其他客户虚拟机请求。优选地,所述客户虚拟机访问请求为资源访问请求时,所述访问控制模块进一步用于对所述客户虚拟机进行认证、授权,并在所述客户虚拟机认证通过后,从所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,发送给所述虚拟机监控器。 优选地,所述虚拟机监控器进一步用于,根据所接收到的资源访问权限为所述客户虚拟机管理及分配资源。优选地,所述客户虚拟机访问请求为访问其他客户虚拟机请求时,所述访问控制模块进一步用于对所述客户虚拟机进行认证、授权;并在认证通过后,从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器;所述虚拟机监控器进一步用于,按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。一种虚拟机系统的访问控制方法,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;管理虚拟机中设置有访问控制模块;虚拟机监控器中设置访问控制代理模块;所述方法还包括所述客户虚拟机发送访问请求至虚拟机监控器;所述访问控制代理模块获取客户虚拟机的访问请求,并将所述访问请求转发到访问控制I吴块;所述访问控制模块接收到所述客户管理虚拟机的访问请求后,对客户虚拟机进行访问控制,并将访问控制结果发送至虚拟机监控器内核。优选地,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息;所述访问请求包括资源访问请求、访问其他客户虚拟机请求。优选地,所述对客户虚拟机进行访问控制,为所述访问请求为资源访问请求时,所述访问控制模块对客户虚拟机进行认证、授权;认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,并发送给所述虚拟机监控器内核;所述方法还包括所述虚拟机监控器内核按所接收到的资源访问权限为所述客户虚拟机管理及分配资源。优选地,所述对客户虚拟机进行访问控制,为所述访问请求为访问其他客户虚拟机请求时,所述访问控制模块对客户虚拟机进行进行认证、授权;认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器内核;所述方法还包括所述虚拟机监控器内核按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。本专利技术通过将虚拟机划分为管理虚拟机及客户虚拟机,并在虚拟机监控器中设置访问控制代理模块,这样,虚拟机监控器接收到客户虚拟机的资源访问请求或访问其他客户虚拟机请求后,将资源访问请求转发至管理虚拟机,由管理虚拟机对客户虚拟机进行认证、授权等操作,并在认证通过后允许对其他客户机进行访问,或从根据安全策略信息等为 客户虚拟机确定对应的资源访问权限,并发送给虚拟机监控器,由虚拟机监控器对客户虚拟机执行相应的资源访问管理等。本专利技术的技术方案既不增加虚拟机监控器的规模,不降低虚拟机监控器的安全性,又能实现对虚拟机进行访问控制,有效地控制虚拟机对物理资源的访问,防止虚拟机系统中的虚拟机之间攻击、虚拟机之间的通信、拒绝服务等安全威胁。附图说明图I为本专利技术虚拟机系统的组成结构示意图;图2为本专利技术虚拟机方法的流程图;图3为本专利技术管理虚拟机的组成结构示意图。具体实施例方式本专利技术的基本思想为,通过将虚拟机划分为管理虚拟机及客户虚拟机,并在虚拟机监控器中设置访问控制代理模块,这样,虚拟机监控器接收到客户虚拟机的资源访问请求或访问其他客户虚拟机请求后,将资源访问请求转发至管理虚拟机,由管理虚拟机对客户虚拟机进行认证授权等操作,并在认证通过后允许对其他客户机进行访问,或从根据安全策略信息等为客户虚拟机确定对应的资源访问权限,并发送给虚拟机监控器,由虚拟机监控器对客户虚拟机执行相应的资源访问管理等。在虚拟机系统中,虚拟机监控器负责物理资源的管理。虚拟机需要通过虚拟机监控器才能访问物理资源。虚拟机监控器根据虚拟机提供物理资源访问请求,调用相应的物理资源,分配给虚拟机使用。虚拟机监控器在虚拟机系统中具有重要作用。通过虚拟机监控本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟机系统的访问控制系统,其特征在于,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;所述装置还包括访问控制模块和访问控制代理模块,其中, 所述访问控制模块,设置在管理虚拟机中,用于对客户虚拟机进行访问控制; 所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机的访问请求,并将所述访问请求转发至所述访问控制模块。2.根据权利要求I所述的系统,其特征在于,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息。3.根据权利要求I或2所述的系统,其特征在于,所述访问请求包括资源访问请求、访问其他客户虚拟机请求。4.根据权利要求3所述的系统,其特征在于,所述客户虚拟机访问请求为资源访问请求时,所述访问控制模块进ー步用于对所述客户虚拟机进行认证、授权,并在所述客户虚拟机认证通过后,从所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,发送给所述虚拟机监控器。5.根据权利要求4所述的系统,其特征在于,所述虚拟机监控器进ー步用于,根据所接收到的资源访问权限为所述客户虚拟机管理及分配资源。6.根据权利要求3所述的系统,其特征在于,所述客户虚拟机访问请求为访问其他客户虚拟机请求时,所述访问控制模块进ー步用于对所述客户虚拟机进行认证、授权;并在认证通过后,从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器; 所述虚拟机监控器进ー步用于,按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。7.一种虚拟机系统的访问控制方法,其特征在于,在虚拟机系统...
【专利技术属性】
技术研发人员:陈小华,林兆骥,王治平,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。