本发明专利技术提供一种对虚拟计算平台中的计算环境进行隔离保护的系统,包括:位于在虚拟计算平台的硬件资源之上的第一层中的云安全管理器;位于在第一层之上的第二层中的虚拟机监视器;以及位于所述第二层之上的一个或多个虚拟机。在接收到一个或多个虚拟机下陷的用于寻址硬件物理地址的第一信息后,云安全管理器向虚拟机监视器发送指示将所存储的相关映射填入映射表中的第二信息。在接收第二信息后,虚拟机监视器将所存储的相关映射填入映射表中,并且向云安全管理器下陷用于寻址物理内存地址的第三信息。在接收到第三信息后,云安全管理器将所存储的相关映射填入映射表中。然后,根据映射表,在对应的硬件资源中执行虚拟机的处理操作。
【技术实现步骤摘要】
本专利技术涉及计算环境安全领域,更为具体地,涉及ー种用于对虚拟计算平台中的计算环境进行隔离保护的方法及系统。
技术介绍
当前,众所周知,服务器虚拟化技木,特别是在当今云计算数据中心里已经形成了事实エ业标准服务器平台X86架构(或标准的Intel体系架构“IA架构”)上 的服务器虚拟化技术,有效实现了云计算以提供服务为模型的信息处理方法,可以将数据中心的计算、存储、网络等信息处理的资源以租赁的方式出租给“租客用户”,得到了高效率的多租客服务应用。所述云计算与云存储服务平台比如是云计算数据中心里的服务器,存储器与网络传输设备。在用虚拟化技术实现的云计算环境中通常保存有大量租客用户以明文形式存在的软件代码和数据。为了防止被以任何未授权的形式访问而导致租客用户代码与数据的执行完整性和/或数据的机密性受到破坏,一些软件代码和数据需要在被隔离的安全计算环境中运行。对用虚拟化技术实现的计算环境进行强而有效的隔离是云计算与云存储服务平台的重要安全需求。通常云计算所使用的服务器虚拟化技术利用各个“虚拟机”(VirtualMachine, VM)之间的自然分离,可以在不同租客用户之间形成某种程度的安全隔离。然而,由VMM自然实现的VM之间隔离不具有抵抗恶意攻击强度,为了抵抗恶意攻击,在Amazon Web Services (AffS)中,在这种情况下,EC2机器实例(AMI)是一个VM, AffS強烈推荐租客用户使用强身份认证手段来访问所租用的VM,以防止其他用户或攻击者非法入侵。在现有的研究中还存在着比用户身份认证更强的用户隔离手段,ー些研究人员提出了平台安全的虚拟化方法。例如,在 I Chen, T. Garfinkel,E. C. Lewis,P. Subrahmanyam,C. A. Waldspurger, D. Boneh, J. Dwoskin,和 D. R. Ports 发表的“Overshadow :avirtualization-based approach to retroiitting protection mcommodity operatingsystems”中,论述了通过控制“内存管理单元”(MMU)来对OS内核遮蔽(overshadow)应用程序内存,即使OS内核被恶意控制也不能访问被遮蔽的应用程序内存。2010年8月EMC申请的“ RTCB专利”也应用了同样的原理(參见2010年8月25日提交的申请号为201010262383. I、专利技术名称为“用于隔离计算环境的方法和系统”的中国申请)。以上两种方法实现进程之间隔离的基本原理在于,实现服务器虚拟化的ー个重要系统软件“虚拟机监控器”(Virtual Machine Monitor,VMM)是计算平台软件栈上具有最高特权使用CPU资源的软件,运行在IA架构所定义的“CPU的根模式”(CPU’ s Root Mode)中最高特权层“环-I”层(Ring-I)。服务器虚拟化体系架构平台上的每ー个客户VM在使用CPU以及内存和输入输出资源时,都会受到VMM的控制管理。因而VMM可以在不同客户VM之间形成隔离。但是由VMM自然实现的VM之间隔离不具有抵抗恶意攻击强度,为了抵抗恶意攻击,将2010年8月EMC申请的“ RTCB专利”更具体地叙述为该方法是将ー个专门提供安全服务的模块植入一个现有的VMM(Citrix的Xen),企图使含有此安全模块的VMM变成为一个“可信计算基”(Trusted Computing Base, TCB),因而使VM之间_离具有抵抗恶意攻击强度。但是由于植入的安全模块以及该VMM自身都作为最底层系统软件一同运行在上述软件栈使用CPU最高特权层“环-I ”层,所以该安全模块对VMM本身的权限不具有任何控制或约束能力。当今虚拟化技术实现的云计算数据中心中常用的VMM都是具有十分复杂设计与庞大构造的系统软件,比如在起草本专利技术专利申请时,上述AWS所使用的VMM(Xen)已经发展到了具有27万行源程序代码的規模。另外,数据中心系统管理人员还可以使用一个专用的“管理虚拟机”(Management VM, MVM),让系统管理人员具有特别权限可以部署维护“客户虚拟机”GuestVM (也就是租客用户的VM),所以系统管理人员不仅可以通过MVM旁路对租客用户VM所实施的隔离,而且其所用的MVM(Linux操作系统)更是到达了超过七百五十万行代码的規模。在这样庞大构造规模下,这些重要的系统软件自身必然含有许多设计漏洞可以被利用成为攻击源对租客用户的数据造成安全风险。在这种情况下,例如利用修改位于VMM或者MVM中的输入输出内存管理单元(IOMMU)的访问策略表,就可以通过外围设备直接访问在内存中处理时的租客用户数据。这类攻击可以由数据中心操作管理VMM或MVM·的系统管理员通过使用这些重要系统工具以及工具中存在的安全设计漏洞来部署恶意软件的方法实现。所以这种由VMM及MVM实现的所谓的虚拟机之间的隔离并不能抵御由比如系统操作员的数据中心内部攻击者发起的攻击。众所周知“可信计算技术”(TrustedComputing Technology),比如 TCG(TrustedComputing Group)技术及其在エ业标准上的最优化实现Intel公司的“TXT技术”(Trusted eXecute Technology),是专门为防止恶意更改系统服务软件而设计的ー种技术手段。采用可信计算技术可以对ー个系统软件进行“度量”(Measurement)固化,SP,将软件的ニ进制执行代码输入一个散列函数,取散列函数输出值作为度量,将度量值存入一个“可信平台模块”(Trusted Platform Module, TPM,或对应的中国标准“可信密码模块” Trusted Cryptographic Module, TCM),并应用密码协议方法将度量的结果由TPM/TCM报告给ー个外部检查者,以检查系统软件的完整性是否遭到(比如数据中心内部攻击者发起的)恶意破坏。然而对于软件内部固有存在的设计错误,尤其是安全错误,可信计算技术是无助于发现与防止的。已知商业上广泛使用的VMM中存在许多安全设计错误(截止2009年11月,根据知名安全漏洞汇总网站CVE的数据统计,学术界知名的VMM,Citrix的Xen —共发现26个安全漏洞,而エ业界知名的VMM,VMware的ESX —共发现18个安全漏洞)。又如,作为由MVM负责对整个虚拟架构所有的客户VM提供输入输出驱动服务,MVM中含有大量外部设备的设备驱动器,它们大都是由“原设备厂商”(Original Equipment Manufacture, OEM)生产,并且编译为动态软件库提供给操作系统联编使用的。这使得MVM(通常为ー个普通的操作系统)是ー个动态系统软件,更本无法应用可信计算技术对其ニ进制代码作静态度量井向一个外部检验者报告度量值。所以即使在可信计算技术的基础上,我们无法将当今云计算服务器虚拟架构的底层最重要的系统服务软件VMM看作为ー个TCB,更不能将由数据中心系统管理人员操控的MVM看作为ー个TCB。迄今为止,所有已知的数据中心服务器虚拟架构上租客数据安全解决方案都缺失ー个真正可本文档来自技高网...
【技术保护点】
一种用于对虚拟计算平台中的计算环境进行隔离保护的方法,所述方法由包括云安全管理器、虚拟机监视器(VMM)以及一个或多个虚拟机(VM)的系统执行,所述云安全管理器位于在虚拟计算平台的硬件资源之上的以CPU根模式运行的第一层中,所述虚拟机监视器位于在所述第一层上的以CPU非根模式运行的第二层中,以及一个或多个虚拟机(VM)位于所述第二层之上,所述方法包括:在接收到所述一个或多个虚拟机在进行处理操作时下陷的用于寻址所述硬件物理地址的第一信息后,所述云安全管理器向虚拟机监视器发送指示所述虚拟机监视器将所存储的与所述虚拟机逻辑地址相关的映射填入所述映射表中的第二信息;所述虚拟机监视器在接收到所述第二信息后,将所存储的与所述虚拟机逻辑地址相关的映射填入所述映射表中,并且向所述云安全管理器下陷用于寻址硬件物理地址的第三信息;所述云安全管理器在接收到所述第三信息后,将所存储的与所述虚拟机逻辑地址相关的映射填入所述映射表中,所获得的映射表以供用来进行虚拟机的处理。
【技术特征摘要】
【专利技术属性】
技术研发人员:毛文波,
申请(专利权)人:上海网技信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。