用于對虛擬計算環境進行隔離保護的方法及系統技術方案

本發明專利技術提供一種對虛擬計算平臺中的計算環境進行隔離保護的系統，包括：位于在虛擬計算平臺的硬件資源之上的第一層中的云安全管理器；位于在第一層之上的第二層中的虛擬機監視器；以及位于所述第二層之上的一個或多個虛擬機。在接收到一個或多個虛擬機下陷的用于尋址硬件物理地址的第一信息后，云安全管理器向虛擬機監視器發送指示將所存儲的相關映射填入映射表中的第二信息。在接收第二信息后，虛擬機監視器將所存儲的相關映射填入映射表中，并且向云安全管理器下陷用于尋址物理內存地址的第三信息。在接收到第三信息后，云安全管理器將所存儲的相關映射填入映射表中。然后，根據映射表，在對應的硬件資源中執行虛擬機的處理操作。

【技術實現步驟摘要】

本專利技術涉及計算環境安全領域，更為具體地，涉及ー種用于對虛擬計算平臺中的計算環境進行隔離保護的方法及系統。
技術介紹
當前，眾所周知，服務器虛擬化技木，特別是在當今云計算數據中心里已經形成了事實エ業標準服務器平臺X86架構(或標準的Intel體系架構“IA架構”)上 的服務器虛擬化技術，有效實現了云計算以提供服務為模型的信息處理方法，可以將數據中心的計算、存儲、網絡等信息處理的資源以租賃的方式出租給“租客用戶”，得到了高效率的多租客服務應用。所述云計算與云存儲服務平臺比如是云計算數據中心里的服務器，存儲器與網絡傳輸設備。在用虛擬化技術實現的云計算環境中通常保存有大量租客用戶以明文形式存在的軟件代碼和數據。為了防止被以任何未授權的形式訪問而導致租客用戶代碼與數據的執行完整性和/或數據的機密性受到破壞，一些軟件代碼和數據需要在被隔離的安全計算環境中運行。對用虛擬化技術實現的計算環境進行強而有效的隔離是云計算與云存儲服務平臺的重要安全需求。通常云計算所使用的服務器虛擬化技術利用各個“虛擬機”(VirtualMachine, VM)之間的自然分離，可以在不同租客用戶之間形成某種程度的安全隔離。然而，由VMM自然實現的VM之間隔離不具有抵抗惡意攻擊強度，為了抵抗惡意攻擊，在Amazon Web Services (AffS)中，在這種情況下，EC2機器實例(AMI)是一個VM, AffS強烈推薦租客用戶使用強身份認證手段來訪問所租用的VM，以防止其他用戶或攻擊者非法入侵。在現有的研究中還存在著比用戶身份認證更強的用戶隔離手段，ー些研究人員提出了平臺安全的虛擬化方法。例如，在 I Chen, T. Garfinkel,E. C. Lewis,P. Subrahmanyam,C. A. Waldspurger, D. Boneh, J. Dwoskin,和 D. R. Ports 發表的“Overshadow :avirtualization-based approach to retroiitting protection mcommodity operatingsystems”中，論述了通過控制“內存管理單元”(MMU)來對OS內核遮蔽(overshadow)應用程序內存，即使OS內核被惡意控制也不能訪問被遮蔽的應用程序內存。2010年8月EMC申請的“ RTCB專利”也應用了同樣的原理(參見2010年8月25日提交的申請號為201010262383. I、專利技術名稱為“用于隔離計算環境的方法和系統”的中國申請)。以上兩種方法實現進程之間隔離的基本原理在于，實現服務器虛擬化的ー個重要系統軟件“虛擬機監控器”(Virtual Machine Monitor，VMM)是計算平臺軟件棧上具有最高特權使用CPU資源的軟件，運行在IA架構所定義的“CPU的根模式”(CPU’ s Root Mode)中最高特權層“環-I”層(Ring-I)。服務器虛擬化體系架構平臺上的每ー個客戶VM在使用CPU以及內存和輸入輸出資源時，都會受到VMM的控制管理。因而VMM可以在不同客戶VM之間形成隔離。但是由VMM自然實現的VM之間隔離不具有抵抗惡意攻擊強度，為了抵抗惡意攻擊，將2010年8月EMC申請的“ RTCB專利”更具體地敘述為該方法是將ー個專門提供安全服務的模塊植入一個現有的VMM(Citrix的Xen)，企圖使含有此安全模塊的VMM變成為一個“可信計算基”(Trusted Computing Base, TCB),因而使VM之間_離具有抵抗惡意攻擊強度。但是由于植入的安全模塊以及該VMM自身都作為最底層系統軟件一同運行在上述軟件棧使用CPU最高特權層“環-I ”層，所以該安全模塊對VMM本身的權限不具有任何控制或約束能力。當今虛擬化技術實現的云計算數據中心中常用的VMM都是具有十分復雜設計與龐大構造的系統軟件，比如在起草本專利技術專利申請時，上述AWS所使用的VMM(Xen)已經發展到了具有27萬行源程序代碼的規模。另外，數據中心系統管理人員還可以使用一個專用的“管理虛擬機”(Management VM, MVM)，讓系統管理人員具有特別權限可以部署維護“客戶虛擬機”GuestVM (也就是租客用戶的VM)，所以系統管理人員不僅可以通過MVM旁路對租客用戶VM所實施的隔離，而且其所用的MVM(Linux操作系統)更是到達了超過七百五十萬行代碼的規模。在這樣龐大構造規模下，這些重要的系統軟件自身必然含有許多設計漏洞可以被利用成為攻擊源對租客用戶的數據造成安全風險。在這種情況下，例如利用修改位于VMM或者MVM中的輸入輸出內存管理單元(IOMMU)的訪問策略表，就可以通過外圍設備直接訪問在內存中處理時的租客用戶數據。這類攻擊可以由數據中心操作管理VMM或MVM·的系統管理員通過使用這些重要系統工具以及工具中存在的安全設計漏洞來部署惡意軟件的方法實現。所以這種由VMM及MVM實現的所謂的虛擬機之間的隔離并不能抵御由比如系統操作員的數據中心內部攻擊者發起的攻擊。眾所周知“可信計算技術”(TrustedComputing Technology),比如 TCG(TrustedComputing Group)技術及其在エ業標準上的最優化實現Intel公司的“TXT技術”(Trusted eXecute Technology),是專門為防止惡意更改系統服務軟件而設計的ー種技術手段。采用可信計算技術可以對ー個系統軟件進行“度量”(Measurement)固化，SP，將軟件的ニ進制執行代碼輸入一個散列函數，取散列函數輸出值作為度量，將度量值存入一個“可信平臺模塊”(Trusted Platform Module, TPM,或對應的中國標準“可信密碼模塊” Trusted Cryptographic Module, TCM),并應用密碼協議方法將度量的結果由TPM/TCM報告給ー個外部檢查者，以檢查系統軟件的完整性是否遭到(比如數據中心內部攻擊者發起的)惡意破壞。然而對于軟件內部固有存在的設計錯誤，尤其是安全錯誤，可信計算技術是無助于發現與防止的。已知商業上廣泛使用的VMM中存在許多安全設計錯誤(截止2009年11月，根據知名安全漏洞匯總網站CVE的數據統計，學術界知名的VMM，Citrix的Xen —共發現26個安全漏洞，而エ業界知名的VMM，VMware的ESX —共發現18個安全漏洞)。又如，作為由MVM負責對整個虛擬架構所有的客戶VM提供輸入輸出驅動服務，MVM中含有大量外部設備的設備驅動器，它們大都是由“原設備廠商”(Original Equipment Manufacture, OEM)生產，并且編譯為動態軟件庫提供給操作系統聯編使用的。這使得MVM(通常為ー個普通的操作系統)是ー個動態系統軟件，更本無法應用可信計算技術對其ニ進制代碼作靜態度量井向一個外部檢驗者報告度量值。所以即使在可信計算技術的基礎上，我們無法將當今云計算服務器虛擬架構的底層最重要的系統服務軟件VMM看作為ー個TCB，更不能將由數據中心系統管理人員操控的MVM看作為ー個TCB。迄今為止，所有已知的數據中心服務器虛擬架構上租客數據安全解決方案都缺失ー個真正可本文檔來自技高網...

【技術保護點】
一種用于對虛擬計算平臺中的計算環境進行隔離保護的方法，所述方法由包括云安全管理器、虛擬機監視器(VMM)以及一個或多個虛擬機(VM)的系統執行，所述云安全管理器位于在虛擬計算平臺的硬件資源之上的以CPU根模式運行的第一層中，所述虛擬機監視器位于在所述第一層上的以CPU非根模式運行的第二層中，以及一個或多個虛擬機(VM)位于所述第二層之上，所述方法包括：在接收到所述一個或多個虛擬機在進行處理操作時下陷的用于尋址所述硬件物理地址的第一信息后，所述云安全管理器向虛擬機監視器發送指示所述虛擬機監視器將所存儲的與所述虛擬機邏輯地址相關的映射填入所述映射表中的第二信息；所述虛擬機監視器在接收到所述第二信息后，將所存儲的與所述虛擬機邏輯地址相關的映射填入所述映射表中，并且向所述云安全管理器下陷用于尋址硬件物理地址的第三信息；所述云安全管理器在接收到所述第三信息后，將所存儲的與所述虛擬機邏輯地址相關的映射填入所述映射表中，所獲得的映射表以供用來進行虛擬機的處理。

【技術特征摘要】

【專利技術屬性】
技術研發人員：毛文波，
申請(專利權)人：上海網技信息技術有限公司，
類型：發明
國別省市：