[发明专利]一种虚拟机监控器信任域分割方法

说明书

技术领域

本发明涉及云计算安全技术领域，尤其是涉及一种虚拟机监控器信任域分割方法，涉及如何减小虚拟机控制器的可信计算基，从而提高虚拟机安全性的问题。

背景技术

传统的虚拟机信任域是一个规模较大的可信计算基，并集中体现在控制虚拟机上。现有的技术中有涉及提高虚拟机监控器安全性的技术，如：

发明专利“一种虚拟机的安全控制方法”(中华人民共和国专利申请号201210435354.X，公开日期2013年02月13日)，该发明公开了一种虚拟机的安全控制方法，通过使用公钥数据对虚拟机源文件进行加密得到虚拟机加密文件，并向云管理控制台和云安全认证服务器返回虚拟机信息及对应的用户信息。在创建虚拟机的用户访问该虚拟机时，只能通过申请虚拟机所属用户的私钥数据进行解密，达到了虚拟机与用户绑定的效果，以此提高虚拟机的安全性。但是该方法中云管理控制台依然拥有较高的权限，当黑客成功攻击控制台，获得权限后，虚拟机的安全也就受到威胁。同时，通过非对称加密方式来获取安全性，是以牺牲大量的性能为代价，在规模较大的云数据中心是不可取的安全手段。

发明专利“用于对虚拟计算环境进行隔离保护的方法及系统”(中华人民共和国专利申请号201110176705.5，公开日期2013年01月02日)，提供一种用于对虚拟计算平台中的计算环境进行隔离保护的方法及系统，通过将云安全管理器设置在虚拟计算平台中的硬件资源之上，用来管理与安全任务相关的硬件物理地址的映射，以及将虚拟机监视器设置在云安全管理器之上，用于管理与非安全任务相关的硬件物理地址的映射，并且虚拟机监视器对硬件物理地址的映射进行的操作由云安全管理器进行控制，从而可以使得虚拟架构上可能存在的攻击者无法入侵租客用户VM的计算环境，即无法对租客VM及其处理的用户数据造成隐私性与完整性方面的破坏，由此提高虚拟计算平台的计算环境的安全性。虽然该方法通过降低虚拟机监控器的权限来保证安全性，但是同时还是引入了一个高权限的云安全管理器，若攻击者转由攻击高权限的云安全管理器从而获得系统的最高权限时，云平台上的大量租户的数据安全将处于危险之中。

发明专利“一种在虚拟机内部的驱动隔离系统与方法”(中华人民共和国专利申请号201210442752.4，公开日期2013年02月20日)，该发明公开了一种在虚拟机内部的驱动隔离系统与方法，它包括运行于虚拟机用户态的驱动隔离加载模块、虚拟机内核态的内存信息监视模块以及虚拟机管理器内部的内存访问控制模块，驱动隔离加载模块使特定驱动以隔离方式运行，被隔离驱动与内核间的调用必须通过内存信息监视模块，同时内存信息监视模块将被隔离驱动所使用内存信息、可信任的虚拟机内核的地址范围、建立被隔离驱动授权表的指令等信息递交给虚拟机管理器内部的内存访问控制模块，由内存访问控制模块判别是否建立或如何建立该虚拟机对应的授权表项及影子列表，以此控制被隔离驱动程序对内存的写操作，从而提高各虚拟机的安全性。但是，该发明所述系统对于每个需要进行驱动隔离的虚拟机都要配备驱动隔离加载模块和内存信息监视模块，虚拟机管理器也必须对每个客户机都建立一个相应的影子页表和授权表，这将耗费大量系统内存资源；每一个驱动加载进入内核的动作都会引起客户机向虚拟机管理器递交消息供其处理，尤其在多个客户机的情形下，这将使得虚拟机管理器处理数据量大且容易进入繁忙状态，甚至容易受到拒绝服务攻击；授权表的可写内存范围由虚拟机管理器为驱动程序预先分配，若过小则不能抵御溢出攻击，若过大则会造成内存空间的浪费。

发明内容

为了克服现有技术的上述缺点，本发明提供了一种虚拟机监控器信任域分割方法，将传统的控制虚拟机分解为各个组件组成，每个组件执行单一的功能。这样可以带来一些好处：客户共享的服务组件是可配置和可审计的；限制每个组件以所需的最小权限接入Hypervisor，这使得风险明确化；通过配置组件的微重置的频率，可减小单个组件的时间攻击面。

本发明解决其技术问题所采用的技术方案是：一种虚拟机监控器信任域分割方法，按照控制虚拟机的功能将其分解成九个服务虚拟机，每个服务虚拟机包含一个单一用途的控制逻辑并执行单一的功能，其中：

1)一号服务虚拟机负责控制PCI总线和管理外部设备中断寻路；

2)二号服务虚拟机用于初始化各服务虚拟机，与其他新建的服务虚拟机同时启动，并在启动后被销毁；

3)三号服务虚拟机仅根据六号服务虚拟机为各虚拟机建立的信任列表工作；