[发明专利]基于虚拟化环境下的安全防护方法及系统

说明书

本发明提供一种基于虚拟化环境下的安全防护方法及系统。其中方法包括：当有虚拟机需要从其所在的源物理主机迁移到目的物理主机，且源物理主机的源安全虚拟机正在对需要迁移的迁移虚拟机执行安全防护事件时，迁移虚拟机从源安全虚拟机中获取安全防护事件的防护进度信息，并从源物理内存空间中获取安全防护事件对应的待防护数据；当迁移虚拟机迁移到目的物理主机之后，迁移虚拟机将防护进度信息发送给目的物理主机的目的安全虚拟机，同时将待防护数据写入目的物理主机的目的物理内存空间；目的安全虚拟机接收到防护进度信息后，根据防护进度信息对写入目的物理内存空间中的待防护数据继续进行安全防护。其能实现虚拟机迁移的不间断安全防护。

技术领域

本发明涉及虚拟化技术领域，特别是涉及基于虚拟化环境下的安全防护方法及系统。

背景技术

随着硬件虚拟化技术的广泛应用，在一台物理主机上可以同时运行多个操作系统，操作系统之间相互隔离，使得对硬件设施的管理更加有效、灵活和节约。例如：可以将资源占用率高的物理主机上的虚拟机迁移到一个资源占用率低的物理主机上，从而达到资源的合理分配；又或者将资源占用率低的物理主机上虚拟机全部迁移到其它物理主机上，并关闭本台物理主机从而来达到节能的效果。但是这样传统操作系统部署中面临的安全威胁问题，在虚拟化的部署过程中也会面临。

为了解决虚拟化环境下虚拟机安全的问题，传统的解决是在每台物理主机上的各个虚拟机中部署一套安全防护软件，从而达到与普通物理机上操作系统中安装的安全防护软件具有相同的功能。但在同一物理主机上的多个虚拟机中都部署一套安全防护产品，会造成对计算资源和存储资源的占用。为了减轻虚拟化环境中虚拟机重复部署安全防护软件造成的对计算资源和存储资源的占用，可采用一种轻代理的方式，轻代理方式是将安全防护软件中的大部分查询数据移到私有云或公有云中处理，虚拟机中只保留最低限度的安全引擎服务数据，但将安全防护软件中的数据移到云端服务器，虚拟机在进行安全引擎时，需要占用一定的网络带宽并对网络环境的响应速度有一定的要求。

使用无代理安全防护的方式可以解决上述在物理主机的各个虚拟机上都部署一套安全防护软件会造成资源的占用及采用轻代理方式会对网络环境有一定的要求的问题，但无代理安全防护方式是在物理主机的某一虚拟机上部署安全防护软件(该部署有安全防护软件的虚拟机为安全虚拟机)，并为该物理主机上运行的各个虚拟机都配置各自的虚拟内存，各个虚拟内存都对应同一物理内存空间，这样当安全虚拟机对其它没有部署安全防护软件的虚拟机进行安全防护，而该被防护的虚拟机又要从当前物理主机迁移到其它物理主机时，这些被防护的虚拟机迁移到新的物理主机后，由于其自身不具备安全防护功能，且原来的物理主机上的安全虚拟机也不能继续对该被防护的虚拟机进行安全防护，因此安全防护将停止，这些被防护的虚拟机将重新面临安全威胁问题。

发明内容

基于此，有必要针对传统的采用无代理安全防护方式的物理主机中被防护的虚拟机从一物理主机迁移到另一物理主机时将不能继续被防护问题，提供一种基于虚拟化环境下的安全防护方法及系统，能够使采用无代理安全防护方式的物理主机中的正在被防护的虚拟机进行迁移时，不间断地对该被防护的虚拟机进行安全防护。

为达到发明目的，提供一种基于虚拟化环境下的安全防护方法，所述方法包括：

当有虚拟机需要从其所在的源物理主机迁移到目的物理主机，且所述源物理主机的源安全虚拟机正在对需要迁移的迁移虚拟机执行安全防护事件时，所述迁移虚拟机从所述源安全虚拟机中获取所述安全防护事件的防护进度信息，并从所述源物理主机的源物理内存空间中获取所述安全防护事件对应的待防护数据；

当所述迁移虚拟机迁移到所述目的物理主机之后，所述迁移虚拟机将所述防护进度信息发送给所述目的物理主机的目的安全虚拟机，同时将所述待防护数据写入所述目的物理主机的目的物理内存空间；

所述目的安全虚拟机接收到所述防护进度信息后，根据所述防护进度信息对写入所述目的物理内存空间中的所述待防护数据继续进行安全防护。