[发明专利]一种基于物理页地址分析的虚拟机内存隔离性检测方法

说明书

本发明公开了一种基于物理页地址分析的虚拟机内存隔离性检测方法，包括以下步骤：获取虚拟机物理页基地址集合；获取虚拟机物理页读写权限；对比虚拟机物理内存信息。本发明针对目前对虚拟化产品的内存隔离性检测方法空白的问题，提出了一种虚拟机内存隔离性检测方法，可为虚拟化产品内存隔离的安全测试、安全审查等提供技术支持。

技术领域

本发明涉及虚拟机安全技术领域，尤其涉及一种基于物理页地址分析的虚拟机内存隔离性检测方法。

背景技术

云计算是一种将池化的集群计算能力通过互联网向内外部用户提供弹性、按需服务的互联网新业务和新技术。

虚拟化技术是云计算一项重要的基础性技术，通过虚拟机管理程序VMM(VirtualMachine Monitor)或称为Hypervisor(系统管理程序)，访问宿主机上的所有硬件设备。当宿主机启动并调动Hypervisor时，它会加载所有虚拟机上的操作系统，同时给每个虚拟机分配适量的网络CPU、磁盘和内存等物理资源。由VMM或Hypervisor负责协调这些硬件资源的访问，同时也在虚拟机之间实施安全防护。

云计算环境中多个用户共享资源，多个虚拟资源很可能被绑定到相同的物理资源上。从安全角度出发，虚拟机之间的资源应严格隔离，对此，国家相关标准规范作了明确要求。

但是，如何测试、评价虚拟机内存隔离性，目前欠缺相应的技术手段和方法。在对虚拟化产品安全检测、云服务安全审查等测评活动中涉及虚拟机内存隔离性时，测评(评价)人员采用的方法通常包括两种：一是文档检查，查看是否采取了相关技术手段确保不同虚拟机之间的内存隔离；二是试验测试，典型做法是在物理机上新建虚拟机实现对物理内存的满占，再尝试新建虚拟机，如果失败则认为实现了内存隔离。上述两种方式显然不够严谨、不够科学，对于是否实现虚拟机之间的内存隔离不能提供明确、确实的证据。

发明内容

本发明所要解决的技术问题是：面向虚拟化产品的内存隔离性检测难的问题，提供一种基于物理页地址分析的虚拟机内存隔离性检测方法，实现对虚拟机内存占用的底层透视检测，绘制虚拟机内存物理地址的分布图，寻找是否存在内存交叉重叠区域，对虚拟机是否确实进行内存隔离进行技术检测。

本发明提供的一种基于物理页地址分析的虚拟机内存隔离性检测方法，包括以下步骤：

获取虚拟机物理页基地址集合；

获取虚拟机物理页读写权限；

对比虚拟机物理内存信息。

进一步，所述获取虚拟机物理页基地址集合的步骤包括：

获取虚拟机内存的虚拟地址空间；

根据所述虚拟地址空间获取所述物理页基地址。

进一步，所述获取物理页基地址的步骤包括：

获取页全局目录项物理地址；

获取页中间目录项物理地址；

获取页表项物理地址。

进一步，所述获取虚拟机物理页读写权限的步骤包括：

读取vm_area_struct结构体中的vm_flags标志；

或者读取页表项标志位。

进一步，所述读取页表项标志位获取虚拟机物理页读写权限的步骤包括：

获取各页表项的R/W标志位，其中，R/W＝0代表只读，R/W＝1代表读写；

若R/W＝0，则停止读取，判断其所指向的所有物理页为只读；