[发明专利]一种基于轻型虚拟机的计算服务分离与安全保护系统

摘要

本发明涉及信息安全和计算服务管理领域，旨在提供一种基于轻型虚拟机的计算服务分离与安全保护系统。该种基于轻型虚拟机的计算服务分离与安全保护系统设置在宿主机上，包括计算服务分离模块、多通道安全保护模块和虚拟的统一管理模块。本发明采用基于轻型虚拟机的技术，来达到在消耗额外资源很小的前提下为小型计算设备，特别是最靠近用户的云计算设备，提供实时的多通道安全保护和按需分配的服务隔离；能够提高云终端运行效率，增强云终端内部管理，并同时强化云终端各项安全性能的技术。

主权项

一种基于轻虚拟机的计算服务分离与安全保护系统，用于对小型服务器和云计算设备进行安全保护和服务隔离，其特征在于，所述基于轻虚拟机的计算服务分离与安全保护系统设置在宿主机上，包括下述模块：(一)计算服务分离模块；(二)多通道安全保护模块；(三)虚拟的统一管理模块；(一)计算服务分离模块，用于实现轻虚拟机的按需生成和自动配置，具体包括下述步骤：步骤A)服务主管机生成：在小型服务器和云计算设备启动的过程中，首先生成一个有域主管权限的轻虚拟机，即服务主管机；服务主管机能够按服务需求生成轻虚拟机，即服务轻虚拟机，并在该服务运行完毕后自动销毁所生成的服务轻虚拟机，且服务主管机能在宿主机中执行特权指令；所述轻虚拟机能够区分特权指令和一般用户级指令的执行；步骤B)计算服务请求验证：当小型服务器和云计算设备收到计算服务请求时，服务主管机需要确认整个小型服务器和云计算设备拥有服务所需的全部资源，并验证请求发起方拥有必须的使用权限；步骤C)轻虚拟机生成：当通过步骤B的计算服务请求验证后，服务主管机按服务需求在宿主机上生成一个服务轻虚拟机，并按所需资源配置该服务轻虚拟机；步骤D)轻虚拟机自动配置调整：在服务轻虚拟机运行过程中，服务主管机定期查询资源使用情况：如果在服务运行过程中资源需求发生变化，服务主管机能够自动地动态调整服务轻虚拟机的配置；当服务运行过程中有突发事件需要调整资源配置时，服务主管机能够自动响应并调整服务轻虚拟机的配置；(二)多通道安全保护模块，用于监控由不同通道发起的安全攻击和系统入侵，具体包括下述步骤：步骤E)虚拟机内置安全保护：在每一个计算服务所在的服务轻虚拟机上安装安全保护程序，用于实现轻虚拟机内部的局部保护；步骤F)宿主机直接安全保护：在宿主机上安装安全保护程序，用于实现宿主机内部的保护，且宿主机还通过运行一个轻虚拟机系统调用的监控程序，实现监控所有运行在宿主机上的系统调用，并对需要修改宿主机系统参数和硬件资源的系统调用特别监控，系统调用包括从轻虚拟机上运行的计算服务发起的系统调用和轻虚拟机本身发起的系统调用；步骤G)跨虚拟机安全保护：宿主机通过运行一个虚拟局域网通信监控程序，用于对不同轻虚拟机之间的系统调用和消息传递进行监控，不同轻虚拟机之间的系统调用和消息传递都通过虚拟局域网进行相互通信；步骤H)宿主机综合安全保护：宿主机通过运行一个基于模式库的监控程序，用于实现宿主机综合通道的安全保护；所述基于模式库的监控程序是指由不同的轻虚拟机发起，并在宿主机上拼接成攻击指令或指令序列的系统调用，且拼接模式由记录在模式库中的模式决定；模式库具体是指已知可拼接攻击指令和指令序列的数据库，模式库进行定期更新；(三)虚拟的统一管理模块，即通过服务主管机实现对服务轻虚拟机和宿主机的统一管理，具体包括下述步骤：步骤I)虚拟机管理和监控：计算服务发出请求后，服务主管机实现验证、生成和配置服务轻虚拟机，即步骤B、步骤C、步骤D，且在计算服务结束时，服务主管机监控计算服务的结束请求并摧毁服务轻虚拟机；当服务主管机的安全保护发现受到攻击或入侵，服务主管机能够进行自我摧毁，并在宿主机上镜像生成另一个服务主管机；步骤J)宿主机管理和监控：宿主机能够初始生成服务主管机，并实现宿主机上的多种保护通道和监控管理，即步骤F、步骤G和步骤H；宿主机还能对轻虚拟机自动配置调整中的剩余资源进行回收和统一调度，即对服务主管机调整后的轻虚拟机剩余资源进行回收和统一调度。