保护特权计算操作的结果的利记博彩app
【专利说明】保护特权计算操作的结果
【背景技术】
[0001] 随着越来越多的应用和服务可经由网络(诸如因特网)获得,越来越多的内容、应 用和/或服务提供商转向诸如云计算的技术。一般来说,云计算是一种通过服务(诸如网 络服务)提供对电子资源的访问的方法,其中用于支持那些服务的硬件和/或软件可在任 何给定时间动态地缩放以满足对服务的需求。用户或顾客通常将租借、租用或以其它方式 偿付通过云对资源的访问,且因此不必购买并维护所需的硬件和/或软件。
[0002] 许多云计算提供商利用虚拟化以允许多个用户共享底层硬件和/或软件资源。虚 拟化可允许计算服务、存储装置或其它资源被划分为各自由特定用户拥有的多个隔离实例 (例如,虚拟机)。通常使用运行在主计算装置上的管理程序托管这些虚拟机。在该上下文 中,管理程序和客户端操作系统内核充当安全增强机构。例如,管理程序通常控制主机上的 各种虚拟机,以及内核控制虚拟机上的各个过程。出于安全原因,管理程序和内核难以修改 或更改。然而,由于某些原因,偶尔在运行时可期望修改管理程序或内核的代码,诸如以应 用软件补丁、执行安全监控等。
【附图说明】
[0003] 将参考附图描述根据本公开的各种实施方案,其中:
[0004]图1示出根据各种实施方案的保护管理程序或内核上的特权操作的结果的实例;
[0005] 图2示出根据各种实施方案的使用非对称加密法来加密被提交到内核或管理程 序的请求的实例;
[0006] 图3示出根据各种实施方案的利用证书机构的实例;
[0007] 图4示出根据各种实施方案的服务提供商的资源中心环境的实例;
[0008]图5示出根据各种实施方案的用于保护在管理程序或内核中执行特权操作的请 求的结果的实例过程;
[0009]图6示出根据各种实施方案的用于提供可被用来在管理程序或内核中执行特权 操作的API的实例过程;
[0010] 图7示出根据各种实施方案的用于利用请求的加密的实例过程;
[0011] 图8示出根据各种实施方案的可被利用的实例计算装置的一组通用组件的逻辑 布置;以及
[0012] 图9示出根据各种实施方案的用于实施各方面的环境的实例。
【具体实施方式】
[0013] 在以下描述中,各种实施方案将是通过实例的方式说明,而不限于附图中的图形。 在本公开中对各种实施方案的引用不一定是相同的实施方案,而这样的引用意味着至少一 个。虽然讨论了特定实施方式及其它细节,但是将理解,这样做只是为了说明的目的。相关 领域的技术人员将认识到,在不偏离所要求的主题的范围和精神的情况下,可使用其它组 件和配置。
[0014] 根据本公开的各种实施方案的系统和方法可克服用于保护数据(诸如通过在特 权系统(例如,操作系统内核、管理程序等)中执行操作而获取的结果)的传统方法中所经 历的前述或其它缺点中的一个或多个。具体而言,各种实施方案利用安全方案,诸如非对称 (或对称)加密法,以通过将密钥(例如,公开密钥)包括到在管理程序和/或内核上执行 特权操作的请求中来保护数据。内核和/或管理程序可使用请求中所包括的密钥来加密特 权操作的结果。在一些实施方案中,请求本身也可被加密或签署,使得任何中间方无法读 取请求的参数和其它信息,除非这些中间方被授权来查看请求和/或具有被用来解密请求 或以其它方式篡改请求的密钥副本或其它机构。根据实施方案,通过使用一组形式化接口 (例如,应用程序编程接口(API))将请求提交到内核/管理程序,所述接口使得代码能够被 安全地添加到操作系统(0S)内核和/或管理程序和/或在其上进行修改。在运行时可调 用这些接口以执行安全监控、取证抓拍(forensiccapture)和/或修补软件系统。在各种 实施方案中,使用作为参数包括在API请求中的公开密钥加密API请求的结果。
[0015] 在各种实施方案中,当在主计算装置的管理程序和/或0S内核中执行特权操作 时,此处描述的安全方案可用于多租户共享资源环境(例如,云计算环境)。通常,在这种类 型的环境中,主计算装置利用虚拟化技术提供与服务提供商(例如,云计算提供商)的不同 顾客相关联的一个或多个虚拟机实例。使用管理程序(或其它虚拟化技术)将这些虚拟机 实例托管在计算装置上,并且每个虚拟机实例可包含客户端操作系统,包括内核、装置驱动 器和其它0S组件。用于托管虚拟机的主计算装置和其它物理资源通常由服务提供商提供, 并驻留在资源中心,诸如数据中心、服务器机群、内容传递网络(CDN)、存在点(POP)等。
[0016] 在这种多租户共享资源环境中,在各种主机机器和在其上操作的虚拟机实例之间 执行自省和/或其它数据采集通常是有用的。例如,可能存在导致管理程序或内核进入异 常状态的软件漏洞或其它异常。在一些情况下,该异常状态可能是潜在故障,其中如果不进 行任何操作来解决这种情况,那么主机装置或虚拟机实例将最终发生故障。检测或解决这 些错误中的一些可能需要检查主机装置的运行管理程序和/或内核的存储器。然而,这些 组件(例如,管理程序/内核)通常包含非常敏感的信息,对资源的所有者而言对这些信息 保密是重要的。
[0017] 在各种实施方案中,为了保护对这种敏感信息的访问,此处描述的应用程序编程 接口(API)可用来提交请求,以在虚拟机的管理程序和/或内核上执行特权操作(例如,检 索敏感数据,执行更新等)。为了防止未授权方(例如,数据技术员等)获得对请求的访问, 可签署和/或加密该请求。此外,请求可包括(例如,作为参数)可被管理程序/内核用来 加密请求的任何结果的公开密钥。因此,具有与公开密钥对应的私有密钥的一方可解密请 求的结果。因此,可处理或解译请求的任何中间方(例如,数据技术员)将无法读取请求或 破译请求的结果。如果请求被签署以及请求程序的公开密钥是请求的参数且被涵盖在签名 中,那么公开密钥无法被作为中间方处理请求的任何人移除或取代。
[0018] 在一些实施方案中,具有能够解密请求的私有密钥的一方是最初指示中间方执行 请求并收集结果的一方。例如,管理员可指示技术员调用请求并收集结果,其中管理员拥有 能够解密结果的私有密钥(即,技术员将无法读取结果)。在替代的实施方案中,具有私有 密钥的一方是与授权中间方收集结果的一方不同的另一方。例如,服务提供商的管理员可 授权技术员发出请求并收集结果。另一方(例如,调查员)可能拥有被用来解密结果的私 有密钥。技术员可发出请求,但是技术员将无法读取请求,因为技术员不拥有用于解密结果 的私有密钥。类似地,在本实例中,管理员将不被授权来执行请求,或读取所述请求的结果。 在各种实施方案的范围内,这种密钥所有权的各种其它实例是可能的。
[0019] 在一些实施方案中,该安全方案可能被用来收集有关在服务提供商的网络中运行 的各种虚拟机实例的敏感数据。在一个实施方案中,中央受信服务可针对资源中心中的所 有主机装置生成请求,并且中央服务可将其公开密钥包括在这些请求中。不受信组件(例 如,中间方)随后可将这些请求分配到主机装置,并且在本地发出请求。在一些实施方案 中,相同的不受信组件可收集结果,并且接收所述结果以传递到中央服务。然后,一旦结果 到达中央服务,则可以解密所述结果。
[0020] 在一个实施方案中,服务提供商可利用安全方案执行推测性数据收集,诸如以检 测欺诈或滥用案例,而不违背顾客信任。例如,反欺诈调查员可将特定主机标记为可疑的, 并且启动对机器的监控。当监控开始时,请求可使得管理程序开始收集详细的内核或管理 程序信息(即,结果)。随后可使用请求中所包括的公开密钥来加密结果。然后,拥有私有 密钥的认证方可解密所述采集数据,并执行分析以确定欺诈、滥用服务等。
[0021] 在另一实施方案中,安全方案可被利用来实施连续的健康检查服务。例如,当特定 主机展现性能异常时,健康服务可提交请求以捕获可包括敏感顾客数据的内核/管理程序 存储器的快照,并加密操作的结果。因为请求的结果被加密,所以将不太可能对信息进行不 当访问。在一些实施方案中,健康服务还可执行随机抽样和/或配置主机或虚拟机实例。例 如,服务可获取性能数据的基线,并随后至少部分基于该基线而检测异常。在各种实施方案 中,配置文件可基于顾客或基于机器,可包括绝对阈值,或可以是随机的(例如,定期为快 照随机选择若干主机)。
[0022] 在各种实施方案中,将解密密钥(例如,私有密钥)存储在安全位置中。例如,密 钥可由服务提供商的安全团队维持。同样地,收集数据的人和可读取收集结果的人是不同 方,并且甚至可能无法访问私有密钥。在一个实施方案中,加密数据的密钥(例如,公开密 钥)是请求的一部分。在替代的实施方案中,可存在所有主机信任的单个密钥,并且可将该 密钥编译到内核。在另一实施方案中,可存在受信的证书机构(CA),其中每个主机从受信 CA提取证书。
[0023] 在一些实施方案中,顾客可指定密钥,并指示服务提供商使用密钥来向顾客提供 顾客的VM实例的存储器的加密图像转储。可使用API(诸如网络服务API)将检索存储器转 储的请求提交到主计算装置(例如,主计算装置的内核或管理程序)。在一个实施方案中, API请求可包括顾客指定的密钥。在主计算装置的内核或管理程序将存储器转储传送出主 计算装置之前,使用顾客指定的密钥加密存储器转储。
[0024] 图1示出根据各种实施方案的保护在管理程序或内核上的特权操作的结果的实 例100。在所图示的实施方案中,可使用一组应用程序编程接口(API) 108提交请求107,以 在主计算装置101的内核106或管理程序102上执行特权操作。在本实施方案中,主计算 装置101包括被图示为管理程序102与特权域(D0M-0) 105的组合的虚拟化层。DomO105 和管理程序102可继而影响多个客户端,诸如客户端115。客户端可以是虚拟机实例,各自 具有其相应的操作系统(0S)、内核、装置驱动器、调度器等。Dom-0 105被用来启动并管理 主计算装置101上的其它客户端域。虽然虚拟化层在该图中作为单独组件被示出,但是虚 拟化层的其它实施方式是可能的,并在本公开的范围内。例如,DomO的功能、功能子集以及 被管理程序102影响的那些功能可被整合到单个组件中。
[0025] 根据实施方案,请求107可由数据技术员、监控服务、应用程序、顾客或其它组件 发起,以便执行任何特权操作,诸如读取管理程序