拟机,即服务主管机;服务主管机能够按服务需求生成虚拟机,即服务轻虚拟机,并在该服务运行完毕后自动销毁所生成的服务轻虚拟机,且服务主管机能在宿主机中执行特权指令;所述轻虚拟机能够区分特权指令(内核指令)和一般用户级指令的执行。
[0043]可参考图1的宿主机和服务主管机、其它服务轻虚拟机的关系,其中,实线单向箭头表示不受保护的指令传递;虚线单向箭头表示受保护的指令传递;虚线双向箭头表示受保护的虚拟交互(包括指令和信息的双向传递)。
[0044]步骤B)计算服务请求验证:当小型服务器和云计算设备收到计算服务请求时,月艮务主管机需要确认整个小型服务器和云计算设备拥有服务所需的全部资源,并验证请求发起方拥有必须的使用权限。
[0045]步骤C)轻虚拟机生成:当通过步骤B的计算服务请求验证后,服务主管机按服务需求在宿主机上生成一个服务轻虚拟机,并按所需资源配置该服务轻虚拟机。
[0046]步骤D)轻虚拟机自动配置调整:在服务轻虚拟机运行过程中,服务主管机定期查询资源使用情况:如果在服务运行过程中资源需求发生变化,服务主管机能够自动地动态调整服务轻虚拟机的配置;当服务运行过程中有突发事件需要调整资源配置时,服务主管机能够自动响应并调整服务轻虚拟机的配置。
[0047]在计算服务分离模块中,服务主管机和服务轻虚拟机的实现可以通过宿主机的内核编程和虚拟机内部设置实现。系统程序员可通过对本专利公开技术流程的理解和公知系统内核编程方法的使用实现全套技术。
[0048]( 二)多通道安全保护模块,用于监控由不同通道发起的安全攻击和系统入侵,具体包括下述步骤。可参考如图2的虚拟化环境中四种潜在攻击通道及安全保护机制的位置,其中,箭头表示各种可能的攻击通道及相应的安全保护机制;E、F、G、H分别表示步骤E、F、G、H安全保护机制所在的位置(其中步骤F可以在软件和硬件层对付针对宿主机的软件攻击和硬件攻击)。
[0049]步骤E)虚拟机内置安全保护:在每一个计算服务所在的虚拟机上安装安全保护程序(比如实时病毒防护软件和防火墙软件),用于实现虚拟机内部的局部保护。我们不限定虚拟机中的这种内部保护,只要这种机制能够实现虚拟机内部的局部保护。这是多通道安全保护机制的第一种通道,即虚拟机局部通道。
[0050]步骤F)宿主机直接安全保护:在宿主机上安装安全保护程序,用于实现宿主机内部的保护,且宿主机还通过运行一个虚拟机系统调用的监控程序,实现监控所有运行在宿主机上的系统调用,并对需要修改宿主机系统参数和硬件资源的系统调用特别监控,系统调用包括从虚拟机上运行的计算服务发起的系统调用和虚拟机本身发起的系统调用。这是多通道安全保护机制的第二种通道,即宿主机直接通道。
[0051]步骤G)跨虚拟机安全保护:宿主机通过运行一个虚拟局域网通信监控程序,用于对不同虚拟机之间的系统调用和消息传递进行监控,不同虚拟机之间的系统调用和消息传递都通过虚拟局域网(VLAN)进行相互通信。这是多通道安全保护机制的第三种通道,即虚拟机相互通道。
[0052]步骤H)宿主机综合安全保护:宿主机通过运行一个基于模式库的监控程序,用于实现宿主机综合通道的安全保护;所述基于模式库的监控程序是指由不同的虚拟机发起,并在宿主机上拼接成攻击指令或指令序列的系统调用,且拼接模式由记录在模式库中的模式决定;模式库具体是指已知可拼接攻击指令和指令序列的数据库,模式库进行定期更新。这是多通道安全保护机制的第四种通道,即宿主机综合通道。
[0053]在多通道安全保护模块的步骤F和步骤H中,宿主机上通过虚拟机系统调用的监控程序、基于模式库的监控程序通过一个宿主机监控程序的两个模块来实现
[0054](三)虚拟的统一管理模块,即通过服务主管机实现对虚拟机和宿主机的统一管理,具体包括下述步骤:
[0055]步骤I)虚拟机管理和监控:计算服务发出请求后,服务主管机实现验证、生成和配置轻虚拟机,即步骤B、步骤C、步骤D,且在计算服务结束时,服务主管机监控计算服务的结束请求并摧毁虚拟机;这一步骤由计算服务发出请求,并由服务主管机验证后执行。当服务主管机的安全保护发现受到攻击或入侵,服务主管机能够进行自我摧毁,并在宿主机上镜像生成另一个服务主管机。
[0056]步骤J)宿主机管理和监控:宿主机能够初始生成服务主管机,并实现宿主机上的多种保护通道和监控管理,即步骤F、步骤G和步骤H ;宿主机还能对轻虚拟机自动配置调整中的剩余资源进行回收和统一调度,即对服务主管机调整后的轻虚拟机剩余资源进行回收和统一调度。
[0057]在虚拟的统一管理模块中,步骤I和步骤J分别采用虚拟机、宿主机中分立的独立模块来执行,用于实现安全保护和统一管理的按需配置和灵活扩展。
[0058]最后,需要注意的是,以上列举的仅是本发明的具体实施例。显然,本发明不限于以上实施例,还可以有很多变形。本领域的普通技术人员能从本发明公开的内容中直接导出或联想到的所有变形,均应认为是本发明的保护范围。
【主权项】
1.一种基于轻型虚拟机的计算服务分离与安全保护系统,用于对小型服务器和云计算设备进行安全保护和服务隔离,其特征在于,所述基于轻型虚拟机的计算服务分离与安全保护系统设置在宿主机上,包括下述模块: (一)计算服务分离模块; (二)多通道安全保护模块; (三)虚拟的统一管理模块; (一)计算服务分离模块,用于实现轻虚拟机的按需生成和自动配置,具体包括下述步骤: 步骤A)服务主管机生成:在小型服务器和云计算设备启动的过程中,首先生成一个有域主管权限的轻虚拟机,即服务主管机;服务主管机能够按服务需求生成虚拟机,即服务轻虚拟机,并在该服务运行完毕后自动销毁所生成的服务轻虚拟机,且服务主管机能在宿主机中执行特权指令;所述轻虚拟机能够区分特权指令和一般用户级指令的执行; 步骤B)计算服务请求验证:当小型服务器和云计算设备收到计算服务请求时,服务主管机需要确认整个小型服务器和云计算设备拥有服务所需的全部资源,并验证请求发起方拥有必须的使用权限; 步骤C)轻虚拟机生成:当通过步骤B的计算服务请求验证后,服务主管机按服务需求在宿主机上生成一个服务轻虚拟机,并按所需资源配置该服务轻虚拟机; 步骤D)轻虚拟机自动配置调整:在服务轻虚拟机运行过程中,服务主管机定期查询资源使用情况:如果在服务运行过程中资源需求发生变化,服务主管机能够自动地动态调整服务轻虚拟机的配置;当服务运行过程中有突发事件需要调整资源配置时,服务主管机能够自动响应并调整服务轻虚拟机的配置; (二)多通道安全保护模块,用于监控由不同通道发起的安全攻击和系统入侵,具体包括下述步骤: 步骤E)虚拟机内置安全保护:在每一个计算服务所在的服务轻虚拟机上安装安全保护程序,用于实现虚拟机内部的局部保护; 步骤F)宿主机直接安全保护:在宿主机上安装安全保护程序,用于实现宿主机内部的保护,且宿主机还通过运行一个虚拟机系统调用的监控程序,实现监控所有运行在宿主机上的系统调用,并对需要修改宿主机系统参数和硬件资源的系统调用特别监控,系统调用包括从轻虚拟机上运行的计算服务发起的系统调用和虚拟机本身发起的系统调用; 步骤G)跨虚拟机安全保护:宿主机通过运行一个虚拟局域网通信监控程序,用于对不同轻虚拟机之间的系统调用和消息传递进行监控,不同虚拟机之间的系统调用和消息传递都通过虚拟局域网进行相互通信; 步骤H)宿主机综合安全保护:宿主机通过运行一个基于模式库的监控程序,用于实现宿主机综合通道的安全保护;所述基于模式库的监控程序是指由不同的轻虚拟机发起,并在宿主机上拼接成攻击指令或指令序列的系统调用,且拼接模式由记录在模式库中的模式决定;模式库具体是指已知可拼接攻击指令和指令序列的数据库,模式库进行定期更新; (三)虚拟的统一管理模块,即通过服务主管机实现对服务轻虚拟机和宿主机的统一管理,具体包括下述步骤: 步骤I)虚拟机管理和监控:计算服务发出请求后,服务主管机实现验证、生成和配置轻虚拟机,即步骤B、步骤C、步骤D,且在计算服务结束时,服务主管机监控计算服务的结束请求并摧毁虚拟机;当服务主管机的安全保护发现受到攻击或入侵,服务主管机能够进行自我摧毁,并在宿主机上镜像生成另一个服务主管机; 步骤J)宿主机管理和监控:宿主机能够初始生成服务主管机,并实现宿主机上的多种保护通道和监控管理,即步骤F、步骤G和步骤H ;宿主机还能对轻虚拟机自动配置调整中的剩余资源进行回收和统一调度,即对服务主管机调整后的轻虚拟机剩余资源进行回收和统一调度。
2.根据权利要求1所述的一种基于轻型虚拟机的计算服务分离与安全保护系统,其特征在于,所述服务主管机和服务轻虚拟机能够通过宿主机的内核编程和虚拟机内部设置实现。
3.根据权利要求1所述的一种基于轻型虚拟机的计算服务分离与安全保护系统,其特征在于,所述步骤F和步骤H中,宿主机上通过虚拟机系统调用的监控程序、基于模式库的监控程序通过一个宿主机监控程序的两个模块来实现。
4.根据权利要求1所述的一种基于轻型虚拟机的计算服务分离与安全保护系统,其特征在于,所述虚拟的统一管理模块中,步骤I和步骤J分别采用虚拟机、宿主机中分立的独立模块来执行,用于实现安全保护和统一管理的按需配置和灵活扩展。
【专利摘要】本发明涉及信息安全和计算服务管理领域,旨在提供一种基于轻型虚拟机的计算服务分离与安全保护系统。该种基于轻型虚拟机的计算服务分离与安全保护系统设置在宿主机上,包括计算服务分离模块、多通道安全保护模块和虚拟的统一管理模块。本发明采用基于轻型虚拟机的技术,来达到在消耗额外资源很小的前提下为小型计算设备,特别是最靠近用户的云计算设备,提供实时的多通道安全保护和按需分配的服务隔离;能够提高云终端运行效率,增强云终端内部管理,并同时强化云终端各项安全性能的技术。
【IPC分类】H04L29-08, H04L29-06, G06F9-455
【公开号】CN104767741
【申请号】CN201510130955
【发明人】邬正平, 范渊
【申请人】杭州安恒信息技术有限公司
【公开日】2015年7月8日
【申请日】2015年3月24日