一種基于輕型虛擬機的計算服務分離與安全保護系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明是關于信息安全和計算服務管理領域��,特別涉及一種基于輕型虛擬機的計算服務分離與安全保護系統(tǒng)��。
【背景技術】
[0002]隨著越來越多不同類型的計算服務聚合到各種機頂盒�����、寬帶貓�����、網(wǎng)絡電話機、微型服務器等小型計算設備��,各種服務之間的隔離和保護越來越得到服務提供商的重視�。同時,在各種云終端設備日益普及到千家萬戶來提供各種云計算服務的今天���,云終端內(nèi)部的管理和安全保護也逐漸成為云終端能否被接受乃至全套服務能否成功的關鍵��。而云終端的小型化和易用性的發(fā)展強烈要求云終端內(nèi)部管理減少資源消耗�����。但目前業(yè)界尚無一種統(tǒng)一的技術來同時實現(xiàn)服務分離和安全保護。
[0003]首先��,現(xiàn)存的云計算管理主要集中于平臺資源的調(diào)度和管理�,如專利CN103124274A “一種云計算虛擬化調(diào)度方法及裝置”和CN103744714A “基于云計算的虛擬機管理平臺”中所述的方法。這類方法專注于資源的統(tǒng)一管理并以最優(yōu)化的方案分配給虛擬機�����,同時監(jiān)控資源的使用情況�����。
[0004]其次,為了實現(xiàn)對多種不同類型服務的支持�����,有一類平臺層次化技術可以將云計算平臺中的資源進行分離�����,如專利CN102739771A “一種支持服務融合的云應用集成管理平臺和方法”所述的體系結構���。此外���,還有一些技術可以為云計算平臺提供虛擬機資源的彈性管理,如專利CN103559072A “虛擬機雙向自動伸縮服務實現(xiàn)方法及其系統(tǒng)”所介紹的系統(tǒng)����。但是,這類方法無法支持計算服務本身的分離��,使得共享資源容易受到攻擊�����。
[0005]另外�����,現(xiàn)有的云安全保護技術多使用額外資源和云平臺中的共享資源進行安全防護,如專利CN102917015A “一種基于云計算的虛擬化容忍入侵的方法及裝置”中介紹的方法��。但是�,現(xiàn)有的方法多只提供單一的安全保護,并且需要較多的額外資源���。
[0006]綜上����,目前沒有任何比較系統(tǒng)的技術來同時支持服務隔離和服務的安全保護�����。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的主要目的在于克服現(xiàn)有技術中的不足��,提供一種能夠在消耗額外資源很小的前提下為小型計算設備提供實時多通道安全保護和按需分配服務隔離的技術�。為解決上述技術問題�,本發(fā)明的解決方案是:
[0008]提供一種基于輕型虛擬機的計算服務分離與安全保護系統(tǒng),用于對小型服務器和云計算設備(不僅包括普通云計算或云存儲的服務器����,還包括機頂盒�、智能電視����、智能電話等各類小型化的云計算設備)進行安全保護和服務隔離,所述基于輕型虛擬機的計算服務分離與安全保護系統(tǒng)設置在宿主機上�,包括下述模塊:
[0009](一 )計算服務分離模塊;
[0010]( 二)多通道安全保護模塊��;
[0011](三)虛擬的統(tǒng)一管理模塊�����;
[0012](一 )計算服務分離模塊���,用于實現(xiàn)輕虛擬機的按需生成和自動配置���,具體包括下述步驟:
[0013]步驟A)服務主管機生成:在小型服務器和云計算設備啟動的過程中,首先生成一個有域主管權限的輕虛擬機���,即服務主管機����;服務主管機能夠按服務需求生成虛擬機,即服務輕虛擬機�,并在該服務運行完畢后自動銷毀所生成的服務輕虛擬機(由計算服務發(fā)出請求,并由服務主管機驗證后執(zhí)行)��,且服務主管機能在宿主機中執(zhí)行特權指令���;所述輕虛擬機(包括服務主管機和服務輕虛擬機)能夠區(qū)分特權指令(內(nèi)核指令)和一般用戶級指令的執(zhí)行���;
[0014]步驟B)計算服務請求驗證:當小型服務器和云計算設備收到計算服務請求時,月艮務主管機需要確認整個小型服務器和云計算設備擁有服務所需的全部資源�,并驗證請求發(fā)起方擁有必須的使用權限;
[0015]步驟C)輕虛擬機生成:當通過步驟B的計算服務請求驗證后���,服務主管機按服務需求在宿主機上生成一個服務輕虛擬機���,并按所需資源配置該服務輕虛擬機;
[0016]步驟D)輕虛擬機自動配置調(diào)整:在服務輕虛擬機運行過程中���,服務主管機定期查詢資源使用情況:如果在服務運行過程中資源需求發(fā)生變化,服務主管機能夠自動地動態(tài)調(diào)整服務輕虛擬機的配置��;當服務運行過程中有突發(fā)事件需要調(diào)整資源配置時�����,服務主管機能夠自動響應并調(diào)整服務輕虛擬機的配置;
[0017]( 二)多通道安全保護模塊�����,用于監(jiān)控由不同通道發(fā)起的安全攻擊和系統(tǒng)入侵�,具體包括下述步驟:
[0018]步驟E)虛擬機內(nèi)置安全保護(多通道安全保護機制的第一種通道,即虛擬機局部通道):在每一個計算服務所在的服務輕虛擬機上安裝安全保護程序(比如實時病毒防護軟件和防火墻軟件)�,用于實現(xiàn)虛擬機內(nèi)部的局部保護;
[0019]步驟F)宿主機直接安全保護(多通道安全保護機制的第二種通道���,即宿主機直接通道):在宿主機上安裝安全保護程序��,用于實現(xiàn)宿主機內(nèi)部的保護��,且宿主機還通過運行一個虛擬機系統(tǒng)調(diào)用的監(jiān)控程序�����,實現(xiàn)監(jiān)控所有運行在宿主機上的系統(tǒng)調(diào)用�,并對需要修改宿主機系統(tǒng)參數(shù)和硬件資源的系統(tǒng)調(diào)用特別監(jiān)控�����,系統(tǒng)調(diào)用包括從輕虛擬機上運行的計算服務發(fā)起的系統(tǒng)調(diào)用和虛擬機本身發(fā)起的系統(tǒng)調(diào)用;
[0020]步驟G)跨虛擬機安全保護(多通道安全保護機制的第三種通道��,即虛擬機相互通道):宿主機通過運行一個虛擬局域網(wǎng)通信監(jiān)控程序�,用于對不同輕虛擬機之間的系統(tǒng)調(diào)用和消息傳遞進行監(jiān)控,不同虛擬機之間的系統(tǒng)調(diào)用和消息傳遞都通過虛擬局域網(wǎng)(VLAN)進行相互通信���;
[0021]步驟H)宿主機綜合安全保護(多通道安全保護機制的第四種通道�,即宿主機綜合通道):宿主機通過運行一個基于模式庫的監(jiān)控程序��,用于實現(xiàn)宿主機綜合通道的安全保護���;所述基于模式庫的監(jiān)控程序是指由不同的輕虛擬機發(fā)起��,并在宿主機上拼接成攻擊指令或指令序列的系統(tǒng)調(diào)用����,且拼接模式由記錄在模式庫中的模式?jīng)Q定�����;模式庫具體是指已知可拼接攻擊指令和指令序列的數(shù)據(jù)庫(該數(shù)據(jù)庫的來源可以是第三方安全機構的數(shù)據(jù)源��,也可以是云服務提供商自己的數(shù)據(jù)源)����,模式庫進行定期更新;
[0022](三)虛擬的統(tǒng)一管理模塊�,即通過服務主管機實現(xiàn)對服務輕虛擬機和宿主機的統(tǒng)一管理,具體包括下述步驟:
[0023]步驟I)虛擬機管理和監(jiān)控:計算服務發(fā)出請求后���,服務主管機實現(xiàn)驗證��、生成和配置輕虛擬機����,即步驟B���、步驟C��、步驟D�,且在計算服務結束時�����,服務主管機監(jiān)控計算服務的結束請求并摧毀虛擬機����;當服務主管機的安全保護(包括虛擬機內(nèi)置的安全保護程序和宿主機綜合安全保護程序)發(fā)現(xiàn)受到攻擊或入侵���,服務主管機能夠進行自我摧毀,并在宿主機上鏡像生成另一個服務主管機����;
[0024]步驟J)宿主機管理和監(jiān)控:宿主機能夠初始生成服務主管機,并實現(xiàn)宿主機上的多種保護通道和監(jiān)控管理��,即步驟F�、步驟G和步驟H ;宿主機還能對輕虛擬機自動配置調(diào)整中的剩余資源進行回收和統(tǒng)一調(diào)度,即對服務主管機調(diào)整后的輕虛擬機剩余資源進行回收和統(tǒng)一調(diào)度�。
[0025]在本發(fā)明中,所述服務主管機和服務輕虛擬機能夠通過宿主機的內(nèi)核編程和虛擬機內(nèi)部設置實現(xiàn)�。
[0026]在本發(fā)明中,所述步驟F和步驟H中����,宿主機上通過虛擬機系統(tǒng)調(diào)用的監(jiān)控程序、基于模式庫的監(jiān)控程序通過一個宿主機監(jiān)控程序的兩個模塊來實現(xiàn)���。
[0027]在本發(fā)明中���,所述虛擬的統(tǒng)一管理模塊中,步驟I和步驟J分別采用虛擬機�����、宿主機中分立的獨立模塊來執(zhí)行,用于實現(xiàn)安全保護和統(tǒng)一管理的按需配置和靈活擴展����。
[0028]與現(xiàn)有技術相比���,本發(fā)明的有益效果是:
[0029]1��、本發(fā)明采用基于輕型虛擬機的技術��,來達到在消耗額外資源很小的前提下為小型計算設備����,特別是最靠近用戶的云計算設備�,提供實時的多通道安全保護和按需分配的服務隔離;能夠提高云終端運行效率����,增強云終端內(nèi)部管理,并同時強化云終端各項安全性能的技術��。
[0030]2����、本發(fā)明的輕型虛擬機技術是沙箱技術的一種衍生物�,它在減少資源消耗的基礎上進一步簡化了虛擬機結構�,虛擬化技術可以有效地支持服務分離,而在輕型虛擬機上的多通道安全監(jiān)控和攻擊攔截技術可以有機地結合安全保護與服務分離�����;該技術可以最大限度地利用輕型虛擬機上已經(jīng)分配的資源��,并且充分利用各種資源之間的相互關聯(lián)來監(jiān)測來自不同通道的攻擊�,同時還可以通過輕型虛擬機之間的共享資源來監(jiān)測分布式攻擊。
[0031]3����、本發(fā)明將是各種小型云計算設備(包括終端設備和可穿戴設備)強化內(nèi)部計算服務管理和提高安全性的必要技術,且該技術處于國內(nèi)領先和國際先進水平��。
【附圖說明】
[0032]圖1為宿主機和服務主管機�、其它服務輕虛擬機的關系示意圖。
[0033]圖2為虛擬化環(huán)境中四種潛在攻擊通道及安全保護機制的位置示意圖��。
【具體實施方式】
[0034]首先需要說明的是���,本發(fā)明是計算機技術在信息安全技術領域的一種應用��。在本發(fā)明的實現(xiàn)過程中�,會涉及到多個軟件功能模塊的應用。申請人認為��,如在仔細閱讀申請文件���、準確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的以后,在結合現(xiàn)有公知技術的情況下��,本領域技術人員完全可以運用其掌握的軟件編程技能實現(xiàn)本發(fā)明�。前述軟件功能模塊包括但不限于:計算服務分離模塊、多通道安全保護模塊�、虛擬的統(tǒng)一管理模塊等,凡本發(fā)明申請文件提及的均屬此范疇����,申請人不再一一列舉。
[0035]下面結合附圖與【具體實施方式】對本發(fā)明作進一步詳細描述:
[0036]本發(fā)明不依賴于某一特定廠商開發(fā)的某一種虛擬機�����,但本發(fā)明的技術要求虛擬機能夠區(qū)分特權指令(內(nèi)核指令)和一般用戶級指令的執(zhí)行�����。同時本發(fā)明要求虛擬機管理器可以根據(jù)運行服務所需要的資源來配置虛擬機。這兩項要求能夠被絕大多數(shù)市面上已經(jīng)有的和未來的輕虛擬機支持���。
[0037]如圖1所示的一種基于輕型虛擬機的計算服務分離與安全保護系統(tǒng)���,設置在宿主機上,用于對小型服務器和云計算設備進行安全保護和服務隔離����,具體包括下述模塊:
[0038](一 )計算服務分離模塊;
[0039]( 二)多通道安全保護模塊�����;
[0040](三)虛擬的統(tǒng)一管理模塊�。
[0041](一 )計算服務分離模塊,用于實現(xiàn)輕虛擬機的按需生成和自動配置�����,具體包括下述步驟:
[0042]步驟A)服務主管機生成:在小型服務器和云計算設備啟動的過程中��,首先生成一個有域主管權限的輕虛