本發(fā)明涉及信息安全領(lǐng)域，特別是針對離散計算節(jié)點上的安全虛擬平臺之間的數(shù)據(jù)遷移方法及其安全策略。

背景技術(shù)：

在云計算環(huán)境下，出于負(fù)載均衡和充分發(fā)揮底層硬件處理能力的需要，服務(wù)器集群上的虛擬機(jī)遷移和數(shù)據(jù)遷移是經(jīng)常發(fā)生的情況。隨著網(wǎng)絡(luò)通訊帶寬和傳輸速率的不斷提升，將離散的計算節(jié)點，尤其是PC機(jī)和筆記本電腦組成集群，以類似服務(wù)器集群的云計算的方式來充分發(fā)揮這些計算資源的潛力，是一個具有廣闊發(fā)展前景的方向。離散計算節(jié)點上的虛擬機(jī)遷移和數(shù)據(jù)遷移，是影響離散計算節(jié)點協(xié)同運(yùn)算效率的一個重要因素，同時也是影響網(wǎng)絡(luò)安全控制的一個重要因素。

如專利申請201310072657.4公開了一種可信虛擬平臺及其構(gòu)建方法、平臺之間數(shù)據(jù)遷移方法，該申請基于TPM安全芯片的虛擬化vTPM技術(shù)來構(gòu)建可信服務(wù)域TSD，TSD擴(kuò)展信任鏈為用戶域建立可信運(yùn)行環(huán)境。用戶域通過與管理域交互完成其安全應(yīng)用對可信功能的調(diào)用，管理域通過與TSD的交互完成可信命令的傳輸與處理。源平臺遷移引擎與目標(biāo)平臺遷移引擎交互，將基于安全芯片與TSD生成的遷移數(shù)據(jù)遷移至目標(biāo)平臺，并在目標(biāo)平臺上恢復(fù)數(shù)據(jù)，完成TSD與虛擬機(jī)的快速遷移。

然而，在實際應(yīng)用場景，離散分布的計算節(jié)點，如不同用戶的PC機(jī)和筆記本電腦，所安裝的虛擬機(jī)監(jiān)控器存在差異，所運(yùn)行的虛擬機(jī)中包含的操作系統(tǒng)和應(yīng)用程序也存在差異。如何對離散計算節(jié)點上的虛擬機(jī)監(jiān)控器、需要遷移的虛擬機(jī)所包含的操作系統(tǒng)和應(yīng)用程序、現(xiàn)場運(yùn)行數(shù)據(jù)進(jìn)行統(tǒng)一的安全管理，該專利申請沒有涉及的問題。同時vTPM技術(shù)只解決了計算節(jié)點上的靜態(tài)可信環(huán)境的建設(shè)問題，并未涉及計算節(jié)點運(yùn)行過程中的動態(tài)安全檢測與運(yùn)行環(huán)境維護(hù)，虛擬機(jī)和相關(guān)數(shù)據(jù)的安全遷移等問題。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種離散計算節(jié)點上安全虛擬平臺間的數(shù)據(jù)遷移方法，該方法解決在高速網(wǎng)絡(luò)環(huán)境下，離散計算節(jié)點上的安全虛擬平臺之間虛擬機(jī)遷移和相關(guān)數(shù)據(jù)遷移問題，在充分發(fā)揮計算資源的處理潛力的同時，也能實現(xiàn)有效的網(wǎng)絡(luò)安全控制的目的。

本發(fā)明的另一個目的在于提供一種離散計算節(jié)點上安全虛擬平臺間的安全檢測及數(shù)據(jù)遷移方法，該方法

本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的。

一種離散計算節(jié)點上安全虛擬平臺間的數(shù)據(jù)遷移方法，該方法在每個離散計算節(jié)點上建立了一個針對虛擬機(jī)監(jiān)控器的安全加固系統(tǒng)，利用獨立的硬件安全監(jiān)控系統(tǒng)來模擬網(wǎng)絡(luò)環(huán)境下遠(yuǎn)端服務(wù)器的客戶端軟件發(fā)布功能，所述安全加固系統(tǒng)利用計算節(jié)點的通訊端口和互連網(wǎng)絡(luò)與遠(yuǎn)端的安全服務(wù)器連接，安全服務(wù)器對各個計算節(jié)點上連接的安全加固系統(tǒng)中存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、操作系統(tǒng)、中間件和應(yīng)用程序的版本、兼容性和完整性進(jìn)行統(tǒng)一的標(biāo)記、管理、維護(hù)和升級；通過安全加固系統(tǒng)和安全服務(wù)器完成數(shù)據(jù)的遷移。

所述安全加固系統(tǒng)包含一個在虛擬機(jī)監(jiān)控器中加入的安全監(jiān)控器，同時采用一個獨立的硬件安全監(jiān)控系統(tǒng)來與計算節(jié)點相連接，通過安全加固系統(tǒng)對虛擬機(jī)監(jiān)控器、執(zhí)行高安全應(yīng)用的虛擬機(jī)的運(yùn)行狀態(tài)進(jìn)行實時檢測和管理。

進(jìn)一步，所述硬件安全監(jiān)控系統(tǒng)一方面存儲虛擬機(jī)監(jiān)控器和安全監(jiān)控器的程序代碼，同時也用來存儲高安全應(yīng)用所需的精簡操作系統(tǒng)、中間件和應(yīng)用程序；計算節(jié)點根據(jù)不同應(yīng)用環(huán)境的功能需求和安全需求，通過虛擬機(jī)監(jiān)控器配置特定的安全分區(qū)，并從硬件安全監(jiān)控系統(tǒng)上載高安全應(yīng)用所需的精簡操作系統(tǒng)、中間件和應(yīng)用程序到安全分區(qū)，適時啟動分區(qū)上集成的虛擬機(jī)，完成高安全應(yīng)用預(yù)期的操作，并在操作完成后撤銷對應(yīng)的虛擬機(jī)和分區(qū)。

更進(jìn)一步，所述虛擬機(jī)監(jiān)控器上載高安全應(yīng)用所涉及的操作系統(tǒng)、中間件和應(yīng)用程序到特定的安全分區(qū)，啟動并執(zhí)行高安全應(yīng)用；在高安全應(yīng)用執(zhí)行期間，該分區(qū)中操作系統(tǒng)、中間件和應(yīng)用程序的完整性檢測，將通過安全監(jiān)控器獲取它們的快照，并通過硬件安全監(jiān)控系統(tǒng)的后臺處理來進(jìn)行驗證；在高安全應(yīng)用執(zhí)行期間，如果虛擬機(jī)監(jiān)控器遭到入侵，或者安全應(yīng)用的分區(qū)遭到入侵，則硬件安全監(jiān)控系統(tǒng)進(jìn)行系統(tǒng)復(fù)位，撤銷全部的虛擬機(jī)運(yùn)行。

更進(jìn)一步，所述高安全應(yīng)用運(yùn)行過程中涉及的重要中間數(shù)據(jù)以及最終結(jié)果將保存到硬件安全監(jiān)控系統(tǒng)中，有效防止數(shù)據(jù)和信息的外泄。

所述硬件安全監(jiān)控系統(tǒng)利用計算節(jié)點的通訊端口和互連網(wǎng)絡(luò)與遠(yuǎn)端的安全服務(wù)器連接，安全服務(wù)器對各個計算節(jié)點上連接的硬件安全監(jiān)控系統(tǒng)中存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序的版本、兼容性和完整性進(jìn)行統(tǒng)一的標(biāo)記、管理、維護(hù)和升級。

在離散計算節(jié)點通過網(wǎng)絡(luò)互連進(jìn)行協(xié)同運(yùn)算時，安全服務(wù)器根據(jù)各個計算節(jié)點上的獨立硬件安全監(jiān)控器所反饋的安全檢測信息，按照網(wǎng)絡(luò)安全控制的要求和負(fù)載均衡的要求，有選擇地停止和刪除部分計算節(jié)點上執(zhí)行的高安全應(yīng)用，將相關(guān)的安全虛擬機(jī)和現(xiàn)場數(shù)據(jù)遷移到合適的計算節(jié)點上繼續(xù)執(zhí)行。

所述方法，在離散計算節(jié)點通過網(wǎng)絡(luò)互連進(jìn)行協(xié)同運(yùn)算時，獨立硬件安全監(jiān)控系統(tǒng)采集和檢測各個計算節(jié)點的虛擬機(jī)監(jiān)控器、執(zhí)行高安全應(yīng)用的安全虛擬機(jī)的完整性和安全性，并將檢測信息發(fā)送給安全服務(wù)器。

進(jìn)一步，所述安全服務(wù)器根據(jù)各個計算節(jié)點上的獨立硬件安全監(jiān)控系統(tǒng)所反饋的檢測信息形成全局的安全態(tài)勢感知和安全態(tài)勢分析，按照負(fù)載均衡和安全控制的要求，有選擇地停止和刪除部分計算節(jié)點上執(zhí)行的高安全應(yīng)用。

更進(jìn)一步，所述安全服務(wù)器對虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的操作系統(tǒng)、中間件和應(yīng)用程序的版本均滿足安全虛擬機(jī)遷移要求的計算節(jié)點，將相關(guān)的安全虛擬機(jī)的現(xiàn)場數(shù)據(jù)通過密碼安全通道傳輸?shù)竭@些計算節(jié)點所連接的硬件安全監(jiān)控系統(tǒng)中，并通過虛擬機(jī)監(jiān)控器建立安全虛擬機(jī)，繼續(xù)進(jìn)行執(zhí)行對應(yīng)的高安全應(yīng)用。

本發(fā)明與現(xiàn)有技術(shù)相比具有以下優(yōu)點：

1、能夠?qū)τ嬎愎?jié)點當(dāng)前的安全態(tài)勢的準(zhǔn)確感知，為離散計算節(jié)點間的協(xié)同計算提供了良好的安全保障。

2、采用獨立的硬件安全監(jiān)控系統(tǒng)來對高安全應(yīng)用虛擬機(jī)和虛擬機(jī)監(jiān)控器的實時存儲映像進(jìn)行檢測，有效規(guī)避了計算節(jié)點底層硬件系統(tǒng)自身的安全缺陷、硬件木馬/邏輯炸彈，保證了檢測操作的獨立性和有效性。

3、硬件安全監(jiān)控系統(tǒng)上執(zhí)行的安全檢測操作是與計算節(jié)點的系統(tǒng)運(yùn)行并行執(zhí)行的，因此，這樣的處理也降低了安全檢測運(yùn)算在計算節(jié)點上執(zhí)行所帶來的性能損耗。

4、采用獨立的硬件安全監(jiān)控系統(tǒng)中的安全存儲區(qū)來保持虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序，保證了代碼的存儲與檢測的不依賴于計算節(jié)點硬件電路的安全性，為這些代碼的統(tǒng)一管理提供了堅實的保障。

5、硬件安全監(jiān)控系統(tǒng)利用計算節(jié)點中的通訊端口和互連網(wǎng)絡(luò)與遠(yuǎn)端的安全服務(wù)器連接，安全服務(wù)器對不同計算節(jié)點上連接的硬件安全監(jiān)控系統(tǒng)中存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序的版本、兼容性和完整性進(jìn)行統(tǒng)一的標(biāo)記、管理、維護(hù)和升級。

6、在離散計算節(jié)點通過網(wǎng)絡(luò)互連進(jìn)行協(xié)同運(yùn)算時，安全服務(wù)器根據(jù)各個計算節(jié)點上的獨立硬件安全監(jiān)控器所反饋的安全檢測信息，按照網(wǎng)絡(luò)安全控制的要求和負(fù)載均衡的要求，有選擇地停止和刪除部分計算節(jié)點上執(zhí)行的高安全應(yīng)用，將相關(guān)的安全虛擬機(jī)和現(xiàn)場數(shù)據(jù)遷移到合適的計算節(jié)點上繼續(xù)執(zhí)行，保證了安全虛擬平臺間的數(shù)據(jù)遷移的有效性和安全性。

附圖說明

圖1是本發(fā)明所實施的系統(tǒng)框圖。(附圖)

圖2是本發(fā)明所實施的獨立硬件安全監(jiān)控系統(tǒng)框圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1所示，為本發(fā)明所實現(xiàn)的系統(tǒng)結(jié)構(gòu)框圖，本發(fā)明所實現(xiàn)的離散計算節(jié)點上的安全虛擬平臺間的虛擬機(jī)遷移和相關(guān)數(shù)據(jù)遷移方案，是基于圖1所示的安全加固的計算系統(tǒng)來進(jìn)行的。其中本發(fā)明的核心是在虛擬機(jī)監(jiān)控器中加入安全監(jiān)控器，同時連接了用于安全監(jiān)控和安全檢測的獨立的硬件安全監(jiān)控系統(tǒng)。

本發(fā)明的具體實施分為計算節(jié)點的安全加固、安全服務(wù)器對獨立硬件安全監(jiān)控系統(tǒng)的統(tǒng)一管理、安全虛擬平臺間的數(shù)據(jù)遷移三部分。

第1部分：計算節(jié)點的安全加固。

計算節(jié)點的安全加固包含下面兩方面的內(nèi)容：

(1)虛擬機(jī)監(jiān)控器和安全監(jiān)控器的功能融合。

由于虛擬機(jī)監(jiān)控器位于操作系統(tǒng)之下，硬件系統(tǒng)之上，它對軟件和硬件的調(diào)度具有最高的優(yōu)先權(quán)，基于虛擬機(jī)監(jiān)控器就可以實現(xiàn)方便、高效的安全監(jiān)控機(jī)制。圖1所示，本發(fā)明的實施是在虛擬機(jī)監(jiān)控器的基礎(chǔ)上加入了一個安全監(jiān)控器。

對于虛擬機(jī)中的操作系統(tǒng)和應(yīng)用軟件的運(yùn)行而言，由于執(zhí)行進(jìn)程的調(diào)度和對硬件資源的訪問都是通過虛擬機(jī)監(jiān)控器的管理來實現(xiàn)的，因此安全監(jiān)控器就可以采用和虛擬機(jī)監(jiān)控器相同的粒度來監(jiān)控相關(guān)的進(jìn)程和操作，采集相關(guān)的進(jìn)程和操作的運(yùn)行參數(shù)供安全監(jiān)控系統(tǒng)做實時的分析，并對發(fā)現(xiàn)的攻擊行為采取相應(yīng)的對策和防護(hù)處理。對于虛擬機(jī)監(jiān)控器的完整性檢測而言，對虛擬機(jī)運(yùn)行狀態(tài)的檢測，可以起到計算節(jié)點當(dāng)前態(tài)勢感知的作用，這對于有針對性地選擇虛擬機(jī)監(jiān)控器的檢測點，提高安全檢測的效率，具有重要的作用。

(2)獨立的硬件安全監(jiān)控系統(tǒng)。

不同于目前業(yè)界廣泛采用的以軟件形式實現(xiàn)的虛擬機(jī)安全監(jiān)控器，我們設(shè)計并實現(xiàn)了獨立的硬件安全監(jiān)控系統(tǒng)。硬件安全監(jiān)控系統(tǒng)的組成如圖2所示，它由一個接口與路由芯片和一組安全監(jiān)控芯片組成，這些芯片均采用最高等級的安全防護(hù)設(shè)計，同時這些芯片之間的通訊均采用安全加密的形式進(jìn)行，保證了這些加密的通訊數(shù)據(jù)的安全性。

虛擬機(jī)監(jiān)控器和安全監(jiān)控器的程序代碼均存儲在安全監(jiān)控芯片中，計算節(jié)點上電時通過密碼安全通道將這些代碼上載到計算節(jié)點平臺上，保證了系統(tǒng)檢測的可信根不依賴于計算節(jié)點硬件電路的安全性。

高等級安全應(yīng)用的啟動與執(zhí)行。在本機(jī)操作系統(tǒng)和應(yīng)用程序沒有遭到攻擊的情況下，虛擬機(jī)監(jiān)控器將從安全監(jiān)控芯片上載高安全應(yīng)用所涉及的精簡操作系統(tǒng)、中間件和應(yīng)用程序到特定的安全分區(qū)，啟動并執(zhí)行高安全應(yīng)用。在高安全應(yīng)用執(zhí)行期間，該分區(qū)中操作系統(tǒng)、中間件和應(yīng)用程序的完整性檢測，將通過安全監(jiān)控器獲取它們的快照，并通過硬件安全監(jiān)控系統(tǒng)的后臺處理來進(jìn)行驗證。在高安全應(yīng)用執(zhí)行期間，如果虛擬機(jī)監(jiān)控器遭到入侵，或者安全應(yīng)用的分區(qū)遭到入侵，則硬件安全監(jiān)控系統(tǒng)進(jìn)行系統(tǒng)復(fù)位，撤銷全部的虛擬機(jī)運(yùn)行。如果高安全應(yīng)用順利完成，則虛擬機(jī)監(jiān)控器撤銷對應(yīng)的虛擬機(jī)和安全分區(qū)，調(diào)度本機(jī)操作系統(tǒng)和應(yīng)用程序轉(zhuǎn)入執(zhí)行。

高安全應(yīng)用運(yùn)行過程中涉及的重要中間數(shù)據(jù)以及最終結(jié)果將保存到硬件安全監(jiān)控系統(tǒng)中，有效防止數(shù)據(jù)和信息的外泄。

第2部分：安全服務(wù)器對獨立硬件安全監(jiān)控系統(tǒng)的統(tǒng)一管理。

獨立硬件安全監(jiān)控系統(tǒng)利用計算節(jié)點的通訊端口和互連網(wǎng)絡(luò)與遠(yuǎn)端的安全服務(wù)器連接，安全服務(wù)器對各個獨立硬件安全監(jiān)控系統(tǒng)的安全監(jiān)控芯片中存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序的版本、兼容性和完整性進(jìn)行統(tǒng)一的標(biāo)記、管理、維護(hù)和升級。

各個計算節(jié)點上的硬件安全監(jiān)控系統(tǒng)將本地發(fā)現(xiàn)的安全攻擊情況上報給安全服務(wù)器。安全服務(wù)器綜合一個特定時間段所發(fā)現(xiàn)的安全攻擊情況，調(diào)整相關(guān)的安全監(jiān)控策略和安全容錯策略，并對虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序進(jìn)行安全升級。安全服務(wù)器將上述內(nèi)容進(jìn)行加密，通過互連網(wǎng)絡(luò)發(fā)送到與計算節(jié)點配套的硬件安全監(jiān)控系統(tǒng)中的安全監(jiān)控芯片組，實現(xiàn)計算節(jié)點安全加固系統(tǒng)的動態(tài)維護(hù)和升級。

第3部分：安全虛擬平臺間的數(shù)據(jù)遷移。

在離散計算節(jié)點通過網(wǎng)絡(luò)互連進(jìn)行協(xié)同運(yùn)算時，獨立硬件安全監(jiān)控系統(tǒng)并發(fā)地采集和檢測各個計算節(jié)點的虛擬機(jī)監(jiān)控器、執(zhí)行高安全應(yīng)用的安全虛擬機(jī)的完整性和安全性，并將檢測信息發(fā)送給安全服務(wù)器。

安全服務(wù)器根據(jù)各個計算節(jié)點上的獨立硬件安全監(jiān)控器所反饋的安全檢測信息，形成全局的安全態(tài)勢感知和安全態(tài)勢分析。按照負(fù)載均衡和安全控制的要求，有選擇地停止和刪除部分計算節(jié)點上執(zhí)行的高安全應(yīng)用，同時選擇計算資源合適，而且硬件安全監(jiān)控器上存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序的版本均滿足安全虛擬機(jī)遷移要求的計算節(jié)點，將相關(guān)的安全虛擬機(jī)的現(xiàn)場數(shù)據(jù)通過密碼安全通道傳輸?shù)竭@些計算節(jié)點所連接的硬件安全監(jiān)控系統(tǒng)中，并通過虛擬機(jī)監(jiān)控器建立安全虛擬機(jī)，繼續(xù)進(jìn)行執(zhí)行對應(yīng)的高安全應(yīng)用。

因此，本發(fā)明與現(xiàn)有技術(shù)相比對計算節(jié)點當(dāng)前的安全態(tài)勢的準(zhǔn)確感知，為離散計算節(jié)點間的協(xié)同計算提供了良好的安全保障。而且采用獨立的硬件安全監(jiān)控系統(tǒng)來對高安全應(yīng)用虛擬機(jī)和虛擬機(jī)監(jiān)控器的實時存儲映像進(jìn)行檢測，有效規(guī)避了計算節(jié)點底層硬件系統(tǒng)自身的安全缺陷、硬件木馬/邏輯炸彈，保證了檢測操作的獨立性和有效性。

硬件安全監(jiān)控系統(tǒng)利用計算節(jié)點中的通訊端口和互連網(wǎng)絡(luò)與遠(yuǎn)端的安全服務(wù)器連接，安全服務(wù)器對不同計算節(jié)點上連接的硬件安全監(jiān)控系統(tǒng)中存儲的虛擬機(jī)監(jiān)控器、安全監(jiān)控器、高安全應(yīng)用所包含的精簡操作系統(tǒng)、中間件和應(yīng)用程序的版本、兼容性和完整性進(jìn)行統(tǒng)一的標(biāo)記、管理、維護(hù)和升級。

在離散計算節(jié)點通過網(wǎng)絡(luò)互連進(jìn)行協(xié)同運(yùn)算時，安全服務(wù)器根據(jù)各個計算節(jié)點上的獨立硬件安全監(jiān)控器所反饋的安全檢測信息，按照網(wǎng)絡(luò)安全控制的要求和負(fù)載均衡的要求，有選擇地停止和刪除部分計算節(jié)點上執(zhí)行的高安全應(yīng)用，將相關(guān)的安全虛擬機(jī)和現(xiàn)場數(shù)據(jù)遷移到合適的計算節(jié)點上繼續(xù)執(zhí)行，保證了安全虛擬平臺間的數(shù)據(jù)遷移的有效性和安全性。

以上所述僅為本發(fā)明的較佳實施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。