亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于動態(tài)遷移的虛擬機調度算法安全性驗證方法

文檔序號:9235332閱讀:501來源:國知局
一種基于動態(tài)遷移的虛擬機調度算法安全性驗證方法
【技術領域】
[0001] 本發(fā)明設及一種虛擬機調度算法安全性驗證方法,尤其設及一種云環(huán)境下基于動 態(tài)遷移的虛擬機調度算法安全性驗證方法,屬于虛擬機及網絡安全技術領域。
【背景技術】
[0002] 目前云計算技術得到廣泛應用,在云計算基礎架構中,虛擬機動態(tài)遷移已成為公 有云和私有云的必備功能。虛擬機動態(tài)遷移是指將一臺虛擬機從一個物理機器遷移至另一 個物理機器,而遷移過程中虛擬機繼續(xù)執(zhí)行原有指令而不會中斷的一種技術。云服務提供 商利用虛擬機動態(tài)遷移技術進行負載均衡、集中管理、容錯等技術。虛擬機動態(tài)遷移在提供 可伸縮性和靈活性的同時,也帶來了很多安全問題。當前業(yè)界通常把動態(tài)遷移的安全問題 歸為=類;控制平面安全、數(shù)據(jù)平面安全和遷移模塊安全。
[0003] 控制平面安全;虛擬機監(jiān)控器(VMM)之間的用來發(fā)起和管理虛擬機動態(tài)遷移的通 信機制應該加入身份鑒別和防篡改機制。安全研究人員有可能通過攻陷VMM來影響虛擬機 動態(tài)遷移從而實現(xiàn)對虛擬機的完全控制。
[0004] 數(shù)據(jù)平面安全:虛擬機遷移的數(shù)據(jù)通信信道必須進行安全加固,來防止可能的監(jiān) 聽攻擊和篡改攻擊。被動的監(jiān)聽攻擊可能導致被遷移虛擬機敏感數(shù)據(jù)的泄露,而主動的篡 改攻擊則可能導致整個虛擬機被攻破。
[0005] 遷移模塊安全:執(zhí)行遷移功能的VMM模塊必須具有抵御外部攻擊的能力。如果安 全研究人員能夠利用遷移模塊中的漏洞攻陷VMM的話,安全研究人員就可W完全獲取VMM W及VMM之上所有虛擬機的權限。
[0006] 目前安全研究人員已經針對數(shù)據(jù)平面安全提出了很多安全性驗證方法,針對的實 驗平臺包括目前流行的Xen平臺和VMware平臺。而遷移模塊安全主要是對虛擬機監(jiān)控器 的安全漏洞的挖掘,與一般的軟件漏洞挖掘無異,因此其安全分析方法可歸于普通軟件漏 洞挖掘一類。目前還沒有針對控制平面安全挖掘的相關技術出現(xiàn)。
[0007] 動態(tài)遷移中控制平面的安全性驗證方法
[0008] VMM之間的用來發(fā)起和管理虛擬機動態(tài)遷移的通信機制應該加入身份鑒別和防篡 改機制,另外,控制平面中所使用的協(xié)議應該能夠防止監(jiān)聽攻擊和重放攻擊。缺乏訪問控制 機制可能導致安全研究人員能夠執(zhí)行任意的虛擬機遷移。
[0009] 1.遷入控制;通過發(fā)起未授權的遷入,攻擊者能夠把目標虛擬機遷移到攻擊者自 己的物理機上,從而實現(xiàn)對虛擬機的完全控制。
[0010] 2.遷出控制;通過發(fā)起未授權的遷出,攻擊者能夠將大量的虛擬機遷到一個合法 的物理機上,造成其過載,從而實現(xiàn)DoS拒絕服務攻擊。
[0011] 3.虛假資源通告,在一個動態(tài)遷移自動在云主機之間執(zhí)行的環(huán)境中,攻擊者可W 通過控制平面通告虛假的可用資源,假裝擁有很多空閑CPU,從而影響控制平面將虛擬機遷 入到攻擊者所擁有的物理機上。
[0012] 目前大多數(shù)云平臺都需要人工來發(fā)起虛擬機遷移,其控制平面的訪問控制機制是 非常簡單的。例如,Xen平臺利用主機地址白名單來確定可W執(zhí)行遷移命令的主體。然而 由于基于負載均衡的虛擬機之間的自動化遷移可能橫跨了多個管理域,多個管理域內部的 主機地址是無法預知的,因此該個白名單機制實用性并不高,需要提出新型的控制平面的 策略機制。
[0013] 動態(tài)遷移中數(shù)據(jù)平面的安全性驗證方法
[0014] 為了防止監(jiān)聽和篡改攻擊,虛擬機遷移的數(shù)據(jù)平面必須進行安全加固。攻擊者有 可能利用ARP欺騙、DNS污染、路由劫持等技術將自己置于遷移路徑之間,此刻攻擊者可W 發(fā)起中間人攻擊。
[0015] 1.被動監(jiān)聽;針對數(shù)據(jù)平面的被動監(jiān)聽攻擊可能導致敏感信息的泄露。通過監(jiān)控 遷移路徑W及相關的網絡數(shù)據(jù)流,攻擊者能夠從被遷移虛擬機的內存中提取出很多數(shù)據(jù), 包括密碼、秘鑰、應用數(shù)據(jù)W及其他重要資源。
[0016] 2.主動修改;內部攻擊者可能在虛擬機進行網絡遷移時對內存數(shù)據(jù)進行篡改,從 而造成巨大威脅。該樣的中間人攻擊可能導致虛擬機完全被攻陷。
[0017] 即使采用了適當?shù)募用芎蜕矸蓁b別管理機制,攻擊者還是有可能通過監(jiān)聽遷移數(shù) 據(jù)流來捕獲關鍵信息的。例如,攻擊者可W通過遷移數(shù)據(jù)流的特征,如數(shù)據(jù)遷移大小和耗時 來鑒別是哪個虛擬機進行的遷移,從而確定該虛擬機遷移的目標主機。該個信息可能被攻 擊者用來針對某個特殊虛擬機或者遷移虛擬機所在的主機發(fā)起第二輪攻擊。
[0018] 目前主流的云平臺,如Xen和VMware,默認都不開啟數(shù)據(jù)平面保護功能,從而造成 安全隱患。
[0019] 動態(tài)遷移中遷移模塊的安全性驗證方法
[0020] 執(zhí)行動態(tài)遷移功能的VMM模塊需要能夠抵御外部的攻擊。遷移模塊提供了虛擬機 遷移的網絡服務。通用的軟件漏洞,如找溢出、堆溢出、整數(shù)溢出等可能被遠程攻擊者用來 攻陷整個VMM。由于虛擬機遷移一般不認為是一個公用服務接口,因此遷移模塊中的代碼很 可能不像其他部分代碼一樣經過了嚴格的源代碼安全審計,該就更有可能引發(fā)安全漏洞。
[0021] 該種軟件漏洞攻擊幾乎在各種軟件中都很常見,在VMM遷移模塊中該種漏洞需要 格外注意。由于VMM控制著其上運行的所有虛擬機,因此VMM自身的漏洞相比其他普通軟 件漏洞的危害要大得多。如果攻擊者試圖通過遷移模塊來攻陷VMM,此VMM上運行的所有虛 擬機W及將來可能遷入到此VMM上的虛擬機都會被攻陷。在Xen平臺上就曾經多次曝出整 數(shù)溢出漏洞,該些漏洞都有可能導致整個VMM被攻擊者所完全控制,從而造成安全威脅。
[0022] 現(xiàn)有幾種方法的缺點和局限性
[0023] 1)動態(tài)遷移中數(shù)據(jù)平面的安全性驗證方法和動態(tài)遷移中遷移模塊的安全性驗證 方法只是針對數(shù)據(jù)平面和遷移模塊進行滲透演示,但是一般的云平臺的數(shù)據(jù)遷移都是經過 加密的,因此數(shù)據(jù)平面攻擊不會奏效,而針對遷移模塊進行滲透需要依靠遷移模塊的安全 漏洞才能完成,隨著云平臺軟件版本的不斷提供,現(xiàn)有的安全漏洞會被不斷修復,從而導致 無安全漏洞可用,針對遷移模塊的安全性驗證方法也就無法實現(xiàn)。
[0024] 2)現(xiàn)有的動態(tài)遷移中控制平面的安全性驗證方法,只是提出了大概概念,缺乏具 體的實施方法,因此對實踐中的云平臺控制平面安全加固指導作用不大。

【發(fā)明內容】

[0025] 目前云環(huán)境下的虛擬機動態(tài)遷移安全問題,主要分為控制平面安全、數(shù)據(jù)平面安 全和遷移模塊安全=類。現(xiàn)有的方案主要針對數(shù)據(jù)平面安全和遷移模塊安全進行了安全防 護,缺乏對控制平面安全的分析。針對控制平面的安全性驗證方法有=類;1)針對負載均 衡算法的安全性驗證方法;2)針對調度算法的安全性驗證方法;3)針對遷移執(zhí)行指令的安 全性驗證方法。本方案針對2)中的滲透給出了演示。
[0026] 本發(fā)明的目的在于提供一種云環(huán)境下基于動態(tài)遷移的虛擬機調度算法安全性驗 證方法,本發(fā)明能夠通過監(jiān)聽調度網絡通信數(shù)據(jù)實現(xiàn)對調度算法中過濾器和稱重器的逆 向,網絡安全研究人員可W利用該方法獲取云服務提供商的調度算法,從而為進一步安全 性驗證做準備。虛擬機調度機制的基本原理如圖1所示。
[0027] 本發(fā)明解決其技術問題所采用的技術方案為:
[0028] 一種云環(huán)境下基于動態(tài)遷移的虛擬機調度算法安全性驗證方法,其步驟為:
[0029] 1)利用漏洞等方式進入目標云平臺的控制平面網絡中進行監(jiān)聽,監(jiān)聽內容為 AMQP協(xié)議的數(shù)據(jù)報文;
[0030] 2)利用上一步的監(jiān)聽報文,利用AMQP報文解析技術將其轉換為本發(fā)明方法可識 別的文件格式,即主機信息文件和調度請求信息文件;
[0031] 3)調度算法主要通過過濾器和稱重器的不同組合來實現(xiàn)不同的算法效果,其原理 如圖1所示。在調度請求到來時,云平臺首先利用過濾器集合實現(xiàn)對主機列表的過濾,過濾 掉不符合調度請求的要求的主機,接著利用稱重器列表對每個主機進行打分,選取分數(shù)最 高的主機作為最終調度結果。由于過濾器和稱重器都有多個,因此需要通過事先準備,收集 好可能的過濾器和稱重器集合;
[0032] 4)由于最終的調度目的地肯定是經過了過濾器的,因此通過調度目的地主機可W 對過濾器進行篩選,選出最終有可能啟用的過濾器。當調度請求越多時,本發(fā)明所篩選出的 過濾器集合也就越接近真實啟用的過濾器集合,該時也就逆向分析出了目標云平臺的調度 算法的過濾器該一部分;
[0033] 5)利用上一步逆向出的過濾器,我們可W得到每一次調度請求的過濾后的主機列 表,根據(jù)調度算法的原理,稱重器會對過濾后主機列表中的每個主機進行打分,根據(jù)稱重器 權重,加權得出每個主機的最終得分,最終該調度請求的調度結果就是最終得分最高的那 臺主機。在每次調度過程中,由于新調度的虛擬機會占用所在主機資源。因此主機的得分 也會隨之改變。我們發(fā)現(xiàn)在相同的過濾后主機列表中,調度目標主機會從某個主機跳轉到 另一個主機,該種現(xiàn)象我們稱之為主機轉換現(xiàn)象。發(fā)生主機轉換的原因是因為該兩臺主機 本來的得分相近,由于前一次調度,虛擬機占用了其中一個主機的資源,導致其在該一次調 度中得分降低,低過了另一臺主機,我們稱該種現(xiàn)象為"主機選擇替換"。我們可W近似認為 發(fā)生"主機選擇替換"的兩臺主機的得分在該兩次調度中是大致相等的。主機得分的計算 公式為:
[0034] 主機得分=稱重器1得分X稱重器1權重+稱重器2得分X稱重器2權重+??? +稱重器n得分X稱重器n權重,
[00巧]其中各稱重器的得分可W由各稱重器根據(jù)主機信息文件和調度請求信息文件計 算出來,各稱重器權重是未知數(shù)。
[0036] 假設發(fā)生主機選擇替換的兩臺主機分別是主機1、主機2,該樣就可W列出一個方 程,即;主機1前一次調度得分+主機1后一次調度得分=主機2前一次調度得分+主機2 后一次調度得分。主機得分該個方程項就是稱重器加權得出的分數(shù),因此方程的未知數(shù)就 是
當前第1頁1 2 
網友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1