一種基于輕型虛擬機的計算服務(wù)分離與安全保護系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明是關(guān)于信息安全和計算服務(wù)管理領(lǐng)域,特別涉及一種基于輕型虛擬機的計算服務(wù)分離與安全保護系統(tǒng)。
【背景技術(shù)】
[0002]隨著越來越多不同類型的計算服務(wù)聚合到各種機頂盒、寬帶貓、網(wǎng)絡(luò)電話機、微型服務(wù)器等小型計算設(shè)備,各種服務(wù)之間的隔離和保護越來越得到服務(wù)提供商的重視。同時,在各種云終端設(shè)備日益普及到千家萬戶來提供各種云計算服務(wù)的今天,云終端內(nèi)部的管理和安全保護也逐漸成為云終端能否被接受乃至全套服務(wù)能否成功的關(guān)鍵。而云終端的小型化和易用性的發(fā)展強烈要求云終端內(nèi)部管理減少資源消耗。但目前業(yè)界尚無一種統(tǒng)一的技術(shù)來同時實現(xiàn)服務(wù)分離和安全保護。
[0003]首先,現(xiàn)存的云計算管理主要集中于平臺資源的調(diào)度和管理,如專利CN103124274A “一種云計算虛擬化調(diào)度方法及裝置”和CN103744714A “基于云計算的虛擬機管理平臺”中所述的方法。這類方法專注于資源的統(tǒng)一管理并以最優(yōu)化的方案分配給虛擬機,同時監(jiān)控資源的使用情況。
[0004]其次,為了實現(xiàn)對多種不同類型服務(wù)的支持,有一類平臺層次化技術(shù)可以將云計算平臺中的資源進(jìn)行分離,如專利CN102739771A “一種支持服務(wù)融合的云應(yīng)用集成管理平臺和方法”所述的體系結(jié)構(gòu)。此外,還有一些技術(shù)可以為云計算平臺提供虛擬機資源的彈性管理,如專利CN103559072A “虛擬機雙向自動伸縮服務(wù)實現(xiàn)方法及其系統(tǒng)”所介紹的系統(tǒng)。但是,這類方法無法支持計算服務(wù)本身的分離,使得共享資源容易受到攻擊。
[0005]另外,現(xiàn)有的云安全保護技術(shù)多使用額外資源和云平臺中的共享資源進(jìn)行安全防護,如專利CN102917015A “一種基于云計算的虛擬化容忍入侵的方法及裝置”中介紹的方法。但是,現(xiàn)有的方法多只提供單一的安全保護,并且需要較多的額外資源。
[0006]綜上,目前沒有任何比較系統(tǒng)的技術(shù)來同時支持服務(wù)隔離和服務(wù)的安全保護。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的主要目的在于克服現(xiàn)有技術(shù)中的不足,提供一種能夠在消耗額外資源很小的前提下為小型計算設(shè)備提供實時多通道安全保護和按需分配服務(wù)隔離的技術(shù)。為解決上述技術(shù)問題,本發(fā)明的解決方案是:
[0008]提供一種基于輕型虛擬機的計算服務(wù)分離與安全保護系統(tǒng),用于對小型服務(wù)器和云計算設(shè)備(不僅包括普通云計算或云存儲的服務(wù)器,還包括機頂盒、智能電視、智能電話等各類小型化的云計算設(shè)備)進(jìn)行安全保護和服務(wù)隔離,所述基于輕型虛擬機的計算服務(wù)分離與安全保護系統(tǒng)設(shè)置在宿主機上,包括下述模塊:
[0009](一 )計算服務(wù)分離模塊;
[0010]( 二)多通道安全保護模塊;
[0011](三)虛擬的統(tǒng)一管理模塊;
[0012](一 )計算服務(wù)分離模塊,用于實現(xiàn)輕虛擬機的按需生成和自動配置,具體包括下述步驟:
[0013]步驟A)服務(wù)主管機生成:在小型服務(wù)器和云計算設(shè)備啟動的過程中,首先生成一個有域主管權(quán)限的輕虛擬機,即服務(wù)主管機;服務(wù)主管機能夠按服務(wù)需求生成虛擬機,即服務(wù)輕虛擬機,并在該服務(wù)運行完畢后自動銷毀所生成的服務(wù)輕虛擬機(由計算服務(wù)發(fā)出請求,并由服務(wù)主管機驗證后執(zhí)行),且服務(wù)主管機能在宿主機中執(zhí)行特權(quán)指令;所述輕虛擬機(包括服務(wù)主管機和服務(wù)輕虛擬機)能夠區(qū)分特權(quán)指令(內(nèi)核指令)和一般用戶級指令的執(zhí)行;
[0014]步驟B)計算服務(wù)請求驗證:當(dāng)小型服務(wù)器和云計算設(shè)備收到計算服務(wù)請求時,月艮務(wù)主管機需要確認(rèn)整個小型服務(wù)器和云計算設(shè)備擁有服務(wù)所需的全部資源,并驗證請求發(fā)起方擁有必須的使用權(quán)限;
[0015]步驟C)輕虛擬機生成:當(dāng)通過步驟B的計算服務(wù)請求驗證后,服務(wù)主管機按服務(wù)需求在宿主機上生成一個服務(wù)輕虛擬機,并按所需資源配置該服務(wù)輕虛擬機;
[0016]步驟D)輕虛擬機自動配置調(diào)整:在服務(wù)輕虛擬機運行過程中,服務(wù)主管機定期查詢資源使用情況:如果在服務(wù)運行過程中資源需求發(fā)生變化,服務(wù)主管機能夠自動地動態(tài)調(diào)整服務(wù)輕虛擬機的配置;當(dāng)服務(wù)運行過程中有突發(fā)事件需要調(diào)整資源配置時,服務(wù)主管機能夠自動響應(yīng)并調(diào)整服務(wù)輕虛擬機的配置;
[0017]( 二)多通道安全保護模塊,用于監(jiān)控由不同通道發(fā)起的安全攻擊和系統(tǒng)入侵,具體包括下述步驟:
[0018]步驟E)虛擬機內(nèi)置安全保護(多通道安全保護機制的第一種通道,即虛擬機局部通道):在每一個計算服務(wù)所在的服務(wù)輕虛擬機上安裝安全保護程序(比如實時病毒防護軟件和防火墻軟件),用于實現(xiàn)虛擬機內(nèi)部的局部保護;
[0019]步驟F)宿主機直接安全保護(多通道安全保護機制的第二種通道,即宿主機直接通道):在宿主機上安裝安全保護程序,用于實現(xiàn)宿主機內(nèi)部的保護,且宿主機還通過運行一個虛擬機系統(tǒng)調(diào)用的監(jiān)控程序,實現(xiàn)監(jiān)控所有運行在宿主機上的系統(tǒng)調(diào)用,并對需要修改宿主機系統(tǒng)參數(shù)和硬件資源的系統(tǒng)調(diào)用特別監(jiān)控,系統(tǒng)調(diào)用包括從輕虛擬機上運行的計算服務(wù)發(fā)起的系統(tǒng)調(diào)用和虛擬機本身發(fā)起的系統(tǒng)調(diào)用;
[0020]步驟G)跨虛擬機安全保護(多通道安全保護機制的第三種通道,即虛擬機相互通道):宿主機通過運行一個虛擬局域網(wǎng)通信監(jiān)控程序,用于對不同輕虛擬機之間的系統(tǒng)調(diào)用和消息傳遞進(jìn)行監(jiān)控,不同虛擬機之間的系統(tǒng)調(diào)用和消息傳遞都通過虛擬局域網(wǎng)(VLAN)進(jìn)行相互通信;
[0021]步驟H)宿主機綜合安全保護(多通道安全保護機制的第四種通道,即宿主機綜合通道):宿主機通過運行一個基于模式庫的監(jiān)控程序,用于實現(xiàn)宿主機綜合通道的安全保護;所述基于模式庫的監(jiān)控程序是指由不同的輕虛擬機發(fā)起,并在宿主機上拼接成攻擊指令或指令序列的系統(tǒng)調(diào)用,且拼接模式由記錄在模式庫中的模式?jīng)Q定;模式庫具體是指已知可拼接攻擊指令和指令序列的數(shù)據(jù)庫(該數(shù)據(jù)庫的來源可以是第三方安全機構(gòu)的數(shù)據(jù)源,也可以是云服務(wù)提供商自己的數(shù)據(jù)源),模式庫進(jìn)行定期更新;
[0022](三)虛擬的統(tǒng)一管理模塊,即通過服務(wù)主管機實現(xiàn)對服務(wù)輕虛擬機和宿主機的統(tǒng)一管理,具體包括下述步驟:
[0023]步驟I)虛擬機管理和監(jiān)控:計算服務(wù)發(fā)出請求后,服務(wù)主管機實現(xiàn)驗證、生成和配置輕虛擬機,即步驟B、步驟C、步驟D,且在計算服務(wù)結(jié)束時,服務(wù)主管機監(jiān)控計算服務(wù)的結(jié)束請求并摧毀虛擬機;當(dāng)服務(wù)主管機的安全保護(包括虛擬機內(nèi)置的安全保護程序和宿主機綜合安全保護程序)發(fā)現(xiàn)受到攻擊或入侵,服務(wù)主管機能夠進(jìn)行自我摧毀,并在宿主機上鏡像生成另一個服務(wù)主管機;
[0024]步驟J)宿主機管理和監(jiān)控:宿主機能夠初始生成服務(wù)主管機,并實現(xiàn)宿主機上的多種保護通道和監(jiān)控管理,即步驟F、步驟G和步驟H ;宿主機還能對輕虛擬機自動配置調(diào)整中的剩余資源進(jìn)行回收和統(tǒng)一調(diào)度,即對服務(wù)主管機調(diào)整后的輕虛擬機剩余資源進(jìn)行回收和統(tǒng)一調(diào)度。
[0025]在本發(fā)明中,所述服務(wù)主管機和服務(wù)輕虛擬機能夠通過宿主機的內(nèi)核編程和虛擬機內(nèi)部設(shè)置實現(xiàn)。
[0026]在本發(fā)明中,所述步驟F和步驟H中,宿主機上通過虛擬機系統(tǒng)調(diào)用的監(jiān)控程序、基于模式庫的監(jiān)控程序通過一個宿主機監(jiān)控程序的兩個模塊來實現(xiàn)。
[0027]在本發(fā)明中,所述虛擬的統(tǒng)一管理模塊中,步驟I和步驟J分別采用虛擬機、宿主機中分立的獨立模塊來執(zhí)行,用于實現(xiàn)安全保護和統(tǒng)一管理的按需配置和靈活擴展。
[0028]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:
[0029]1、本發(fā)明采用基于輕型虛擬機的技術(shù),來達(dá)到在消耗額外資源很小的前提下為小型計算設(shè)備,特別是最靠近用戶的云計算設(shè)備,提供實時的多通道安全保護和按需分配的服務(wù)隔離;能夠提高云終端運行效率,增強云終端內(nèi)部管理,并同時強化云終端各項安全性能的技術(shù)。
[0030]2、本發(fā)明的輕型虛擬機技術(shù)是沙箱技術(shù)的一種衍生物,它在減少資源消耗的基礎(chǔ)上進(jìn)一步簡化了虛擬機結(jié)構(gòu),虛擬化技術(shù)可以有效地支持服務(wù)分離,而在輕型虛擬機上的多通道安全監(jiān)控和攻擊攔截技術(shù)可以有機地結(jié)合安全保護與服務(wù)分離;該技術(shù)可以最大限度地利用輕型虛擬機上已經(jīng)分配的資源,并且充分利用各種資源之間的相互關(guān)聯(lián)來監(jiān)測來自不同通道的攻擊,同時還可以通過輕型虛擬機之間的共享資源來監(jiān)測分布式攻擊。
[0031]3、本發(fā)明將是各種小型云計算設(shè)備(包括終端設(shè)備和可穿戴設(shè)備)強化內(nèi)部計算服務(wù)管理和提高安全性的必要技術(shù),且該技術(shù)處于國內(nèi)領(lǐng)先和國際先進(jìn)水平。
【附圖說明】
[0032]圖1為宿主機和服務(wù)主管機、其它服務(wù)輕虛擬機的關(guān)系示意圖。
[0033]圖2為虛擬化環(huán)境中四種潛在攻擊通道及安全保護機制的位置示意圖。
【具體實施方式】
[0034]首先需要說明的是,本發(fā)明是計算機技術(shù)在信息安全技術(shù)領(lǐng)域的一種應(yīng)用。在本發(fā)明的實現(xiàn)過程中,會涉及到多個軟件功能模塊的應(yīng)用。申請人認(rèn)為,如在仔細(xì)閱讀申請文件、準(zhǔn)確理解本發(fā)明的實現(xiàn)原理和發(fā)明目的以后,在結(jié)合現(xiàn)有公知技術(shù)的情況下,本領(lǐng)域技術(shù)人員完全可以運用其掌握的軟件編程技能實現(xiàn)本發(fā)明。前述軟件功能模塊包括但不限于:計算服務(wù)分離模塊、多通道安全保護模塊、虛擬的統(tǒng)一管理模塊等,凡本發(fā)明申請文件提及的均屬此范疇,申請人不再一一列舉。
[0035]下面結(jié)合附圖與【具體實施方式】對本發(fā)明作進(jìn)一步詳細(xì)描述:
[0036]本發(fā)明不依賴于某一特定廠商開發(fā)的某一種虛擬機,但本發(fā)明的技術(shù)要求虛擬機能夠區(qū)分特權(quán)指令(內(nèi)核指令)和一般用戶級指令的執(zhí)行。同時本發(fā)明要求虛擬機管理器可以根據(jù)運行服務(wù)所需要的資源來配置虛擬機。這兩項要求能夠被絕大多數(shù)市面上已經(jīng)有的和未來的輕虛擬機支持。
[0037]如圖1所示的一種基于輕型虛擬機的計算服務(wù)分離與安全保護系統(tǒng),設(shè)置在宿主機上,用于對小型服務(wù)器和云計算設(shè)備進(jìn)行安全保護和服務(wù)隔離,具體包括下述模塊:
[0038](一 )計算服務(wù)分離模塊;
[0039]( 二)多通道安全保護模塊;
[0040](三)虛擬的統(tǒng)一管理模塊。
[0041](一 )計算服務(wù)分離模塊,用于實現(xiàn)輕虛擬機的按需生成和自動配置,具體包括下述步驟:
[0042]步驟A)服務(wù)主管機生成:在小型服務(wù)器和云計算設(shè)備啟動的過程中,首先生成一個有域主管權(quán)限的輕虛