每個用戶登錄時產生的Token進行動態(tài)綁定���。本發(fā)明通過開源項目Keystone進行用戶登錄的控制�,每個用戶登錄時是通過用戶名+密碼的形式進行驗證,驗證通過后Key stone就會給用戶分配一個Token�,在用戶訪問桌面云的管理平臺的所有資源時,都需要提供這個Token才可以進行相關操作���。將用戶登錄后的Token與用于已有的虛擬機編號進行Hash運算�����,產生唯一的不與該VMM上其它虛擬機端口號重復的端口���,之后再進行虛擬桌面的安全連接。這樣使得除了虛擬機本身��,不會再有其他用戶知道該虛擬機的端口號�,保證了用戶的虛擬機安全�。
[0018]2.VMM與VM之間的安全防護
VMM與VM之間的安全問題可分為:VMM的安全、VM的安全���、VMM與VM之間的安全和VM與VM之間的安全��。
[0019](l)VMM的安全防護
針對VMM的安全防護問題����,存在VM超載、更改VMM配置等問題���。
[0020]a.針對VM超載的防護方案虛擬機超載是指在同一主機上的虛擬機的總體負載過重��,使得服務器宕機�����,導致服務中斷���。針對虛擬機超載的安全威脅:首先,本發(fā)明采用基于工作的負載預測的虛擬機整合算法�����,根據虛擬機資源池容量及所需虛擬機配置來合理部署虛擬機;其次���,通過OpenStack自帶監(jiān)控組件ceilometer����,實時監(jiān)控同主機上所有虛擬機的運行狀態(tài)�,當超過一定的資源使用率(80%)時進行報警;再次��,采用基于歷史的虛擬機負載預測方法和虛擬機動態(tài)迀移方法����,在同一主機上的虛擬機所使用的資源超過虛擬機資源之前將部分的虛擬機迀移到其他的主機中��,以避免業(yè)務的中斷����。
[0021]b.針對惡意更改VMM配置的防護方案
惡意更改VMM配置是指通過修改VMM配置文件,使VM擁有或失去以前配置好的資源�,導致VM無法正常運行或數據泄露。針對更改VMM配置的安全威脅:首先���,本發(fā)明使用強制訪問控制策略--多級安全(MultiLevel Secure���,MLS)策略,防止無關人員對配置文件的修改���;
其次,使用基于TPM的數據文件保護方法�,在VMM讀取配置文件前檢查配置文件是否被篡改;最后��,利用實時監(jiān)控的方法,周期性檢查虛擬機的資源與原有資源是否一致�����。
[0022](2)VM的安全防護
針對VM存在虛擬機逃逸問題的防護方案:虛擬機逃逸是指利用虛擬機軟件或虛擬機中運行軟件的漏洞進行攻擊����,以達到攻擊或控制虛擬機宿主操作虛擬機或其他虛擬機的目的。針對虛擬機逃逸的安全威脅:首先����,對虛擬機進行源碼的脆弱性檢測、漏洞掃描��、軟件升級方法�、虛擬化脆弱性檢測和虛擬機隔離與加固,以便在部署階段發(fā)現(xiàn)虛擬機軟件的漏洞�����;其次��,使用虛擬機的完整性度量����、VMM安全增強等方法�����,以提高運行階段VMM的安全性;最后�����,利用隔離���、強制性訪問、虛擬機隔離與加固和動態(tài)完整性度量等方法���,以保證虛擬機運行時的安全�����。
[0023](3)VMM與VM之間的安全防護
VMM與VM之間的安全防護問題����,存在VMM修改VM內存���、VMM修改VM指令、VMM竊取VM數據等問題��。
[0024]a.針對VMM修改VM內存的防護方案
VMM修改虛擬機內存是因為VMM對VM有完全的控制權,可以通過應用接口���、代碼植入�����、緩沖區(qū)溢出等方式攻擊VM�,造成VM無法正常運行或數據泄露��。針對VMM修改虛擬機內存的安全威脅:首先��,限制VMM對VM控制能力���,避免VMM權限過大;其次�,使用隔離方法限制VMM進入VM的內存;再次�����,使用基于主機的入侵檢測方法���,防止VMM對VM的入侵;最后要通過審計手段監(jiān)視VMM執(zhí)行的命令和操作��,及時發(fā)現(xiàn)威脅�。
[0025]b.針對VMM修改VM指令的防護方案
VMM修改虛擬機指令是因為VMM對VM有完全的控制權,可以監(jiān)控到VM中的指令信息�����,通過VMM修改VM的指令����,達到控制和攻擊VM的目的。針對VMM修改虛擬機內存的安全威脅�,首先,限制VMM對VM控制能力���,避免VMM權限過大;其次��,使用隔離方法限制VMM進入VM的內存�����;再次����,使用基于主機的入侵檢測方法�,防止VMM對VM的入侵;最后�����,通過審計手段監(jiān)視VMM執(zhí)行的命令和操作,及時發(fā)現(xiàn)威脅�。
[0026]c.針對VMM竊取VM數據的防護方案
VMM竊取虛擬機數據是因為VMM對VM有完全的控制權,可以獲取到VM的全部數據信息��,造成VM的數據泄露���。針對VMM修改虛擬機內存的安全威脅:首先�,限制VMM對VM控制能力�,避免VMM權限過大;其次,通過審計手段監(jiān)視VMM執(zhí)行的命令和操作���,及時發(fā)現(xiàn)威脅���。
[0027](4)VM與VM之間的安全防護
VM與VM之間的安全防護問題,存在VM間通信不可視�����、共享VM內存和緩沖區(qū)等問題�����。
[0028]a.針對同物理機上VM間通信不可視的防護方案
同物理機上虛擬機間通信是指虛擬機之間的網絡通信可以通過VMM提供的虛擬網絡進行,不需要經過物理網絡�,因此這部分流量對物理網絡流量審計虛擬機不可見,而且繞過構建在物理網絡中的防御措施�,對虛擬化的安全造成一定的危害。針對同一物理機上虛擬機間通信的安全威脅��,在VMM中實現(xiàn)對同一物理機上虛擬機間通信流量進行安全監(jiān)控�����。
[0029 ] b.針對共享VM內存和緩沖區(qū)的防護方案
虛擬機內存和緩沖區(qū)共享是指內存和緩沖區(qū)可以被多個虛擬機使用�,造成虛擬機之間的數據泄露。針對虛擬機內存共享的安全威脅:在共享內存方面�,主要使用內存擦除方法,在虛擬機申請����、換入換出、釋放內存時擦除內存或緩沖區(qū)中的內容;在共享緩沖區(qū)方面�����,主要使用專用通道防止出現(xiàn)共享緩沖��。
[0030]3.桌面云安全資源按需分配的方法
針對上述所涉及到的理論性技術方案,本發(fā)明采用Virt1這個半虛擬化框架來提供虛擬機與虛擬機管理器間的I/O數據傳輸��,并且根據Virt1的可編程性來提供桌面云安全資源的按需分配方案�。Virt1是半虛擬化VMM中位于設備之上的抽象層。Virt1是對半虛擬化VMM中的一組通用模擬設備的抽象�。該設置還允許VMM導出一組通用的模擬設備,并通過一個通用的應用編程接口(API)讓它們變得可用�����。有了半虛擬化VMM之后���,來賓操作虛擬機能夠實現(xiàn)一組通用的接口,在一組后端驅動程序之后采用特定的設備模擬��。后端驅動程序不需要是通用的�,因為它們只實現(xiàn)前端所需的行為。具體框架如圖1所示��。
[0031]由于Virt1的可編程性�����,并且目前Virt1已經添加到Linux的內核代碼���,所以本發(fā)明通過對Virt1進行訂制和擴展來控制VMM對虛擬機的數據操作�����。將內存��、磁盤��、網絡�����、PCI和控制臺等資源分為不同的權重并且根據桌面虛擬化環(huán)境關鍵資源的特殊性�����,再結合當前已有的為提升性能而增加的功能�����,便可以提供安全等級可控的服務����。
[0032]對于內存資源,目前已經針對虛擬化環(huán)境��,采用透明頁共享的方法,這在提高虛擬機性能的同時降低了虛擬機的安全性�����。透明頁共享(TPS)是指將一臺主機上的冗余內存頁精簡為一個頁面��。當多個虛擬機運行相同的操作虛擬機時����,就有可能存儲完全相同的內存頁面。虛擬機管理程序會在每個內存頁面上分配哈希值���,并一位一位的進行比較,一旦不同頁面的哈希值相匹配�����,就說明存在相同的內存頁面�。如果VMM確認了同一主機上的多個虛擬機有完全相同的內存頁面,它會保留其中一份��,而其它頁面用指針代替����。這樣就釋放了很多內存空間��。另外��,如果虛擬機上指針所代表的信息發(fā)生變化��,VMM就會向內存信息寫入一個新的頁面�����,同時改變指針信息�。
[0033]針對內存的安全性���,本發(fā)明默認將其權限安全等級設置為最高���。如果用戶需要虛擬機處于內存完全安全狀態(tài),本發(fā)明就會通過Virt1來控制virt1-bal loon驅動�����,并且將其內部的傳輸信息進行隔離����,不讓該虛擬機的內存進行透明頁的比對,使得其所有內存頁都保存在自己專有的物理機內存空間���,從而大大提升虛擬機的安全性�����。
[0034]除內存之外�,按照網絡、磁盤��、PC1��、控制臺這樣的依次遞減順序����,分配不同的安全等級。用戶創(chuàng)建一臺虛擬機的時候���,需要先選擇該虛擬機的配額,即內存大小����、磁盤