虛擬化環(huán)境下支付應用的合規(guī)性檢測方法
【技術(shù)領域】
[0001] 本發(fā)明屬于支付應用安全技術(shù)領域,尤其涉及虛擬化環(huán)境下針對支付應用的PCI DSS隔離要求的合規(guī)性檢測。
【背景技術(shù)】
[0002] 近年來虛擬化和云計算技術(shù)發(fā)展迅速,很多組織和企業(yè)開始將虛擬化技術(shù)應用 到自己的信息系統(tǒng)建設中。支付卡行業(yè)(Payment Card Industry, PCI)安全標準委員會 在2010年的新版數(shù)據(jù)安全標準(Data Security Standard,DSS) v2.0中指出:"PCI DSS 合規(guī)性評估的系統(tǒng)組件包括所有的虛擬化組件",在條款2.2.1中也有"虛擬化"的明確 字樣出現(xiàn),這些更新明確了虛擬化技術(shù)可以被用于持卡人數(shù)據(jù)環(huán)境(Cardholder Data Environment,⑶E)。委員會的虛擬化小組也出臺了PCI DSS虛擬化指南,這也為在支付應 用建設中使用虛擬化技術(shù)提供了依據(jù)。
[0003] 支付應用為持卡人提供多樣化的支付服務手段,由于其業(yè)務數(shù)據(jù)的傳輸內(nèi)容涉及 用戶的銀行卡號、口令等敏感信息,所以,對于用戶而言,支付應用的安全性顯得非常重要。 為盡可能地減少數(shù)據(jù)外泄的可能性,商家、收單方等執(zhí)行支付應用的實體必須執(zhí)行PCI的 安全審計程序,以確保遵守PCI DSS的要求,也即進行合規(guī)性檢測。根據(jù)相關法律法規(guī)和行 業(yè)準則,研究新環(huán)境下(特別是虛擬化環(huán)境下)的合規(guī)性檢測方法,能夠幫助企業(yè)或?qū)嶓w及 時發(fā)現(xiàn)當前存在的不合規(guī)狀態(tài),保障虛擬化環(huán)境下支付應用的安全性,更好地保護持卡人 數(shù)據(jù)安全。
[0004] 但是,現(xiàn)有的合規(guī)性檢測方法主要是針對傳統(tǒng)的信息系統(tǒng)架構(gòu)進行設計的,其系 統(tǒng)組件中并沒有考慮虛擬化組件;隨著虛擬化技術(shù)的快速發(fā)展,在同一臺物理機上可以部 署多臺虛擬機,在提高資源利用率的同時也帶來了新的安全風險,對PCI DSS的合規(guī)性也 產(chǎn)生了相應的影響。PCI DSS隔離要求主要是需要設置防火墻和路由器配置來限制非受信 網(wǎng)絡與持卡人數(shù)據(jù)環(huán)境系統(tǒng)組件的連接,由于虛擬化環(huán)境的復雜性,虛擬網(wǎng)絡連接可能存 在于主機內(nèi)部或者主機之間,持卡人數(shù)據(jù)環(huán)境中虛擬機之間的通信可能根本不經(jīng)過物理網(wǎng) 絡;此外,受信網(wǎng)絡與非受信網(wǎng)絡的邊界可能是動態(tài)變化的。所以,原有的合規(guī)性檢測方法 在虛擬化環(huán)境下可能不再適用。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的在于,提供一種適用于虛擬化環(huán)境下的針對PCI DSS隔離要求的支 付應用的合規(guī)性檢測方法。
[0006] 為實現(xiàn)以上目的或者其他目的,本發(fā)明提供以下技術(shù)方案。
[0007] 按照本發(fā)明的一方面,提供一種虛擬化環(huán)境下支付應用的合規(guī)性檢測方法,其用 于針對PCI DSS隔離要求的合規(guī)性檢測,其包括以下步驟: 采集物理機之間以及虛擬化環(huán)境下的虛擬機之間的網(wǎng)絡流量; 對于所述網(wǎng)絡流量進行流量預處理以確定其中對應連接兩個不同的虛擬機的每個數(shù) 據(jù)流; 根據(jù)所有所述數(shù)據(jù)流,至少確定一支付應用所對應的虛擬機域D(VM),并進一步確定該 虛擬機域D (VM)中M個虛擬機中的每個虛擬機VMi所對應連接的其他虛擬機的連接集合 C (VMi),其中,M大于或等于2,1彡i彡M; 將該支付應用的虛擬機域D (VM)與該支付應用的對應的預定虛擬機域D'(VM)進行 比較,其中預定虛擬機域D'(VM)為該支付應用在合規(guī)狀態(tài)下所對應的虛擬機的集合; 如果D (VM)等于D'(VM),判斷虛擬機域D(VM)中每個虛擬機的連接集合C (VMi)與 預定虛擬機域D'(VM)中的每個虛擬機VMf的連接集合C'(VMf )是否對應相等,如果判斷 為"是",則判斷為合規(guī)狀態(tài),其中f為大于或等于2的整數(shù); 如果D(VM)不等于D'(VM)或者C(VMi)不等于C'(VMf),則判斷當前的虛擬機域D (VM)為不合規(guī)狀態(tài)。
[0008] 根據(jù)本發(fā)明一實施例的合規(guī)性檢測方法,其中, 在判斷為不合規(guī)狀態(tài)后,進一步確定D (VM)中的虛擬機在D'(VM)對應找不到的虛擬 機集合DDiff (VM),并且確定D'(VM)中在D (VM)對應找不到的虛擬機集合DDiff,(VM); 確定D (VM)與D'(VM)的交集的虛擬機集合D」(VM); 判斷DMff (VM)和DMff,(VM)中的每個虛擬機的連接集合(VM)在Dj (VM)中的 每個虛擬機的連接集合& (VM)中是否都能找到對應相等的連接集合; 如果判斷"是",則更新判斷為合規(guī)狀態(tài)。
[0009] 根據(jù)本發(fā)明一實施例的合規(guī)性檢測方法,優(yōu)選地,其中, 如果DMff (VM)和DMff,(VM)中的每個虛擬機的連接集合(VM)在D」(VM)中的 每個虛擬機的連接集合& (VM)中不能都找到對應相等的連接集合,則從DMff (VM)中去除 能夠在Dj (VM)中的每個虛擬機的連接集合Cj (VM)中能找到對應相等的連接集合的虛擬 機,從而等到D' Diff (VM),并且從DDiff,(VM)中去除能夠在D」(VM)中的每個虛擬機的連接 集合Cj (VM)中能找到對應相等的連接集合的虛擬機,從而等到D' Diff,(VM); 判斷該DMff,(VM)和D'Mff,(VM)的中的每個虛擬機的連接集合是否能從預定虛擬機 域D'(VM)中找到一對應相等的虛擬機的連接集合; 如果判斷為"是",則更新判斷為合規(guī)狀態(tài),否則繼續(xù)保持為不合規(guī)狀態(tài)。
[0010] 優(yōu)選地,采集物理機之間的網(wǎng)絡流量時,在控制物理機之間通信訪問的物理網(wǎng)絡 安全設備的出入口處設置旁路探測器對跨物理機的網(wǎng)絡流量進行鏡像捕獲。
[0011] 優(yōu)選地,采集虛擬機之間的網(wǎng)絡流量時,在多個虛擬機所處的同一臺物理機中對 應設置檢測虛擬機,該檢測虛擬機將檢測虛擬機的虛擬網(wǎng)絡端口作為其他虛擬網(wǎng)絡端口的 鏡像端口,并通過該鏡像端口采集該物理機中的多個虛擬機之間的網(wǎng)絡流量。
[0012] 具體地,所述流量預處理步驟中,以〈源IP地址、源端口號、目的IP地址、目的端 口好、傳輸協(xié)議〉五元組為標識,提取所述網(wǎng)絡流量中的數(shù)據(jù)流。
[0013] 優(yōu)選地,根據(jù)IP地址和虛擬網(wǎng)絡端口號確定虛擬化環(huán)境下的每一臺虛擬機,從而 確定連接兩個不同的虛擬機的每個所述數(shù)據(jù)流。
[0014] 按照本發(fā)明的又一方面,提供一種虛擬化環(huán)境下支付應用的合規(guī)性檢測方法,其 用于針對PCI DSS隔離要求的合規(guī)性檢測,其包括以下步驟: 采集物理機之間以及虛擬化環(huán)境下的虛擬機之間的網(wǎng)絡流量; 對于所述網(wǎng)絡流量進行流量預處理以確定其中對應連接兩個不同的虛擬機的每個數(shù) 據(jù)流; 根據(jù)所述數(shù)據(jù)流的應用層負載對所述數(shù)據(jù)流進行識別,以判斷其是否屬于支付應用所 對應的支付應用流; 計算機所述支付應用流占所有所述數(shù)據(jù)流的百分比; 判斷該百分比是否小于或等于預定值; 如果判斷為"是",則判斷為不合規(guī)狀態(tài),如果判斷為"否",判斷為合規(guī)狀態(tài)。
[0015] 根據(jù)本發(fā)明一實施例的合規(guī)性檢測方法,其中,如果所述數(shù)據(jù)流的應用層負載匹 配于支付應用的負載特征,則判斷其屬于支付應用所對應的支付應用流。
[0016] 根據(jù)本發(fā)明一實施例的合規(guī)性檢測方法,其中,如果所述數(shù)據(jù)流的應用層負載不 匹配于支付應用的負載特征,則判斷其是否匹配于支付應用的加密數(shù)據(jù)流特征,如果判斷 為"是",則判斷其屬于支付應用所對應的支付應用流。
[0017] 優(yōu)選地,在所述識別步驟之前,包括提取支付應用的負載特征的步驟,其中,所述 支付應用負載特征根據(jù)支付應用的支付協(xié)議對所有數(shù)據(jù)流來提取。
[0018] 優(yōu)選地,被提取的所述負載特征包括標識性的特征字段及其在應用層負載中所處 的位置。
[0019] 具體地,所述特征字段包括支付應用名稱、版本信息、字段標識和交易類型。
[0020] 優(yōu)選地,在所述識別步驟之前,包括提取加密數(shù)據(jù)流特征的步驟,其中,所述加密 數(shù)據(jù)流特征是對無法提取支付應用負載特征的所有數(shù)據(jù)流來提取。
[0021] 具體地,被提取的所述加密數(shù)據(jù)流特征包括上行包數(shù)、下行包數(shù)、上行包長均值、 下行包長均值、持續(xù)時間。
[0022] 在之前所述任一實施例的合規(guī)性檢測方法中,優(yōu)選地,采集物理機之間的網(wǎng)絡流 量時,在控制物理機之間通信訪問的物理網(wǎng)絡安全設備的出入口處設置旁路探測器對跨物 理機的網(wǎng)絡流量進行鏡像捕獲。
[0023] 在之前所述任一實施例的合規(guī)性檢測方法中,優(yōu)選地,采集虛擬機之間的網(wǎng)絡流 量時,在多個虛擬機所處的同一臺物理機中對應設置檢測虛擬機,該檢測虛擬機將檢測虛 擬機的虛擬網(wǎng)絡端口