一種面向Xen的虛擬機(jī)內(nèi)存共享的安全隔離方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于虛擬化安全技術(shù)領(lǐng)域����,具體涉及一種面向Xen的虛擬機(jī)內(nèi)存共享的安 全隔離方法。
【背景技術(shù)】
[0002] 隨著云計算應(yīng)用領(lǐng)域的不斷擴(kuò)大����,虛擬化技術(shù)做為云計算領(lǐng)域的研宄熱點(diǎn)也在不 斷的向前發(fā)展。Xen是目前應(yīng)用最為廣泛的虛擬化技術(shù)之一��,也受到了廣泛的關(guān)注��。在Xen 虛擬機(jī)中內(nèi)存共享操作是一種非常常見的操作�����,可以極大的提高數(shù)據(jù)傳輸效率����。Xen中所有 虛擬機(jī)共享物理內(nèi)存,雖然Xen通過多級頁表等手段����,在理論上將各個虛擬機(jī)的內(nèi)存進(jìn)行 了隔離,但是Xen提供的內(nèi)存隔離機(jī)制還存在著許多不夠完善的地方���,無法做到真正意義 上的完全隔離��。例如管理域(DomainO)中管理員可以使用調(diào)試工具或者管理工具可以讀取 其他用戶空間內(nèi)存���,或者客戶操作系統(tǒng)(Guest 0S)中用戶可以利用Xen中存在的漏洞進(jìn)行 提權(quán)攻擊來訪問到其他虛擬機(jī)中的內(nèi)存。
[0003] 本技術(shù)通過增加相應(yīng)的安全監(jiān)控機(jī)制來對虛擬內(nèi)存共享進(jìn)行監(jiān)控�,能夠有效保障 Xen的內(nèi)存共享機(jī)制下的內(nèi)存安全隔離。本方案有如下優(yōu)點(diǎn):
[0004] 安全性高:本方案在Xen內(nèi)存共享關(guān)鍵代碼路徑上進(jìn)行截獲�����,直接對Xen源代碼進(jìn) 行安全改造�����,完備性好�����,且不容易被繞過;
[0005] 性能高:本方案直接對Xen原有的授權(quán)表進(jìn)行擴(kuò)展��,在Xen的源代碼中添加鉤子 函數(shù)����,對系統(tǒng)性能影響較小。
【發(fā)明內(nèi)容】
[0006] 本發(fā)明是為了增強(qiáng)Xen虛擬機(jī)內(nèi)存共享的安全性���,提出了一種基于授權(quán)表擴(kuò)展操 作的虛擬機(jī)內(nèi)存共享監(jiān)控方案���。
[0007] 本發(fā)明針對虛擬機(jī)開源軟件Xen。通過對Xen現(xiàn)有內(nèi)存共享機(jī)制進(jìn)行分析���,在不影 響Xen其他功能正常使用的前提下���,基于Xen安全框架(XSM),對Xen現(xiàn)有的內(nèi)存共享訪問 控制機(jī)制進(jìn)行擴(kuò)展并添加強(qiáng)制訪問控制模塊��,在進(jìn)行內(nèi)存共享時���,需要對內(nèi)存共享權(quán)限進(jìn) 行檢查�,只有滿足特定的訪問控制規(guī)則的內(nèi)存共享操作才進(jìn)行授權(quán)�����,以此達(dá)到對虛擬機(jī)內(nèi) 存共享進(jìn)行安全監(jiān)控的目的。
[0008] 一種面向Xen的虛擬機(jī)內(nèi)存共享的安全隔離方法���,其特征在于包括如下步驟:
[0009] 步驟1 :授權(quán)表操作的截獲;
[0010] 步驟1.1:在虛擬機(jī)內(nèi)存共享代碼的關(guān)鍵路徑上添加鉤子函數(shù)���,當(dāng)發(fā)生內(nèi)存表共 享請求時����,會調(diào)用Xen超級系統(tǒng)調(diào)用����,然后調(diào)用授權(quán)表操作函數(shù)進(jìn)行處理,獲取對授權(quán)表操 作的相關(guān)信息���;
[0011] 步驟1. 2 :對Xen原有的內(nèi)存映射的執(zhí)行次序進(jìn)行改進(jìn)�,使其在內(nèi)存映射執(zhí)行過程 中添加強(qiáng)制訪問控制過程���,當(dāng)虛擬域發(fā)起創(chuàng)建授權(quán)表操作請求項(xiàng)GR請求發(fā)送給虛擬機(jī)監(jiān) 視器時���,需要進(jìn)行審核���,只有審核通過后虛擬機(jī)監(jiān)視器才進(jìn)行內(nèi)存映射,同時當(dāng)虛擬域訪問 結(jié)束時����,只有審核通過后虛擬域才可以收回GR,當(dāng)虛擬域發(fā)出授權(quán)表映射請求時���,需要對虛 擬域訪問請求進(jìn)行操作合法性驗(yàn)證���,驗(yàn)證通過后方才允許執(zhí)行;
[0012] 步驟2 :擴(kuò)展訪問控制機(jī)制��;對XEN安全模塊框架中的訪問控制機(jī)制進(jìn)行擴(kuò)展����,新 增四元組〈Domainld,Groupld, IntegrityLevel�����,SensitivityLevel〉����,不在同一組內(nèi)的域間 禁止內(nèi)存表共享授權(quán)�,依據(jù)強(qiáng)制訪問控制原理����,對域進(jìn)行主客體敏感性和完整性標(biāo)記,并設(shè) 立主體訪問控制的兩個關(guān)鍵規(guī)則不向上讀和不向下寫���,當(dāng)主體敏感度級別大于或等于客體 敏感度級別時才可以進(jìn)行讀操作�;當(dāng)主體完整度級別小于或等于客體完整性級別時才可以 進(jìn)行寫操作����。
[0013] 本發(fā)明與現(xiàn)有技術(shù)相比���,具有以下明顯的優(yōu)勢和有益效果:
[0014] 本技術(shù)通過增加相應(yīng)的安全監(jiān)控機(jī)制來對虛擬內(nèi)存共享進(jìn)行監(jiān)控���,能夠有效保障 Xen的內(nèi)存共享機(jī)制下的內(nèi)存安全隔離。本方案有如下優(yōu)點(diǎn):
[0015] 安全性高:本方案在Xen內(nèi)存共享關(guān)鍵代碼路徑上進(jìn)行截獲����,直接對Xen源代碼進(jìn) 行安全改造,完備性好��,且不容易被繞過�;
[0016] 性能高:本方案直接對Xen原有的授權(quán)表進(jìn)行擴(kuò)展�����,在Xen的源代碼中添加鉤子 函數(shù)�����,對系統(tǒng)性能影響較小����。
[0017] 可用性好:使用Xen現(xiàn)有機(jī)制進(jìn)行擴(kuò)充和改進(jìn)����,對Xen其他功能模塊透明,不會影 響系統(tǒng)現(xiàn)有正常功能的使用���。
【附圖說明】
[0018] 圖1本發(fā)明流程圖��;
[0019] 圖2共享內(nèi)存安全隔離原理圖�;
[0020] 圖3內(nèi)存映射授權(quán)流程圖��;
[0021] 圖4改進(jìn)后的內(nèi)存映射過程時序圖�;
[0022] 圖5授權(quán)表操作調(diào)用關(guān)系圖;
[0023] 圖6授權(quán)表ACM Hook執(zhí)行流程圖。
【具體實(shí)施方式】
[0024] 下面結(jié)合流程圖���,對實(shí)施方式詳細(xì)說明�����,應(yīng)該強(qiáng)調(diào)的是�,下述說明僅僅是示例性 的�����,而不是為了限制本發(fā)明的范圍及其應(yīng)用�。
[0025] 通過對授權(quán)表機(jī)制的隔離實(shí)現(xiàn)Xen中內(nèi)存訪問的安全隔離����,通過將現(xiàn)有ACM管理 機(jī)制進(jìn)行擴(kuò)展能夠?qū)崿F(xiàn)內(nèi)存共享的安全隔離。
[0026] 方案原理可以如圖2來描述�����,首先在發(fā)生內(nèi)存表共享請求時完成對于授權(quán)表訪問 的截取��,然后通過擴(kuò)展的ACM控制完成對于授權(quán)操作的有效性驗(yàn)證�����,當(dāng)驗(yàn)證通過后對操作 進(jìn)行放行,當(dāng)驗(yàn)證不通過則拒絕此次操作執(zhí)行�����。通過對授權(quán)表的控制可以實(shí)現(xiàn)虛擬機(jī)之間 內(nèi)存共享的安全隔離�。
[0027] 步驟1 :授權(quán)表操作的截獲
[0028] (1) Xen授權(quán)表機(jī)制分析
[0029] Xen的授權(quán)表機(jī)制負(fù)責(zé)完成不同虛擬機(jī)之間內(nèi)存頁面的映射、傳遞���,是Xen虛擬化 系統(tǒng)中不同的Domain域間的一種高效的數(shù)據(jù)傳輸機(jī)制���。授權(quán)表中包含了授權(quán)項(xiàng)(grant_ entry),授權(quán)項(xiàng)中定義了授權(quán)類型�、對應(yīng)的DomainID以及授權(quán)頁對應(yīng)的頁號,具體結(jié)構(gòu)如 下所示:
[0030] struct grant_entry {
[0031] uintl6-t flags ;// 類型標(biāo)識
[0032] domid_t domid ;//Domain 對應(yīng)的 ID
[0033] uint32_t frame ;// 內(nèi)存頁號
[0034] }����;
[0035] 授權(quán)類型標(biāo)識指定了對應(yīng)授權(quán)的特殊屬性,其類型標(biāo)識所對應(yīng)的數(shù)值與含義如下 表1所示����。
[0036] 表1授權(quán)類型標(biāo)識值及含義
[0037]
【主權(quán)項(xiàng)】
1. 一種面向Xen的虛擬機(jī)內(nèi)存共享的安全隔離方法,其特征在于包括如下步驟: 步驟1 ;授權(quán)表操作的截獲��; 步驟1. 1 ;在虛擬機(jī)內(nèi)存共享代碼的關(guān)鍵路徑上添加鉤子函數(shù),當(dāng)發(fā)生內(nèi)存表共享請 求時����,會調(diào)用Xen超級系統(tǒng)調(diào)用,然后調(diào)用授權(quán)表操作函數(shù)進(jìn)行處理��,獲取對授權(quán)表操作的 相關(guān)倍息�; 步驟1. 2 ;對Xen原有的內(nèi)存映射的執(zhí)行次序進(jìn)行改進(jìn),使其在內(nèi)存映射執(zhí)行過程中添 加強(qiáng)制訪問控制過程�����,當(dāng)虛擬域發(fā)起創(chuàng)建授權(quán)表操作請求項(xiàng)GR請求發(fā)送給虛擬機(jī)監(jiān)視器 時���,需要進(jìn)行審核����,只有審核通過后虛擬機(jī)監(jiān)視器才進(jìn)行內(nèi)存映射���,同時當(dāng)虛擬域訪問結(jié)束 時,只有審核通過后虛擬域才可W收回GR�����,當(dāng)虛擬域發(fā)出授權(quán)表映射請求時,需要對虛擬域 訪問請求進(jìn)行操作合法性驗(yàn)證�����,驗(yàn)證通過后方才允許執(zhí)行����; 步驟2 ;擴(kuò)展訪問控制機(jī)制;對XEN安全模塊框架中的訪問控制機(jī)制進(jìn)行擴(kuò)展��,新增四 元組〈Domainid�����,Groupid, IntegrityLevel����,SensitivityLevel〉,不在同一組內(nèi)的域間禁止 內(nèi)存表共享授權(quán)���,依據(jù)強(qiáng)制訪問控制原理�����,對域進(jìn)行主客體敏感性和完整性標(biāo)記����,并設(shè)立主 體訪問控制的兩個關(guān)鍵規(guī)則不向上讀和不向下寫,當(dāng)主體敏感度級別大于或等于客體敏感 度級別時才可W進(jìn)行讀操作���;當(dāng)主體完整度級別小于或等于客體完整性級別時才可W進(jìn)行 寫操作���。
【專利摘要】本發(fā)明公開了一種面向Xen的虛擬機(jī)內(nèi)存共享的安全隔離方法,屬于虛擬化安全技術(shù)領(lǐng)域��,具體涉及增強(qiáng)Xen虛擬機(jī)內(nèi)存共享的安全性領(lǐng)域���。本發(fā)明針對虛擬機(jī)開源軟件Xen�。通過對Xen現(xiàn)有內(nèi)存共享機(jī)制進(jìn)行分析�,在不影響Xen其他功能正常使用的前提下,基于Xen安全框架XSM����,對Xen現(xiàn)有的內(nèi)存共享訪問控制機(jī)制進(jìn)行擴(kuò)展并添加強(qiáng)制訪問控制模塊,在進(jìn)行內(nèi)存共享時���,需要對內(nèi)存共享權(quán)限進(jìn)行檢查,只有滿足特定的訪問控制規(guī)則的內(nèi)存共享操作才進(jìn)行授權(quán)�,以此達(dá)到對虛擬機(jī)內(nèi)存共享進(jìn)行安全監(jiān)控的目的��。
【IPC分類】G06F21-74, G06F21-62
【公開號】CN104573553
【申請?zhí)枴緾N201410840353
【發(fā)明人】劉剛, 王潤高, 張繼業(yè), 王斌
【申請人】中國航天科工集團(tuán)第二研究院七O六所, 北京航天愛威電子技術(shù)有限公司
【公開日】2015年4月29日
【申請日】2014年12月30日