技術(shù)領(lǐng)域

本發(fā)明屬于虛擬機(jī)的信息安全訪問控制領(lǐng)域，特別是涉及一種Xen虛擬機(jī)可信域間網(wǎng)絡(luò)連接的控制方法。

背景技術(shù)

在Xen虛擬化環(huán)境中，虛擬設(shè)備都是以分離模型的形式存在的，每一個(gè)虛擬設(shè)備的工作都是在前后端兩個(gè)驅(qū)動(dòng)程序的協(xié)同下完成的。其中，前端驅(qū)動(dòng)運(yùn)行在虛擬客戶系統(tǒng)DomainU中。任何對(duì)此驅(qū)動(dòng)的操作（比如I/O操作）都會(huì)被轉(zhuǎn)發(fā)到后端，由后端驅(qū)動(dòng)真正執(zhí)行完成；但是這些轉(zhuǎn)發(fā)過程對(duì)于DomainU是透明的。后端驅(qū)動(dòng)部署在后端宿主系統(tǒng)Domain0上，接收來自前端驅(qū)動(dòng)的操作請(qǐng)求，然后將此請(qǐng)求交由真實(shí)硬件驅(qū)動(dòng)程序，最后將硬件驅(qū)動(dòng)的執(zhí)行結(jié)果反饋回前端驅(qū)動(dòng)。

在虛擬化環(huán)境中，虛擬網(wǎng)絡(luò)設(shè)備是虛擬機(jī)和外界通信的典型代表。虛擬網(wǎng)絡(luò)設(shè)備的前后端驅(qū)動(dòng)程序通過共享內(nèi)存進(jìn)行通信。虛擬網(wǎng)絡(luò)設(shè)備后端為多個(gè)虛擬客戶系統(tǒng)提供網(wǎng)絡(luò)服務(wù)，因此，后端相當(dāng)于一個(gè)網(wǎng)橋。每個(gè)虛擬客戶系統(tǒng)都具有一個(gè)或者多個(gè)虛擬網(wǎng)絡(luò)設(shè)備，通過使用以軟件模擬的方式存在的網(wǎng)橋進(jìn)行數(shù)據(jù)包的發(fā)送和接收。

可信網(wǎng)絡(luò)連接TNC技術(shù)是TCG組織公布的開放的、支持異構(gòu)環(huán)境的網(wǎng)絡(luò)訪問控制架構(gòu)。完整的TNC架構(gòu)的實(shí)體由訪問請(qǐng)求者（AR）、策略執(zhí)行點(diǎn)（PEP）、策略決策點(diǎn)（PDP）、元數(shù)據(jù)存取點(diǎn)（MAP）及元數(shù)據(jù)存取點(diǎn)（MAPC）5個(gè)實(shí)體組成。實(shí)體中的組件根據(jù)功能不同，可分為三個(gè)抽象層：網(wǎng)絡(luò)訪問層，完整性評(píng)估層以及完整性度量層。

基于Xen虛擬網(wǎng)絡(luò)環(huán)境，有技術(shù)已經(jīng)實(shí)現(xiàn)了多網(wǎng)隔離。基于每個(gè)DomU不同的安全級(jí)別和訪問權(quán)限，把各個(gè)域的網(wǎng)絡(luò)訪問請(qǐng)求轉(zhuǎn)發(fā)到不同的真實(shí)的物理網(wǎng)卡上。不同的物理網(wǎng)卡連接著不同信任級(jí)別的網(wǎng)絡(luò)，虛擬機(jī)監(jiān)控器根據(jù)客戶操作系統(tǒng)的訪問權(quán)限，控制客戶系統(tǒng)后端網(wǎng)卡與物理網(wǎng)卡的綁定關(guān)系。由于客戶系統(tǒng)與網(wǎng)絡(luò)的連接必須經(jīng)過通路“前端網(wǎng)卡→后端網(wǎng)卡→物理網(wǎng)卡”，使得客戶系統(tǒng)只能連接到指定的網(wǎng)絡(luò)。因此，如果一個(gè)虛擬域連接的最終的真實(shí)物理網(wǎng)卡連接的是內(nèi)網(wǎng)，它（虛擬域）就不可能跟外網(wǎng)進(jìn)行任何數(shù)據(jù)交互。同樣，連接了私密網(wǎng)的DomU也是不可能跟外網(wǎng)進(jìn)行數(shù)據(jù)交互的。這樣，通過多網(wǎng)隔離技術(shù)就徹底阻止不可信用戶訪問可信網(wǎng)絡(luò)，也能保護(hù)可信用戶的數(shù)據(jù)不受來自不可信網(wǎng)絡(luò)的攻擊。基于Netfilter/Iptables框架，有技術(shù)提出了在宿主系統(tǒng)Dom0上構(gòu)建防火墻用以對(duì)DomU的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)控處理。文中提到的主要思路是：優(yōu)先選擇較為容易實(shí)現(xiàn)的以Iptables擴(kuò)展模塊方式來實(shí)現(xiàn)防火墻，其次才是Netfilter擴(kuò)展模塊。用戶自定義防火墻規(guī)則，當(dāng)網(wǎng)絡(luò)數(shù)據(jù)包被防火墻攔截到時(shí)，防火墻就根據(jù)用戶自定義規(guī)則去分析處理網(wǎng)絡(luò)數(shù)據(jù)包，最后交由Netfilter層去決定丟棄還是接受網(wǎng)絡(luò)數(shù)據(jù)包。

從以上分析可知，基于Xen的防火墻的實(shí)現(xiàn)是基于純軟件的接口的，且對(duì)于虛擬網(wǎng)絡(luò)環(huán)境的模擬考慮到多網(wǎng)隔離技術(shù)，這些在一定程度上對(duì)基于Xen的網(wǎng)絡(luò)環(huán)境的安全性有了很大的提高。但通過上述對(duì)基于Xen的虛擬網(wǎng)絡(luò)環(huán)境的多網(wǎng)隔離技術(shù)以及防火墻技術(shù)的分析可以了解到，單純的防火墻策略已經(jīng)無(wú)法滿足對(duì)安全高度敏感部門的需要，基于Xen的虛擬網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)連接在安全上解決方案，并不能阻止來自內(nèi)部的襲擊，采用的也是被動(dòng)的按照防火墻規(guī)則來進(jìn)行防御，并不能保證終端本身的安全可信，仍然存在大概以下三個(gè)問題：缺乏必要的度量策略、防御被動(dòng)、缺乏靈活的域間通信方式。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種有效提高域間網(wǎng)絡(luò)連接的安全性的Xen虛擬機(jī)可信域間網(wǎng)絡(luò)連接的控制方法。

為了實(shí)現(xiàn)上述目的，采用的技術(shù)方案如下：

一種Xen虛擬機(jī)可信域間網(wǎng)絡(luò)連接的控制方法，通過在后端宿主系統(tǒng)中設(shè)置信息度量模塊，在前端虛擬域中設(shè)置可信信息采集模塊，以及設(shè)置基于I/O端口的通信信道為后端宿主系統(tǒng)和前端虛擬域的域間網(wǎng)絡(luò)連接進(jìn)行信息傳遞，并確定后端宿主系統(tǒng)作為域間網(wǎng)絡(luò)連接的可信方，前端虛擬域通過通信信道向后端宿主系統(tǒng)提出網(wǎng)絡(luò)訪問請(qǐng)求以及相應(yīng)的可信信息，后端宿主系統(tǒng)通過驗(yàn)證該可信信息，做出是否允許前端虛擬域訪問訪問的決策。

上述技術(shù)方案中，所述信息度量模塊包括策略執(zhí)行模塊、網(wǎng)絡(luò)訪問授權(quán)模塊、TNC服務(wù)器模塊和完整性信息驗(yàn)證模塊，所述可信信息采集模塊包括網(wǎng)絡(luò)訪問請(qǐng)求模塊、TNC客戶端模塊以及完整性信息收集模塊；

所述策略執(zhí)行模塊將前端虛擬域的網(wǎng)絡(luò)訪問請(qǐng)求轉(zhuǎn)發(fā)給網(wǎng)絡(luò)訪問授權(quán)模塊進(jìn)行相應(yīng)的身份認(rèn)證工作，以控制前端虛擬域?qū)W(wǎng)絡(luò)的訪問；

所述網(wǎng)絡(luò)訪問授權(quán)模塊對(duì)前端虛擬域進(jìn)行身份認(rèn)證；

所述TNC服務(wù)器模塊對(duì)前端虛擬域進(jìn)行平臺(tái)信息驗(yàn)證；