技術領域

本發明涉及云計算虛擬化數據安全技術領域，特別涉及一種虛擬機數據保護系統和方法。

背景技術

目前對虛擬設備的安全訪問主要有以下三種方式：

技術1：防火墻技術。防火墻技術可以有效防范來自外部非法訪問攻擊，但是對于突破防火墻到達虛擬機內部的非法訪問和虛擬機之間的非法訪問無法處理。

技術2：數據隔離技術。數據隔離技術在存儲云系統主節點中建立安全策略配置來進行訪問控制，與云主機的數據隔離和保護方式不一致。

技術3：身份認證與訪問控制系統。該方式主要在虛擬設備外部使用身份認證與訪問控制系統，但是對虛擬設備之間的數據訪問控制不足。

因此，在多租戶虛擬機環境下，虛擬機部署的服務有漏洞或者配置錯誤、虛擬機的應用或內核有bug，可能導致被云外或其他虛擬機非法訪問。

發明內容

本發明的發明人發現上述現有技術中存在問題，并因此針對所述問題中的至少一個問題提出了一種新的技術方案。

本發明的一個目的是提供一種用于虛擬機數據保護的技術方案。

根據本發明的第一方面，提供了一種虛擬機數據保護系統，包括虛擬機特權域Domain0和一個以上非特權域，還包括：

位于特權域Domain0的:

安全策略模塊，用于根據安全策略設置安全規則，對用戶身份和角色進行認證；

數據標記模塊，用于根據安全策略對用戶數據進行標記；

網絡隔離模塊，用于對非法數據行為和流向進行控制和操作；

和

位于非特權域的：

數據審查模塊，用于關聯所有虛擬機內的資源，監控數據的操作行為和流向，將確定的非法數據行為和流向發送給網絡隔離模塊以便進行控制和操作。

可選地，數據標記模塊將數據流打上標記或者唯一標識符。

可選地，標記內容的編碼規則根據安全策略層級確定。

可選地，網絡隔離模塊干擾對共享硬件資源的虛擬機的探測，對做出非法動作的虛擬機進行網絡隔離控制。

可選地，網絡隔離控制包括中斷網絡訪問或關閉虛擬機；

或

干擾策略包括轉到沙箱運行命令、殺死命令線程、或反饋偽數據。

根據本發明的另一方面，提供一種虛擬機數據保護方法，包括：

在虛擬機特權域Domain0內根據安全策略設置安全規則，對用戶身份和角色進行認證；

在虛擬機特權域Domain0根據安全策略對用戶數據進行標記；

在虛擬機特權域Domain0對非法數據行為和流向進行控制和操作；

以及，

在各個虛擬機的非特權域內關聯所有虛擬機內的資源，監控數據的操作行為和流向，將確定的非法數據行為和流向發送給所述虛擬機特權域Domain0以便進行控制和操作。

可選地，根據安全策略對用戶數據進行標記包括：根據所述安全策略將數據流打上標記或者唯一標識符，標記內容的編碼規則根據安全策略層級確定。

可選地，對非法數據行為和流向進行控制和操作包括：干擾對共享硬件資源的虛擬機的探測；對做出非法動作的虛擬機進行網絡隔離控制。

可選地，網絡隔離控制包括中斷網絡訪問或關閉虛擬機。

本發明的一個優點在于，對訪問虛擬機數據的請求在Domain0中進行驗證、標記和網絡控制，結合虛擬機內部的數據行為和流向監控，達到對虛擬機數據安全訪問的目的。

通過以下參照附圖對本發明的示例性實施例的詳細描述，本發明的其它特征及其優點將會變得清楚。

附圖說明

構成說明書的一部分的附圖描述了本發明的實施例，并且連同說明書一起用于解釋本發明的原理。

參照附圖，根據下面的詳細描述，可以更加清楚地理解本發明，其中：

圖1示出根據本發明的虛擬機數據保護系統的一個實施例的結構圖。

圖2示出根據本發明的虛擬機數據保護方法的一個實施例的流程圖。

圖3示出根據本發明的虛擬機數據保護系統的另一個實施例的結構圖。

圖4示出根據本發明的虛擬機數據保護方法的另一個實施例的流程圖。

具體實施方式

現在將參照附圖來詳細描述本發明的各種示例性實施例。應注意到：除非另外具體說明，否則在這些實施例中闡述的部件和步驟的相對布置、數字表達式和數值不限制本發明的范圍。

同時，應當明白，為了便于描述，附圖中所示出的各個部分的尺寸并不是按照實際的比例關系繪制的。