本發明提出了一種虛擬化數據隔離交換方法及裝置，該方法包括將虛擬機存儲服務器中的數據區分為系統數據區和用戶數據區；當不同安全域用戶之間通信時，根據通信交換數據所位于虛擬機存儲服務器的不同數據區，對通信交換數據進行隔離保護。本發明防止網絡攻防試驗中的各種惡意代碼、病毒和用戶的誤操作對被保護的存儲服務器數據區造成破壞，提高網絡靶場虛擬化數據隔離保護的能力，實現網絡靶場攻防試驗數據的安全交換。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種虛擬化數據隔離交換方法及裝置。

背景技術

網絡靶場是開展國家關鍵信息基礎設施攻防對抗和網絡空間安全產品研制試驗的重要場所，是國家網絡空間安全體系建設的一個重要環節。網絡靶場需要能夠支持并行開展多個不同類型、不同密級的試驗項目，同時還應保障試驗人員可安全的運行各種惡意軟件和工具。在靶場試驗環境下需保證攻防試驗數據的隔離和安全交換。

網絡靶場虛擬化數據交換依托于虛擬化可信計算技術，在虛擬化操作系統啟動之前，vTPM(virtual trusted platform module，虛擬可信平臺模塊)會自動校驗存儲服務器數據區，校驗通過后vTPM才把校驗存儲服務器數據區控制權交給CPU，虛擬化操作系統運行。虛擬化操作系統運行之前，存儲服務器數據區一直由vTPM來保護。在操作系統開始運行之后，vTPM不會再對存儲服務器數據區進行保護，網絡攻防試驗中的各種惡意代碼、病毒和用戶的誤操作可能會對被保護的存儲服務器數據區造成破壞。

發明內容

本發明要解決的技術問題是，提供一種虛擬化數據隔離交換方法，提高虛擬機不同安全域用戶數據交換隔離保護的能力。

本發明采用的技術方案是虛擬化數據隔離交換方法，包括：

步驟一，將虛擬機存儲服務器中的數據區分為系統數據區和用戶數據區；

步驟二，當不同安全域用戶之間通信時，根據通信交換數據所位于虛擬機存儲服務器的不同數據區，對通信交換數據進行隔離保護。

進一步的，步驟二，具體包括：

當不同安全域用戶之間通信交換數據的寫操作請求發生在系統數據區時，阻止寫操作請求；

當不同安全域用戶之間通信交換數據的寫操作請求發生在用戶數據區時，根據通信交換數據的安全等級執行相應的讀寫操作。

進一步的，所述根據通信交換數據的安全等級執行相應的讀寫操作，具體包括：

當第一安全域用戶向虛擬機服務管理域Domain0獲取虛擬機存儲服務器的用戶數據區共享內存，并將通信時需要交換的通信交換數據及其安全等級標記寫入所述共享內存時，HOOK模塊截獲第一安全域用戶在所述共享內存中的寫入操作，以獲取所述通信交換數據的安全等級標記與所述通信交換數據所使用的共享內存描述符，并將所述通信交換數據的安全等級標記與所述通信交換數據所使用的共享內存描述符存放在訪問控制模塊中；

訪問控制模塊將通知事件經事件通道通知給第二安全域用戶；

所述通知事件用于通知第二安全域用戶準備讀取所述共享內存中的通信交換數據；

當第二安全域用戶在收到通知事件后，向所述訪問控制模塊獲取所述通信交換數據對應的共享內存描述符，并基于所述通信交換數據對應的共享內存描述符發出對通信交換數據的讀操作請求時，HOOK模塊截獲所述讀操作請求，并將所述讀操作請求包含的操作信息提交給訪問控制模塊；

訪問控制模塊根據所述操作信息以及虛擬機服務管理域Domain0中的訪問控制策略判斷是否執行讀操作請求。

進一步的，所述操作信息包括：用戶OS-ID、通信交換數據的安全等級標記、通信交換數據對應的共享內存描述符以及讀操作。