[發明專利]基于配對標簽及遷移監聽的虛擬化安全計算方法及系統在審
| 申請號: | 201810992785.3 | 申請日: | 2018-08-29 |
| 公開(公告)號: | CN109101322A | 公開(公告)日: | 2018-12-28 |
| 發明(設計)人: | 劉麗;王玉梅;馬雙濤;王雪;鄭順心;孔德鑫;陳思琦 | 申請(專利權)人: | 山東師范大學 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;G06F21/62 |
| 代理公司: | 濟南圣達知識產權代理有限公司 37221 | 代理人: | 李琳 |
| 地址: | 250014 山*** | 國省代碼: | 山東;37 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 遷移 配對標簽 監聽 配對 計算方法及系統 安全隔離 進程 虛擬化 虛擬機鏡像 虛擬機啟動 安全機制 動態遷移 過程實施 鏡像標簽 虛擬機 一對一 標示 標簽 訪問 安全 記錄 改進 保證 | ||
1.一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:包括以下步驟:
改進Selinux安全機制,在虛擬機啟動時動態地為進程和鏡像打上配對的標簽,使得非配對的進程和鏡像不能啟動,同時持有非配對標簽的進程不進行訪問鏡像標簽的文件和設備,實現安全隔離;
對虛擬機動態遷移過程實施監聽方案,將遷移時的每一步操作加以記錄,保證遷移過程的正確性和遷移前后的一致性。
2.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:改進Selinux安全機制的具體過程包括:
配置配對標簽的具體格式,每一個進程和鏡像都會擁有一個獨立的字段;
創建虛擬機時將不同對象用不同標簽進行標識;
在虛擬機啟動時對標簽進行分配,根據分配的標簽是否匹配,對相應的虛擬機的訪問進行限制;
檢驗虛擬機的狀態與進程和標簽的分配是否相符。
3.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:當虛擬機啟動時,動態為進程和鏡像分配標簽,并將不同的鏡像和進程設為不同的標簽形式。
4.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:虛擬化配對標簽狀態被配置為兩種:強制和寬容;強制狀態為強制執行訪問機制,正確地開始限制虛擬機的訪問;寬容狀態為將配對標簽的功能暫時關閉,允許虛擬機之間進行訪問;
進一步的,計算節點的配置文件中設強制狀態為默認狀態,或/和未知區域上的安全防護全部設置為強制狀態訪問模式。
5.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:標簽包括靜態和動態分配,通過修改啟動生成虛擬機時生成的xml的配置文件實現標簽的靜態和動態分配,所述xml的配置文件內存儲有虛擬機分配占用的內存、硬盤大小和ID;
進一步的,動態分配為在系統命令端查看Selinux狀態,該狀態若不是運行狀態則創建并打開虛擬機,查看進程和鏡像的標簽是否一致;
靜態分配為檢驗虛擬機是否關閉,若是運行中則在系統命令端強制關閉虛擬機,創建xml文件,在里面添加靜態標簽的分配代碼,創建并打開虛擬機查看進程和鏡像的標簽是否為所設置的靜態標簽。
6.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:虛擬機遷移安全控制過程中,將擁有不同密碼能力的計算節點劃分同一集群中,而擁有不同能力的計算節點則劃分到不同的集群中,以此來劃分不同的遷移范圍。
7.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:虛擬機得到遷移指令時,虛擬機若是自動遷移,云操作系統自動限制其在同一個集群中的主機間進行遷移;若是處于手動遷移的情況,調用云操作系統提供的集群,通過云操作系統中獲取/修改集群的信息,最終實現虛擬機遷移的范圍控制。
8.如權利要求1所述的一種基于配對標簽及遷移監聽的虛擬化安全計算方法,其特征是:當發出虛擬機遷移的請求后,調用消息隊列中的對象來檢測對象間是否已經完成了請求操作,對相應的操作進行一個反饋,獲取虛擬機遷移過程的消息。
9.一種基于配對標簽及遷移監聽的虛擬化安全計算系統,其特征是:運行于處理器上,被配置為執行以下步驟:
改進Selinux安全機制,在虛擬機啟動時動態地為進程和鏡像打上配對的標簽,使得非配對的進程和鏡像不能啟動,同時持有非配對標簽的進程不進行訪問鏡像標簽的文件和設備,實現安全隔離;
對虛擬機動態遷移過程實施監聽方案,將遷移時的每一步操作加以記錄,保證遷移過程的正確性和遷移前后的一致性。
10.一種基于配對標簽及遷移監聽的虛擬化安全計算系統,其特征是:包括:
安全控制模塊,與云操作系統通信,被配置為在虛擬機啟動時動態地為進程和鏡像打上配對的標簽,使得非配對的進程和鏡像不能啟動,同時持有非配對標簽的進程不進行訪問鏡像標簽的文件和設備,實現安全隔離;
動態遷移控制模塊,被配置為對計算節點進行劃分,將擁有不同密碼能力的計算節點劃分同一集群中,擁有不同能力的計算節點則劃分到不同的集群中,實現虛擬機遷移的范圍控制;
虛擬機遷移消息監聽模塊,被配置為對虛擬機動態遷移過程實施監聽方案,將遷移時的每一步操作加以記錄,保證遷移過程的正確性和遷移前后的一致性。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于山東師范大學,未經山東師范大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201810992785.3/1.html,轉載請聲明來源鉆瓜專利網。
