本發明公開了一種虛擬化環境中服務調用監控方法和系統。本方法為：1)云端根據租戶設置的被授權訪問服務程序及相關源文件生成被監控客戶虛擬機中的關鍵代碼段的哈希庫；2)該被監控客戶虛擬機啟動后，服務調用監控器對該被監控客戶虛擬機加載的內存頁權限位進行設置，使內存頁上的代碼在執行前，對內存中關鍵代碼段的完整性進行校驗；3)服務調用監控器檢測到服務調用發生時，根據該服務調用的特征獲取調用進程的頁目錄地址，當該調用進程的頁目錄地址在白名單進程鏈表中時，允許執行該服務調用；當檢測到服務調用的返回結果事件發生時，根據返回結果事件的特征獲取調用進程的信息，當調用進程在白名單進程鏈表中時，允許該返回結果通過。

技術領域

本發明屬于計算機安全技術領域，特別涉及一種在虛擬化環境提供服務調用監控的方法和系統。

背景技術

基于虛擬化技術的云計算應用發展迅速，隨著云計算應用的推廣，所有的服務都在從本地遷移到云端。根據RightScale公司報告，受訪的IT從業者中95％表示其所在公司正在使用云計算服務。同時為了吸引更多的租戶，云服務商提供了很多附加服務，以便租戶可以將精力放在自己的核心業務上。但是目前云服務商提供的附加服務的調用安全依賴的是用戶的ID和口令，一旦用戶的ID和口令泄露，那么租戶訂購的附加服務可能被敵手惡意調用以達到其惡意目的。例如，目前云服務商都開始在云端部署密鑰管理服務和加密服務。密鑰管理服務將用戶的密鑰同客戶虛擬機進行了隔離，即使在客戶虛擬機被敵手攻破的情況下，敵手也無法獲取用戶的密鑰。但是目前對于密碼運算服務的調用安全依賴于用戶的ID和口令，一旦敵手獲取了用戶的ID和口令就可以在客戶虛擬機中惡意的調用密碼運算服務，以達到敵手的惡意目的。通常為了保證服務自動化的服務，還需要將用戶的ID和口令寫在客戶虛擬機的配置文件中，這樣大大增加了安全威脅，一旦客戶虛擬機被敵手攻破，即使密鑰是安全的，密碼運算服務也不再安全。

虛擬機監控器是虛擬化平臺的重要組件，負責分配管理宿主機的資源，以使在其上運行的客戶虛擬機可以分享宿主機上的物理資源。一般情況下，客戶虛擬機使用的硬件設備由虛擬機監控器負責模擬，并且虛擬機監控器處理所有的客戶虛擬機退出事件。

虛擬機自省技術(VMI)，是一種在虛擬機外部監視虛擬機運行狀態的技術。該技術的監視功能是由觀察內存細節，陷入硬件事件和讀取CPU寄存器來完成的。大部分的VMI的實現需要提前了解客戶虛擬機的操作系統知識，并利用操作系統知識和客戶虛擬機的內存信息，對客戶虛擬機的狀態進行解析。然而當前的VMI工具在對客戶虛擬機進行自省時，需要將客戶虛擬機暫停，這樣引入了較大的性能開銷，并且VMI工具依賴客戶虛擬機操作系統的知識解析出語義上可讀的信息，一旦客戶虛擬機的操作系統被破壞，那么解析出來的信息將不再可信。目前基于虛擬機自省技術的檢測方案，為了減輕由于虛擬機自省造成的性能損失，需要客戶虛擬機的輔助模塊去觸發安全檢測。然而一旦客戶虛擬機被敵手攻破，安裝在客戶虛擬機中的輔助模塊也不再可信。

AMD和Intel推出的CPU芯片大部分支持嵌套頁表技術，通過嵌套頁表技術大大提高了客戶虛擬機的虛擬地址轉化為宿主機物理地址的速度。在提高性能的同時，嵌套頁表上都帶有權限位標志，一般權限位有三種：可讀，可寫和可執行。一旦有違反權限的行為發生就會觸發異常，造成客戶虛擬機退出，并且由虛擬機監控器處理虛擬機退出事件。其中若某個內存頁的權限被設置為不可知性，當該內存頁上的代碼要執行時，會觸發取指錯誤。利用嵌套頁表進行地址轉換及其權限位設置的示意圖如圖5所示。

發明內容

本發明針對上述的服務調用安全僅僅依靠用戶ID和口令的安全問題，提出一種在虛擬化環境提供服務調用監控的方法和系統。該方案設計一個服務調用監控器，用于實時檢測客戶虛擬機中發生的服務調用發生事件，并對客戶虛擬機中的關鍵代碼完整性進行實時的檢測，只允許完整性良好的、被授權的程序調用服務，同時提供審計功能。該服務調用監控系統作為一個虛擬機監控器的組件實現，服務調用監控系統的架構如圖1所示。

具體來說，本發明采用的技術方案如下：