[发明专利]一种Xen虚拟机可信域间网络连接的控制方法

说明书

技术领域

本发明属于虚拟机的信息安全访问控制领域，特别是涉及一种Xen虚拟机可信域间网络连接的控制方法。

背景技术

在Xen虚拟化环境中，虚拟设备都是以分离模型的形式存在的，每一个虚拟设备的工作都是在前后端两个驱动程序的协同下完成的。其中，前端驱动运行在虚拟客户系统DomainU中。任何对此驱动的操作（比如I/O操作）都会被转发到后端，由后端驱动真正执行完成；但是这些转发过程对于DomainU是透明的。后端驱动部署在后端宿主系统Domain0上，接收来自前端驱动的操作请求，然后将此请求交由真实硬件驱动程序，最后将硬件驱动的执行结果反馈回前端驱动。

在虚拟化环境中，虚拟网络设备是虚拟机和外界通信的典型代表。虚拟网络设备的前后端驱动程序通过共享内存进行通信。虚拟网络设备后端为多个虚拟客户系统提供网络服务，因此，后端相当于一个网桥。每个虚拟客户系统都具有一个或者多个虚拟网络设备，通过使用以软件模拟的方式存在的网桥进行数据包的发送和接收。

可信网络连接TNC技术是TCG组织公布的开放的、支持异构环境的网络访问控制架构。完整的TNC架构的实体由访问请求者（AR）、策略执行点（PEP）、策略决策点（PDP）、元数据存取点（MAP）及元数据存取点（MAPC）5个实体组成。实体中的组件根据功能不同，可分为三个抽象层：网络访问层，完整性评估层以及完整性度量层。

基于Xen虚拟网络环境，有技术已经实现了多网隔离。基于每个DomU不同的安全级别和访问权限，把各个域的网络访问请求转发到不同的真实的物理网卡上。不同的物理网卡连接着不同信任级别的网络，虚拟机监控器根据客户操作系统的访问权限，控制客户系统后端网卡与物理网卡的绑定关系。由于客户系统与网络的连接必须经过通路“前端网卡→后端网卡→物理网卡”，使得客户系统只能连接到指定的网络。因此，如果一个虚拟域连接的最终的真实物理网卡连接的是内网，它（虚拟域）就不可能跟外网进行任何数据交互。同样，连接了私密网的DomU也是不可能跟外网进行数据交互的。这样，通过多网隔离技术就彻底阻止不可信用户访问可信网络，也能保护可信用户的数据不受来自不可信网络的攻击。基于Netfilter/Iptables框架，有技术提出了在宿主系统Dom0上构建防火墙用以对DomU的网络数据进行监控处理。文中提到的主要思路是：优先选择较为容易实现的以Iptables扩展模块方式来实现防火墙，其次才是Netfilter扩展模块。用户自定义防火墙规则，当网络数据包被防火墙拦截到时，防火墙就根据用户自定义规则去分析处理网络数据包，最后交由Netfilter层去决定丢弃还是接受网络数据包。

从以上分析可知，基于Xen的防火墙的实现是基于纯软件的接口的，且对于虚拟网络环境的模拟考虑到多网隔离技术，这些在一定程度上对基于Xen的网络环境的安全性有了很大的提高。但通过上述对基于Xen的虚拟网络环境的多网隔离技术以及防火墙技术的分析可以了解到，单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，基于Xen的虚拟网络环境的网络连接在安全上解决方案，并不能阻止来自内部的袭击，采用的也是被动的按照防火墙规则来进行防御，并不能保证终端本身的安全可信，仍然存在大概以下三个问题：缺乏必要的度量策略、防御被动、缺乏灵活的域间通信方式。

发明内容

本发明的目的在于克服现有技术的不足，提供一种有效提高域间网络连接的安全性的Xen虚拟机可信域间网络连接的控制方法。

为了实现上述目的，采用的技术方案如下：

一种Xen虚拟机可信域间网络连接的控制方法，通过在后端宿主系统中设置信息度量模块，在前端虚拟域中设置可信信息采集模块，以及设置基于I/O端口的通信信道为后端宿主系统和前端虚拟域的域间网络连接进行信息传递，并确定后端宿主系统作为域间网络连接的可信方，前端虚拟域通过通信信道向后端宿主系统提出网络访问请求以及相应的可信信息，后端宿主系统通过验证该可信信息，做出是否允许前端虚拟域访问访问的决策。

上述技术方案中，所述信息度量模块包括策略执行模块、网络访问授权模块、TNC服务器模块和完整性信息验证模块，所述可信信息采集模块包括网络访问请求模块、TNC客户端模块以及完整性信息收集模块；

所述策略执行模块将前端虚拟域的网络访问请求转发给网络访问授权模块进行相应的身份认证工作，以控制前端虚拟域对网络的访问；

所述网络访问授权模块对前端虚拟域进行身份认证；

所述TNC服务器模块对前端虚拟域进行平台信息验证；