[发明专利]一种基于云计算数据中心安全增强模型的设计方法

说明书

技术领域

本发明涉及计算机通信技术领域, 具体地说是一种基于云计算数据中心安全增强模型的设计方法。 

背景技术

在虚拟化云数据中心环境中，Hypervisor（虚拟机监控器，简称VMM）是一个介于硬件和操作系统之间的软件层，它负责管理底层的硬件资源，并将这些资源分配给上层运行着的虚拟机VM，这些虚拟机构成一个个相互隔离的执行环境，保证每个隔离环境中运行的业务互不影响。在Xen中相互隔离的执行环境也称为隔离执行域Domain。虽然Hypervisor为上层用户提供了相互隔离的执行环境，但是在整个虚拟化云数据中心中，隔离执行域以外的信息是相互混杂相互影响的，比如任何VM之间都可以相互通信，任何VM都可以访问本云计算数据中心中任何一块存储资源。为了控制虚拟化云数据中心环境中VM之间的通信以及对存储块资源的访问，本发明设计了一种基于云计算数据中心安全增强模型，本发明包括扩展基于sHype的Xen可信安全架构、虚拟化网络隔离、网络存储资源隔离等方面，主要用来对云计算数据中心中的资源进行合理有效的划分和归类，并构建多个相互隔离的环境，防止数据的相互泄露和恶意病毒代码的扩散，减少或防止配置管理出错的发生概率，以达到VMs及资源完美隔离和共享的目的。 

发明内容

本发明的目的是提供一种基于云计算数据中心安全增强模型的设计方法。 

其特征包含以下技术： 

（1）扩展sHype Hypervisor安全架构，通过访问控制模机制控制虚拟机运行，具体通过为虚拟机和相关资源标记安全标签，用户能够通过Hypervisor来限制VMs和资源的运行情况；

（2）虚拟化网络隔离，将标记VMs的标签与VLANs关联起来，同时标记VM和VLAN，比如一种类型的标签对应一个VLAN和一类VMs。系统限制VMs和VLANs必须匹配安全标签才能连接和通信；

（3）网络存储资源隔离，为了基于安全标签实现对网络存储隔离，系统将CbCS机制集成到可信虚拟数据中心，并通过加密证书和安全标签实现对网络存储的访问。

上述虚拟机强制访问控制其特征是用户能够通过Hypervisor来限制VMs和资源的运行情况，即通过Hypervisor和安全标签策略来对VMs进行验证启动，限制哪些VMs可以运行于某个VMM中，约束哪些VMs可以并行运行于同一个系统中而不发生冲突。 

上述虚拟化网络隔离控制虚拟机之间的网络通信；虚拟化网络隔离其特征是将安全标签与虚拟化802.1Q VLAN结合，系统在Xen宿主机上软件实现了VLAN的功能。 

上述网络存储资源隔离控制虚拟机对存储资源的访问；网络存储资源隔离其特征是将存储资源进行相应的分类划分，并对VM和存储资源标记安全标签，客户VM同时需要验证证书才能访问存储资源；如果存在共有的安全标签和正确的证书，VMs就可以通过网络、存储或者直接共享等方式访问数据；如果标签类型不同或证书不正确，VMs将无法共享和访问数据块。 

系统管理员可以在虚拟域中和虚拟域之间为控制和访问控制定义并管理安全策略。其中标记资源包括标记VMs、VLANs和存储等资源，比如可以标记成蓝色或红色。一旦创建和赋予了安全标签，部署于Domain0的策略将允许具有相同标签的VMs可以构建一个共享资源的安全域。系统也可以建立互斥的规则，比如不同颜色标签的VMs不能够同时运行在同一个系统上。对于Hypervisor隔离，需要在VMM基础架构中应用强制访问控制策略（MAC ,Mandatory Access Control），使用sHype来扩展Xen安全架构。对于虚拟化网络隔离，需要软件创建网桥和配置以太网交换机来支持对隔离策略的部署。对于网络存储的隔离，需要扩展CbCS (Capability-based Command Security)机制，通过安全标签和安全证书来控制VMs对网络存储的访问。 

增强Hypervisor安全架构 

sHype Hypervisor安全架构基于Xen提供的隔离基础之上，是对Xen可信安全架构的扩展。Xen默认并没有将该模块编译，要启用该模块需要源码重新编译Xen。sHype监控VMs之间资源的共享和VM间的互通信。为了管理简便，将VMs和资源定义为Workload（这些VMs和资源通常协调以完成某个共同的任务和目的），这样管理员不再监控每一个VMs和资源，而只关注整个Workload。sHype起到了Hypervisor和Domain 0中的中介作用，并根据有效的安全策略来控制VM间的相互通信和对资源的访问。