[发明专利]一种云环境中防御侧信道攻击的虚拟机迁移方法及系统

说明书

本发明提供一种云环境中防御侧信道攻击的虚拟机迁移方法及系统，方法：按需求设置虚拟机安全等级和物理主机安全等级，安全等级相同的虚拟机映射到同一物理主机上，且同一物理主机上映射的虚拟机安全等级相同；设置虚拟机交互时长阈值，当虚拟机交互时长超过阈值时，将该虚拟机迁移到与原物理主机安全等级相同的另一物理主机；系统包括：虚拟机安全等级设置模块、虚拟机物理主机映射模块、虚拟机交互时长阈值设置模块以及虚拟机迁移模块。本发明在源头减少攻击虚拟机和被攻击虚拟机串通的机会，提高虚拟机安全保障，同时在必要的时候迁移虚拟机，减少迁移开销。

技术领域

本发明属于虚拟机安全领域，具体涉及一种云环境中防御侧信道攻击的虚拟机迁移方法及系统。

背景技术

在互联网中，不同应用需要的网络条件不同，这些应用部署到相同的底层物理网络上，无法充分利用物理资源，保证应用性能。虚拟网络技术可以将物理网络资源划分成多个虚拟网络，不同的应用、服务占用不同的虚拟网络，大大提高了网络的利用率和应用、服务的性能。在云环境和数据中心中应用该技术也带来了一定的安全风险，其中一种是侧信道攻击。

侧信道攻击:针对加密电子设备在运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进行攻击的方法被称为侧信道攻击。

目前防御侧信道攻击主要有两个方向。一类是修改物理主机的软硬件，根据攻击种类不同，配置特定的硬件和软件；另外一类是基于移动被攻击目标的思想，动态迁移虚拟机。前者防御范围有限且对物理主机的性能有一定影响，后者频繁的迁移虚拟机，导致迁移开销过大，难以大规模应用。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种云环境中防御侧信道攻击的虚拟机迁移方法及系统，是非常有必要的。

发明内容

本发明的目的在于，针对上述现有的防御侧信道攻击的方法存在对影响物理主机性能，迁移开销过大，难以大规模应用的缺陷，提供一种云环境中防御侧信道攻击的虚拟机迁移方法及系统，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种云环境中防御侧信道攻击的虚拟机迁移方法，按需求设置虚拟机安全等级和物理主机安全等级，安全等级相同的虚拟机映射到同一物理主机上，且同一物理主机上映射的虚拟机安全等级相同；

设置虚拟机交互时长阈值，当虚拟机交互时长超过阈值时，将该虚拟机迁移到与原物理主机安全等级相同的另一物理主机。不同安全等级的虚拟机配置不同的安全策略，减少恶意虚拟机发动攻击的机会。

进一步地，将安全等级高的虚拟机映射到安全等级高的物理主机，将安全等级低的虚拟机映射到安全等级低的物理主机。通过虚拟机安全等级分类，映射到不同安全等级的物理主机上，切断恶意虚拟机串通。

进一步地，设置物理主机集群，将安全等级相同的物理主机设置为一个物理主机集群；

将安全等级高的虚拟机映射到安全等级高的物理主机集群，将安全等级低的虚拟机映射到安全等级低的物理主机集群。按照不同安全等级修改云环境中物理机软硬件，相同安全等级的物理主机形成云环境中小集群。

进一步地，具体步骤如下：

按需求设置虚拟机安全等级，设置虚拟机安全等级S0,S1,S2,S3，其中，从S0到S3，虚拟主机安全等级依次递增；

设置物理主机安全等级，设置物理主机安全等级A0,A1,A2,A3，其中，从A0到A3，物理主机安全等级依次递增；