[发明专利]虚拟机监控器的安全加固方法、系统及硬件安全监控卡

权利要求书

1.一种虚拟机监控器的安全加固方法，其特征在于，包括以下步骤：

硬件安全监控卡建立与安全监控中心之间的通信链路，其中，硬件安全监控卡安装在服务器或工作站上，且存储有虚拟机监控器及其数据；所述虚拟机监控器的数据包括：虚拟机的资源分配信息；虚拟机的调度信息；以及，虚拟机中执行进程的调度和对硬件资源的访问、采集相关进程和操作的运行参数信息；

通过所述通信链路，硬件安全监控卡上报服务器或工作站的硬件信息，并从安全监控中心下载合适的虚拟机监控器可执行映像，且检查虚拟机监控器可执行映像签名以确认初始运行映像的正确性；

硬件安全监控卡在卡内合适的存储空间中展开所述虚拟机监控器可执行映像，并开放此空间供处理器访问，以使处理器通过PCIe接口访问并运行硬件安全监控卡中的虚拟机监控器；

在处理器访问并运行硬件安全监控卡中的虚拟机监控器时，硬件安全监控卡根据安全监控中心下发的检测策略，对下列中的至少一个进行检测分析：虚拟机监控器动态映像、处理器对虚拟机监控器动态映像的访问行为、虚拟机监控器的数据及对所述数据的读写行为，并将检测分析结果发送至安全监控中心；

安全监控中心对所接收的检测分析结果进行分析判断，以确定是否输出告警信息。

2.根据权利要求1所述的虚拟机监控器的安全加固方法，其特征在于，硬件安全监控卡通过以太接口连接到太交换机，并在通过身份鉴别后，登录到安全监控中心，以建立与安全监控中心之间的通信链路。

3.根据权利要求1所述的虚拟机监控器的安全加固方法，其特征在于，硬件安全监控卡根据安全监控中心下发的检测策略，采用定时或随机触发的方式，对虚拟机监控器动态映像进行检测分析。

4.一种硬件安全监控卡，安装在服务器或工作站上，其特征在于，包括存储器和控制器，其中，所述存储器存储有虚拟机监控器和计算机程序，所述控制器在执行所述计算机程序时实现权利要求1-3任一项所述的安全加固方法的步骤。

5.一种虚拟机监控器的安全加固系统，包括至少一个服务器或工作站，且所述服务器或工作站包括处理器，其特征在于，还包括：

安全监控中心；

安装在所述服务器或工作站上的硬件安全监控卡，且所述硬件安全监控卡为权利要求4所述的硬件安全监控卡。

6.根据权利要求5所述的虚拟机监控器的安全加固系统，其特征在于，

所述安全监控中心，用于管理服务器或工作站上运行的虚拟机监控器的分发；还用于管理硬件安全监控卡的接入及通信链路的建立；还用于管理及分发硬件安全监控卡所执行的检测策略；还用于接收及汇总硬件安全监控卡的检测分析结果，并根据检测分析结果确定是否生成告警信息。