[发明专利]虚拟机监控器的安全加固方法、系统及硬件安全监控卡

说明书

本发明涉及了一种虚拟机监控器的安全加固方法、系统及硬件安全监控卡，该安全加固方法包括：硬件安全监控卡建立与安全监控中心之间的通信链路；在处理器访问并运行虚拟机监控器时，硬件安全监控卡根据安全监控中心下发的检测策略，对下列中的至少一个进行检测分析：虚拟机监控器动态映像、处理器对虚拟机监控器动态映像的访问行为、虚拟机监控器的数据及对所述数据的读写行为，并将检测分析结果发送至安全监控中心；安全监控中心对所接收的检测分析结果进行分析判断，以确定是否输出告警信息。实施本发明的技术方案，针对X86环境的各种软硬件攻击手段，均不能旁路硬件安全监控卡对虚拟机监控器的加固机制，确保了虚拟机监控器运行时的可靠性。

技术领域

本发明涉及信息安全领域，尤其涉及一种虚拟机监控器的安全加固方法、系统及硬件安全监控卡。

背景技术

目前在用的云计算服务器，处理器大多数都是使用X86芯片。芯片生产商Intel/AMD对X86芯片进行了硬件虚拟化的扩展，以支持虚拟机监控器与虚拟机操作系统的隔离，提高虚拟化效率。其中，Intel的Virtualization Technology(Intel VT)虚拟化技术，把虚拟化从纯软件推进到处理器级虚拟化；Virtualization Technology for Directed I/O(Intel VT-d)则推进到平台级虚拟化与输入/输出级虚拟化。即，VT完成处理器与存储的虚拟化，VT-d完成网络等外设的虚拟化。

X86处理器支持VMX root operation(根虚拟化操作)和VMX non-root operation(非根虚拟化操作)。VMM/Hypervisor(虚拟机监控器)运行在VMX root operation环境，虚拟机上的操作系统与应用则运行在VMX non-root operation环境。每个环境均有四个特权级别，在VMX non-root operation环境下运行的虚拟机就能完全地利用Privilege0/1/2/3共4个特权等级，不需要为了运行VMM而进行特权压缩。Intel为了支持两种环境的切换，在VT中设计了虚拟机控制结构(Virtual-Machine Control Structure，VMCS)数据结构，包括Guest-State Area(客户状态区)和Host-State Area(主机状态区)，用来保存虚拟机以及物理主机的各种状态参数，并提供VM entry/VM exit两种操作，在root/non-root(即VMM与虚拟机)两种环境之间切换，用户可以通过在VMCS的虚拟机控制域(VM-execution controlfields)指定在执行何种指令/发生何种事件的时候，VMX non-root operation环境下的虚拟机触发VM exit，切换到VMX root operation环境，从而让VMM获得控制权。通过这些设计，VT技术解决了虚拟机的隔离问题，同时解决了虚拟化的性能问题。

虚拟机监控器运行在靠近物理主机的X86处理器最底层，依靠X86硬件级别的特权级别设计与硬件虚拟化，来保证虚拟机的隔离，保证虚拟机内运行的客户操作系统的安全。但是，正如X86计算环境无法完全保障直接在其上运行的操作系统安全一样，X86也无法完全保障在其上运行的虚拟机监控器的安全。虚拟机监控器自身一直没有非常有效的安全保障手段，确保其启动/运行时的高可靠/高可信。一旦虚拟机监控器受到攻击，则虚拟机之间的安全隔离被破坏，各个虚拟机被完全控制，单个虚拟机环境上使用的传统安全保证手段完全失效，造成灾难性的后果。因此确保虚拟机监控器的安全，是保障计算节点安全,保障云计算安全的关键所在之一。

X86计算环境，虚拟机监控器本身的安全，存在以下问题：