[发明专利]一种基于集群虚拟机license认证的安全监控方法

说明书

本发明公开了一种基于集群虚拟机license认证的安全监控方法，涉及通信技术领域。本发明包括cvm管理平台和多台目标虚拟机；cvm管理平台通过Virtio通道与多台目标虚拟机相连；cvm管理平台分发给每一台虚拟机带有集群性的license证书，每一台虚拟机进行独立的单机license认证。本发明通过集群虚拟机license认证，保证即使虚拟机被运行在不安全的hypervisor上时，实现对目标虚拟机内的任何资料进行保护，避免目标虚拟机上的核心数据有被窃取的风险；同时通过注入license，目标虚拟机可以识别出是否运行在安全可靠的hypervisor环境中，从而通过agent代理程序改变目标虚拟机的限制和保护行为。

技术领域

本发明属于通信技术领域，特别是涉及一种基于集群虚拟机license认证的安全监控方法。

背景技术

在Lares内部监控系统的架构中，安全工具部署在一个隔离的虚拟机中，该虚拟机所在的环境在理论上被认为是安全的，称为安全域，如Xen的管理虚拟机。

外部监控架构中安全工具和客户操作系统的部署和内部监控架构相同，分别位于两个彼此隔离的虚拟机中，增强了安全工具的安全性。

现有技术方案存在的问题，就是如果目标虚拟机被盗走，运行在不安全的hypervisor环境上，那么虚拟机的保护将会全部失效。一旦虚拟机被运行在不安全的hypervisor之上，理论上目标虚拟机内的任何资料都将无法得到保护，目标虚拟机的任何行为都将不受控制。目标虚拟机上的核心数据有被窃取的风险。同时传统虚拟机监控还是属于比较弱的监控，只是对单台虚拟机的cpu使用率，内存使用率等数据指标做统计和上传。

发明内容

(一)解决的技术问题

本发明的目的在于提供一种基于集群虚拟机license认证的安全监控方法，以解决上述背景技术提出的问题。

(二)技术方案

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种基于集群虚拟机license认证的安全监控方法，包括cvm管理平台和多台目标虚拟机；所述cvm管理平台通过Virtio通道与多台目标虚拟机相连。

进一步地，包括：cvm管理平台分发给每一台虚拟机带有集群性的license证书，每一台虚拟机进行独立的单机license认证。

进一步地，所述单机license认证包括：

S01、首先在cvm管理平台上创建目标虚拟机的同时，根据rsa加密算法生成license；

S02、通过虚拟机部署模式直接将license信息注入到目标虚拟机内部；虚拟机正常启动，agent程序启动会首先判断license的有效性；

如果license校验正确有效，说明目标虚拟机运行在安全的hypervisor环境中，正常启动，同时上传虚拟机正常的状态信息；

如果license校验失败，说明目标虚拟机处于不安全的hypervisor环境中，agent代理程序做出保护措施。

所述保护措施包括直接删除目标虚拟机当中的受保护文件，防止用户的敏感数据被窃取；所述保护措施包括阻止目标虚拟机开机，防护用户的核心应用在不受控制的环境中运行；所述保护措施还包括收集关键性的操作日志，当目标虚拟机被攻击篡改之后，又被回传到安全hypervisor环境后，能够做有效的日志记录，追溯污染源。

进一步地，所述目标虚拟机的数量为N个；

当N为偶数时，只有当存在超过N/2台目标虚拟机单机license认证校验通过，则认为集群虚拟机license认证成功；