[发明专利]基于优先中国墙策略的虚拟机隐形流控制方法

摘要

本发明公开了一种基于优先中国墙策略的虚拟机访问控制方法，该方法主要用于在虚拟机系统中进行隐形流的控制，在资源的虚拟机隔离粒度上，针对于负载的安全与通信需求，为虚拟机的负载分配中国墙类型标签，在虚拟机启动和迁入时，根据策略管理服务器中虚拟机运行历史状态表进行基于优先中国墙策略的逻辑进行判定，通过可控的资源调度管理控制虚拟机间的隐形流，并给用户提供一个可以配置的资源调度方式。该方法虚拟机系统上的高安全性的应用提供了隐形流控制，相比传统强制控制策略，具有灵活性，可配置性并易于管理。

主权项

1、一种基于优先中国墙策略的虚拟机隐形流控制方法，虚拟机安全监视器内设置有历史中国墙类型数组HCWTA，该数组作于记录该节点上被分配标签虚拟机的运行历史记录和现在的运行状态；在单节点系统中虚拟机安全监视器分别按照过程(A)和(B)根据虚拟机的标签监控该节点内任一虚拟机VM A的启动和关闭过程，该虚拟机VMA对应自己安全级别分配中国墙类型标签为T1；在分布式系统内，每个节点的虚拟机安全监视器，按照过程(C)、和(E)监控该节点内任一虚拟机VM B启动、关闭过程；按照过程(D)监控其他节点上任一虚拟机VMC发出的迁移和通信请求，假定虚拟机VM B与VMC对应自己安全级别分配中国墙类型标签为T2和T3；过程(A)：虚拟机安全监视器按照下述步骤监控具有T1标签的虚拟机VM A的启动过程，：(A1)检测历史中国墙类型数组HCWTA，判断HCWTA是否为空：若HCWTA为空，转到步骤(A4)；若HCWTA不为空，则进入步骤(A2)；(A2)遍历HCWTA，判断虚拟机VM A所对应的标签T1是否属于HCWTA：若T1∈HCWTA，转到(A5)；若$T1\notin \mathrm{HCWTA},则转到(A3)；(A3)遍历HCWTA，判断虚拟机VM\; A标签T1是否与该节点上的HCWTA中的标签相冲突，即判断T1是否属于\cup \{CIS(xi)|xi\in HCWTA\}：若T1\in \cup \{CIS(xi)|xi\in HCWTA\}，转到步骤(A6)；若$ T1\notin \cup \left\{\mathrm{CIS}\left(\mathrm{xi}\right)\right|\mathrm{xi}\in \mathrm{HCWTA}\},则转到步骤(A4)；(A4)虚拟机VM\; A允许启动，将虚拟机VM\; A的标签T1加入到HCWTA，其中：HCWTA＝\{T1\}，转到步骤(A7)；(A5)存在与此虚拟机在该节点运行过，虚拟机VM\; A允许启动，不修改HCWTA，转到步骤(A7)；(A6)在HCWTA中存在类型T与虚拟机VM\; A所对应的类型冲突，虚拟机VM\; A不允许启动；(A7)输出结束信息，结束；过程(B)：虚拟机安全监视器按照下述步骤监控虚拟机VM\; A的关闭过程：(B1)开始，若虚拟机VM\; A不是该节点的最后一个正在运行的虚拟机，则关闭虚拟机VM\; A后不改变HCWTA，转到步骤(B3)；(B2)若虚拟机VM\; A为该节点最后一个正在运行的虚拟机，则关闭虚拟机VM\; A后清空HCWTA；(B3)输出结束信息，结束；过程(C)：节点N1上的虚拟机安全监视器按照下述步骤监控该节点中任一虚拟机VM\; B在此节点上的启动过程，虚拟机VM\; B其对应的中国墙类型标签为T2，节点N1的历史中国墙类型数组为HCWTA1；(C1)开始，检测HCWTA1，判断HCWTA1是否为空：若HCWTA1为空，转到步骤(C5)；若HCWTA1不为空，则转到步骤(C2)；(C2)根据全局安全服务器中HCWTT更新本地节点的HCWTA1，对全局安全服务器中与HCWTA1对应的HCWTA加锁；(C3)遍历HCWTA1，判断T2是否属于HCWTA1：若T2\in HCWTA1，转到步骤(C6)；若$ T2\notin \mathrm{HCWTA}1,转到步骤(C4)；(C4)遍历HCWTA1，判断虚拟机VM\; B标签T2是否与HCWTA1中的标签相冲突，即判断T2是否属于\cup \{CIS(x)|x\in HCWTA1\}：若T2\in \cup \{CIS(x)|x\in HCWTA1\}，在HCWTA中存在标签T与虚拟机VM\; B所对应的类型冲突，则虚拟机VM\; B不允许启动转到步骤(C8)；若$ T2\notin \cup \left\{\mathrm{CIS}\left(x\right)\right|x\in \mathrm{HCWTA}1\},则转到步骤(C7)；(C5)允许虚拟机VM\; B在N1运行，把虚拟机VM\; B所对应的标签T2加入到本节点HCWTA1中，同步全局安全服务器，在历史中国墙类型表HCWTT中增加新的数组HCWTA1，更新HCWTA1，转到步骤(C9)；(C6)该则虚拟机VM\; B允许在节点N1启动，不修改HCWTA1，更新HCWTT记录运行状态，转到步骤(C8)；(C7)新启动的虚拟机的标签不与正在运行的虚拟机的标签相冲突，允许虚拟机VM\; B在节点N1启动，把虚拟机VM\; B所对应的标签T2加入到本地HCWTA1中，同步全局安全服务器，更新HCWTT中对应的HCWTA，转到步骤(C8)；(C8)对全局安全服务器中与HCWTA1对应的HCWTA解锁；(C9)输出结束信息，结束；过程(D)：每个节点上的虚拟机安全监视器按照下述步骤监控系统中各个节点上虚拟机间通信或虚拟机迁移请求的过程：假设：节点N1上虚拟机VM\; B，其对应的中国墙类型标签为T2，所属历史中国墙类型数组为HCWTA1；节点N2上虚拟机VM\; C，其对应的中国墙类型标签为T3，所属历史中国墙类型数组为HCWTA2；请求为虚拟机VM\; B与虚拟机VM\; C之间发起的通信请求，或者由虚拟机VM\; B发起从节点N1迁移到节点N2的迁移请求；(D1)开始，根据全局安全服务器中HCWTT更新HCWTA1和HCWTA2，对全局安全服务器中与HCWTA1及HCWTA2对应的HCWTA加锁；(D2)检测HCWTA1，HCWTA2，比较HCWTA1和HCWTA2：若HCWTA1＝HCWTA2，转到步骤(D4)；若HCWTA1\ne HCWTA2，则转到步骤(D3)；(D3)分别遍历HCWTA1和HCWTA2，判断HCWTA1中任一标签T是否属于\cup \{CIS(x)|x\in HCWTA2\}，即是否存在T\in HCWTA1，T\prime \in HCWTA2且T\in CIS(T\prime )：若$ \forall T\in \mathrm{HCWTA}1,$ T\notin \cup \left\{\mathrm{CIS}\left(x\right)\right|x\in \mathrm{HCWTA}2,转到(D5)；若存在T\in HCWTA1，T\in \cup \{CIS(x)|x\in HCWTA2\}，不允许虚拟机VM\; B与虚拟机VM\; C的通信或虚拟机VM\; B由节点N1到N2的迁移请求，转到步骤(D6)；(D4)允许虚拟机VM\; B与虚拟机VM\; C的通信或虚拟机VM\; B由节点N1到N2的迁移请求，转到步骤(D6)；(D5)允许虚拟机VM\; B与虚拟机VM\; C的通信或虚拟机VM\; B由节点N1到N2的迁移请求，更新全局安全服务器中的HCWTA1与HCWTA2为HCWTA1\cup HCWTA2，更新N1和N2节点的历史中国墙类型数组为HCWTA1\cup HCWTA2，转到步骤(D6)；(D6)对全局安全服务器中与节点对应的HCWTA1和HCWTA2解锁；(D7)输出结束信息，结束；过程(E)：节点N1上的虚拟机安全监视器按照下述步骤监控系统中各个节点上虚拟机的关闭过程：(E1)开始，判断虚拟机VM\; B是否为节点N1上最后一个正在运行的虚拟机：若虚拟机VM\; B不是，转到步骤(E3)；(E2)判断节点N1是否为其所属通信逻辑集中最后一个正在运行虚拟机的节点：若N1不是，转到(E4)；若N1是，则转到步骤(E5)；(E3)关闭虚拟机VM\; B，不改变该节点上的HCWTA，转到步骤(E6)；(E4)关闭虚拟机VM\; B，清空本地HCWTA1，转到步骤(E6)；(E5)关闭虚拟机VM\; B，清空本地HCWTA1，同时清空在全局安全服务器中HCWTT内相对应的HCWTA1；(E6)输出结束信息，结束。$$$$$$