一种实现虚拟化安全的方法和系统的制作方法

一种实现虚拟化安全的方法和系统的制作方法
【专利摘要】本发明实施例提供的方法和系统，用户虚拟机接收来自于虚拟机用户的命令，并根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一：第一类命令和第二类命令；其中第一类命令由用户虚拟机执行，第二类命令由安全虚拟机执行，然后由所述用户虚拟机将所述命令的执行结果向所述虚拟机用户呈现，因此能够在实现虚拟化安全时，提高用户的体验。
【专利说明】一种实现虚拟化安全的方法和系统

【技术领域】
[0001]本发明实施例涉及云计算【技术领域】，特别涉及一种实现虚拟化安全的方法和系统。

【背景技术】
[0002]云计算是计算模型的一次重要革新，通过将各种互联的计算资源进行有效整合并实现多层次的虚拟化与抽象，从而将大规模的计算资源以可靠服务的形式提供给用户。虚拟化技术给计算资源的共享与管理带来很多的便利之处，成为云计算的重要组成部分。虚拟机监控器(VMM, Virtual Machine Monitor)是虚拟化技术的核心,通过对提供计算资源的服务器物理资源进行抽象，将中央处理器(CPU, central processing unit)、内存、输入/输出(1/0，input/output)等服务器物理资源转化为一组可统一管理、灵活调度、动态分配的逻辑资源，并基于这些逻辑资源在单个物理服务器上构建多个同时运行、相互隔离的虚拟机执行环境。
[0003]随着云计算应用的日益复杂，其安全性要求也越来越高。传统的IT系统是封闭的，存在于企业内部，对外暴露的只是网页服务器、邮件服务器等少数接口，因此只需要在出口设置防火墙、访问控制等安全措施，就可以解决大部分安全问题。但在云计算环境下，云暴露在公开的网络中，任何一个节点及它们的网络都可能受到攻击，存在诸多安全隐患。目前采用虚拟化层安全服务技术，由一台独立的安全虚拟机集中执行安全应用，可避免传统安全软件在虚拟化环境下运行带来的问题。但是，用户体验比较差。


【发明内容】

[0004]本发明实施例提出了一种实现虚拟化安全的方法、和系统，以提高实现虚拟化安全时用户的体验。
[0005]第一方面，本发明实施例提出了一种实现虚拟化安全的方法，所述方法应用于包括用户虚拟机和安全虚拟机的系统，具体包括:
[0006]所述用户虚拟机接收来自于虚拟机用户的命令；
[0007]所述用户虚拟机根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令；
[0008]若得到第一类命令，则所述用户虚拟机执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现；
[0009]若得到第二类命令，则所述用户虚拟机将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第二类命令的执行结果向所述虚拟机用户呈现；
[0010]若得到第一类命令和第二类命令，则所述用户虚拟机执行所述第一类命令，并将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第一类命令的执行结果和所述第二类命令的执行结果向所述虚拟机用户呈现。
[0011]结合第一方面，在第一种可能的实现方式中，在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前还包括:
[0012]所述用户虚拟机根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
[0013]结合第一方面或第一种可能的实现方式，在第二种可能的实现方式中，若所述命令为安全配置命令，该方法还包括:
[0014]所述用户虚拟机的安全轻代理根据所述第一类命令对应的执行主体对所述第一类命令进行分类，得到如下至少之一:代理类命令和驱动类命令；
[0015]若得到代理类命令，则所述安全轻代理执行所述代理类命令，并将所述代理类命令的执行结果向所述虚拟机用户呈现；
[0016]若得到驱动类命令，则所述安全轻代理将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述驱动类命令的执行结果向所述虚拟机用户呈现；
[0017]若得到代理类命令和驱动类命令，则所述安全轻代理执行所述代理类命令，并将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述代理类命令的执行结果和所述驱动类命令的执行结果向所述虚拟机用户呈现。
[0018]结合第一方面、第一方面的第一种可能或第二种可能的实现方式，在第三种可能的实现方式中，若所述命令为安全配置命令，该方法还包括:所述安全虚拟机执行所述第二类命令之前还包括:
[0019]所述安全虚拟机的用户配置审计模块对所述第二类命令进行审计，确定所述第二类命令满足预先配置的安全策略。
[0020]结合第一方面或第一方面的第一种至第三种任意一种可能的实现方式，在第四种可能的实现方式中，该方法还包括还包括:
[0021]将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机之前，所述安全虚拟机的安全功能处理模块确定所述第二类命令的执行结果满足预先配置的通知策略。
[0022]结合第一方面或第一方面的第一种至第四种任意一种可能的实现方式，在第五种可能的实现方式中，该方法还包括还包括:所述安全虚拟机的轻代理检验模块将所述用户虚拟机的安全轻代理的完整性度量值和第一正确值进行比对，然后根据预先配置的第一校验策略对所述安全轻代理的比对结果进行处理，所述安全轻代理的完整性度量值是对所述安全轻代理的度量内容进行完整性计算得来的，所述安全轻代理的度量内容包括如下至少之一:所述安全轻代理在内存中的代码、数据、磁盘上的程序文件和配置数据。
[0023]结合第一方面或第一方面的第一种至第五种任意一种可能的实现方式中，在第六种可能的实现方式中，该方法还包括:所述安全虚拟机的轻代理检验模块将所述用户虚拟机的安全驱动的完整性度量值和第二正确值进行比对，然后根据预先配置的第二校验策略对所述用户虚拟机的安全驱动的比对结果进行处理，所述安全驱动的完整性度量值是对所述用户虚拟机的安全驱动的度量内容进行完整性计算得来的，所述安全驱动的度量内容包括如下至少之一:所述用户虚拟机的安全驱动在内存中的代码、数据、磁盘上保存的驱动文件和配置数据。
[0024]第二方面，本发明实施例提出了一种实现虚拟化安全的系统，所述系统包括用户虚拟机和安全虚拟机，所述用户虚拟机，用于接收来自于虚拟机用户的命令，根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令；
[0025]若得到第一类命令，则所述用户虚拟机，用于执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现；
[0026]若得到第二类命令，则所述用户虚拟机，用于将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机，用于执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机，还用于将所述第二类命令的执行结果向所述虚拟机用户呈现；
[0027]若得到第一类命令和第二类命令，则所述用户虚拟机，用于执行所述第一类命令，并将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机，用于执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机，还用于将所述第一类命令的执行结果和所述第二类命令的执行结果向所述虚拟机用户呈现。
[0028]结合第二方面，在第一种可能的实现方式中，在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前，所述用户虚拟机还用于根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
[0029]结合第二方面或第一种可能的实现方式，在第二种可能的实现方式中，所述用户虚拟机包括安全轻代理和安全驱动，若所述命令为安全配置命令:
[0030]所述用户虚拟机的安全轻代理，用于根据所述第一类命令对应的执行主体对所述第一类命令进行分类，得到如下至少之一:代理类命令和驱动类命令；
[0031]若得到代理类命令，则所述安全轻代理，用于执行所述代理类命令，并将所述代理类命令的执行结果向所述虚拟机用户呈现；
[0032]若得到驱动类命令，则所述安全轻代理，用于将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动，用于执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理，还用于将所述驱动类命令的执行结果向所述虚拟机用户呈现；
[0033]若得到代理类命令和驱动类命令，则所述安全轻代理，用于执行所述代理类命令，并将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动，用于执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理，还用于将所述代理类命令的执行结果和所述驱动类命令的执行结果向所述虚拟机用户呈现。
[0034]结合第二方面、第二方面的第一种或第二种可能的实现方式，在第三种可能的实现方式中，所述安全虚拟机包括用户配置审计模块，若所述命令为安全配置命令，所述安全虚拟机用于执行所述第二类命令之前，所述用户配置审计模块用于对所述第二类命令进行审计，确定所述第二类命令满足预先配置的安全策略。
[0035]结合第二方面或第二方面的第一种至第三种任意一种可能的实现方式，在第四种可能的实现方式中，所述安全虚拟机包括安全功能处理模块，将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机之前，所述安全功能处理模块用于确定所述第二类命令的执行结果满足预先配置的通知策略。
[0036]结合第二方面或第二方面的第一种至第四种任意一种可能的实现方式，在第五种可能的实现方式中，所述安全虚拟机包括轻代理检验模块:
[0037]所述轻代理检验模块，用于将所述用户虚拟机的安全轻代理的完整性度量值和第一正确值进行比对，然后根据预先配置的第一校验策略对所述安全轻代理的比对结果进行处理，所述安全轻代理的完整性度量值是对所述安全轻代理的度量内容进行完整性计算得来的，所述安全轻代理的度量内容包括如下至少之一:所述安全轻代理在内存中的代码、数据、磁盘上的程序文件和配置数据。
[0038]结合第二方面或第二方面的第一种至第五种任意一种可能的实现方式中，在第六种可能的实现方式中，所述安全虚拟机的轻代理检验模块，用于将所述用户虚拟机的安全驱动的完整性度量值和第二正确值进行比对，然后根据预先配置的第二校验策略对所述用户虚拟机的安全驱动的比对结果进行处理，所述安全驱动的完整性度量值是对所述用户虚拟机的安全驱动的度量内容进行完整性计算得来的，所述安全驱动的度量内容包括如下至少之一:所述用户虚拟机的安全驱动在内存中的代码、数据、磁盘上保存的驱动文件和配置数据。
[0039]第三方面，本发明实施例提出了一种实现虚拟化安全的系统，包括:
[0040]处理器、存储器和系统总线，所述处理器和所述存储器之间通过所述系统总线连接并完成相互间的通信；
[0041]所述存储器，用于存储计算机执行指令；
[0042]所述处理器，用于运行所述计算机执行指令，执行第一方面或第一方面的第一种至第六种任意一种可能的实现方式。
[0043]第四方面，本发明实施例提出了一种计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令用于执行第一方面或第一方面的第一种至第六种任意一种可能的实现方式。
[0044]本发明实施例，用户虚拟机接收来自于虚拟机用户的命令，并根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令，其中第一类命令由用户虚拟机执行，第二类命令由安全虚拟机执行，然后由所述用户虚拟机将所述命令的执行结果向所述虚拟机用户呈现，因此能够在实现虚拟化安全时，提高用户的体验。

【专利附图】

【附图说明】
[0045]为了更清楚地说明本发明实施例的技术方案，下面将对现有技术或实施例中所需要使用的图作简单地介绍，显而易见地，下面描述中的图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的图。
[0046]图1是根据本发明实施例提供的一种实现虚拟化安全的系统架构图；
[0047]图2是根据本发明实施例提供的一种实现虚拟化安全的方法示意图；
[0048]图3是根据本发明实施例提供的安全功能配置的流程；
[0049]图4是根据本发明实施例提供的安全功能操作的流程；
[0050]图5是根据本发明实施例提供的安全功能通知的流程；
[0051]图6是根据本发明实施例提供的对用户虚拟机的安全保护流程；
[0052]图7是实现虚拟化安全的另一系统结构图。

【具体实施方式】
[0053]为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。
[0054]本发明实施例提出了一种实现虚拟化安全的方法、和系统，能够保证实现虚拟化安全的同时，提高虚拟机用户(简称用户)的体验。
[0055]本发明实施例的系统架构
[0056]本发明实施例提供的实现虚拟化安全的方法可以在如图1所示的系统架构中实现。图1仅是示例性说明，并不限定具体的组网方式。
[0057]该系统包括主机10、虚拟化管理服务器20、安全管理服务器30和应用管理服务器40。
[0058]主机10是用于提供云计算中计算资源的物理服务器。主机10又具体包括:HypervisorlOl、安全虚拟机102、用户虚拟机103。
[0059]当然HypervisorlOl、安全虚拟机102和用户虚拟机103也可以位于不同的主机10中，如安全虚拟机102和HypervisorlOl位于主机一中，用户虚拟机103位于主机二中；或者HypervisorlOl位于主机一中，安全虚拟机102和用户虚拟机103位于主机二中；或者HypervisorlOl位于主机一中，安全虚拟机102位于主机二中，用户虚拟机103位于主机三中。附图1中以HypervisorlOl、安全虚拟机102和用户虚拟机103位于同一主体示例说明。
[0060]其中HypervisorlOl,又称虚拟机监控器(VMM, Virtual Machine Monitor),是提供虚拟化能力的核心部件，负责管理主机的物理资源，将该物理资源分配给多台虚拟机使用，并维护虚拟机之间的逻辑资源的隔离。
[0061]安全虚拟机102，用于为用户虚拟机103提供安全防护能力，具体包括安全驱动1021和安全应用程序1022。安全驱动1021通过调用Hypervisor来收集和安全事件相关的上下文信息，并且通过调用Hypervisor和用户虚拟机103内的安全驱动1031通信。安全驱动1021还可以向安全应用程序1022提供应用编程接口(API, Applicat1n ProgrammingInterface),帮助安全应用程序1022访问HypervisorlOl。安全应用程序1022,由安全应用软件厂商提供，是安全应用的执行引擎和数据库，并提供对用户虚拟机103内安全轻代理1032的校验和审计功能。
[0062]用户虚拟机103，是为用户提供计算能力的虚拟机，可运行桌面办公、数据执行、服务器维护等。用户虚拟机103提供的功能和普通计算机类似，具体包括安全驱动1031和安全轻代理1032。其中安全驱动1031，用于监控用户虚拟机103内的安全事件，如文件读写、进程创建等，然后调用HypervisorlOl，将监控到的安全事件信息通知到安全虚拟机102。安全驱动1031还可以向安全轻代理1032提供API接口，帮助安全轻代理1032访问HypervisorlOlo安全驱动1031具体可以由安全应用软件厂商提供；或者由安全应用软件厂商向开发安全驱动的虚拟化平台厂商提出需求，由虚拟化平台厂商提供。
[0063]安全轻代理1032，也可称为“瘦代理”，位于用户虚拟机103内，提供和用户交互相关的功能，从而能够保证虚拟机用户使用安全应用程序时的体验不变。其他的安全功能由安全虚拟机102提供，并且由HypervisorlOl提供信息传输通道。安全轻代理1032由安全应用软件厂商提供。
[0064]虚拟化管理服务器20，用于管理、维护和分配虚拟化资源。虚拟化资源包括计算资源、存储资源或网络资源。虚拟化管理服务器20可部署于服务器或虚拟机中。
[0065]安全管理服务器30，用于提供安全虚拟机102的部署、用户虚拟机103内安全驱动1031的安装；并且监控安全驱动1021和安全驱动1031的运行状态，接收事件、告警信息，保证安全驱动1021和安全驱动1031的可靠运行。安全管理服务器30可部署于独立的服务器或虚拟机中，也可以和虚拟化管理服务器20共同部署，还可以直接集成于虚拟化管理服务器20的软件之中。
[0066]应用管理服务器40，用于提供对安全应用程序1022的管理功能，由安全应用软件厂商提供。应用管理服务器40可部署于独立的服务器或虚拟机中，也可以和虚拟化管理服务器20共同部署，或者也可以和安全管理服务器30共同部署。其中包括以下模块(图中未示出):
[0067]安全应用部署401:采用集中推送或客户端申请的方式，初始安装和升级虚拟化系统内的安全应用程序1022、安全轻代理1032。
[0068]集中配置402:由管理员配置安全应用程序1022和安全轻代理1032的运行和执行策略，如资源占用策略、周期性任务设定。
[0069]安全功能操作403:由管理员指定操作对象并执行安全应用程序1022、安全轻代理1032的功能，如防病毒全盘扫描、敏感数据发现。
[0070]其中管理员为云计算系统的维护人员，可以按照职责范围划分为系统管理员、安全管理员、审计管理员等，具有特定权限的云管理员可以在虚拟化系统中部署和管理安全应用程序1022、安全轻代理1032。
[0071]其中虚拟机用户，可以通过网络连接云提供的虚拟机，操作桌面办公、数据执行、服务器维护等。
[0072]用户虚拟机与安全虚拟机机具体的交互过程参见下面实施例的描述。
[0073]实现虚拟化安全的方法
[0074]下面介绍本发明实施例提供的实现虚拟化安全的方法，该方法可以在前述实施例的系统架构上实现。
[0075]如图2所示的实现虚拟化安全的方法实施例，包括以下步骤:
[0076]I)用户虚拟机接收来自于虚拟机用户的命令，然后根据所述命令对应的执行主体对该命令进行分类，得到如下至少之一:第一类命令和第二类命令，其中第一类命令由所述用户虚拟机执行，第二类命令由安全虚拟机执行。
[0077]在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前还包括:
[0078]所述用户虚拟机根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
[0079]若对所述命令分类后，得到了第二类命令，则执行下述步骤2)-6)。若得到了第一类命令，则所述用户虚拟机执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现。
[0080]所述命令包括如下至少之一:安全功能配置、安全功能操作和安全功能通知。具体的流程参照附图3-5的详细描述。
[0081]2)若得到了第二类命令，则所述用户虚拟机将所述第二类命令发送给Hypervisor。Hypervisor 也可以称为虚拟机监控器(VMM, Virtual Machine Monitor)。
[0082]3) Hypervisor将该第二类命令发送给安全虚拟机，由安全虚拟机执行所述第二类命令。
[0083]4)安全虚拟机将所述第二类命令的执行结果发送给Hypervisor。
[0084]所述安全虚拟机的安全功能处理模块，可以确定所述第二类命令的执行结果满足预先配置的通知策略下，才把第二类命令的执行结果发送给Hypervisor。
[0085]5) Hypervisor将该第二类命令的执行结果发送给用户虚拟机。
[0086]6)用户虚拟机将第二类命令的执行结果向虚拟机用户呈现。
[0087]本实施例提供的方法，用户虚拟机接收来自于虚拟机用户的命令，并根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令，其中第一类命令由用户虚拟机执行，第二类命令由安全虚拟机执行，然后由所述用户虚拟机将所述命令的执行结果向所述虚拟机用户呈现，因此能够通过安全虚拟机实现虚拟化安全，同时通过用户虚拟机提升虚拟机用户的体验。从而通过安全虚拟机和用户虚拟机的配合实现虚拟化安全的同时，提升了虚拟机用户的应用体验。
[0088]根据来自于虚拟机用户的命令不同，用户虚拟机通过与其他模块配合，可以完成安全功能配置、安全功能操作和安全功能通知等操作。下面详细介绍。
[0089]如图3所示，是本发明实施例提供的安全功能配置的流程。
[0090]虚拟机用户按照自己的使用习惯，通过安全轻代理提供的软件界面对用户虚拟机和安全虚拟机进行配置，和传统安全软件的使用感受一致。如系统实施例的描述，用户虚拟机包括安全轻代理和安全驱动；安全虚拟机包括安全应用程序和安全驱动。虚拟机监控器包括虚拟化安全服务平台。
[0091]I)安全轻代理接收到虚拟机用户的安全功能配置后，对该安全功能配置进行分类，得到第一类命令或第二类命令，其中第一类命令由用户虚拟机执行，第二类命令由安全虚拟机执行。第一类命令又具体划分为代理类命令和驱动类命令，其中代理类命令由用户虚拟机的安全轻代理本地保存供后续使用，驱动类命令由用户虚拟机的安全驱动进行保存供后续使用。
[0092]具体可以由安全轻代理中的用户配置模块实现上述功能。
[0093]第一类命令中的代理类命令具体可以包括以下至少之一:所述安全轻代理的日志设置、所述安全轻代理的升级设置、和所述用户虚拟机的安全驱动的升级设置。
[0094]其中安全轻代理的日志设置:包括但不限于配置安全轻代理的日志文件大小、保存时间；
[0095]安全轻代理的升级设置:包括但不限于配置安全轻代理的升级周期；
[0096]用户虚拟机的安全驱动的升级设置:包括但不限于配置用户虚拟机的安全驱动的升级周期。
[0097]第一类命令中的驱动类命令具体可以包括以下至少之一:所述用户虚拟机的安全驱动的日志设置、缓存设置、Email防护设置、所述用户虚拟机的安全驱动的自我防护设置、所述安全轻代理的自我防护设置。
[0098]所述用户虚拟机的安全驱动的日志设置:包括但不限于配置用户虚拟机的安全驱动的日志文件大小、或保存时间；
[0099]缓存设置:包括但不限于是否启用扫描结果缓存、缓存大小或缓存文件数量；
[0100]Email防护设置:包括但不限于是否启用Email防护、附件类型、是否启用大量外发行为检测；
[0101]所述用户虚拟机的安全驱动的自我防护设置:包括但不限于禁止修改或停止安全监控功能、对破坏行为记录日志、临时关闭防护后自动重新开启的时间间隔；
[0102]所述安全轻代理的自我防护设置:包括但不限于禁止删除或停止安全轻代理、对破坏行为记录日志、临时停止安全轻代理后自动重新开启的时间间隔。
[0103]第二类命令，通过用户虚拟机的安全驱动和虚拟化安全服务平台发送给安全虚拟机保存和执行，具体可以包括以下至少之一:周期性扫描设置、过滤设置、信任文件设置、处理方式设置、通知设置、主动防御设置、样本设置、所述安全虚拟机的安全应用程序的升级设置、和所述安全虚拟机的安全驱动的升级设置。
[0104]其中周期性扫描设置:包括但不限于系统启动时的周期性扫描配置、特定时间点的周期性扫描配置或扫描类型，扫描类型包括快速扫描、全盘扫描、或指定扫描；
[0105]过滤设置:包括但不限于文件系统防护的文件类型、排除路径、实时扫描选项、是否扫描压缩文件及扫描深度；
[0106]信任文件设置:包括但不限于白名单文件、路径、文件大小排除；
[0107]处理方式设置:包括但不限于发现安全风险后的自动执行操作，比如清除、删除、隔离、日志、是否备份、是否停止相应的进程或服务；
[0108]通知设置:包括但不限于是否发送安全事件通知、或是否发送执行结果通知；
[0109]主动防御设置:包括但不限于是否启用“启发式”主动防御及防御级别；
[0110]样本设置:包括但不限于是否提交样本到安全软件厂商的云安全服务器；
[0111]所述安全虚拟机的安全应用程序的升级设置:包括但不限于配置安全应用程序的升级周期。由于安全应用程序可以理解为由扫描引擎和特征码组成，因此配置安全应用程序的升级周期，也可以理解为配置扫描引擎升级周期或配置特征码升级周期。
[0112]所述安全虚拟机的安全驱动的升级设置:包括但不限于配置所述安全虚拟机的安全驱动的升级周期。
[0113]具体的，在所述用户虚拟机上配置有操作码与执行主体的对应关系，如表I所示，当然表I仅是示例性说明。安全轻代理接收到虚拟机用户的命令后，所述用户虚拟机根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
[0114]表1
[0115]

【权利要求】
1.一种实现虚拟化安全的方法，所述方法应用于包括用户虚拟机和安全虚拟机的系统，其特征在于: 所述用户虚拟机接收来自于虚拟机用户的命令； 所述用户虚拟机根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令； 若得到第一类命令，则所述用户虚拟机执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现； 若得到第二类命令，则所述用户虚拟机将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第二类命令的执行结果向所述虚拟机用户呈现； 若得到第一类命令和第二类命令，则所述用户虚拟机执行所述第一类命令，并将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第一类命令的执行结果和所述第二类命令的执行结果向所述虚拟机用户呈现。
2.根据权利要求1所述的方法，其特征在于，在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前还包括: 所述用户虚拟机根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
3.根据权利要求1或2所述的方法，其特征在于，若所述命令为安全配置命令，还包括: 所述用户虚拟机的安全轻代理根据所述第一类命令对应的执行主体对所述第一类命令进行分类，得到如下至少之一:代理类命令和驱动类命令； 若得到代理类命令，则所述安全轻代理执行所述代理类命令，并将所述代理类命令的执行结果向所述虚拟机用户呈现； 若得到驱动类命令，则所述安全轻代理将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述驱动类命令的执行结果向所述虚拟机用户呈现； 若得到代理类命令和驱动类命令，则所述安全轻代理执行所述代理类命令，并将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述代理类命令的执行结果和所述驱动类命令的执行结果向所述虚拟机用户呈现。
4.根据权利要求3所述的方法，其特征在于， 所述代理类命令包括以下至少之一:所述安全轻代理的日志设置、所述安全轻代理的升级设置、和所述用户虚拟机的安全驱动的升级设置；或 所述驱动类命令包括以下至少之一:所述用户虚拟机的安全驱动的日志设置、缓存设置、Email防护设置、所述用户虚拟机的安全驱动的自我防护设置、所述安全轻代理的自我防护设置；或 所述第二类命令包括以下至少之一:周期性扫描设置、过滤设置、信任文件设置、处理方式设置、通知设置、主动防御设置、样本设置、所述安全虚拟机的安全应用程序的升级设置、和所述安全虚拟机的安全驱动的升级设置。
5.根据权利要求1至4任一所述的方法，其特征在于，若所述命令为安全配置命令，所述安全虚拟机执行所述第二类命令之前还包括: 所述安全虚拟机的用户配置审计模块对所述第二类命令进行审计，确定所述第二类命令满足预先配置的安全策略。
6.根据权利要求1或2所述的方法，其特征在于，当所述命令为安全功能操作时， 所述第一类命令包括以下至少之一:所述用户虚拟机的安全轻代理的升级操作、所述用户虚拟机的安全驱动的升级操作、查看防护状态、查看日志、查看统计、查看报告、和查看被隔离的文件；或 所述第二类命令包括以下至少之一:发起快速扫描、发起全盘扫描、发起自定义扫描、扫描引擎的升级操作、和特征码的升级操作。
7.根据权利要求1-6任一所述的方法，其特征在于，还包括: 将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机之前，所述安全虚拟机的安全功能处理模块确定所述第二类命令的执行结果满足预先配置的通知策略。
8.根据权利要求1-7任一所述的方法，其特征在于，还包括: 所述安全虚拟机的轻代理检验模块将所述用户虚拟机的安全轻代理的完整性度量值和第一正确值进行比对，然后根据预先配置的第一校验策略对所述安全轻代理的比对结果进行处理，所述安全轻代理的完整性度量值是对所述安全轻代理的度量内容进行完整性计算得来的，所述安全轻代理的度量内容包括如下至少之一:所述安全轻代理在内存中的代码、数据、磁盘上的程序文件和配置数据。
9.根据权利要求1-8任一所述的方法，其特征在于，所述安全虚拟机的轻代理检验模块将所述用户虚拟机的安全驱动的完整性度量值和第二正确值进行比对，然后根据预先配置的第二校验策略对所述用户虚拟机的安全驱动的比对结果进行处理，所述安全驱动的完整性度量值是对所述用户虚拟机的安全驱动的度量内容进行完整性计算得来的，所述安全驱动的度量内容包括如下至少之一:所述用户虚拟机的安全驱动在内存中的代码、数据、磁盘上保存的驱动文件和配置数据。
10.一种实现虚拟化安全的系统，所述系统包括用户虚拟机和安全虚拟机，其特征在于: 所述用户虚拟机，用于接收来自于虚拟机用户的命令，根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一:第一类命令和第二类命令； 若得到第一类命令，则所述用户虚拟机，用于执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现； 若得到第二类命令，则所述用户虚拟机，用于将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机，用于执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机，还用于将所述第二类命令的执行结果向所述虚拟机用户呈现； 若得到第一类命令和第二类命令，则所述用户虚拟机，用于执行所述第一类命令，并将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机，用于执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机，还用于将所述第一类命令的执行结果和所述第二类命令的执行结果向所述虚拟机用户呈现。
11.根据权利要求10所述的系统，其特征在于，在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前，所述用户虚拟机还用于根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。
12.根据权利要求10或11所述的系统，其特征在于，所述用户虚拟机包括安全轻代理和安全驱动，若所述命令为安全配置命令: 所述用户虚拟机的安全轻代理，用于根据所述第一类命令对应的执行主体对所述第一类命令进行分类，得到如下至少之一:代理类命令和驱动类命令； 若得到代理类命令，则所述安全轻代理，用于执行所述代理类命令，并将所述代理类命令的执行结果向所述虚拟机用户呈现； 若得到驱动类命令，则所述安全轻代理，用于将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动，用于执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理，还用于将所述驱动类命令的执行结果向所述虚拟机用户呈现； 若得到代理类命令和驱动类命令，则所述安全轻代理，用于执行所述代理类命令，并将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动，用于执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理，还用于将所述代理类命令的执行结果和所述驱动类命令的执行结果向所述虚拟机用户呈现。
13.根据权利要求12所述的系统，其特征在于， 所述代理类命令包括以下至少之一:所述安全轻代理的日志设置、所述安全轻代理的升级设置、和所述用户虚拟机的安全驱动的升级设置；或 所述驱动类命令包括以下至少之一:所述用户虚拟机的安全驱动的日志设置、缓存设置、Email防护设置、所述用户虚拟机的安全驱动的自我防护设置、所述安全轻代理的自我防护设置；或 所述第二类命令包括以下至少之一:周期性扫描设置、过滤设置、信任文件设置、处理方式设置、通知设置、主动防御设置、样本设置、所述安全虚拟机的安全应用程序的升级设置、和所述安全虚拟机的安全驱动的升级设置。
14.根据权利要求10至13任一所述的系统，其特征在于，所述安全虚拟机包括用户配置审计模块，若所述命令为安全配置命令，所述安全虚拟机用于执行所述第二类命令之前，所述用户配置审计模块用于对所述第二类命令进行审计，确定所述第二类命令满足预先配置的安全策略。
15.根据权利要求10或11所述的系统，其特征在于，当所述命令为安全功能操作时， 所述第一类命令包括以下至少之一:所述用户虚拟机的安全轻代理的升级操作、所述用户虚拟机的安全驱动的升级操作、查看防护状态、查看日志、查看统计、查看报告、和查看被隔离的文件；或 所述第二类命令包括以下至少之一:发起快速扫描、发起全盘扫描、发起自定义扫描、扫描引擎的升级操作、和特征码的升级操作。
16.根据权利要求10-15任一所述的系统，其特征在于，所述安全虚拟机包括安全功能处理模块，将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机之前，所述安全功能处理模块用于确定所述第二类命令的执行结果满足预先配置的通知策略。
17.根据权利要求10-16任一所述的系统，其特征在于，所述安全虚拟机包括轻代理检验丰吴块: 所述轻代理检验模块，用于将所述用户虚拟机的安全轻代理的完整性度量值和第一正确值进行比对，然后根据预先配置的第一校验策略对所述安全轻代理的比对结果进行处理，所述安全轻代理的完整性度量值是对所述安全轻代理的度量内容进行完整性计算得来的，所述安全轻代理的度量内容包括如下至少之一:所述安全轻代理在内存中的代码、数据、磁盘上的程序文件和配置数据。
18.根据权利要求10-17任一所述的系统，其特征在于，所述安全虚拟机的轻代理检验模块，用于将所述用户虚拟机的安全驱动的完整性度量值和第二正确值进行比对，然后根据预先配置的第二校验策略对所述用户虚拟机的安全驱动的比对结果进行处理，所述安全驱动的完整性度量值是对所述用户虚拟机的安全驱动的度量内容进行完整性计算得来的，所述安全驱动的度量内容包括如下至少之一:所述用户虚拟机的安全驱动在内存中的代码、数据、磁盘上保存的驱动文件和配置数据。
19.一种实现虚拟化安全的系统，其特征在于，包括: 处理器、存储器和系统总线，所述处理器和所述存储器之间通过所述系统总线连接并完成相互间的通信； 所述存储器，用于存储计算机执行指令； 所述处理器，用于运行所述计算机执行指令，执行如权利要求1-9任一所述的方法。
20.一种计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令用于执行如权利要求1-9任一所述的方法。
【文档编号】G06F21/53GK104169939SQ201380004236
【公开日】2014年11月26日 申请日期:2013年11月12日 优先权日:2013年11月12日
【发明者】施迅, 叶思海 申请人:华为技术有限公司