一种数据处理方法
【技术领域】
[0001]本发明涉及云计算,特别涉及一种数据处理方法。
【背景技术】
[0002]由于云计算的灵活、低成本特点,越来越多的传统服务被部署到云平台。然而,云计算给人们带来便利的同时,也面临着较大的安全挑战,甚至已经影响到云计算的快速发展。一方面在多用户共享计算资源的模式下,用户的资源可能受到来自其他恶意用户的威胁;另一方面用户担心自己的资源遭到云平台内部管理的威胁。现有技术均在认为整个虚拟机监视器为可信的情况下完成,而实际上虚拟机监视器自身也可能成为被攻击的目标。虚拟机监视器同时提供了虚拟机之间的内存共享方法,这可能被恶意虚拟机利用,也可能导致缺少经验的管理者或者用户因为错误配置造成违反安全规则的共享,或恶意获取的用户隐私。
【发明内容】
[0003]为解决上述现有技术所存在的问题,本发明提出了一种数据处理方法,包括:
[0004]在基于云平台的虚拟机系统中建立可信环境虚拟机,将安全管理操作移动到所述可信环境虚拟机,并通过所述可信环境虚拟机对恶意软件进行监测。
[0005]优选地,所述将安全管理操作移动到所述可信环境虚拟机,进一步包括:
[0006]通过修改虚拟机监视器源码添加可信环境虚拟机,并配置虚拟机监视器中安全规则的权限,同时禁止其他域的虚拟机修改虚拟机监视器中的安全规则,利用对内存、文件系统的隔离来限制其他虚拟机对可信环境虚拟机的访问;通过为虚拟机提供虚拟可信平台模块作为可信环境虚拟机的可信根,将信任链从底层物理可信平台模块传递到可信环境虚拟机内部,从而对可信环境虚拟机内部进行完整性度量;利用部署后提供的信任度证明结果,使平台提供者和用户将该证明结果作为相互信任的依据;
[0007]所述通过所述可信环境虚拟机对恶意软件进行监测,进一步包括:可信环境虚拟机的监测模块基于交叉视图对比的恶意软件监测和处理,所述可信环境虚拟机的监测模块包括控制单元、监测单元和恶意软件处理单元;所述控制单元位于可信环境虚拟机的应用层,利用虚拟机监视器提供的函数库与虚拟机监视器以及用户域进行交互,显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件,所述安全链表用于存储用户虚拟机的模块信息,位于虚拟机监视器层的安全链表具有更高的可信度,防止用户虚拟机层的模块视图信息被破坏;所述监测单元部署于虚拟机监视器层中,包括隐藏代码监测和隐私信息监测;隐藏代码监测包括监测虚拟机中存在的隐藏代码;隐私信息监测用于监测恶意软件对系统内核隐私信息的篡改,并在监测到被攻击时进行恢复,所述恶意软件处理单元部署于用户域的内核空间,与控制单元进行交互,接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。
[0008]优选地,所述方法还包括:
[0009]将控制管理域的权限的功能放到虚拟机监视器中实现;利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
[0010]对不同用户分组对应的虚拟机和资源进行标记,使每个用户自己对应的虚拟机和资源具有唯一的ID和相同的类型,这些标记由虚拟机监视器统一管理,安全控制模块使用这些标记与访问规则库进行匹配,如果主体和客体具有相同的类型,且满足访问规则,则允许通信或者共享资源;
[0011]在用户域内部,利用内存地址空间切换和CPU的禁止执行标志位,当模块执行时保护客户机内核堆栈,使扩展的内核模块在其自己的地址空间执行,而地址空间的切换操作则受到虚拟机监视器的监控,在虚拟机监视器层检查是否虚拟机中有破坏内核完整性的操作,并隔离不可信模块的执行环境;通过访问列表实现用户定制的安全规则,指定用户的哪些数据不能被其他虚拟机甚至管理域访问。
[0012]本发明相比现有技术,具有以下优点:
[0013]本发明提出了一种数据处理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
【附图说明】
[0014]图1是根据本发明实施例的数据处理方法的流程图。
【具体实施方式】
[0015]下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
[0016]本发明的一方面提供了一种数据处理方法。图1是根据本发明实施例的数据处理方法流程图。
[0017]本发明基于云平台的虚拟机系统提供基于用户分组的隔离和可信环境虚拟机,以便进行云平台的管理和恶意软件监测,对云平台中的物理主机实施基于规则库的访问,防止恶意管理者从管理域威胁用户虚拟机的隐私数据,防止病毒和恶意代码从一个用户扩散到其他用户,缓解用户隐私与平台提供者之间的安全规则冲突。
[0018]I)为了减轻用户对虚拟机隐私信息遭泄露,本发明首先消除现有平台管理者的权限,阻止管理者通过技术手段访问用户虚拟机的内部数据,限制其对用户虚拟机的操作。通过基于规则库的访问规则对原来的管理模式进行分解,提供3个新的管理接口:系统管理、
安全管理和日志管理。
[0019]2)通过对用户添加访问规则库,实现基于用户角色分组的逻辑隔离,防止病毒和恶意代码扩散到其他用户。
[0020]3)本发明创建一个特殊的可信环境虚拟机,将授权、访问规则配置、信任度证明和监控等功能从管理域移动到可信环境虚拟机。避免管理域对安全功能的干扰。
[0021]限制管理者的特权操作是本发明的虚拟机系统的关键点之一。另外,还需要在管理域创建多个管理角色,从而实现对云平台中的权限分离管理模式,为管理平台提供安全增强的管理接口。本发明通过在管理域增加系统、安全和日志管理接口,实现对管理域管理权限的分离。其中,系统管理主要被设计用于管理虚拟资源,完成创建、分配虚拟机资源等操作;安全管理用于完成授权和虚拟机安全访问规则配置,由原来的管理域移动到专用的可信环境虚拟机中;日志管理从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,不仅提供类似的查询接口还能防止日志被篡改。
[0022]多用户模式下,需要根据不同用户的应用场景,提供满足不同安全规则、逻辑隔离、运行监督的安全服务。为了简化安全管理,本发明基于用户域构建逻辑隔离方法,安全管理者不再监控单个的虚拟机和虚拟资源,而是基于用户角色管理整个用户域的作业。本发明的隔离规则基于每个用户,通过使用唯一的用户域安全标签,可以标记所有用户的虚拟机和用户域相关的资源。仲裁监视器的主要作用是仲裁,根据访问规则库的用户隔离规贝1J,监控虚拟机之间的资源共享和虚拟机之间的通信,从而实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。
[0023]在本发明架构中,虚拟机中的监控代理不获取用户的隐私数据,且满足访问规则库的安全规则,在创建虚拟机时经用户和提供者双方同意后安装在虚拟机的驱动中。代理的主要作用是监控虚拟机中的模块加载并获取内部视图,通过多视图对比的方法监视虚拟机内部是否有存在恶意软件。需要修复时,管理者可以在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作发生。基于虚拟机监视器对上层虚拟机的操作拦截,可信环境虚拟机中可以部署其他诸如虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则。
[0024]本发明将控制管理域的权限的功能放到虚拟机监视器中实现。本发明利用了虚拟机监视器中提供的安全控制模块。该模块提供通用的访问机制和灵活的安全hook函数接口,在虚拟机监视器启动后运行。在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射等相关操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作。对于关键安全控制模块和虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量。
[0025]在本发明的权限控制规则中,管理域中的管理者被禁止对用户域发起安全相关操作,并且不允许任何管理者拥有创建管理账户的权限。如果是其他管理用户,则按照角色控制和访问列表规则对管理用户实施强制访问。系统管理利用原有的系统管理软件完成用户域的资源分配相关操作,但不能查看已分配给用户域的内存页信息。安全管理提供云用户授权其他用户访问自己共享内存的权限,并且可通过位于可信环境虚拟机的工具配置规则库中的访问规则。日志管理通过修改虚拟机监视器中的事件hook,添加日志和查询接口来实现,并且访问权限受到规