一种虚拟机系统的访问控制方法和系统的制作方法

文档序号:7622424阅读:126来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种虚拟机系统的访问控制方法和系统的制作方法
技术领域
本发明涉及资源访问技术,尤其涉及一种基于云计算的虚拟机系统访问控制方法和系统。
背景技术
云计算带给商业领域一个信息技术(IT, Information Technology)服务提供及消费的新时代。云计算强化了协作性、敏捷性、扩展性、可用性,以及通过优化的、更有效率的计算来降低成本的特点。更具体的说,云描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。云计算中组成组件可以迅速置备、部署和退役,并且可以迅速扩充或缩减,提供按需的、与效用计算类似的分配和消费模式。美国国家标准技术研究院(NIST,National Institute of Standards andTechnology)给云计算定义了五个关键特征,即按需自服务、宽带接入、虚拟化的资源“池”、快速弹性架构、可测量的服务等。多租户作为云计算的本质特征,也是云计算的重要因素。云计算系统之所以能够自动控制优化某种服务的资源使用,是因为利用了经过某种程度抽象的测量能力。在云计算中,虚拟化技术是将资源抽象的重要选择技术之一。在虚拟机化技术中,根据待虚拟的实体不同,可以分为不同类型的虚拟化。其中,系统虚拟化技术是被广泛认识的一种虚拟化技术。系统虚拟化的核心思想是虚拟化软件在一台物理机上虚拟出一台或多台虚拟机。虚拟机运行在一个隔离环境中,是具有完整硬件功能的逻辑计算机系统,其包括客户操作系统和其中的应用程序。在虚拟机系统中,多个操作系统可以互不影响地在同一台物理机上同时运行,复用物理资源。在X86服务器(采用复杂指令架构计算机(CISC, Complex InstructionSetComputer)架构处理器的服务器)中,使用虚拟机技术可以提高服务器的利用率。虚拟机系统已经得到大规模的商用。尽管虚拟化技术得到迅猛发展,但是虚拟机系统的安全技术却严重滞后。在虚拟机上运行各种服务并保障系统安全,要比在单一计算机上复杂的多。虚拟机系统的安全威胁很多,例如虚拟机之间的攻击、资源占用冲突以及逃逸威胁等。因此,在使用虚拟机带来应用和管理便利的同时,应该更加重视解决虚拟安全问题,研究虚拟机安全机制。目前,虚拟安全问题尚在讨论阶段,如何实施以及实施什么样的虚拟机安全机制尚不能确定。

发明内容
有鉴于此,本发明的主要目的在于提供一种虚拟机系统的访问控制方法和系统,能实现对虚拟机系统的安全管理,也不会增加虚拟机监控器的处理负担。为达到上述目的,本发明的技术方案是这样实现的一种虚拟机系统的访问控制系统,其特征在于,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;所述装置还包括访问控制模块和访问控制代理模块,其中,所述访问控制模块,设置在管理虚拟机中,用于对客户虚拟机进行访问控制;所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机的访问请求,并将所述访问请求转发至所述访问控制模块。优选地,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息。优选地,所述访问请求包括资源访问请求、访问其他客户虚拟机请求。优选地,所述客户虚拟机访问请求为资源访问请求时,所述访问控制模块进一步用于对所述客户虚拟机进行认证、授权,并在所述客户虚拟机认证通过后,从所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,发送给所述虚拟机监控器。 优选地,所述虚拟机监控器进一步用于,根据所接收到的资源访问权限为所述客户虚拟机管理及分配资源。优选地,所述客户虚拟机访问请求为访问其他客户虚拟机请求时,所述访问控制模块进一步用于对所述客户虚拟机进行认证、授权;并在认证通过后,从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器;所述虚拟机监控器进一步用于,按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。一种虚拟机系统的访问控制方法,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;管理虚拟机中设置有访问控制模块;虚拟机监控器中设置访问控制代理模块;所述方法还包括所述客户虚拟机发送访问请求至虚拟机监控器;所述访问控制代理模块获取客户虚拟机的访问请求,并将所述访问请求转发到访问控制I吴块;所述访问控制模块接收到所述客户管理虚拟机的访问请求后,对客户虚拟机进行访问控制,并将访问控制结果发送至虚拟机监控器内核。优选地,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息;所述访问请求包括资源访问请求、访问其他客户虚拟机请求。优选地,所述对客户虚拟机进行访问控制,为所述访问请求为资源访问请求时,所述访问控制模块对客户虚拟机进行认证、授权;认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,并发送给所述虚拟机监控器内核;所述方法还包括所述虚拟机监控器内核按所接收到的资源访问权限为所述客户虚拟机管理及分配资源。优选地,所述对客户虚拟机进行访问控制,为
所述访问请求为访问其他客户虚拟机请求时,所述访问控制模块对客户虚拟机进行进行认证、授权;认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器内核;所述方法还包括所述虚拟机监控器内核按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。本发明通过将虚拟机划分为管理虚拟机及客户虚拟机,并在虚拟机监控器中设置访问控制代理模块,这样,虚拟机监控器接收到客户虚拟机的资源访问请求或访问其他客户虚拟机请求后,将资源访问请求转发至管理虚拟机,由管理虚拟机对客户虚拟机进行认证、授权等操作,并在认证通过后允许对其他客户机进行访问,或从根据安全策略信息等为 客户虚拟机确定对应的资源访问权限,并发送给虚拟机监控器,由虚拟机监控器对客户虚拟机执行相应的资源访问管理等。本发明的技术方案既不增加虚拟机监控器的规模,不降低虚拟机监控器的安全性,又能实现对虚拟机进行访问控制,有效地控制虚拟机对物理资源的访问,防止虚拟机系统中的虚拟机之间攻击、虚拟机之间的通信、拒绝服务等安全威胁。


图I为本发明虚拟机系统的组成结构示意图;图2为本发明虚拟机方法的流程图;图3为本发明管理虚拟机的组成结构示意图。
具体实施例方式本发明的基本思想为,通过将虚拟机划分为管理虚拟机及客户虚拟机,并在虚拟机监控器中设置访问控制代理模块,这样,虚拟机监控器接收到客户虚拟机的资源访问请求或访问其他客户虚拟机请求后,将资源访问请求转发至管理虚拟机,由管理虚拟机对客户虚拟机进行认证授权等操作,并在认证通过后允许对其他客户机进行访问,或从根据安全策略信息等为客户虚拟机确定对应的资源访问权限,并发送给虚拟机监控器,由虚拟机监控器对客户虚拟机执行相应的资源访问管理等。在虚拟机系统中,虚拟机监控器负责物理资源的管理。虚拟机需要通过虚拟机监控器才能访问物理资源。虚拟机监控器根据虚拟机提供物理资源访问请求,调用相应的物理资源,分配给虚拟机使用。虚拟机监控器在虚拟机系统中具有重要作用。通过虚拟机监控器可以实现对虚拟机访问物理资源的访问控制,有效地防止虚拟机系统中出现的安全问题,例如虚拟机之间攻击、通信、资源占用等问题。然而,随着虚拟机功能的增多,虚拟机监控器的代码规模越来越大,虚拟机监控器的安全问题越来越多。由于虚拟机监控器在虚拟机系统的重要地位,其安全问题给虚拟机系统带来很大的安全隐患。
因此,为了既能减少虚拟机监控器的安全问题,又能保证虚拟机系统的安全,在考虑给虚拟机系统增加安全机制时,应该考虑采用能减少对虚拟机监控器安全威胁的方法。以下,通过对本发明技术方案进一步地阐述,详细说明本发明是如何克服上述问题的。图I为本发明虚拟机系统的组成结构示意图,如图I所示,包括两个以上的虚拟机和虚拟机监控器;在所述两个以上的虚拟机中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;管理虚拟机中包括访问控制模块和数据库;所述虚拟机监控器中设置有访问控制代理模块和内核;其中,访问控制模块对所述客户虚拟机进行认证、授权等认证操作;数据库,用于存储客户虚拟机标识信息、安全策略信息。本发明中,认证主要是对客户虚拟机的身份进行认证,采用现有的认证方式即可,由于认证方式并非实现本发明的重点,也是容易实现的,这里不再赘述其实现细节。客户虚拟机进一步用于将资源访问请求发送至访问控制代理模块,或者,将资源访问请求发送至虚拟机监控器(客户虚拟机不必关心是否存在访问控制代理模块),由问控制代理模块获取该资源访问请求;访问控制代理模块将资源访问请求转发至访问控制模块;访问控制模块对客户虚拟机进行认证、授权,并在客户虚拟机认证通过后,从数据库的·安全策略信息中获取所述客户虚拟机对应的资源访问权限,并发送给所述虚拟机监控器内核,虚拟机监控器内核按所接收到的资源访问权限为所述客户虚拟机管理及分配资源。本发明中,安全策略信息中存储有客户虚拟机的签约信息,即存储有针对客户虚拟机的资源访问签约权限,如带宽分配,访问的具体资源类型等信息,该安全策略信息具体由客户虚拟机与运营商的具体签约信息确定。本发明中,客户虚拟机也可以将对其他客户虚拟机的访问请求发送至访问控制代理模块,或者,将对其他客户虚拟机的访问请求发送至虚拟机监控器,由访问控制代理模块获取该对其他客户虚拟机的访问请求。访问控制代理模块将该对其他客户虚拟机的访问请求转发至访问控制模块,访问控制模块对客户虚拟机进行认证、授权,并在客户虚拟机认证通过后,根据安全策略信息中获取所述客户虚拟机对其他客户机的访问权限,并发送给所述虚拟机监控器内核虚拟机监控器允许或不允许所述客户虚拟机对其他客户虚拟机的访问。以下进一步详细介绍本发明虚拟机系统。本发明虚拟机系统通过管理虚拟机控制客户虚拟机对物理资源的访问,以及客户虚拟机之间的通信。在虚拟机系统中启动一个管理虚拟机。管理虚拟机负责对客户虚拟机访问物理资源进行访问控制。在管理虚拟机中,设置有访问控制模块和数据库模块。访问控制模块负责完成对客户虚拟机请求进行认证、授权等工作。数据库记录客户虚拟机ID、安全策略等信息。客户虚拟机只有通过管理虚拟机的认证,授权等访问控制之后,才能访问物理资源。在虚拟机监控器中部署访问控制代理(称为访问控制代理模块)。访问控制代理由于仅作代理使用,因此不涉及到具体的应用处理,因此具有负担较轻的特点,通过设置访问控制代理模块,使虚拟机监控器的处理负担进一步减轻,并且,访问控制代理模块在虚拟机监控器中的部署不会影响虚拟机监控器安全性。访问控制代理捕获客户虚拟机对物理资源的访问请求,并将访问请求转发到管理虚拟机。管理虚拟机的访问控制模块对客户虚拟机进行认证、授权,并在客户虚拟机认证通过后,从数据库的安全策略信息中获取所述客户虚拟机对应的资源访问权限,并发送给所述虚拟机监控器内核,虚拟机监控器内核按所接收到的资源访问权限为所述客户虚拟机管理及分配资源。本发明中,所谓的物理资源包括磁盘、优盘、内存、网卡、CPU等。图2为本发明虚拟机方法的流程图,如图2所示,图中,各步骤的标号与图I中所示的标号对应,表征各单元或单元与网元及网元之间的交互;本发明虚拟机方法具体包括以下步骤步骤1,客户虚拟机向虚拟机监控器发送资源访问请求(物理资源访问请求);步骤2,虚拟机监控器中的访问控制代理模块捕获资源访问请求,并将资源访问请求转发至管理虚拟机;
步骤3,管理虚拟机中的访问控制模块对客户虚拟机认证,及根据客户虚拟机标识信息(由资源访问请求携带)对客户虚拟机身份进行认证,并在认证通过后从数据库的安全策略信息中获取客户虚拟机对应的资源访问权限,并发送给虚拟机监控器内核;步骤4,虚拟机监控器内核获取客户虚拟机资源访问权限信息后,管理和分配物理资源;这里,虚拟机监控器内核主要根据客户虚拟机资源访问权限信息进行资源分配等,即为不同的客户虚拟机分配与其签约权限对应的物理资源,实现对该客户虚拟机的资源管理。步骤5,虚拟机监控器获取客户虚拟机可以访问的资源信息;步骤6,虚拟机监控器内核将物理资源信息发送客户虚拟机; 步骤7,客户虚拟机访问相应物理资源。本发明提出的虚拟机访问控制机制,既不增加虚拟机监控器的代码规模,也不会降低虚拟机监控器的安全性,又能实现对客户虚拟机访问物理资源进行访问控制,有效地防止了虚拟机系统中的虚拟机之间攻击、虚拟机之间的通信、拒绝服务等安全威胁。图3为本发明管理虚拟机的组成结构示意图,如图3所示,本发明管理虚拟机包括访问控制模块和数据库;其中,访问控制模块,用于对客户虚拟机进行认证、授权;数据库,用于存储客户虚拟机标识信息、安全策略信息。所述访问控制模块进一步用于,在接收到虚拟机监控器转发的客户虚拟机的资源访问请求后,对所述客户虚拟机进行认证、授权,并在所述客户虚拟机认证通过后,从所述数据库的所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,发送给所述虚拟机监控器,由所述虚拟机监控器按所接收到的资源访问权限为所述客户虚拟机管理及分配资源本发明还记载了一种虚拟机监控器,包括有内核,所述虚拟机监控器还包括访问控制代理模块,用于接收客户虚拟机的资源访问请求,并转发至管理虚拟机。前述虚拟机监控器及图3所示的管理虚拟机应用于图I所示的虚拟机系统中。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种虚拟机系统的访问控制系统,其特征在于,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;所述装置还包括访问控制模块和访问控制代理模块,其中, 所述访问控制模块,设置在管理虚拟机中,用于对客户虚拟机进行访问控制; 所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机的访问请求,并将所述访问请求转发至所述访问控制模块。
2.根据权利要求I所述的系统,其特征在于,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息。
3.根据权利要求I或2所述的系统,其特征在于,所述访问请求包括资源访问请求、访问其他客户虚拟机请求。
4.根据权利要求3所述的系统,其特征在于,所述客户虚拟机访问请求为资源访问请求时,所述访问控制模块进ー步用于对所述客户虚拟机进行认证、授权,并在所述客户虚拟机认证通过后,从所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,发送给所述虚拟机监控器。
5.根据权利要求4所述的系统,其特征在于,所述虚拟机监控器进ー步用于,根据所接收到的资源访问权限为所述客户虚拟机管理及分配资源。
6.根据权利要求3所述的系统,其特征在于,所述客户虚拟机访问请求为访问其他客户虚拟机请求时,所述访问控制模块进ー步用于对所述客户虚拟机进行认证、授权;并在认证通过后,从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器; 所述虚拟机监控器进ー步用于,按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。
7.一种虚拟机系统的访问控制方法,其特征在于,在虚拟机系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;管理虚拟机中设置有访问控制模块;虚拟机监控器中设置访问控制代理模块;所述方法还包括 所述客户虚拟机发送访问请求至虚拟机监控器; 所述访问控制代理模块获取客户虚拟机的访问请求,并将所述访问请求转发到访问控制丰旲块; 所述访问控制模块接收到所述客户管理虚拟机的访问请求后,对客户虚拟机进行访问控制,并将访问控制结果发送至虚拟机监控器内核。
8.根据权利要求7所述的方法,其特征在干,所述管理虚拟机的数据库中存储有客户虚拟机信息;其中,所述客户虚拟机信息包括客户虚拟机标识、安全策略信息; 所述访问请求包括资源访问请求、访问其他客户虚拟机请求。
9.根据权利要求8所述的方法,其特征在于,所述对客户虚拟机进行访问控制,为 所述访问请求为资源访问请求时,所述访问控制模块对客户虚拟机进行认证、授权; 认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对应的资源访问权限,并发送给所述虚拟机监控器内核; 所述方法还包括 所述虚拟机监控器内核按所接收到的资源访问权限为所述客户虚拟机管理及分配资源。
10.根据权利要求8所述的方法,其特征在于,所述对客户虚拟机进行访问控制,为 所述访问请求为访问其他客户虚拟机请求时,所述访问控制模块对客户虚拟机进行进行认证、授权; 认证通过后,所述访问控制模块从所述所述管理虚拟机的数据库的所述安全策略信息中获取所述客户虚拟机对其他客户虚拟机的访问权限,并发送给所述虚拟机监控器内核;所述方法还包括 所述虚拟机监控器内核按所接收到的访问权限允许或不允许所述客户虚拟机对其他客户虚拟机的访问。
全文摘要
本发明公开了一种虚拟机系统的访问控制方法,在系统中设置一个虚拟机作为管理虚拟机,其余虚拟机作为客户虚拟机;其中,所述访问控制模块,设置在管理虚拟机中,用于根据客户虚拟机信息对客户虚拟机进行访问控制;所述访问控制代理模块,设置在虚拟机监控器中,用于接收客户虚拟机访问请求信息,并将访问请求信息转发到访问控制模块;本发明的技术方案既不增加虚拟机监控器的规模,不降低虚拟机监控器的安全性,又能实现对虚拟机进行访问控制,有效地控制虚拟机对物理资源的访问,防止虚拟机系统中的虚拟机之间攻击、虚拟机之间的通信、拒绝服务等安全威胁。
文档编号H04L29/06GK102707985SQ20111007553
公开日2012年10月3日 申请日期2011年3月28日 优先权日2011年3月28日
发明者林兆骥, 王治平, 陈小华 申请人:中兴通讯股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈小华;林兆骥;王治平
  • 技术所有人:中兴通讯股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
信息系统访问控制机制相关技术
访问控制系统相关技术
信息系统访问控制策略相关技术
令牌环访问控制方法相关技术
访问控制方法相关技术
自主型访问控制方法相关技术
虚拟机专用win7系统相关技术
虚拟机专用xp系统相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2