[发明专利]一种虚拟化环境中服务调用监控方法和系统

说明书

本发明公开了一种虚拟化环境中服务调用监控方法和系统。本方法为：1)云端根据租户设置的被授权访问服务程序及相关源文件生成被监控客户虚拟机中的关键代码段的哈希库；2)该被监控客户虚拟机启动后，服务调用监控器对该被监控客户虚拟机加载的内存页权限位进行设置，使内存页上的代码在执行前，对内存中关键代码段的完整性进行校验；3)服务调用监控器检测到服务调用发生时，根据该服务调用的特征获取调用进程的页目录地址，当该调用进程的页目录地址在白名单进程链表中时，允许执行该服务调用；当检测到服务调用的返回结果事件发生时，根据返回结果事件的特征获取调用进程的信息，当调用进程在白名单进程链表中时，允许该返回结果通过。

技术领域

本发明属于计算机安全技术领域，特别涉及一种在虚拟化环境提供服务调用监控的方法和系统。

背景技术

基于虚拟化技术的云计算应用发展迅速，随着云计算应用的推广，所有的服务都在从本地迁移到云端。根据RightScale公司报告，受访的IT从业者中95％表示其所在公司正在使用云计算服务。同时为了吸引更多的租户，云服务商提供了很多附加服务，以便租户可以将精力放在自己的核心业务上。但是目前云服务商提供的附加服务的调用安全依赖的是用户的ID和口令，一旦用户的ID和口令泄露，那么租户订购的附加服务可能被敌手恶意调用以达到其恶意目的。例如，目前云服务商都开始在云端部署密钥管理服务和加密服务。密钥管理服务将用户的密钥同客户虚拟机进行了隔离，即使在客户虚拟机被敌手攻破的情况下，敌手也无法获取用户的密钥。但是目前对于密码运算服务的调用安全依赖于用户的ID和口令，一旦敌手获取了用户的ID和口令就可以在客户虚拟机中恶意的调用密码运算服务，以达到敌手的恶意目的。通常为了保证服务自动化的服务，还需要将用户的ID和口令写在客户虚拟机的配置文件中，这样大大增加了安全威胁，一旦客户虚拟机被敌手攻破，即使密钥是安全的，密码运算服务也不再安全。

虚拟机监控器是虚拟化平台的重要组件，负责分配管理宿主机的资源，以使在其上运行的客户虚拟机可以分享宿主机上的物理资源。一般情况下，客户虚拟机使用的硬件设备由虚拟机监控器负责模拟，并且虚拟机监控器处理所有的客户虚拟机退出事件。

虚拟机自省技术(VMI)，是一种在虚拟机外部监视虚拟机运行状态的技术。该技术的监视功能是由观察内存细节，陷入硬件事件和读取CPU寄存器来完成的。大部分的VMI的实现需要提前了解客户虚拟机的操作系统知识，并利用操作系统知识和客户虚拟机的内存信息，对客户虚拟机的状态进行解析。然而当前的VMI工具在对客户虚拟机进行自省时，需要将客户虚拟机暂停，这样引入了较大的性能开销，并且VMI工具依赖客户虚拟机操作系统的知识解析出语义上可读的信息，一旦客户虚拟机的操作系统被破坏，那么解析出来的信息将不再可信。目前基于虚拟机自省技术的检测方案，为了减轻由于虚拟机自省造成的性能损失，需要客户虚拟机的辅助模块去触发安全检测。然而一旦客户虚拟机被敌手攻破，安装在客户虚拟机中的辅助模块也不再可信。

AMD和Intel推出的CPU芯片大部分支持嵌套页表技术，通过嵌套页表技术大大提高了客户虚拟机的虚拟地址转化为宿主机物理地址的速度。在提高性能的同时，嵌套页表上都带有权限位标志，一般权限位有三种：可读，可写和可执行。一旦有违反权限的行为发生就会触发异常，造成客户虚拟机退出，并且由虚拟机监控器处理虚拟机退出事件。其中若某个内存页的权限被设置为不可知性，当该内存页上的代码要执行时，会触发取指错误。利用嵌套页表进行地址转换及其权限位设置的示意图如图5所示。

发明内容

本发明针对上述的服务调用安全仅仅依靠用户ID和口令的安全问题，提出一种在虚拟化环境提供服务调用监控的方法和系统。该方案设计一个服务调用监控器，用于实时检测客户虚拟机中发生的服务调用发生事件，并对客户虚拟机中的关键代码完整性进行实时的检测，只允许完整性良好的、被授权的程序调用服务，同时提供审计功能。该服务调用监控系统作为一个虚拟机监控器的组件实现，服务调用监控系统的架构如图1所示。

具体来说，本发明采用的技术方案如下：