[发明专利]一种虚拟机安全管理系统

说明书

本发明涉及一种虚拟机安全管理系统，其包括统筹协调单元、请求过滤单元、调度单元、敏感信息存储单元和策略判定单元，可实现为虚拟机VM分配相应的虚拟TPCM，从而实现VM的主动安全度量，并且可保证VM与相应虚拟TPCM的同步，从而实现当VM迁移之后安全度量服务自动延续，通过策略判定单元将该系统下的所有操作转换为属性集，并利用所述策略判定单元对所述属性集进行安全评估，从而极大的提升了虚拟机环境下VM的安全性。

技术领域

本发明涉及虚拟机安全领域，具体涉及一种虚拟机安全管理系统。

背景技术

随着云计算技术的规模越来越大，发展也日益成熟，给企业以及用户带来了降低成本、提高效率等诸多优势，与此同时云计算所带来的各种各样的安全问题也备受人们的关注。虚拟化技术作为云计算环境中的核心技术，能够给云用户提供隔离的系统环境，使用户能够像在真实计算机一样使用计算服务，而虚拟化所存在的安全问题对于云计算环境带来了重大的安全挑战。如宿主机利用虚拟机管理器控制虚拟机，云租户数据隐私保护，虚拟机之间非授权行为等。可信计算技术作为一种重要的信息安全技术，对于云环境下的虚拟化安全提供了一些解决思路。

可信计算技术发展已经进入3.0时代，可信计算技术已经从被动防御技术转变成主动免疫，相比被动防御的可信计算技术，可信3.0形成的双系统体系结构能够利用TPCM(Trusted Platform Control Module)对系统进行主动度量和主动监控，避免了被动防御的TPM(Trusted Platform Module)可信机制被系统旁路。主动监控可以通过在各类控制器中部署的访问控制策略而进行，而对访问控制策略进行的任何修改则需通过可信度量机制确认其可信性后，才可以部署到控制器中。这样，即使是CPU或者操作系统存在后门，攻击者也难以利用这些漏洞来篡改访问控制策略，从由被动防御转变为主动免疫，增强了系统的安全性。利用我国自主可控主动免疫的可信计算机制，为每个虚拟机提供一个虚拟TPCM，从而让云平台上的虚拟机也同样拥有了主动免疫的可信机制，进一步增强云环境下虚拟机的安全可信，从而有效解决云环境下的虚拟化安全问题。然而现有技术中针对虚拟机VM的安全度量和管理方案并不完善。

发明内容

本发明提出了一种虚拟机安全管理系统，可实现为每个虚拟机VM提供安全可靠的主动安全度量服务。

本发明提出的一种虚拟机安全管理系统，其特征在于，包括：

统筹协调单元，所述统筹协调单元用于对其余模块进行统筹协调；

请求过滤单元，所述请求过滤单元用于对用户关于申请VM的请求进行拦截，并将所述申请VM的请求转发给所述调度单元；

调度单元，所述调度单元用于为所述用户申请的VM分配虚拟TPCM；

敏感信息存储单元，所述敏感信息存储单元用于保存与VM的创建、启动、中断、恢复以及销毁过程相关的敏感信息。

优选的，所述系统还包括：

策略判定单元，所述策略判定单元用于与所述统筹协调单元、请求过滤单元、调度单元和敏感信息存储单元分别相连，对上述单元的各操作步骤进行监控，并将监控得到的操作状态信息转换为属性集合，用以评估操作步骤执行的可信性。

优选的，所述统筹协调单元还包括：

实时获取当前处于工作状态的各VM的工作状态信息、以及与所述各VM对应的各虚拟TPCM状态信息；

在获取上述状态信息之后，检测各VM和与其对应的虚拟TPCM的状态信息是否同步，若不同步，则进行报警并实施相应的安全对策。

优选的，所述请求过滤单元还包括：

通过加密算法保证信号通道的安全。

优选的，所述调度单元还包括：