[发明专利]一种适用于RDMA网络的虚拟化安全网关系统

权利要求书

1.一种适用于RDMA网络的虚拟化安全网关系统，其特征在于，包括：

虚拟化后端，用于通过调用全局符号函数向内核安全模块提供虚拟机对RDMA网络的使用情况，并负责具体的安全机制的保障，内核安全模块与用户层安全进程协同完成安全策略的制定；

内核安全模块，用于负责收集历史数据，并对历史数据进行归纳到一个滑动窗口上，在预设的时刻将历史数据通过netlink发送给用户层安全进程对历史数据进行分析预测，以预测判断是否存在安全威胁；并在收到预测数据后，制定安全策略并通过内核通知链通知虚拟化后端采取措施保障安全机制。

2.根据权利要求1所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，在用户态的一个守护进程上对虚拟机使用RDMA时产生的历史数据的滑动窗口数据进行分析与预测。

3.根据权利要求2所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，使用套接字netlink用于内核态与用户态进程之间的通信。

4.根据权利要求3所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，用户层安全进程在发送完预测数据后马上进入睡眠状态，等待下一次被内核安全模块的通知唤醒，预测数据会被放置在内核安全模块的接收队列中等待接收处理；

在用户安全进程第一次启动并初始化时，会通过netlink向内核安全模块发送自己的进程号作为标识，当内核安全模块需要将数据发送给用户安全进程时，通过单播的形式发送到指定进程号的进程上，从而通知该进程有新的请求过来，随后该进程会创建一个新的线程去处理数据并做出预测，用户安全进程在完成数据预测等工作后，会把数据通过netlink发送给进程号为0的内核安全模块。

5.根据权利要求1所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，虚拟机中的应用程序发出的RDMA调用将被位于虚拟机中的虚拟化前端捕获，并通过输入输出半虚拟化中的通信技术与位于宿主机中的虚拟化后端通信，接下来虚拟化后端会对应用程序的调用进行处理，并调用网卡驱动程序中的相关命令来向物理网卡发出实际的请求。

6.根据权利要求5所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，针对其中的连接或者要使用网卡资源的命令，在虚拟化后端向物理网卡发出请求之前，会被转发到内核安全模块上，以供内核安全模块收集每个虚拟机的网络请求数据；同时在虚拟化后端上利用系统内核中的整数管理机制来标识每个虚拟机；

虚拟化后端在初始化时会注册与安全策略相对应的回调函数，并将其注册到内核安全模块建立的一个内核通知链上，当内核安全模块发出安全决策的事件时，会调用到该回调函数。

7.根据权利要求1所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，内核安全模块负责接收来自虚拟化后端的数据，并对收集到的数据进行定期的归纳整理到一个滑动窗口中，在预设的时刻向用户层安全进程发出数据预测的请求，并在接收到数据后根据历史数据以及全局的状态进行安全决策，将决策发送给虚拟化后端；

内核安全模块将内核安全中收集数据相关的函数设置为全局函数，并将其导出为符号，虚拟化后端可以直接调用函数来传送数据。

8.根据权利要求7所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，在内核安全模块中设置有一个内核级的历史数据收集线程，历史数据收集线程周期性地收集每个虚拟机对资源的占用情况。

9.根据权利要求1所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，在虚拟化后端上注册一个回调函数来响应做出决策的事件，并将回调函数注册到对应的通知链中；

内核安全模块在初始化的时候会定义一个通知链，其中保存了虚拟化后端对事件的处理函数，当内核安全模块制定好安全决策后，产生一个决策事件，发出通知。

10.根据权利要求1所述的适用于RDMA网络的虚拟化安全网关系统，其特征在于，在内核安全模块与用户层安全进程之间传输数据时，通过两者共享内存实现，同时内核利用netlink向用户层的安全进程发出一个通知，来通知用户层安全进程接收数据并处理。