[发明专利]一种适用于RDMA网络的虚拟化安全网关系统

说明书

本发明涉及网络领域，具体涉及一种适用于RDMA网络的虚拟化安全网关系统，包括：虚拟化后端，用于通过调用全局符号函数向内核安全模块提供虚拟机对RDMA网络的使用情况，并负责具体的安全机制的保障，内核安全模块与用户层安全进程协同完成安全策略的制定；内核安全模块，用于负责收集历史数据，并对历史数据进行归纳，在预设的时刻将历史数据通过netlink发送给用户层安全进程对历史数据进行分析预测，以预测判断是否存在安全威胁；并在收到预测数据后，制定安全策略并通过内核通知链通知虚拟化后端采取措施保障安全机制。以至少解决现有虚拟化技术安全性能低的技术问题。

技术领域

本发明涉及网络领域，具体而言，涉及一种适用于RDMA网络的虚拟化安全网关系统。

背景技术

不同于传统的TCP/IP网络，远程直接内存访问(Remote Direct Memory Access，RDMA)将数据包的处理从内核网络协议栈下放到了专用的网卡硬件上，从而在数据传输的过程中可以绕过内核而直接在网卡上处理。由此可以减少对处理器的占用，并且减少了从用户应用空间到内核空间的数据拷贝。除此之外，利用RDMA协议提供的远程秘钥验证，当发送端与接收端双方建立好连接后，发送端可以直接把数据传送到接收端指定的内存地址上，从而可以绕过接收端的处理器，进一步降低了数据传输的延迟。由此，RDMA作为一种高速网络技术，提供了高带宽低延迟的特性，开始在数据中心网络中被采用。

然而，正是因为RDMA技术在数据传输的过程中绕过了内核的网络协议栈，所以原有的针对TCP/IP的安全控制技术不能很好地适用于RDMA网络。同时，由于需要将数据包的处理等操作卸载到网卡上，因此网卡需要缓存一部分内存地址的映射以及与连接相关的数据信息。因此一个程序可以恶意地占用网卡的资源以造成网络的拒绝访问攻击，或者通过预测数据包的信息来构建虚假的数据包从而干扰通信。目前针对这些安全问题仍然还在研究中。

在已有的研究中，有一些是对网卡进行了重新的设计或者利用现场可编程门阵列设计新的网卡，从而避免RDMA协议的缺点。除此之外，微软、IBM等公司有提出过针对RDMA的网络虚拟化技术，从而使RDMA可以更好地应用于云计算数据中心中，提供更加弹性、可控、易于隔离的RDMA网络环境。然而这些技术主要是面向虚拟化技术本身的，没有对网络安全等做出一些解决方案。

发明内容

本发明实施例提供了一种适用于RDMA网络的虚拟化安全网关系统，以至少解决现有虚拟化技术安全性能低的技术问题。

根据本发明的实施例，提供了一种适用于RDMA网络的虚拟化安全网关系统，包括：

虚拟化后端，用于通过调用全局符号函数向内核安全模块提供虚拟机对RDMA网络的使用情况，并负责具体的安全机制的保障，内核安全模块与用户层安全进程协同完成安全策略的制定；

内核安全模块，用于负责收集历史数据，并对历史数据进行归纳到一个滑动窗口上，在预设的时刻将历史数据通过netlink发送给用户层安全进程对历史数据进行分析预测，以预测判断是否存在安全威胁；并在收到预测数据后，制定安全策略并通过内核通知链通知虚拟化后端采取措施保障安全机制。

进一步地，在用户态的一个守护进程上对虚拟机使用RDMA时产生的历史数据的滑动窗口数据进行分析与预测。

进一步地，使用套接字netlink用于内核态与用户态进程之间的通信。

进一步地，用户层安全进程在发送完预测数据后马上进入睡眠状态，等待下一次被内核安全模块的通知唤醒，预测数据会被放置在内核安全模块的接收队列中等待接收处理；