CN107885586A - 一种在私有云中迁移虚拟机的安全防护方法 - Google Patents
一种在私有云中迁移虚拟机的安全防护方法 Download PDFInfo
- Publication number
- CN107885586A CN107885586A CN201711129563.0A CN201711129563A CN107885586A CN 107885586 A CN107885586 A CN 107885586A CN 201711129563 A CN201711129563 A CN 201711129563A CN 107885586 A CN107885586 A CN 107885586A
- Authority
- CN
- China
- Prior art keywords
- data
- security module
- kvm
- virtual machine
- dynamic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
- G06F9/485—Task life-cycle, e.g. stopping, restarting, resuming execution
- G06F9/4856—Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
一种在私有云中迁移虚拟机的安全防护方法,该安全机制在迁出端和迁入端增加了发送数据监控和安全模块,当虚拟机迁移时,对将要迁移的迁移数据进行监控,在未将数据打包发送到网络上之前,通过安全模块保证迁移数据的安全性。安全模块主要实现将迁移数据重新编码,打破数据原有的规律,令攻击者无法得到想要的文本特征,保证数据的机密性、完整性、可用性。
Description
技术领域
本发明涉及一种私有云的防护方法,具体涉及一种在私有云中迁移虚拟机的安全防护方法。
背景技术
基于Openstack和开源KVM虚拟化技术搭建的私有云平台,为了增强系统的可维护性,有时需要进行虚拟机迁移,其主要目标是在客户没有感觉的情况下,将客户机迁移到另一台物理机器上,并保证其各个服务都正常使用。在KVM中既支持离线的静态迁移又支持在线的动态迁移。
动态迁移是在保证虚拟机上服务正常运行的同时,将一个虚拟机系统从一个物理主机移动到另一个物理主机的过程。该过程不会对最终用户造成明显的影响,从而使得管理员能够在不影响用户正常使用的情况下,对物理服务器进行离线维护或者升级。
KVM虚拟机动态迁移的过程为:当虚拟机动态迁移开始后,虚拟机依然在源宿主机上运行,与此同时,客户机的内存页被传输到目的主机上。KVM会监控并记录下迁移过程中所有已被传输到内存页的任何修改,并在所有的内存页都被传输完成后即开始传输在前面过程中内存页的更改内容。KVM会估计迁移过程中的传输速度,当剩余的内存数据量能够在一个可设定的时间周期内传输完成时,KVM将会关闭源宿主机的虚拟机,再将剩余的数据量传输到目的主机去,最后以传输过来的内存内容在目的宿主机上恢复虚拟机的运行状态。
KVM动态迁移技术是存在安全隐患的,由于通信的数据都是明文传输,所以可能造成内存泄露,其中最重要的就是攻击者可以利用内存数据恢复出源文档等重要数据,对恢复出的源文档针对其特征码进行搜索,然后确定文本内存页大概的地址,再根据文本常用字符范围进行筛选,恢复文本信息,导致虚拟机内部数据泄漏。
针对以上情况需要解决迁移的安全功能,对需要发送内存数据进行修改。但是使用传统的加密方法实现数据传输安全,会导致迁移时间加长,用户体验下降,对性能影响较大。而使用SSL或TLS (Transport Layer Security)为动态迁移提供安全及数据完整性,虽然安全性增强,但因为其实现的算法复杂,也使总体动态迁移时间大大加大。
发明内容
为了克服上述现有技术的不足,本发明的目的是提供一种在私有云中迁移虚拟机的安全防护方法,该安全机制在迁出端和迁入端增加了发送数据监控和安全模块,当虚拟机迁移时,对将要迁移的迁移数据进行监控,在未将数据打包发送到网络上之前,通过安全模块保证迁移数据的安全性。安全模块主要实现将迁移数据重新编码,打破数据原有的规律,令攻击者无法得到想要的文本特征,保证数据的机密性、完整性、可用性。
为了实现上述目的,本发明采用的技术方案是:
步骤一:环境确定
基于开源KVM虚拟化技术的局域网动态迁移方案,应确保源宿主机与目的宿主机底层虚拟化采用KVM,同时目的宿主机需保证有足够的存储空间进行迁移,源宿主机和目的宿主机间保证网络畅通;
步骤二:编译安装安全模块
系统中所有宿主机需编译安装本文提供的安全模块,编译安装成功后安全模块以插件的形式运行在宿主机系统内核之上,在KVM动态迁移时,迁出端的迁移数据经过安全模块重新编码,打破数据原有的规律;
步骤三:编译安装数据监控模块
系统中所有宿主机需编译安装本文提供的数据监控模块,编译安装成功后数据监控模块以插件的形式运行在宿主机系统内核之上,在KVM动态迁移时,迁出端的迁移数据经过数据监控模块校验数据,保证数据完整性和可用性;
步骤四:开始KVM动态迁移
在上述步骤完毕后,可以开始KVM动态迁移,迁移过程中迁出端的数据经过安全模块的重新编码和监控模块的数据监控,实时通过交换机发送到迁入端,同时迁入端的安全模块负责将收到的数据进行解码,最后以传输过来经过解码的内存内容恢复虚拟机的运行状态,完成动态迁移。
本发明的有益效果是:
在迁出端和迁入端安装数据监控和安全模块,以插件的形式运行在虚拟化系统内核之上。迁出端的安全模块对数据重新编码,打破数据原有的规律,监控模块保证数据完整性,迁入端的安全模块实时解码,两个模块共同协作。既保证了动态迁移的效率,又保证了虚拟机数据的机密性、完整性、可用性。
附图说明
图1为本发明的使用安全保护的动态迁移图。
图2为本发明的数据动态迁移图。
具体实施方式
以下结合附图对本发明进一步叙述。
如图1所示,在源宿主机与目的宿主机上安装安全模块和数据监控模块后,可进行虚拟机的动态迁移。
实施步骤:
环境准备
如图2所示,准备两台CPU类型一致的主机作为宿主机,采用KVM作为底层虚拟化,网络处于同一网段,主机上虚拟机的存储设备基于NFS共享存储。通过交换机进行网络通行。
安装安全模块和数据监控模块
在宿主机上编译安装本文提供的安全模块和数据监控模块,安装成功后以插件的形式运行在虚拟化系统内核之上。
交换机设置端口镜像
在与两主机相连的交换机上设置端口镜像功能,用于捕获主机间的流量。
虚拟机迁移
在源主机上创建客户虚拟机Guest2,把Guest 2从源主机动态迁移到目的主机。
验证安全保护
利用网络嗅探工具在交换机的镜像端口处捕获主机间传输流量,把抓到的数据以文件的形式存储。通过分析抓到的数据发现数据已重新编码,无法从中破译信息。
验证迁移效果
迁移完成后,检查客户虚拟机Guest2是否可以正常使用。
经过大量的实验验证了采用本文提供的安全模块和数据监控模块的安全保护的动态迁移,既保证了动态迁移的效率,又保证了虚拟机数据的机密性、完整性、可用性。
Claims (1)
1.一种在私有云中迁移虚拟机的安全防护方法,其特征在于,包括以下步骤:
步骤一:环境确定
基于开源KVM虚拟化技术的局域网动态迁移方案,应确保源宿主机与目的宿主机底层虚拟化采用KVM,同时目的宿主机需保证有足够的存储空间进行迁移,源宿主机和目的宿主机间保证网络畅通;
步骤二:编译安装安全模块
系统中所有宿主机需编译安装本文提供的安全模块,编译安装成功后安全模块以插件的形式运行在宿主机系统内核之上,在KVM动态迁移时,迁出端的迁移数据经过安全模块重新编码,打破数据原有的规律;
步骤三:编译安装数据监控模块
系统中所有宿主机需编译安装本文提供的数据监控模块,编译安装成功后数据监控模块以插件的形式运行在宿主机系统内核之上,在KVM动态迁移时,迁出端的迁移数据经过数据监控模块校验数据,保证数据完整性和可用性;
步骤四:开始KVM动态迁移
在上述步骤完毕后,可以开始KVM动态迁移,迁移过程中迁出端的数据经过安全模块的重新编码和监控模块的数据监控,实时通过交换机发送到迁入端,同时迁入端的安全模块负责将收到的数据进行解码,最后以传输过来经过解码的内存内容恢复虚拟机的运行状态,完成动态迁移。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711129563.0A CN107885586A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中迁移虚拟机的安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711129563.0A CN107885586A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中迁移虚拟机的安全防护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107885586A true CN107885586A (zh) | 2018-04-06 |
Family
ID=61777346
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711129563.0A Pending CN107885586A (zh) | 2017-11-15 | 2017-11-15 | 一种在私有云中迁移虚拟机的安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107885586A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111124599A (zh) * | 2019-11-08 | 2020-05-08 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 |
CN111459687A (zh) * | 2020-04-02 | 2020-07-28 | 北京明朝万达科技股份有限公司 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
CN112486628A (zh) * | 2020-11-20 | 2021-03-12 | 湖南麒麟信安科技股份有限公司 | 一种虚拟私有云之间的虚拟机迁移方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105700945A (zh) * | 2016-01-12 | 2016-06-22 | 中南大学 | 一种基于净室环境的虚拟机安全迁移方法 |
CN106095525A (zh) * | 2016-06-06 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全防护方法 |
US20170024246A1 (en) * | 2013-01-09 | 2017-01-26 | The Research Foundation For The State University Of New York | Gang migration of virtual machines using cluster-wide deduplication |
-
2017
- 2017-11-15 CN CN201711129563.0A patent/CN107885586A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170024246A1 (en) * | 2013-01-09 | 2017-01-26 | The Research Foundation For The State University Of New York | Gang migration of virtual machines using cluster-wide deduplication |
CN105700945A (zh) * | 2016-01-12 | 2016-06-22 | 中南大学 | 一种基于净室环境的虚拟机安全迁移方法 |
CN106095525A (zh) * | 2016-06-06 | 2016-11-09 | 浪潮电子信息产业股份有限公司 | 一种虚拟机动态迁移安全防护方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111124599A (zh) * | 2019-11-08 | 2020-05-08 | 海光信息技术有限公司 | 虚拟机内存数据迁移方法、装置、电子设备及存储介质 |
CN111459687A (zh) * | 2020-04-02 | 2020-07-28 | 北京明朝万达科技股份有限公司 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
CN111459687B (zh) * | 2020-04-02 | 2023-06-16 | 北京明朝万达科技股份有限公司 | 一种监控宿主机向虚拟机传递文件的方法及系统 |
CN112486628A (zh) * | 2020-11-20 | 2021-03-12 | 湖南麒麟信安科技股份有限公司 | 一种虚拟私有云之间的虚拟机迁移方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9575789B1 (en) | Systems and methods for enabling migratory virtual machines to expedite access to resources | |
US8004998B2 (en) | Capture and regeneration of a network data using a virtual software switch | |
CN108292133B (zh) | 用于识别工业控制系统内的已泄密设备的系统和方法 | |
RU2615316C2 (ru) | СПОСОБ, УСТРОЙСТВО И СИСТЕМА ВХОДА В Unix-ПОДОБНЫЙ ВИРТУАЛЬНЫЙ КОНТЕЙНЕР | |
JP6186374B2 (ja) | 仮想化されたプラットフォームへ安全に移行するためのシステム及び方法 | |
CN102819449A (zh) | 一种显卡重定向方法及系统 | |
CN107885586A (zh) | 一种在私有云中迁移虚拟机的安全防护方法 | |
CN101630270A (zh) | 数据处理系统和方法 | |
CN101917460B (zh) | 基于虚拟机技术的远程维护系统 | |
Yu et al. | Live migration of docker containers through logging and replay | |
CN102214277B (zh) | 创建多核处理器虚拟机系统可信环境的方法及装置 | |
CN105991651B (zh) | 具有远程存储控制的网络接口设备 | |
CN106095525A (zh) | 一种虚拟机动态迁移安全防护方法 | |
CN104021069A (zh) | 基于分布式虚拟机系统的软件性能测试的管理方法和系统 | |
CN104298472A (zh) | 一种分层实现计算虚拟化的方法与设备 | |
US9710386B1 (en) | Systems and methods for prefetching subsequent data segments in response to determining that requests for data originate from a sequential-access computing job | |
CN205792734U (zh) | 一种面向云计算的灾难恢复演练系统 | |
CN102033781A (zh) | 虚拟机桌面系统切换方法 | |
CN111049686A (zh) | 一种电力监控系统安全防护虚拟实验室及其构建方法 | |
CN114844792B (zh) | 基于lua语言的动态监控方法、装置、设备及存储介质 | |
CN103577250A (zh) | 一种应用于虚拟机的设备直通方法 | |
CN108255579A (zh) | 一种基于kvm平台的虚拟机管理方法及装置 | |
CN103425563B (zh) | 基于虚拟化技术的在线i/o电子取证系统及其取证方法 | |
CN102096782B (zh) | 一种基于虚拟机的移动介质网银安全认证方法 | |
CN105844165A (zh) | 一种四层计算虚拟化的方法与设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180406 |
|
RJ01 | Rejection of invention patent application after publication |