CN110197062B

CN110197062B - 一种虚拟机动态访问控制方法及控制系统

Info

Publication number: CN110197062B
Application number: CN201910459334.8A
Authority: CN
Inventors: 周成成; 安凤平; 林福洪
Original assignee: Yifei Beijing Environmental Protection Technology Co ltd
Current assignee: Yifei Beijing Environmental Protection Technology Co ltd
Priority date: 2019-05-29
Filing date: 2019-05-29
Publication date: 2022-03-15
Anticipated expiration: 2039-05-29
Also published as: CN110197062A

Abstract

本发明提供一种虚拟机动态访问控制方法及控制系统，能够提高访问控制的工作粒度和灵活度。所述方法包括：根据虚拟机的历史行为记录，建立细粒度的信任评估模型；在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估；根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。本发明涉及云计算访问控制安全技术领域。

Description

一种虚拟机动态访问控制方法及控制系统

技术领域

本发明涉及云计算访问控制安全技术领域，特别是指一种虚拟机动态访问控制方法及控制系统。

背景技术

云计算时代，计算模式和存储模式都发生了很多变化，主要体现在以下5个方面：

(1)云计算环境中用户无法控制资源；

(2)用户和云平台之间缺乏信任；

(3)迁移技术可能导致数据要变更安全域；

(4)多租户技术使得访问主体要重新界定；

(5)虚拟化技术会让数据在同一物理设备上遭到窃取。

云计算对访问控制研究提出了新的挑战：如何发展传统的访问控制技术来解决新型的云计算安全问题。面对这个挑战，学术界许多学者已经展开了云计算环境下的访问控制技术的研究，主要研究点集中在云计算环境下访问控制模型、基于加密机制的访问控制、虚拟机访问控制等方面。

虚拟化安全与访问控制模型及其指定的策略紧密相关，对于虚拟化访问控制，在2015年云计算报告大会一项名为Cloud Policy：Taking access control out of thevirtual machine的专题中，提出了要实现多租户间安全的结构，主要是在虚拟机监视器((Virtual Machine Monitor，VMM)上实现一种访问控制。根据主体和客体之间的情况来动态地调整虚拟化环境的访问控制策略，主要包括对主体和客体间通信实施隔离，在安全前提下允许他们之间的通信，允许利用授权表实现主体和客体之间的共享资源等。通过这种方式，可以在实现灵活地对资源进行有效安全的利用的同时，保障虚拟机之间的安全。

访问控制机制在虚拟化平台上的实现已经成为一种必要的手段。但现有的虚拟化平台访问控制机制多为静态的强制访问控制，在灵活性和工作粒度上受到了相当程度的制约。

发明内容

本发明要解决的技术问题是提供一种虚拟机动态访问控制方法及控制系统，以解决现有技术所存在的访问控制静态授权的工作粒度粗和灵活性差的问题。

为解决上述技术问题，本发明实施例提供一种虚拟机动态访问控制方法，包括：

根据虚拟机的历史行为记录，建立细粒度的信任评估模型；

在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估；

根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。

进一步地，行为记录ActionRecord＝{vmid,TV_sub,TV_act,h_time,freq,flag}，其中，vmid表示执行访问控制操作的主体虚拟机的唯一标识符；TV_sub为当前时刻主体虚拟机的信任值；TV_act为行为的标准信任值；h_time表示当前访问控制操作发生的时间；freq表示连续非法访问的次数；flag表示当前访问控制操作的合法性。

进一步地，所述根据虚拟机的历史行为记录，建立细粒度的信任评估模型包括：

根据云供应商自身安全需求以及所拥有的物理硬件设备性能设置一个总窗口N*T_n；其中，T_n为滑动窗口，是一个固定的n次行为记录数据对应的时间，用于控制行为记录区间大小；N表示虚拟机的个数；主体虚拟机的访问控制操作频次与滑动窗口的时间长短成反比；

根据每次访问控制的行为记录是否合法性，对主体虚拟机行为进行奖励惩罚，得到N*T_n总窗口内的综合信任值加权平均值作为主体虚拟机的信任值。

进一步地，当新的总窗口没到达N*T_n时，对当下主体虚拟机的信任评估由上一个总窗口计算，当新的总窗口到达N*T_n时，将更新窗口并采用新的总窗口内的行为记录数据进行信任评估。

进一步地，N*T_n总窗口内的综合信任值加权平均值表示为：

其中，F(T_i)表示N*T_n总窗口内的综合信任值加权平均值，W_i为第i条行为的权值，T_i为第i条行为的信任预值。

进一步地，第i条行为的信任预值T_i为：

其中，α为信任浮动系数；flag为0时是合法行为，flag为1时是非法行为。

进一步地，主体虚拟机对客体资源进行合法访问，第i条行为的权值W_i表示为：

其中，k_i表示时间因子

主体虚拟机对客体资源进行第一次非法访问，第i条行为的权值W_i表示为：

其中，α为信任浮动系数。

进一步地，时间因子k_i表示为：

其中，t₀为总窗口N*T_n的初始时间。

进一步地，主体虚拟机对客体资源进行连续非法访问时，采用连续非法加重原则，则第一次非法访问后的连续若干次的非法访问的行为权值W_i表示为：

本发明实施例还提供一种虚拟机动态访问控制系统，包括：

建立模块，用于根据虚拟机的历史行为记录，建立细粒度的信任评估模型；

评估模块，用于在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估；

更改模块，用于根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。

本发明的上述技术方案的有益效果如下：

上述方案中，根据虚拟机的历史行为记录，建立细粒度的信任评估模型；在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估，无需依赖第三方信任机构来对主体虚拟机进行信任评估；根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。这样，根据信任评估模块评估得到的信任值更改主体虚拟机的安全标签，能够提高访问控制的工作粒度和灵活度，从而解决访问控制静态授权工作粒度粗和灵活性差的问题。

附图说明

图1为本发明实施例提供的虚拟机动态访问控制方法的流程示意图；

图2为本发明实施例提供的滑动窗口机制示意图；

图3为本发明实施例提供的基于信任评估的动态访问控制流程示意图；

图4为本发明实施例提供的虚拟机动态访问控制系统的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明针对现有的访问控制静态授权的工作粒度粗和灵活性差的问题，提供一种虚拟机动态访问控制方法及控制系统。

实施例一

如图1所示，本发明实施例提供的虚拟机动态访问控制方法，包括：

S101，根据虚拟机的历史行为记录，建立细粒度的信任评估模型；

S102，在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估；

S103，根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。

本发明实施例所述的虚拟机动态访问控制方法，根据虚拟机的历史行为记录，建立细粒度的信任评估模型；在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估，无需依赖第三方信任机构来对主体虚拟机进行信任评估；根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。这样，根据信任评估模块评估得到的信任值更改主体虚拟机的安全标签，能够提高访问控制的工作粒度和灵活度，从而解决访问控制静态授权工作粒度粗和灵活性差的问题。

在前述虚拟机动态访问控制方法的具体实施方式中，进一步地，行为记录ActionRecord＝{vmid,TV_sub,TV_act,h_time,freq,flag}，其中，vmid表示执行访问控制操作的主体虚拟机的唯一标识符；TV_sub为当前时刻主体虚拟机的信任值；TV_act为行为的标准信任值；h_time表示当前访问控制操作发生的时间；freq表示连续非法访问的次数；flag表示当前访问控制操作的合法性。

本实施例中，由于主体虚拟机(简称：主体)的历史行为是最能体现一个主体的可信程度，因此可将行为作为衡量主体信任度的重要参考依据。历史行为即虚拟机的历史访问控制操作，即以虚拟机为主体进行的文件读写、内存占用等一系列访问控制操作。

本实施例中，由虚拟机监视器((Virtual Machine Monitor，VMM)来记录每一个虚拟机的历史行为，并交由信任评估模块对该虚拟机行为进行保存并评估。

本实施例中，虚拟机的历史访问控制操作对应的历史行为记录ActionRecord包括六组元素{vmid,TV_sub,TV_act,h_time,freq,flag}。

在前述虚拟机动态访问控制方法的具体实施方式中，进一步地，所述根据虚拟机的历史行为记录，建立细粒度的信任评估模型包括：

根据云供应商自身安全需求以及所拥有的物理硬件设备性能设置一个总窗口N*T_n，其中，T_n为滑动窗口，是一个固定的n次行为记录数据对应的时间，用于控制行为记录区间大小；N表示虚拟机的个数；

本实施例中，由于处理大量的行为记录需要占用大量的中央处理器(CentralProcessing Unit，CPU)计算资源，并且距离当前时刻较为久远的数据对当前时刻的主体虚拟机的状态并没有很大的参考价值。因此，只需要选取距离当前时刻较近的一段时间进行历史行为记录处理更加具有可信力。除此之外需要考虑信任值刷新频率需要设置一个滑动窗口来确定刷新频率，这个滑动窗口并不能简单的选取，应根据云供应商(Cloud ServiceProvider，CSP)对安全的要求、主体虚拟机使用访问控制操作频次以及物理硬件性能来决定。云供应商可根据自身安全需求以及所拥有的物理硬件设备性能设置一个总窗口为N*T_n，其中，T_n(T_n∈Z)为滑动窗口，Z表示整数。T_n为一个固定的n次行为记录数据对应的时间，用于控制行为记录区间大小，因此访问控制操作频次高(大于预设的第一频次阈值)的时候对应的滑动窗口时间短，访问控制操作频次低(小于预设的第二频次阈值)时对应的滑动窗口时间长。当新的总窗口没到达N*T_n时，对当下主体虚拟机的信任评估由上一个总窗口计算，当新的总窗口到达N*T_n时，将更新窗口并采用新窗口内的行为记录数据进行信任评估。

本实施例中的滑动窗口机制如图2所示，图2中的t₀为一个总窗口的初始时间。本实施例中的滑动窗口机制相对一般的窗口机制来说不是单纯的选取距离当前较近的时间区间，而是细粒度的考虑了不同主体的访问控制操作频次。一般的窗口机制在用户每次访问控制操作完成时都需要立即刷新信任值，而本实施例中的滑动窗口机制可以根据云供应商对安全的需求以及硬件设备的性能来选择是每次访问控制操作完成时都刷新信任值，还是进行几次访问控制操作之后再刷新信任值。

本实施例中，对于每次访问控制的行为记录，根据的它的合法性有一个奖惩制度。因此行为记录信任值计算函数分为两个：信任累加计算函数F_c(T_i)和信任惩罚计算函数F_p(T_i)，且有|F_p(T_i)|＞＞|F_c(T_i)|，则第i条行为产生的信任值d_value表示为：

其中，flag为0时是合法行为，flag为1时是非法行为；W_i为第i条行为的权值；T_i为第i条行为的信任预值。

需要说明的是：

看似F_c(T_i)的表达式与F_p(T_i)的表达式相同，但是由于在合法行为和非法行为下的W_i和T_i是不同的，因此，F_c(T_i)的表达式与F_p(T_i)的表达式实际是不同的。

本实施例中，规定T_i是与主体和客体初始信任值相关的函数。TV_sub为主体信任值，TV_act为行为的标准信任值，即当前申请的操作行为的标准信任值。如果行为是合法的，TV_sub和TV_act差值越大，说明主体的可信赖性越强，信任累积越大；如果行为是非法的，主体所申请访问的操作行为的标准信任值越高，说明主体的可信赖性越差，受到的惩罚越大。因此，第i条行为的信任预值T_i为：

其中，α为信任浮动系数。

本实施例中，若云供应商规定的主体信任值与行为标准信任值之和的最大值数量级可达到10ⁱ，则为保证信任值浮动范围在10^-1数量级，信任浮动系数α取值范围为α∈[1,10ⁱ]，可根据不同平台对安全的要求进行调节。

本实施例中，权值W_i决定了对一次行为进行评估的基调，本实施例中的权值遵循为以下3个原则：“近大远小”、“慢升快降”以及“连续非法加重”，其中“近大远小”和“慢升快降”原则都以滑动窗口机制的改变做了相应的调整。

本实施例中，“近大远小”即行为发生时间距离当前时刻越近，则影响因子越大，因此，设定一个时间因子k_i为：

其中，t₀为总窗口N*T_n的初始时间。

本实施例中，“慢升快降”原则即如果该行为是合法的，则对综合信任值进行累加，但累加速度要慢，以避免通过少量合法行为历史迅速获得较高的信任值；如果该行为是非法的，则对综合信任值进行累计消减，且累减速度要快，以确保一次非法行为对信任值得影响要大于一次合法行为，从而更大程度的防范入侵者或疑似入侵者。根据以上考虑，以时间因子k_i为变量，选取权值计算函数为：

其中，

表示主体虚拟机对客体资源进行第一次非法访问时的权值。

本实施例中，还考虑了连续非法访问的次数，连续非法访问的次数freq越高说明此次行为更加可疑。因为一个主体虚拟机如果偶尔一次对客体资源进行非法访问可能是失误操作，如果连续进行多次的非法行为，则应有更高的可疑度，须遵循“连续非法加重”原则，增大对主体虚拟机的惩罚力度，因此定义其权值在连续的第二次、第三次、第四次等非法行为开始增加为

本实施例中，根据第i条行为产生的信任值d_value，得到一个N*T_n总窗口内的综合信任值加权平均值

作为主体虚拟机当下的信任值TV_sub，从而建立细粒度的信任评估模型。

现有的Xen平台内置了安全模块(Xen Security Module，XSM)，该模块的子模块访问控制模块(Access Control Module，ACM)，可以提供强制访问控制功能。ACM为Xen提供了两种访问控制策略，一个是防止利益冲突的中国墙策略，另一个是简单类强制访问控制策略。

本实施例在现有的访问控制基础上加入了信任评估模块，在每次主体虚拟机对客体资源进行访问控制时，调用信任评估模块对主体虚拟机进行信任评估，根据评估得到信任值对主体虚拟机的安全级别进行评判，并根据最新评判的安全级别由ACM模块动态调整主体虚拟机的访问权限并更新该主体虚拟机的安全标签。

本实施例中，在利用信任评估模块进行信任评估，并根据信任评估结果进行访问控制时，首先需完成信任值初始化：

由于一般云供应商，在虚拟机终端用户入网时，为了能更加准确的服务对方，会签订服务契约，规定服务的内容、收费标准、使用资源和禁止/允许的操作等。目前通用的是云计算服务等级协议(SLA)，规定了云供应商应该提供的服务层次、服务质量、服务内容以及安全标准等。根据这些内容会形成一项该虚拟机用户的初始信任值，并将这些初始信任值以一定的间隔划分为不同的安全等级，每个安全等级都有最小信任值TV_min和最大信任值TV_max([TV_min,TV_max))，具有不同初始信任值的虚拟机将会被打上不同等级的安全标签。例如，根据云计算服务等级协议(SLA)以及用户需求将虚拟机分为S1[60,70)、S2[70,80)、S3[80,90)、S4[90,100)四个安全等级。假设有3个虚拟机A、B、C分别位于S1[60,70)、S2[70,80)、S3[80,90)等级，其中虚拟机C为恶意虚拟机。虚拟机A、B、C的初始信任值为65、75、85。

本实施例中，如图3所示，基于信任评估的动态访问控制流程具体可以包括以下步骤：

步骤1，主体虚拟机发出访问操作请求；

步骤2，查看加上本次访问控制操作是否应该更新滑动窗口，如果不需要更新滑动窗口则交由ACM对本次请求做裁决，将本次行为录入ActionRecord并跳转到步骤5；如果需要更新滑动窗口则跳转步骤3；

步骤3，更新窗口，由ACM对本次请求合法性做裁决，如果允许则记录合法，如果拒绝则记录非法，且将本次行为录入ActionRecord并计入本次信任评估计算，跳转步骤4。

步骤4，利用信任评估模块对主体虚拟机进行信任评估，将新计算好的信任值TV_sub(即：综合信任值加权平均值)与主体虚拟机所处的安全等级[TV_min,TV_max)的TV_min做比较，如果TV_sub<TV_min，则对该主体虚拟机进行降级处理，并有ACM修改访问权限，重新为主体虚拟机打上安全标签，还可以为管理员提供可疑待审查虚拟机名单；如果TV_sub≥TV_min跳转步骤5。

本实施例中，假设，在0～t₀时刻，假设虚拟机C没有任何恶意的行为，信任值由85升到87；虚拟机B没有任何恶意的行为，信任值由75升到76；虚拟机A被外来的攻击者控制，尝试入侵虚拟机A，此时由ACM返回拒绝的信号，攻击者仍然向虚拟机A发送多次访问请求，使用连续非法加重来公式

来惩罚，最终信任值由65降到59。则在0～t₀时刻，虚拟机C和虚拟机B的安全等级保持在原来的安全等级，虚拟机A的信任值59低于最低等级S1[60,70)的最小信任值TV_min，因此，通知专门的管理员对虚拟机A和其用户进行跟踪审查。

本实施例中，假设，在t₀～t₁时刻，假设虚拟机C的信任值由87降到79，虚拟机B信任值经过频繁的合法操作由76升到80；则在t₀～t₁时刻，虚拟机C的信任值79低于S3[80,90)的最小信任值TV_min，有规则可知其安全等级降为S2[70,80)，并根据其安全等级动态的调整其所拥有的权限。虚拟机B的信任值80超过了S2[70,80)的最大信任值TV_max，由规则可知不可给予升级，且保持虚拟机的信任值保持为其所在等级的最大值即79.99。

步骤5，根据flag判定，执行裁决，flag为0允许操作，flag为1拒绝操作。

实施例二

本发明还提供一种虚拟机动态访问控制系统的具体实施方式，由于本发明提供的虚拟机动态访问控制系统与前述虚拟机动态访问控制方法的具体实施方式相对应，该虚拟机动态访问控制系统可以通过执行上述方法具体实施方式中的流程步骤来实现本发明的目的，因此上述虚拟机动态访问控制方法具体实施方式中的解释说明，也适用于本发明提供的虚拟机动态访问控制系统的具体实施方式，在本发明以下的具体实施方式中将不再赘述。

如图4所示，本发明实施例还提供一种虚拟机动态访问控制系统，包括：

建立模块11，用于根据虚拟机的历史行为记录，建立细粒度的信任评估模型；

评估模块12，用于在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估；

更改模块13，用于根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。

本发明实施例所述的虚拟机动态访问控制系统，根据虚拟机的历史行为记录，建立细粒度的信任评估模型；在每次主体虚拟机对客体资源进行访问控制时，通过信任评估模块对主体虚拟机进行信任评估，无需依赖第三方信任机构来对主体虚拟机进行信任评估；根据评估得到的信任值对主体虚拟机的安全级别进行评判，并根据评判的安全级别动态调整主体虚拟机的访问权限。这样，根据信任评估模块评估得到的信任值更改主体虚拟机的安全标签，能够提高访问控制的工作粒度和灵活度，从而解决访问控制静态授权工作粒度粗和灵活性差的问题。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims

1.一种虚拟机动态访问控制方法，其特征在于，包括：

根据虚拟机的历史行为记录，建立细粒度的信任评估模型；所述行为记录ActionRecord＝{vmid,TV_sub,TV_act,h_time,freq,flag}，其中，vmid表示执行访问控制操作的主体虚拟机的唯一标识符；TV_sub为当前时刻主体虚拟机的信任值；TV_act为行为的标准信任值；h_time表示当前访问控制操作发生的时间；freq表示连续非法访问的次数；flag表示当前访问控制操作的合法性；且根据云供应商自身安全需求以及所拥有的物理硬件设备性能设置一个总窗口N*T_n；其中，T_n为滑动窗口，是一个固定的n次行为记录数据对应的时间，用于控制行为记录区间大小；N表示虚拟机的个数；主体虚拟机的访问控制操作频次与滑动窗口的时间长短成反比；根据每次访问控制的行为记录是否合法性，对主体虚拟机行为进行奖励惩罚，得到N*T_n总窗口内的综合信任值加权平均值作为主体虚拟机的信任值；

t₀为一个总窗口的初始时间；N*T_n为总窗口的滑动窗口机制，细粒度的考虑了不同主体的访问控制操作频次；当新的总窗口没到达N*T_n时，对当下主体虚拟机的信任评估由上一个总窗口计算，当新的总窗口到达N*T_n时，将更新窗口并采用新的总窗口内的行为记录数据进行信任评估；

在进行信任评估时，N*T_n总窗口内的综合信任值加权平均值表示为：

其中，F(T_i)表示N*T_n总窗口内的综合信任值加权平均值，W_i为第i条行为的权值，T_i为第i条行为的信任预值；

主体虚拟机对客体资源进行合法访问，第i条行为的权值W_i表示为：

其中，k_i表示时间因子；主体虚拟机对客体资源进行第一次非法访问，第i条行为的权值W_i表示为：

其中，α为信任浮动系数；时间因子k_i表示为：

权值在连续的第二次、第三次、第四次非法行为开始增加为

freq∈Z，实现对连续非法访问次数遵循连续非法加重原则，增大对主体虚拟机的惩罚力度；

2.根据权利要求1所述的虚拟机动态访问控制方法，其特征在于，第i条行为的信任预值T_i为：

3.一种虚拟机动态访问控制系统，其特征在于，包括：

建立模块，用于根据虚拟机的历史行为记录，建立细粒度的信任评估模型；所述行为记录ActionRecord＝{vmid,TV_sub,TV_act,h_time,freq,flag}，其中，vmid表示执行访问控制操作的主体虚拟机的唯一标识符；TV_sub为当前时刻主体虚拟机的信任值；TV_act为行为的标准信任值；h_time表示当前访问控制操作发生的时间；freq表示连续非法访问的次数；flag表示当前访问控制操作的合法性；还用于：

根据云供应商自身安全需求以及所拥有的物理硬件设备性能设置一个总窗口N*T_n；其中，T_n为滑动窗口，是一个固定的n次行为记录数据对应的时间，用于控制行为记录区间大小；N表示虚拟机的个数；主体虚拟机的访问控制操作频次与滑动窗口的时间长短成反比；根据每次访问控制的行为记录是否合法性，对主体虚拟机行为进行奖励惩罚，得到N*T_n总窗口内的综合信任值加权平均值作为主体虚拟机的信任值；

其中，α为信任浮动系数；时间因子k_i表示为：

权值在连续的第二次、第三次、第四次非法行为开始增加为