一種防數據泄漏的虛擬機實時遷移方法*

方　興

(武漢藏龍北路1號　武漢　430205)

?

一種防數據泄漏的虛擬機實時遷移方法*

方興

(武漢藏龍北路1號武漢430205)

摘要論文具體分析了在Xen上進行虛擬機遷移時需要遷移的對象及具體步驟,然后在虛擬機實時遷移和虛擬機訪問控制模塊的基礎上,提出了一種防數據泄漏的虛擬機實時遷移方法。根據自定義的安全策略,由訪問控制模塊為每個虛擬機標注其安全級別,再由遷移控制模塊具體控制不同安全級別的虛擬機的遷移操作,從而防止敏感數據從高安全級別的平臺流向低安全級別的平臺。

關鍵詞虛擬機; 虛擬機遷移; 訪問控制; 遷移控制

A Live Migration Method of Virtual Machine Supporting Data Leak Prevention

FANG Xing

(No.1 Canglong North Road, Wuhan430205)

AbstractFirst, the migrated objects and detailed steps of live migration of virtual machine are analyzed on Xen. Then on the basis of the live migration and access control module of virtual machine, a live migration method of virtual machine supporting data leak prevention is proposed. In our proposal, the access control module marks the security level of each virtual machine according to the self-defined security policy. And then the migration control module controls the migration operations of virtual machine with different security level to prevent the sense data leaking from high security level platform to low security level platform.

Key Wordsvirtual machine, virtual machine migration, access control, migration control

Class NumberTP311

1引言

虛擬機遷移,是指將虛擬機從一個物理平臺遷移到另一個物理平臺上。虛擬機遷移可分為靜態遷移和動態遷移,靜態遷移是指在虛擬機停止運行的狀態下,將虛擬機轉移至另一個物理平臺;動態遷移也稱為實時遷移,是指保持虛擬機運行的同時,將虛擬機遷移至另一個平臺。虛擬機遷移技術(實時遷移)可以提供服務器在線升級、負載均衡、容錯以及計算機環境快速部署等可用性很強的功能。目前國內外大多數研究者都在進行虛擬機遷移效率方面的研究,例如同時遷移多個虛擬機、在以太網內實現虛擬機的遷移等等,對于虛擬機在遷移過程中的安全問題研究則比較少。虛擬機遷移,特別是對于運行狀態下的虛擬機實時遷移,容易遭受TOCTTOU(Time-of-check to Time-of-use)和重放(Replay Attack)等攻擊;此外,在遷移過程若不對遷移的信息流進行控制,就會使得敏感數據從高級別平臺流向低級別平臺,從而造成敏感數據的泄漏。為了防止虛擬計算環境下虛擬機的隨意遷移可能導致的數據泄漏,本文在虛擬機實時遷移和虛擬機訪問控制模塊的基礎上,提出了一種防數據泄漏的虛擬機實時遷移方法,即對虛擬平臺之上運行的不同虛擬機按照不同的安全策略來判斷其是否能進行遷移,以實現虛擬機遷移的多級安全管理。

2虛擬機遷移技術

本文的工作是基于Xen開展的,因此,本小節首先簡要介紹Xen虛擬機及其基本結構,然后具體分析了在Xen上進行虛擬機遷移時需要遷移的對象及具體步驟,并分析了在進行虛擬機遷移時可能面臨幾種典型的安全威脅。

2.1Xen虛擬機

Xen[1～3]是由英國劍橋大學計算機實驗室開發的一款基于虛擬機監控器(Virtual Machine Monitor,VMM)[4～6]的虛擬機,基于VMM的虛擬機主要是通過軟件技術,虛擬出相應的硬件接口,讓多個操作系統運行在一個硬件平臺上,VMM層則工作在硬件層和操作系統層之間,以保證各虛擬機間的隔離性、通信以及硬件支持。Xen的基本結構如圖1所示。

圖1　Xen基本結構圖

Xen Hypervisor即是Xen虛擬機的VMM層,位于操作系統和硬件之間,為其上運行的操作系統內核提供虛擬化的硬件環境。在Xen中,虛擬機也被稱為域。Xen采用混合模式(Hybrid Model),由一個被稱為Domain 0(Dom 0)的特權域來管理其他的域,這些非特權域被稱為Domain U(Dom U)。Dom 0擁有I/O設備驅動,可直接訪問硬件資源,通過Xen提供的控制接口來控制和管理Dom U,并對Dom U的設備訪問進行授權,經過授權的Dom U通過分離式設備驅動來訪問硬件設備。前端后端設備驅動共同組成了Xen的分離設備驅動模型,負責各個域對硬件設備的訪問。其中位于Dom U內的前端設備驅動主要是將訪問請求發送給Dom 0中的后端驅動,由后端驅動將來自于前端驅動的請求發送給I/O設備驅動,并返回請求的結果。前后端分離設備驅動模型可以大大提高Xen的系統運行效率。

2.2虛擬機實時遷移的對象

虛擬機的遷移是將一個正在運行操作系統的虛擬機轉移至另一平臺中繼續運行。因此,從理論上來講,一個操作系統運行所必要的硬件軟件資源,在虛擬機的遷移過程中都必須遷移,這樣才能保證在遷移的接收方能夠完整的運行該操作系統。這些信息主要包括內存狀態、CPU狀態、磁盤狀態、I/O設備以及網絡資源等[7]。

2.2.1內存的遷移

因為內存的實時變化性,導致對內存的遷移是虛擬機遷移最為復雜的部分。目前,在Xen中對內存的遷移采用的Push和Stop-and-Copy相結合的方案。所謂的Push[8]是指在在待遷移虛擬機運行的同時,源主機將其內存頁面通過網絡拷貝到目的主機上。若主機發現有改寫的頁面,則將這些頁面重傳。而Stop-and-Copy[8]則是指待遷移虛擬機停止運行,源主機將上一階段未能傳送的頁面全部拷貝至目的主機。目的主機試圖啟動待遷移虛擬機。其主要思想是:在Push階段先將能夠拷貝的頁面拷貝至目的主機,由于此時待遷移虛擬機處于運行狀態,因此不會影響正常的使用。在拷貝到系統預設的閾值之后,便進入Stop-and-Copy階段。在停機拷貝階段所拷貝的頁面,一般是系統運行時需要頻繁改變的頁。

2.2.2網絡信息的遷移

網絡信息的遷移包括協議狀態(如TCP連接狀態)以及IP地址等。在局域網內,其實現思路是通過發送ARP重定向包,將待遷移虛擬機的IP地址與目的機器的MAC地址相綁定,之后的所有包就可以發送到目的機器上。

2.2.3存儲設備的遷移

遷移存儲設備的最大障礙在于需要占用大量時間和網絡帶寬,通常的解決辦法是以共享的方式共享數據和文件系統,而非真正的遷移。目前大多數集群使用網絡連接存儲(Network Attached Storage,NAS)作為存儲設備共享數據。NAS實際上是一個帶有瘦服務器的存儲設備,其作用類似于一個專用的文件服務器。在局域網環境下,NAS已經完全可以實現異構平臺之間,如NT、UNIX等的數據級共享。基于以上的考慮,Xen并沒有實現存儲設備的遷移,實時遷移的對象必須共享文件系統。

2.3虛擬機實時遷移步驟

虛擬機的遷移是通過源平臺和目的平臺之間的交互完成的,可以分為以下六個步驟[9],如圖2所示。本文將遷移的發起者即源平臺記為平臺A,目的平臺記為平臺B。

圖2　Xen虛擬機實時遷移步驟

步驟0:預遷移。源平臺A在遷移運行在其上的一個虛擬機VM時,首先應當選擇一個目的平臺B作為VM的新平臺。此時,VM正在運行。

步驟1:預定資源。A在向B發起遷移請求時,要先檢查并確認B是否有遷移所必需的資源,若有,則預定這些資源。若沒有,VM仍在A上運行,遷移操作終止。

步驟2:迭代預拷貝。在此步驟中,A在待遷移虛擬機VM保持運行的狀態下,將與該VM運行狀態相關的內存頁面以迭代的方式拷貝到B。第一次將拷貝全部的內存頁,下一次只拷貝內存狀態改變了的頁,直到拷貝次數達到預定義的最大次數。

步驟3:停機拷貝。在上一輪迭代拷貝過后,A已經將待遷移虛擬機VM的絕大部分信息拷貝至B。剩余的諸如網絡狀態、CPU狀態等信息則需要將VM掛起再傳送給B。待遷移虛擬機掛起的時間非常短,對于用戶而言幾乎是感覺不到的。

步驟4:提交。在這一階段,如果B沒有檢測到任何錯誤,則會向A發送一個已經收到待遷移虛擬機完整資源的消息。A在收到消息后,會銷毀該虛擬機。

步驟5:啟動。VM的所有相關資源均被遷移到B上,并可被B正常啟動并使用。

3防數據泄漏的虛擬機實時遷移方法

在圖2所示的遷移步驟中,由于遷移會將待遷移虛擬機的整個系統狀態都遷移到目的平臺上,如果虛擬機里含有敏感數據,就會導致敏感信息未經授權的泄漏。例如,源平臺A的安全級別高于目的平臺B,運行在A平臺上的虛擬機正在處理一些敏感信息,若在不加以控制的情況下直接將運行在A平臺上的虛擬機實時遷移到B平臺上,就會造成敏感數據的泄漏。針對此問題,本小節在虛擬機實時遷移和虛擬機訪問控制模塊的基礎上,提出了一種防數據泄漏的虛擬機實時遷移方法,如圖3所示。

圖3　防數據泄漏的虛擬機實時遷移流程圖

方法的主要思想為:首先將待遷移的虛擬機按照其安全級別的要求進行分類。含有敏感信息的虛擬機,其安全級別比較高,要求第三方無法訪問其系統內部,稱這類虛擬機為閉盒虛擬機。只進行一般應用的不含敏感信息的虛擬機,其安全級別不高,第三方可按需進行訪問,稱這類虛擬機為開盒虛擬機。在Dom 0中可使用(安全密級、安全范疇)作為敏感標簽標識單個虛擬機的安全級別,建立訪問控制矩陣,設置每個虛擬機對其他虛擬機的訪問類型集合。當某個虛擬機主體以某種類型訪問某個虛擬機客體時,根據主客體雙方的敏感標簽和訪問矩陣中主體對客體的訪問類型集合[10～13]判定這次訪問是否被允許。

通過訪問控制模塊(Access Control Module,ACM)和遷移控制模塊(Migration Control Module,MCM)兩個功能模塊實現防數據泄漏的虛擬機實時遷移。

3.1訪問控制模塊

該ACM的主要功能是給通過自定義的安全策略,對虛擬機的安全級別進行標記,防止敏感信息通過虛擬機遷移從高安全級別平臺流向低安全級別平臺。該ACM是在IBM公司為Xen提出的sHype構架[14]的基礎之上改進的,其主要功能是實現了兩種訪問控制策略機制,解決了虛擬機之間的訪問控制和資源共享的問題。當一個主機試圖將其上運行的某個虛擬機遷移至目的平臺上時,必須滿足目的主機的安全級別不低于虛擬機的安全級別,否則,遷移操作將被終止。由于各主機的安全級別已經在安全訪問控制策略中預先定義好了,且用戶無法修改自身的安全級別,因此就可以保證敏感信息只能向安全級別更高的方向流動,從而防止信息泄漏。

3.2遷移控制模塊

MCM的主要功能是通過對不同的虛擬機的遷移操作進行控制,以實現虛擬機的安全遷移,如圖4所示。MCM主要包含策略接收、遷移判斷和數據保護等三個子模塊。策略接收模塊主要負責從Dom 0中獲得已經裝載好的二進制安全策略文件,從而獲取正在運行的各個虛擬機的標簽狀態。遷移判斷模塊則主要根據虛擬機的標簽信息來判斷是否允許其遷移。對于帶有敏感標簽的閉盒虛擬機,為了防止敏感信息泄漏,MCM將通過相應的安全策略,禁止其遷移。對于不含敏感信息的開盒虛擬機,MCM將允許其遷移,但會通過數據保護模塊來保證遷移過程中的安全。MCM的策略接收和遷移判斷從功能上來講其實是ACM的功能執行部分。

圖4　遷移控制模塊結構

4實驗及分析

4.1實驗場景

為驗證對所設計的方法的有效性,設定了如下的實驗場景:在同一局域網內有兩臺物理機A和B,IP地址分別為A:192.168.18.2,B:192.168.18.3,默認網關為192.168.18.1,A和B都安裝了Xen 3.3.0虛擬化層,管理域Dom 0的操作系統都為Ubuntu 8.04,內核版本為2.6.24。現在機器A上創建了兩臺虛擬機test1和test2,其操作系統均為Ubuntu 8.10,內核版本為2.6.18。定義安全策略,將虛擬機test1標識為security級別,表示為需要保護的虛擬機,其實時遷移將受到控制;將虛擬機test2標識為common級別,表示為普通的虛擬機,可根據需要進行實時遷移。實驗中分別將test1和test2實時遷移到物理機B上。

4.2實驗過程

1) 在Xen源碼文件夾的最上層目錄,修改文件Config.mk,將其中的XSM_ENABLE ?=n改為XSM_ENABLE ?=y,ACM_SECURITY ?=n改為ACM_SECURITY ?=y,重新編譯和安裝Xen,然后重啟。

2) 定義安全策略

定義安全策略seclabel,提供兩種表示安全級別的標簽security和common。可通過命令“xm getpolicy”查看安全策略seclabel的部署是否成功,如圖5所示。

圖5　成功部署安全策略seclabel

3) 為虛擬機加標簽

對需要受保護的虛擬機test1加security標簽:

# xm addlabel security dom test1.cfg

對不需要受保護的普通虛擬機test2加common標簽:

# xm addlabel common dom test2.cfg

結果如圖6所示。

4) 虛擬機實時遷移

在IP為192.168.18.2的機器A上將test1和test2兩臺虛擬機實時遷移到IP為192.168.18.3的機器B上的結果如圖7和圖8所示。從圖7和圖8可以看出,在本文的實驗場景中,受保護的虛擬機test1不能被實時遷移,而普通的虛擬機test2可以被正常遷移到另一物理機上,即本文所設計的方法能夠根據自定義的安全策略,控制虛擬機的實時遷移,防止敏感數據從高安全級別的平臺泄漏至低安全級別的平臺。

圖7　在物理機A上進行虛擬機實時遷移

圖8　在物理機B上查看虛擬機實時遷移結果

5結語

本文首先具體分析了在Xen上進行虛擬機遷移時需要遷移的對象及具體步驟,然后在虛擬機實時遷移和虛擬機訪問控制模塊的基礎上,提出了一種防數據泄漏的虛擬機實時遷移方法及其實現。在本文方法中,首先根據用戶自定義的安全策略,由訪問控制模塊為每個虛擬機標注其安全級別,再由遷移控制模塊具體控制不同安全級別的虛擬機的遷移操作,從而防止敏感數據從高安全級別的平臺流向低安全級別的平臺。

參 考 文 獻

[1] http://www.xen.org[EB/OL].

[2] C. David. The Definitive Guide to the Xen Hypervisor[M]. 2007.

[3] P. Barham, B. Dragovic, K. Fraser, et al. Xen and the Art of Virtualization[C]//Proceedings of ACM Symposium on Operating Systems Principles,2003:164-177.

[4] J. Sugerman, G. Venkitachalam, B. Lim. Virtualizing I/O Devices on VMware Workstation’s Hosted Virtual Machine Monitor[C]//Proceedings of Usenix Annual Technical Conference,2002:1-14.

[5] M. Rosenblum, T. Garfinkel. Virtual Machine Monitors: Current Technology and Future Trends[J]. IEEE Computer,2005,38(5):39-47.

[6] A. Whitaker, R. S. Cox, M. Shaw, et al. Rethinking the Design of Virtual Machine Monitors[J]. IEEE Computer,2005,38(5):57-62.

[7] C. P. Sapuntzakis, R. Chandra, B. Pfaff, et al. Optimizing the Migration of Virtual Computers[J]. ACM SIGOPS Operating Systems Review,2002,36(SI):377-390.

[8] Y. Yang. In Place Migration by Using Pre-Virtualization[R]. http://i30www.ibds.uka.de/teaching/thesisdocuments/vm/2006/yang_study_in-place-migration.pdf,2006.

[9] C. A. Waldspurger. Memory Resource Management in VMware ESX Server[C]//Proceedings of the 5th USENIX Symposium on Operating Systems Design and Implementation,2002:181-194.

[10] S. Oh, S. Park. Task-Role-Based Access Control Mode1[J]. Information System,2003,28(6):533-562.

[11] J. Park, R. Sandhu. The UCONABC Usage Control Model[J]. ACM Transaction on Information and System Security,2004,7(1):128-174.

[12] S. Barker, M. J. Sergot, D. Wijesekera. Status-Based Access Control[J]. ACM Transactions on Information and System Security,2008,12(1):1-47.

[13] D. Lin, P. Rao, E. Bertino. Policy Decomposition for Collaborative Access Control[C]//Proceedings of 13th ACM Symposium on Access Control Models and Technologies(SACMAT’08), Estes Park USA,2008:103-112.

[14] R. Sailer, E. Valdez, T. Jaeger, et al. sHype: Secure Hypervisor Approach to Trusted Virtualized Systems[R]. IBM Research Report. RC23511(W0502-006),2005.

中圖分類號TP311

DOI:10.3969/j.issn.1672-9730.2016.02.024

作者簡介:方興,男,工程師,研究方向:作戰指揮系統。

*收稿日期:2015年8月2日,修回日期:2015年9月27日