应用虚拟域数据访问的方法、虚拟机管理器及计算机

摘要

本发明提供一种应用虚拟域数据访问的方法、虚拟机管理器及计算机，其中方法包括：获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；根据所述访问请求，获取所述访问请求对应的可信平台属性策略；根据所述可信平台属性策略，对所述访问请求进行过滤；在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。本发明的方案能够实现安全共享数据的访问。

说明书

技术领域

本发明涉及计算机领域，特别是指一种应用虚拟域数据访问的方法、虚拟机管理器及计算机。

背景技术

如图1所示，为虚拟环境下的计算机架构示意图，其中，Domain u被称为应用虚拟域，Domain 0被称为管理虚拟域；在该虚拟环境中，各个应用虚拟域往往需要组成集合体，共同完成某项任务或者对外提供某项服务，这里的一个应用虚拟域对应于一个虚拟机(VM)，即一个客户操作系统及其具有访问权的硬件，即包括一个Guest OS及该Guest OS具有访问权的硬件。

在该环境中，各应用虚拟域往往需要共享某些客体数据，为实现对这些客体数据的安全共享，必须建立共享机制，实施访问控制。

虚拟环境中，当某个应用虚拟域需要将其中的某个客体数据共享给目标虚拟域时，为保证对于客体数据的访问符合客体数据所有者的需求，需要验证虚拟域所在操作系统和安全执行环境，能否保证访问控制的正确实施，在建立信任机制的基础上，再进一步将数据和策略分发可信虚拟平台，在目标虚拟域中，实施安全共享。

现有技术中的虚拟环境下数据共享的系统，如Terra系统，该系统在软件升级和更新方面存在不安全因素，同时证书撤销机制复杂；现有的Shype技术对各个虚拟域实施访问控制粒度较粗，且现有的面向安全Web服务的TVD技术则是缺乏可扩展性。

发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：

现有虚拟环境下共享数据的方法无法实现有效的安全共享访问。

发明内容

本发明要解决的技术问题是提供一种能够实现安全共享数据访问的应用虚拟域数据访问的方法、虚拟机管理器及计算机。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一方面，提供一种应用虚拟域数据访问的方法，包括：

获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

根据所述可信平台属性策略，对所述访问请求进行过滤；

在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

优选的，根据所述访问请求，获取所述访问请求对应的可信平台属性策略的步骤具体为：

根据所述访问请求中的所述第一应用虚拟域的标识符，获取所述第一应用虚拟域对应的第一可信平台属性；

根据所述可信平台属性策略，对所述访问请求进行过滤的步骤具体为：

根据所述第一可信平台属性，对所述访问请求进行过滤。

优选的，在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问的步骤包括：

根据所述第一可信平台属性，获取所述第一可信平台属性的访问判决或所述第一虚拟域对应的可信属性安全策略；

若所述访问判决或者所述可信属性安全策略允许访问，则认为过滤通过，并根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

优选的，根据所述访问请求，获取所述访问请求对应的可信平台属性策略的步骤具体为：

根据所述访问请求中的所述第二应用虚拟域的标识符，获取所述第二应用虚拟域对应的第二可信平台属性；

根据所述可信平台属性策略，对所述访问请求进行过滤的步骤具体为：

根据所述第二可信平台属性，对所述访问请求进行过滤。

优选的，在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问的步骤包括：

根据所述第二可信平台属性，获取所述第二可信平台属性的访问判决或者所述第二应用虚拟域对应的可信属性安全策略；

若所述访问判决或者所述可信属性安全策略允许访问，则认为过滤通过，并根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

优选的，根据所述访问请求，获取所述访问请求对应的可信平台属性策略的步骤具体为：

根据所述访问请求中的所述第一应用虚拟域的标识符和所述第二应用虚拟域的标识符，获取所述第一应用虚拟域对应的第一可信平台属性和所述第二应用虚拟域对应的第二可信平台属性；

根据所述可信平台属性策略，对所述访问请求进行过滤的步骤具体为：

根据所述第一可信平台属性对所述访问请求进行过滤，若过滤通过，再根据所述第二可信平台属性对所述访问请求进行过滤。

优选的，所述第一可信平台属性包括：所述第一应用虚拟域所在操作系统正常运行的启动参数；所述第二可信平台属性包括：所述第二应用虚拟域所在操作系统正常运行的启动参数和内存地址。

优选的，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问的步骤包括：

获取所述第二应用虚拟域对应的内存空间地址；

根据所述内存空间地址，实现第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

优选的，所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问是基于进程的共享数据的访问。

另一方面，本发明的实施例还提供一种虚拟机管理器，包括：

第一获取模块，用于获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

第二获取模块，用于根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

处理模块，用于根据所述可信平台属性策略，对所述访问请求进行过滤；在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

优选的，上述虚拟机管理器还包括：

可信平台模块TCM，用于存储为应用虚拟域分配的可信平台属性；

所述第二获取模块具体用于，根据所述访问请求中的所述第一应用虚拟域的标识符，在所述TCM中，查询所述第一应用虚拟域对应的第一可信平台属性；和/或根据所述访问请求中的所述第二应用虚拟域的标识符，在所述TCM中，查询所述第二应用虚拟域对应的第二可信平台属性；若查询到，将查询到的所述第一可信平台属性和/或所述第二可信平台属性返回给所述第二获取模块。

优选的，上述虚拟机管理器还包括：

第三获取模块，用于根据所述第一可信平台属性，获取所述第一可信平台属性的访问判决或者所述第一应用虚拟域对应的可信属性安全策略；或者根据所述第二可信平台属性，获取所述第二可信平台属性的访问判决或者所述第二应用虚拟域对应的可信属性安全策略；

所述处理模块具体用于根据所述访问判决或者所述可信平台属性安全策略，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

再一方面，本发明的实施例还提供一种计算机，包括：硬件平台，运行在硬件平台上的虚拟机管理器，第一应用虚拟域和第二应用虚拟域；所述虚拟机管理器包括：

第一获取模块，用于获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

第二获取模块，用于根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

处理模块，用于根据所述可信平台属性策略，对所述访问请求进行过滤；在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

本发明的实施例具有以下有益效果：

上述方案，通过获取第一应用虚拟域发出的访问请求对应的可信平台属性策略，并根据该可信平台属性策略，实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问，使在计算机的虚拟屋实现该第一应用虚拟域对第二应用虚拟域的共享数据的访问控制机制更加安全。

附图说明

图1为现有虚拟机架构示意图；

图2为本发明的实施例应用虚拟域数据访问的方法流程图；

图3为本发明的实施例虚拟机管理器的结构图；

图4为图3所示虚拟机管理器的一具体实现结构图；

图5为本发明的实施例计算机的结构图。

具体实施方式

为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。

本发明的实施例针对现有技术中无法实现有效的应用虚拟域之间的安全共享数据访问的问题，提供一种能够实现安全共享访问的应用虚拟域数据访问的方法、虚拟机管理器及计算机。

如图2所示，本发明的实施例应用虚拟域数据访问的方法，包括：

步骤21，获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

步骤22，根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

步骤23，根据所述可信平台属性策略，对所述访问请求进行过滤；

步骤24，在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

本发明的该实施例通过获取第一应用虚拟域发出的访问请求对应的可信平台属性策略，并根据该可信平台属性策略，实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问，使在计算机的虚拟屋实现该第一应用虚拟域对第二应用虚拟域的共享数据的访问控制机制更加安全。

其中，上述步骤22中，所述访问请求对应的可信平台属性策略可具体是发出访问请求的第一应用虚拟域对应的第一可信平台属性；

上述步骤22可具体为：根据所述访问请求中的所述第一应用虚拟域的标识符，获取所述第一应用虚拟域对应的第一可信平台属性；具体来讲，根据所述访问请求中的所述第一应用虚拟域的标识符，通过所述管理虚拟域，从TCM(Trusted Cryptography Module，可信平台模块)中获取所述第一应用虚拟域对应的第一可信平台属性；

其中，该TCM中存储有为各应用虚拟域所分配的可信平台属性，该可信平台属性包括：为该应用虚拟域分配的TCM资源和计算空间，如应用虚拟域所在操作系统正常运行的启动参数、内存地址等；

相应的，上述步骤23可具体为：根据所述第一可信平台属性，对所述访问请求进行过滤；

进一步的，上述步骤24可具体包括：

根据所述第一可信平台属性，获取所述第一可信平台属性的访问判决或所述第一虚拟域对应的可信属性安全策略；

若所述访问判决或者所述可信属性安全策略允许访问，则认为过滤通过，并根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

另外，上述步骤22中，所述访问请求对应的可信平台属性策略也可以是被访问的第二应用虚拟域对应的第二可信平台属性；

上述步骤22具体为：根据所述访问请求中的所述第二应用虚拟域的标识符，获取所述第二应用虚拟域对应的第二可信平台属性；具体来讲，根据所述访问请求中的所述第二应用虚拟域的标识符，通过所述管理虚拟域，从TCM中，获取所述第二应用虚拟域对应的第二可信平台属性。

相应的，上述步骤23可具体为：根据所述第二可信平台属性，对所述访问请求进行过滤；

进一步的，上述步骤24可具体包括：

根据所述第二可信平台属性，获取所述第二可信平台属性的访问判决或者所述第二应用虚拟域对应的可信属性安全策略；

若所述访问判决或者所述可信属性安全策略允许访问，则认为过滤通过，并根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

另外，上述步骤22还可具体为：根据所述访问请求中的所述第一应用虚拟域的标识符和所述第二应用虚拟域的标识符，获取所述第一应用虚拟域对应的第一可信平台属性和所述第二应用虚拟域对应的第二可信平台属性；具体来讲，根据所述访问请求中的所述第一应用虚拟域的标识符和所述第二应用虚拟域的标识符，通过管理虚拟域，从TCM中，分别获取所述第一应用虚拟域对应的第一可信平台属性和所述第二应用虚拟域对应的第二可信平台属性；

相应的，上述步骤23可具体为：根据所述第一可信平台属性对所述访问请求进行过滤，若过滤通过，再根据所述第二可信平台属性对所述访问请求进行过滤。

其中，上述的所有实施例中，所述第一可信平台属性包括：所述第一应用虚拟域所在操作系统正常运行的启动参数；所述第二可信平台属性包括：所述第二应用虚拟域所在操作系统正常运行的启动参数和内存地址；上述步骤24在具体实现时，该步骤24具体包括：

获取所述第二应用虚拟域对应的内存空间地址；

根据所述内存空间地址，实现第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问是基于进程的共享数据的访问，这样可以实现细粒度的访问控制。

如图3所示，下面结合具体的附图和应用说明上述方法的实现流程：

虚拟环境中，VTRM为基于虚拟层的可信引用机(即在虚拟机管理器中的可信引用机)，Domain U为普通虚拟域；Domain 0为管理虚拟域，Domain u-1为第一应用虚拟域，Domain u-2为第二应用虚拟域。

第一种实现可信数据共享访问控制判决流程包括：

①第一应用虚拟域(Domain u-1)向VTRM发起对第二应用虚拟域(Domain u-2)的访问请求，该访问请求具体可以是该第一应用虚拟域中的进程1发出的对第二应用虚拟域中的进程2的访问请求，访问的客体是：共享数据；

②VTRM截获来自第一应用虚拟域的该访问请求，访问请求的内容可以包括：发出访问请求的进程1、进程1所在第一应用虚拟域的标识符等，VTRM根据该第一应用虚拟域的标识符向管理虚拟域(Domain 0)查询TCM；

③Domain 0根据第一应用虚拟域的标识符，从虚拟机管理器的TCM中，获取所述第一应用虚拟域对应的PCR(保护控制寄存器)寄存器的值，从该PCR寄存器中查询到所述第一应用虚拟域对应的第一可信平台属性，并将该第一可信平台属性返回给VTRM；

④VTRM向访问控制缓存查询是否存在所述第一可信平台属性的访问判决，该访问判决如：第一应用虚拟域没有防病毒防护则不允许访问；

⑤访问控制缓存将查询结果返回给VTRM，如果存在该第一访问端平台属性的判决结果，直接根据该结果实施判决；或者进一步进入⑥

⑥VTRM根据该第一应用虚拟域对应的第一可信平台属性，依据相应的可信属性策略对第一应用虚拟域判决其是否可以访问其他虚拟域，其中，该可信属性策略是由管理者去定义，内容可以包括：例如“虚拟域BIOS设置被修改可以认为安全可以访问；或者虚拟域操作系统内核变化不能访问等等；

⑦将相应的结果返回给VTRM；

⑧VTRM返回判决结果，如果判决结果允许，则允许访问，否则返回拒绝访问；

⑨如果允许访问请求，第一虚拟域中的进程1就可以和第二虚拟域中的进程2进行共享数据的访问。

第二种实现可信数据共享访问控制判决流程包括：

①第一应用虚拟域(Domain u-1)向VTRM发起对第二应用虚拟域(Domain u-2)的访问请求，该访问请求具体可以是该第一应用虚拟域中的进程1发出的对第二应用虚拟域中的进程2的访问请求，访问的客体是：共享数据；

②VTRM截获来自第一应用虚拟域的该访问请求，访问请求的内容可以包括：目标进程2(第二应用虚拟域中的进程)、进程2所在第二应用虚拟域的标识符等，VTRM根据该第二应用虚拟域的标识符向管理虚拟域(Domain 0)查询TCM；

③Domain 0根据第二应用虚拟域的标识符，从虚拟机管理器中的TCM中，获取所述第二应用虚拟域对应的PCR(保护控制寄存器)寄存器的值，从该PCR寄存器中查询到所述第二应用虚拟域对应的第二可信平台属性，并将该第二可信平台属性返回给VTRM；

④VTRM向访问控制缓存查询是否存在所述第二可信平台属性的访问判决，该访问判决如：第二应用虚拟域没有防病毒防护则不允许访问；

⑤访问控制缓存将查询结果返回给VTRM，如果存在该第二访问端平台属性的判决结果，直接根据该结果实施判决；或者进一步进入⑥；

⑥VTRM根据该第二应用虚拟域对应的第二可信平台属性，依据相应的可信属性策略对第二应用虚拟域判决其是否可以允许第一应用虚拟域访问，其中，该可信属性策略是由管理者去定义，内容可以包括：例如“虚拟域BIOS设置被修改可以认为安全可以访问；或者虚拟域操作系统内核变化不能访问等等；

⑦将相应的结果返回给VTRM；

⑧VTRM返回判决结果，如果判决结果允许，则允许访问，否则返回拒绝访问；

⑨如果允许访问请求，第一虚拟域中的进程1就可以和第二虚拟域中的进程2进行共享数据的访问。

第三种实现可信数据共享访问控制判决流程包括：

上述第一种实现可信数据共享访问控制判决流程的①-⑦中，第⑧步骤中，若VTRM返回判决结果是允许访问，则进入上述第二种实现可信数据共享访问控制流程的第③步骤，直到上述第二种实现可信数据共享访问控制流程的⑨步骤结束。

综上所述，本发明的方案是在虚拟环境VMM的虚拟域访问控制系统，在管理虚拟域获取各个虚拟域的可信平台状态(例如虚拟域访问VMM的内存空间是否在预定地址，虚拟域的启动参数是否被篡改等等保证虚拟域按照预定运行的状态)，依据客户定制好的安全策略，在虚拟层(VMM)截获来自虚拟域的数据共享请求，实施基于可信平台属性的虚拟域共享；采用本发明的上述方案之后的优势还有：

1，基于可信平台属性的访问控制，管理虚拟域动态获取应用虚拟域的可信平台属性，根据其的可信平台状态，保证可以依据安全策略对于数据实施访问控制；

2，细粒度的访问控制。在虚拟层VMM，可以根据发出访问请求的某个进程的可信平台状态(进程的可信平台状态指虚拟域运行的操作系统下启动一个进程访问的内存空间，调用的操作系统底层静态/动态库的完整性等)，对其实施访问，控制粒度可以实现针对进程的访问控制；

3，可扩展性。访问判定的依据主要是访问端应用虚拟域的可信平台属性或者目标应用虚拟域的可信平台属性，不再依赖于某个具体的进程的度量值，很具可扩展性；

4，访问控制机制更加安全，访问控制引用机制主要运行于虚拟层VMM，由于VMM代码较少，功能单一，因此对其的攻击很少，访问控制机制更加安全。

如图4所示，本发明的实施例还提供一种虚拟机管理器，包括：

第一获取模块，用于获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

第二获取模块，用于根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

处理模块，用于根据所述可信平台属性策略，对所述访问请求进行过滤；在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，该虚拟机管理器还包括：

可信平台模块TCM，用于存储为应用虚拟域分配的可信平台属性；

所述第二获取模块具体用于，根据所述访问请求中的所述第一应用虚拟域的标识符，在所述TCM中，查询所述第一应用虚拟域对应的第一可信平台属性；和/或根据所述访问请求中的所述第二应用虚拟域的标识符，在所述TCM中，查询所述第二应用虚拟域对应的第二可信平台属性；若查询到，将查询到的所述第一可信平台属性和/或所述第二可信平台属性返回给所述第二获取模块。

另外，上述虚拟机管理器还可包括：

第三获取模块，用于根据所述第一可信平台属性，获取所述第一可信平台属性的访问判决或者所述第一应用虚拟域对应的可信属性安全策略；或者根据所述第二可信平台属性，获取所述第二可信平台属性的访问判决或者所述第二应用虚拟域对应的可信属性安全策略；

所述处理模块具体用于根据所述访问判决或者所述可信平台属性安全策略，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，上述实施例中，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问具体包括：

获取所述第二应用虚拟域对应的内存空间地址；

根据所述内存空间地址，实现第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问是基于进程的共享数据的访问，这样可以实现细粒度的访问控制。

需要说明的是，上述第一、二、三种实现可信数据共享访问控制流程均适应用于该虚拟机管理器(VMM)的实施例中，也同样通过管理虚拟域获取第一应用虚拟域发出的访问请求对应的可信平台属性策略，其中，该访问请求对应的可信平台属性策略包括：第一应用虚拟域对应的可信平台属性，或者第二应用虚拟域对应的可信平台属性，或者即包括第一应用虚拟域对应的可信平台属性，又包括第二应用虚拟域对应的可信平台属性；并根据该可信平台属性策略，实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问，使在计算机的虚拟屋实现该第一应用虚拟域对第二应用虚拟域的共享数据的访问控制机制更加安全。

如图5所示，本发明的实施例还提供一种计算机，包括：硬件平台，运行在硬件平台上的虚拟机管理器，第一应用虚拟域和第二应用虚拟域；其中，所述虚拟机管理器包括：

第一获取模块，用于获取第一应用虚拟域发出的对第二应用虚拟域的访问请求；

第二获取模块，用于根据所述访问请求，获取所述访问请求对应的可信平台属性策略；

处理模块，用于根据所述可信平台属性策略，对所述访问请求进行过滤；在过滤通过时，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，该虚拟机管理器还包括：

可信计算密码TCM模块，用于存储为应用虚拟域分配的可信平台属性；

所述第二获取模块具体用于，根据所述访问请求中的所述第一应用虚拟域的标识符，在所述TCM中，查询所述第一应用虚拟域对应的第一可信平台属性；和/或根据所述访问请求中的所述第二应用虚拟域的标识符，在所述TCM中，查询所述第二应用虚拟域对应的第二可信平台属性；若查询到，将查询到的所述第一可信平台属性和/或所述第二可信平台属性返回给所述第二获取模块。

另外，上述虚拟机管理器还可包括：

第三获取模块，用于根据所述第一可信平台属性，获取所述第一可信平台属性的访问判决或者所述第一应用虚拟域对应的可信属性安全策略；或者根据所述第二可信平台属性，获取所述第二可信平台属性的访问判决或者所述第二应用虚拟域对应的可信属性安全策略；

所述处理模块具体用于根据所述访问判决或者所述可信平台属性安全策略，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，上述实施例中，根据所述访问请求实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问具体包括：

获取所述第二应用虚拟域对应的内存空间地址；

根据所述内存空间地址，实现第一应用虚拟域对所述第二应用虚拟域的共享数据的访问。

其中，所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问是基于进程的共享数据的访问，这样可以实现细粒度的访问控制。

需要说明的是，上述第一、二、三种实现可信数据共享访问控制流程均适应用于该虚拟机管理器(VMM)的实施例中，也同样通过管理虚拟域获取第一应用虚拟域发出的访问请求对应的可信平台属性策略，其中，该访问请求对应的可信平台属性策略包括：第一应用虚拟域对应的可信平台属性，或者第二应用虚拟域对应的可信平台属性，或者即包括第一应用虚拟域对应的可信平台属性，又包括第二应用虚拟域对应的可信平台属性；并根据该可信平台属性策略，实现所述第一应用虚拟域对所述第二应用虚拟域的共享数据的访问，使在计算机的虚拟屋实现该第一应用虚拟域对第二应用虚拟域的共享数据的访问控制机制更加安全。

以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明所述原理的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。