跨域虚拟通信安全模型设计及通信技术

摘要：虚拟机不仅具有硬件系统的所有功能，还能够解决硬件设备不兼容的问题，从而实现了信息资源共享，提高了运行的流畅度。在部署虚拟机时，将多台虚拟机进行跨域连接，可以提供更多的功能与服务，满足用户多样化的使用需求。但是在跨域信息交流中，也面临着信息泄露等通信安全问题。文章首先介绍了现阶段常用的几种跨域虚拟机通信安全模型，包括PROCESS-A、TEDCM等，随后分析了通信安全模型的数据结构，信息交互操作实现过程，以及安全风险的分析与控制策略。

关键词：跨域虚拟机；通信安全；信息交互；风险分析

在信息泄露问题日益严重的背景下，如何保障虚拟机间通信安全就成为人们关注的焦点问题。跨域虚拟机虽然也能够起到一定的安全保护效果，但是不能从源头上解决入侵破坏带来的信息泄露风险。本文从设计通信安全模型方面展开研究，利用安全模型实现对通信环境的监控和维护，从而为虚拟机跨域通信营造了安全环境，具有更强的实用性。

1跨域虚拟机间通信安全模型设计

1.1PROCESS-A

在Xen虚拟机中，XenStore的主要作用是连接应用软件和底层硬件，保证了底层硬件能够根据应用软件下达的各项指令作出相应的动作。PROCESS-A就是基于XenStore的这一功能，从而实时、全面地掌握物理主机上的运行信息。特权虚拟机通过识别信息来源，将发送该信息的物理主机定义为A。同时，根据控制指令，将信息发往的目标主机定义为B。判断A和B是否为同一台物理主机。如果判定结果为“是”，说明信息交换在物理主机内部完成，这种情况下只需要启用物理主机上的杀毒软件或安全系统（如防火墙），即可达到保障通信安全的目的；如果判定结果为“否”，说明信息交换在两台不同的物理主机之间完成，这种情况下就需要利用TEDCM安全通信机制，保证跨域虚拟机的通信安全。

1.2TEDCM

基于TEDCM构建的通信安全模型，主要实现两种功能：其一，核实被保护信息的发出系统和发往系统是否位于同一台物理主机。其二，经核实信息发出与接收的两台虚拟机，均位于相同的物理主机，调用系统内部的钩子函数，通过提取信息特征对其做加密保护，借助于前端驱动、后端驱动然后完成信息传输；经核实信息发出与接收的两台虚拟机，位于不同的物理主机，基于钩子函数加密之后，借助于真实网卡、外置通讯装置等，将信息传输到另一台物理主机上的虚拟机。其流程如图1所示。结合上述流程可以发现，TEDCM功能的实现，首先要依赖于钩子函数对于传输信息特征值的提取。而钩子函数判断并提取特征信息的关键，就在于PROCESS-A。根据系统执行PROCESS-A的结果，可以准确判断发出该信息的虚拟机，与将要接受该信息的虚拟机，是否位于相同物理主机上。如果是同一台物理主机上的内部通信，说明该信息在发送前已经被加密，此时TEDCM要进行解密；如果是不同物理主机上的跨域通信，为了保证信息在外部网络中的传输安全，此时TEDCM要进行加密。

1.3安全分析

Xen虚拟机由两部分组成，即特权虚拟机和非特权虚拟机。在部署安全模型时，为提高响应速度和减轻虚拟机运行负载，需要将安全模式放在特权虚拟机上。当位于不同物理主机上的两台虚拟机进行信息交互时，同时启动加/解密系统。此时，虚拟机将加密后的信息，依次通过前端、后端驱动，进入到带有安全模型的特权虚拟机中。在接收信息后，安全模型调用钩子函数，利用该函数可以快速检索XenStore中存储的表数据。完成一边数据检索后，钩子函数作出判断并根据判断结果执行相应的动作。若判断结果为“否”，经过加密后的数据可以通过通信回路，从虚拟机转到物理主机，再经由物理主机上的网卡以及外部网络，传输到指定的另一台物理主机上。经过虚拟化处理后，信息进入到特权虚拟机上，XenStore执行解密操作，依次经过后端、前端驱动后，最终达到另一台虚拟机上。

2跨域虚拟机间通信安全模型实现

2.1相应的数据结构

2.1.1基于特权虚拟机的安全模型基于TEDCM安全通信机制的安全模型，其正常运行与功能实现需要使用到netfilter框架。安全模型启动之后，首先要进行初始化设置，可以通过一个init（）程序来实现，如图2所示。上述程序除了进行安全模型的初始化处理外，还具有两个判断功能。功能之一是对所有输入的数据包进行判断，目的在于识别这些数据包的来源；功能之二是对所有输出的数据包进行判断，目的在于识别这些数据包的去向。其判断依据主要是IP地址，通过IP是否一致最终判断两台虚拟机是否部署在同一台物理主机上。

2.1.2基于非特权虚拟机的安全模型非特权虚拟化操作系统发送消息抵达前端后，会进入blkif_queue_request函数中，对保存在数组中的数据进行加/解密处理，根据DES加解密的特点，里面有一个循环条件。循环加密流程为：安全模型提取前端驱动中的特征数据，执行判断条件“全部数据是否执行加/解密处理”。此时TEDCM会对所有送达的数据进行逐一验证。完成第一遍筛选后，根据验证结果执行相应的动作。若结果判定为“是”，则循环加密程序结束；反之，若结果判定为“否”，则重新返回，进行第二遍加/解密。完成处理后再进行第二次验证，验证结束后进行条件判定，重复上述步骤，直到所有数据均完成加/解密处理后，跳出循环条件，完成整个循环加/解密流程。

2.2模型的使用

TEDCM安全模型是基于Linux环境开发的，上文中提到的netfilter也是Linux系统中的一种通用框架。在模型的使用过程中，只需要借助于Makefile文件，就能够实现对各类文件夹、数据包的筛选与判断，从而简化了安全模型在信息加密和风险识别等方面的流程，提高了该安全模型的运行效率。尤其是对于跨域虚拟机之间的大数据流量，也能够完全满足安全检测需求，对提高通信安全效果有积极帮助。另外，TEDCM安全模型使用C语言进行编程，丰富了数据结构、提高了设计自由度，让TEDCM安全模型的功能更加强大。

3跨域虚拟机间通信技术研究

3.1信息交互操作实现过程

早期的Xen虚拟机，多采用半虚拟化技术，在程序运行时需要借助于物理主机上的客户端，虽然其性能更加优越，但是在信息交互时也面临着更大的风险。因此，在进行跨域通信时，半虚拟化技术已经逐渐被淘汰。相比之下，Xen虚拟机的完全虚拟化运行方式，则可以将所有程序，甚至包括客户端都包含在虚拟机以内，保证了运行环境的安全。基于完全虚拟化环境的信息交互操作，需要考虑的问题有：（1）信息借助于何种路径完成通信？（2）该通讯路径的安全环境如何，以及可能存在何种安全风险？（3）在明确风险的基础上，应制定何种策略来保障通信安全？

3.1.1基于一台物理主机的操作理论上来说，一台物理主机尽可能少部署虚拟化操作系统，可以降低不同系统之间在信息交互时发生串扰的概率。但是在实际工作中，出于成本、功能等方面的考虑，每台物理主机上可能同时运行了若干虚拟化操作系统。这种情况下，就对Xen虚拟机的可操作性和协调能力提出了极高的要求。为了实现这一功能，在特权虚拟机中只保留了后端驱动，而将前端驱动分别置于不同的客户虚拟机中。不同虚拟机之间的通信路径如图3所示。图3位于同一物理主机上的客户虚拟机，分别设有一个前端驱动。并且利用通用接口，与特权服务器上的后端驱动相连接。具体的流程为：客户端虚拟机上的任何一项指令（包括信息的输出与输入指令），首先到达本机的前端驱动上。但是在虚拟化操作系统中，该指令无法直接传达到底层的设备。这种情况下，就需要通过跨域通信的方式，让前端驱动中的信息传递到位于特权虚拟机上的后端驱动。然后从特权虚拟机上，实现控制信息与底层设备的连接，实现程序响应或控制设备动作。

3.1.2基于不同两台物理主机的操作随着云技术的发展，各类云平台的出现为虚拟机的跨域通信带来了更多的方便。目前，云存储因为具有容量上限更高、安全性能更好等诸多优势，已经逐渐取代了传统的物理服务器，成为一种主流选择。将虚拟化操作系统置于两台云服务器中，开展信息交互的路径如图4所示。结合图4可知，客户虚拟机指令或消息以后，首先到达本机的前端驱动上。然后借助于通用接口，准备向特权虚拟机的后端驱动传输。在传输过程中，Xen虚拟机的监视程序（VMM）启动，并且对数据包进行检测和过滤，确保该信息的安全性。通过检测之后，数据包到的后端驱动，并经过特短虚拟机最终传输到物理主机上的网卡中。

3.2风险分析

在风险分析时，需要重点关注的内容有：其一，选择实力较强、信誉良好的虚拟化供应商，有助于保证虚拟机间通信环境的安全性；其二，加强对信息交互过程的实时监控，避免跨域通信过程中出现信息泄露或拦截等风险。在信息传输前进行加密，在信息接收后再进行解密，同时还要加强对传输媒介的监管，才能让整个通信流程更加安全，避免涉密信息的丢失、泄露，确保通信安全。

4结束语

大数据时代的网络通信需求激增，用虚拟机代替物理主机，除了降本增效外，还可以为用户提供更加便捷的操作和更加丰富的功能，因此得到了推广使用。随着虚拟机应用越来越广泛，随之而来的跨域通信也成为常态，保障跨域通信的信息安全，成为当下研究的热门课题。通过设计基于TEDCM的安全模型，以及加强虚拟通信路径安全管理等综合措施，营造出安全水平较高的跨域通信环境，进而支持虚拟机功能的更好发挥。

参考文献：

[1]郭晶，杜平.面向云计算虚拟化的信息安全防护方案研究[J].信息安全与技术，2020（1）：31-33.

[2]李鼎基，糜泽羽，吴保东，等.基于跨虚拟机零下陷通信的加速器虚拟化框架[J].软件学报，2020（10）：147-148.

[3]关振宇，陈永江，李大伟，等.一种基于区块链的车联网跨域认证方案[J].网络空间安全，2020（9）：62-69.

[4]陈子瑜，覃涛，涂艳丽，等.资源池入池虚拟机标准化配置模型研究[J].电信科学，2019（S1）：12-13.

[5]董贵山，陈宇翔，李洪伟，等.异构环境中基于区块链的跨域认证可信度研究[J].通信技术，2019（6）：75-76.

作者：计策 肖军 吕翔 单位：中国人民解放军31401部队