虚拟机动态迁移中的安全对策分析

潘文标 李洪波

摘要：计算机技术的不断进步让虚拟化技术市场得到了很大发展，虚拟机动态迁移作为虚拟技术的重点内容，在虚拟机集群的管理、维护和资源优化中都发挥出了重要作用。当前阶段，关于虚拟机动态迁移的相关研究较多，但是虚拟机动态迁移中的安全性问题研究相对较少。基于此，本文简要阐述了虚拟机动态迁移中的攻击点，对其进行简要分析，提出了一定的应对方式，旨在促进虚拟化技术的进一步发展。

关键词：虚拟机动态迁移安全攻击安全对策

虚拟化促进了云计算的发展，虚拟机动态迁移技术作为实现虚拟化的重点，可以实现对大量数据的同时迁移，可以在很大程度上减少对资源的浪费。将一个虚拟机从虚拟机监视器（VMM）上转移到另一个监视器上的迁移手段，被称为虚拟机的动态迁移，该迁移活动所使用到的物理机具有差异性。此种转移具有一定的优势，比如客户操作系统不需要关机就可以实现相关的操作，具有非常强的便利性，为分布式计算的发展提供一定的思路，但是其中依旧存在着不少的安全挑战，需要对这些安全隐患问题进行关注。

1.虚拟机迁移的相关概述

1.1虚拟机迁移的簡介

虚拟机技术实现了在同一物理机器上运行多个操作系统的功能，并且提供了可靠的隔离层（VMM），让物理资源的利用变得更加便捷。将虚拟机从一台VMM转移到另一台上的迁移方式，其主要目的就是在转移之后或转移过程中，实现虚拟机的继续运行，主要可以分为静态迁移和动态迁移两种情况[1]。所谓的静态迁移就是在数据迁移的过程中，让虚拟机处于暂停的状态下，此种迁移方式没有较大的难度，适合应用在对时效性无要求的迁移工作当中;而动态迁移就是相对于静态迁移而言，实施数据迁移的过程中，虚拟机依旧可以处于开机状态，为用户提供不间断的服务，此种方式方便且快捷，在市场上更具发展前景。总体而言，目前的各大主流行的虚拟化平台都有提供动态迁移的功能，以共享存储为基础实现对用户数据中心的有效管理，在系统整体性能提升方面可以发挥出重要的作用。

1.2虚拟机动态迁移需满足的要求

想要实现虚拟机的动态迁移，需要重视几个方面的要求。首先是保持最小中断。迁移的过程中尽量保持最小的停机时间，因为停机状态下无法执行任何指令。其次是要保持一致性。整个迁移过程的时间都不可过长，且要保持2台机器都处于正常状态，实施同步的迁移和转入，避免影响稳定性。再次是保持受最小干扰。在动态迁移工作开展时，需要对可能会发生的干扰问题进行有效规避，避免出现资源争夺的现象，给迁移服务造成不利影响。最后是保持透明性。虚拟机的动态迁移过程中需要对用户开放，迁移期间的所有网络连接和应用程序都需要保持在正常状态下。

2.虚拟机动态迁移技术

2.1虚拟机动态迁移的机制

预拷贝技术是实现虚拟机动态迁移的关键性技术，该技术在计算机领域已经有了较为广泛的应用。对于预拷贝技术而言，其运行的主要流程即对内存页和脏页实施拷贝[2]。预拷贝的第一个步骤就是对内存页中的动态迁移数据进行拷贝，第二个步骤就是对动态迁移中经内存页拷贝所出现的脏页进行拷贝，之所以被称为脏页，主要是经过了第一个步骤的调整和操作之后，内存页已经不是初始状态的条件。虚拟机动态迁移中的预拷贝技术是对迁移数据实施多次的传输，只有脏页达到一定次数之后才会停止继续拷贝，因此这种技术也存在一定的劣势，重复的操作会消耗大量时间，对数据安全性也存在一定的威胁，因此需要对其进行改进。

2.2虚拟机快速实时动态迁移的方法

此种方法是将预拷贝技术作为基础，对其进行改进和优化，将其形成实时动态的过程。改进后的动态迁移过程主要可以分为6个阶段的内容：第一阶段是在实施前需要具备一个完善的主机，以此为载体来实现迁移的阶段为预迁移;第二阶段是将迁移虚拟机所需要的资源都复制到目标全迁入虚拟机之后，以形成初始化的计算机程序;第三阶段是让预拷贝的时间缩短，并且让操作变得更加便捷化，属于改进阶段;第四、五阶段是停止拷贝提交相关资源，属于虚拟机暂停阶段;第六阶段就是将虚拟机与本地设备连接在一起，以保证设备处于正常运行状态[3]。

3.虚拟机动态迁移中的安全问题

现阶段的云计算已经得到了快速发展，以此为基础的虚拟迁移系统也走上了不断升级的道路。虚拟机是将各种演示环境都融入其中，并模拟各种例子的运行状态，以此来保障数据迁移的高效性和安全性[4]。就目前而言，我国对于虚拟机动态迁移的研究还较少，并且存在着不少问题，都将重点集中在迁移方法和策略当中，却忽视了迁移过程中的安全性问题。若在迁移过程，重要的数据遭受恶意攻击，就会导致很多问题出现，进而影响到数据的安全性。

3.1虚拟机动态迁移的攻击点

3.1.1迁出端与迁入端

迁出端具备高级权限，当动态迁移虚拟机发出迁移指令时，攻击者就可发挥其监视功能，达到对虚拟机迁移的直接性的控制。以此行为为例，即便是无高级权限的情况下，也存在着泄露迁出端敏感信息的危险，进而给动态迁移造成不利影响;对迁入端的信息进行伪造，可能会模糊迁出端的判断，以错误的判断来切断数据的传递，让其无法到达传输端，以此来实现对迁入端的攻击。

3.1.2网络连接与文件资源服务器

动态迁移工作的开展是将网络环境作为基础，而攻击者可以对其进行利用，在迁移指令发出后实施对迁出端信息的监视，以此来获取迁移内容的具体信息;文件资源服务器作为虚拟信息的主要存储点，其重要性不言而喻。文件系统的攻击实际属于传统安全威胁的范畴，在此不做过多赘述。

3.2虚拟机动态迁移的攻击分析

虚拟机主要由用户层、应用层、系统层、虚拟机监控器和硬件层5个部分所构成[5]，其攻击问题可以从虚拟监控器、迁移数据和迁移模块3个方面进行简要的分析。

3.2.1针对虚拟监控器的攻击

所谓的虚拟机监控器，实际上属于虚拟机的核心程序。用户在对虚拟机进行使用的时候，虚拟机监控器也会进入到相应状态当中，以实现对数据信息的保护，防止出现网络欺骗的现象。

VMM的攻击主要表现在3个方面的内容：一是未通过授权的攻击者对动态迁移的指令进行擅自的应用，利用此种方式将用户的信息迁移到自己的服务器中，实现控制用户虚拟机的目标;二是攻击者利用动态迁移指令对大量用户虚拟机做出误导，以此种方式实现虚拟机用户数据的转移，让该服务器中的VMM出现超负荷的状态，最终导致其工作被迫处于暂停状态;三是攻击者在系统控制层中发布虚假信息，让用户虚拟机误以为某服务器存有空间，以此种方式类对正常的VMM进行影响，最终将被攻击的虚拟机中的信息数据迁移到已被劫持的VMM上。当前阶段的大部分虚拟机产品依旧需要借助人工，但是在迁移的过程中存在着服务器跨多个管理与或主机地址不可预知的风险，因此安全性问题是必须要重点考虑的问题。

3.2.2针对迁移数据的攻击

攻击者会主动挑选一些迁移中没有保护措施的虚拟机进行攻击，获取想要的数据信息，因此在开展虚拟机动态迁移工作时，必须要对数据的安全性进行保证，避免攻击者对虚拟机状态信息和数据实窥探或者篡改。被动侦听和主动控制是动态迁移中数据内容容易遭遇的两种攻击，其中被动侦听指的就是攻击者攻击迁移数据，使其处于被动状态，而主动控制指的就是攻击者劫持数据应对其进行隐藏，以此达到对数据的主动控制。

迁移数据的被动侦听会泄露用户的敏感信息，因为攻击者会对迁移的具体路径和相关的数据流進行监测，并对虚拟机储存器中的信息进行提取。例如，密码、密钥等已经处于加密状态且受到保护的数据也可能会受到侦听攻击的风险。因为攻击者可以对动态迁移流的特点进行利用，利用此种方式实现对用户虚拟机的识别，再从自身的逻辑位置发动相应的网络攻击，以路由劫持等攻击方式比较常见;迁移数据的主动控制指的是利用中间人的方式，实施对虚拟机内存的攻击，从而达到攻击、劫持客户机操作系统的目的。

3.2.3针对迁移模块的攻击

VMM组件要具有抵御攻击者的功能，因为迁移模块是保证网络服务正常运行的重要模块，但是基于此，攻击者也可以实现对动态迁移中的各类软件功能的合理利用，通过各种远程操作的方式来实现对VMM的破坏。VMM作为客户机操作系统的基础性内容，所有操作系统都集中在此，一旦出现漏洞问题，其中的普通软件也会受到攻击风险的影响。以VMM被劫持为例，其中的普通模块都会受到安全威胁的影响，最终会影响到VMM目的端的客户虚拟机的正常运行。

4.虚拟机动态迁移中的安全对策

4.1动态迁移架构控制

4.1.1受保护数据的迁移

虚拟机动态迁移的安全性与VMM以及目的VMM的相互认证有着密切的联系，利用此种方式来实现对数据安全性的保护，因为管理员的灵活访问在一定程度上代表着风险性[6]。在开展虚拟机动态迁移的过程当中，数据防护是非常重要的一项内容。比如，开展虚拟机动态迁移工作之前，需要对内存页的访问做出一定的限制，并对可能会出现的攻击方式实施有效防范。管理器在对内存页实施访问的时候，要限制对其中已加密保护的文本文件的访问，以此种方式来保证受保护文件迁移过程的安全性。对于普通内存页而言，将其直接映射到管理器的内存空间当中，再利用动态迁移管理将其传输到虚拟机当中，就可以实现内存页的加密处理，让内存页的迁移数据安全保护力度得以提升。若要将会话密钥设置在每个内存页当中，需要在解密之前对受保护内存页的哈希值进行比较，将其与页帧号绑定之后，以期实现对传输安全性的有效提升。

4.1.2元数据的迁移

迁移平台中的元数据凭借数组、链表和哈希表的形式而实现存储，这种存储方式方便对数据的高效处理[7]。在迁移的过程当中，需要将虚拟机相关的元数据从原有的数据结构中剥离出来，在迁入端服务器的虚拟机中实现对元数据的整合处理。预拷贝阶段的元数据依旧存在被控制的可能，因此可以将元数据的封装和发送设置在停止和复制的，当内存映像被目的端所接收之后，再实施对元数据的接收和解封处理。

4.2动态迁移的安全模块

在开展虚拟机动态迁移的过程中，可能会出现不同类型的问题，需要针对这些问题来对动态迁移的方法作出一定的优化和调整。

4.2.1对分时检测与利用进行关注

在虚拟机动态迁移的过程中，对内存页进行映射和发送的时候，会存在分时检查分析利用攻击。此时的虚拟机正处在一个运行的阶段当中，虚拟机上的用户程序也处在运行状态中，在该阶段对内存页实施检查，对其是否为保护页作出一定判断。如果其为保护页，就可以采取直接解密的安全保护方式。如果不是保护页，需要对敏感页作出加密操作之后，将其迁移到另一个程序当中。应用这种安全迁移的策略，可以对撤销重定向内存映射到零页时的漏洞进行解决，也能对安全性进行保证。

4.2.2对迁移虚拟机的恢复进行关注

当虚拟机处于恢复阶段时，如果采用了错误的恢复顺序也会造成一定的安全性问题。比如，迁移管理器在对所有页表页面进行标记的时候，迁出端服务器上的虚拟机会被接收，并在迁入端的恢服务器上进行恢复。实际上，页面的恢复属于一种过程，它是将内存页映射的权限赋予到了虚拟机的身上，以此来作出页表是否授权的考量，确保在无法完成恢复操作之前，实现对安全信息元数据的完全接收，以来完成动态迁移中所存在序列恢复问题。

4.2.3对重放攻击进行关注

在虚拟机动态迁移的过程中，预拷贝阶段已经完成了对内存页数据的多轮传送，如果上一轮的页面显示为标记状态，就会在迁移管理器中的得到页面的加密映像，然后网络进行发送[8]。如果上一轮被保护的页面被弄脏过多次，则说明其为恶意迁移管理器所发送的内容，而不是新内存页的重放攻击。想要对这种攻击类型进行有效预防，当受保护的页面处于停止和复制阶段时候，需要对其进行哈希计算，并与之前匹配的哈希值进行对比，以此来作出恢复处理。

4.3重视虚拟机安全迁移协议

在开展一定的仿真实验后可以得出，虚拟动态迁移的过程中若不采用任何安全协议，会让内存页遭遇较大的网络攻击，攻击者甚至可以对用户数据进行轻松获取并对其实施篡改。将安全协议内容应用在其中，当攻击者企图对用户数据进行修改时，迁入端服务器能够实现对其检测，随之就会出现数据企图被修改的提示性信息，从而减少虚拟机动态迁移的安全漏洞。

5结语

总之，在虚拟化技术不断发展及影响下，虚拟机的动态迁移技术也正在持续升级和发展，并且有着越来越更广泛的发展前景。现阶段的虚拟机动态迁移中依旧存在着不少的安全问题需要关注，在对其进行应用的过程中，一定要从动态迁移中的攻击点出发，实现对虚拟机动态迁移的安全保护。在未来的发展当中，需要注意资源的合理配置，重视安全协议的构建以及各端口的验证，进一步提升安全防护效果。

参考文献

[1]张从越.云计算环境下基于多目标优化的虚拟机迁移研究[D].南京：南京邮电大学，2020..

[2]贺王凯.移动边缘计算环境下虚拟机动态迁移策略研究[D].保定：河北大学，2021.

[3]吴宇飞，焦嘉.云计算环境下面向能耗降低的虚拟机选择策略[J].网络安全技术与应用，2022（1）：68-70.

[4]陈双喜，赵若琰，刘会，等.基于KVM的虚拟机Post-Copy动态迁移算法稳定性优化[J].电信科学，2021，37（7）：57-66.

[5]胡康立，曾岚，石方，等.云数据中心虚拟机调度研究综述[J].广州大学学报：自然科学版，2021，20（3）：59-68.

[6]沈华峰.一种云计算环境下的虚拟机动态迁移策略[J].计算机测量与控制，2019，27（3）：159-163.

[7]曾少慧，邱彬.云计算中虚拟机脏页实时迁移的改进策略[J].汕头大学学报：自然科学版，2019，34（2）：15-22.

[8]周震，袁正道，李俊峰.云数据中心基于温度感知的虚拟机迁移模型[J].计算机应用与软件，2021，38（11）：70-76.