虛擬化環(huán)境下支付應(yīng)用的合規(guī)性檢測(cè)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于支付應(yīng)用安全技術(shù)領(lǐng)域，尤其涉及虛擬化環(huán)境下針對(duì)支付應(yīng)用的PCI DSS隔離要求的合規(guī)性檢測(cè)。
【背景技術(shù)】
[0002] 近年來(lái)虛擬化和云計(jì)算技術(shù)發(fā)展迅速，很多組織和企業(yè)開(kāi)始將虛擬化技術(shù)應(yīng)用 到自己的信息系統(tǒng)建設(shè)中。支付卡行業(yè)（Payment Card Industry, PCI)安全標(biāo)準(zhǔn)委員會(huì) 在2010年的新版數(shù)據(jù)安全標(biāo)準(zhǔn)（Data Security Standard，DSS) v2.0中指出："PCI DSS 合規(guī)性評(píng)估的系統(tǒng)組件包括所有的虛擬化組件"，在條款2.2.1中也有"虛擬化"的明確 字樣出現(xiàn)，這些更新明確了虛擬化技術(shù)可以被用于持卡人數(shù)據(jù)環(huán)境（Cardholder Data Environment,⑶E)。委員會(huì)的虛擬化小組也出臺(tái)了PCI DSS虛擬化指南，這也為在支付應(yīng) 用建設(shè)中使用虛擬化技術(shù)提供了依據(jù)。
[0003] 支付應(yīng)用為持卡人提供多樣化的支付服務(wù)手段，由于其業(yè)務(wù)數(shù)據(jù)的傳輸內(nèi)容涉及 用戶(hù)的銀行卡號(hào)、口令等敏感信息，所以，對(duì)于用戶(hù)而言，支付應(yīng)用的安全性顯得非常重要。 為盡可能地減少數(shù)據(jù)外泄的可能性，商家、收單方等執(zhí)行支付應(yīng)用的實(shí)體必須執(zhí)行PCI的 安全審計(jì)程序，以確保遵守PCI DSS的要求，也即進(jìn)行合規(guī)性檢測(cè)。根據(jù)相關(guān)法律法規(guī)和行 業(yè)準(zhǔn)則，研究新環(huán)境下(特別是虛擬化環(huán)境下）的合規(guī)性檢測(cè)方法，能夠幫助企業(yè)或?qū)嶓w及 時(shí)發(fā)現(xiàn)當(dāng)前存在的不合規(guī)狀態(tài)，保障虛擬化環(huán)境下支付應(yīng)用的安全性，更好地保護(hù)持卡人 數(shù)據(jù)安全。
[0004] 但是，現(xiàn)有的合規(guī)性檢測(cè)方法主要是針對(duì)傳統(tǒng)的信息系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)的，其系 統(tǒng)組件中并沒(méi)有考慮虛擬化組件；隨著虛擬化技術(shù)的快速發(fā)展，在同一臺(tái)物理機(jī)上可以部 署多臺(tái)虛擬機(jī)，在提高資源利用率的同時(shí)也帶來(lái)了新的安全風(fēng)險(xiǎn)，對(duì)PCI DSS的合規(guī)性也 產(chǎn)生了相應(yīng)的影響。PCI DSS隔離要求主要是需要設(shè)置防火墻和路由器配置來(lái)限制非受信 網(wǎng)絡(luò)與持卡人數(shù)據(jù)環(huán)境系統(tǒng)組件的連接，由于虛擬化環(huán)境的復(fù)雜性，虛擬網(wǎng)絡(luò)連接可能存 在于主機(jī)內(nèi)部或者主機(jī)之間，持卡人數(shù)據(jù)環(huán)境中虛擬機(jī)之間的通信可能根本不經(jīng)過(guò)物理網(wǎng) 絡(luò)；此外，受信網(wǎng)絡(luò)與非受信網(wǎng)絡(luò)的邊界可能是動(dòng)態(tài)變化的。所以，原有的合規(guī)性檢測(cè)方法 在虛擬化環(huán)境下可能不再適用。

【發(fā)明內(nèi)容】

[0005] 本發(fā)明的目的在于，提供一種適用于虛擬化環(huán)境下的針對(duì)PCI DSS隔離要求的支 付應(yīng)用的合規(guī)性檢測(cè)方法。
[0006] 為實(shí)現(xiàn)以上目的或者其他目的，本發(fā)明提供以下技術(shù)方案。
[0007] 按照本發(fā)明的一方面，提供一種虛擬化環(huán)境下支付應(yīng)用的合規(guī)性檢測(cè)方法，其用 于針對(duì)PCI DSS隔離要求的合規(guī)性檢測(cè)，其包括以下步驟： 采集物理機(jī)之間以及虛擬化環(huán)境下的虛擬機(jī)之間的網(wǎng)絡(luò)流量； 對(duì)于所述網(wǎng)絡(luò)流量進(jìn)行流量預(yù)處理以確定其中對(duì)應(yīng)連接兩個(gè)不同的虛擬機(jī)的每個(gè)數(shù) 據(jù)流； 根據(jù)所有所述數(shù)據(jù)流，至少確定一支付應(yīng)用所對(duì)應(yīng)的虛擬機(jī)域D(VM)，并進(jìn)一步確定該 虛擬機(jī)域D (VM)中M個(gè)虛擬機(jī)中的每個(gè)虛擬機(jī)VMi所對(duì)應(yīng)連接的其他虛擬機(jī)的連接集合 C (VMi)，其中，M大于或等于2，1彡i彡M; 將該支付應(yīng)用的虛擬機(jī)域D (VM)與該支付應(yīng)用的對(duì)應(yīng)的預(yù)定虛擬機(jī)域D'（VM)進(jìn)行 比較，其中預(yù)定虛擬機(jī)域D'（VM)為該支付應(yīng)用在合規(guī)狀態(tài)下所對(duì)應(yīng)的虛擬機(jī)的集合； 如果D (VM)等于D'（VM)，判斷虛擬機(jī)域D(VM)中每個(gè)虛擬機(jī)的連接集合C (VMi)與 預(yù)定虛擬機(jī)域D'（VM)中的每個(gè)虛擬機(jī)VMf的連接集合C'（VMf )是否對(duì)應(yīng)相等，如果判斷 為"是"，則判斷為合規(guī)狀態(tài)，其中f為大于或等于2的整數(shù)； 如果D(VM)不等于D'（VM)或者C(VMi)不等于C'（VMf)，則判斷當(dāng)前的虛擬機(jī)域D (VM)為不合規(guī)狀態(tài)。
[0008] 根據(jù)本發(fā)明一實(shí)施例的合規(guī)性檢測(cè)方法，其中， 在判斷為不合規(guī)狀態(tài)后，進(jìn)一步確定D (VM)中的虛擬機(jī)在D'（VM)對(duì)應(yīng)找不到的虛擬 機(jī)集合DDiff (VM)，并且確定D'（VM)中在D (VM)對(duì)應(yīng)找不到的虛擬機(jī)集合DDiff，（VM); 確定D (VM)與D'（VM)的交集的虛擬機(jī)集合D」（VM); 判斷DMff (VM)和DMff，（VM)中的每個(gè)虛擬機(jī)的連接集合(VM)在Dj (VM)中的 每個(gè)虛擬機(jī)的連接集合& (VM)中是否都能找到對(duì)應(yīng)相等的連接集合； 如果判斷"是"，則更新判斷為合規(guī)狀態(tài)。
[0009] 根據(jù)本發(fā)明一實(shí)施例的合規(guī)性檢測(cè)方法，優(yōu)選地，其中， 如果DMff (VM)和DMff，（VM)中的每個(gè)虛擬機(jī)的連接集合(VM)在D」（VM)中的 每個(gè)虛擬機(jī)的連接集合& (VM)中不能都找到對(duì)應(yīng)相等的連接集合，則從DMff (VM)中去除 能夠在Dj (VM)中的每個(gè)虛擬機(jī)的連接集合Cj (VM)中能找到對(duì)應(yīng)相等的連接集合的虛擬 機(jī)，從而等到D' Diff (VM)，并且從DDiff，（VM)中去除能夠在D」（VM)中的每個(gè)虛擬機(jī)的連接 集合Cj (VM)中能找到對(duì)應(yīng)相等的連接集合的虛擬機(jī)，從而等到D' Diff，（VM); 判斷該DMff，（VM)和D'Mff，（VM)的中的每個(gè)虛擬機(jī)的連接集合是否能從預(yù)定虛擬機(jī) 域D'（VM)中找到一對(duì)應(yīng)相等的虛擬機(jī)的連接集合； 如果判斷為"是"，則更新判斷為合規(guī)狀態(tài)，否則繼續(xù)保持為不合規(guī)狀態(tài)。
[0010] 優(yōu)選地，采集物理機(jī)之間的網(wǎng)絡(luò)流量時(shí)，在控制物理機(jī)之間通信訪問(wèn)的物理網(wǎng)絡(luò) 安全設(shè)備的出入口處設(shè)置旁路探測(cè)器對(duì)跨物理機(jī)的網(wǎng)絡(luò)流量進(jìn)行鏡像捕獲。
[0011] 優(yōu)選地，采集虛擬機(jī)之間的網(wǎng)絡(luò)流量時(shí)，在多個(gè)虛擬機(jī)所處的同一臺(tái)物理機(jī)中對(duì) 應(yīng)設(shè)置檢測(cè)虛擬機(jī),該檢測(cè)虛擬機(jī)將檢測(cè)虛擬機(jī)的虛擬網(wǎng)絡(luò)端口作為其他虛擬網(wǎng)絡(luò)端口的 鏡像端口，并通過(guò)該鏡像端口采集該物理機(jī)中的多個(gè)虛擬機(jī)之間的網(wǎng)絡(luò)流量。
[0012] 具體地，所述流量預(yù)處理步驟中，以〈源IP地址、源端口號(hào)、目的IP地址、目的端 口好、傳輸協(xié)議〉五元組為標(biāo)識(shí)，提取所述網(wǎng)絡(luò)流量中的數(shù)據(jù)流。
[0013] 優(yōu)選地，根據(jù)IP地址和虛擬網(wǎng)絡(luò)端口號(hào)確定虛擬化環(huán)境下的每一臺(tái)虛擬機(jī)，從而 確定連接兩個(gè)不同的虛擬機(jī)的每個(gè)所述數(shù)據(jù)流。
[0014] 按照本發(fā)明的又一方面，提供一種虛擬化環(huán)境下支付應(yīng)用的合規(guī)性檢測(cè)方法，其 用于針對(duì)PCI DSS隔離要求的合規(guī)性檢測(cè)，其包括以下步驟： 采集物理機(jī)之間以及虛擬化環(huán)境下的虛擬機(jī)之間的網(wǎng)絡(luò)流量； 對(duì)于所述網(wǎng)絡(luò)流量進(jìn)行流量預(yù)處理以確定其中對(duì)應(yīng)連接兩個(gè)不同的虛擬機(jī)的每個(gè)數(shù) 據(jù)流； 根據(jù)所述數(shù)據(jù)流的應(yīng)用層負(fù)載對(duì)所述數(shù)據(jù)流進(jìn)行識(shí)別，以判斷其是否屬于支付應(yīng)用所 對(duì)應(yīng)的支付應(yīng)用流； 計(jì)算機(jī)所述支付應(yīng)用流占所有所述數(shù)據(jù)流的百分比； 判斷該百分比是否小于或等于預(yù)定值； 如果判斷為"是"，則判斷為不合規(guī)狀態(tài)，如果判斷為"否"，判斷為合規(guī)狀態(tài)。
[0015] 根據(jù)本發(fā)明一實(shí)施例的合規(guī)性檢測(cè)方法，其中，如果所述數(shù)據(jù)流的應(yīng)用層負(fù)載匹 配于支付應(yīng)用的負(fù)載特征，則判斷其屬于支付應(yīng)用所對(duì)應(yīng)的支付應(yīng)用流。
[0016] 根據(jù)本發(fā)明一實(shí)施例的合規(guī)性檢測(cè)方法，其中，如果所述數(shù)據(jù)流的應(yīng)用層負(fù)載不 匹配于支付應(yīng)用的負(fù)載特征，則判斷其是否匹配于支付應(yīng)用的加密數(shù)據(jù)流特征，如果判斷 為"是"，則判斷其屬于支付應(yīng)用所對(duì)應(yīng)的支付應(yīng)用流。
[0017] 優(yōu)選地，在所述識(shí)別步驟之前，包括提取支付應(yīng)用的負(fù)載特征的步驟，其中，所述 支付應(yīng)用負(fù)載特征根據(jù)支付應(yīng)用的支付協(xié)議對(duì)所有數(shù)據(jù)流來(lái)提取。
[0018] 優(yōu)選地，被提取的所述負(fù)載特征包括標(biāo)識(shí)性的特征字段及其在應(yīng)用層負(fù)載中所處 的位置。
[0019] 具體地，所述特征字段包括支付應(yīng)用名稱(chēng)、版本信息、字段標(biāo)識(shí)和交易類(lèi)型。
[0020] 優(yōu)選地，在所述識(shí)別步驟之前，包括提取加密數(shù)據(jù)流特征的步驟，其中，所述加密 數(shù)據(jù)流特征是對(duì)無(wú)法提取支付應(yīng)用負(fù)載特征的所有數(shù)據(jù)流來(lái)提取。
[0021] 具體地，被提取的所述加密數(shù)據(jù)流特征包括上行包數(shù)、下行包數(shù)、上行包長(zhǎng)均值、 下行包長(zhǎng)均值、持續(xù)時(shí)間。
[0022] 在之前所述任一實(shí)施例的合規(guī)性檢測(cè)方法中，優(yōu)選地，采集物理機(jī)之間的網(wǎng)絡(luò)流 量時(shí)，在控制物理機(jī)之間通信訪問(wèn)的物理網(wǎng)絡(luò)安全設(shè)備的出入口處設(shè)置旁路探測(cè)器對(duì)跨物 理機(jī)的網(wǎng)絡(luò)流量進(jìn)行鏡像捕獲。
[0023] 在之前所述任一實(shí)施例的合規(guī)性檢測(cè)方法中，優(yōu)選地，采集虛擬機(jī)之間的網(wǎng)絡(luò)流 量時(shí)，在多個(gè)虛擬機(jī)所處的同一臺(tái)物理機(jī)中對(duì)應(yīng)設(shè)置檢測(cè)虛擬機(jī)，該檢測(cè)虛擬機(jī)將檢測(cè)虛 擬機(jī)的虛擬網(wǎng)絡(luò)端口