收藏本站
《上海交通大学》 2012年
收藏 | 手机打开
二维码
手机客户端打开本文

面向云计算的虚拟机系统安全研究

刘谦  
【摘要】:云计算平台通过Internet提供各种服务,这种开放式的模式在方便用户访问的同时,也带来了潜在的安全隐患。云计算平台通常以虚拟机系统作为底层架构,因此虚拟机系统的安全是云计算安全的核心。针对这一背景,本文围绕云计算平台中虚拟机系统安全的三个方面进行了研究。 在云计算平台,尤其是私有云和社区云中,虚拟机之间通常需要进行交互和通信。然而这种交互为攻击和恶意软件的传播提供了可能,需要有一种机制来保证虚拟机通信场景下的安全。为此,本文提出了Virt-BLP模型,它是一个针对虚拟机系统定制的关于多级安全的强制访问控制模型。为了实现这一目标,它定义了一系列的模型元素、安全公理和状态转换规则。云计算平台中,客户虚拟机负责向用户提供服务,而特权虚拟机和虚拟机监控器一般由云服务供应商管理,根据这一特征,当特权虚拟机作为主体时,Virt-BLP模型将其定义为可信主体。模型中的一些状态转换规则只能由可信主体来执行,这样实现了特权虚拟机对客户虚拟机之间访问和通信进行管理和控制的目的。于是在提供强制访问控制的同时,Virt-BLP模型也实现了部分的自主访问控制,很好地适应了虚拟机系统的特点。基于Virt-BLP模型,在Xen虚拟机系统中设计和实现了关于多级安全的强制访问控制框架VMAC,验证实验表明它成功地在Xen系统中映射了Virt-BLP模型的功能。Virt-BLP模型是一个通用的模型,其它虚拟机系统可以在它的基础上设计自己的强制访问控制框架。 客户虚拟机在云计算平台中为用户提供服务,保证它的安全才能使用户有一个安全地获取云计算服务的环境。本文分别针对客户虚拟机用户级应用程序的运行时安全和内核的运行时安全进行了研究。在应用级安全方面,提出了虚拟机内度量框架Hyperivm,它用于判断客户虚拟机应用程序运行时的状态。度量模块对运行在客户虚拟机中的可执行文件进行度量并产生度量值,这些度量值通过虚拟机间通信机制传递到特权虚拟机,保存在度量列表中。参照列表中保存的可信度量值用于在验证时与度量列表中的对应值进行比较,以判断可执行文件的状态。可信平台模块(Trusted Platform Module, TPM)被用来保证度量列表和参照列表的完整性。此外,框架中的内存监视模块用于判断度量模块的状态,以保证度量过程的安全性。在半虚拟化Xen系统中实现了一个Hyperivm虚拟机内度量框架的原型,在保护应用程序安全的基础上,它在性能评估中表现出良好的效率。 相比客户虚拟机应用程序的安全,其内核的运行时安全更为重要。本文提出了虚拟机动态监控框架Hyperchk,目标是确保客户虚拟机内核的运行时安全。整个框架部署在特权虚拟机中,并借助虚拟机监控器对客户虚拟机的内核内存进行监控。特权虚拟机和虚拟机监控器在云计算平台中对外界是透明的,因此具有较高的安全性,这一特点保证了Hyperchk框架获取内存过程的可靠性,进而也确保了监控过程的安全性。通过搜索客户虚拟机内核内存来获取监控过程中所需关键值的做法,大大提高了监控过程的健壮性。根据CPU负载自调整监控频率的策略,在提高检测率的同时,也减少了不必要的性能开销。策略中心作为Hyperchk框架的驱动,它的可定制化特性使得本虚拟机动态监控框架具有良好的扩展性和灵活性。在半虚拟化Xen中实现的Hyperchk框架原型系统,不仅能有效地检测针对客户虚拟机的内核rootkit攻击,同时在不同负载情况下均有良好的性能表现。
【学位授予单位】:上海交通大学
【学位级别】:博士
【学位授予年份】:2012
【分类号】:TP309

【引证文献】
中国期刊全文数据库 前1条
1 陈丹;郭先会;;电信行业的云计算安全研究与应用[J];通信与信息技术;2014年02期
中国硕士学位论文全文数据库 前3条
1 夏业添;虚拟化环境下的隐蔽信道研究[D];上海交通大学;2013年
2 杜伟;基于虚拟化技术的云计算在电子政务中的应用[D];西南交通大学;2013年
3 凡颖;云环境下动态资源管理关键技术的研究[D];浙江理工大学;2014年
【参考文献】
中国期刊全文数据库 前5条
1 周建峰;马玉祥;欧阳雄;;PKI信任模型研究[J];电子科技;2006年04期
2 石文昌 ,孙玉芳 ,梁洪亮;经典BLP安全公理的一种适应性标记实施方法及其正确性[J];计算机研究与发展;2001年11期
3 刘威鹏;胡俊;方艳湘;沈昌祥;;基于可信计算的终端安全体系结构研究与进展[J];计算机科学;2007年10期
4 汪小林;王振林;孙逸峰;刘毅;张彬彬;罗英伟;;利用虚拟化平台进行内存泄露探测[J];计算机学报;2010年03期
5 石文昌,孙玉芳;多级安全性政策的历史敏感性[J];软件学报;2003年01期
【共引文献】
中国期刊全文数据库 前10条
1 刘谦;骆源;翁楚良;李明禄;;基于可信平台模块的虚拟机安全协议[J];信息安全与技术;2010年06期
2 吴烈勇;;无线网络安全隐患剖析与防护策略探讨[J];信息安全与技术;2012年06期
3 唐为民;彭双和;韩臻;沈昌祥;;一种基于角色的强制访问控制模型[J];北京交通大学学报;2010年02期
4 廖建华;赵勇;沈昌祥;;基于管道的TCB扩展模型[J];北京工业大学学报;2010年05期
5 王建华;赵静楠;张聪敏;刘海云;;数据挖掘在运动自行车量身定做中的应用[J];北京工业大学学报;2010年06期
6 谭良,罗讯,周明天;动态多级安全系统安全标记的格模型[J];电子科技大学学报;2004年04期
7 刘永辉;黄莎莎;;网络风暴对电力调度交换机的影响分析[J];电力系统通信;2010年10期
8 林植;刘德祥;李云山;靳焰;;基于行为和状态的多角度系统审核研究[J];智能计算机与应用;2012年01期
9 金怡;蔡勉;;基于通用访问框架的安全操作系统设计[J];计算机安全;2007年01期
10 柴黄琪;苏成;;基于HDFS的安全机制设计[J];计算机安全;2010年12期
中国重要会议论文全文数据库 前6条
1 ;Design and Implementation of a Trusted Remote Remediation Framework for Vehicle Software[A];第二十九届中国控制会议论文集[C];2010年
2 郭卫东;谢永强;王朝君;;办公环境下移动存储介质安全管理模式研究[A];2007北京地区高校研究生学术交流会通信与信息技术会议论文集(上册)[C];2008年
3 石文昌;;操作系统安全的课程设计与教学[A];2008年中国高校通信类院系学术研讨会论文集(上册)[C];2009年
4 张博;黄皓;薛永岭;;一种基于Nutos访问控制的内核实现机制[A];2008'中国信息技术与应用学术论坛论文集(二)[C];2008年
5 朱薏;朱虹;王元珍;冯玉才;;多级安全数据库安全模型研究[A];第二十四届中国数据库学术会议论文集(技术报告篇)[C];2007年
6 费稼轩;张涛;马媛媛;陈亚东;石聪聪;;基于可信Agent的电力移动终端可信状态监测方法研究[A];2013年中国电机工程学会年会论文集[C];2013年
中国博士学位论文全文数据库 前10条
1 孟宇龙;基于本体的多源异构安全数据聚合[D];哈尔滨工程大学;2010年
2 邱罡;可信系统保护模型研究与设计[D];西安电子科技大学;2010年
3 马俊;面向内部威胁的数据泄漏防护关键技术研究[D];国防科学技术大学;2011年
4 王婷;面向授权管理的资源管理模型研究[D];解放军信息工程大学;2011年
5 梁洪亮;支持多安全政策的安全操作系统的研究与实施[D];中国科学院研究生院(软件研究所);2002年
6 王玲;网络服务系统日志安全分析技术研究[D];中国科学院研究生院(计算技术研究所);2006年
7 崔宾阁;安全数据库系统隐通道分析及相关技术研究[D];哈尔滨工程大学;2006年
8 林宏刚;可信网络连接若干关键技术的研究[D];四川大学;2006年
9 林植;基于策略的访问控制关键技术研究[D];华中科技大学;2006年
10 张德华;基于信任管理系统的点对点网络安全问题研究[D];国防科学技术大学;2007年
中国硕士学位论文全文数据库 前10条
1 王晓宇;用户数据的多重保护技术研究与应用[D];大连海事大学;2010年
2 崔泽永;基于KVM的虚拟机调度方法研究[D];北方工业大学;2011年
3 孙守胜;基于国产可信计算平台的涉密终端的应用研究[D];北京交通大学;2011年
4 丁宁;基于Windows 7的可信终端管理系统的设计与实现[D];北京交通大学;2011年
5 杨司祺;基于共享资源矩阵法的Linux内核隐蔽通道搜索研究[D];北京交通大学;2011年
6 左向晖;可信信道协议的设计与形式化验证[D];北京交通大学;2011年
7 吴彤;SELinux安全策略分析工具的研究[D];北京交通大学;2011年
8 王玉贤;新乡供电公司内网监控系统的开发与应用研究[D];华北电力大学(北京);2011年
9 欧阳小星;芯片操作系统安全体系分析与应用研究[D];广东工业大学;2011年
10 田凯;基于PCI卡的可信引导技术研究及应用[D];南京理工大学;2011年
【同被引文献】
中国期刊全文数据库 前10条
1 董晓霞;吕廷杰;;云计算研究综述及未来发展[J];北京邮电大学学报(社会科学版);2010年05期
2 李德毅;;云计算支撑信息服务社会化、集约化和专业化[J];重庆邮电大学学报(自然科学版);2010年06期
3 周宏仁;电子政务全球透视与我国电子政务的发展[J];邮电商情;2002年21期
4 倪光南;;新技术发展环境下的电子政务建设[J];电子政务;2010年11期
5 宁家骏;;推进云服务,促进资源优化配置和电子政务建设转型升级[J];电子政务;2012年Z1期
6 周杨;;构建SaaS模式电子政务服务云平台[J];中国管理信息化;2012年04期
7 华夏渝;郑骏;胡文心;;基于云计算环境的蚁群优化计算资源分配算法[J];华东师范大学学报(自然科学版);2010年01期
8 李刚健;;基于虚拟化技术的云计算平台架构研究[J];吉林建筑工程学院学报;2011年01期
9 翁楚良;陆鑫达;;一种基于双向拍卖机制的计算网格资源分配方法[J];计算机学报;2006年06期
10 王昌达;鞠时光;周从华;宋香梅;;一种隐通道威胁审计的度量方法[J];计算机学报;2009年04期
中国博士学位论文全文数据库 前10条
1 吴吉义;基于DHT的开放对等云存储服务系统研究[D];浙江大学;2011年
2 李建敦;私有云中虚拟资源的节能调度研究[D];上海大学;2011年
3 戚鲁;电子政务环境下政府组织管理研究与实践[D];南京理工大学;2004年
4 张恽;我国电子政务IT治理模式与过程研究[D];复旦大学;2010年
5 张宇航;电子政务项目建设与运行管理研究[D];北京交通大学;2012年
6 陈芳;云计算架构下云政府模式研究[D];武汉大学;2012年
7 朱二周;基于CPU/GPU平台的虚拟化技术研究[D];上海交通大学;2012年
8 张静乐;网络环境下协同服务关键技术研究[D];北京科技大学;2011年
9 杨成伟;云计算环境下动态流程优化调度问题研究[D];山东大学;2012年
10 马艳;基于能耗和成本的资源管理与调度策略研究[D];山东大学;2012年
中国硕士学位论文全文数据库 前10条
1 刘震宇;基于VMware vSphere4.0的PC服务器资源池构建[D];大连海事大学;2010年
2 张伟洋;SaaS模式下电子政务系统架构研究与设计[D];武汉理工大学;2011年
3 崔倩楠;基于云计算环境的虚拟化资源平台研究与评价[D];北京邮电大学;2011年
4 王佳隽;基于云计算环境的虚拟化资源管理研究[D];复旦大学;2011年
5 张荧允;基于虚拟技术的数据中心建设研究[D];天津大学;2010年
6 苏奎;云计算平台下的电子政务基础设施研究[D];山东师范大学;2012年
7 李聪;服务器、网络、存储虚拟化技术在数据中心的应用研究[D];天津大学;2009年
8 孙宝华;基于VMware技术的虚拟服务器技术构建与分析[D];吉林大学;2010年
9 程瑶;电子政务云系统的应用研究[D];兰州大学;2012年
10 张婧婧;VMware虚拟化技术来架构企业数据中心[D];复旦大学;2010年
【二级参考文献】
中国期刊全文数据库 前5条
1 石文昌 ,孙玉芳 ,梁洪亮 ,张相锋 ,赵庆松 ,单智勇;安全Linux内核安全功能的设计与实现[J];计算机研究与发展;2001年10期
2 石文昌 ,孙玉芳 ,梁洪亮;经典BLP安全公理的一种适应性标记实施方法及其正确性[J];计算机研究与发展;2001年11期
3 林宣雄;李怀祖;张文修;;安全内核方法与实现考虑[J];计算机科学;1996年01期
4 沈昌祥;可信计算平台与安全操作系统[J];网络安全技术与应用;2005年04期
5 沈昌祥;基于积极防御的安全保障框架[J];中国信息导报;2003年10期
【相似文献】
中国期刊全文数据库 前10条
1 柳青,盖起贤;Java运行系统与Java虚拟机[J];云南大学学报(自然科学版);1997年06期
2 文征,徐成,李仁发;Java技术在嵌入式实时操作系统上的实现[J];科学技术与工程;2005年03期
3 倪晓宇,易红,倪中华,汤文成;基于虚拟机的B/S协同系统的设计[J];计算机集成制造系统-CIMS;2005年02期
4 刘晖;;系统问答[J];电脑迷;2005年05期
5 刘猛;王中生;赵红毅;;基于Honeynet系统的Linux日志记录研究[J];电脑知识与技术(学术交流);2006年36期
6 张振伦;;虚拟机的演化[J];软件世界;2007年13期
7 娟子;;恶意软件瞄准虚拟技术[J];信息系统工程;2008年02期
8 黄金敢;;基于Integrity VM技术的服务器整合设计[J];福建电脑;2008年06期
9 基地;;关于Windows 7 的风言风雨[J];现代计算机(普及版);2008年04期
10 ;打造虚拟存储平台:Hyper-V+NetApp[J];微电脑世界;2009年02期
中国重要会议论文全文数据库 前10条
1 孟广平;;虚拟机漂移网络连接方法探讨[A];中国计量协会冶金分会2011年会论文集[C];2011年
2 汝学民;庄越挺;;计算机病毒技术的发展与防范[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
3 陈晓东;俞承芳;李旦;;基于FPGA的神经网络控制器及其应用[A];第六届全国信息获取与处理学术会议论文集(3)[C];2008年
4 王轶;陈俊辉;;使用VPC2007搭建企业应用和测试平台[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
5 于洋;陈晓东;俞承芳;李旦;;基于FPGA平台的虚拟机建模与仿真[A];2007'仪表,自动化及先进集成技术大会论文集(一)[C];2007年
6 刘孟全;;服务器虚拟化相关问题分析[A];广西计算机学会2009年年会论文集[C];2009年
7 李永;吴庆波;苏航;;基于虚拟机的动态迁移技术分析和研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
8 李钢;应晶;;C2000语言:一种工业监控组态语言[A];2005中国控制与决策学术年会论文集(下)[C];2005年
9 沈腾飞;马自卫;;基于GridSphere的Eucalyptus后台管理系统研究与实现[A];第十六届全国青年通信学术会议论文集(上)[C];2011年
10 张际兰;;Java安全性评估[A];中国工程物理研究院科技年报(2000)[C];2000年
中国重要报纸全文数据库 前10条
1 ;利用工具解决虚拟机监测难题[N];网络世界;2007年
2 ;虚拟机管理工具仍有改进空间[N];网络世界;2007年
3 ;加强虚拟服务器安全的10个步骤[N];计算机世界;2008年
4 特约作者:聂阳德 钟达文;体验虚拟机的神奇魅力(第B04版)[N];电脑报;2002年
5 江苏 王志军;用好虚拟机VMware[N];电脑报;2002年
6 薛启康;VMware虚拟机的文件级备份[N];中国计算机报;2007年
7 ;BEA发布新版本Java虚拟机[N];人民邮电;2007年
8 电脑商报记者 张戈;趋势科技的一大步[N];电脑商报;2011年
9 编译 沈建苗;虚拟化技术的安全价值[N];计算机世界;2007年
10 河北科技大学 任文霞河北经贸大学 王春海;在U盘上定制个人PC[N];中国计算机报;2008年
中国博士学位论文全文数据库 前10条
1 董玉双;云平台中虚拟机部署的关键问题研究[D];吉林大学;2014年
2 曹文治;虚拟机网络性能优化研究[D];华中科技大学;2013年
3 杜雨阳;虚拟机状态迁移和相变存储磨损均衡方法研究[D];清华大学;2011年
4 刘勇鹏;大规模高效能计算的系统软件关键技术研究[D];国防科学技术大学;2012年
5 赵佳;虚拟机动态迁移的关键问题研究[D];吉林大学;2013年
6 陈华才;虚拟化环境中计算效能优化研究[D];华中科技大学;2011年
7 AHMED ELSAYED SALLAM;[D];湖南大学;2013年
8 唐遇星;面向动态二进制翻译的动态优化和微处理器体系结构支撑技术研究[D];国防科学技术大学;2005年
9 丁靖宇;面向企业虚拟私有云的虚拟专用网技术研究[D];东华大学;2012年
10 黄道超;智慧云网络动态资源适配关键技术研究[D];北京交通大学;2013年
中国硕士学位论文全文数据库 前10条
1 邱华;用于工业自动化设备互联的设备描述语言的定义和实现[D];华东师范大学;2006年
2 褚亚铭;一个教学用微内核操作系统的设计与实现[D];苏州大学;2005年
3 闫玉忠;串行程序并行化技术研究与一种新实现构想[D];西南交通大学;2003年
4 张凯龙;传统OA的Linux中间件平台移植技术及其实现[D];西北工业大学;2003年
5 乐伟;云计算环境下虚拟机资源分配及部署策略研究[D];云南大学;2012年
6 欧阳晟;云环境中虚拟机迁移策略的研究[D];中南大学;2012年
7 李小伟;跨域虚拟机加密通信技术方案设计与实现[D];北京邮电大学;2013年
8 展旭升;虚拟机整合若干关键问题研究[D];西北师范大学;2013年
9 姚政;云计算平台虚拟机簇部署算法研究[D];湖南师范大学;2014年
10 贾希强;嵌入式数字电视中间件技术研究与实现[D];西北工业大学;2004年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026