收藏本站
收藏 | 论文排版

面向云计算的虚拟机系统安全研究

刘谦  
【摘要】:云计算平台通过Internet提供各种服务,这种开放式的模式在方便用户访问的同时,也带来了潜在的安全隐患。云计算平台通常以虚拟机系统作为底层架构,因此虚拟机系统的安全是云计算安全的核心。针对这一背景,本文围绕云计算平台中虚拟机系统安全的三个方面进行了研究。 在云计算平台,尤其是私有云和社区云中,虚拟机之间通常需要进行交互和通信。然而这种交互为攻击和恶意软件的传播提供了可能,需要有一种机制来保证虚拟机通信场景下的安全。为此,本文提出了Virt-BLP模型,它是一个针对虚拟机系统定制的关于多级安全的强制访问控制模型。为了实现这一目标,它定义了一系列的模型元素、安全公理和状态转换规则。云计算平台中,客户虚拟机负责向用户提供服务,而特权虚拟机和虚拟机监控器一般由云服务供应商管理,根据这一特征,当特权虚拟机作为主体时,Virt-BLP模型将其定义为可信主体。模型中的一些状态转换规则只能由可信主体来执行,这样实现了特权虚拟机对客户虚拟机之间访问和通信进行管理和控制的目的。于是在提供强制访问控制的同时,Virt-BLP模型也实现了部分的自主访问控制,很好地适应了虚拟机系统的特点。基于Virt-BLP模型,在Xen虚拟机系统中设计和实现了关于多级安全的强制访问控制框架VMAC,验证实验表明它成功地在Xen系统中映射了Virt-BLP模型的功能。Virt-BLP模型是一个通用的模型,其它虚拟机系统可以在它的基础上设计自己的强制访问控制框架。 客户虚拟机在云计算平台中为用户提供服务,保证它的安全才能使用户有一个安全地获取云计算服务的环境。本文分别针对客户虚拟机用户级应用程序的运行时安全和内核的运行时安全进行了研究。在应用级安全方面,提出了虚拟机内度量框架Hyperivm,它用于判断客户虚拟机应用程序运行时的状态。度量模块对运行在客户虚拟机中的可执行文件进行度量并产生度量值,这些度量值通过虚拟机间通信机制传递到特权虚拟机,保存在度量列表中。参照列表中保存的可信度量值用于在验证时与度量列表中的对应值进行比较,以判断可执行文件的状态。可信平台模块(Trusted Platform Module, TPM)被用来保证度量列表和参照列表的完整性。此外,框架中的内存监视模块用于判断度量模块的状态,以保证度量过程的安全性。在半虚拟化Xen系统中实现了一个Hyperivm虚拟机内度量框架的原型,在保护应用程序安全的基础上,它在性能评估中表现出良好的效率。 相比客户虚拟机应用程序的安全,其内核的运行时安全更为重要。本文提出了虚拟机动态监控框架Hyperchk,目标是确保客户虚拟机内核的运行时安全。整个框架部署在特权虚拟机中,并借助虚拟机监控器对客户虚拟机的内核内存进行监控。特权虚拟机和虚拟机监控器在云计算平台中对外界是透明的,因此具有较高的安全性,这一特点保证了Hyperchk框架获取内存过程的可靠性,进而也确保了监控过程的安全性。通过搜索客户虚拟机内核内存来获取监控过程中所需关键值的做法,大大提高了监控过程的健壮性。根据CPU负载自调整监控频率的策略,在提高检测率的同时,也减少了不必要的性能开销。策略中心作为Hyperchk框架的驱动,它的可定制化特性使得本虚拟机动态监控框架具有良好的扩展性和灵活性。在半虚拟化Xen中实现的Hyperchk框架原型系统,不仅能有效地检测针对客户虚拟机的内核rootkit攻击,同时在不同负载情况下均有良好的性能表现。


知网文化
【相似文献】
中国期刊全文数据库 前20条
1 柳青,盖起贤;Java运行系统与Java虚拟机[J];云南大学学报(自然科学版);1997年06期
2 文征,徐成,李仁发;Java技术在嵌入式实时操作系统上的实现[J];科学技术与工程;2005年03期
3 倪晓宇,易红,倪中华,汤文成;基于虚拟机的B/S协同系统的设计[J];计算机集成制造系统-CIMS;2005年02期
4 刘晖;;系统问答[J];电脑迷;2005年05期
5 刘猛;王中生;赵红毅;;基于Honeynet系统的Linux日志记录研究[J];电脑知识与技术(学术交流);2006年36期
6 张振伦;;虚拟机的演化[J];软件世界;2007年13期
7 娟子;;恶意软件瞄准虚拟技术[J];信息系统工程;2008年02期
8 黄金敢;;基于Integrity VM技术的服务器整合设计[J];福建电脑;2008年06期
9 基地;;关于Windows 7 的风言风雨[J];现代计算机(普及版);2008年04期
10 ;打造虚拟存储平台:Hyper-V+NetApp[J];微电脑世界;2009年02期
11 魏楚元;;虚拟机应用于高校数据中心[J];中国教育网络;2009年04期
12 李靖;;搭建基于端口映射的ESXi虚拟网络服务[J];中国计算机用户;2009年21期
13 徐晶;梁子刚;李晓荣;武岩;李平;;操作系统实验课程教学改革与实践[J];才智;2009年34期
14 饶淑珍;赵修庆;;Windows7中基于Vmware的虚拟组网[J];福建电脑;2010年02期
15 王树君;;借助VMware软件构建虚拟网络实验室[J];硅谷;2010年09期
16 郑婷婷;武延军;贺也平;;云计算环境下的虚拟机快速克隆技术[J];计算机工程与应用;2011年13期
17 姚为光;陈文宇;;虚拟机在软件加壳中的应用研究[J];计算机安全;2011年07期
18 白国靖;;虚拟化技术在网络服务中的应用研究[J];电子世界;2011年09期
19 马燕林;JAVA的平台独立性[J];新技术新工艺;1996年04期
20 ;Java虚拟机提速[J];每周电脑报;1997年36期
中国重要会议论文全文数据库 前10条
1 孟广平;;虚拟机漂移网络连接方法探讨[A];中国计量协会冶金分会2011年会论文集[C];2011年
2 汝学民;庄越挺;;计算机病毒技术的发展与防范[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年
3 陈晓东;俞承芳;李旦;;基于FPGA的神经网络控制器及其应用[A];第六届全国信息获取与处理学术会议论文集(3)[C];2008年
4 王轶;陈俊辉;;使用VPC2007搭建企业应用和测试平台[A];2007第二届全国广播电视技术论文集2(下)[C];2007年
5 于洋;陈晓东;俞承芳;李旦;;基于FPGA平台的虚拟机建模与仿真[A];2007'仪表,自动化及先进集成技术大会论文集(一)[C];2007年
6 刘孟全;;服务器虚拟化相关问题分析[A];广西计算机学会2009年年会论文集[C];2009年
7 李永;吴庆波;苏航;;基于虚拟机的动态迁移技术分析和研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
8 李钢;应晶;;C2000语言:一种工业监控组态语言[A];2005中国控制与决策学术年会论文集(下)[C];2005年
9 沈腾飞;马自卫;;基于GridSphere的Eucalyptus后台管理系统研究与实现[A];第十六届全国青年通信学术会议论文集(上)[C];2011年
10 张际兰;;Java安全性评估[A];中国工程物理研究院科技年报(2000)[C];2000年
中国博士学位论文全文数据库 前10条
1 董玉双;云平台中虚拟机部署的关键问题研究[D];吉林大学;2014年
2 曹文治;虚拟机网络性能优化研究[D];华中科技大学;2013年
3 杜雨阳;虚拟机状态迁移和相变存储磨损均衡方法研究[D];清华大学;2011年
4 刘勇鹏;大规模高效能计算的系统软件关键技术研究[D];国防科学技术大学;2012年
5 赵佳;虚拟机动态迁移的关键问题研究[D];吉林大学;2013年
6 陈华才;虚拟化环境中计算效能优化研究[D];华中科技大学;2011年
7 AHMED ELSAYED SALLAM;[D];湖南大学;2013年
8 唐遇星;面向动态二进制翻译的动态优化和微处理器体系结构支撑技术研究[D];国防科学技术大学;2005年
9 丁靖宇;面向企业虚拟私有云的虚拟专用网技术研究[D];东华大学;2012年
10 黄道超;智慧云网络动态资源适配关键技术研究[D];北京交通大学;2013年
中国硕士学位论文全文数据库 前10条
1 邱华;用于工业自动化设备互联的设备描述语言的定义和实现[D];华东师范大学;2006年
2 褚亚铭;一个教学用微内核操作系统的设计与实现[D];苏州大学;2005年
3 闫玉忠;串行程序并行化技术研究与一种新实现构想[D];西南交通大学;2003年
4 张凯龙;传统OA的Linux中间件平台移植技术及其实现[D];西北工业大学;2003年
5 乐伟;云计算环境下虚拟机资源分配及部署策略研究[D];云南大学;2012年
6 欧阳晟;云环境中虚拟机迁移策略的研究[D];中南大学;2012年
7 李小伟;跨域虚拟机加密通信技术方案设计与实现[D];北京邮电大学;2013年
8 展旭升;虚拟机整合若干关键问题研究[D];西北师范大学;2013年
9 姚政;云计算平台虚拟机簇部署算法研究[D];湖南师范大学;2014年
10 贾希强;嵌入式数字电视中间件技术研究与实现[D];西北工业大学;2004年
中国重要报纸全文数据库 前10条
1 ;利用工具解决虚拟机监测难题[N];网络世界;2007年
2 ;虚拟机管理工具仍有改进空间[N];网络世界;2007年
3 ;加强虚拟服务器安全的10个步骤[N];计算机世界;2008年
4 特约作者:聂阳德 钟达文;体验虚拟机的神奇魅力(第B04版)[N];电脑报;2002年
5 江苏 王志军;用好虚拟机VMware[N];电脑报;2002年
6 薛启康;VMware虚拟机的文件级备份[N];中国计算机报;2007年
7 ;BEA发布新版本Java虚拟机[N];人民邮电;2007年
8 电脑商报记者 张戈;趋势科技的一大步[N];电脑商报;2011年
9 编译 沈建苗;虚拟化技术的安全价值[N];计算机世界;2007年
10 河北科技大学 任文霞河北经贸大学 王春海;在U盘上定制个人PC[N];中国计算机报;2008年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62982499
  • 010-62783978