基于Xen的虛擬機(jī)訪問控制機(jī)制研究.pdf

1、虛擬化技術(shù)伴隨著云計算的崛起而成為了當(dāng)今熱門的IT技術(shù)，但同時也帶新的安全問題。在虛擬機(jī)系統(tǒng)的眾多安全威脅中，資源共享和數(shù)據(jù)通信所帶來的內(nèi)部安全隱患成為了云平臺下虛擬機(jī)中最為關(guān)注的問題。本文將研究基于虛擬機(jī)的訪問控制機(jī)制，通過安全模型設(shè)計以及相關(guān)安全策略監(jiān)控虛擬機(jī)內(nèi)部資源使用及事件行為，以解決虛擬機(jī)內(nèi)部存在的信息泄露、隱通道等安全問題。實驗結(jié)果證明這種方法有較強(qiáng)的可行性及安全性。全文主要工作概括如下。
　　a)研究Xen架構(gòu)原理以

2、及虛擬化的技術(shù)實現(xiàn)。通過對Xen的源碼分析，研究Xen中的同步異步通信，內(nèi)存管理，CPU虛擬化等核心技術(shù)；同時，結(jié)合傳統(tǒng)的系統(tǒng)安全問題，分析虛擬機(jī)系統(tǒng)中存在的新的安全威脅。
　　b)基于虛擬機(jī)的強(qiáng)制訪問控制機(jī)制的設(shè)計。本文采用訪問控制模塊ACM(Access ControlModule)實施對虛擬機(jī)的訪問控制，該模塊采用了Xen的安全模塊XSM接口，設(shè)計于虛擬監(jiān)控器VMM(VM Monitor)中，主要對Xen虛擬機(jī)中資源分配、隱

3、通道、多級安全通信三個方面進(jìn)行控制。
　　c)提出基于虛擬機(jī)的訪問控制模型VBAC(VM-Based Access Control Model)。分析了傳統(tǒng)的安全模型CW及BLP的優(yōu)缺點(diǎn)，并針對虛擬機(jī)系統(tǒng)特征，對CW以及BLP模型進(jìn)行了分析改進(jìn)，提出一種適合虛擬機(jī)的訪問控制安全模型VBAC。
　　d)VBAC模型實現(xiàn)。本文將改進(jìn)的安全模型在ACM中進(jìn)行了實現(xiàn)，采用安全鉤子函數(shù)實施訪問控制，控制的事件行為主要包括：虛擬機(jī)上層管