虚拟域内访问控制系统的保护机制研究

发布时间：2017-07-19 23:06

  本文关键词：虚拟域内访问控制系统的保护机制研究

  更多相关文章： 虚拟机管理程序 虚拟化 内存保护 访问控制系统 策略

【摘要】：在传统情况下,恶意软件在系统中的运行级别通常和强制访问控制系统的运行级别是一样的,都是处在操作系统的内核级,这样恶意软件就可以对强制访问控制系统等安全系统进行攻击,破坏安全软件的正常运行或关闭安全软件的策略检查。由于操作系统的内核的漏洞是不可避免,因此这个问题在传统架构下是无法解决。 最近云计算已经成为工业界和学术界研究的热点之一,虚拟化作为云计算平台实施的必备的技术之一,在现代的计算机系统中使用越来越广泛,从个人系统到网页服务器和数据中心,从客户端到服务器端,都可以看到虚拟化的身影。由于虚拟机管理程序可以提供一个小且安全的可信计算基,具有良好的隔离性和高特权性,很多研究者利用虚拟机监视器的安全特性来解决传统架构下安全问题。 在虚拟域内访问控制系统保护机制研究的解决方案中,访问控制系统可以分为三个部分:安全策略管理模块,安全服务器模块和策略执行模块。安全策略管理模块和安全服务器模块是放在安全的操作系统中,利用虚拟机管理程序的隔离性和安全操作系统的安全性来保证它们的安全。为了加快客户操作系统和安全操作系统之间的安全策略决策信息交换,在客户操作系统中添加了策略决策缓存模块。为了实现主动防御和降低系统的性能开销,策略执行模块被放在客户操作系统中。策略决策缓存模块和策略执行模块的安全是通过内存保护机制来保障的。 虚拟域内访问控制系统保护机制的原型系统SEVD(Security-Enhanced Virtual Domain,简称SEVD)是在Xen虚拟化平台上实现的。测试结果表明SEVD系统能够有效保护客户操作系统中访问控制系统的安全,能够抵御流行的Rookit攻击;在性能方面,与SELinux访问控制系统相比,性能开销也是没有增加;在功能方面,实现了虚拟环境下安全策略集中配置,有效降低了安全策略管理的复杂度。
【关键词】：虚拟机管理程序 虚拟化 内存保护 访问控制系统 策略
【学位授予单位】：华中科技大学
【学位级别】：硕士
【学位授予年份】：2011
【分类号】：TP309.2
【目录】：

• 摘要4-5
• Abstract5-8
• 1 绪论8-19
• 1.1 问题提出8-9
• 1.2 国内外研究现状9-17
• 1.3 背景与研究内容17-18
• 1.4 文章框架结构18-19
• 2 SEVD 的系统架构19-32
• 2.1 设计目标19-20
• 2.2 设计思路20-21
• 2.3 体系结构与功能模块21-28
• 2.4 工作机制及处理流程28-31
• 2.5 小结31-32
• 3 SEVD 系统的主要实现技术32-45
• 3.1 事件截获及语义解析技术32-34
• 3.2 策略缓存技术34-36
• 3.3 域间共享内存通信技术36-39
• 3.4 策略解析和内核多线程技术39-41
• 3.5 内存保护机制41-44
• 3.6 小结44-45
• 4 系统测试和结果分析45-53
• 4.1 功能测试45-47
• 4.2 安全测试47-50
• 4.3 性能测试50-52
• 4.4 小结52-53
• 5 总结及展望53-55
• 致谢55-57
• 参考文献57-61

【参考文献】

中国期刊全文数据库 前1条

1 董耀祖;周正伟;;基于X86架构的系统虚拟机技术与应用[J];计算机工程;2006年13期

，

本文编号：565210