Xen云环境虚拟机安全隔离技术研究与实现
本文选题:Xen + 云安全 ; 参考:《电子科技大学》2013年硕士论文
【摘要】:云技术的应用目前已经逐步深入了人们的生产与生活,给人们带来了不少的便利。在云技术逐渐改变人们生活的同时,也在不断重新定义着计算机安全的内容。越来越多的数据被移动到了云端,安全问题也逐渐引起人们的重视。目前云安全方面研究仍然集中在传统的安全模型之上,很少有人去关注来自云内部的安全隐患。内部安全问题一直被忽视,直到谷歌员工两次被爆出利用管理权限窃取用户在云环境中隐私数据的时候,人们才意识到云内部安全问题不容忽视。 如今,云安全问题成为了云计算发展最大阻碍之一。Xen作为云的最主要载体,绝大多数情况仍然“裸奔”在运营商的机房中,来自云内部的安全威胁正在威胁着所有云用户的数据安全。 本文正是从这样的问题入手,以防护来自Xen内部安全隐患为目标,,以隔离为手段,分别从块设备、内存以及桌面协议三方面对Xen云环境中的虚拟机安全隔离进行研究。研究针对这三方面出现的攻击方式,结合Xen源码进行了细粒度的分析研究,最终找到了这三方面隔离的关键技术切入点。在这些切入点基础上,块设备隔离通过加密Qemu中模拟的硬盘数据,使得Domain0中管理员无法通过管理工具查看虚拟硬盘中数据内容;内存隔离通过修改Hypervisor中授权表工作流程,并扩展ACM框架完成了内存映射的控制与鉴别,使得管理员无法从Domain0中非法访问用户虚拟机内存;桌面协议隔离通过在虚拟VGA图像产生过程中对图像进行加密,并配合加密的VNC客户端实现了安全的桌面协议,杜绝了管理员在物理网卡抓取虚拟机内桌面协议数据还原会话的隐患。所有涉及加解密的过程都建立在PKI技术之上,秘钥使用独立的服务器进行管理,并且通过安全秘钥接口完成访问,这样保证了加密过程的安全可验证性。 经过测试,本系统中的隔离模块达到了预期目标,在性能方面对内存、硬盘以及桌面协议的效率最大影响均小于预期指标,达到了预期的目标,实现了Domain0与DomainU之间数据的隔离。 本课题研究顺应了互联网安全态势发展,能够提升基于Xen云的环境中数据安全性,能够对我国云安全相关工作起到积极的推动作用。
[Abstract]:The application of cloud technology has gradually deepened people's production and life, and brought a lot of convenience to people. As cloud technology gradually changes people's lives, it also redefines the content of computer security. As more and more data are moved to the cloud, people pay more and more attention to security issues. At present, the research on cloud security is still focused on the traditional security model, and few people pay attention to the hidden danger from the cloud interior. Internal security issues have been ignored until Google employees were twice exposed to using administrative authority to steal users' privacy data in the cloud environment before people realized that cloud internal security problems can not be ignored. Nowadays, cloud security has become one of the biggest obstacles to the development of cloud computing. Xen, as the main carrier of cloud, is still "naked" in the computer room of the operator. Security threats from within the cloud are threatening the data security of all cloud users. This paper starts with this problem, taking the protection from the hidden danger of Xen internal security as the goal, and taking isolation as the means, studies the security isolation of virtual machine in Xen cloud environment from three aspects of block device, memory and desktop protocol respectively. This paper studies the attack mode of these three aspects, combining with the Xen source code, carries on the fine grain analysis research, finally has found the key technology breakthrough point of these three aspects isolation. On the basis of these pointcuts, block device isolation encrypts hard disk data simulated in Qemu, which makes it impossible for administrators in Domain0 to view the data content in virtual hard disks through administrative tools, and memory isolation by modifying the workflow of authorization tables in the hypervisor. The ACM framework is extended to control and authenticate the memory mapping, which makes the administrator unable to illegally access the memory of the user virtual machine from Domain0. Desktop protocol isolation encrypts the image in the process of generating virtual VGA image. A secure desktop protocol is implemented in conjunction with the encrypted VNC client, which eliminates the hidden danger of the administrator grabbing the desktop protocol data restore session in the virtual machine in the physical network card. All the processes involved in encryption and decryption are based on PKI technology, and the secret key is managed by a separate server and accessed through the secure key interface, which ensures the security verifiability of the encryption process. After testing, the isolation module in the system has achieved the expected goal, and the maximum effect on the efficiency of memory, hard disk and desktop protocol is less than the expected target in the performance aspect. The expected goal has been achieved, and the data isolation between Domain0 and DomainU has been realized. This research conforms to the development of Internet security situation, can improve the data security in the environment based on Xen cloud, and can play an active role in promoting the related work of cloud security in China.
【学位授予单位】:电子科技大学
【学位级别】:硕士
【学位授予年份】:2013
【分类号】:TP302
【相似文献】
相关期刊论文 前10条
1 飘零雪;;一勺烩 系统环境直接克隆为虚拟机[J];电脑迷;2010年21期
2 小珍;;虚拟机真情告白 文件共享我也能[J];电脑应用文萃;2006年01期
3 陈康;余宏亮;郑纬民;;基于虚拟机的OpenSSH秘钥数据隔离方法[J];通信学报;2009年02期
4 ;安全隔离与信息交换系统产品点评[J];计算机安全;2004年07期
5 ;产品纷呈 三机最优——金电网安新一代安全隔离与信息交换系统FerrywayV2.0[J];信息安全与通信保密;2004年10期
6 ;隔离交换两不误 通而不连保安全——天行安全隔离网闸护航公安信息化[J];警察技术;2003年05期
7 ;网杰安全隔离与信息交换系统——中关村十大软件品牌信息安全首选品牌[J];信息安全与通信保密;2003年10期
8 杨慧超;狼烟四起 会盟天下英豪——国内网络安全市场与安全隔离技术简析[J];计算机与网络;2002年10期
9 孔斌;安全隔离与信息交换系统检测与应用[J];计算机安全;2004年07期
10 ;安全、共享、应用一个都不能少 天行安全隔离网闸兼顾电子政务建设的三基石[J];计算机与网络;2003年06期
相关会议论文 前10条
1 丁涛;郝沁汾;张冰;;内核虚拟机调度策略的研究与分析[A];'2010系统仿真技术及其应用学术会议论文集[C];2010年
2 周玉宇;尚利宏;吕紫旭;;基于虚拟机的单粒子翻转故障注入方法[A];第六届中国测试学术会议论文集[C];2010年
3 王建民;;信息安全隔离与信息交换系统[A];天津市电视技术研究会2010年年会论文集[C];2010年
4 唐文雄;陈传庆;;多网隔离技术应用剖析[A];海南省通信学会论文集(二○○二年)[C];2002年
5 孙永清;金波;林九川;宋铮;;Xen虚拟显卡共享帧缓冲区安全漏洞分析[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年
6 汪晓彤;;调度自动化EMS与MIS的接口与安全隔离[A];华东六省一市电机(电力)工程学会输配电技术研讨会2004年年会论文集[C];2004年
7 孙春来;田新广;钱小军;杨成;赵利军;;基于硬件分区的多网接入安全隔离与信息交换[A];第二十一次全国计算机安全学术交流会论文集[C];2006年
8 唐伟;;架构软件级别的无反馈单向传输系统[A];第26次全国计算机安全学术交流会论文集[C];2011年
9 董焱;;基于虚拟化技术的实验教学中心环境构建[A];北京高校实验室工作研究会2010年年会优秀论文[C];2011年
10 董焱;;基于虚拟化技术的实验教学中心环境构建[A];北京高教学会实验室工作研究会2010年学术研讨会论文集(下册)[C];2010年
相关重要报纸文章 前10条
1 记者聂晓阳、明大军;以开始修建安全隔离墙[N];人民日报;2002年
2 马瑞祥 王宇;安全隔离与信息交换技术的最新发展动向[N];中国计算机报;2006年
3 ;联想安全隔离与信息交换系统[N];电脑商报;2005年
4 董芳忠;体验北京地铁5号线[N];中国消费者报;2007年
5 ;天行网安安全隔离网闸通过鉴定 电子政务有了“把门人”[N];中国计算机报;2002年
6 胡英;中国的GAP[N];计算机世界;2002年
7 赛迪评测网络安全实验室 何军;你信任哪一款[N];中国计算机报;2004年
8 北京市城乡经济信息中心 范宏;安全是头等大事[N];中国计算机报;2004年
9 本报记者 傅之庭;CPP——安全隔离食品的“金钟罩”[N];宁波日报;2006年
10 山枫;GAP也可以防Slammer[N];中国计算机报;2003年
相关博士学位论文 前10条
1 刘谦;面向云计算的虚拟机系统安全研究[D];上海交通大学;2012年
2 唐源;嵌入虚拟机监视器的高性能覆盖网络研究[D];电子科技大学;2012年
3 周刚;云计算环境中面向取证的现场迁移技术研究[D];华中科技大学;2011年
4 杨洪波;高性能网络虚拟化技术研究[D];上海交通大学;2012年
5 邱罡;可信系统保护模型研究与设计[D];西安电子科技大学;2010年
6 宋浒;面向用户服务需求的云计算管理机制研究[D];中国科学技术大学;2013年
7 孟江涛;Xen虚拟机研究[D];电子科技大学;2010年
8 李世胜;基于运行时的程序执行模型研究[D];中国科学技术大学;2010年
9 舒林;射频优卡多芯片操作系统隔离与安全通信方法研究[D];华中科技大学;2009年
10 马汝辉;基于多核的虚拟化技术研究[D];上海交通大学;2011年
相关硕士学位论文 前10条
1 邵长庚;Xen云环境虚拟机安全隔离技术研究与实现[D];电子科技大学;2013年
2 宁刚;基于Xen虚拟机的资源管理系统的研究与实现[D];上海交通大学;2012年
3 林昆;基于Intel VT-d技术的虚拟机安全隔离研究[D];上海交通大学;2011年
4 任佳;Xen虚拟机块设备的访问优化技术[D];华中科技大学;2012年
5 赵旭泽;虚拟机平台的设计与关键模块的实现[D];沈阳理工大学;2011年
6 梁敏;基于可信虚拟机的全盘加密系统模型研究[D];解放军信息工程大学;2011年
7 周海燕;Xen虚拟机域间可信网络连接的研究与实现[D];华南理工大学;2011年
8 刘永;云计算环境下虚拟机资源调度策略研究[D];山东师范大学;2012年
9 田红;一种可信任环境下的微型嵌入式虚拟机的设计和实现[D];北京邮电大学;2013年
10 黄良良;基于VMX虚拟机的安全通信机制研究[D];解放军信息工程大学;2010年
本文编号:2069989
本文链接:https://www.wllwen.com/kejilunwen/jisuanjikexuelunwen/2069989.html
