基于固件的虚拟化系统集成访问控制机制研究与实现

发布时间：2017-05-25 10:25

  本文关键词：基于固件的虚拟化系统集成访问控制机制研究与实现，由笔耕文化传播整理发布。

【摘要】：随着系统虚拟化技术的不断成熟，尤其是在云计算和服务器集群领域的广泛应用，虚拟化系统的安全问题也越来越受到人们的关注。虚拟化系统中不同应用的虚拟机能随时独立接入和使用平台共享资源，不同物理平台的虚拟机间也有资源互访的需求，这都对虚拟化系统的安全提出了挑战。目前主要通过在虚拟机监视器中，部署访问控制机制并应用不同的安全模型来增强虚拟化系统的安全性。这样的解决方案至少存在两点不足：缺乏统一的访问控制策略管理，难以从整体上保障系统的安全；缺乏访问控制机制自身安全性的考虑，使整个虚拟化系统的安全处于不确定状态。因此，如何为虚拟化系统提供策略灵活、安全可信的访问控制机制，是当前虚拟化技术发展亟待解决的问题。 本文首先利用新一代计算机固件与上层虚拟化方案选取的无关性和基于硬件的安全性，参考分布式环境下策略管理的实现方案，研究并提出了基于固件的虚拟化系统策略管理机制。使用通用、可移植的XACML策略语言描述系统安全策略。通过可视化策略配置工具，实现固件环境的策略配置、存储；通过集成访问控制管理器和运行时服务，为虚拟化平台提供统一、可信的策略管理服务。 然后，，本文以基于内核的虚拟化方案KVM为参考环境，研究并提出了基于固件的虚拟化系统集成访问控制机制。以集成访问控制管理器为策略决策者，基于Linux下安全模块LSM实现的虚拟机引用监视器为策略执行者，两者间通过访问控制代理构建了虚拟化系统下策略灵活、安全可信的集成访问控制机制。为了适用于多密级信息共享环境，在集成访问控制机制中应用了BLP安全模型，并以军队信息系统共享为例，说明了该集成访问控制机制在实际环境中的应用。 在此基础上，本文于KVM下实现了基于固件的虚拟化系统集成访问控制机制的原型系统。通过系统性能、系统启动时延、资源访问时延等多方面的实验数据，与KVM下传统的访问控制机制SVirt进行了对比分析，说明了该集成访问控制机制的可用性。
【关键词】：统一可扩展固件接口 访问控制 虚拟化 虚拟机引用监视器
【学位授予单位】：上海交通大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP302
【目录】：

• 摘要5-7
• ABSTRACT7-9
• 英文缩略语对照表9-12
• 第一章 绪论12-15
• 1.1 研究背景12-13
• 1.2 主要研究内容13-14
• 1.3 本文组织结构14-15
• 第二章 国内外相关领域研究现状15-31
• 2.1 引言15
• 2.2 新一代计算机固件—UEFI 固件15-21
• 2.2.1 UEFI 固件简介15-16
• 2.2.2 UEFI 固件核心概念16-20
• 2.2.3 UEFI 开源实现平台20-21
• 2.3 基于策略的管理21-25
• 2.3.1 策略描述语言21-23
• 2.3.2 策略冲突检测23-24
• 2.3.3 基于策略的安全管理框架24-25
• 2.4 虚拟化平台下的访问控制技术25-30
• 2.4.1 虚拟化技术概述25-27
• 2.4.2 虚拟化平台下的访问控制机制27-30
• 2.5 本章小结30-31
• 第三章 基于 UEFI 固件的虚拟化系统策略管理机制31-49
• 3.1 引言31-32
• 3.2 XACML 策略语言及其组织形式32-35
• 3.2.1 XACML 标准简介32
• 3.2.2 XACML 优点32
• 3.2.3 XACML 上下文32-33
• 3.2.4 XACML 标准模型33-35
• 3.3 基于 UEFI 固件的虚拟化系统策略管理机制总体设计35-36
• 3.3.1 机制框架35-36
• 3.3.2 机制主体流程36
• 3.4 可视化策略配置工具36-41
• 3.4.1 软件架构36-38
• 3.4.2 工作流程38-39
• 3.4.3 关键实现技术39-41
• 3.5 集成访问控制管理器41-45
• 3.5.1 软件架构41-43
• 3.5.2 关键流程43-44
• 3.5.3 关键实现技术44-45
• 3.6 通信模块45-48
• 3.6.1 原理及工作流程45-47
• 3.6.2 基于运行时服务的通信机制47-48
• 3.7 本章小结48-49
• 第四章 基于 UEFI 固件的虚拟化系统集成访问控制机制49-63
• 4.1 引言49-50
• 4.2 KVM 及 KVM 平台下的访问控制机制 SVirt50-54
• 4.2.1 KVM 虚拟化平台50-51
• 4.2.2 Svirt 访问控制机制51-53
• 4.2.3 SELinux 安全策略53-54
• 4.3 基于 UEFI 固件的虚拟化系统集成访问控制机制54-58
• 4.3.1 虚拟化系统下传统访问控制机制安全性分析54-55
• 4.3.2 基于 UEFI 固件的虚拟化系统集成访问控制机制安全性分析55
• 4.3.3 基于 UEFI 固件的虚拟化系统集成访问控制机制框架55-57
• 4.3.4 关键流程57-58
• 4.4 BLP 安全模型应用58-60
• 4.5 基于 UEFI 固件的虚拟化系统集成访问控制机制应用实例60-62
• 4.6 本章小结62-63
• 第五章 原型系统设计实现与实验验证63-80
• 5.1 引言63
• 5.2 原型系统关键模块实现63-74
• 5.2.1 基于 UEFI 固件的虚拟化系统策略管理机制关键模块实现63-71
• 5.2.2 上层系统实现71-74
• 5.3 原型系统实验验证与分析74-79
• 5.3.1 原型系统测试环境74-75
• 5.3.2 实验验证与分析75-79
• 5.4 本章小结79-80
• 第六章 全文总结与展望80-82
• 参考文献82-87
• 致谢87-88
• 攻读硕士学位期间已发表或录用的论文88

【参考文献】

中国期刊全文数据库 前4条

1 何再朗,田敬东,张毓森;策略冲突类型的细化及检测方法的改进[J];吉林大学学报(信息科学版);2005年03期

2 付思源;刘功申;李建华;;基于UEFI固件的恶意代码防范技术研究[J];计算机工程;2012年09期

3 刘苏娜;潘理;姚立红;;不同密级系统间基于BLP的访问控制机制[J];上海交通大学学报;2012年09期

4 龚敏斌;潘理;钱宏;;网络系统策略完整性安全机制[J];信息安全与通信保密;2013年08期

  本文关键词：基于固件的虚拟化系统集成访问控制机制研究与实现，由笔耕文化传播整理发布。

本文编号：393479