本文關(guān)鍵詞：虛擬域內(nèi)訪問控制系統(tǒng)的保護機制研究

  更多相關(guān)文章： 虛擬機管理程序 虛擬化 內(nèi)存保護 訪問控制系統(tǒng) 策略

【摘要】：在傳統(tǒng)情況下,惡意軟件在系統(tǒng)中的運行級別通常和強制訪問控制系統(tǒng)的運行級別是一樣的,都是處在操作系統(tǒng)的內(nèi)核級,這樣惡意軟件就可以對強制訪問控制系統(tǒng)等安全系統(tǒng)進行攻擊,破壞安全軟件的正常運行或關(guān)閉安全軟件的策略檢查。由于操作系統(tǒng)的內(nèi)核的漏洞是不可避免,因此這個問題在傳統(tǒng)架構(gòu)下是無法解決。 最近云計算已經(jīng)成為工業(yè)界和學術(shù)界研究的熱點之一,虛擬化作為云計算平臺實施的必備的技術(shù)之一,在現(xiàn)代的計算機系統(tǒng)中使用越來越廣泛,從個人系統(tǒng)到網(wǎng)頁服務器和數(shù)據(jù)中心,從客戶端到服務器端,都可以看到虛擬化的身影。由于虛擬機管理程序可以提供一個小且安全的可信計算基,具有良好的隔離性和高特權(quán)性,很多研究者利用虛擬機監(jiān)視器的安全特性來解決傳統(tǒng)架構(gòu)下安全問題。 在虛擬域內(nèi)訪問控制系統(tǒng)保護機制研究的解決方案中,訪問控制系統(tǒng)可以分為三個部分:安全策略管理模塊,安全服務器模塊和策略執(zhí)行模塊。安全策略管理模塊和安全服務器模塊是放在安全的操作系統(tǒng)中,利用虛擬機管理程序的隔離性和安全操作系統(tǒng)的安全性來保證它們的安全。為了加快客戶操作系統(tǒng)和安全操作系統(tǒng)之間的安全策略決策信息交換,在客戶操作系統(tǒng)中添加了策略決策緩存模塊。為了實現(xiàn)主動防御和降低系統(tǒng)的性能開銷,策略執(zhí)行模塊被放在客戶操作系統(tǒng)中。策略決策緩存模塊和策略執(zhí)行模塊的安全是通過內(nèi)存保護機制來保障的。 虛擬域內(nèi)訪問控制系統(tǒng)保護機制的原型系統(tǒng)SEVD(Security-Enhanced Virtual Domain,簡稱SEVD)是在Xen虛擬化平臺上實現(xiàn)的。測試結(jié)果表明SEVD系統(tǒng)能夠有效保護客戶操作系統(tǒng)中訪問控制系統(tǒng)的安全,能夠抵御流行的Rookit攻擊;在性能方面,與SELinux訪問控制系統(tǒng)相比,性能開銷也是沒有增加;在功能方面,實現(xiàn)了虛擬環(huán)境下安全策略集中配置,有效降低了安全策略管理的復雜度。
【關(guān)鍵詞】：虛擬機管理程序 虛擬化 內(nèi)存保護 訪問控制系統(tǒng) 策略
【學位授予單位】：華中科技大學
【學位級別】：碩士
【學位授予年份】：2011
【分類號】：TP309.2
【目錄】：

• 摘要4-5
• Abstract5-8
• 1 緒論8-19
• 1.1 問題提出8-9
• 1.2 國內(nèi)外研究現(xiàn)狀9-17
• 1.3 背景與研究內(nèi)容17-18
• 1.4 文章框架結(jié)構(gòu)18-19
• 2 SEVD 的系統(tǒng)架構(gòu)19-32
• 2.1 設計目標19-20
• 2.2 設計思路20-21
• 2.3 體系結(jié)構(gòu)與功能模塊21-28
• 2.4 工作機制及處理流程28-31
• 2.5 小結(jié)31-32
• 3 SEVD 系統(tǒng)的主要實現(xiàn)技術(shù)32-45
• 3.1 事件截獲及語義解析技術(shù)32-34
• 3.2 策略緩存技術(shù)34-36
• 3.3 域間共享內(nèi)存通信技術(shù)36-39
• 3.4 策略解析和內(nèi)核多線程技術(shù)39-41
• 3.5 內(nèi)存保護機制41-44
• 3.6 小結(jié)44-45
• 4 系統(tǒng)測試和結(jié)果分析45-53
• 4.1 功能測試45-47
• 4.2 安全測試47-50
• 4.3 性能測試50-52
• 4.4 小結(jié)52-53
• 5 總結(jié)及展望53-55
• 致謝55-57
• 參考文獻57-61

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前1條

1 董耀祖;周正偉;;基于X86架構(gòu)的系統(tǒng)虛擬機技術(shù)與應用[J];計算機工程;2006年13期

，

本文編號：565210