本文選題：Xen + 云安全��； 參考：《電子科技大學(xué)》2013年碩士論文

【摘要】：云技術(shù)的應(yīng)用目前已經(jīng)逐步深入了人們的生產(chǎn)與生活，給人們帶來(lái)了不少的便利。在云技術(shù)逐漸改變?nèi)藗兩畹耐瑫r(shí)，也在不斷重新定義著計(jì)算機(jī)安全的內(nèi)容。越來(lái)越多的數(shù)據(jù)被移動(dòng)到了云端，安全問(wèn)題也逐漸引起人們的重視。目前云安全方面研究仍然集中在傳統(tǒng)的安全模型之上，很少有人去關(guān)注來(lái)自云內(nèi)部的安全隱患。內(nèi)部安全問(wèn)題一直被忽視，直到谷歌員工兩次被爆出利用管理權(quán)限竊取用戶在云環(huán)境中隱私數(shù)據(jù)的時(shí)候，人們才意識(shí)到云內(nèi)部安全問(wèn)題不容忽視。 如今，云安全問(wèn)題成為了云計(jì)算發(fā)展最大阻礙之一。Xen作為云的最主要載體，絕大多數(shù)情況仍然“裸奔”在運(yùn)營(yíng)商的機(jī)房中，來(lái)自云內(nèi)部的安全威脅正在威脅著所有云用戶的數(shù)據(jù)安全。 本文正是從這樣的問(wèn)題入手，以防護(hù)來(lái)自Xen內(nèi)部安全隱患為目標(biāo)，，以隔離為手段，分別從塊設(shè)備、內(nèi)存以及桌面協(xié)議三方面對(duì)Xen云環(huán)境中的虛擬機(jī)安全隔離進(jìn)行研究。研究針對(duì)這三方面出現(xiàn)的攻擊方式，結(jié)合Xen源碼進(jìn)行了細(xì)粒度的分析研究，最終找到了這三方面隔離的關(guān)鍵技術(shù)切入點(diǎn)。在這些切入點(diǎn)基礎(chǔ)上，塊設(shè)備隔離通過(guò)加密Qemu中模擬的硬盤數(shù)據(jù)，使得Domain0中管理員無(wú)法通過(guò)管理工具查看虛擬硬盤中數(shù)據(jù)內(nèi)容；內(nèi)存隔離通過(guò)修改Hypervisor中授權(quán)表工作流程，并擴(kuò)展ACM框架完成了內(nèi)存映射的控制與鑒別，使得管理員無(wú)法從Domain0中非法訪問(wèn)用戶虛擬機(jī)內(nèi)存；桌面協(xié)議隔離通過(guò)在虛擬VGA圖像產(chǎn)生過(guò)程中對(duì)圖像進(jìn)行加密，并配合加密的VNC客戶端實(shí)現(xiàn)了安全的桌面協(xié)議，杜絕了管理員在物理網(wǎng)卡抓取虛擬機(jī)內(nèi)桌面協(xié)議數(shù)據(jù)還原會(huì)話的隱患。所有涉及加解密的過(guò)程都建立在PKI技術(shù)之上，秘鑰使用獨(dú)立的服務(wù)器進(jìn)行管理，并且通過(guò)安全秘鑰接口完成訪問(wèn)，這樣保證了加密過(guò)程的安全可驗(yàn)證性。 經(jīng)過(guò)測(cè)試，本系統(tǒng)中的隔離模塊達(dá)到了預(yù)期目標(biāo)，在性能方面對(duì)內(nèi)存、硬盤以及桌面協(xié)議的效率最大影響均小于預(yù)期指標(biāo)，達(dá)到了預(yù)期的目標(biāo)，實(shí)現(xiàn)了Domain0與DomainU之間數(shù)據(jù)的隔離。 本課題研究順應(yīng)了互聯(lián)網(wǎng)安全態(tài)勢(shì)發(fā)展，能夠提升基于Xen云的環(huán)境中數(shù)據(jù)安全性，能夠?qū)ξ覈?guó)云安全相關(guān)工作起到積極的推動(dòng)作用。
[Abstract]:The application of cloud technology has gradually deepened people's production and life, and brought a lot of convenience to people. As cloud technology gradually changes people's lives, it also redefines the content of computer security. As more and more data are moved to the cloud, people pay more and more attention to security issues. At present, the research on cloud security is still focused on the traditional security model, and few people pay attention to the hidden danger from the cloud interior. Internal security issues have been ignored until Google employees were twice exposed to using administrative authority to steal users' privacy data in the cloud environment before people realized that cloud internal security problems can not be ignored. Nowadays, cloud security has become one of the biggest obstacles to the development of cloud computing. Xen, as the main carrier of cloud, is still "naked" in the computer room of the operator. Security threats from within the cloud are threatening the data security of all cloud users. This paper starts with this problem, taking the protection from the hidden danger of Xen internal security as the goal, and taking isolation as the means, studies the security isolation of virtual machine in Xen cloud environment from three aspects of block device, memory and desktop protocol respectively. This paper studies the attack mode of these three aspects, combining with the Xen source code, carries on the fine grain analysis research, finally has found the key technology breakthrough point of these three aspects isolation. On the basis of these pointcuts, block device isolation encrypts hard disk data simulated in Qemu, which makes it impossible for administrators in Domain0 to view the data content in virtual hard disks through administrative tools, and memory isolation by modifying the workflow of authorization tables in the hypervisor. The ACM framework is extended to control and authenticate the memory mapping, which makes the administrator unable to illegally access the memory of the user virtual machine from Domain0. Desktop protocol isolation encrypts the image in the process of generating virtual VGA image. A secure desktop protocol is implemented in conjunction with the encrypted VNC client, which eliminates the hidden danger of the administrator grabbing the desktop protocol data restore session in the virtual machine in the physical network card. All the processes involved in encryption and decryption are based on PKI technology, and the secret key is managed by a separate server and accessed through the secure key interface, which ensures the security verifiability of the encryption process. After testing, the isolation module in the system has achieved the expected goal, and the maximum effect on the efficiency of memory, hard disk and desktop protocol is less than the expected target in the performance aspect. The expected goal has been achieved, and the data isolation between Domain0 and DomainU has been realized. This research conforms to the development of Internet security situation, can improve the data security in the environment based on Xen cloud, and can play an active role in promoting the related work of cloud security in China.
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2013
【分類號(hào)】：TP302

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 飄零雪;;一勺燴 系統(tǒng)環(huán)境直接克隆為虛擬機(jī)[J];電腦迷;2010年21期

2 小珍;;虛擬機(jī)真情告白 文件共享我也能[J];電腦應(yīng)用文萃;2006年01期

3 陳康;余宏亮;鄭緯民;;基于虛擬機(jī)的OpenSSH秘鑰數(shù)據(jù)隔離方法[J];通信學(xué)報(bào);2009年02期

4 ;安全隔離與信息交換系統(tǒng)產(chǎn)品點(diǎn)評(píng)[J];計(jì)算機(jī)安全;2004年07期

5 ;產(chǎn)品紛呈 三機(jī)最優(yōu)——金電網(wǎng)安新一代安全隔離與信息交換系統(tǒng)FerrywayV2.0[J];信息安全與通信保密;2004年10期

6 ;隔離交換兩不誤 通而不連保安全——天行安全隔離網(wǎng)閘護(hù)航公安信息化[J];警察技術(shù);2003年05期

7 ;網(wǎng)杰安全隔離與信息交換系統(tǒng)——中關(guān)村十大軟件品牌信息安全首選品牌[J];信息安全與通信保密;2003年10期

8 楊慧超;狼煙四起 會(huì)盟天下英豪——國(guó)內(nèi)網(wǎng)絡(luò)安全市場(chǎng)與安全隔離技術(shù)簡(jiǎn)析[J];計(jì)算機(jī)與網(wǎng)絡(luò);2002年10期

9 孔斌;安全隔離與信息交換系統(tǒng)檢測(cè)與應(yīng)用[J];計(jì)算機(jī)安全;2004年07期

10 ;安全、共享、應(yīng)用一個(gè)都不能少 天行安全隔離網(wǎng)閘兼顧電子政務(wù)建設(shè)的三基石[J];計(jì)算機(jī)與網(wǎng)絡(luò);2003年06期

相關(guān)會(huì)議論文 前10條

1 丁濤;郝沁汾;張冰;;內(nèi)核虛擬機(jī)調(diào)度策略的研究與分析[A];'2010系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2010年

2 周玉宇;尚利宏;呂紫旭;;基于虛擬機(jī)的單粒子翻轉(zhuǎn)故障注入方法[A];第六屆中國(guó)測(cè)試學(xué)術(shù)會(huì)議論文集[C];2010年

3 王建民;;信息安全隔離與信息交換系統(tǒng)[A];天津市電視技術(shù)研究會(huì)2010年年會(huì)論文集[C];2010年

4 唐文雄;陳傳慶;;多網(wǎng)隔離技術(shù)應(yīng)用剖析[A];海南省通信學(xué)會(huì)論文集（二○○二年）[C];2002年

5 孫永清;金波;林九川;宋錚;;Xen虛擬顯卡共享幀緩沖區(qū)安全漏洞分析[A];全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集·第二十五卷[C];2010年

6 汪曉彤;;調(diào)度自動(dòng)化EMS與MIS的接口與安全隔離[A];華東六省一市電機(jī)（電力）工程學(xué)會(huì)輸配電技術(shù)研討會(huì)2004年年會(huì)論文集[C];2004年

7 孫春來(lái);田新廣;錢小軍;楊成;趙利軍;;基于硬件分區(qū)的多網(wǎng)接入安全隔離與信息交換[A];第二十一次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2006年

8 唐偉;;架構(gòu)軟件級(jí)別的無(wú)反饋單向傳輸系統(tǒng)[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

9 董焱;;基于虛擬化技術(shù)的實(shí)驗(yàn)教學(xué)中心環(huán)境構(gòu)建[A];北京高校實(shí)驗(yàn)室工作研究會(huì)2010年年會(huì)優(yōu)秀論文[C];2011年

10 董焱;;基于虛擬化技術(shù)的實(shí)驗(yàn)教學(xué)中心環(huán)境構(gòu)建[A];北京高教學(xué)會(huì)實(shí)驗(yàn)室工作研究會(huì)2010年學(xué)術(shù)研討會(huì)論文集（下冊(cè)）[C];2010年

相關(guān)重要報(bào)紙文章 前10條

1 記者聶曉陽(yáng)、明大軍;以開始修建安全隔離墻[N];人民日?qǐng)?bào);2002年

2 馬瑞祥 王宇;安全隔離與信息交換技術(shù)的最新發(fā)展動(dòng)向[N];中國(guó)計(jì)算機(jī)報(bào);2006年

3 ;聯(lián)想安全隔離與信息交換系統(tǒng)[N];電腦商報(bào);2005年

4 董芳忠;體驗(yàn)北京地鐵5號(hào)線[N];中國(guó)消費(fèi)者報(bào);2007年

5 ;天行網(wǎng)安安全隔離網(wǎng)閘通過(guò)鑒定 電子政務(wù)有了“把門人”[N];中國(guó)計(jì)算機(jī)報(bào);2002年

6 胡英;中國(guó)的GAP[N];計(jì)算機(jī)世界;2002年

7 賽迪評(píng)測(cè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室 何軍;你信任哪一款[N];中國(guó)計(jì)算機(jī)報(bào);2004年

8 北京市城鄉(xiāng)經(jīng)濟(jì)信息中心 范宏;安全是頭等大事[N];中國(guó)計(jì)算機(jī)報(bào);2004年

9 本報(bào)記者 傅之庭;CPP——安全隔離食品的“金鐘罩”[N];寧波日?qǐng)?bào);2006年

10 山楓;GAP也可以防Slammer[N];中國(guó)計(jì)算機(jī)報(bào);2003年

相關(guān)博士學(xué)位論文 前10條

1 劉謙;面向云計(jì)算的虛擬機(jī)系統(tǒng)安全研究[D];上海交通大學(xué);2012年

2 唐源;嵌入虛擬機(jī)監(jiān)視器的高性能覆蓋網(wǎng)絡(luò)研究[D];電子科技大學(xué);2012年

3 周剛;云計(jì)算環(huán)境中面向取證的現(xiàn)場(chǎng)遷移技術(shù)研究[D];華中科技大學(xué);2011年

4 楊洪波;高性能網(wǎng)絡(luò)虛擬化技術(shù)研究[D];上海交通大學(xué);2012年

5 邱罡;可信系統(tǒng)保護(hù)模型研究與設(shè)計(jì)[D];西安電子科技大學(xué);2010年

6 宋滸;面向用戶服務(wù)需求的云計(jì)算管理機(jī)制研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2013年

7 孟江濤;Xen虛擬機(jī)研究[D];電子科技大學(xué);2010年

8 李世勝;基于運(yùn)行時(shí)的程序執(zhí)行模型研究[D];中國(guó)科學(xué)技術(shù)大學(xué);2010年

9 舒林;射頻優(yōu)卡多芯片操作系統(tǒng)隔離與安全通信方法研究[D];華中科技大學(xué);2009年

10 馬汝輝;基于多核的虛擬化技術(shù)研究[D];上海交通大學(xué);2011年

相關(guān)碩士學(xué)位論文 前10條

1 邵長(zhǎng)庚;Xen云環(huán)境虛擬機(jī)安全隔離技術(shù)研究與實(shí)現(xiàn)[D];電子科技大學(xué);2013年

2 寧剛;基于Xen虛擬機(jī)的資源管理系統(tǒng)的研究與實(shí)現(xiàn)[D];上海交通大學(xué);2012年

3 林昆;基于Intel VT-d技術(shù)的虛擬機(jī)安全隔離研究[D];上海交通大學(xué);2011年

4 任佳;Xen虛擬機(jī)塊設(shè)備的訪問(wèn)優(yōu)化技術(shù)[D];華中科技大學(xué);2012年

5 趙旭澤;虛擬機(jī)平臺(tái)的設(shè)計(jì)與關(guān)鍵模塊的實(shí)現(xiàn)[D];沈陽(yáng)理工大學(xué);2011年

6 梁敏;基于可信虛擬機(jī)的全盤加密系統(tǒng)模型研究[D];解放軍信息工程大學(xué);2011年

7 周海燕;Xen虛擬機(jī)域間可信網(wǎng)絡(luò)連接的研究與實(shí)現(xiàn)[D];華南理工大學(xué);2011年

8 劉永;云計(jì)算環(huán)境下虛擬機(jī)資源調(diào)度策略研究[D];山東師范大學(xué);2012年

9 田紅;一種可信任環(huán)境下的微型嵌入式虛擬機(jī)的設(shè)計(jì)和實(shí)現(xiàn)[D];北京郵電大學(xué);2013年

10 黃良良;基于VMX虛擬機(jī)的安全通信機(jī)制研究[D];解放軍信息工程大學(xué);2010年

本文編號(hào)：2069989