【摘要】：隨著大數(shù)據(jù)、物聯(lián)網(wǎng)的發(fā)展,越來越多的用戶選擇在云平臺上部署自己的應(yīng)用,但是用戶數(shù)據(jù)的安全問題也隨之變得嚴峻。攻擊者可以利用軟件漏洞直接竊取用戶數(shù)據(jù),也可以針對云平臺本身發(fā)起攻擊、控制云平臺實施惡意行為,一些攻擊者甚至可以實施諸如冷啟動、總線監(jiān)聽等物理攻擊來竊取用戶數(shù)據(jù)。因此,在云環(huán)境下保護這些數(shù)據(jù)的安全已經(jīng)成為重要的研究課題。最近,AMD在新一代的CPU中推出了對內(nèi)存加密的硬件支持:安全內(nèi)存加密(SME)與安全加密虛擬化(SEV),其中,SEV允許每個虛擬機使用自己的密鑰來選擇性的加密和管理自己的內(nèi)存,這就為在不可信云環(huán)境下保護虛擬機及其中的數(shù)據(jù)提供了可能。但是,本文發(fā)現(xiàn)現(xiàn)有的SEV還具有一些問題,首先,惡意的虛擬機監(jiān)控器可以通過修改相關(guān)的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)繞過、甚至直接關(guān)閉保護;其次,SEV提供的保護不足以覆蓋虛擬機的整個生命周期。針對這些問題,本文系統(tǒng)分析了現(xiàn)版本SEV所具有的安全隱患,詳細討論了利用AMD的SEV機制保護客戶虛擬機與應(yīng)用程序關(guān)鍵數(shù)據(jù)的可行性。為了解決不可信虛擬機監(jiān)控器繞過保護的問題,系統(tǒng)將關(guān)鍵資源從非關(guān)鍵的服務(wù)中分離了出來,并將虛擬機監(jiān)控器修改這些關(guān)鍵資源的權(quán)限進行了剝離,取而代之的是一個根據(jù)系統(tǒng)預(yù)訂策略來管理這些關(guān)鍵資源的安全上下文。在同級保護機制下,安全上下文與原有的虛擬機監(jiān)控器運行在同一特權(quán)級下以減少性能開銷。為了保護應(yīng)用程序中的關(guān)鍵數(shù)據(jù)安全,系統(tǒng)對應(yīng)用程序進行解耦和,將關(guān)鍵數(shù)據(jù)和代碼置于獨立的安全環(huán)境中運行,使之免受Guest OS的惡意讀取。本文貢獻如下:·對AMD SEV硬件內(nèi)存加密機制的全面安全分析與討論。·一套軟件擴展方案Fidelius,該方案在彌補了SEV的缺陷后,創(chuàng)新得復(fù)用SEV API,最終為虛擬機提供覆蓋整個生命周期的保護。·一套軟件擴展方案Sedora,該方案對應(yīng)用程序進行解耦和,將關(guān)鍵部分置于利用SEV建立的獨立安全環(huán)境以保護其安全。·系統(tǒng)的安全分析和定量的性能評估,最終證明兩個系統(tǒng)原型的安全和高效。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP309.7;TP302

【相似文獻】

相關(guān)期刊論文 前10條

1 陳佳昕;;虛擬機隱藏進程檢測系統(tǒng)設(shè)計與實現(xiàn)[J];現(xiàn)代計算機(專業(yè)版);2019年01期

2 尹學(xué)淵;陳興蜀;陶術(shù)松;陳林;;一種無代理虛擬機進程監(jiān)控方法[J];南京大學(xué)學(xué)報(自然科學(xué));2019年02期

3 郭建偉;;靈活管理虛擬機[J];網(wǎng)絡(luò)安全和信息化;2019年05期

4 關(guān)長杰;;巧用虛擬機維護多媒體教室計算機之我見[J];信息記錄材料;2019年04期

5 王瑞宗;;淺析云計算虛擬機部署方案[J];電子世界;2019年15期

6 甘娜;;一種基于服務(wù)次數(shù)的云虛擬機資源部署算法[J];中國新通信;2017年23期

7 石岳;王春海;;快速克隆千臺虛擬機[J];網(wǎng)絡(luò)安全和信息化;2017年06期

8 顧武雄;;創(chuàng)建虛擬機與遠程管理[J];網(wǎng)絡(luò)安全和信息化;2017年05期

9 顧武雄;;虛擬機復(fù)制管理[J];網(wǎng)絡(luò)安全和信息化;2018年06期

10 趙艷;王春海;;虛擬機“句柄無效”無法開機[J];網(wǎng)絡(luò)安全和信息化;2018年09期

相關(guān)會議論文 前10條

1 陸彥琦;伍華鳳;高毅;;云計算環(huán)境下虛擬機安全性分析與研究[A];中國造船工程學(xué)會電子技術(shù)學(xué)術(shù)委員會2017年裝備技術(shù)發(fā)展論壇論文集[C];2017年

2 段翼真;王曉程;;可信安全虛擬機平臺的研究[A];第26次全國計算機安全學(xué)術(shù)交流會論文集[C];2011年

3 沈敏虎;查德平;劉百祥;趙澤宇;;虛擬機網(wǎng)絡(luò)部署與管理研究[A];中國高等教育學(xué)會教育信息化分會第十次學(xué)術(shù)年會論文集[C];2010年

4 陳援非;朱珍民;葉劍;;一種基于多量級虛擬機的可擴展普適計算架構(gòu)[A];第四屆和諧人機環(huán)境聯(lián)合學(xué)術(shù)會議論文集[C];2008年

5 張健;高鋮;宮良一;顧兆軍;;虛擬機自省技術(shù)研究[A];第32次全國計算機安全學(xué)術(shù)交流會論文集[C];2017年

6 鄧小林;;虛擬機系統(tǒng)資源動態(tài)分配策略[A];浙江省信號處理學(xué)會2013學(xué)術(shù)年會論文集——信號處理在海洋[C];2013年

7 丁濤;郝沁汾;張冰;;內(nèi)核虛擬機調(diào)度策略的研究與分析[A];'2010系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會議論文集[C];2010年

8 管慶華;葉力旋;劉凱;明月;;一種基于資源池分布式部署虛擬機的方法[A];2010電力行業(yè)信息化年會優(yōu)秀論文專輯[C];2010年

9 ;瑞星研制出全球最快反病毒虛擬機[A];2010電力行業(yè)信息化年會優(yōu)秀論文專輯[C];2010年

10 陳乃剛;李健;李龍;;云計算數(shù)據(jù)中心的網(wǎng)絡(luò)帶寬保證方案[A];2016電力行業(yè)信息化年會論文集[C];2016年

相關(guān)重要報紙文章 前10條

1 本報記者 馮霄霞;容器引領(lǐng)云計算2.0時代[N];中國信息化周報;2016年

2 南方日報駐京記者 王騰騰;網(wǎng)絡(luò)空間安全攻防戰(zhàn)[N];南方日報;2017年

3 馮志鵬 黃文雯 胡宇;引領(lǐng)架構(gòu)提升 打造“云”上服務(wù)[N];國家電網(wǎng)報;2017年

4 劉荻 編譯;虛擬機真比容器安全嗎？[N];中國計算機報;2017年

5 鄒錚 編譯;云計算充滿“僵尸”虛擬機?沒什么大不了![N];網(wǎng)絡(luò)世界;2015年

6 ;首批通過云計算產(chǎn)品虛擬機管理測評名單[N];中國電子報;2014年

7 本報記者 邱燕娜;如何告別虛擬機管理煩惱[N];中國計算機報;2012年

8 本報記者 李旭陽;Azul“搶灘”國內(nèi)Java虛擬機市場[N];計算機世界;2012年

9 《網(wǎng)絡(luò)世界》記者 周源;3:0!Power虛擬機完勝x86虛擬機[N];網(wǎng)絡(luò)世界;2012年

10 本報記者 鄒大斌;VMware推出新虛擬機管理工具[N];計算機世界;2011年

相關(guān)博士學(xué)位論文 前10條

1 張涵翠;云平臺中面向虛擬機的自適應(yīng)異常檢測關(guān)鍵技術(shù)研究[D];重慶大學(xué);2018年

2 魏亮;面向云網(wǎng)融合的資源調(diào)度算法及實驗平臺研究[D];北京郵電大學(xué);2018年

3 張鑫彥;數(shù)據(jù)中心虛擬機放置方法的研究[D];大連理工大學(xué);2018年

4 張留美;面向綠色云計算的虛擬機評估研究[D];西安電子科技大學(xué);2016年

5 徐驍麟;面向多虛擬機應(yīng)用的基礎(chǔ)設(shè)施云服務(wù)性能優(yōu)化機制研究[D];華中科技大學(xué);2016年

6 丁有偉;云環(huán)境下能量高效的任務(wù)調(diào)度方法研究與應(yīng)用[D];南京航空航天大學(xué);2016年

7 胡榮東;面向能效的云計算虛擬化資源提供方法研究[D];國防科學(xué)技術(shù)大學(xué);2015年

8 葉楓;QoS-Aware的云服務(wù)可信增強機制的研究[D];南京航空航天大學(xué);2016年

9 郭芬;面向虛擬機的云平臺資源部署與調(diào)度研究[D];華南理工大學(xué);2015年

10 劉海坤;虛擬機在線遷移性能優(yōu)化關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 胡南;一種基于虛擬服務(wù)器的小區(qū)云網(wǎng)絡(luò)設(shè)計與實現(xiàn)[D];電子科技大學(xué);2019年

2 雷美煉;大規(guī)模網(wǎng)絡(luò)系統(tǒng)的可靠性建模的若干問題的研究與仿真[D];電子科技大學(xué);2019年

3 任麗媛;基于遺傳算法的虛擬機整合策略[D];長安大學(xué);2019年

4 黃科;基于微服務(wù)的虛擬機自動化編排系統(tǒng)的設(shè)計與實現(xiàn)[D];電子科技大學(xué);2019年

5 劉靜;基于FORTH虛擬機的操作系統(tǒng)多任務(wù)動態(tài)管理研究[D];云南大學(xué);2018年

6 王蕾;基于FORTH虛擬機的實時多任務(wù)調(diào)度研究[D];云南大學(xué);2018年

7 喬淑敏;基于資源需求特征的應(yīng)用分類及虛擬機放置策略[D];云南大學(xué);2018年

8 梅東暉;云數(shù)據(jù)中心虛擬機負載均衡部署問題研究[D];云南大學(xué);2018年

9 楊媛;基于多目標優(yōu)化的虛擬機資源調(diào)度問題研究[D];長安大學(xué);2019年

10 張琛;云計算中基于預(yù)拷貝的虛擬機動態(tài)內(nèi)存遷移研究[D];重慶郵電大學(xué);2018年

本文編號：2716220