【摘要】：云計算的概念自提出以來,已經(jīng)過去十多年。目前,國內(nèi)外的商用云計算業(yè)務(wù)都己進入蓬勃發(fā)展的重要時期,云計算也越來越多地被視為存儲數(shù)據(jù)和部署服務(wù)的IT基礎(chǔ)設(shè)施。然而,由于云計算的商業(yè)服務(wù)模式,導(dǎo)致云平臺天生就難以抵抗共享計算資源所帶來的安全威脅。其中,跨虛擬機側(cè)信道威脅首當(dāng)其沖。由于云環(huán)境具有虛擬隔離、邊界模糊、租戶共享等特點,允許其上的同駐虛擬機共享物理主機的大部分資源,因此惡意的虛擬機可通過側(cè)信道攻擊破壞云平臺中數(shù)據(jù)的機密性和資源的可用性,導(dǎo)致嚴(yán)重的安全問題,對大規(guī)模企業(yè)用戶和普通云租戶都會造成極大危害。本文以保護云平臺虛擬機不受時間信道攻擊為主線,闡述了相關(guān)研究背景和基礎(chǔ)知識;重點從跨虛擬機側(cè)信道攻擊出發(fā),研究商用云平臺中虛擬機同駐方案,以指導(dǎo)之后的避免同駐的研究;利用虛擬化技術(shù)與事件關(guān)聯(lián)算法對平臺中存在的時間信道進行檢測;利用虛擬機自省技術(shù)和CPU硬件特性對側(cè)信道威脅進行定位;最后利用CPU硬件特性對跨虛擬機的時間信道進行防御。本文包含跨虛擬機側(cè)信道一系列問題的充分闡述,是對云計算、虛擬化安全領(lǐng)域進行了重要補充。具體內(nèi)容包括:(1)本文提出了適用于云環(huán)境的側(cè)信道攻擊構(gòu)建和優(yōu)化方案�；谖⑻幚砥骷軜�(gòu)的時間側(cè)信道在多用戶計算機系統(tǒng)中十分常見。不過在嘈雜的生產(chǎn)云環(huán)境中,虛擬機遷移、虛擬處理器的調(diào)度以及虛擬化管理器的活動對時間側(cè)信道增加了許多噪聲,對信道構(gòu)建和精確同步帶來挑戰(zhàn)。本文研究了兩種典型的跨虛擬機時間信道:基于最外層緩存的和基于內(nèi)存總線的側(cè)信道,并給出其構(gòu)建與優(yōu)化方案。此方案能夠克服這兩種虛擬化環(huán)境中信道構(gòu)建的困難,將信道載體所具備的特性充分利用,大大提升了信道傳輸正確率,在實際云環(huán)境中可以用于攻擊。(2)本文提出了一種普適的虛擬機同駐方案。如果外部攻擊者意圖實施針對遠程云平臺的攻擊,則它必須首先完成與目標(biāo)虛擬機的同駐。通過深入研究某云的商業(yè)策略和服務(wù)協(xié)議和一系列實驗,本文對某云的內(nèi)部部署結(jié)構(gòu)進行了探測,提出了一種基于后驗概率的自動化虛擬機洪泛策略。通過該策略能夠得出洪泛虛擬機群的同駐情況與目標(biāo)虛擬機分布到各臺物理主機的概率,以便于減少之后所需同駐攻擊的實驗成本和開銷,能夠?qū)粽叩南乱徊焦糇鞒鲋笇?dǎo)。本同駐方案結(jié)合基于隱蔽信道的虛擬機同駐檢測方法和自動化虛擬機洪泛策略,在國內(nèi)知名商業(yè)云平臺上進行了實驗驗證。作為一種典型的針對云平臺的惡意行為,本方案通用性強,誤檢率不超過0.5%,同時魯棒性強,潛在威脅極大,亟需各大云服務(wù)提供商重視與防范。(3)本文從資源共享的角度,提出了一種云計算環(huán)境下的隱蔽信道通用檢測方案。隱蔽信道是安全信息系統(tǒng)的重要威脅,且普遍存在于操作系統(tǒng)中。云計算環(huán)境中的隱蔽信道形式更加多樣且難以被發(fā)現(xiàn)。因此本文構(gòu)建了針對隱信道的普適性的隱蔽信道檢測模型,使其既可檢測系統(tǒng)級的隱蔽信道,也可以檢測進程級的隱蔽信道。從時鐘、事件和隱蔽信道之間的兩兩關(guān)系來看,事件顯然具備作為傳輸秘密信息的能力,事件關(guān)聯(lián)分析將是隱蔽信道檢測本質(zhì)上的有效解決方案。本文充分考慮了虛擬化架構(gòu)與普通計算環(huán)境的區(qū)別,通過事件記錄機制探尋云環(huán)境下隱蔽信道的特征,結(jié)合共享資源矩陣法遍歷和搜索可能存在的隱蔽信道。同時,所設(shè)計的檢測方案充分考慮了虛擬化環(huán)境的特點,在信息收集階段采用了穿透性較強的方式來收集必要的事件日志信息和安全策略信息;改進了原有的共享資源矩陣法,對事件日志和安全配置文件進行預(yù)處理,減少了構(gòu)建共享資源矩陣工作量;最后根據(jù)實際應(yīng)用場景,設(shè)計了仿真實驗,以此驗證了本文所提方案的優(yōu)勢。(4)本文提出一種側(cè)信道威脅定位方案。為了克服云環(huán)境跨虛擬機側(cè)信道威脅定位方法匱乏、現(xiàn)有威脅定位技術(shù)不精確等挑戰(zhàn),本文設(shè)計了基于硬件特性和虛擬機自省的定位框架來實時的檢測和定位云中存在的跨虛擬側(cè)信道攻擊�，F(xiàn)有CPU中包含許多用于性能分析的硬件特性,本文將其利用,對大量側(cè)信道威脅進行了學(xué)習(xí)。通過測量它們在性能方面(如Cache命中,分支轉(zhuǎn)移,運行時間)的表現(xiàn),多維度地分析了不同的側(cè)信道,并定制了不同的策略來進行基于特征的檢測。同時,利用分支記錄器LBR的精確地址信息,通過引入虛擬機自省技術(shù),本文能夠?qū)?cè)信道威脅的元數(shù)據(jù)獲取并進行語義翻譯。在此基礎(chǔ)上,本文結(jié)合二進制內(nèi)存分析技術(shù),能夠以最小的先驗知識,還原出側(cè)信道威脅的精確地址,從而進行攻擊溯源。本方案將檢測和定位有機結(jié)合,利用Hypervisor已有的信息傳遞機制,構(gòu)建了信息分析和分發(fā)的快速通道,解決了云環(huán)境下虛擬機信息收集困難的挑戰(zhàn)。其原型系統(tǒng)盡可能地借助已有架構(gòu),將虛擬機自省工具和內(nèi)存分析工具集成在一起,能夠快速透明地找到內(nèi)存中的關(guān)鍵惡意代碼。本方案率先解決了虛擬機中側(cè)信道攻擊定位困難的問題,對虛擬機審計提供了幫助。(5)本文提出了一種側(cè)信道防護方法。隨著新的虛擬機側(cè)信道的出現(xiàn),研究人員提出了一些針對性強的方法來緩解側(cè)信道威脅。非隨機地將敏感操作的運行時間填充成固定時間或固定時間的倍數(shù)也許是一種較好的方式。然而,現(xiàn)有的緩解方法引入了很多刻意的時間延遲,并且要求用戶始終忍受這種性能損失。這些方法一方面會篡改時鐘,影響許多依賴于細粒度時鐘源的應(yīng)用程序的運行。另一方面,長時間的修改系統(tǒng)時鐘也會對系統(tǒng)性能造成極大影響。本文利用硬件虛擬化擴展技術(shù),提出一種輕量而有效的方法,以實現(xiàn)云平臺的整體側(cè)信道防護。根據(jù)客戶虛擬機所提出的要求,允許虛擬機動態(tài)地請求模糊時鐘源;通過Intel VT-X提供的RDTSC指令截獲功能,來模擬虛擬的時鐘源并提供給用戶;通過新穎的方式重載了 Intel CPU中的VMFUNC指令接口,允許虛擬機上的應(yīng)用程序向Hypervisor發(fā)送按需的請求,以“恰到好處”地程度來模糊TSC的最低n位,以阻止其他惡意的同駐虛擬機對時間進行精確測量。本方案同樣具有通用性與極強的可用性。本文以所實現(xiàn)的側(cè)信道攻擊為例,展示了本方案對多個隱蔽信道的防御效果,同時得出了在這些攻擊場景中客戶虛擬機的TSC值應(yīng)該被模糊的程度。在性能分析方面,本文對三種不同工作負載的實驗表明,本方案在加密應(yīng)用中的額外開銷很小;并且在云環(huán)境中最為普遍的Web服務(wù)器應(yīng)用中,具有比現(xiàn)有其他防御方法更低的性能開銷。總而言之,本文從跨虛擬機側(cè)信道的攻擊、檢測和防御等多個方面對這一云環(huán)境中的新型威脅作了系統(tǒng)性的研究,對攻防兩端的方法均作出了創(chuàng)新性的貢獻。通過結(jié)合處理器硬件特性與虛擬化技術(shù),以通用性和透明性為出發(fā)點,提出了對跨虛擬機側(cè)信道檢測、定位和防御方案,為該方面問題的解決提供了新思路。本文是對現(xiàn)階段云計算安全和虛擬化安全研究的進一步豐富和創(chuàng)新,對增強云平臺的安全性有重要意義。
【學(xué)位授予單位】：武漢大學(xué)
【學(xué)位級別】：博士
【學(xué)位授予年份】：2018
【分類號】：TP309;TP302
【圖文】：

使用ＲＤＭＳＲ指令時，ＭＳＲ邋ｒｅａｄ邋ｂｉｔｍａｐ相應(yīng)位為０值。逡逑⑵ＥＰＴＰ字段６４位的ＥＰＴＰ字段提供ＥＰＴ邋ＰＭＷＴ表的物理地址，它的結(jié)構(gòu)逡逑如圖２．１所示。逡逑６３邐Ｎ邋Ｎ－１邐１２邋１１邐７邐６邐５邐３邐２邐０逡逑Ｒｅｓｅｉ－ｖｅｄ邐ＥＰＴ邋ＰＭＬ４Ｔ邋ａｄｄｒｅｓｓ邐Ｒｅｓｅｒｖｅｄ邋Ｄ邐Ｍｃｎｉｏｉｙ逡逑ｌｅｎｇｔｈ邋ｔｙｐｅ逡逑圖２．１邋ＥＰＴＰ字段逡逑２．１．２．３內(nèi)存硬件虛擬化技術(shù)逡逑在虛擬化平臺中，每個ＶＭ有自己獨立的物理內(nèi)存，ＶＭ本身并不知道有其他逡逑ＶＭ的存在，只認(rèn)為自己獨占從０到ＭＡＸＰＨＹＡＤＤＲ這個范圍的物理地址空間。這逡逑個原理與ＯＳ下進程獨占地址空間一般無異。譬如在ｗｉｎｄｏｗｓ系統(tǒng)下，一個進程認(rèn)為逡逑自己占有獨立的４Ｇ內(nèi)存空間，然而這個地址空間實際上是虛擬地址空間，用來隔絕逡逑每個進程對物理地址空間的訪問。逡逑ＶＭＡＩ在設(shè)計時就應(yīng)將ＶＭ私有的物理地址空間隔離，并提供地址轉(zhuǎn)換功能。ＶＡＩ逡逑私有的物理地址空間被稱為ＧＰＡ（Ｇｕｅｓｔ－Ｐｈｙｓｉｃａｌ邋Ａｄｄｒｅｓｓ）空間，而真實平臺上的物逡逑理地址空間被稱為ＨＰＡ（Ｈｏｓｔ－Ｐｌｉｙｓｉｃａｌ邋Ａｄｄｒｅｓｓ）空間。而Ｉｎｔｅｌ提出的ＥＰＴ擴展頁表逡逑（Ｅｘｔｅｎｄｅｄ－Ｐａｇｅ邋Ｔａｂｌｅ）使用了硬件實現(xiàn)了上述功能

Ｒｅｃｅｉｖｅｒ逡逑Ｐｒｏｇｒａｍ邋ｃｏｖｅｒｔｌｙ邋ｔｒａｎｓｆｅｒ邋ｉｎｆｏｒｍａｔｉｏｎ邋ｔｏ邋Ａｔｔａｃｋｅｒ邋（ｃｒｏｓｓ－ｐｌａｔｆｏｒｍ）＂逡逑圖２．３云環(huán)境中的虛擬機合謀構(gòu)建隱蔽信道逡逑調(diào)制信息的一方為發(fā)送方（Ｓｅｎｄｅｒ），稱解調(diào)信息的一方為接收方（Ｒｅｃｅｉｖｅｒ）。逡逑２．２．２．２側(cè)信道威脅模型逡逑．邐Ｐｒｏｂｅ：逡逑＊邋Ｉ？１６＊．邐Ｖｉｃｔｉｍ邋ｄｏｉｎｇ邐Ａｔｔａｃｋｅｒ邋Ａｉｌｉｎｇ邋ｉｎ邋ｃａｃｈｅ逡逑Ａｔｔａｃｋｅｒ邋ｆｉｌｌｉｎｇ邋ｉｎ邋ｃａｃｈｅ邐ｓｅｎｓｉｔｉｖｅ邋ｏｐｅｒａｔｉｏｎｓ邐ａｎｄ邋ｔｉｍｉｎｇ邋ａｇａｉｎ逡逑邐邐邐邋：：邐０逡逑＿＿疆＿邐■＿＿＿逡逑邐邐邐０逡逑邐＾邐？邐Ｂ逡逑邐邐邋Ｔｉｍ＇］邐Ｃａｃｌｉｃ邋ｍｉｓｓ逡逑邐邐邐——＿■邋＞＊—＜邐Ｃａｃｈｅ邋ｈｉｔ逡逑邐邐邐＞—＜邐■！邐Ａｔｔａｃｋｅｒ＇ｓ邋ｄａｔａ逡逑＿邋⑦□邋Ｖｉｃｔｉｍ＇ｓ邋ｄａｔａ逡逑圖２．４側(cè)信道攻擊示例逡逑側(cè)信道攻擊模型相對與隱蔽信道模型更加嚴(yán)格。攻擊者在此模型中只通過自己本逡逑身的訪問時間來推斷受害者對應(yīng)的行為，并進一步得到一些關(guān)鍵信息，例如：在基于逡逑Ｃａｃｈｅ的時間側(cè)信道中，內(nèi)存訪問的部分地址信息，或歷史內(nèi)存訪問的數(shù)據(jù)信息或指逡逑令信息。而這些信息之所以能夠被攻擊者獲得都是因為側(cè)信道與敏感操作或數(shù)據(jù)（如逡逑密鑰丨之間存在極大的關(guān)聯(lián)性。逡逑密碼算法實現(xiàn)中的條件、分支語句會導(dǎo)致算法執(zhí)行時與數(shù)據(jù)形成關(guān)聯(lián)。換言之，相逡逑同算法在輸入?yún)?shù)不同時

＞—＜邐■！邐Ａｔｔａｃｋｅｒ＇ｓ邋ｄａｔａ逡逑＿邋⑦□邋Ｖｉｃｔｉｍ＇ｓ邋ｄａｔａ逡逑圖２．４側(cè)信道攻擊示例逡逑側(cè)信道攻擊模型相對與隱蔽信道模型更加嚴(yán)格。攻擊者在此模型中只通過自己本逡逑身的訪問時間來推斷受害者對應(yīng)的行為，并進一步得到一些關(guān)鍵信息，例如：在基于逡逑Ｃａｃｈｅ的時間側(cè)信道中，內(nèi)存訪問的部分地址信息，或歷史內(nèi)存訪問的數(shù)據(jù)信息或指逡逑令信息。而這些信息之所以能夠被攻擊者獲得都是因為側(cè)信道與敏感操作或數(shù)據(jù)（如逡逑密鑰丨之間存在極大的關(guān)聯(lián)性。逡逑密碼算法實現(xiàn)中的條件、分支語句會導(dǎo)致算法執(zhí)行時與數(shù)據(jù)形成關(guān)聯(lián)。換言之，相逡逑同算法在輸入?yún)?shù)不同時，會進入不同的執(zhí)行流，因此具有不同的訪問時間。因此攻逡逑擊者可以利用算法的執(zhí)行特征推測數(shù)據(jù)。例如分組密碼和公鑰密碼的執(zhí)行通常都具有逡逑－２１－逡逑

【參考文獻】

相關(guān)期刊論文 前4條

1 沈晴霓;李卿;;云計算環(huán)境中的虛擬機同駐安全問題綜述[J];集成技術(shù);2015年05期

2 余思;桂小林;張學(xué)軍;林建財;王君飛;;云環(huán)境中基于cache共享的虛擬機同駐檢測方法[J];計算機研究與發(fā)展;2013年12期

3 林闖;蘇文博;孟坤;劉渠;劉衛(wèi)東;;云計算安全:架構(gòu)、機制與模型評價[J];計算機學(xué)報;2013年09期

4 王麗娜;高漢軍;劉煒;彭洋;;利用虛擬機監(jiān)視器檢測及管理隱藏進程[J];計算機研究與發(fā)展;2011年08期

本文編號：2793274