本文關(guān)鍵詞：云計(jì)算環(huán)境下虛擬機(jī)逃逸問題研究，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著互聯(lián)網(wǎng)的飛速發(fā)展,傳統(tǒng)計(jì)算環(huán)境正大規(guī)模向云計(jì)算環(huán)境遷移,傳統(tǒng)環(huán)境下的安全問題有些可以在云計(jì)算環(huán)境下解決,但是云計(jì)算環(huán)境也帶來了新型的安全問題。近年來曝光的一系列云安全事件使得用戶更加擔(dān)憂,譬如谷歌Gmail用戶數(shù)據(jù)泄漏、阿里云上的操作不當(dāng)使得TeamCola公司的數(shù)據(jù)丟失等。本文針對云計(jì)算層次中的虛擬化層,研究虛擬機(jī)的攻擊與安全防護(hù),針對虛擬機(jī)逃逸攻擊分析典型攻擊模型和步驟,然后設(shè)計(jì)了預(yù)防虛擬機(jī)逃逸攻擊的訪問控制模型PVME。主要的貢獻(xiàn)和創(chuàng)新點(diǎn)如下:首先,通過詳細(xì)分析虛擬化架構(gòu)中虛擬機(jī)與Hypervisor之間的操作交互,研究針對x86架構(gòu)下硬件輔助虛擬化的操作權(quán)限級別,分析出虛擬機(jī)逃逸攻擊所需要經(jīng)過的權(quán)限狀態(tài)轉(zhuǎn)換以及對應(yīng)轉(zhuǎn)換過程中的困難所在。然后抽象出一種虛擬機(jī)逃逸攻擊模型,并給出相應(yīng)的攻擊步驟。最后提出針對不同層次的預(yù)防虛擬機(jī)逃逸攻擊的手段。其次,結(jié)合本文提出的逃逸攻擊模型,深入研究虛擬機(jī)訪問控制策略,提出一種基于BLP的預(yù)防虛擬機(jī)逃逸攻擊(PVME,Prevent Virtual Machine Escape)的訪問控制模型。PVME模型可以管理在虛擬化平臺中虛擬機(jī)與Hypervisor之間的系統(tǒng)調(diào)用和資源使用,有效的遏制虛擬機(jī)非法權(quán)限狀態(tài)轉(zhuǎn)換,達(dá)到預(yù)防虛擬機(jī)逃逸攻擊的目的。最后,結(jié)合本文的相關(guān)理論,在KVM(Kernel-based Virtual Machine,基于硬件輔助的全虛擬化虛擬機(jī)管理器)平臺上,設(shè)計(jì)并實(shí)現(xiàn)了PVME模塊。通過模擬RTC(Real-Time Clock,實(shí)時(shí)時(shí)鐘)狀態(tài)攻擊,驗(yàn)證PVME模塊可以達(dá)到預(yù)防虛擬機(jī)逃逸攻擊的目的。PVME模塊會額外消耗4%~8%的系統(tǒng)調(diào)用時(shí)間。
【關(guān)鍵詞】：虛擬化安全 虛擬機(jī)逃逸 訪問控制 BLP模型 PVME模型
【學(xué)位授予單位】：上海大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP302
【目錄】：

• 摘要6-7
• ABSTRACT7-11
• 第一章 緒論11-17
• 1.1 研究背景與意義11-13
• 1.2 國內(nèi)外相關(guān)研究13-15
• 1.2.1 云計(jì)算安全相關(guān)研究13-14
• 1.2.2 虛擬機(jī)逃逸相關(guān)研究14-15
• 1.3 研究內(nèi)容和主要貢獻(xiàn)15-16
• 1.4 論文組織結(jié)構(gòu)16-17
• 第二章 虛擬化安全技術(shù)基礎(chǔ)17-31
• 2.1 虛擬化技術(shù)17-22
• 2.1.1 虛擬化技術(shù)的發(fā)展17-18
• 2.1.2 虛擬化技術(shù)的實(shí)現(xiàn)原理18-19
• 2.1.3 虛擬化技術(shù)分類19-22
• 2.2 虛擬化安全22-28
• 2.2.1 虛擬化安全分析22-25
• 2.2.2 虛擬化安全防護(hù)方案25-28
• 2.3 虛擬機(jī)逃逸28-29
• 2.3.1 虛擬機(jī)逃逸的定義28-29
• 2.4 本章小節(jié)29-31
• 第三章 一種虛擬機(jī)逃逸攻擊模型31-40
• 3.1 虛擬機(jī)逃逸攻擊分析31-34
• 3.1.1 攻擊的原理31-33
• 3.1.2 攻擊的威脅33
• 3.1.3 攻擊的挑戰(zhàn)33-34
• 3.2 一種虛擬機(jī)逃逸攻擊模型34-36
• 3.2.1 攻擊情景34-35
• 3.2.2 攻擊模型35-36
• 3.2.3 攻擊步驟36
• 3.3 虛擬機(jī)逃逸攻擊的預(yù)防36-39
• 3.3.1 健壯的虛擬機(jī)管理器37-38
• 3.3.2 防止攻擊蔓延38
• 3.3.3 設(shè)計(jì)虛擬機(jī)的訪問控制策略38-39
• 3.4 本章小結(jié)39-40
• 第四章 基于BLP的PVME模型設(shè)計(jì)40-60
• 4.1 訪問控制技術(shù)40-42
• 4.1.1 自主訪問控制（DAC）41
• 4.1.2 強(qiáng)制訪問控制（MAC）41
• 4.1.3 基于角色的訪問控制（RBAC）41-42
• 4.2 BLP模型簡介42-47
• 4.2.1 模型元素42-44
• 4.2.2 安全公理44-46
• 4.2.3 狀態(tài)轉(zhuǎn)換規(guī)則46
• 4.2.4 BLP模型可證明安全性46-47
• 4.3 基于BLP的PVME模型47-56
• 4.3.1 模型元素47-49
• 4.3.2 安全公理49-50
• 4.3.3 狀態(tài)轉(zhuǎn)換規(guī)則50-56
• 4.3.4 PVME模型可證明安全性56
• 4.4 基于BLP的PVME模型設(shè)計(jì)56-59
• 4.4.1 虛擬機(jī)狀態(tài)映射57-58
• 4.4.2 訪問矩陣58
• 4.4.3 安全等級58-59
• 4.4.4 當(dāng)前訪問集合59
• 4.5 本章小結(jié)59-60
• 第五章 基于BLP的PVME模型實(shí)現(xiàn)60-71
• 5.1 PVME模塊設(shè)計(jì)60-63
• 5.1.1 PVME模塊架構(gòu)設(shè)計(jì)60-62
• 5.1.2 PVME模塊詳細(xì)流程62-63
• 5.2 PVME模塊運(yùn)行環(huán)境63-66
• 5.2.1 基本環(huán)境搭建63-64
• 5.2.2 PVME模塊初始化64-66
• 5.3 PVME模塊預(yù)防虛擬機(jī)逃逸攻擊模擬66-69
• 5.4 結(jié)果分析與結(jié)論69-70
• 5.5 本章小結(jié)70-71
• 第六章 總結(jié)與展望71-73
• 6.1 全文總結(jié)71-72
• 6.2 研究展望72-73
• 參考文獻(xiàn)73-77
• 作者在攻讀碩士學(xué)位期間公開發(fā)表的論文77-78
• 作者在攻讀碩士學(xué)位期間所作的項(xiàng)目78-79
• 致謝79

【共引文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前2條

1 邵國林;陳興蜀;尹學(xué)淵;張峰偉;;基于OpenFlow的虛擬機(jī)流量檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2014年04期

2 于紅巖;岑凱倫;楊騰霄;;云計(jì)算平臺異常行為檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];計(jì)算機(jī)應(yīng)用;2015年05期

  本文關(guān)鍵詞：云計(jì)算環(huán)境下虛擬機(jī)逃逸問題研究，由筆耕文化傳播整理發(fā)布。

，

本文編號：282213