本文關(guān)鍵詞：基于固件的虛擬化系統(tǒng)集成訪問控制機(jī)制研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

【摘要】：隨著系統(tǒng)虛擬化技術(shù)的不斷成熟，尤其是在云計(jì)算和服務(wù)器集群領(lǐng)域的廣泛應(yīng)用，虛擬化系統(tǒng)的安全問題也越來越受到人們的關(guān)注。虛擬化系統(tǒng)中不同應(yīng)用的虛擬機(jī)能隨時(shí)獨(dú)立接入和使用平臺共享資源，不同物理平臺的虛擬機(jī)間也有資源互訪的需求，這都對虛擬化系統(tǒng)的安全提出了挑戰(zhàn)。目前主要通過在虛擬機(jī)監(jiān)視器中，部署訪問控制機(jī)制并應(yīng)用不同的安全模型來增強(qiáng)虛擬化系統(tǒng)的安全性。這樣的解決方案至少存在兩點(diǎn)不足：缺乏統(tǒng)一的訪問控制策略管理，難以從整體上保障系統(tǒng)的安全；缺乏訪問控制機(jī)制自身安全性的考慮，使整個(gè)虛擬化系統(tǒng)的安全處于不確定狀態(tài)。因此，如何為虛擬化系統(tǒng)提供策略靈活、安全可信的訪問控制機(jī)制，是當(dāng)前虛擬化技術(shù)發(fā)展亟待解決的問題。 本文首先利用新一代計(jì)算機(jī)固件與上層虛擬化方案選取的無關(guān)性和基于硬件的安全性，參考分布式環(huán)境下策略管理的實(shí)現(xiàn)方案，研究并提出了基于固件的虛擬化系統(tǒng)策略管理機(jī)制。使用通用、可移植的XACML策略語言描述系統(tǒng)安全策略。通過可視化策略配置工具，實(shí)現(xiàn)固件環(huán)境的策略配置、存儲；通過集成訪問控制管理器和運(yùn)行時(shí)服務(wù)，為虛擬化平臺提供統(tǒng)一、可信的策略管理服務(wù)。 然后，，本文以基于內(nèi)核的虛擬化方案KVM為參考環(huán)境，研究并提出了基于固件的虛擬化系統(tǒng)集成訪問控制機(jī)制。以集成訪問控制管理器為策略決策者，基于Linux下安全模塊LSM實(shí)現(xiàn)的虛擬機(jī)引用監(jiān)視器為策略執(zhí)行者，兩者間通過訪問控制代理構(gòu)建了虛擬化系統(tǒng)下策略靈活、安全可信的集成訪問控制機(jī)制。為了適用于多密級信息共享環(huán)境，在集成訪問控制機(jī)制中應(yīng)用了BLP安全模型，并以軍隊(duì)信息系統(tǒng)共享為例，說明了該集成訪問控制機(jī)制在實(shí)際環(huán)境中的應(yīng)用。 在此基礎(chǔ)上，本文于KVM下實(shí)現(xiàn)了基于固件的虛擬化系統(tǒng)集成訪問控制機(jī)制的原型系統(tǒng)。通過系統(tǒng)性能、系統(tǒng)啟動時(shí)延、資源訪問時(shí)延等多方面的實(shí)驗(yàn)數(shù)據(jù)，與KVM下傳統(tǒng)的訪問控制機(jī)制SVirt進(jìn)行了對比分析，說明了該集成訪問控制機(jī)制的可用性。
【關(guān)鍵詞】：統(tǒng)一可擴(kuò)展固件接口 訪問控制 虛擬化 虛擬機(jī)引用監(jiān)視器
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2014
【分類號】：TP302
【目錄】：

• 摘要5-7
• ABSTRACT7-9
• 英文縮略語對照表9-12
• 第一章 緒論12-15
• 1.1 研究背景12-13
• 1.2 主要研究內(nèi)容13-14
• 1.3 本文組織結(jié)構(gòu)14-15
• 第二章 國內(nèi)外相關(guān)領(lǐng)域研究現(xiàn)狀15-31
• 2.1 引言15
• 2.2 新一代計(jì)算機(jī)固件—UEFI 固件15-21
• 2.2.1 UEFI 固件簡介15-16
• 2.2.2 UEFI 固件核心概念16-20
• 2.2.3 UEFI 開源實(shí)現(xiàn)平臺20-21
• 2.3 基于策略的管理21-25
• 2.3.1 策略描述語言21-23
• 2.3.2 策略沖突檢測23-24
• 2.3.3 基于策略的安全管理框架24-25
• 2.4 虛擬化平臺下的訪問控制技術(shù)25-30
• 2.4.1 虛擬化技術(shù)概述25-27
• 2.4.2 虛擬化平臺下的訪問控制機(jī)制27-30
• 2.5 本章小結(jié)30-31
• 第三章 基于 UEFI 固件的虛擬化系統(tǒng)策略管理機(jī)制31-49
• 3.1 引言31-32
• 3.2 XACML 策略語言及其組織形式32-35
• 3.2.1 XACML 標(biāo)準(zhǔn)簡介32
• 3.2.2 XACML 優(yōu)點(diǎn)32
• 3.2.3 XACML 上下文32-33
• 3.2.4 XACML 標(biāo)準(zhǔn)模型33-35
• 3.3 基于 UEFI 固件的虛擬化系統(tǒng)策略管理機(jī)制總體設(shè)計(jì)35-36
• 3.3.1 機(jī)制框架35-36
• 3.3.2 機(jī)制主體流程36
• 3.4 可視化策略配置工具36-41
• 3.4.1 軟件架構(gòu)36-38
• 3.4.2 工作流程38-39
• 3.4.3 關(guān)鍵實(shí)現(xiàn)技術(shù)39-41
• 3.5 集成訪問控制管理器41-45
• 3.5.1 軟件架構(gòu)41-43
• 3.5.2 關(guān)鍵流程43-44
• 3.5.3 關(guān)鍵實(shí)現(xiàn)技術(shù)44-45
• 3.6 通信模塊45-48
• 3.6.1 原理及工作流程45-47
• 3.6.2 基于運(yùn)行時(shí)服務(wù)的通信機(jī)制47-48
• 3.7 本章小結(jié)48-49
• 第四章 基于 UEFI 固件的虛擬化系統(tǒng)集成訪問控制機(jī)制49-63
• 4.1 引言49-50
• 4.2 KVM 及 KVM 平臺下的訪問控制機(jī)制 SVirt50-54
• 4.2.1 KVM 虛擬化平臺50-51
• 4.2.2 Svirt 訪問控制機(jī)制51-53
• 4.2.3 SELinux 安全策略53-54
• 4.3 基于 UEFI 固件的虛擬化系統(tǒng)集成訪問控制機(jī)制54-58
• 4.3.1 虛擬化系統(tǒng)下傳統(tǒng)訪問控制機(jī)制安全性分析54-55
• 4.3.2 基于 UEFI 固件的虛擬化系統(tǒng)集成訪問控制機(jī)制安全性分析55
• 4.3.3 基于 UEFI 固件的虛擬化系統(tǒng)集成訪問控制機(jī)制框架55-57
• 4.3.4 關(guān)鍵流程57-58
• 4.4 BLP 安全模型應(yīng)用58-60
• 4.5 基于 UEFI 固件的虛擬化系統(tǒng)集成訪問控制機(jī)制應(yīng)用實(shí)例60-62
• 4.6 本章小結(jié)62-63
• 第五章 原型系統(tǒng)設(shè)計(jì)實(shí)現(xiàn)與實(shí)驗(yàn)驗(yàn)證63-80
• 5.1 引言63
• 5.2 原型系統(tǒng)關(guān)鍵模塊實(shí)現(xiàn)63-74
• 5.2.1 基于 UEFI 固件的虛擬化系統(tǒng)策略管理機(jī)制關(guān)鍵模塊實(shí)現(xiàn)63-71
• 5.2.2 上層系統(tǒng)實(shí)現(xiàn)71-74
• 5.3 原型系統(tǒng)實(shí)驗(yàn)驗(yàn)證與分析74-79
• 5.3.1 原型系統(tǒng)測試環(huán)境74-75
• 5.3.2 實(shí)驗(yàn)驗(yàn)證與分析75-79
• 5.4 本章小結(jié)79-80
• 第六章 全文總結(jié)與展望80-82
• 參考文獻(xiàn)82-87
• 致謝87-88
• 攻讀碩士學(xué)位期間已發(fā)表或錄用的論文88

【參考文獻(xiàn)】

中國期刊全文數(shù)據(jù)庫 前4條

1 何再朗,田敬東,張毓森;策略沖突類型的細(xì)化及檢測方法的改進(jìn)[J];吉林大學(xué)學(xué)報(bào)(信息科學(xué)版);2005年03期

2 付思源;劉功申;李建華;;基于UEFI固件的惡意代碼防范技術(shù)研究[J];計(jì)算機(jī)工程;2012年09期

3 劉蘇娜;潘理;姚立紅;;不同密級系統(tǒng)間基于BLP的訪問控制機(jī)制[J];上海交通大學(xué)學(xué)報(bào);2012年09期

4 龔敏斌;潘理;錢宏;;網(wǎng)絡(luò)系統(tǒng)策略完整性安全機(jī)制[J];信息安全與通信保密;2013年08期

  本文關(guān)鍵詞：基于固件的虛擬化系統(tǒng)集成訪問控制機(jī)制研究與實(shí)現(xiàn)，由筆耕文化傳播整理發(fā)布。

本文編號：393479