（计算机应用技术专业论文）虚拟化安全关键技术研究.pdf

浙江大学硕士学位论文摘要 摘要 随着计算机技术的发展，网络安全和信息安全变得越来越重要。操作系统中 应用的种类越来越多，安全控制机制越来越复杂不能够满足各种应用的需求，应 用程序对安全需求还可能发生着冲突，这使得系统安全问题变得愈加严峻。 本文在原有的虚拟化技术基础上，对现有的v m m 虚拟监控器和安全控制技 术进行深入研究后，结合v m m 虚拟平台的相关特点，在v m m 中研究实现安全 访问控制模型。主要的贡献和创新点表现如下： 首先，分析v m m 的技术基础，在v m m 的虚拟资源的访问中增加了守全控 ： 制钩子，针对v m 对资源的访问进行相应的安全控制，实现了v m m 系47 纽已全 、 控制模块，为客户操作系统之间v m m 层的数据通讯提供了访问控制机制，从而 可以构建v m m 、操作系统、应用程序多层次访问控制模型。 其次，研究v m m 虚拟监控器上的可能出现的几种安全问题，设计实现了针 对此类问题的安全控制策略，并用x m l 方式来格式化描述，同时采用类f l a s k 架构，将安全策略的管理和安全策略的实现分割开来，实现的安全策略的动态更 新和维护。 最后，分析研究访问控制对v m m 可能造成的系统性能影响，针对v m m 运 行的性能关键路径，实现了减少性能影响的缓存机制和资源绑定时安全控制机 制。测试数据表明，本文中实现的安全模块对系统总体性能的影响不大，属于可 以接受的范围，同时也验证了设计的正确性。 本文的总体结构是首先综述了当前主流的软件虚拟化技术，重点探讨了软件 虚拟化技术存在的安全缺点，然后从体系架构和运行流程两个方面描绘出了其整 体思想。最后对各个组件模块进行了详细的说明并对一些高级议题进行了探讨。 最后对系统运行的性能数据进行了分析和说明。 关键词：可信操作系统，可信计算基，访问控制 浙江大学硕士学位论文abs劬lct a b s t r a c t w i t ht h ed e v e l o p m e n to f c o m p u t e rt e c h n o l o g y , n e t w o r ks e c u r i t ya n di n f o r m a t i o n s e c u r i t yh a sb e c o m ei n c r e a s i n g l yi m p o r t a n t s e c u n t yc o n t r o lm e c h a n i s mc a nn o tm e e t t h ei n c r e a s i n g l yc o m p l e xn e e d so fav a r i e t yo f a p p l i c a t i o n s ，t h e s es e c u r i t yn e e d sm a y a l s ob ec o n f l i c t ，w h i c hm a k e ss e c u r i t ys y s t e m sb e c o m ei n c r e a s i n g l ys e v e r e b a s e do nt h eo r i g i n a lv m m t e c h n o l o g y , w es t u d yi na c h i e v i n gs e c u r i t ya c t r e s s c o n t r o lm o d e li nv m m 1 1 地m a i nc o n t r i b u t i o na r ea sf o l l o w s ： f i r s to fa l l ，w ea n a l y s i so ft h ef o u n d a t i o nt e c h n o l o g yo ft h ev m m ，w ei n c r e a t e s e c u r i t yh o o kt ot h ev i s i to ft h ev i r t u a lr e s o u r c e si nt h ev m mf o rt h ev mt os e c u r i t y a c c e s st or e s o u r c e sa n dp r o v i d et h ea c c e s sc o n t r o lm e c h a n i s m si nd a t ac o m m u n i c a t i o n , s ow ec a nb u i l dm u l t i l e v e la c c e s sc o n t r o lm o d e l s e c o n d ，w es t u d yo nt h ep o t e n t i a lo fs e v e r a ls e c u r i t yi s s u e s i nt h ev m m e n v i r o n m e n t ，d e s i g na n di m p l e m e n ts a f e t yc o n t r o ls t r a t e g yt os u c hp r o b l e m s ，w eu s e x m lf o r m a tt od e s c r i p tt h es t r a t e g y , a d o p tf l a s kf r a m e w o r ki nv m ma tt h es a m et i m e t os e p a r a t et h em a n a g e m e n to fs a f e t ys t r a t e g ya n dt h es e c u r i t ys t r a t e g y , 8 0w ec a n a c h i e v et h ed y n a m i cu p d a t ea n dm a i n t a i nt h es t r a t e g y f i n a l l y , w ea n a l y s i st h ev m ma c c e s sc o n t r o ls y s t e m sp e r f o r m a n c e ，t h i n ki tt h a t m a yh a v ea f f e c t e dt h ep e r f o r m a n c eo fr u n n i n gv m mp e r f o r m a n c e ，w ew a n tt or e d u c e t h ei m p a c t ，s ow eu s et h ec a c h ea n d r e s o u r c e sb i n d i n gm e c h a n i s m si nt h es e c u r i t y c o n t r o lm o d u l e t e s t ss h o wt h a tt h em e c h a n i s m sw eu s eh a v el o wi m p a c to nt h e r u n n i n gv m mp e r f o r m a n c e t h a ti sa c c e p t a b l e ，w ev e r i f yt h ec o r r e c t n e s so ft h ed e s i g n t h i sp a p e rr e v i e w e dt h ec u r r e n tm a i n s t r e a ms o f t w a r ev i r t u a l i z a t i o nt e c h n o l o g y , f o c u s i n go nt h ee x i s t i n gs o f t w a r ev i r t u a l i z a t i o nt e c h n o l o g ys e c u r i t yw e a k n e s s e s t h e n , w ed e p i c tt h eo v e r a l lt h i n k i n go fs y s t e mf r o mt w oa s p e c t so ft h ea r c h i t e c t u r ea n d o p e r a t i o nf l o w t h i r d ，w eh a v et h ev a r i o u sc o m p o n e n t sm o d u l ef o rad e t a i l e d d e s c r i p t i o na n ds o m es e n i o ri s s u e sd i s c u s s e d f i n a l l y , w ea n a l y z et h es y s t e m s p e r f o r m a n c ed a t a k e y w o r d s ：t r u s t e do p e r a t i n gs y s t e m ，t r u s t e dc o m p u t i n gb a s e ，a c c e s sc o n t r o l 浙江大学硕士学位论文图目录 图目录 图2 1 虚拟化技术比较6 图3 1 v m m 安全控制机制框架结构2 0 图3 2 聚合域2l 图3 3 通用v m m 架构。2 2 图3 - 4 安全服务器的结构2 2 图3 5 安全控制钩子2 4 图3 6 安全控制运行流程。2 6 图4 - 1 详细架构图2 7 图4 2 安全钩子详细流程2 9 图4 - 3 虚拟网络3 7 图4 _ 4 二进制安全策略格式4 4 图4 5 安全策略的更新流程4 5 图4 6 安全策略更新超级调用4 6 图4 7 安全模块的初始化4 8 图4 8 缓存机制流程4 9 图5 1 磁盘r e a d 性能比较5 2 图5 2 磁盘w r i t e 性能比较。5 3 浙江大学硕士学位论文 表目录 表目录 表2 1 主流虚拟化软件对比7 表4 1 基于异步通讯的h o o k 3 1 表舢2 基于内存共享的h o o k 3 3 表4 - 3 基于域操作的h o o k 3 5 表4 4 基于虚拟网络隔离的h o o k 3 7 表4 5 基于虚拟网络隔离的h o o k 4 6 表5 1 网络流量t c p 测试5 3 表5 2 网络流量u d p 测试5 3 浙江大学研究生学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。 除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成 果，也不包含为获得逝望盘鲎或其他教育机构的学位或证书而使用过的材料。与我一 同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：签字日期：年月日 浙江大学硕士学位论文 第1 章绪论 第1 章绪论 1 1 课题背景 虚拟化技术最早起源于2 0 世纪6 0 年代，是计算领域的一项传统技术。最早 的虚拟化技术可以追溯到在六十年代中期，i b m 的沃森研究中心开发了m 4 4 4 4 x 项目。其目的是为了评估分时系统的概念。该架构基于虚拟机器：主机是一台i b m 的7 0 4 4 ，每个虚拟机是一个主机的实验印象。4 4 x 的地址空间位于m 4 4 的内存层 次中，整个架构是通过虚拟内存和多线程编程来实现。几乎是同时，i b m 开发了 一套名为v m 3 7 0 1 】的操作系统，事实上就是一个虚拟机。使用虚拟化技术可以使 得在传统的硬件之上可以运行多个操作系统。从而减少企业在硬件上的花费，增 加硬件的使用效率，使得企业能够获得更加多的利益。 虚拟化技术支持在个单一的服务器之上支持多个操作系统，减少数据处理 的服务器的数量。各种不同的应用都可以运行在虚拟化平台之上，应用可以包含 普通的文字处理、网络冲浪，也可以包含安全需求比较高的科学计算、商业应用。 很多分布式技术中，同样会用到虚拟化技术，在分布式应用中多个计算节点会出 现在同一物理平台之上。在计算机行业，虚拟化技术 2 】正在蓬勃发展。 虚拟化技术除了在原有的高端服务器领域发展之外，还重新应用在w i n d o w s 和l i m l x 服务器上。数据信息服务例如网格计算，订阅系统，数据库，网络服务， 文字处理等应用越来越广，很多都需要使用到分布式技术。同时，许多程序例如 数据库，网页服务器，网页浏览器对于系统安全性能的要求不仅不同，还存在相 互冲突的地方。虚拟化技术的隔离特性可以解决此类问题，但是需要对其安全性 做进一步的研究。 l 2 名词解释 在本文中，有两个概念至关重要：v m m t 3 1 和g u e s to s ( v m ) 。 v m m 可以翻译为虚拟监控软件或者虚拟监视器，为了意义准确，防止因为 不同翻译导致理解误差，文中使用英文缩写v m m 。v m m 具有管理功能，完全 浙江大学硕士学位论文第1 章绪论 控制处理器以及其它硬件平台。v m m 为客户软件提供了一个抽象的虚拟处理器， 并允许客户软件直接在一个逻辑处理器 4 1 上直接执行。同时，v m m 能选择性的 控制处理器资源、物理内存、中断管理和输入输出操作。 g u e s to s 可以翻译为宿主操作系统或者客户操作系统。同样，因为翻译众多， 我们在文中使用英文g u e s to s 。g u e s to s 是在v m m 上虚拟运行的操作系统。每 个虚拟机事实上就是由g u e s to s 和在其上运行的应用程序所组成的客户软件环 境。每一个独立运作虚拟机利用同一接口来使用物理平台提供的处理器、内存、 磁盘、显示和输入腧出设备。 1 - 3 研究主题及论文的主要工作 如今，信息数据服务等相关应用的十分广泛，无论商业领域还是在非商业领 域对系统整体安全的需求越来越高。很多系统都十分的依赖底层系统架构的安全 性【5 1 。然而，大部分的应用程序例如数据库、磁盘管理、网页浏览器、文件系统 对于系统安全的需求不仅不同，同时还可能存在着相互冲突的地方。因此，这些 应用组件需要相互安全的隔离开来，使用适合他们自己的安全控制机制。在商业 系统中，通常都是由一组应用来构成一个应用集合体，由应用集合体的各个应用 共同协作来实现某类服务，为此在通用的整体式操作系统中，需要提供非常复杂 的安全控制机制，来保证整个系统的安全性，但是仍然不能够为应用提供强隔离 的特性。虚拟化技术的出现缓和此类问题带来的矛盾，但是，对于一组应用集合 体，底层架构同样需要能够提供有效的资源共享和数据通讯的安全控制机制。 当今，基本上所有的安全控制技术都是存在于传统的操作系统 6 】畔，来控制 各个任务之间的数据流的，这就需要各个对安全要求有冲突的应用程序运行在不 同的硬件平台之上，或者需要操作系统对这些应用程序进行隔离f 7 1 ，对于不同的 类型，使用不同的安全策略。传统的操作系统并不能够解决隔离性的问题，例如 他们需要共享库，文件系统，网络和显示等，它不能提供强隔离性。另外，传统 的任意访问控制策略( d a c ) 1 8 不能够解决病毒带来的问题，因为它不能够区分， 什么是用户想要运行的程序，什么不是用户想运行的程序。同样的，d a c 控制策 浙江大学硕士学位论文第l 章绪论 略认为用户是已经被授权方式，易受感染的程序或者粗心的用户可能会让病毒进 入系统并且感染系统。s c i j n 础【9 】在l i n u x 系统中提供了多种访问控制方式，应用 客体种类繁杂，对安全需求也多种多样，导致其使用的安全策略其过于复杂，很 难同时满足各种应用的安全需求，其复杂的安全机制成为鸡肋，操作系统仍然是 容易被攻击和受感染的。 这些问题很难能够通过增加更高一级的安全架构来解决。考虑到各种恶意程 序的开发，位于分布式系统中的后门程序1 0 1 ，启动扇区病毒1 1 1 】等等，很难从操作 系统这个层次来解决这些安全问题，因为安全控制机制很容易被这些威胁所更 改。尽管现有的完整性检查工具【翻、反病毒工具和类型的安全应用程序能够相应 的减轻出现问题的情况，但是由于他们本身很容易被病毒感染，所以他们晟终很 难实现安全上的保证。 v m m 在客户系统和服务器上面已经成为一个比较普通的虚拟软件层。他们 同客户操作系统以及其上运行的恶意程序是完全隔离开来的。随着应用的发展， 我们需要v m m 在提供对上层操作系统部分隔离特性的同时，也提供可控制的安 全通讯和安全资源共享环境，从而可以构建v m m 级别、操作系统级别、应用级 别的多层次安全控制模型 1 3 1 。 在本系统中，仍然保持了通用v m m 的隔离性的特点，保证了上层操作系统 之间的完全隔离。同时，也兼顾了各个不同上层操作系统中应用进行数据通讯的 特点，为各个客户操作系统之间的数据通讯提供了可控制的受限的安全控制机 制。本系统兼顾了以上两点，既能够有效的保证系统的安全通讯【1 4 1 ，也能够保证 必要的应用集合之间的数据通讯，在虚拟监控器层建立了安全控制机制。 1 4 论文的组织结构 本文主要探讨了针对相关应用，在虚拟监控软件中提供相应的安全控制机制 的方法。详细说明了一个基于虚拟化技术数据流控制机制的设计实现。 第二章综述了当前主流的虚拟化技术。对当前软件虚拟化技术的分类和各个 代表的虚拟化软件进行了说明，并重点探讨了软件虚拟化技术存在的安全缺陷。 浙江大学硕士学位论文第l 章绪论 同时，也介绍了计算机安全技术的相关背景知识，指出了安全技术在应用中的相 关技术瓶颈，为本文论述打下基础。 第三章首先介绍了安全虚拟监控器的设计方向。其次，介绍了安全虚拟监控 器的设计框架结构，概要介绍了其内部的各个安全模块，对虚拟监控软件的安全 访问控制机制的设计进行了整体性的说明，包括安全服务器，安全控制实施部件 和系统安全钩子等多个组件。最后，说明了安全虚拟监控器系统中安全机制的主 要运行流程，从体系架构和运行流程等多个方面描绘了其整体架构的设计思想， 为后面的详细设计打好基础。 第四章以安全虚拟监控器的运行流程的顺序对安全访问控制机制的各个组 件模块进行了详细的说明，包括安全控制钩子的设置，安全访问控制的配置策略， 安全实施模块操作的细节，安全控制策略更新的处理方法，性能加速等。此外， 还对分布式安全、网络应用等高级议题进行了探讨。 第五章我们对安全虚拟监控器安全机制的运行实例进行了研究，对软硬件平 台、运行情况、性能评估行了说明，期望对系统性能有一个更加精确的了解。 1 5 本章小结 本章介绍了课题背景，其中主要介绍了虚拟化技术和计算机安全的情况，然 后通过实例来阐述论文的研究目的，以及系统与传统的虚拟机相比的优势，最后 讲了本论文的章节安排。 4 浙江大学硕士学位论文 第2 章相关背景技术 第2 章相关背景技术 2 1 虚拟化技术 虚拟化技术已经应用于许多商业化和研究型操作系统上。目前，已经开发出 了大量的基于软件虚拟化技术的v m m ，包括：v m w a l 他，v i r t u a lp c ，x e n ，d e n a l i ， q e m u ，b o c h s i 阍，c h o r u s ，d i s 1 6 1 ，d i s c o 1 7 1 ，e n s i m ，h i v e ，h p - u xv i r t u a lp a r t i t i o n s ， l i n u x r k 1 s l ，t c p i ps t a c kv i r t u a l i z a t i o n ，u s e r - m o d el i n u x ，u m l i n u x ，z v m 2 5 1 ， c e l l u l a ri r ，f l a s k ，f l u k e ，o s k i t ，h u r r i c a n e ，l 4 1 1 9 ，m a c h ，p a l l a d i u m ，s p i n ， t w o o s t w o ，v i n o ，v s e r v e r 等等。此外，有些操作系统例如f r e e b s d ，q l i n u x | 2 0 l ， s o l a r i s l 2 1 1 等本身就支持虚拟化技术。 使用虚拟化技术，用户可以动态启用虚拟服务器( 又叫虚拟机) ，每个服务 器实际上可以让操作系统( 以及在上面运行的任何应用程序) 误以为虚拟机就是 实际硬件。运行多个虚拟机还可以充分发挥物理服务器的计算潜能，迅速应对数 据中心不断变化的需求。 本文将会涉及到虚拟化技术的某些方面，因此需要在这里介绍一下虚拟化技 术相关背景知识和技术发展趋势。本文在介绍虚拟技术的相关基础上，也对通过 多次举例说明国内外相关系统的应用情况，并对其产品做相应的优缺点评价，以 此来说明现有的v m m 的相关缺陷。 2 2 软件虚拟化技术的分类及介绍 针对虚拟化产品，从技术角度看，我们可以主要将其分为两大类：模拟器技 术( e m u l a t i o n ) 和虚拟化技术 2 2 1 ( v i r t u a l i z a t i o n ) 。虚拟化技术又可以分为半虚拟 化技术 2 3 1 和全虚拟化技术【州。具体结构比较如下图所示。 浙江大学硕士学位论文第2 章相关背景技术 霪鋈塑豳鋈麴窿鎏鋈羹巫函 蘸辫鬻嚣漂瓣黧脬 囊黉委溺鬈笺鎏隧蓊； i 鍪瀑豸燮；瑟鲤；i 缘囊1 7 ：l警匹妻。嚣撬，二曩h 拦二上二盐z 。缸罐净。j 墨墨- ，2 2 = 2 = ；2 一一 ；2 i 2 ；2 ；2 2 2 0 半虚拟亿( 凭技术) 图2 1 虚拟化技术比较 模拟器技术是使用软件技术在一个硬件平台之上通过软件来模拟其他硬件 平台的硬件，基本上所有的指令都是通过软件来模拟运行的，没有直接在硬件之 上运行，因此这种技术最大的缺点就是性能损失比较大。也有的部分此类虚拟机 通过编译加速技术【2 5 】和动态二进制翻译技术，来提高系统的部分系统性能，但是 也是通过软件来摸拟来进行的，效率提高有限。总的来说，模拟器技术的主要问 题是速度极慢。每一个指令都需要底层硬件来模拟，所以速度很慢，但是模拟技 术的虚拟化产品来说，虚拟客户操作系统的代码不需要做任何修改就可以在摸拟 器软件上面运行，具有较强的通用性。 虚拟化技术使用v m m ( 虚拟机管理程序) 来分享存取底层的硬件，其中在半 虚拟化技术中，它的客户操作系统集成了部分虚拟化方面的代码。半虚拟化技术 可以通过对操作系统的内核做一定的修改，使得操作系统的部分代码可以直接在 运行在相关的硬件机制之上，不用由软件来摸拟指令的运行，使得原本一些需要 直接通过c p u 执行的保护任务，可以在修改后的内核中直接执行，这样就有效的 提高了虚拟机的效率。这方面的典型代表就是d e n a l i 2 6 】和x e n 。在虚拟化技术中， 有的需要修改操作系统的内核，有的不需要修改操作系统内核，此类技术在开源 代码的操作系统中支持比较多如l i n u x 等等。在虚拟化技术中，v m m 在客户操 作系统和硬件之间用于工作协调。一些受保护的指令必须由v m m 来捕获和处理。 2 2 1 虚拟化技术的主流产品 虚拟化技术发展至今，以下几种产品比较主流：v m w a r e ，v i r t u a lp c ，x e n 浙江大学硕士学位论文第2 章相关背景技术 和d e n a l i 。具体比较信息如下表所示。 表2 - 1 主流虚拟化软件对比 v m w a r ev i r t u a lp cx e l ld e n a l i 技术分类全虚拟化全虚拟化半虚拟化半虚拟化 支持硬件平台 x 8 6x 8 6x 8 6x 8 6 支持的宿主操 作系统 w m d o w s ，w i n d o w s ，m a c 不需要不需要 l i n u x o s ，o s 2 ( h o s to s ) m s d o s m s - d o s ， w i n d o w s l i n u x ， 支持的客户操 w i n d o w s ， l i n u x ， w i n d o w s x p , 作系统 l i n u x , n 。e e b s d f r e e b s d ( 都需 n e t b s d ( 需要 f r c e b s d ，修改源代码) ( g u e s to s ) n c t w a r e 6 ，要修改源代 n e t w a r c 6 ， s o l a r i sx 8 6 码) s o l a r i sx 8 6 o s 2 软件复杂度较复杂较复杂较简单较简单 性能较差较差较好较好 应用领域主要个人电脑主要个人电脑主要在服务器主要在服务器 v i w a r e 是第一个真正把虚拟化引用到p c 服务器的，它最初的，也是它目 前使用最广泛的虚拟机产品就是v i w a f ew o r k s t a t i o n 。我们在v l w a r e 虚拟机中， 可同时在同一台p c 上运行多个操作系统，每个g u e s to s 都有自己独立的一个 v m ，就如同一个独立的p c ，不同的v m 之间还可以进行通讯对话。v m w a r e 直 接使用了x 8 6 的保护模式，使得在一台x 8 6 电脑上同时运作多个不同的操作系统， v m w a r e 在客户操作系统与宿主操作系统之间加了一层虚拟操作平台( v m w a r e v i r t u a lp l a t f o r m ) ，所有的g u e s to s 都运行在虚拟操作平台之上，使得v v w a r e 支持同时运行多个g u e s to s 。 v i r t u a lp c 是c o n n e c t i x 公司开发的。v i r t u a lp c 可以在一台电脑上模拟多种 操作系统。v i r t u a lp c 支持联网，它有两种工作模式：共享模式和虚拟交换模式。 在共享模式下工作时，主机相当于一个代理服务器，以动态分配方式( d h c p ) 赋予虚拟机一个i p 地址( 即通常所说的内网i p ) 。 在虚拟交换模式下，要求主 浙江大学硕士学位论文第2 章相关背景技术 机首先得具备一个有效的m 地址。当运行在此模式下时，v i r t u a lp c 相当于一个 网桥，连接在主机和v i r t u a lp c 之间，从而构成了一个虚拟局域网，v i r t u a lp c 还 可以作为一个独立的节点，和外部网络相互直接访问。 x e n 是一个开放源代码v m m ，由剑桥大学开发，它可以在单个计算机上运 行多达1 0 0 个操作系统。但是，如果没有硬件支持，操作系统必须进行少量的修 改以在支持在x e n 上运行( 但是提供对用户应用程序的兼容性) 。对于没有硬件 支持的平台，x e n 需要少量的修改操作系统代码，所班当前的l i n u x 内核不能直 接在x e n 系统管理程序中运行，除非它已经移植到了x e n 架构。但是，移植应用 程序则不需要修改代码。x e n 的系统性能很高，虚拟机的性能更接近真实硬件环 境。在真实物理环境的平台和虚拟平台间自由切换。在每个客户虚拟机支持到3 2 个虚拟c p u ，通过v c p u 热插拔支持p a e 指令集的x 8 6 3 2 ，x 8 6 6 4 平台。优秀 的硬件支持。支持几乎所有的l i n u x 设备驱动。x e n 是一个性价比很高的虚拟机。 但是，x e n 更多是将各个客户操作系统隔离开来，没有提供受限的资源共享方式。 d e n a l i 用于提供互联网上服务之间的隔离( 每一种服务运行在一个独立的虚 拟机上) 。d e n a l i 可以同时支持数千个运行网络服务的虚拟机。d e n a l i 虚拟机i s a 并不完全等同于x 8 6 。d e n a l i 的虚拟抽象层不仅是单纯的模拟硬件，而且对底层 的接口做了一定的修改。通过改进中断队列、去除对虚拟内存的支持、只支持某 些特定的通用i o 设备等手段，实现了同时运行多个虚拟机实体，而且保证了性 能。d e n a l i 的缺点是不能支持通用操作系统的虚拟化，运行在d e n a l i 上的只能是 它自己开发的i l w a c o 操作系统，包括一个简单的t c p i p 协议栈，一个l i b c 库的 子集，简单的多线程支持。 2 2 2 虚拟化技术的历史演化 一篇名为大型高速计算机中的时间共享( t i m es h a r i n gi nl a r g ef a s t c o m p u t e r s ) 被认为是虚拟化技术的最早论述。最早使用虚拟化技术的是i b m7 0 4 4 计算机。1 b m 提出的虚拟机技术，使一批新产品涌现了出来，比如：i b m 3 6 0 4 0 ， i b m 3 6 0 6 7 ，以及v m 3 7 0 ，这些机器在当时都具有虚拟机功能，通过一种叫 8 浙江大学硕士学位论文第2 章相关背景技术 v m m ( 虚拟机监控器) 的技术在物理硬件之上生成了很多可以运行独立操作系统 软件的虚拟机实例。由于虚拟化技术在商业应用上的优势，r i s c 服务器与小型 机成为了虚拟化技术第二代受益者。1 9 9 9 年，i b m 公司在a s 4 0 0 上提出了上“逻 辑分区( l p a r ) ”技术和新的高可用性集群解决方案。在p o w e r 管理程序上运行 的a s 4 0 0l p a r 令单台服务器工作起来如同1 2 个独立的服务器。而在2 0 0 2 年， i b m 还更进一步，其a i x 5 lv 5 2 还首次包括了i b m 实现的动态逻辑分区 ( d l p a r ) 。d l p a r 允许在无需重启系统的情况下，将包括处理器、内存和其它组 件在内的系统资源分配给独立的分区。这种在不中断运行的情况下进行资源分配 的能力不仅令系统管理变得更加轻松，而且因为能够更好地使用资源而帮助降低 总拥有成本。 不过，尽管惠普、s u n 公司也跟随i b m 在自己的r i s c 服务器上提供了虚拟 化技术，但由于真正使用大型机和小型机的用户还是少数，加上各家产品和技术 之间并不兼容，虚拟化技术仍旧不太被公众所关注。而现在，虚拟化技术的发展 已经惠及到了x 8 6 架构。 此前，虚拟化技术在x 8 6 架构上进展缓慢的主要原因是x 8 6 架构本身不适合 进行虚拟化，不过这个障碍已经由英特尔、a m d 修改，x 8 6 处理器的指令集得到 解决；还有一个原因是x 8 6 处理器的性能不足，这一原因也由于x 8 6 处理器在性 能上的飞速提高得到了解决。由于x 8 6 架构的广泛普及，x 8 6 架构上的虚拟化技 术也得到了比以前更大的关注。 随着x 8 6 平台上虚拟化技术的实现，首次向人们展示了虚拟化应用的广阔前 景，因为x 8 6 平台可以提供便宣的、高性能和高可靠的服务器。更重要的是，一 些用户已经开始配置虚拟化的生产环境，他们需要得到新的管理工具，从而随着 虚拟化技术的发展而得到更大的收益。 不过，与已经有多年历史的u n i x 服务器、大型主机上的虚拟化技术相比， x 8 6 服务器上的虚拟化仍旧处于早期阶段一根据英特尔的蓝图，在处理器当中 集成硬件辅助虚拟化指令只是i a 平台上的第一步，而在第二步则要实现i o 方面 的虚拟化，直到最后实现整个n 平台的虚拟化。也就是说，目前的x 8 6 平台上， 9 浙江大学硕士学位论文第2 章相关背景技术 仅仅能够实现在处理器级别的虚拟化，在v o 以及其他方面的虚拟化还需要进一 步的发展。不仅如此，x 8 6 架构上的虚拟化技术还无法完美实现虚拟分区之间动 态迁移，而这些在u n i x 平台、大型主机上早已不是问题。目前，x 8 6 架构上的 虚拟化技术的最高规划是支持8 路s m p 系统，可以实现对单个c p u 资源的配置。 自2 0 0 6 年以来，从处理器层面的a m d 和i n t e l 到操作系统层面的微软的加 入，从数量众多的第三方软件厂商的涌现到服务器系统厂商的高调，我们看到一 个趋于完整的服务器虚拟化的产业生态系统正在逐渐形成。这也使得在过去的一 两年时间里，虚拟化开始成为广受关注的热点话题。整体看来，随着计算机新技 术的飞速发展，虚拟化的前景和一年前相比几乎彻底改变了，新的虚拟化平台前 景十分乐观。 2 2 3 虚拟化技术中存在的缺陷 虚拟化技术的发展为使得一个硬件平台之上可以同时运行多个客户操作系 统，v m m 为客户操作系统提供了良好的隔离特性，相对的提高的整个系统的安 全等级。这样，被病毒感染的或者被恶意控制操纵的操作系统可以被隔离开来， 与此同时，他们所造成的破坏也限定在他们本身的操作系统之中。 与此同时，很多新的计算机应用模式例如，网格计算，网络服务程序等等越 来越需要系统结构安全上的保障。传统的操作系统对于关键的应用程序所提供的 安全保障也越来越复杂，越来越庞大，同时不同的应用程序对安全的需求有时还 发生冲突，使得系统安全的问题变的越来越严峻。通用v m m 的特点是对运行在 其上的客户操作系统具备很强的隔离性，可以用来对同一时间运行在它上面的各 个客户操作系统进行隔离，不同应用组件使用各自的安全控制机制。但是，分布 式技术和网络服务技术的大量使用使得我们不仅需要对各个应用组件实现隔离， 同时也需要为其提供受限的资源共享以及数据通讯，现有的v m m 并没有提供类 似安全控制机制。 2 3 安全控制背景技术 计算机系统安全【2 7 】的目标是实现信息的机密性、完整性、可用性和资源的合 1 0 浙江大学硕士学位论文第2 章相关背景技术 法使用。因此计算机系统的安全可以归纳为保密性要求、完整性要求、可用性要 求、可控性要求以及可审查性要求等五个需求。具体定义如下所示。 保密性要求：计算机系统能够对数据进行保密。 完整性要求：计算机系统在使用数据之前必须能够判断数据是否被篡改，比 如以非法手段窃得对信息的管理权，通过未授权的创建、修改、删除和重放等操 作而使数据的完整性受到破坏。 可用性要求；获得授权的实体可以在需要时访问数据，即要保证攻击者不能 占用所有的资源而阻碍授权实体的工作。常见的服务拒绝攻击就破坏了系统的可 用性要求，所谓服务拒绝攻击【2 8 1 是指网络系统的服务能力下降或者丧失。这可以 由两个方面的原因造成：一是受到攻击所致。攻击者通过对系统进行非法的、根 本无法成功的访问尝试而产生过量的系统负载，从而导致系统资源对合法用户的 服务能力下降或者丧失。二是由于系统或组件在物理上或者逻辑上遭到破坏而中 断服务。 可控性要求：计算机系统应该可以控制授权范围内信息的流向及行为。 可审查性要求：计算机系统应该对出现的各种安全问题提供调查的依据和各 种手段，如安全审计机制、入侵检测系统等。 计算机系统由硬件系统和软件系统组成，软件系统又可以分为系统软件和应 用软件，其中系统软件主要由操作系统，数据库系统等组成。因此关于计算机系 统的安全可以划分硬件安全、操作系统安全、数据库系统安全、应用软件安全， 当然在互联网络的今天还有网络系统安全。操作系统运行在硬件系统之上，为用 户提供接口，用户只能通过操作系统提供的接口来操作硬件，因此要保证硬件的 安全，就必须让操作系统提供安全的接口。数据库系统、应用软件以及网络软件 都运行在操作系统之上，要保证的它们的安全性，除了依靠其自身的安全性以外， 关键在于其底层操作系统的安全性。 2 3 1 计算机安全控制机制 操作系统安全的主要目标有：标识用户身份及身份鉴别；按访问控制策略对 浙江大学硕士学位论文第2 章相关背景技术 系统用户的操作进行控制；防止用户和外来入侵者非法存取计算机资源；监督系 统运行的安全性和保证系统自身的完整性等。要完成这些目标，需要建立相应的 安全机制，包括硬件安全机制和软件安全机制，硬件的安全机制主要包括：内存 管理c 2 9 、运行域保护【3 0 1 和i o 管理【3 j 1 ，软件的安全机制主要包括：标识与鉴别 机制、访问控制机制、最小特权管理机制、可信通路机制、隐通道的分析与处理 以及安全审计机制等。其中，访问控制是实现安全最主流的最重要的方式。 2 3 2 计算机访问控制策略模型 安全策略模型是设计和实现安全操作系统的基础，安全策略模型有两种表述 方式，一种表达方式从安全策略模型的组成出发，认为安全策略模型是安全策略 形式化的表述，是安全策略所管理的实体和构成策略的规则。另一种从系统的安 全需求出发，认为安全策略模型是被用来描述系统的保密性、可用性和完整性等 需求的任何形式化的表述。要开发安全系统，首先必须建立系统的安全模型。安 全模型给出安全系统的形式化定义，正确地综合系统的各类因素。这些因素应构 成安全系统的形式化抽象描述，使得系统可以被证明是完整的、反映真实环境的、 逻辑上能够实现程序的受控执行的。 安全策略用来描述用户对系统安全的要求。一般来说，用户对信息系统的安 全需求基于以下几个方面： 机密性要求( c o n f i d e n t i a l i t y ) 防止信息泄露给未授权的用户； 完整性要求( i n t e g r i t y ) ：防止未授权用户对信息的修改； 可记账性( a c c o u n t a b i l i t y ) ：防止用户对访问过某信息或执行过某一操作进行 否认； 可用性( a v a i l a b i l i t y ) ：保证授权用户对系统信息的可访问性。 根据安全策略的定义和内涵，可以将安全策略模型分为：访问控制策略模型 类( a c c e s sc o n t r o lp o l i c y ) 和访问支持策略模型类( a c c e s ss u p p o r t i n gp o l i c y ) 。 下面分别介绍几种常见的安全策略模型。 状态机模型【3 2 】：用状态机语言将安全系统描述成抽象的状态机，用状态变量 浙江大学硕士学位论文第2 章相关背景技术 表示系统的状态，用转换规则描述变量变化的过程。状态机模型的两个基本特征 是状态和状态转移函数，它的数学原理是这样的：( 1 ) 安全的初始状态；( 2 ) 安 全的状态转移函数；( 3 ) 用归纳法可以证明系统是安全的。只要该模型的初始 状态是安全的，并且所有的转移函数也是安全的( 即一个安全状态通过状态转移 函数只能达到新的安全状态) ，那么数学推理的必然结果是：系统只要从某个安 全状态启动，无论按哪种顺序调用系统功能，系统将总是保持在安全状态。 b l p 模型 3 3 l ：b l p 模型是根据军方的安全策略设计的，用于控制对具有密级 划分的信息的访问。它所关注的是信息的保密性，主要用于军事领域。它是定义 多等级安全( m l s ) 的基础。b l p 模型是一个请求驱动的状态机模型。它在某一 状态接受请求，然后输出决定，进入下一个状态。b l p 模型可以归结为三方面的 内容：元素、属性和规则。b l p 模型的主要缺点是由于模型过于抽象，在系统中 实施时比较困难。 b i b a 模型 3 4 ：b i b a 模型是第一个涉及到计算机系统中完整性问题的模型。该 模型是以完整性级别的有序格为基础的。它支持的是信息的完整性。b i b a 模型的 基本概念就是不允许低完整性的信息流动到高完整性的对象中，只允许信息流以 相反的方向流动。 c l a r k w i l s o n 模型f 3 5 】：c l a r k w i l s o n 模型指出了与商业系统相关的数据一致性 目标是：保证任何人都不能修改数据以获取公司资产或改动会计帐目。c w 模型 定义一些认证规则( c e r t i f i c a t i o nr u l e ) 和实施规则( e n f o r e m e n t r u l e ) 用于和上 面四类元素的交互。认证由安全管理员、系统管理员进行，实施由系统本身完成。 c w 完整性模型的最终目标是开发适用于商业系统的更好的安全系统。 c h i n e s e w a l l 模型f 3 6 1 ：c h i n e s ew a l l 模型可以用于实现动态改变访问权限，它 的基本原则是没有任何信息流导致利益的冲突。c h i n e s ew a l l 的基本原理是：给 出一组规则，任何主体都不访问他所在的墙外的数据( 客体) 。 r b a c 模型【3 刀：r b a c 在满足企业信息系统安全需求方面显示了极大的优势， 有效地克服了传统访问控制技术存在的不足，可以减少授权管理的复杂性，降低 管理开销，为管理员提供一个比较好的安全策略实现环境。r b a c 解决了具有大 1 3 浙江大学硕士学位论文第2 章相关背景技术 量用户、数据客体和各种访问权限的系统中的授权管理问题。其中主要涉及用户、 角色、访问权限、会话等概念。用户、角色、访问权限三者之间是多对多