题名 一种基于互信的特权分离虚拟机安全模型研究
被引量:1
1
作者
禹聪 李立新 王魁 余文涛
机构
信息工程大学密码工程学院
出处
《计算机应用研究》
CSCD
北大核心
2013年第9期2784-2787,共4页
文摘
虚拟机的安全问题一直是关注的热点。传统管理域Dom0权限过大,使用户的隐私受到威胁;同时,攻击者一旦攻破Dom0,会给所有用户带来威胁。针对这些问题,提出一种基于互信的特权分离(MTSP)安全模型,对Dom0的特权进行分割,将漏洞较多的设备驱动独立出来,形成驱动域;把影响用户隐私的操作分离,为每个用户创建一个DomU管理域;其余的形成Thin Dom0。系统的启动需要用户和虚拟机监控器共同来完成,起到相互制约的作用。结合该模型,给出了原型实现,并且进行了安全性分析及性能测试。结果表明,该模型可以有效地保护用户隐私,分散安全风险,并且隔离故障。
关键词
互信 特权分离 虚拟机安全 安全 模型
Keywords
mutual trust separation of privilege virtual machine security security model
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 可信安全虚拟机平台的研究
2
作者
段翼真 王晓程
机构
中国航天科工集团第二研究院
出处
《信息网络安全》
2011年第9期129-132,共4页
文摘
文章在对虚拟化技术的安全性以及现有虚拟化安全增强技术分析的基础上,基于可信计算技术提出了一种新的可信安全虚拟机平台架构TSVPA,并对其体系结构和安全机制进行了设计。
关键词
虚拟 化安全 可信计算 可信安全 虚拟 机 平台
Keywords
virtualization security trusted computing trusted security virtual machine platform
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
题名 虚拟化软件栈安全研究
被引量:13
3
作者
朱民 涂碧波 孟丹
机构
中国科学院信息工程研究所 中国科学院大学
出处
《计算机学报》
EI
CSCD
北大核心
2017年第2期481-504,共24页
基金
国家重点研发计划"网络空间安全"重大专项课题(2016YFB0801002)资助~~
文摘
随着云计算的兴起,虚拟化技术在IT产业中得到了广泛应用.政府、企业和个人已将自身的大量业务及其敏感数据转移到了云端的虚拟机中.在虚拟化软件栈中,虚拟机监控器具有最高权限和较小的可信计算基,故而能为虚拟化系统提供安全监控和保护.但同时也引入了新的软件层,增加了脆弱性,增大了攻击面.另外,多租户模式以及软硬件平台资源共享,更加剧了新软件栈的安全威胁.因此,虚拟机和虚拟机监控器的安全和隐私备受学术界和工业界关注.该文对虚拟化软件栈不同软件层的安全威胁、攻击方式和威胁机理进行了分析,并针对这些安全威胁,以可信基为视角,从基于虚拟机监控器、基于微虚拟机监控器、基于嵌套虚拟化和基于安全硬件等类别分析比较了国内外相关安全方案和技术,并指出了当前仍然存在的安全问题.最后对未来的研究方向进行了探讨和分析,并从软件和硬件两个层面给出了虚拟化软件栈的安全增强方案.
关键词
虚拟 化软件栈虚拟机安全 云安全 内存安全 计算机 安全 体系结构
Keywords
Cloud computing Computer hardware Computer software Computer system firewalls Hardware Network security Security of data Security systems Trusted computing Virtual machine Virtual reality Virtualization
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 XHydra:面向虚拟机Xen的安全增强架构
4
作者
杨杰 朱智强
机构
解放军信息工程大学密码工程学院 解放军信息工程大学科研部
出处
《计算机科学与探索》
CSCD
北大核心
2016年第3期311-325,共15页
基金
国家高技术研究发展计划(863计划)No.2012AA012704~~
文摘
针对开源虚拟化平台Xen的管理虚拟机Dom0服务臃肿和可信计算基庞大等问题,提出了一种基于Xen的安全虚拟机架构XHydra。该架构采用微内核的设计思想和最小特权安全理论,将Dom0分离成多个功能独立、相互隔离且具有最小特权的迷你服务域,并设计了一个服务监视器进行管理。服务监视器通过构建用户虚拟机与迷你服务域之间设备通信的专用通道,实现用户虚拟机和迷你服务域之间的双向隔离。最后基于Xen4.4开发了XHydra的原型系统,提高了平台的安全性,验证了架构的可行性。同时,针对虚拟化平台的存储性能和网络性能进行基准测试,实验结果表明所提方案性能相对于原始Xen仅降低了3%。
关键词
XEN 安全 虚拟 机 最小特权 服务分离 DomO虚拟 化 XHydra
Keywords
Xen security virtual machine least privilege service separation DomO virtualization XHydra
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 虚拟化安全技术研究
被引量:10
5
作者
宫月 李超 吴薇
机构
公安部第一研究所
出处
《信息网络安全》
2016年第9期73-78,共6页
文摘
云计算在经济、高效、敏捷和创新等方面的突出优势受到各国政府的广泛重视。随着云计算的广泛应用,作为核心技术的虚拟化技术也得到了进一步的发展。虚拟化技术在为云计算的应用带来便利条件的同时,也引入了一些新的安全挑战。文章对现有虚拟化相关资料和实际情况进行了深入的研究,从虚拟化安全隐患和虚拟化安全攻击两个方面,对虚拟机蔓延(Virtual Machine Sprawl)、虚拟机迁移(Virtual Machine Sprawl)、特殊配置隐患(Peculiar Set-up Hidden)、虚拟机跳跃(Virtual Machine Hopping)、虚拟机逃逸(Virtual Machine Escape)和拒绝服务攻击(Denial of Service Attack)进行了分析。并在此基础上,从宿主机安全机制、Hypervisor安全机制和虚拟机安全机制3个层面提出了虚拟化安全的解决方案,为构建一个坚实可靠的虚拟化系统奠定良好基础,为云计算基础设施平台的建设提供安全技术保障。
关键词
云计算 虚拟 化宿主机 安全 Hypervisor安全 虚拟机安全
Keywords
cloud computing virtualization host security Hypervisor security VM security
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 基于协作型VMM的虚拟机网络访问控制技术研究
被引量:2
6
作者
胡小龙 蒋光庆 郭玉东 张龙龙
机构
解放军信息工程大学 江南计算技术研究所 数学工程与先进计算国家重点实验室
出处
《小型微型计算机系统》
CSCD
北大核心
2014年第4期883-888,共6页
文摘
针对操作系统内部安全工具容易被攻击与绕开的问题,提出一种VM外部与内部相结合的网络访问控制机制,并在协作型VMM上进行实现.本机制在外部截获虚拟机的网络访问,内部工具获取发起此次网络访问的进程信息,以实现应用程序级网络访问控制.为提高性能,将网络访问分为连接发起与访问过程两个阶段,并分别对其进行控制.这种内外结合的方式,能够方便获取内部信息,又具有虚拟机外部安全监控的高权限与隐蔽性,并能够在系统受危害时彻底断网,减小可能受到的损失.测试表明该机制能够实现虚拟机网络访问控制功能,引入的网络性能影响较小.
关键词
虚拟 化虚拟机安全 虚拟 设备网络访问控制 进程信息获取
Keywords
virtualization security of the virtual machine virtual device network access control gain process information
分类号
TP393
[自动化与计算机技术—计算机应用技术]
题名 云安全研究进展综述
被引量:113
7
作者
俞能海 郝卓 徐甲甲 张卫明 张驰
机构
中国科学技术大学信息科学与技术学院
出处
《电子学报》
EI
CAS
CSCD
北大核心
2013年第2期371-381,共11页
基金
国家自然基金(No.61170234 No.60803155) 中国科学院"面向感知中国的新一代信息技术研究"战略性先导科技专项子课题(No.XDA06030601)
文摘
随着云计算在学术界和工业界的兴起,云计算也不可避免的带来了一些安全问题.本文对云计算的安全需求进行了总结,指出云计算不仅在机密性、数据完整性、访问控制和身份认证等传统安全性上存在需求,而且在可信性、配置安全性、虚拟机安全性等方面具有新的安全需求.我们对云计算的两个典型产品Amazon Web Services和Windows Azure的安全状况进行了总结,并阐述了针对云计算的拒绝服务攻击和旁通道攻击.基于云计算的安全需求和面临的攻击,对现有安全机制进行了优缺点分析,系统的总结了现有的安全机制.
关键词
云计算 机 密性数据完整性 访问控制 公开认证 可信性 虚拟机安全 性
Keywords
cloud computing, confidentiality, data integrity, access control , public verifiability, credibility, security of virtual machine
分类号
TP391.41
[自动化与计算机技术—计算机应用技术]
题名 协作型虚拟化系统的可信启动技术研究
8
作者
娄睿 郭玉东 宋聿
机构
解放军信息工程大学四院 数学工程与先进计算国家重点实验室
出处
《计算机应用研究》
CSCD
北大核心
2014年第10期3125-3130,共6页
基金
国家"863"计划资助项目(2009AA012200) 河南省科技经费资助项目(SP09JH11158)
文摘
为解决虚拟化系统启动过程的安全性问题,将可信度量与可信链传递的思想引入虚拟机监控器的可信启动过程中,提出了协作型VMM系统的可信启动流程。采用SHA-1算法,结合启动过程复杂性和度量数据多样性,在启动过程的多个关键点上对内核、程序代码和配置文件等进行度量,并在发现异常时终止启动,能够避免系统敏感信息泄露,提升系统的安全性。测试结果表明,所设计的可信启动流程能够确保系统引导和内核自启动过程的安全可信,为虚拟化系统的安全启动提供了可行的解决方案,9.8%的时间开销对系统性能影响并不明显。
关键词
虚拟机安全 协作型系统 可信启动 信任链 过程校验 可信平台模块
Keywords
security of virtual machine collaborative system trust boot trusted chain process validation trusted platform module (TPM)
分类号
TP309
[自动化与计算机技术—计算机系统结构]
题名 系统调用层的操作系统安全增强
被引量:2
9
作者
高微 卿斯汉 崔永祯
机构
中国科学院软件研究所信息安全技术工程研究中心
出处
《计算机科学》
CSCD
北大核心
2004年第8期176-178,193,共4页
文摘
在操作系统安全内核的实现方式上,一种主流的做法是直接改造原有系统的实现代码,加入安全机制。其中较为常见的是以 LINUX 开放源代码为基础进行开发,直接对内核进行修改。在发现这种做法优点的同时,我们也必须意识到它也存在一定的缺点,比如兼容性和移植性的问题。本文提出了安全虚拟机(SVM)这一概念,阐述了从系统调用层对操作系统安全实施增强的技术,并根据此策略设计了一个能够达到 C2级安全保护的模型,重点突出了设计思想和实现考虑。
关键词
安全 虚拟 机 安全 策略可信计算基 访问控制 系统调用层 操作系统 SVM
Keywords
Security virtual machine Security policy Trusted computing base Access control
分类号
TP316
[自动化与计算机技术—计算机软件与理论]
TP311.5
[自动化与计算机技术—计算机软件与理论]
题名 提供可信IaaS服务的云计算平台构建
被引量:6
10
作者
刘婷婷 赵勇
机构
解放军信息工程大学 北京工业大学计算机学院
出处
《计算机工程与设计》
CSCD
北大核心
2013年第11期3731-3735,共5页
基金
国家科技重大专项课题基金项目(2012ZX03002003)
文摘
为建立用户对云服务的信任,构建了一种提供可信基础设施即服务(IaaS)的云计算平台。针对虚拟化层Hypervisor的特点,为IaaS云计算平台构建信任链。采用顺序的加载时度量方式建立由可信根至GuestOS kernel的信任链。对于管理虚拟机上动态加载的应用软件,采用基于可信可执行程序列表的无序度量方式实现对应用程序的完整性度量,从而建立完整的信任链。设计协议允许用户将其虚拟机镜像与云计算平台的完整性绑定,保证用户虚拟机开启在可信的IaaS平台。基于Xen系统和Linux内核实现了度量机制。实验结果表明,该方案具有较小性能开销。
关键词
云计算安全 基础设施即服务 可信平台 信任链 虚拟 机 镜像安全 安全 协议
Keywords
cloud computing security IaaS (infrastructure as a service) trusted computing platform trust chain virtual ma- chine image security security protocol
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
