论文摘要
本文首先介绍了虚拟机系统中的一些核心技术,分析了虚拟机系统在计算机安全领域的应用以及虚拟机本身会带来的新的安全挑战。接着论述了在多物理机的虚拟机联盟环境中所需要的访问控制机制,以及现有的访问控制机制的一些不足之处。然后本文在结合多物理机虚拟化环境的特点,以BLP模型与中国墙策略为基础,提出了适用于虚拟机联盟环境的BLVC模型以及用于减少隐蔽通道带宽的DCWP模型,并基于它们设计了VMCC强制访问控制机制。VMCC通过对BLVC模型与DCWP的结合,主要达成两个目标:首先是对虚拟机之间的公开通讯进行访问控制,这在VMCC中由BLVC完成,第二是对虚拟机联盟内的隐蔽通讯进行管理与约束,这是由DCWP策略来完成。本文中的VMCC访问控制机制的优点可以概括为以下几点:首先,它适用于多个物理机的虚拟化环境,而不只是局限于一台物理机器;其次它的访问控制机制更加全面,同时包括了对于公开通讯与隐蔽通讯的管理;最后VMCC机制的系统开销较小。本文基于这一强制访问控制机制,在XEN虚拟机环境上设计并实现了一个访问控制系统的原型,并做了相关试验。最后本文给出了一些对于虚拟机联盟环境中的访问控制机制的一些展望与设想。
论文目录
摘要ABSTRACT第一章 绪论1.1 虚拟化技术概述1.1.1 什么是虚拟机1.1.2 虚拟机技术的分类1.1.3 虚拟机联盟1.1.4 虚拟机的应用1.2 虚拟化技术的实现1.2.1 CPU 虚拟化1.2.2 内存虚拟化1.2.3 I/O 虚拟化1.3 虚拟化技术与计算机安全1.3.1 虚拟化在安全领域的应用1.3.2 虚拟机中的安全问题1.4 虚拟机联盟与访问控制1.4.1 访问控制与隐蔽通道管理1.4.2 相关研究工作1.5 本文的工作与意义1.6 本文的内容安排1.7 本章小结第二章 访问控制模型2.1 目标2.2 BELL LAPADULA 模型2.2.1 基本模型元素2.2.2 安全特性2.2.3 安全转换规则2.3 中国墙安全策略2.3.1 利益冲突类2.3.2 安全规则2.4 动态中国墙模型2.4.1 DCWP 中的主体与客体2.4.2 DCWP 中的安全规则2.4.3 DCWP 对隐蔽通道带宽的影响2.5 虚拟机联盟下的BLP 模型2.5.1 基本模型元素2.5.2 安全特性2.5.3 安全转换规则2.6 VMCC 访问控制机制2.7 本章小结第三章 系统设计3.1 系统架构3.2 虚拟机的选取3.2.1 Xen Hypervisor3.2.2 为何选用Xen3.3 TCB3.4 引用监视器3.5 VMCC 模块3.6 虚拟机检测3.7 本章小结第四章 系统实现4.1 总体实现概述4.2 NETFILTER 与VIRT-BLP4.2.1 Netfilter/iptables4.2.2 在xen 中的网络配置4.2.3 virt-blp4.3 基本数据结构4.3.1 安全描述信息4.3.2 辅助数据结构4.3.3 数据交换格式的定义4.4 VMCC DAEMON 与VMCC SERVER 的实现4.4.1 访问控制规则的约束4.4.2 初始化过程4.4.3 DCWP 的状态更新与老化4.4.4 VMCC Server 的实现4.5 SMT 的实现4.6 本章小结第五章 系统实验5.1 实验环境5.2 访问控制机制的测试5.2.1 对BLP 的测试5.2.2 对DCWP 的测试5.3 VMCC 对性能影响的测试第六章 全文总结6.1 主要结论6.2 研究展望参考文献致谢攻读硕士学位期间已发表或录用的论文
相关论文文献
标签:虚拟机联盟论文; 虚拟机论文; 访问控制论文; 模型论文; 中国墙策略论文;
