基于行为监控虚拟化服务安全增强方案研究.docVIP

基于行为监控虚拟化服务安全增强方案研究 　　【 摘 要 】 虚拟化服务对基于行为监控的客户虚拟机实施访问控制，以监控客户对受保护服务的访问行为。虚拟化服务使用运行时监控技术，通过观察到的客户虚拟机行为计算当前客户的信任度值，并强制客户执行符合其信任值级别的访问控制权限。 　　本文设计了一种虚拟化服务信任度增强方案，提出了增强的虚拟化服务多层安全体系架构，描述了基于行为监控的信任度管理框架，最后介绍了其应用方向。 　　【 关键词 】 虚拟化服务；动态访问控制；可信计算 　　【 中图分类号 】 TP309 【 文献标识码 】 A 　　1 引言 　　在虚拟化系统中，虚拟化服务可为客户提供虚拟架构资源，如CPU，内存或I/O设备，以及访问此类资源的APl。例如，网络虚拟化服务提供的DomO域，CPU和内存虚拟化服务提供的虚拟机管理程序，以及存储虚拟化服务提供的虚拟硬盘等。 　　系统虚拟化技术提供的一个重要特性就是可以超越虚拟资源本身，最终向用产呈现更优的虚拟应用资源。这种增强包括性能提升、平台的可扩展性增强，以及虚拟机和基础平台的功能增强，而且这种增强无需或仅需很少的额外成本。例如，存储虚拟化服务能够提供具有很强数据存储可靠性的虚拟磁盘，并且通过不间断的监测磁盘属性，可以确保存储在磁盘上的数据最近的一段时间内没有出现访问失败。 　　本文研究的虚拟化服务安全增强方案体现为虚拟机使用行为监控器对管理的实体进行严格的访问控制。方案中将虚拟机的当前行为信息具体化为一个信任值，该信任值用来描述保护模式的动态变化。 　　具体而言，首先基于当前或过去的行为，虚拟化服务不断评估客户或主体的行为，确定该客户或主体当前的信任值。然后，虚拟机强制客户或主体执行符合其信任值级别的访问控制权限。例如，如果当客户虚拟机运行时受到损害或出现不稳定的行为，无论哪种情形将导致信任度下降低于某一阈值，客户虚拟机或主体可能被拒绝访问关键对象。 　　系统虚拟化技术大大提高了计算机系统的可靠性。像动态迁移机制，即使在不断增加负载的情况下，也能够实现服务持续可用，同时具有优化功能可以有效地管理服务相关资源。 　　本文采用信任值度量帮助虚拟化服务规范或管理客户的行为，首先确定客户服务中不稳定的组件，然后持续评估客户行为并计算客户当前的信任值，然后基于客户当前信任值实施限制这些不稳定组件对整体服务功能造成损害的访问控制策略。如果结合故障转移复制等技术，那么虚拟机的动态信任管理机制可以提高系统整体服务的可靠性。 　　2 虚拟化服务分层访问控制模型 　　目前虚拟机管理程序，如sHype，对虚拟化服务仅能提供粗粒度的、有约束时间限制的访问控制。本文的虚拟化服务安全增强方案扩展了基于虚拟化系统安全体系结构的强制访问控制（MAC）策略。 　　方案采用分层设计，虚拟化服务包含了不同信任层的访问控制策略，还实现了相关监视器的功能。虚拟机管理程序仅仅为主体（客户虚拟机）创建和管理证书（称为标签），而实际的访问控制由虚拟化服务本身实现。 　　标签是一组任意长度的字符串，在特定范围内定义了每个客户虚拟机。每个标签定义了一个特定的角色，客户虚拟机标签意味着该虚拟机特定于一个或一组虚拟化服务。 　　标签由虚拟化服务的访问控制策略定义，它本质上定义了主体（客户虚拟机）与客体之间的关联。客体的标签由虚拟化服务管理的资源定义。例如，存储虚拟化服务的访问控制策略定义了标签为“Server”的客户虚拟机标签只能访问客体标签为“Disk”的磁盘分区。此外，对每个主体标签，虚拟化服务均维护—个角色权限集。 　　如图1所示描述了虚拟机管理程序和增强虚拟化服务。虚拟化服务的部分组件形成访问控制模块（ACM）。该图还显示主体和虚拟化服务之间的交互示例，以及各实体间产生的信息流。图1的信息流如下： 　　（1）虚拟机请求访问客体； 　　（2）虚拟机标签； 　　（3）客体标签； 　　（4）访问控制策略； 　　（5）虚拟机的信任值，前5项的内容共同决定是否允许或拒绝； 　　（6）访问客体。 　　3 基于信任度的访问控制增强机制 　　虚拟化平台为监控运行时客户虚拟机行为提供了技术支撑。例如，进行虚拟机内存检查、能耗分析和I/O流量监控，持续评估虚拟机的“健康”或安全性等。这些监测任务由虚拟化服务或虚拟机管理程序执行。监测信息可以被用来实现新的服务，如防火墙、入侵检测或重新定向某些虚拟机行为，以提高具有潜在威胁的代码的安全属性，或增强当前服务功能。 　　如图2所示描述了虚拟化平台的行为监控和信任度管理框架。虚拟化平台的各个组件，如虚拟化服务和虚拟机管理程序，产生或消费虚拟机的行为信息。 　　这些行为信息由行为信息库统一发布。有用的行为信息有：内存中数据结构的完整性信息，如操作系统内