Linux虚拟机内核安全增强的方案的研究.docVIP

Linux虚拟机内核安全增强的方案的研究 　　摘要：虚拟机技术正在越来越多地被使用在个人电脑、数据中心和服务器集群中。其优点之一是引入这种体系结构层次可增强整个系统的安全。文中提出了一种Linux内核虚拟机安全增强方案，旨在提高客户虚拟机的安全性。该方案有以下特点：对客户虚拟机透明；严格的访问控制策略；为每个虚拟机与主机之间提供安全通信；能够在Linux主机和目前支持Linux的客户虚拟机中实现。 　　关键词：内核；虚拟机；安全性 　　中图分类号：TP309 文献标识码：A 文章编号：1009-3044（2013）07-1516-03 　　1 研究背景 　　虚拟化技术被广泛地使用在个人电脑与服务器集群等设备中。目前使用最广泛的是基于x86的虚拟化解决方案。即使近些年虚拟化解决方案的可靠性已经有所提高，针对虚拟化服务和操作系统内虚拟机的保护控制仍是一个研究热点。针对系统安全性的大多数类型的攻击会改写部分文件系统，采用入侵检测工具能够检查对文件的修改，重点是检查位于关键路径上的文件。 　　通常完整性检验工具和数据收集工具运行在同―个被监控的系统上。这里存在―个安全隐患，恶意软什可能篡改监控系统的钩子函数。虚拟化技术的引入可以提高整个系统的安全性，虚拟机有附加的边界保护[1]。特别地，―个系统管理程序能够提供―个定位监控系统可信计算根时，恶意软件无法访问该可信计算根。在这种情况下，即使攻击者成功地侵入―个虚拟机，其篡改痕迹也不能被删除，外部的安全系统也能够迅速采取相应行动。 　　本文讨论了监控客户虚拟机在服务器整合的工作模式，即―台主机上运行多个客户虚拟机。该文提出了―个可以监控和保护这些客户虚拟机的安全增强方案。实时完整性检验方法使主机可控制内部未经授权的对客户虚拟机的篡改。方案可以检测并对异常的客户行为采取措施。安全增强方案的实现是一个基于扩展并具有最小化可访问性和可视性的监控系统的Linux内核虚拟机[4]。 　　2 安全增强方案机制 　　2.1威胁模式 　　假设仅有虚拟机管理程序和主机内核是可信计算根的一部分。客户虚拟机运行时，可能遭到攻击或被注入恶意软件。客户主机运行时，客户系统可能遭到病毒、恶意代码注入、缓冲区溢出等所有可能的攻击。入侵者可能利用各种系统漏洞来影响内核和应用程序运行，页可能远程利用这样的漏洞企图获得全部权限。 　　2.2要求和注意事项 　　根据上述讨论的威胁模式，下面给出基于虚拟机的一个安全系统主要要求和可能遇到的一些需要注意的相关问题，及可能的解决方案。 　　基于虚拟机的安全系统使用了入侵检测系统的核心概念[3]。这样的系统必须符合下列要求。 　　透明性：系统应尽觉降低虚拟机方面的能见度。即潜在的入侵者不应该能够发现监测系统的存在。 　　免疫来自客户系统的攻击：主机系统和属性相同的客户系统应受到保护，免受来自不安全客户攻击。同时，由主机系统提供的功能不应受到影响。 　　可部署性：系统应可以部署在绝大多数可用的硬件上。 　　动态反应：系统应能检测到一个客户的入侵行为并采取适当的行动，或对不安全的客户采取适当的行动。 　　注意事项： 　　（1）需要建立从客户到主机的通信通道，以便主机读取客户数据或解析客户信息，但通道必须对用户空间不可见。 　　（2）需要建立客户虚拟机和主机之间的信号信道，以便客户虚拟机中发生的某些事件时可通知主机，但同样它应尽可能的隐藏。 　　（3）为了确保―致性和防上信息泄漏，对通道进行某种形式的访问控制是必要的。但是，这种访问控制机制不应影响系统性能。 　　3 安全增强方案结构 　　方案体系结构由多个位于主机和客户机内核的模块组成。监测系统的核心模块位于主机。数据可以由客户虚拟机系统收集，或由主机侧的唯一进程收集。 　　虚拟机系统可以收集到更准确和更完整的客户系统数据，但也更容易被客户系统发觉。用―个位于客户系统中的守护进程收集感兴趣的客户数据，可以减少主机端的计算负载。然而，在监控系统隐蔽性和减少主机端计算负荷之间孺进行权衡。进程收集方式理论上是客户无法检测到，但仅允许一个相当受限的监测系统。该文提出的安全增强方案优先选择支持虚拟机系统收集数据，同时也支持单―进程收集数据。 　　安全增强方案的每个虚拟机?川自己的私有内存空间与主机通信，其虚拟机之间是完全独立。 　　安全增强方案的实现分为两大部分，主机和客户机。两者有相似的结构：（1）内核的守护进程用于管理和共享通信信道：（2）用―个模块动态接收、分析消息，并采取相应行动。 　　下面讨论为解决一系列安全增强方案的技术难题而需要遵循的要求： 　　1）主机一客户机通信系统在KVM[5]中不可用，必须设计一个使用共享内存的简易通信系统。 　　2）KVM中缺乏客户机至主机的信号通道，