{管理信息化VR虚拟现实}虚拟机隔离运行模型.pdf

{管理信息化 VR 虚拟现实} 虚拟机隔离运行模型 第三章隔离运行模型 本章提出了一种新的基于虚拟机技术的隔离运行模型—SVEE ，该模型满足满 足操作系统隔离、应用透明、计算环境重现、隔离程序执行效果跟踪与操作系统 信息重构等五个应用约束，平衡了安全隔离性、功能完整性、性能适应性和行为 可监控性。同时，本章给出了该模型的形式化安全性分析和度量，通过理论分析 阐明了SVEE 能够满足Bell-LaPadula 机密性模型和 Biba 完整性模型。并进一步 论证了在此模型下，被保护的宿主环境的容侵能力也将得到有效提升。基于此模 型，本章构造出以本地虚拟化技术为核心的满足 SVEE 隔离运行模型的体系结构， 该体系结构独立于操作系统实现，具有很好的可移植性。通过对现有虚拟机模型 的详细分析，指出TypeII 虚拟机模型能够最有效地在个人计算平台下支持这五 个约束条件。本章工作是后继章节所做工作的理论基础。 3.1 隔离运行模型 对于隔离运行非可信软件的运行环境而言，为了实现操作系统与应用程序透 明的目标，同时能够重现已有的软件运行环境并支持操作系统语义信息的重构， 即在保证安全隔离性的前提下提升隔离运行环境的功能完整性、性能适应性与行 为可监控性，该环境必须满足以下约束条件。  约束 1 ：操作系统隔离：非可信软件必须运行在一个与宿主操作系统隔离的 虚拟计算机系统中，这是抵御特权恶意代码攻击、确保安全隔离性的必要条件。  约束 2 ：应用程序与操作系统透明：现有操作系统、应用程序和将被隔离的 非可信软件均不需作任何修改即可直接布署该隔离机制，这一点在个人计算平台 下尤其重要。此约束包含四个子约束：  约束 2A ：无需修改现有操作系统与应用程序及其将被隔离的非可信软件的源 代码，因为通常个人计算平台上流行的应用程序与操作系统（如 Windows ）都未 开放源代码。  约束 2B ：不能限制非可信软件在隔离运行环境内访问的资源与执行的特权操 作，这是保证隔离运行环境的功能完整性的必要条件。  约束 2C ：尽可能地将隔离机制对可信代码运行环境造成的性能影响最小化， 即在确保安全隔离性的同时兼顾系统的可用性。  约束 2D ：无需重新安装现有操作系统。个人用户中绝大部分不是计算机专业 技术人员，所以个人计算平台上往往都预装有操作系统，所以在布署隔离运行技 术时必须保证能够继续使用原有操作系统。  约束 3 ：可配置的计算环境重现：由于非可信软件的正常执行与执行效果通 常依赖于计算环境，尤其是文件系统内容与操作系统配置等，所以在隔离运行环 境内重现宿主操作系统的计算环境既是保证隔离运行环境的功能完整性的要求， 也是减少布署开销的必要条件。本约束可细化为：  约束 3A ：计算环境的重现不应通过复制整个计算机的软硬件系统的来实现， 这样的布署开销通常不能被个人用户接受。  约束 3B ：为了提高系统机密性，被导出到隔离运行环境中的宿主计算环境资 源应该是可配置的，被隔离软件只能访问这些资源，涉及敏感信息的数据不应在 隔离运行环境中重现。这是确保安全隔离性的必要条件。  约束 3C ：尽可能地使隔离运行环境的性能接近宿主环境，这是提升性能适应 性的要求。  约束 4 ：隔离程序执行效果的跟踪：隔离运行环境必须能够跟踪和记录被隔 离软件对数据的修改操作，从而为分析程序行为与提交相应程序的执行效果到宿 主环境提供依据，这也是提高系统可用性与隔离运行环境的行为可监控性的关键。  约束 5 ：支持操作系统语义信息重构：这里的语义信息是指操作系统抽象层 的资源的信息，如进程、线程、文件、用户等。用户或相关工具程序只有借助隔 离运行环境的这些信息才能精确分析隔离运行环境内应用程序和操作系统的行 为，进而提升隔离运行环境的行为可监控性。 (a)基于 TypeIVMM 的Native 隔离运行模型(b)基于 TypeIIVMM 的Hosted 隔离运行模型 图3.1SVEE 的基于不同VMM 的两种可选隔离运行模型 为了满足约束 1 ，SVEE 必须利用虚拟机监视器（VirtualMachineMonitor ， VMM ）来创建非可信软件的运行容器—虚拟机。只有这种基于硬件抽象层的虚拟 机技术才能实现操作系统的隔离。按照 Goldberg 的定义，VMM 是能够为计算机系 统创建高效、隔离的副本的软件。这些副本即为虚拟机（VirtualMachine ，VM ）， 在虚拟机内处理器指令集的一个子集能够直接在物理处理器上执行。Goldberg 定