虛擬化技術(shù)最早起源于20世紀(jì)60年代，是計(jì)算領(lǐng)域的一項(xiàng)傳統(tǒng)技術(shù)，虛擬化技術(shù)支持在一個(gè)單一的服務(wù)器之上運(yùn)行多個(gè)操作系統(tǒng)的服務(wù)器。虛擬機(jī)技術(shù)是虛擬化技術(shù)在計(jì)算機(jī)上的一種體現(xiàn)，通過(guò)內(nèi)存、CPU、網(wǎng)絡(luò)等虛擬化技術(shù)實(shí)現(xiàn)資源的隔離和可靠利用。目前有很多流行的虛擬機(jī)，如VMware、KVM、Xen，通過(guò)研究分析對(duì)比，開(kāi)源的Xen虛擬機(jī)在性能上十分優(yōu)越，被認(rèn)為是未來(lái)最有前途的虛擬化解決方案之一。

    虛擬化技術(shù)作為云計(jì)算的關(guān)鍵核心技術(shù)，使得云計(jì)算成為能夠提供動(dòng)態(tài)資源池、虛擬化和高可用性的下一代計(jì)算平臺(tái)，給企業(yè)和用戶(hù)帶來(lái)了很多的益處；硬件和資源的共享既節(jié)約了開(kāi)銷(xiāo)，也為管理帶來(lái)了方便，同時(shí)也革新了許多傳統(tǒng)IT技術(shù)。然而從安全角度來(lái)分析，卻又帶來(lái)了很多威脅，除傳統(tǒng)的攻擊威脅之外，如隱蔽通道、基于VM 的Rootkit攻擊（VMBR）以及新的惡意軟件等也隨之而來(lái)。虛擬化技術(shù)作為云計(jì)算的核心技術(shù)，必須向其用戶(hù)提供安全性和隔離保證。2009年，在IDC以虛擬化技術(shù)為基礎(chǔ)的云計(jì)算的用戶(hù)調(diào)查中就顯示，安全是用戶(hù)最關(guān)心的關(guān)鍵點(diǎn)。

    本文從虛擬機(jī)系統(tǒng)的原理、架構(gòu)入手，從虛擬機(jī)系統(tǒng)的關(guān)鍵技術(shù)如資源隔離、共享等方面研究系統(tǒng)可能存在的安全威脅，然后，根據(jù)安全隱患提出理論上的保護(hù)方法。在總結(jié)前人研究成果的基礎(chǔ)上，較為全面地總結(jié)了目前國(guó)內(nèi)外針對(duì)虛擬機(jī)安全各方面相關(guān)的研究成果，指出了目前存在的問(wèn)題，探討了下一步的研究方向。

1 虛擬機(jī)技術(shù)

    虛擬機(jī)技術(shù)最早由IBM于20世紀(jì)60年代提出，被定義為硬件設(shè)備的軟件模擬實(shí)現(xiàn)，通常的使用模式是分時(shí)共享昂貴的大型機(jī)。目前，虛擬機(jī)中用到的虛擬化技術(shù)主要有網(wǎng)絡(luò)、內(nèi)存、CPU、硬盤(pán)虛擬化技術(shù)。在虛擬機(jī)環(huán)境中，硬件層與虛擬機(jī)系統(tǒng)之間存在一層虛擬機(jī)監(jiān)視器（virtualmachinemonitor，VMM），是虛擬機(jī)的核心層，負(fù)責(zé)上層虛擬機(jī)系統(tǒng)的資源分配和底層交接。

    1.1虛擬機(jī)架構(gòu)

    本文將以虛擬機(jī)Xen為例，介紹虛擬機(jī)架構(gòu)和原理。Xen是由英國(guó)劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室開(kāi)發(fā)的一個(gè)開(kāi)源項(xiàng)目。Xen主要由兩個(gè)組成部分，一個(gè)是虛擬機(jī)監(jiān)控器VMM，也叫Hypervisor。Hypervisor層在硬件與虛擬機(jī)之間，是最先載入到硬件的第一層。在Xen中，虛擬機(jī)稱(chēng)為Domain，其中Domain0扮演著很重要的角色，負(fù)責(zé)其他虛擬機(jī)的控制管理和硬件驅(qū)動(dòng)等，同時(shí)Domain0還負(fù)責(zé)其他Domain的數(shù)據(jù)傳遞。Xen的架構(gòu)如圖1所示。

圖1 Xen虛擬機(jī)架構(gòu)

    在Xen虛擬機(jī)系統(tǒng)中，在安全級(jí)別上分為四個(gè)等級(jí)（0～3ring），VMM運(yùn)行在特權(quán)模式（0-ring），負(fù)責(zé)控制資源的隔離、共享、數(shù)據(jù)處理等，為每個(gè)虛擬機(jī)虛擬一套獨(dú)立于實(shí)際硬件的虛擬硬件環(huán)境（包括處理器、內(nèi)存、I／O設(shè)備等），并仲裁虛擬機(jī)OS對(duì)底層硬件的訪問(wèn)。

    1.2 虛擬機(jī)安全特征

    將虛擬機(jī)架構(gòu)抽象化，那么虛擬機(jī)主要由硬件、VMM、VMs及Domain0四部分組成。下面將列出這四部分的一些關(guān)鍵特征，以及在安全角度上分析其可能帶來(lái)的安全影響。

    1.2.1硬件

    隨著虛擬機(jī)技術(shù)的廣泛應(yīng)用，目前，很多硬件針對(duì)虛擬化技術(shù)進(jìn)行了拓展，如AMD和Intel相繼針對(duì)全虛擬化拓展了AMD-V和Intel VT技術(shù)，通過(guò)多余的指令集來(lái)控制虛擬過(guò)程。除此之外，虛擬機(jī)技術(shù)的硬件特征體現(xiàn)在陷進(jìn)執(zhí)行和可信模塊上。

    a）陷進(jìn)。在所有x86的硬件平臺(tái)下，陷進(jìn)執(zhí)行是支持虛擬化的重要特征，虛擬域本身并不能直接訪問(wèn)本虛擬域以外的物理資源，但是虛擬域可以通過(guò)超級(jí)調(diào)用（hypercall）向Hypervisor申請(qǐng)各種服務(wù)，如MMU更新、I／O處理、對(duì)虛擬域的管理等。

    b）可信模塊。它是可選硬件特征，目前可信計(jì)算已成為了安全工具的一部分，而通過(guò)可信計(jì)算來(lái)確保VMM代碼上的完整性也是保護(hù)虛擬機(jī)系統(tǒng)的重要方法之一。

    1.2.2虛擬機(jī)管理器

    在虛擬機(jī)環(huán)境中，VMM是核心。VMM可以完成如下一些功能：a）網(wǎng)絡(luò)管理，配置網(wǎng)絡(luò)及網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，而VMM的這一特征也可以用于數(shù)據(jù)包過(guò)濾，如為上層的安全服務(wù)提供入侵檢測(cè)；b）安全日志管理，通過(guò)監(jiān)測(cè)，VMMs能對(duì)VM的事件行為進(jìn)行記錄，并保存在VM的空間外，可以利用這些日志信息對(duì)VM進(jìn)行入侵分析；c）認(rèn)證，當(dāng)VM運(yùn)行時(shí)，對(duì)VM的關(guān)鍵數(shù)據(jù)和進(jìn)程進(jìn)行hash存儲(chǔ)，當(dāng)VM系統(tǒng)發(fā)生數(shù)據(jù)改變或者進(jìn)程調(diào)用時(shí)，可以用于認(rèn)證依據(jù)。這個(gè)功能在VM完整性保護(hù)和可信模塊上可以得到很好的利用。

    1.2.3Domain0

    Domain0是VM的控制域，相當(dāng)于所有VMs中擁有root權(quán)限的管理員，其他VM的創(chuàng)建、啟動(dòng)、掛起等操作都由Domain0控制。除此之外，Domain0還具有直接訪問(wèn)硬件的權(quán)利，在Domain0中安裝了硬件的原始驅(qū)動(dòng)，擔(dān)任著為DomainU提供硬件服務(wù)的角色，如網(wǎng)絡(luò)數(shù)據(jù)通信（DMA傳輸除外）。Domain0在接收數(shù)據(jù)包后，通過(guò)虛擬網(wǎng)橋技術(shù)，根據(jù)虛擬網(wǎng)卡地址將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標(biāo)虛擬機(jī)系統(tǒng)中，因此，擁有Dmain0的控制權(quán)限就控制了上層所有虛擬機(jī)系統(tǒng)，這也致使Domain0成為了攻擊者的又一個(gè)主要目標(biāo)。

    1.2.4VM

    VM的OS運(yùn)行與傳統(tǒng)意義上的操作系統(tǒng)并無(wú)兩樣，但是因?yàn)閂MM的存在，VMM可以將VM當(dāng)做軟件一樣進(jìn)行鏡像存儲(chǔ)和系統(tǒng)快照，以用于復(fù)制、備份、狀態(tài)保留等。

2 虛擬機(jī)安全分析

    在前面的章節(jié)中系統(tǒng)地介紹了虛擬機(jī)的一些關(guān)鍵特征，并且從安全角度進(jìn)行了分析。本章中將從整個(gè)虛擬機(jī)的架構(gòu)上對(duì)虛擬機(jī)存在的安全威脅進(jìn)行分析。

    2.1 攻擊威脅

    虛擬機(jī)系統(tǒng)比起傳統(tǒng)的計(jì)算機(jī)系統(tǒng)存在更多的攻擊點(diǎn)及安全隱患。通過(guò)分析，得到虛擬機(jī)的攻擊模型如圖2所示，圖中箭頭表明所受攻擊威脅來(lái)源。本文只考慮虛擬機(jī)系統(tǒng)中存在的安全分析，針對(duì)VM的傳統(tǒng)攻擊，諸如病毒攻擊和網(wǎng)絡(luò)攻擊等將不再細(xì)述。

圖2 虛擬機(jī)威脅分析

    2.1.1VMM的外部攻擊

    目前針對(duì)VMM的外部攻擊主要有兩種，一種是基于VM的Rootkit攻擊，另一種是惡意代碼攻擊。

    a）VMBR。攻擊者利用Rootkit隱藏自己的蹤跡，通過(guò)保留root訪問(wèn)權(quán)限，留下后門(mén)的程序集。VMBR的攻擊會(huì)在VMM的啟動(dòng)之前將程序代碼寫(xiě)入內(nèi)存并運(yùn)行，一旦攻擊者得逞，那么所有虛擬機(jī)系統(tǒng)都將在攻擊者的控制范圍之內(nèi)。目前比較出名的VMBR攻擊有Bluepill等。檢測(cè)及防御VMBR攻擊的方法分析如下：（a）通過(guò)計(jì)時(shí)的方法，有一些指令的執(zhí)行是通過(guò)虛擬出來(lái)的，所占用的CPU周期會(huì)比真實(shí)的時(shí)間長(zhǎng)，可以通過(guò)這種方法來(lái)進(jìn)行檢測(cè)；（b）通過(guò)可信模塊TPM來(lái)進(jìn)行VMM的保護(hù)，通過(guò)啟動(dòng)過(guò)程的完整監(jiān)測(cè)，可以防止Rootkit的隱蔽插入，TPM的設(shè)計(jì)不但可以抵御VMBR的攻擊，同時(shí)也可以防御其他破壞VMM完整性的攻擊。

    b）惡意代碼。攻擊者可以利用遠(yuǎn)程攻擊方法，虛擬機(jī)系統(tǒng)的遠(yuǎn)程管理技術(shù)大多是用HTTP／HTTPs來(lái)連接控制的，因此，VMM必須運(yùn)行服務(wù)器來(lái)接受HTTP連接。那么攻擊者就可以利用HTTP的漏洞來(lái)進(jìn)行惡意代碼的攻擊，如Xen的XenAPIHTTP接口就存在XSS（cross sitscripting）漏洞，攻擊者可以通過(guò)瀏覽器執(zhí)行惡意代碼腳本。

    2.1.2 VM對(duì)Domain0的攻擊

    Domain0具有管理其他VM的特權(quán)，VM到Domain0的攻擊體現(xiàn)在guest to host的攻擊來(lái)獲取host的特權(quán)，而VMescape就是這種模式的攻擊。VM通過(guò)應(yīng)用程序，繞過(guò)VMM的監(jiān)控而直接訪問(wèn)Domain0，從而獲取Domain0的特權(quán)，而一旦獲取到了Domain0的控制權(quán)后，就可以控制所有VM。這些攻擊是利用所發(fā)現(xiàn)的bug來(lái)實(shí)施的，如VMwareWorkstation 6 CVE��2007��4496，通過(guò)用戶(hù)授權(quán)，進(jìn)行內(nèi)存訪問(wèn)和運(yùn)行惡意代碼。另外，VM還可以利用共享內(nèi)存通信方式對(duì)VMM進(jìn)行病毒分析。

    2.1.3VM之間的攻擊

    VMs之間的攻擊體現(xiàn)在通過(guò)共同訪問(wèn)的資源來(lái)進(jìn)行惡意攻擊。其中隱蔽通道是一個(gè)難以解決的問(wèn)題，攻擊者通過(guò)進(jìn)程、內(nèi)存共享或內(nèi)存錯(cuò)誤，甚至其他錯(cuò)誤信息來(lái)進(jìn)行代碼的植入和攻擊，目前也尚未得到很好的解決。

    2.2 其他安全隱患

    a）備份、快照及還原漏洞。在虛擬機(jī)中，VMM提供了備份、快照和還原的功能，一旦系統(tǒng)崩潰了，可以通過(guò)快照進(jìn)行還原，這為系統(tǒng)的維護(hù)帶來(lái)了方便且具有實(shí)效性。然而這也導(dǎo)致了新的問(wèn)題發(fā)生：（a）這種機(jī)制使得VMs容易受到新的攻擊，因?yàn)樵S多安全攻擊是依賴(lài)于線性時(shí)間的，重新訪問(wèn)以前的系統(tǒng)狀態(tài)會(huì)違反這些協(xié)議；（b）還原后，系統(tǒng)以前存在的漏洞會(huì)全部出現(xiàn)，可能沒(méi)有安全補(bǔ)丁，或舊的安全機(jī)制（防火墻規(guī)則、反病毒簽名等），重新激活先前那些封鎖的賬號(hào)和密碼，這都帶來(lái)了很多的安全隱患。

    b）DMA攻擊。在虛擬中有一種數(shù)據(jù)傳輸不受VMM控制，這就是DMA傳輸。VM通過(guò)Domain0與硬件建立DMA連接，而后將數(shù)據(jù)控制權(quán)交由VM進(jìn)行數(shù)據(jù)傳輸，在數(shù)據(jù)傳輸?shù)倪^(guò)程中，數(shù)據(jù)將直接從網(wǎng)卡傳輸?shù)侥康腣M中，在大數(shù)據(jù)量的傳輸效率上有很大的提高。然而，這也為攻擊者提供了方便，攻擊者將輕而易舉地利用DMA方式將惡意代碼或者病毒文件等傳入沒(méi)有安全防范的目標(biāo)機(jī)中，從而達(dá)到攻擊的目的。

3 虛擬機(jī)系統(tǒng)研究現(xiàn)狀

    目前針對(duì)虛擬安全的研究可以分為如下幾類(lèi)，如圖3所示。a）安全Hypervisor。在保護(hù)Hypervisor的同時(shí)，保護(hù)VMs資源隔離性、數(shù)據(jù)安全性、通信安全性以及代碼完整性等。

    b）針對(duì)專(zhuān)門(mén)攻擊的防御研究。針對(duì)特定攻擊，如VMBR攻擊、網(wǎng)絡(luò)攻擊、通信數(shù)據(jù)保護(hù)等。

    c）可信計(jì)算。以TPM為硬件基礎(chǔ)，建立可信Hypervisor、可信安全域或通過(guò)可信鏈確保上層安全。

    d）安全應(yīng)用。如通過(guò)入侵檢測(cè)和蜜罐等技術(shù)來(lái)進(jìn)行系統(tǒng)保護(hù)。

圖3 虛擬機(jī)安全研究分類(lèi)

    3.1 安全Hypervisor研究

    Hypervisor是虛擬機(jī)的核心層，而虛擬機(jī)的安全研究也是以Hypervisor為核心。很多研究人員提出了安全Hypervisor的概念，目前針對(duì)安全Hypervisor的研究較多。

    IBM研究人員Sailer等人提出了一種安全的Hypervisor架構(gòu)shype，利用安全模型，通過(guò)訪問(wèn)控制模塊（accesscontrolmodule，ACM）來(lái)控制系統(tǒng)進(jìn)程、內(nèi)存的訪問(wèn)，實(shí)現(xiàn)內(nèi)部資源安全隔離。shype可以實(shí)行多種安全模型，但只是針對(duì)明確數(shù)據(jù)流進(jìn)行限制，而并未過(guò)多顧慮隱蔽通道威脅。Sailer等人在虛擬機(jī)Xen上進(jìn)行了shype架構(gòu)的實(shí)現(xiàn)。目前在Xen虛擬機(jī)上，已經(jīng)可以配置ACM安全模塊。

    Garfinkel等人提出了基于虛擬機(jī)的可信架構(gòu)Terra，利用TPM來(lái)保護(hù)Hypervisor的啟動(dòng)，然后通過(guò)可信虛擬機(jī)監(jiān)視器對(duì)VM進(jìn)行硬件資源隔離。這種設(shè)計(jì)保證了Hypervisor啟動(dòng)的安全，同時(shí)可信鏈的存在可以對(duì)系統(tǒng)事件進(jìn)行認(rèn)證。但Terra的提出只是在理論上進(jìn)行了研究分析，在實(shí)際中還未完成真正的實(shí)現(xiàn)，這也是Terra架構(gòu)的一大主要問(wèn)題。

    Ｗang等人提出了Hypersafe架構(gòu)，針對(duì)代碼和控制數(shù)據(jù)的完整性保護(hù)提出了相關(guān)的模型研究。文中提到了兩種技術(shù)：a）Nonbypassablememorylockdown，是一種內(nèi)存保護(hù)技術(shù)，通過(guò)特殊位ＷP來(lái)控制是否能寫(xiě)，除了安全更新之外，其他時(shí)間都處于保護(hù)狀態(tài)，保證了執(zhí)行期間的數(shù)據(jù)和代碼完整性；b）Restrictedpointerindexing，通過(guò)將控制數(shù)據(jù)指針限制到一個(gè)自己建立的表中進(jìn)行監(jiān)控。Hypersafe能靈活地控制數(shù)據(jù)流的完整性。

    一些研究人員針對(duì)當(dāng)前虛擬機(jī)中安全機(jī)制的一些漏洞進(jìn)行了分析和改進(jìn)，Jansen等人提出一種PEV（protection、enforcement、verification）架構(gòu)，通過(guò)加密解封的協(xié)議、安全策略等技術(shù)進(jìn)行數(shù)據(jù)檢測(cè)和保護(hù)，并使用TPM建立可信區(qū)域來(lái)保護(hù)關(guān)鍵數(shù)據(jù)；但是其關(guān)鍵數(shù)據(jù)是通過(guò)數(shù)據(jù)類(lèi)型日志形式來(lái)保存的，對(duì)數(shù)據(jù)日志項(xiàng)的加／解密勢(shì)必影響整個(gè)虛擬機(jī)系統(tǒng)的性能。

    針對(duì)DMA攻擊，Shinagawa等人通過(guò)先開(kāi)辟內(nèi)存緩沖區(qū)進(jìn)行數(shù)據(jù)檢測(cè)，然后從緩沖區(qū)將安全數(shù)據(jù)拷貝到目標(biāo)系統(tǒng)的物理內(nèi)存區(qū)。他們提出了一個(gè)parapass�瞭hrougharchitecture的架構(gòu)，將很多設(shè)備的驅(qū)動(dòng)直接交由客戶(hù)系統(tǒng)本身，而自身只配置了一個(gè)parapass throughdrivers驅(qū)動(dòng)集，通過(guò)在Hypervisor中對(duì)指令和數(shù)據(jù)的截取來(lái)進(jìn)行安全監(jiān)控，從而提高了整個(gè)系統(tǒng)的可靠性。

    Azab等人提出了HyperSentry。當(dāng)完整性檢測(cè)模塊在激活時(shí)，如果VMM已經(jīng)被攻擊，那么在激活過(guò)程中會(huì)擦除以往的攻擊痕跡，因此文章提出了一種隱蔽的激活方法，通過(guò)外部的out of band信道IPMI來(lái)激活，并通過(guò)系統(tǒng)管理模塊SMM來(lái)保護(hù)基本代碼和關(guān)鍵數(shù)據(jù)的安全性。同時(shí)在文獻(xiàn)中，他們還提出了一種基于Hypervisor的虛擬機(jī)系統(tǒng)VMs完整性測(cè)試代理HIMA，可以實(shí)現(xiàn)客戶(hù)系統(tǒng)關(guān)鍵事件的動(dòng)態(tài)監(jiān)視和客戶(hù)內(nèi)存的保護(hù)，在程序完整性測(cè)試上通過(guò)對(duì)加載到內(nèi)存的代碼和數(shù)據(jù)段進(jìn)行哈希計(jì)算來(lái)確認(rèn)完整性；在內(nèi)存保護(hù)上，HIMA通過(guò)訪問(wèn)權(quán)限限制來(lái)保護(hù)客戶(hù)內(nèi)存，并使用測(cè)試虛擬域內(nèi)存地址的哈希方法來(lái)確保頁(yè)映射中發(fā)生的安全問(wèn)題。Ｗu(yù)等人研究了基于Hypervisor的系統(tǒng)控制和監(jiān)視機(jī)制，利用Hypervisor來(lái)進(jìn)行客戶(hù)系統(tǒng)的安全保護(hù)，提出了BMCS（behaviormoni�瞭oringandcontrollingsystem）的模塊來(lái)完成系統(tǒng)中的行為監(jiān)控。Xu等人提出了一種基于VMM的OS內(nèi)核保護(hù)模型UCON，通過(guò)基于事件的策略持續(xù)而實(shí)時(shí)地檢測(cè)系統(tǒng)。

    3.2針對(duì)特定攻擊的安全研究

    隨著虛擬機(jī)的廣泛應(yīng)用，目前針對(duì)虛擬機(jī)的漏洞攻擊也有很多種，主要體現(xiàn)在VMBR攻擊、內(nèi)存錯(cuò)誤等隱蔽通道攻擊、網(wǎng)絡(luò)攻擊等。有很多安全研究人員針對(duì)這些攻擊進(jìn)行了研究，并提出了相關(guān)的解決方法。

    針對(duì)VMBR的攻擊，Rhee等人利用一些安全策略，通過(guò)監(jiān)視內(nèi)核的內(nèi)存訪問(wèn)來(lái)防御動(dòng)態(tài)數(shù)據(jù)內(nèi)核Rootkit攻擊，Riley等人提出了通過(guò)內(nèi)存影子來(lái)檢測(cè)內(nèi)核Rootkit攻擊。Gebhardtd等人提出了利用可信計(jì)算來(lái)防御Hypervisor的Ro�瞣tkit攻擊。

    針對(duì)虛擬機(jī)系統(tǒng)中存在的網(wǎng)絡(luò)方面的威脅，如拒絕服務(wù)攻擊（Dos），Lakshmi等人提出了一種新的I／O虛擬架構(gòu)，為每個(gè)VM配置一個(gè)虛擬網(wǎng)卡，VM可以通過(guò)自身的網(wǎng)卡驅(qū)動(dòng)與虛擬網(wǎng)卡直接進(jìn)行通信，然后通過(guò)VMM監(jiān)視每個(gè)VM的數(shù)據(jù)流，在防御諸如DMA的無(wú)控制漏洞和Dos攻擊等威脅的同時(shí)，也可以提高網(wǎng)絡(luò)性能。

    隱蔽通道是較難解決的安全問(wèn)題之一，因?yàn)榇嬖诘碾[蔽通道通常是用戶(hù)和系統(tǒng)不可知的傳輸通道，如基于CPU負(fù)載的隱蔽通道，攻擊者利用CPU的負(fù)載傳輸私密數(shù)據(jù)流，既能很隱蔽地傳輸數(shù)據(jù)，又能成功地避免檢測(cè)。Salaun研究了虛擬機(jī)Xen上可能存在的隱蔽通道，從XenStore的機(jī)制、共享協(xié)議、驅(qū)動(dòng)加載、數(shù)據(jù)傳輸?shù)确矫娣治隽丝赡艽嬖诘碾[蔽通道。隱蔽通道的建立和數(shù)據(jù)傳輸通常是需要“同伙的存在”，即接收者和發(fā)送者的存在。Cheng等人根據(jù)這一特征，在Chinesewall的安全模型上進(jìn)行了改進(jìn)，利用限制沖突集數(shù)據(jù)傳輸來(lái)防御隱蔽通道。

    3.3可信計(jì)算

    在前面的介紹中已經(jīng)提到了，一些研究人員提出用可信計(jì)算來(lái)保護(hù)系統(tǒng)的完整性。Catuogno等人研究了一個(gè)基于TCB的可信虛擬域的設(shè)計(jì)和執(zhí)行，通過(guò)安全策略和TVD協(xié)議實(shí)現(xiàn)可靠性。Berger等人則通過(guò)軟件方法設(shè)計(jì)了基于硬件TPM的虛擬TPM來(lái)保證多個(gè)VM的可靠性。而Ruan等人設(shè)計(jì)了一個(gè)一般的可信虛擬平臺(tái)架構(gòu)GTVP，將控制域分為管理、安全、設(shè)備、OS成員、通信五個(gè)域，每個(gè)域都完成相應(yīng)的功能，從而達(dá)到了安全、負(fù)載均衡和易用等目的。程川提出了一種基于Xen的信任虛擬機(jī)安全訪問(wèn)機(jī)制，為用戶(hù)提供了一種有效的安全訪問(wèn)敏感數(shù)據(jù)的模式。其核心思想是利用虛擬機(jī)的隔離性，為數(shù)據(jù)信息應(yīng)用提供一個(gè)專(zhuān)用的隔離環(huán)境，同時(shí)利用可信計(jì)算技術(shù)保證該虛擬平臺(tái)配置狀態(tài)的可信性。

    3.4安全應(yīng)用

    中間層VMM的存在使得一些傳統(tǒng)的安全技術(shù)能得到更好的利用，因此，一些研究人員利用傳統(tǒng)的安全技術(shù)如入侵檢測(cè)技術(shù)來(lái)提升系統(tǒng)的安全性。Jansen等人提出了通過(guò)虛擬化來(lái)提高系統(tǒng)的安全性和獨(dú)立性。首先在安全主域配置入侵檢測(cè)系統(tǒng)，通過(guò)對(duì)客戶(hù)機(jī)的用戶(hù)命令所獲取的信息和內(nèi)核內(nèi)存所獲取的信息比較來(lái)進(jìn)行入侵分析；然后通過(guò)設(shè)置保護(hù)模塊獲取客戶(hù)機(jī)系統(tǒng)調(diào)用，進(jìn)行進(jìn)程等事件管理，實(shí)現(xiàn)完整性保護(hù)。張志新等人提出了基于Xen的入侵檢測(cè)服務(wù)，通過(guò)在VMM層設(shè)置入侵檢測(cè)系統(tǒng)，使得這個(gè)入侵檢測(cè)系統(tǒng)位于監(jiān)控所有對(duì)操作系統(tǒng)的入侵事件的最佳位置，并處于一個(gè)獨(dú)立于操作系統(tǒng)之外的受保護(hù)的空間內(nèi)，增強(qiáng)了入侵檢測(cè)系統(tǒng)的獨(dú)立性和檢測(cè)能力，是傳統(tǒng)的基于主機(jī)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)優(yōu)點(diǎn)的完美結(jié)合。

    3.5尚存在的問(wèn)題

    通過(guò)上文的分析可以發(fā)現(xiàn)，在國(guó)內(nèi)外針對(duì)虛擬機(jī)系統(tǒng)的安全研究已陸續(xù)出現(xiàn)很多，針對(duì)不同角度的安全研究都存在，從整體分析來(lái)說(shuō)，尚且存在如下一些問(wèn)題：

    a）沒(méi)有從整體安全上進(jìn)行設(shè)計(jì)，只是從單一的一方面進(jìn)行了研究，如shype只是針對(duì)明確數(shù)據(jù)流，沒(méi)有考慮到隱蔽通道等安全。

    b）一些研究設(shè)計(jì)過(guò)于復(fù)雜。在實(shí)施上存在問(wèn)題，如Terra架構(gòu)，雖然作者的設(shè)計(jì)理念十分突出，但是至今沒(méi)能設(shè)計(jì)出合適的實(shí)現(xiàn)平臺(tái)。

    c）忽略了性能的因素。出于安全的考慮，通過(guò)策略來(lái)進(jìn)行系統(tǒng)的完整性保護(hù)，如UCON保護(hù)模型，但是在Linux系統(tǒng)中，由于資源眾多，將存在50000種策略狀態(tài)，那么在實(shí)際中將嚴(yán)重影響系統(tǒng)的性能。有些研究人員針對(duì)存在的一些系統(tǒng)復(fù)雜性進(jìn)行了改進(jìn)，如Payne等人提出了分層的訪問(wèn)控制模型，在很大程度上簡(jiǎn)化了訪問(wèn)控制模塊中的主客體關(guān)系鏈。

    d）忽略了安全模塊自身的安全，一旦安全模塊自身被攻擊，那么相關(guān)的安全將得不到保障，如HIMA、BitVisor。

4 結(jié)束語(yǔ)

    本文旨在進(jìn)行虛擬機(jī)系統(tǒng)的安全分析，總結(jié)目前已有的研究成果，并指出其中存在的問(wèn)題。首先以虛擬機(jī)Xen為例，介紹了虛擬機(jī)的架構(gòu)和關(guān)鍵技術(shù)，并從安全的角度對(duì)虛擬機(jī)中的這些特征和存在的漏洞進(jìn)行了分析，然后系統(tǒng)地介紹了虛擬機(jī)環(huán)境中存在的攻擊模型，分析了目前存在的一些攻擊方式，并針對(duì)這些攻擊方式提出了相應(yīng)的防御方法。其次還對(duì)目前針對(duì)虛擬機(jī)安全的研究現(xiàn)狀進(jìn)行了概括總結(jié)，主要體現(xiàn)在安全Hypervisor、安全虛擬機(jī)架構(gòu)、特定攻擊安全研究、可信計(jì)算等幾個(gè)方面。同時(shí)，本文還分析了目前研究存在的一些問(wèn)題。在后續(xù)研究中，筆者將在前人研究的基礎(chǔ)上進(jìn)行安全虛擬機(jī)管理器的研究，設(shè)計(jì)一個(gè)安全可靠的虛擬機(jī)管理器架構(gòu)。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：虛擬機(jī)系統(tǒng)安全綜述

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112186163.html