论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　【摘要】虚拟化服务对基于行为监控的客户虚拟机实施访问控制，以监控客户对受保护服务的访问行为。虚拟化服务使用运行时监控技术，通过观察到的客户虚拟机行为计算当前客户的信任度值，并强制客户执行符合其信任值级别的访问控制权限。
　　本文设计了一种虚拟化服务信任度增强方案，提出了增强的虚拟化服务多层安全体系架构，描述了基于行为监控的信任度管理框架，最后介绍了其应用方向。
　　【关键词】虚拟化服务；动态访问控制；可信计算
　　【中图分类号】TP309【文献标识码】A
　　1引言
　　在虚拟化系统中，虚拟化服务可为客户提供虚拟架构资源，如CPU，内存或I/O设备，以及访问此类资源的APl。例如，网络虚拟化服务提供的DomO域，CPU和内存虚拟化服务提供的虚拟机管理程序，以及存储虚拟化服务提供的虚拟硬盘等。
　　系统虚拟化技术提供的一个重要特性就是可以超越虚拟资源本身，最终向用产呈现更优的虚拟应用资源。这种增强包括性能提升、平台的可扩展性增强，以及虚拟机和基础平台的功能增强，而且这种增强无需或仅需很少的额外成本。例如，存储虚拟化服务能够提供具有很强数据存储可靠性的虚拟磁盘，并且通过不间断的监测磁盘属性，可以确保存储在磁盘上的数据最近的一段时间内没有出现访问失败。
　　本文研究的虚拟化服务安全增强方案体现为虚拟机使用行为监控器对管理的实体进行严格的访问控制。方案中将虚拟机的当前行为信息具体化为一个信任值，该信任值用来描述保护模式的动态变化。
　　具体而言，首先基于当前或过去的行为，虚拟化服务不断评估客户或主体的行为，确定该客户或主体当前的信任值。然后，虚拟机强制客户或主体执行符合其信任值级别的访问控制权限。例如，如果当客户虚拟机运行时受到损害或出现不稳定的行为，无论哪种情形将导致信任度下降低于某一阈值，客户虚拟机或主体可能被拒绝访问关键对象。
　　系统虚拟化技术大大提高了计算机系统的可靠性。像动态迁移机制，即使在不断增加负载的情况下，也能够实现服务持续可用，同时具有优化功能可以有效地管理服务相关资源。
　　本文采用信任值度量帮助虚拟化服务规范或管理客户的行为，首先确定客户服务中不稳定的组件，然后持续评估客户行为并计算客户当前的信任值，然后基于客户当前信任值实施限制这些不稳定组件对整体服务功能造成损害的访问控制策略。如果结合故障转移复制等技术，那么虚拟机的动态信任管理机制可以提高系统整体服务的可靠性。
　　2虚拟化服务分层访问控制模型
　　目前虚拟机管理程序，如sHype，对虚拟化服务仅能提供粗粒度的、有约束时间限制的访问控制。本文的虚拟化服务安全增强方案扩展了基于虚拟化系统安全体系结构的强制访问控制（MAC）策略。
　　方案采用分层设计，虚拟化服务包含了不同信任层的访问控制策略，还实现了相关监视器的功能。虚拟机管理程序仅仅为主体（客户虚拟机）创建和管理证书（称为标签），而实际的访问控制由虚拟化服务本身实现。
　　标签是一组任意长度的字符串，在特定范围内定义了每个客户虚拟机。每个标签定义了一个特定的角色，客户虚拟机标签意味着该虚拟机特定于一个或一组虚拟化服务。
　　标签由虚拟化服务的访问控制策略定义，它本质上定义了主体（客户虚拟机）与客体之间的关联。客体的标签由虚拟化服务管理的资源定义。例如，存储虚拟化服务的访问控制策略定义了标签为"Server"的客户虚拟机标签只能访问客体标签为"Disk"的磁盘分区。此外，对每个主体标签，虚拟化服务均维护-个角色权限集。
　　如图1所示描述了虚拟机管理程序和增强虚拟化服务。虚拟化服务的部分组件形成访问控制模块（ACM）。该图还显示主体和虚拟化服务之间的交互示例，以及各实体间产生的信息流。图1的信息流如下：
　　（1）虚拟机请求访问客体；
　　（2）虚拟机标签；
　　（3）客体标签；
　　（4）访问控制策略；
　　（5）虚拟机的信任值，前5项的内容共同决定是否允许或拒绝；
　　（6）访问客体。
　　3基于信任度的访问控制增强机制
　　虚拟化平台为监控运行时客户虚拟机行为提供了技术支撑。例如，进行虚拟机内存检查、能耗分析和I/O流量监控，持续评估虚拟机的"健康"或安全性等。这些监测任务由虚拟化服务或虚拟机管理程序执行。监测信息可以被用来实现新的服务，如防火墙、入侵检测或重新定向某些虚拟机行为，以提高具有潜在威胁的代码的安全属性，或增强当前服务功能。
　　如图2所示描述了虚拟化平台的行为监控和信任度管理框架。虚拟化平台的各个组件，如虚拟化服务和虚拟机管理程序，产生或消费虚拟机的行为信息。
　　这些行为信息由行为信息库统一发布。有用的行为信息有：内存中数据结构的完整性信息，如操作系统内核维护的进程列表；网络连接的相关信息，如网络虚拟化服务监控代理发布的信息；资源利用率信息，如CPU利用率。
　　虚拟化服务的信任度管理组件使用行为信息计算信任值，以增强虚拟化服务的访问控制功能。具体而言，信任值是与虚拟机当前行为信息和虚拟化服务信任策略相关的函数值，它被用来确定虚拟化服务的客户动态角色权限集。客户动态角色权限集与客户的缺省角色权限集有所区别。因此，尽管基于原始标签的权限集的客户可能按照访问控制策略可以匹配某个特定客体，然而基于当前信任值仍然可能导致拒绝访问。
　　总之，在虚拟化服务动态修改客户角色权限集的基础上实施的访问控制可以被看作是-种特殊形式的基于角色的访问控制（RBAC），被称为动态RBAC。
　　4结束语
　　本文提出的基于行为监控的信任度管理客体可作为一种虚拟化服务访问控制增强机制。其描述的动态信任度管理机制可用于存储虚拟化服务。目前，块级存储虚拟化解决方案中基于对象的接口可使每个动态对象基于角色的访问控制比基于磁盘分区的访问控制更灵活。此外信任度管理机制利用虚拟化服务的语义优势可进一步执行细粒度的客体访问控制。
　　将安全和可信功能集成到虚拟化服务中有多个优点，但也有缺点，它局限于仅支持单-的虚拟化平台。为了在多台物理机组成的分布式系统中应用信任度管理机制，当务之急是提出分布式的安全和信任度管理解决方案。基于这样的解决方案，通过集成了信任度管理机制的分布式虚拟化服务，才能够为企业提供安全的虚拟化服务。
　　参考文献
　　[1]蒋万春，汤立，陈震.虚拟化安全问题探析[J].信息网络安全，2010，（8）.
　　[2]H.RajandK.Schwan.02S2：EnhancedObject-basedVirtualizedStorage.0peratlngSystemsReview，October2008.
　　[3]S.Berger，R.C+aceres，K.A.GOldman，R.Perez，R.Sailer，andL.vanDoorn.vTPM：VirtualizingtheTrustedPlatformModule.InUsenixSecuritySymposium，2006.
　　[4]L.S.Clair，J.Schiffman，T.Jaeger，andP.McDaniel.EstablishingandSustainingSystemIntegrityviaRootOfTrustlnstallation.InProc.ofACSAC，2007.
　　[5]程川.一种基于Xen的信任虚拟机安全访问设计与实现[J].计算机与数字工程，2010，（3）.
　　[10]戴祝英，左禾兴.基于角色的访问控制模型分析与系统实现[J].计算机应用研究.2004（9）：173-176.
　　[11]马文琦，吴庆波，谭郁松.多域安全虚拟计算机的体系结构研究.计算机科学（专刊）.200835（10）：115.119.
　　作者简介：
　　蒲江（1978-），男，上海人，工程师，硕士；主要研究方向和关注领域：计算机体系结构、嵌入式软件开发等。
　　张春刚（1974-），男，黑龙江哈尔滨人，工程师，硕士；主要研究方向和关注领域：信息安全等。