基于可信轻量虚拟机监控器的安全架构*

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题：a）虚拟化性能上开销大;b）作为可信集相对比较庞大;c）不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。     

可信安全虚拟机平台的研究

文章在对虚拟化技术的安全性以及现有虚拟化安全增强技术分析的基础上,基于可信计算技术提出了一种新的可信安全虚拟机平台架构TSVPA,并对其体系结构和安全机制进行了设计。     

基于虚拟化的安全监控

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义.     

一种基于虚拟机的安全监测方法

随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性.     

虚拟机动态迁移远程属性证明简

随着互联网和企业提高资源利用率,其基础技术虚拟化技术发展迅速。同时虚拟化的动态迁移,是实现资源调度灵活性和可行性必要条件。动态迁移涉及方面广,导致安全问题突出。在Xen虚拟化的平台下,引入了虚拟PCR（vPCR）和属性的概念,利用可信属性认证协议将数据与系统安全属性封装起来保护,同时保护多个虚拟机系统中数据的安全,不受虚拟机系统配置变化的影响,保证虚拟机动态迁移安全性。     

基于虚拟化技术的客户虚拟机内核模块检测方法

虚拟化技术是云计算的关键技术之一.同时,监视虚拟机又是虚拟化平台的一个重要功能.为了更好的获取客户虚拟机的内部信息,在Xen虚拟化环境中设计并实现了一种轻量级的虚拟机内核模块检测方法KMDM. KMDM驻留在宿主机里面,利用虚拟机自省机制来获取被监控虚拟机的内核模块信息.实验结果表明, KMDM能够全面检测客户虚拟机的内核模块信息,检测结果准确、可靠.     

虚拟机环境检测方法研究综述

虚拟化技术带来的资源利用、管理和隔离的优势,使其被广泛应用在虚拟服务器、恶意代码分析、云计算平台搭建等领域.恶意代码的编写者和安全研究人员也在虚拟化发展热潮中展开了新一轮的技术博弈,如何检测虚拟环境的存在成为当前研究的热点.介绍虚拟机环境检测方法的意义,从本地虚拟机环境检测和远程虚拟机环境检测两个方面分别展开举例说明检测的原理和方法,在总结虚拟机环境检测方法的基础上,指出虚拟化透明性增强的方向,探讨和分析未来的发展趋势.     

云服务中虚拟机与虚拟可信平台模块数据迁移的研究

主要研究数据存储的基础设施的安全保护。以开源的基础设施Xen的虚拟化可信平台模块vTPM为基础,研究迁移方法中的四个基本需求,再对虚拟机及其虚拟可信平台模块vTPM的运行环境做分析。采用身份加密机制、安全通道以及虚拟迁移等技术,完成安全的数据迁移。最后通过实验对该迁移机制进行安全性分析,得出了此迁移方法是有效且可靠的。     

虚拟化安全:机遇,挑战与未来

随着云计算的流行,虚拟化安全问题受到了广泛的关注。通过引入额外的一层抽象,虚拟化技术为整个系统提供了更强级别的隔离机制,并为上层软件提供了一系列自底向上的安全服务。另一方面,抽象的引入所带来的复杂性提升和性能损失,都对虚拟化安全的研究带来了巨大的挑战。介绍了上海交通大学并行与分布式系统研究所近几年来在虚拟化安全领域所做的一系列具有代表性的工作,包括利用虚拟化提供可信执行环境、虚拟机监控、域内隔离等一系列安全服务,以及对虚拟化环境的可信计算基和跨域调用等方面进行优化的成果,并对当前和未来虚拟化安全领域的问题和探索方向进行了总结。     

虚拟机检测与反检测技术研究

目前恶意代码研究领域普遍使用虚拟机来动态分析恶意代码,然而众多恶意代码都使用了虚拟机检测的技术来对抗。本文首先简单介绍了虚拟机技术,然后对虚拟机检测技术及其相应检测算法进行了研究,最后介绍了一些反虚拟机检测技术。     

虚拟机动态迁移中的安全分析

网络计算与"云计算"兴起过程中,其基础技术虚拟化技术发展迅速。计算机虚拟化的动态迁移,是重要的虚拟化应用功能。基础的动态迁移协议较简单,存在安全可信的隐患。在Xen虚拟化的平台下,测试了现有虚拟化动态迁移组件的使用对动态迁移本身的性能影响,提供了基于网络嗅探及地址解析协议(address resolution protocol,ARP)欺骗技术的攻击方案,验证了其安全防护能力的不足,提出了解决方案。     

服务器虚拟化安全机制研究

服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护.     

基于ARM虚拟化扩展的安全防护技术

近几年来,随着移动平台用户量的增加,移动平台安全成为安全领域关注的焦点.而ARM的虚拟化扩展,使得如何基于虚拟化技术进行移动平台的安全防护成为一个研究热点.本文首先介绍了虚拟化技术的分类以及早期的相关研究.然后,给出了ARM虚拟化扩展的相关概念,并与x86虚拟化扩展进行了对比.随后重点介绍了基于硬件辅助虚拟化技术的安全研究现状,主要包括通用的系统框架以及针对特定攻击的安全工具.最后,本文对基于ARM虚拟化扩展的安全防护技术的发展方向进行了展望.     

虚拟化安全服务机制研究

虚拟化技术为数据中心带来更高的灵活性和安全性。这些安全性若能得到充分利用,虚拟机需要提供网络和存储等安全服务,而这些安全服务必须确保所用的密钥基于可信计算根。提出了一种安全的密钥传递和管理机制,为虚拟机提供安全服务,并描述了一个与虚拟化系统底层的绑定密钥管理体系结构。     

虚拟化数据中心的安全问题分析

随着互联网发展和云计算概念的提出,虚拟化普及的速度迅速提高。建设利用虚拟化技术提供服务的虚拟化数据中心也成为IT企业新的发展方向。虚拟化数据中心相对传统的数据中心在安全方面提出了新的挑战。本文就虚拟化数据中心在计算、网络、存储和管理等方面存在的安全问题进行了分析,提出了应对策略。     

云计算虚拟化技术的发展与趋势

云计算是一种融合了多项计算机技术的以数据和处理能力为中心的密集型计算模式,其中以虚拟化、分布式数据存储、分布式并发编程模型、大规模数据管理和分布式资源管理技术最为关键。经过十多年的发展,云计算技术已经从发展培育期步入快速成长期,越来越多的企业已经开始使用云计算服务。与此同时,云计算的核心技术也在发生着巨大的变化,新一代的技术正在改进甚至取代前一代技术。容器虚拟化技术以其轻便、灵活和快速部署等特性对传统的基于虚拟机的虚拟化技术带来了颠覆性的挑战,正在改变着基础设施即服务（IaaS）平台和平台即服务（PaaS）平台的架构和实现。对容器虚拟化技术进行深入介绍,并通过分析和比较阐述容器虚拟化技术和虚拟机虚拟化技术各自的优势、适应场景和亟待解决的问题,然后对云计算虚拟化技术的下一步研究方向和发展趋势进行展望。     

QoS约束的虚拟机镜像放置优化方法

随着云计算的兴起, 虚拟机正逐步成为应用服务的部署环境, 如何高效、经济地管理虚拟机镜像文件至关重要. 提出了一种QoS约束的虚拟机镜像放置优化方法, 通过存储收益模型量化分析用户服务质量约束下的存储服务综合收益, 优化镜像文件的存储策略. 实验结果表明该方法可以在满足用户服务质量的前提下, 显著优化存储收益.