返回
虚拟机隔离运行模型.docx

虚拟机隔离运行模型.docx

ID:57816596

大小:1.39 MB

页数:68页

时间:2020-03-30

虚拟机隔离运行模型.docx_第1页
虚拟机隔离运行模型.docx_第2页
虚拟机隔离运行模型.docx_第3页
虚拟机隔离运行模型.docx_第4页
虚拟机隔离运行模型.docx_第5页
资源描述:

《虚拟机隔离运行模型.docx》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第三章隔离运行模型本章提出了一种新的基于虚拟机技术的隔离运行模型—SVEE,该模型满足满足操作系统隔离、应用透明、计算环境重现、隔离程序执行效果跟踪与操作系统信息重构等五个应用约束,平衡了安全隔离性、功能完整性、性能适应性和行为可监控性。同时,本章给出了该模型的形式化安全性分析和度量,通过理论分析阐明了SVEE能够满足Bell-LaPadula机密性模型和Biba完整性模型。并进一步论证了在此模型下,被保护的宿主环境的容侵能力也将得到有效提升。基于此模型,本章构造出以本地虚拟化技术为核心的满足SVEE

2、隔离运行模型的体系结构,该体系结构独立于操作系统实现,具有很好的可移植性。通过对现有虚拟机模型的详细分析,指出TypeII虚拟机模型能够最有效地在个人计算平台下支持这五个约束条件。本章工作是后继章节所做工作的理论基础。3.1隔离运行模型对于隔离运行非可信软件的运行环境而言,为了实现操作系统与应用程序透明的目标,同时能够重现已有的软件运行环境并支持操作系统语义信息的重构,即在保证安全隔离性的前提下提升隔离运行环境的功能完整性、性能适应性与行为可监控性,该环境必须满足以下约束条件。l约束1:操作系统隔离:

3、非可信软件必须运行在一个与宿主操作系统隔离的虚拟计算机系统中,这是抵御特权恶意代码攻击、确保安全隔离性的必要条件。l约束2:应用程序与操作系统透明:现有操作系统、应用程序和将被隔离的非可信软件均不需作任何修改即可直接布署该隔离机制,这一点在个人计算平台下尤其重要。此约束包含四个子约束:Ø约束2A:无需修改现有操作系统与应用程序及其将被隔离的非可信软件的源代码,因为通常个人计算平台上流行的应用程序与操作系统(如Windows)都未开放源代码。Ø约束2B:不能限制非可信软件在隔离运行环境内访问的资源与执行

4、的特权操作,这是保证隔离运行环境的功能完整性的必要条件。Ø约束2C:尽可能地将隔离机制对可信代码运行环境造成的性能影响最小化,即在确保安全隔离性的同时兼顾系统的可用性。Ø约束2D:无需重新安装现有操作系统。个人用户中绝大部分不是计算机专业技术人员,所以个人计算平台上往往都预装有操作系统,所以在布署隔离运行技术时必须保证能够继续使用原有操作系统。l约束3:可配置的计算环境重现:由于非可信软件的正常执行与执行效果通常依赖于计算环境,尤其是文件系统内容与操作系统配置等,所以在隔离运行环境内重现宿主操作系统的

5、计算环境既是保证隔离运行环境的功能完整性的要求,也是减少布署开销的必要条件。本约束可细化为:Ø约束3A:计算环境的重现不应通过复制整个计算机的软硬件系统的来实现,这样的布署开销通常不能被个人用户接受。Ø约束3B:为了提高系统机密性,被导出到隔离运行环境中的宿主计算环境资源应该是可配置的,被隔离软件只能访问这些资源,涉及敏感信息的数据不应在隔离运行环境中重现。这是确保安全隔离性的必要条件。Ø约束3C:尽可能地使隔离运行环境的性能接近宿主环境,这是提升性能适应性的要求。l约束4:隔离程序执行效果的跟踪:隔

6、离运行环境必须能够跟踪和记录被隔离软件对数据的修改操作,从而为分析程序行为与提交相应程序的执行效果到宿主环境提供依据,这也是提高系统可用性与隔离运行环境的行为可监控性的关键。l约束5:支持操作系统语义信息重构:这里的语义信息是指操作系统抽象层的资源的信息,如进程、线程、文件、用户等。用户或相关工具程序只有借助隔离运行环境的这些信息才能精确分析隔离运行环境内应用程序和操作系统的行为,进而提升隔离运行环境的行为可监控性。(a)基于TypeIVMM的Native隔离运行模型(b)基于TypeIIVMM的Ho

7、sted隔离运行模型图3.1SVEE的基于不同VMM的两种可选隔离运行模型为了满足约束1,SVEE必须利用虚拟机监视器(VirtualMachineMonitor,VMM)来创建非可信软件的运行容器—虚拟机。只有这种基于硬件抽象层的虚拟机技术才能实现操作系统的隔离。按照Goldberg的定义,VMM是能够为计算机系统创建高效、隔离的副本的软件。这些副本即为虚拟机(VirtualMachine,VM),在虚拟机内处理器指令集的一个子集能够直接在物理处理器上执行。Goldberg定义了两种VMM:Type

8、IVMM和TypeIIVMM。TypeIVMM直接运行在计算机硬件系统上,负责调度和分配系统硬件资源,可以将其理解为一个实现了虚拟化机制的操作系统。而TypeIIVMM则以一个应用程序的形式运行在已有的传统操作系统之上,而这个实际控制系统资源的操作系统被称为宿主操作系统(HostOS),运行在TypeII虚拟机中的操作系统则被称为客户操作系统(GuestOS)。基于这两种不同的虚拟机监视器,SVEE就有了相应的两种隔离运行模型(如图3.1所示):基于Ty

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。