论文部分内容阅读
随着虚拟机技术逐渐被人熟知并广泛应用在各个领域,虚拟机系统的安全问题也备受关注,特别是虚拟机间因共享资源破坏虚拟机间隔离性的问题。实施强制访问控制能够辅助虚拟机管理器有效的控制虚拟机间的资源共享,但目前的虚拟机强制访问控制系统还不能防止由虚拟机间隐通道造成的非公开信息传递。此外,这些系统还仅适用于单节点虚拟机系统,没有考虑分布式环境下节点间虚拟机的行为。基于虚拟机架构的分布式强制访问控制系统(Distributed Mandatory Access Control System Based on Virtual Machines,DVM-MAC)有效的解决了上述问题。系统通过设计实现优先中国墙策略有效的对虚拟机间隐通道进行控制。优先中国墙策略源自传统中国墙策略,通过在策略决策过程中引入当前节点的虚拟机历史运行序列来杜绝虚拟机间可能存在的隐通道。在分布式架构设计上,系统引入中心节点作为其它节点的策略管理中心,并负责对节点间虚拟机的行为实施强制访问控制。只与本地节点相关的强制访问控制策略则在节点内部执行。系统通过采用节点内策略信息跨空间拷贝、节点间策略信息缓存以及策略决策分离等技术提高了在分布式环境下实施强制访问控制的正确性和有效性。此外,系统还将优先中国墙策略扩展到分布式环境下,控制因节点间虚拟机的通信和迁移而产生的虚拟机间间接隐通道。系统测试结果表明:通过采用优先中国墙策略,DVM-MAC系统在节点内或节点间都能够有效的防止虚拟机间隐通道的产生;同时,系统采用的分布式架构能够保证强制访问控制在节点间正确、有效的实施。在系统性能方面,与正常系统相比,采用优先中国墙策略的DVM-MAC系统策略决策的时间开销增加了34%;节点间策略信息更新的时间开销起伏较大(开销约占策略决策时间开销的47%到93%不等)。