基于oVirt/Qemu/Kvm云平台系统分析与安全加固设计

摘要

随着云计算产业如火如荼的发展，云办公环境已经不再只是停留在概念阶段上，越来越多的企业和公司把自己的办公环境从原来的传统办公模式转移到崭新的云办公平台上。与传统办公环境相比，给企业带来了提高办公效率、公司资料统一管理和降低企业开销等优点。然而，同时也带来了新的安全隐患，例如：在oVirt云平台中，虚拟机磁盘数据是以明文的形式存放在服务器上，并没有考虑到虚拟机磁盘数据安全问题，以及公司内部员工可以利用USB设备随意拷贝公司资料，容易造成公司内部数据泄露的安全问题等。
　　本文的研究正是源于oVirt云平台安全方面的需求，从oVirt云平台安全方面问题入手，以保护oVirt云平台用户以及公司敏感数据安全。针对现有的云平台的攻击方式，结合Qemu、KVM和VDSM源码详细分析，重点分析了oVirt云平台框架、oVirt云平台磁盘存储管理、oVirt云平台文件系统和虚拟机磁盘镜像文件读写流程，并通过实验证明了虚拟机磁盘镜像文件、虚拟机磁盘删除和USB设备管理在这三方面存在着严重的安全隐患。
　　本文通过上述oVirt云平台系统分析所发现的安全问题，制定了oVirt云平台安全加固的解决方案，同时设计并实现了oVirt云平台安全加固系统，本系统主要包括了虚拟机磁盘镜像加解密、虚拟机磁盘深度擦除和USB设备实时管控三个子系统。
　　虚拟机磁盘加解密子系统是在 Qemu层中增加了密钥管理模块和磁盘数据加解密模块，设计了用户登录身份认证，确保了用户登录的安全。并通过磁盘数据加解密模块，对虚拟机磁盘镜像文件数据进行加解密，达到了防止黑客以及内部管理人员窃取虚拟机用户数据的作用。
　　虚拟机磁盘擦除子系统是在VDSM层中增加了深度擦除模块，采用了权限认证和多安全级数据擦除机制，给用户提供了多种虚拟机数据擦除方式，虚拟机用户数据通过数据覆写的方式进行深度擦除，使得虚拟机用户数据经擦除后难以恢复。
　　USB设备实时管控子系统是在 Qemu层中增设了两个白名单认证模块和访问控制模块，通过修改Qemu中USB设备重定向机制，添加USB设备授权访问，增设一个USB设备白名单来实现USB设备实时管控，公司管理员能够实时对员工的USB设备进行管控。
　　经过测试，本oVirt云平台安全加固系统功能上达到了设计目标，在性能方面虚拟机磁盘加密、虚拟机磁盘擦除以及USB设备实时管控对系统效率影响均在合理范围内，达到了预期目标。
　　本课题的分析研究顺应了云安全发展趋势，解决了基于oVirt/Qemu/Kvm云平台存在的安全问题，促进我国云办公的安全发展。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 绪 论

1.1 研究背景及意义

1.2 云平台国内外发展现状

1.3 云平台安全状况

1.4 课题研究内容及目标

1.5 论文组织结构

第二章 oVirt云平台安全加固基础研究

2.1 虚拟化技术

2.2 KVM和Qemu虚拟化技术

2.3 磁盘加解密算法研究

2.4磁盘数据擦除技术

2.5 本章小结

第三章 oVirt云平台系统研究分析

3.1 oVirt云平台框架分析

3.2 oVirt磁盘存储管理分析

3.3 虚拟机镜像文件加密关键技术分析

3.4 虚拟机镜像深度擦除关键技术分析

3.5. USB设备实时管控关键技术分析

3.6 本章小结

第四章 oVirt云平台安全加固方案总体设计

4.1 方案设计需求概述

4.2 方案设计原则和思路

4.3 oVirt云平台安全加固设计整体框架

4.4 本章小结

第五章 方案详细设计及实现

5.1 磁盘加解密子系统

5.2 磁盘擦除子系统

5.3 USB设备实时管控子系统

5.4 本章小结

第六章 系统测试及结果分析

6.1 测试环境搭建

6.2 测试内容

6.3 测试及结果分析

6.4 本章小结

第七章 总结与展望

7.1 工作总结

7.2工作展望

致谢

参考文献

攻硕期间取得的研究成果