基于虚拟隔离网络访问控制机制的研究

摘要

近年来，虚拟化技术已经成为了国内外计算机最热门的技术之一。虚拟化技术不仅可以帮助最终用户、企业厂商对现有系统资源进行最优化的调整。而且在系统安全和网络安全等方面，也展现出强劲的发展势头。本文先介绍了虚拟化技术的历史、现状、发展趋势和强制访问控制模型相关技术。
　　 第二，为了解决网络应用程序的安全性问题，本文提出了一种JBS模型。它是通用软件架构模型，基于虚拟化技术，强制访问控制技术和日志记录等技术，可以用来保护、监控虚拟容器环境之间网络交互，用于保证网络接入设备和网络应用程序的数据安全，并记录容器之间交互行为日志。在JBS模型中，每个虚拟容器环境（COSVME）都是新创建出来的受限环境，虚拟容器的所有行为都被JBS模型系统所监控。
　　 JBS虚拟机是基于虚拟化容器基于（Container-based Operating SystemVirtualization），并提供不完全虚拟化技术，不需要转换敏感指令，提供了原生系统效率。JBS主要应用资源隔离和安全隔离技术，划分不同的虚拟容器，并且通过虚拟容器管理工具，监控和管理虚拟容器的各种资源。
　　 第三，借鉴《GB1759-1999计算机系统安全保护等级划分准则》，我们定义了网络访问控制机制的要求。基于JBS模型，我们可以搭建出一个虚拟局域网，对网络接入设备和网络资源，进行强制访问控制和虚拟化隔离。
　　 在JBS模型中，主客体主要对应虚拟容器。为了保证主客体的唯一性，每个主客体对应自己的虚拟容器编号（XId），为了更好的管理虚拟容器组，JBS模型又提供了虚拟容器组编号（XGId）。我们可以构建虚拟局域网的虚拟主机，并定义虚拟主机中的应用程序，通过确定虚拟主机应用程序是服务器端程序还是应用程序，来划分虚拟客户机和虚拟服务器。
　　 最后，本文测试了JBS模型构建的虚拟局域网功能实现和JBS模型的系统调用日志的性能。通过应用JBS模型，不仅可以详尽记录虚拟环境中的网络应用程序行为，而且大幅降低需要记录系统调用数量，提高了系统日志的性能。

目录

文摘

英文文摘

第1章 绪论

1.1 引言

1.2 虚拟隔离改进系统安全

1.3 虚拟化技术重要性

1.4 研究内容和目标

1.5 论文的组织和结构

第2章 虚拟化和访问控制

2.1 虚拟化技术发展

2.1.1 完全虚拟化技术

2.1.2 库虚拟化技术

2.1.3 操作系统级虚拟化技术

2.1.4 虚拟化技术的实际应用

2.2 强制访问控制

2.2.1 BLP安全模型

2.2.2 BIBA安全模型

2.3 本章小结

第3章 JBS模型设计

3.1 相关主要工作

3.2 系统介绍

3.2.1 基于Linux-VServer的虚拟化环境

3.2.2 虚拟容器环境间的事务操作

3.2.3 应用程序虚拟容器环境的创建

3.2.4 日志记录模块合并功能设计

3.3 JBS架构实现细节

3.3.1 JBS虚拟机监视器

3.3.2 虚拟容器中应用程序

3.3.3 虚拟容器中日志记录

3.4 本章小结

第4章 基于JBS模型实验环境建立

4.1 安全网络定义

4.2 基于JBS模型的虚拟局域网构建

4.2.1 虚拟容器的创建策略

4.2.2 JBS模型中网络监控改进

4.2.3 外网与虚拟局域网访问配置

4.2.4 虚拟局域网不同网段访问配置

4.3 基于JBS模型的安全网络设计

4.3.1 网络虚拟服务器资源构建

4.3.2 虚拟客户端架设

4.3.3 实际网络设备接入

4.4 本章小结

第5章 系统测试

5.1 测试目标

5.2 虚拟局域网功能测试

5.3 系统调用记录测试

5.4 应用程序启动系统调用测试

5.5 测试结果

5.6 本章小结

结论

参考文献

攻读硕士学位期间所发表的学术论文

致谢