面向云计算的可信虚拟环境关键技术研究

摘要

云计算是一种基于互联网的计算模式，它将计算任务分布在大量计算机构成的资源池上，消费者能够根据需要获取计算力、存储空间和各种软件服务，并按使用量付费。云计算引起了计算机领域的又一场革新，也带来了许多新的安全问题。
　　基于云计算分布式计算和存储的特点，云计算安全问题可总结为虚拟化安全、应用安全和租户安全三个方面。虚拟化安全包括虚拟机监视器(VMM)的安全和虚拟机操作系统安全两个部分。应用安全包括应用环境安全和可信应用服务。租户安全主要研究在云计算共享计算资源和存储资源的基础上，如何保证租户隔离机制的安全有效，保护租户隐私。从研究现状来看，三方面的研究能在一定程度上解决云计算中的安全问题，但也都存在局限性。
　　当前，可信计算与云计算的结合已经成为研究热点。虚拟技术由于其对虚拟机的高分离性和对资源的高可控性，大大提高了系统的安全性，可信计算在可信认证、可信度量、可信存储等方面为安全应用支撑平台的建立提供了基础支持，从根本上来解决系统的可信性和安全性问题，因此紧密结合可信计算和虚拟技术建立“可信云计算环境”，可从根本上确保云环境中用户数据和应用的安全。在沈昌祥院士提出的云计算安全可信架构下，本文把租户隔离机制的可信要求加入到可信云计算环境中，从虚拟计算资源可信、应用环境可信和租户隔离可信三个方面展开研究，建立面向云计算的可信虚拟环境，并对其中的关键技术进行研究，取得下面四个方面的成果。
　　(1)把可信计算与虚拟化技术相结合，提出了一种安全虚拟机完整性监控机制SVMIM(Security Virtual Machine Integrity Monitor)，构建可信虚拟计算资源环境。SVMIM采用混杂模式的安全结构，基于可信计算技术对虚拟机操作系统的代码加载过程进行监视和控制，有效克服“语义差别”问题，并保证安全机制自身的可信;同时，SVMIM基于虚拟机网络引导机制，在网络存储端使用存储克隆技术，最大程度地降低安全机制对系统性能的影响。
　　(2)利用可信计算技术，建立可信的应用环境。在云计算平台中，云应用不仅包括一般的可执行程序，也包括Java应用和Web服务。由于Java程序的平台无关性，一些传统的基于操作系统层对可执行程序进行可信度量的方法并不适应。本文先利用SVMIM机制，建立可信的可执行程序应用环境，并且通过对JVM的可信改造，建立起一个可信Java平台(Trusted Java Platform，TJP)，实现信任链在JVM中的传递，确保云计算应用环境的可信。
　　(3)为了让租户购买云计算服务，云计算服务提供商(Cloud Service Provider，CSP)必须证明云计算中的租户隔离机制的有效性，提高租户对云计算隔离机制的信心。而现有的云租户隔离机制只是单方面满足CSP的可信要求，注重对云服务的某些外部属性进行测量，不能满足租户对云租户隔离机制的高安全性要求。本文给出了一种面向透明可控要求的可信云租户隔离机制，把透明可控性要求看作是一种云计算系统中不同安全域之间的信息流，它将云租户隔离机制的内部策略和实时运行信息从云管理平台安全域传送到租户安全域，从而为租户测量和验证云租户隔离机制提供了一种方法和手段;同时，本文还通过信息流无干扰理论证明了所提出机制的安全有效性，进一步提高了租户对云租户隔离机制的信心水平。
　　(4)实现云桌面系统这一云计算中的典型应用来对本文提出的方法进行验证和实验。可信云桌面系统从建立可信虚拟计算资源环境、可信应用环境和可信租户隔离环境三个方面来进行设计，并给出了每个功能模块详细的设计思路和实现方法，最后对原型系统进行安全性分析和性能测试，证明了其实际可用性。

目录

声明

致谢

摘要

1．1 引言

1．2 研究背景

1．2．1 云计算相关概念及云安全

1．2．2 云计算面临的安全问题

1．2．3 可信计算技术

1．2．4 可信云计算体系安全架构

1．3 研究现状及存在的问题

1．3．1 云计算环境中虚拟化安全研究现状

1．3．2 云计算环境中的应用安全研究现状

1．3．3 云计算环境中租户隔离机制研究现状

1．3．4 云计算环境中可信度评估研究现状

1．3．5 云计算环境中形式化验证研究现状

1．3．6 当前存在的问题和局限

1．4 主要研究内容

1．4．1 云计算环境中虚拟计算资源可信保证机制

1．4．2 云计算环境中应用环境可信保证机制

1．4．3 云计算环境中租户隔离机制可信

1．4．4 可信云桌面原型系统

1．5 论文的组织方式

2．1 引言

2．2 相关背景

2．3 基于网络引导机制的虚拟化可信保证机制

2．3．1 安全虚拟机完整性监控机制

2．3．2 可信母本镜像建立

2．3．3 镜像存储和管理

2．3．4 虚拟机操作系统可信度量

2．4 安全性分析

2．5 性能分析

2．6 小结

3．1 引言

3．2 相关背景

3．3 云应用环境可信

3．3．1 可信的可执行程序应用环境

3．3．2 可信Java平台

3．4 安全性分析

3．5 性能分析

3．6 小结

4．1 引言

4．2 相关背景

4．3 基于透明可控要求的云租户隔离机制

4．3．1 云计算安全域划分

4．3．2 云计算安全域之间信息流动

4．3．3 租户隔离机制

4．4 模型应用分析

4．5 安全性分析

4．6 小结

5．1 引言

5．2 可信云计算虚拟环境框架

5．3 可信云桌面系统

5．3．1 原型系统整体架构

5．3．2 功能模块划分

5．4 实验评估

5．4．1 安全性分析

5．4．2 性能分析与实验数据

5．5 小结

6．1 论文的主要贡献

6．2 存在的问题和下一步工作

参考文献

作者简历及攻读博士学位期间取得的研究成果

学位论文数据集