学位论文 > 优秀研究生学位论文题录展示

虚拟域内访问控制系统的保护机制研究

作　者: 杨凯
导　师: 邹德清
学　校: 华中科技大学
专　业: 信息安全
关键词: 虚拟机管理程序虚拟化内存保护访问控制系统策略
分类号: TP309.2
类　型: 硕士论文
年　份: 2011年
下　载: 27次
引　用: 0次
阅　读: 论文下载

内容摘要

在传统情况下,恶意软件在系统中的运行级别通常和强制访问控制系统的运行级别是一样的,都是处在操作系统的内核级,这样恶意软件就可以对强制访问控制系统等安全系统进行攻击,破坏安全软件的正常运行或关闭安全软件的策略检查。由于操作系统的内核的漏洞是不可避免,因此这个问题在传统架构下是无法解决。最近云计算已经成为工业界和学术界研究的热点之一,虚拟化作为云计算平台实施的必备的技术之一,在现代的计算机系统中使用越来越广泛,从个人系统到网页服务器和数据中心,从客户端到服务器端,都可以看到虚拟化的身影。由于虚拟机管理程序可以提供一个小且安全的可信计算基,具有良好的隔离性和高特权性,很多研究者利用虚拟机监视器的安全特性来解决传统架构下安全问题。在虚拟域内访问控制系统保护机制研究的解决方案中,访问控制系统可以分为三个部分:安全策略管理模块,安全服务器模块和策略执行模块。安全策略管理模块和安全服务器模块是放在安全的操作系统中,利用虚拟机管理程序的隔离性和安全操作系统的安全性来保证它们的安全。为了加快客户操作系统和安全操作系统之间的安全策略决策信息交换,在客户操作系统中添加了策略决策缓存模块。为了实现主动防御和降低系统的性能开销,策略执行模块被放在客户操作系统中。策略决策缓存模块和策略执行模块的安全是通过内存保护机制来保障的。虚拟域内访问控制系统保护机制的原型系统SEVD(Security-Enhanced Virtual Domain,简称SEVD)是在Xen虚拟化平台上实现的。测试结果表明SEVD系统能够有效保护客户操作系统中访问控制系统的安全,能够抵御流行的Rookit攻击;在性能方面,与SELinux访问控制系统相比,性能开销也是没有增加;在功能方面,实现了虚拟环境下安全策略集中配置,有效降低了安全策略管理的复杂度。

全文目录

摘要  4-5
Abstract  5-8
1 绪论  8-19
  1.1 问题提出  8-9
  1.2 国内外研究现状  9-17
  1.3 背景与研究内容  17-18
  1.4 文章框架结构  18-19
2 SEVD 的系统架构  19-32
  2.1 设计目标  19-20
  2.2 设计思路  20-21
  2.3 体系结构与功能模块  21-28
  2.4 工作机制及处理流程  28-31
  2.5 小结  31-32
3 SEVD 系统的主要实现技术  32-45
  3.1 事件截获及语义解析技术  32-34
  3.2 策略缓存技术  34-36
  3.3 域间共享内存通信技术  36-39
  3.4 策略解析和内核多线程技术  39-41
  3.5 内存保护机制  41-44
  3.6 小结  44-45
4 系统测试和结果分析  45-53
  4.1 功能测试  45-47
  4.2 安全测试  47-50
  4.3 性能测试  50-52
  4.4 小结  52-53
5 总结及展望  53-55
致谢  55-57
参考文献  57-61

虚拟域内访问控制系统的保护机制研究

内容摘要

全文目录

相似论文