学位论文 > 优秀研究生学位论文题录展示

基于硬件虚拟化的文件保护系统的研究

作 者: 王峻青
导 师: 戚正伟
学 校: 上海交通大学
专 业: 软件工程
关键词: 文件保护 虚拟机监控器 硬件虚拟化 可信计算基
分类号: TP309
类 型: 硕士论文
年 份: 2012年
下 载: 42次
引 用: 0次
阅 读: 论文下载
 

内容摘要


防止用户的敏感文件受到未经授权的访问是计算机安全领域的问题之一。传统的文件保护机制运行在操作系统内部,一旦操作系统被攻破,其文件保护功能很可能被禁止或绕过。为了解决这个问题,最近的研究提出将文件系统放入一个专用的虚拟机,或通过网络文件系统进行访问,以此来实现不依赖于操作系统的文件访问控制。这些方法虽然提高了保护系统对操作系统的隔离性,却大幅增加了系统的可信计算基的大小,从而影响了整个系统的可靠性和安全性。针对现有解决方案的不足,本文提出基于硬件虚拟化技术实现的轻量级专用于文件保护的虚拟机监控器。本文研究工作可概括为以下两点:首先,本文基于Bitvisor虚拟机监控器框架和硬件虚拟化技术实现了轻量级的虚拟机监控器。采用虚拟机监控器对系统进行保护,普遍存在一个问题,即虚拟机监控器自身的安全问题。Bitvisor是一个用于保护系统安全的轻量级虚拟机监控器框架,本文利用最新的硬件虚拟化技术对它进行了改进。进一步减少了它的代码量并提高了它的性能,修改后的虚拟机监控器的可信计算基代码量比通用虚拟机监控器的可信计算基代码量小至少一个数量级。可信计算基代码量的减少大幅提高了系统自身的安全性和可靠性。其次,本文使用该虚拟机监控器成功实现了对用户敏感文件保护。在虚拟机外对虚拟机内的文件保护存在一个语义鸿沟问题,即由于虚拟机监控器只能监控到客户操作系统对磁盘块的操作,而我们的保护是以文件为粒度的,这两者之间的矛盾。本文将根据文件系统格式规范和原始数据重建文件系统,以获得文件到磁盘块的映射,解决了以上的问题。即使入侵者拥有操作系统内核权限,本文实现虚拟机监控器也可防止用户敏感文件遭受未经授权的访问。我们已经实现在FAT32文件系统和Windows XP操作系统上的一个原型,对其功能进行了测试,以证明我们的设计是可行的。最后通过性能测试来证明它在现实世界场景中的对操作系统的性能影响是可以接受的。

全文目录


摘要  3-5
ABSTRACT  5-7
目录  7-9
第一章 绪论  9-15
  1.1 研究背景与意义  9-10
  1.2 研究目标  10
  1.3 国内外研究现状  10-13
    1.3.1 盒内方法  11
    1.3.2 盒外方法  11-13
  1.4 本文的研究内容  13
  1.5 本文的组织结构  13
  1.6 关键名词解释  13-15
第二章 硬件虚拟化技术  15-23
  2.1 系统级虚拟化  15-18
    2.1.1 软件虚拟化  16-17
    2.1.2 半虚拟化  17-18
    2.1.3 硬件虚拟化  18
  2.2 硬件虚拟化技术  18-22
    2.2.1 CPU 虚拟化  19-21
    2.2.2 内存虚拟化  21
    2.2.3 I/O 虚拟化  21-22
  2.3 本章小结  22-23
第三章 基于硬件虚拟化的虚拟机监控层  23-33
  3.1 常见的虚拟机监控层模型  23-24
  3.2 Bitvisor 架构  24-27
  3.3 半穿透驱动  27-28
  3.4 对Bitvisor 的改进  28-32
    3.4.1 使用EPT 代替SPT  28-30
    3.4.2 使用UnstrictedGuest 代替软件模拟  30-32
  3.5 本章小结  32-33
第四章 文件保护系统的设计与实现  33-45
  4.1 系统设计  33-35
    4.1.1 威胁模型及假定  33-34
    4.1.2 语义鸿沟问题  34
    4.1.3 架构设计  34-35
  4.2 文件系统解析  35-41
    4.2.1 FAT32 文件系统  35-40
    4.2.2 解析FAT32 文件系统  40-41
  4.3 磁盘访问控制  41-42
  4.4 其他实现细节以及系统缺陷  42-43
  4.5 本章小结  43-45
第五章 实验与分析  45-51
  5.1 实验测试环境设计与搭建  45
    5.1.1 硬件环境  45
    5.1.2 软件环境  45
  5.2 实验方案与结果分析  45-50
    5.2.1 功能测试  45-47
    5.2.2 计算密集型测试  47-48
    5.2.3 I/O 密集型测试  48-49
    5.2.4 代码量比较  49-50
  5.3 本章小结  50-51
第六章 总结  51-53
参考文献  53-57
致谢  57-59
攻读硕士期间已发表或录用的论文  59-61

相似论文

  1. 基于文件解析的文件感染方法研究,TP391.1
  2. 用于ATM平台的主机入侵防御系统的设计与实现,TP393.08
  3. 虚拟机监控器内存管理机制研究与实现,TP391.9
  4. 基于硬件虚拟化技术的跨平台安全保护研究,TP309
  5. 虚拟机监控器体系结构研究,TP277
  6. 基于VT-x的处理器虚拟化技术研究,TP332
  7. 基于虚拟机的实时文件保护机制研究,TP309.2
  8. 基于SMM的TCB最小化技术研究与实现,TP309
  9. 虚拟化系统在桌面应用中的一种新型应用模式,TP391.9
  10. 基于VT/SVM与可信计算技术的安全增强虚拟机监控器设计与实现,TP277
  11. 基于SmartVMM的I/O架构的设计与实现,TP316.7
  12. 视频及多媒体内容管理系统的研究与实现,TP311.52
  13. SMART-VMM:基于VT-x的虚拟机监控器设计与实现,TP302
  14. 网页防篡改技术的研究与应用,TP393.092
  15. 基于虚拟机的反rootkit技术研究,TP393.08
  16. 基于虚拟化的云计算平台中安全机制研究,TP393.08
  17. 基于文件过滤驱动的Windows文件保护系统的研究与实现,TP316.7
  18. 基于硬件虚拟化反调试的软件保护设计,TP311.53
  19. 跨物理服务器虚拟机监控器的设计与实现,TP393.05
  20. 创业板监管法律问题研究,D922.287

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 一般性问题 > 安全保密
© 2012 www.xueweilunwen.com