李芬

摘 要：云計(jì)算模式的出現(xiàn)，進(jìn)一步的滿足了用戶計(jì)算以及儲(chǔ)存資源等相關(guān)需求，更多先進(jìn)的技術(shù)被開發(fā)應(yīng)用，比如虛擬技術(shù)，實(shí)現(xiàn)對(duì)服務(wù)資源的動(dòng)態(tài)調(diào)整和監(jiān)管，更加滿足用戶的實(shí)際需求。一時(shí)間基于云計(jì)算虛擬機(jī)系統(tǒng)就成為了探究的熱門話題，本文也就在此基礎(chǔ)上，對(duì)其安全問(wèn)題進(jìn)行探究，確定在當(dāng)前云計(jì)算服務(wù)下存在的安全問(wèn)題，如何確保虛擬機(jī)系統(tǒng)的安全可靠性。

關(guān)鍵詞：云計(jì)算;虛擬機(jī)系統(tǒng);安全分析

引言：云計(jì)算技術(shù)在當(dāng)前已經(jīng)得到了快速的發(fā)展，作為一種新型的計(jì)算模式，讓云計(jì)算資源實(shí)現(xiàn)動(dòng)態(tài)化、虛擬化，提高了其伸縮性和靈活性，特別是虛擬化技術(shù)的開發(fā)利用，進(jìn)一步滿足用戶的多樣化需求。但是以你為云計(jì)算本身開放式的特點(diǎn)，在大環(huán)境中，安全仍然是非常重視的一個(gè)問(wèn)題。很多調(diào)查中發(fā)現(xiàn)，當(dāng)前用戶對(duì)于云計(jì)算主要需求，安全性問(wèn)題占據(jù)的比例最大，一些大型的企業(yè)也還是會(huì)發(fā)生各種安全事故，加劇了用戶對(duì)于與計(jì)算技術(shù)的憂慮。為此基于云計(jì)算的虛擬機(jī)系統(tǒng)安全也成為了云計(jì)算技術(shù)和虛擬化技術(shù)發(fā)展的重點(diǎn)關(guān)注問(wèn)題。

1. 基于云計(jì)算的虛擬機(jī)系統(tǒng)

云計(jì)算是通過(guò)網(wǎng)絡(luò)云將巨大的數(shù)據(jù)計(jì)算處理程序分解成無(wú)數(shù)個(gè)小程序，通過(guò)服務(wù)器組成的系統(tǒng)進(jìn)行處理和分析，并且把最終得到的結(jié)果反饋給用戶。它是通過(guò)一系列的動(dòng)態(tài)升級(jí)和被虛擬化的資源組成，為用戶提供云服務(wù)。并且在各行業(yè)都得了應(yīng)用，比如醫(yī)藥醫(yī)療運(yùn)用云信息平臺(tái)，取代了各系統(tǒng)分散為為主體的運(yùn)用模式，提高內(nèi)部信息共享能力等;比如在制造領(lǐng)域，利用云計(jì)算技術(shù)，實(shí)現(xiàn)對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)整合，加速企業(yè)顳部信息一體化進(jìn)程;在電子政務(wù)領(lǐng)域里，利用云計(jì)算技術(shù)建立技術(shù)平臺(tái)，提高公共服務(wù)平臺(tái)內(nèi)部的可靠性[1]。

基于云計(jì)算的虛擬機(jī)系統(tǒng)，首先分析虛擬化技術(shù)，就是基于云計(jì)算技術(shù)發(fā)展而來(lái)的，通過(guò)在硬件上添加虛擬機(jī)監(jiān)控器的軟件來(lái)實(shí)現(xiàn)，提高計(jì)算機(jī)的工作效率。簡(jiǎn)單來(lái)講，就是計(jì)算原件在虛擬的基礎(chǔ)上運(yùn)行。虛擬化技術(shù)原理就是虛擬機(jī)對(duì)真實(shí)計(jì)算環(huán)境的抽象和模擬。然后分析虛擬機(jī)，虛擬機(jī)是計(jì)算機(jī)系統(tǒng)的仿真器，通過(guò)軟件模擬具有硬件系統(tǒng)功能的、運(yùn)行在一個(gè)完全隔離環(huán)境中的完整計(jì)算機(jī)系統(tǒng)。作為虛擬化技術(shù)的一種，就比如目前比較常見的VMware Workstation系統(tǒng)，該系統(tǒng)軟件就可以提供虛擬機(jī)功能，讓計(jì)算機(jī)可以同時(shí)運(yùn)行多個(gè)不同操作系統(tǒng)，可以在一部實(shí)體機(jī)器上模擬完整的網(wǎng)絡(luò)環(huán)境[2]。

在實(shí)際使用中，基于云計(jì)算的虛擬機(jī)系統(tǒng)，相關(guān)用戶在使用計(jì)算與儲(chǔ)存等資源的同時(shí)，將軟件和硬件設(shè)備的直接控制和維護(hù)全交給了云計(jì)算提供商，不需要知道云計(jì)算系統(tǒng)所處的位置以及配置信息。針對(duì)特點(diǎn)就增加了用戶使用的安全威脅，特別是針對(duì)一些有特殊安全需求的使用者，相當(dāng)于放棄了安全控制權(quán)，讓安全無(wú)法得到保證。此外，針對(duì)安全問(wèn)題，在實(shí)際的運(yùn)用中，一般會(huì)安裝虛擬機(jī)監(jiān)視器，但是一些攻擊者也會(huì)利用監(jiān)視器中弱點(diǎn)對(duì)虛擬機(jī)系統(tǒng)進(jìn)行攻擊，進(jìn)而容易出現(xiàn)安全問(wèn)題。經(jīng)過(guò)總結(jié)目前基于云計(jì)算的虛擬機(jī)系統(tǒng)所面對(duì)的安全問(wèn)題主要有：安裝容易軟件、仿冒提供商、仿冒合法操作、訪問(wèn)運(yùn)行時(shí)數(shù)據(jù)、訪問(wèn)配置數(shù)據(jù)、進(jìn)行拒絕服務(wù)供給、否認(rèn)虛擬機(jī)啟動(dòng)、干預(yù)其他用戶的虛擬機(jī)、獲取用戶機(jī)密數(shù)據(jù)。在操作中，外部攻擊者、操作者以及提供商都可能會(huì)成為攻擊者，帶來(lái)安全威脅，為此還需要加強(qiáng)研究，確保虛擬機(jī)系統(tǒng)的安全問(wèn)題。

2. 基于云計(jì)算虛擬機(jī)系統(tǒng)安全策略

對(duì)于虛擬機(jī)系統(tǒng)的安全保證，最主要還是需要確保一個(gè)安全的計(jì)算環(huán)境，確保系統(tǒng)的安全性。在本次的研究中，是在已有的研究基礎(chǔ)上，進(jìn)行分析，總結(jié)已有的一些安全技術(shù)，確保虛擬機(jī)系統(tǒng)運(yùn)行安全。

2.1 對(duì)虛擬機(jī)之間的通信和訪問(wèn)進(jìn)行控制

為了對(duì)虛擬機(jī)之間的通信和訪問(wèn)進(jìn)行控制，確保一個(gè)有效的虛擬機(jī)系統(tǒng)環(huán)境，限制攻擊和惡意代碼在虛擬機(jī)之間的傳播。因此可以通過(guò)采用訪問(wèn)控制模型，比如Virt-BLP 模型。實(shí)現(xiàn)強(qiáng)制訪問(wèn)控制框架，對(duì)虛擬機(jī)之間的通信和訪問(wèn)進(jìn)行有效控制。

其主要操作是建立相關(guān)的模型，就如在BLP 模型升級(jí)優(yōu)化而成的Virt-BLP 模型。但是要想實(shí)現(xiàn)有效的控制，確保運(yùn)行安全，還需要在模型中設(shè)計(jì)強(qiáng)制訪問(wèn)控制框架。一般會(huì)選擇一個(gè)平臺(tái)，將Virt-BLP 模型的相關(guān)勻速映射或體現(xiàn)在虛擬機(jī)系統(tǒng)中，以此來(lái)實(shí)現(xiàn)控制功能。這樣在實(shí)際的操作中，云服務(wù)供應(yīng)商就可以利用控制框架來(lái)管理和控制多天用戶虛擬機(jī)之間的訪問(wèn)和通信，確保多級(jí)安全的訪問(wèn)控制。主要是提供了一個(gè)多級(jí)安全環(huán)境，防治攻擊以及惡意軟件在虛擬機(jī)之間相互傳播啊，主要針對(duì)的訪問(wèn)控制[3]。

2.2 虛擬機(jī)系統(tǒng)用戶級(jí)應(yīng)用程序的安全控制

是在訪問(wèn)控制上的進(jìn)一步安全保證，確保云計(jì)算軟件服務(wù)中客戶虛擬機(jī)用戶級(jí)應(yīng)用程序的安全性。因?yàn)樘摂M機(jī)的隔離特性，很多方法都借助特權(quán)虛擬機(jī)來(lái)監(jiān)控客戶虛擬機(jī)的狀態(tài)，因此需要對(duì)用戶級(jí)應(yīng)用程序的安全進(jìn)行控制。比如使用面向云平臺(tái)的虛擬機(jī)內(nèi)度量框架：HYperivm度量框架。

度量框架融合度量的思想和虛擬機(jī)內(nèi)監(jiān)控方法，不需要硬件虛擬化的支持，利用可信平臺(tái)模塊就能作為框架的可信根結(jié)點(diǎn)，保證度量過(guò)程本身的可信性。對(duì)于虛擬機(jī)系統(tǒng)用戶級(jí)應(yīng)用程序的安全控制，其中最關(guān)鍵的就是客戶虛擬機(jī)，他負(fù)責(zé)度量客戶虛擬機(jī)中運(yùn)行的可執(zhí)行程序并產(chǎn)生相應(yīng)的度量值，當(dāng)有新的度量值產(chǎn)生，就會(huì)立即通過(guò)虛擬機(jī)之間的通信機(jī)制傳遞到特權(quán)虛擬機(jī)中，放到度量列表中，以此來(lái)確保度量過(guò)程的可信性。在實(shí)際的運(yùn)作中，可信性環(huán)境下，客戶虛擬機(jī)中可執(zhí)行程序產(chǎn)生的度量值是可信度量值，也是在驗(yàn)證中個(gè)作為標(biāo)準(zhǔn)值。而且在框架中還涉及了內(nèi)存監(jiān)視模塊和判斷度量模塊狀態(tài)[4]。

2.3 客戶虛擬機(jī)內(nèi)核運(yùn)行安全保障

云計(jì)算虛擬機(jī)系統(tǒng)中客戶虛擬機(jī)操作系統(tǒng)內(nèi)核的安全確定，主要是通過(guò)虛擬機(jī)動(dòng)態(tài)監(jiān)控框架來(lái)實(shí)現(xiàn)，針對(duì)內(nèi)核攻擊，確保內(nèi)核的運(yùn)行安全。比如目前使用的HYperivm動(dòng)態(tài)監(jiān)控框架。上述HYperivm度量框架確保用戶級(jí)安全，而HYperivm動(dòng)態(tài)監(jiān)控框架確保內(nèi)核運(yùn)行安全。

客戶虛擬機(jī)動(dòng)態(tài)監(jiān)控框架，是為了保障客戶虛擬機(jī)內(nèi)核的運(yùn)行安全，針對(duì)內(nèi)核攻擊，動(dòng)態(tài)監(jiān)控框架可以不借助系統(tǒng)文件，直接通過(guò)搜索客戶虛擬機(jī)的內(nèi)核內(nèi)存來(lái)得到監(jiān)控需要的關(guān)鍵值。并且在框架中利用監(jiān)控頻率自調(diào)整策略，可以調(diào)整監(jiān)控的頻率，不斷改進(jìn)檢測(cè)的準(zhǔn)確率。

3. 結(jié)束語(yǔ)

本文主要是對(duì)基于云計(jì)算的虛擬機(jī)系統(tǒng)安全保證進(jìn)行了分析，簡(jiǎn)單闡述了目前對(duì)于虛擬機(jī)系統(tǒng)安全保證的擊中措施，通過(guò)訪問(wèn)控制模型對(duì)虛擬機(jī)之間的通信和訪問(wèn)進(jìn)行有效的控制;虛擬機(jī)內(nèi)度量框架確保云計(jì)算軟件服務(wù)中客戶虛擬機(jī)用戶級(jí)應(yīng)用程序的安全性;動(dòng)態(tài)監(jiān)控框架確保內(nèi)核運(yùn)行安全。

參考文獻(xiàn)：

[1]張淑慧. 基于內(nèi)存自省的虛擬機(jī)系統(tǒng)安全監(jiān)控模型與方法研究[D].山東大學(xué)，2018.

[2]李波濤.基于云計(jì)算的虛擬機(jī)系統(tǒng)安全探析[J].電腦與信息技術(shù)，2018，26（04）：82-84+91.

[3]劉謙. 面向云計(jì)算的虛擬機(jī)系統(tǒng)安全研究[D].上海交通大學(xué)，2012.

[4]陸彥琦，伍華鳳，高毅. 云計(jì)算環(huán)境下虛擬機(jī)安全性分析與研究[A]. 中國(guó)造船工程學(xué)會(huì)電子技術(shù)學(xué)術(shù)委員會(huì).中國(guó)造船工程學(xué)會(huì)電子技術(shù)學(xué)術(shù)委員會(huì)2017年裝備技術(shù)發(fā)展論壇論文集[C].中國(guó)造船工程學(xué)會(huì)電子技術(shù)學(xué)術(shù)委員會(huì)：中國(guó)造船工程學(xué)會(huì)，2017：7.

（武漢晴川學(xué)院）