亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        跨域虛擬機(jī)間通信安全模型設(shè)計(jì)及通信技術(shù)研究

        2021-06-03 14:35:28計(jì)策,肖軍,呂
        科技創(chuàng)新與應(yīng)用 2021年15期
        關(guān)鍵詞:物理信息模型

        計(jì) 策,肖 軍,呂 翔

        (中國(guó)人民解放軍31401 部隊(duì)70 分隊(duì),黑龍江 哈爾濱 150096)

        在信息泄露問(wèn)題日益嚴(yán)重的背景下,如何保障虛擬機(jī)間通信安全就成為人們關(guān)注的焦點(diǎn)問(wèn)題??缬蛱摂M機(jī)雖然也能夠起到一定的安全保護(hù)效果,但是不能從源頭上解決入侵破壞帶來(lái)的信息泄露風(fēng)險(xiǎn)。本文從設(shè)計(jì)通信安全模型方面展開(kāi)研究,利用安全模型實(shí)現(xiàn)對(duì)通信環(huán)境的監(jiān)控和維護(hù),從而為虛擬機(jī)跨域通信營(yíng)造了安全環(huán)境,具有更強(qiáng)的實(shí)用性。

        1 跨域虛擬機(jī)間通信安全模型設(shè)計(jì)

        1.1 PROCESS-A

        在Xen 虛擬機(jī)中,XenStore 的主要作用是連接應(yīng)用軟件和底層硬件,保證了底層硬件能夠根據(jù)應(yīng)用軟件下達(dá)的各項(xiàng)指令作出相應(yīng)的動(dòng)作。PROCESS-A 就是基于XenStore 的這一功能,從而實(shí)時(shí)、全面地掌握物理主機(jī)上的運(yùn)行信息。特權(quán)虛擬機(jī)通過(guò)識(shí)別信息來(lái)源,將發(fā)送該信息的物理主機(jī)定義為A。同時(shí),根據(jù)控制指令,將信息發(fā)往的目標(biāo)主機(jī)定義為B。判斷A 和B 是否為同一臺(tái)物理主機(jī)。如果判定結(jié)果為“是”,說(shuō)明信息交換在物理主機(jī)內(nèi)部完成,這種情況下只需要啟用物理主機(jī)上的殺毒軟件或安全系統(tǒng)(如防火墻),即可達(dá)到保障通信安全的目的;如果判定結(jié)果為“否”,說(shuō)明信息交換在兩臺(tái)不同的物理主機(jī)之間完成,這種情況下就需要利用TEDCM 安全通信機(jī)制,保證跨域虛擬機(jī)的通信安全。

        1.2 TEDCM

        基于TEDCM 構(gòu)建的通信安全模型,主要實(shí)現(xiàn)兩種功能:其一,核實(shí)被保護(hù)信息的發(fā)出系統(tǒng)和發(fā)往系統(tǒng)是否位于同一臺(tái)物理主機(jī)。其二,經(jīng)核實(shí)信息發(fā)出與接收的兩臺(tái)虛擬機(jī),均位于相同的物理主機(jī),調(diào)用系統(tǒng)內(nèi)部的鉤子函數(shù),通過(guò)提取信息特征對(duì)其做加密保護(hù),借助于前端驅(qū)動(dòng)、后端驅(qū)動(dòng)然后完成信息傳輸;經(jīng)核實(shí)信息發(fā)出與接收的兩臺(tái)虛擬機(jī),位于不同的物理主機(jī),基于鉤子函數(shù)加密之后,借助于真實(shí)網(wǎng)卡、外置通訊裝置等,將信息傳輸?shù)搅硪慌_(tái)物理主機(jī)上的虛擬機(jī)。其流程如圖1 所示。

        圖1 基于TEDCM 的信息加密傳輸過(guò)程

        結(jié)合上述流程可以發(fā)現(xiàn),TEDCM 功能的實(shí)現(xiàn),首先要依賴于鉤子函數(shù)對(duì)于傳輸信息特征值的提取。而鉤子函數(shù)判斷并提取特征信息的關(guān)鍵,就在于PROCESS-A。根據(jù)系統(tǒng)執(zhí)行PROCESS-A 的結(jié)果,可以準(zhǔn)確判斷發(fā)出該信息的虛擬機(jī),與將要接受該信息的虛擬機(jī),是否位于相同物理主機(jī)上。如果是同一臺(tái)物理主機(jī)上的內(nèi)部通信,說(shuō)明該信息在發(fā)送前已經(jīng)被加密,此時(shí)TEDCM 要進(jìn)行解密;如果是不同物理主機(jī)上的跨域通信,為了保證信息在外部網(wǎng)絡(luò)中的傳輸安全,此時(shí)TEDCM 要進(jìn)行加密。

        1.3 安全分析

        Xen 虛擬機(jī)由兩部分組成,即特權(quán)虛擬機(jī)和非特權(quán)虛擬機(jī)。在部署安全模型時(shí),為提高響應(yīng)速度和減輕虛擬機(jī)運(yùn)行負(fù)載,需要將安全模式放在特權(quán)虛擬機(jī)上。當(dāng)位于不同物理主機(jī)上的兩臺(tái)虛擬機(jī)進(jìn)行信息交互時(shí),同時(shí)啟動(dòng)加/解密系統(tǒng)。此時(shí),虛擬機(jī)將加密后的信息,依次通過(guò)前端、后端驅(qū)動(dòng),進(jìn)入到帶有安全模型的特權(quán)虛擬機(jī)中。在接收信息后,安全模型調(diào)用鉤子函數(shù),利用該函數(shù)可以快速檢索XenStore 中存儲(chǔ)的表數(shù)據(jù)。完成一邊數(shù)據(jù)檢索后,鉤子函數(shù)作出判斷并根據(jù)判斷結(jié)果執(zhí)行相應(yīng)的動(dòng)作。若判斷結(jié)果為“否”,經(jīng)過(guò)加密后的數(shù)據(jù)可以通過(guò)通信回路,從虛擬機(jī)轉(zhuǎn)到物理主機(jī),再經(jīng)由物理主機(jī)上的網(wǎng)卡以及外部網(wǎng)絡(luò),傳輸?shù)街付ǖ牧硪慌_(tái)物理主機(jī)上。經(jīng)過(guò)虛擬化處理后,信息進(jìn)入到特權(quán)虛擬機(jī)上,XenStore 執(zhí)行解密操作,依次經(jīng)過(guò)后端、前端驅(qū)動(dòng)后,最終達(dá)到另一臺(tái)虛擬機(jī)上。

        2 跨域虛擬機(jī)間通信安全模型實(shí)現(xiàn)

        2.1 相應(yīng)的數(shù)據(jù)結(jié)構(gòu)

        2.1.1 基于特權(quán)虛擬機(jī)的安全模型

        基于TEDCM 安全通信機(jī)制的安全模型,其正常運(yùn)行與功能實(shí)現(xiàn)需要使用到netfilter 框架。安全模型啟動(dòng)之后,首先要進(jìn)行初始化設(shè)置,可以通過(guò)一個(gè)init()程序來(lái)實(shí)現(xiàn),如圖2 所示。

        圖2 netfilter 的初始化程序

        上述程序除了進(jìn)行安全模型的初始化處理外,還具有兩個(gè)判斷功能。功能之一是對(duì)所有輸入的數(shù)據(jù)包進(jìn)行判斷,目的在于識(shí)別這些數(shù)據(jù)包的來(lái)源;功能之二是對(duì)所有輸出的數(shù)據(jù)包進(jìn)行判斷,目的在于識(shí)別這些數(shù)據(jù)包的去向。其判斷依據(jù)主要是IP 地址,通過(guò)IP 是否一致最終判斷兩臺(tái)虛擬機(jī)是否部署在同一臺(tái)物理主機(jī)上。

        2.1.2 基于非特權(quán)虛擬機(jī)的安全模型

        非特權(quán)虛擬化操作系統(tǒng)發(fā)送消息抵達(dá)前端后,會(huì)進(jìn)入blkif_queue_request 函數(shù)中,對(duì)保存在數(shù)組中的數(shù)據(jù)進(jìn)行加/解密處理,根據(jù)DES 加解密的特點(diǎn),里面有一個(gè)循環(huán)條件。循環(huán)加密流程為:安全模型提取前端驅(qū)動(dòng)中的特征數(shù)據(jù),執(zhí)行判斷條件“全部數(shù)據(jù)是否執(zhí)行加/解密處理”。此時(shí)TEDCM 會(huì)對(duì)所有送達(dá)的數(shù)據(jù)進(jìn)行逐一驗(yàn)證。完成第一遍篩選后,根據(jù)驗(yàn)證結(jié)果執(zhí)行相應(yīng)的動(dòng)作。若結(jié)果判定為“是”,則循環(huán)加密程序結(jié)束;反之,若結(jié)果判定為“否”,則重新返回,進(jìn)行第二遍加/解密。完成處理后再進(jìn)行第二次驗(yàn)證,驗(yàn)證結(jié)束后進(jìn)行條件判定,重復(fù)上述步驟,直到所有數(shù)據(jù)均完成加/解密處理后,跳出循環(huán)條件,完成整個(gè)循環(huán)加/解密流程。

        2.2 模型的使用

        TEDCM 安全模型是基于Linux 環(huán)境開(kāi)發(fā)的,上文中提到的netfilter 也是Linux 系統(tǒng)中的一種通用框架。在模型的使用過(guò)程中,只需要借助于Makefile 文件,就能夠?qū)崿F(xiàn)對(duì)各類(lèi)文件夾、數(shù)據(jù)包的篩選與判斷,從而簡(jiǎn)化了安全模型在信息加密和風(fēng)險(xiǎn)識(shí)別等方面的流程,提高了該安全模型的運(yùn)行效率。尤其是對(duì)于跨域虛擬機(jī)之間的大數(shù)據(jù)流量,也能夠完全滿足安全檢測(cè)需求,對(duì)提高通信安全效果有積極幫助。另外,TEDCM 安全模型使用C 語(yǔ)言進(jìn)行編程,豐富了數(shù)據(jù)結(jié)構(gòu)、提高了設(shè)計(jì)自由度,讓TEDCM安全模型的功能更加強(qiáng)大。

        3 跨域虛擬機(jī)間通信技術(shù)研究

        3.1 信息交互操作實(shí)現(xiàn)過(guò)程

        早期的Xen 虛擬機(jī),多采用半虛擬化技術(shù),在程序運(yùn)行時(shí)需要借助于物理主機(jī)上的客戶端,雖然其性能更加優(yōu)越,但是在信息交互時(shí)也面臨著更大的風(fēng)險(xiǎn)。因此,在進(jìn)行跨域通信時(shí),半虛擬化技術(shù)已經(jīng)逐漸被淘汰。相比之下,Xen 虛擬機(jī)的完全虛擬化運(yùn)行方式,則可以將所有程序,甚至包括客戶端都包含在虛擬機(jī)以內(nèi),保證了運(yùn)行環(huán)境的安全。基于完全虛擬化環(huán)境的信息交互操作,需要考慮的問(wèn)題有:(1)信息借助于何種路徑完成通信?(2)該通訊路徑的安全環(huán)境如何,以及可能存在何種安全風(fēng)險(xiǎn)?(3)在明確風(fēng)險(xiǎn)的基礎(chǔ)上,應(yīng)制定何種策略來(lái)保障通信安全?

        3.1.1 基于一臺(tái)物理主機(jī)的操作

        理論上來(lái)說(shuō),一臺(tái)物理主機(jī)盡可能少部署虛擬化操作系統(tǒng),可以降低不同系統(tǒng)之間在信息交互時(shí)發(fā)生串?dāng)_的概率。但是在實(shí)際工作中,出于成本、功能等方面的考慮,每臺(tái)物理主機(jī)上可能同時(shí)運(yùn)行了若干虛擬化操作系統(tǒng)。這種情況下,就對(duì)Xen 虛擬機(jī)的可操作性和協(xié)調(diào)能力提出了極高的要求。為了實(shí)現(xiàn)這一功能,在特權(quán)虛擬機(jī)中只保留了后端驅(qū)動(dòng),而將前端驅(qū)動(dòng)分別置于不同的客戶虛擬機(jī)中。不同虛擬機(jī)之間的通信路徑如圖3 所示。

        圖3 位于同一物理主機(jī)上的客戶虛擬機(jī),分別設(shè)有一個(gè)前端驅(qū)動(dòng)。并且利用通用接口,與特權(quán)服務(wù)器上的后端驅(qū)動(dòng)相連接。具體的流程為:客戶端虛擬機(jī)上的任何一項(xiàng)指令(包括信息的輸出與輸入指令),首先到達(dá)本機(jī)的前端驅(qū)動(dòng)上。但是在虛擬化操作系統(tǒng)中,該指令無(wú)法直接傳達(dá)到底層的設(shè)備。這種情況下,就需要通過(guò)跨域通信的方式,讓前端驅(qū)動(dòng)中的信息傳遞到位于特權(quán)虛擬機(jī)上的后端驅(qū)動(dòng)。然后從特權(quán)虛擬機(jī)上,實(shí)現(xiàn)控制信息與底層設(shè)備的連接,實(shí)現(xiàn)程序響應(yīng)或控制設(shè)備動(dòng)作。

        圖3 同一臺(tái)物理主機(jī)上不同虛擬機(jī)之間的通信路徑

        3.1.2 基于不同兩臺(tái)物理主機(jī)的操作

        隨著云技術(shù)的發(fā)展,各類(lèi)云平臺(tái)的出現(xiàn)為虛擬機(jī)的跨域通信帶來(lái)了更多的方便。目前,云存儲(chǔ)因?yàn)榫哂腥萘可舷薷?、安全性能更好等諸多優(yōu)勢(shì),已經(jīng)逐漸取代了傳統(tǒng)的物理服務(wù)器,成為一種主流選擇。將虛擬化操作系統(tǒng)置于兩臺(tái)云服務(wù)器中,開(kāi)展信息交互的路徑如圖4 所示。

        結(jié)合圖4 可知,客戶虛擬機(jī)發(fā)布指令或消息以后,首先到達(dá)本機(jī)的前端驅(qū)動(dòng)上。然后借助于通用接口,準(zhǔn)備向特權(quán)虛擬機(jī)的后端驅(qū)動(dòng)傳輸。在傳輸過(guò)程中,Xen 虛擬機(jī)的監(jiān)視程序(VMM)啟動(dòng),并且對(duì)數(shù)據(jù)包進(jìn)行檢測(cè)和過(guò)濾,確保該信息的安全性。通過(guò)檢測(cè)之后,數(shù)據(jù)包到的后端驅(qū)動(dòng),并經(jīng)過(guò)特短虛擬機(jī)最終傳輸?shù)轿锢碇鳈C(jī)上的網(wǎng)卡中。

        圖4 兩臺(tái)云服務(wù)器間的虛擬通信路徑

        3.2 風(fēng)險(xiǎn)分析

        在風(fēng)險(xiǎn)分析時(shí),需要重點(diǎn)關(guān)注的內(nèi)容有:其一,選擇實(shí)力較強(qiáng)、信譽(yù)良好的虛擬化供應(yīng)商,有助于保證虛擬機(jī)間通信環(huán)境的安全性;其二,加強(qiáng)對(duì)信息交互過(guò)程的實(shí)時(shí)監(jiān)控,避免跨域通信過(guò)程中出現(xiàn)信息泄露或攔截等風(fēng)險(xiǎn)。在信息傳輸前進(jìn)行加密,在信息接收后再進(jìn)行解密,同時(shí)還要加強(qiáng)對(duì)傳輸媒介的監(jiān)管,才能讓整個(gè)通信流程更加安全,避免涉密信息的丟失、泄露,確保通信安全。

        4 結(jié)束語(yǔ)

        大數(shù)據(jù)時(shí)代的網(wǎng)絡(luò)通信需求激增,用虛擬機(jī)代替物理主機(jī),除了降本增效外,還可以為用戶提供更加便捷的操作和更加豐富的功能,因此得到了推廣使用。隨著虛擬機(jī)應(yīng)用越來(lái)越廣泛,隨之而來(lái)的跨域通信也成為常態(tài),保障跨域通信的信息安全,成為當(dāng)下研究的熱門(mén)課題。通過(guò)設(shè)計(jì)基于TEDCM 的安全模型,以及加強(qiáng)虛擬通信路徑安全管理等綜合措施,營(yíng)造出安全水平較高的跨域通信環(huán)境,進(jìn)而支持虛擬機(jī)功能的更好發(fā)揮。

        猜你喜歡
        物理信息模型
        一半模型
        只因是物理
        井岡教育(2022年2期)2022-10-14 03:11:44
        重要模型『一線三等角』
        重尾非線性自回歸模型自加權(quán)M-估計(jì)的漸近分布
        處處留心皆物理
        訂閱信息
        中華手工(2017年2期)2017-06-06 23:00:31
        三腳插頭上的物理知識(shí)
        3D打印中的模型分割與打包
        我不是教物理的
        中學(xué)生(2015年2期)2015-03-01 03:43:33
        展會(huì)信息
        一本色道无码道dvd在线观看| 亚洲人妻精品一区二区三区| 国产亚洲成人精品久久久| 国模精品一区二区三区| 国产熟女高潮视频| 9丨精品国产高清自在线看| 全国一区二区三区女厕偷拍| 欧美人与动性xxxxx杂性| 精品人妻潮喷久久久又裸又黄| 97精品国产高清自在线看超 | 日韩五码一区二区三区地址| 午夜精品久久久久久久无码| √天堂中文官网8在线| 亚洲日本无码一区二区在线观看| 蜜臀av一区二区三区| 97色偷偷色噜噜狠狠爱网站 | 日韩成人无码v清免费| 日本97色视频日本熟妇视频| 亚洲一区二区三区小说| 自拍偷自拍亚洲精品第按摩| 曰韩亚洲av人人夜夜澡人人爽| 欧美一级三级在线观看| 国产内射视频在线观看| 漂亮人妻被强了完整版| 久久丫精品国产亚洲av不卡| 亚洲—本道中文字幕久久66| 青青草视频原手机在线观看| 人妻少妇精品专区性色anvn| 国产精品毛片一区二区| 在线观看av手机网址| 美女被躁到高潮嗷嗷免费观看 | 中国丰满熟妇xxxx性| 免费无码又爽又刺激高潮的视频网站 | 中文字幕日韩精品亚洲精品| 国产av熟女一区二区三区| 97精品依人久久久大香线蕉97| 特级毛片全部免费播放a一级 | 在线视频观看国产色网| 国产日韩精品中文字无码| 国产精品无码久久久久久蜜臀AV| 在线免费观看蜜桃视频|