云計算虛擬機防護系統(tǒng)設(shè)計與實現(xiàn).pdf

1、云計算基礎(chǔ)設(shè)施服務(wù)(IAAS)是基于虛擬化技術(shù)而生的一門新興的產(chǎn)業(yè),通過互聯(lián)網(wǎng)的方式向用戶提供完善的云操作系統(tǒng)、存儲和虛擬網(wǎng)絡(luò)等IT資源。虛擬化技術(shù)是云計算基礎(chǔ)設(shè)施服務(wù)的核心內(nèi)容,在方便用戶訪問的資源的同時,也帶來了潛在的安全風險。本文正是針對這一現(xiàn)狀,對云計算中虛擬網(wǎng)絡(luò)防護和虛擬機防護兩個方面進行了研究與設(shè)計。
　　虛擬交換機網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)的核心,它所帶來的問題是虛擬網(wǎng)絡(luò)的安全邊界不清晰,傳統(tǒng)的交換機、防火墻等設(shè)備無法監(jiān)測和控制

2、虛擬機間的數(shù)據(jù)流。為此,本文從三個方面對虛擬網(wǎng)絡(luò)安全策略進行了研究:安全域劃分。通過基于 vlan的網(wǎng)絡(luò)隔離技術(shù)來對虛擬網(wǎng)絡(luò)進行劃分,保證不同的安全域內(nèi)虛擬機通信數(shù)據(jù)的保密性和獨立性;虛擬機準入控制。在不能保證虛擬機安全的情況下,將不符合安全策略要求和可疑的虛擬機放入隔離環(huán)境中,限制或者禁止其訪問網(wǎng)絡(luò),將虛擬機的安全狀態(tài)信息與網(wǎng)絡(luò)準入控制結(jié)合,來加強虛擬網(wǎng)絡(luò)環(huán)境下安全性;域間訪問控制。通過對安全域間通信實施不同粒度的訪問控制和加密策略,

3、防止有惡意的虛擬機監(jiān)控虛擬網(wǎng)絡(luò)數(shù)據(jù),保護用戶通信的安全性。在對虛擬機網(wǎng)絡(luò)安全策略研究基礎(chǔ)上,基于虛擬端口的安全規(guī)則組和基于虛擬路由的虛擬防火墻技術(shù),給出了一個虛擬網(wǎng)絡(luò)防護框架,并在虛擬網(wǎng)絡(luò)環(huán)境將其實現(xiàn)。
　　虛擬機系統(tǒng)的安全是虛擬化安全的核心內(nèi)容,目前在虛擬機間訪問控制的研究僅僅能夠?qū)μ摂M機之間是否能進行通信進行控制,并不能對虛擬機之間能夠進行何種通信做更為細粒度的訪問控制。為此,本文從強制訪問控制入手,首先研究了BLP模型的一系