| 虚拟化环境下Flask体系结构安全增强技术研究 | |
| 姚福峰 | |
| 专业 | 计算机技术 |
| 导师 | 淮晓永 |
| 2012-06 | |
| 学位授予单位 | 中国科学院研究生院 |
| 学位 | 硕士 |
| 学位授予地点 | 北京 |
| 关键词 | Flask安全体系结构 安全 虚拟化 Xen |
| 其他摘要 | Flask安全体系结构是一个强制访问控制的通用框架,被广泛地应用在操作系统中以支持弹性的安全策略。Flask主要由客体管理器和安全服务器组成,安全服务器负责策略制定,客体管理器负责策略执行。许多安全监视工具都是以Flask作为基础架构实现的,例如SELinux,AppArmor等。 内核级的rootkits攻击能够使安全监视工具无效化。以SELinux为例,rootkit能够对SELinux安全服务器中的策略数据库进行篡改使SELinux失去保护效果。因此,研究Flask的安全增强技术对提高基于Flask架构的监视工具的安全性具有重要的意义。 随着虚拟化技术的不断发展,虚拟化在安全研究方面的优势逐渐显现。虚拟机监视器(Hypervisor)能够获得比Guest OS更高的权限,使得内核级的rootkits无法对其造成破坏,同时又可以更全面的监控系统。此外,现代处理器针对虚拟化进行了大量的改进,利用这些改进可以简化实现,降低对系统性能的影响。 本文的主要贡献就是利用硬件辅助的虚拟机内部安全监视机制提高Flask体系结构的安全性。主要包括如下三个方面的研究内容: (1)对SIM机制进行了充分的调研。SIM即Secure In-VM Monitoring,它通过创建受Hypervisor保护的地址空间来对系统的安全监视工具进行隔离,使得内核级的rootkits无法对其造成破坏。 (2)设计了基于SIM的Flask安全增强框架。我们将Flask中的安全服务器组件放到了虚拟机监视器中,并利用硬件虚拟化技术为其在Hypervisor层构造独立的地址空间,客体管理器以受控的方式和安全服务器进行通信,使得安全服务器可以在一个可信的、不受Guest OS干扰的、强隔离的环境中运行。 (3)实现了一个原型系统。我们以SELinux为例利用Intel VT技术实现了该框架,并从系统开销和安全增强效果两个方面对原型系统进行了评估。结果显示,我们的安全增强框架可以有效阻止对安全服务器的非法访问,并且大部分情况下性能开销在20%以内。 |
| 语种 | 中文 |
| 内容类型 | 学位论文 |
| URI标识 | http://ir.iscas.ac.cn/handle/311060/14537 |
| 专题 | 基础软件国家工程研究中心 |
| 推荐引用方式 GB/T 7714 | 姚福峰. 虚拟化环境下Flask体系结构安全增强技术研究[D]. 北京. 中国科学院研究生院,2012. |
| 条目包含的文件 | ||||||
| 文件名称/大小 | 文献类型 | 版本类型 | 开放类型 | 使用许可 | ||
| 毕业论文_姚福峰v2.4.4.2.pdf(1057KB) | 开放获取 | 使用许可 | 请求全文 | |||
| 个性服务 |
| 推荐该条目 |
| 保存到收藏夹 |
| 查看访问统计 |
| 导出为Endnote文件 |
| 谷歌学术 |
| 谷歌学术中相似的文章 |
| [姚福峰]的文章 |
| 百度学术 |
| 百度学术中相似的文章 |
| [姚福峰]的文章 |
| 必应学术 |
| 必应学术中相似的文章 |
| [姚福峰]的文章 |
| 相关权益政策 |
| 暂无数据 |
| 收藏/分享 |
除非特别说明,本系统中所有内容都受版权保护,并保留所有权利。
修改评论