云計(jì)算虛擬機(jī)防護(hù)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、云計(jì)算基礎(chǔ)設(shè)施服務(wù)(IAAS)是基于虛擬化技術(shù)而生的一門新興的產(chǎn)業(yè),通過(guò)互聯(lián)網(wǎng)的方式向用戶提供完善的云操作系統(tǒng)、存儲(chǔ)和虛擬網(wǎng)絡(luò)等IT資源。虛擬化技術(shù)是云計(jì)算基礎(chǔ)設(shè)施服務(wù)的核心內(nèi)容,在方便用戶訪問(wèn)的資源的同時(shí),也帶來(lái)了潛在的安全風(fēng)險(xiǎn)。本文正是針對(duì)這一現(xiàn)狀,對(duì)云計(jì)算中虛擬網(wǎng)絡(luò)防護(hù)和虛擬機(jī)防護(hù)兩個(gè)方面進(jìn)行了研究與設(shè)計(jì)。
　　虛擬交換機(jī)網(wǎng)絡(luò)是虛擬網(wǎng)絡(luò)的核心,它所帶來(lái)的問(wèn)題是虛擬網(wǎng)絡(luò)的安全邊界不清晰,傳統(tǒng)的交換機(jī)、防火墻等設(shè)備無(wú)法監(jiān)測(cè)和控制

2、虛擬機(jī)間的數(shù)據(jù)流。為此,本文從三個(gè)方面對(duì)虛擬網(wǎng)絡(luò)安全策略進(jìn)行了研究:安全域劃分。通過(guò)基于 vlan的網(wǎng)絡(luò)隔離技術(shù)來(lái)對(duì)虛擬網(wǎng)絡(luò)進(jìn)行劃分,保證不同的安全域內(nèi)虛擬機(jī)通信數(shù)據(jù)的保密性和獨(dú)立性;虛擬機(jī)準(zhǔn)入控制。在不能保證虛擬機(jī)安全的情況下,將不符合安全策略要求和可疑的虛擬機(jī)放入隔離環(huán)境中,限制或者禁止其訪問(wèn)網(wǎng)絡(luò),將虛擬機(jī)的安全狀態(tài)信息與網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合,來(lái)加強(qiáng)虛擬網(wǎng)絡(luò)環(huán)境下安全性;域間訪問(wèn)控制。通過(guò)對(duì)安全域間通信實(shí)施不同粒度的訪問(wèn)控制和加密策略,

3、防止有惡意的虛擬機(jī)監(jiān)控虛擬網(wǎng)絡(luò)數(shù)據(jù),保護(hù)用戶通信的安全性。在對(duì)虛擬機(jī)網(wǎng)絡(luò)安全策略研究基礎(chǔ)上,基于虛擬端口的安全規(guī)則組和基于虛擬路由的虛擬防火墻技術(shù),給出了一個(gè)虛擬網(wǎng)絡(luò)防護(hù)框架,并在虛擬網(wǎng)絡(luò)環(huán)境將其實(shí)現(xiàn)。
　　虛擬機(jī)系統(tǒng)的安全是虛擬化安全的核心內(nèi)容,目前在虛擬機(jī)間訪問(wèn)控制的研究?jī)H僅能夠?qū)μ摂M機(jī)之間是否能進(jìn)行通信進(jìn)行控制,并不能對(duì)虛擬機(jī)之間能夠進(jìn)行何種通信做更為細(xì)粒度的訪問(wèn)控制。為此,本文從強(qiáng)制訪問(wèn)控制入手,首先研究了BLP模型的一系