《虚拟机隔离运行模型》由会员分享,可在线阅读,更多相关《虚拟机隔离运行模型(96页珍藏版)》请在金锄头文库上搜索。
1、第三章 隔离运行模型本章提出了一种新的基于虚拟机技术的隔离运行模型SVEE,该模型满足满足操作系统隔离、应用透明、计算环境重现、隔离程序执行效果跟踪与操作系统信息重构等五个应用约束,平衡了安全隔离性、功能完整性、性能适应性和行为可监控性。同时,本章给出了该模型的形式化安全性分析和度量,通过理论分析阐明了 SVEE 能够满足 Bell-LaPadula 机密性模型和 Biba 完整性模型。并进一步论证了在此模型下,被保护的宿主环境的容侵能力也将得到有效提升。基于此模型,本章构造出以本地虚拟化技术为核心的满足 SVEE 隔离运行模型的体系结构,该体系结构独立于操作系统实现,具有很好的可移植性。通过
2、对现有虚拟机模型的详细分析,指出 Type II 虚拟机模型能够最有效地在个人计算平台下支持这五个约束条件。本章工作是后继章节所做工作的理论基础。3.1 隔离运行模型对于隔离运行非非可信软件的的运行环境而而言,为了实实现操作系统统与应用程序序透明的目标标,同时能够够重现已有的的软件运行环环境并支持操操作系统语义义信息的重构构,即在保证证安全隔离性性的前提下提提升隔离运行行环境的功能能完整性、性性能适应性与与行为可监控控性,该环境境必须满足以以下约束条件件。l 约束 1:操作作系统隔离:非可信软件件必须运行在在一个与宿主主操作系统隔隔离的虚拟计计算机系统中中,这是抵御御特权恶意代代码攻击、确确保
3、安全隔离离性的必要条条件。l 约束 2:应用用程序与操作作系统透明:现有操作系系统、应用程程序和将被隔隔离的非可信信软件均不需需作任何修改改即可直接布布署该隔离机机制,这一点点在个人计算算平台下尤其其重要。此约约束包含四个个子约束: 约束 2A:无无需修改现有有操作系统与与应用程序及及其将被隔离离的非可信软软件的源代码码,因为通常常个人计算平平台上流行的的应用程序与与操作系统(如如 Winddows)都都未开放源代代码。 约束 2B:不不能限制非可可信软件在隔隔离运行环境境内访问的资资源与执行的的特权操作,这这是保证隔离离运行环境的的功能完整性性的必要条件件。 约束 2C:尽尽可能地将隔隔离机
4、制对可可信代码运行行环境造成的的性能影响最最小化,即在在确保安全隔隔离性的同时时兼顾系统的的可用性。 约束 2D:无无需重新安装装现有操作系系统。个人用用户中绝大部部分不是计算算机专业技术术人员,所以以个人计算平平台上往往都都预装有操作作系统,所以以在布署隔离离运行技术时时必须保证能能够继续使用用原有操作系系统。l 约束 3:可配配置的计算环环境重现:由由于非可信软软件的正常执执行与执行效效果通常依赖赖于计算环境境,尤其是文文件系统内容容与操作系统统配置等,所所以在隔离运运行环境内重重现宿主操作作系统的计算算环境既是保保证隔离运行行环境的功能能完整性的要要求,也是减减少布署开销销的必要条件件。
5、本约束可可细化为: 约束 3A:计计算环境的重重现不应通过过复制整个计计算机的软硬硬件系统的来来实现,这样样的布署开销销通常不能被被个人用户接接受。 约束 3B:为为了提高系统统机密性,被被导出到隔离离运行环境中中的宿主计算算环境资源应应该是可配置置的,被隔离离软件只能访访问这些资源源,涉及敏感感信息的数据据不应在隔离离运行环境中中重现。这是是确保安全隔隔离性的必要要条件。 约束 3C:尽尽可能地使隔隔离运行环境境的性能接近近宿主环境,这这是提升性能能适应性的要要求。l 约束 4:隔离离程序执行效效果的跟踪:隔离运行环环境必须能够够跟踪和记录录被隔离软件件对数据的修修改操作,从从而为分析程程序
6、行为与提提交相应程序序的执行效果果到宿主环境境提供依据,这这也是提高系系统可用性与与隔离运行环环境的行为可可监控性的关关键。l 约束 5:支持持操作系统语语义信息重构构:这里的语语义信息是指指操作系统抽抽象层的资源源的信息,如如进程、线程程、文件、用用户等。用户户或相关工具具程序只有借借助隔离运行行环境的这些些信息才能精精确分析隔离离运行环境内内应用程序和和操作系统的的行为,进而而提升隔离运运行环境的行行为可监控性性。(a) 基于 Type I VMMM 的 Naative 隔离运行模模型 (b)基于 Tyype III VMM 的 Hossted 隔隔离运行模型型图 3.1 SSVEE 的的
7、基于不同 VMM 的的两种可选隔隔离运行模型型为了满足约束 1,SVEEE 必须利利用虚拟机监监视器(Viirtuall Machhine MMonitoor,VMMM)来创建非非可信软件的的运行容器虚拟机。只只有这种基于于硬件抽象层层的虚拟机技技术才能实现现操作系统的的隔离。按照照 Golddberg 的定义,VVMM 是能能够为计算机机系统创建高高效、隔离的的副本的软件件。这些副本本即为虚拟机机(Virttual MMachinne,VM),在在虚拟机内处处理器指令集集的一个子集集能够直接在在物理处理器器上执行。GGoldbeerg 定义义了两种 VVMM:Tyype I VMM 和和Ty
8、pe II VMMM。Typpe I VVMM 直接接运行在计算算机硬件系统统上,负责调调度和分配系系统硬件资源源,可以将其其理解为一个个实现了虚拟拟化机制的操操作系统。而而 Typee II VVMM则以一一个应用程序序的形式运行行在已有的传传统操作系统统之上,而这这个实际控制制系统资源的的操作系统被被称为宿主操操作系统(HHost OOS),运行行在 Typpe II 虚拟机中的的操作系统则则被称为客户户操作系统(GGuest OS)。基基于这两种不不同的虚拟机机监视器,SSVEE就有有了相应的两两种隔离运行行模型(如图图 3.1 所示):基基于 Typpe I VVMM 的 Nativv
9、e隔离运行行模型和基于于 Typee II VVMM 的 Hosteed 隔离运运行模型。对于约束 2AA,作为硬件件抽象层的虚虚拟机,Naative 隔离运行模模型中的 TType IIVMM 与与 Hostted 隔离离运行模型中中的 Typpe II VMM 均均无需修改已已有应用程序序和将被隔离离的非可信软软件的源代码码。Typee II VVMM 的实实现不需要修修改宿主操作作系统,而 Type I VMMM 是否需要要修改操作系系统则依赖于于其实现技术术,如基于动动态指令转换换技术则无需需修改(如 VMwarre ESXX Servver),基基于半虚拟化化技术(Paara-Vii
10、rtuallizatiion)且没没有硬件虚拟拟化技术的支支持则需要修修改运行在 VMM 之之上的操作系系统源代码(如如 Xen)。由于 Typee I VMMM 与 TType III VMMM 这两种虚虚拟机技术均均对上层应用用提供了完整整的虚拟化计计算机硬件平平台,VMMM 之上运行行的软件(操操作系统)就就像在真实的的物理计算机机系统上运行行一样,无需需限制代码访访问的资源与与执行的特权权操作,因此此这两种隔离离运行模型均均能满足约束束 2B。约束 2C 强强调的是保证证可信代码运运行环境的性性能。如图 3.1 (a)所示,在在 Natiive隔离运运行模型中,所所有操作系统统都运行于
11、虚虚拟机之上,所所以不可避免免地导致可信信代码运行环环境性能的下下降。而基于于 Typee II VVMM 的 Hosteed 隔离运运行模型的可可信代码运行行环境即为传传统的操作系系统,高效地地直接运行于于硬件系统之之上。因此,在在尽可能减少少影响可信代代码运行性能能这一点上,基基于 Typpe II VMM 的的 Hostted 隔离离运行模型优优于 Nattive 隔隔离运行模型型。而对于约束 22D,在 NNativee 隔离运行行模型中,需需要用 VMMM 替换原原有的操作系系统,这往往往对于个人用用户来说是无无法接受的,而而即使用户接接受,要替换换现在所有的的个人计算平平台上的操作
12、作系统也是一一个非常漫长长的过程。与与此相反,HHostedd 隔离运行行模型则可以以与已有操作作系统共存。约束 3C 关关注的是隔离离运行环境的的性能可适应应性。与 TType II VMM 相比,Tyype III 虚拟机中中的虚拟 II/O 设备备性能不及 Type I 虚拟机机。但是随着着硬件虚拟化化技术的普及及、应用与提提高,以及各各种虚拟 II/O 设备备优化技术研研究的不断发发展,这种性性能差距将逐逐渐缩小。约束 3(3AA 和 3BB)、约束 4 和约束束 5 均与与具体的虚拟拟机监视器模模型无关,而而对于这三个个约束,Naative 隔离运行模模型和 Hoosted 隔离运行
13、模模型均需要添添加额外的机机制才能支持持,这也是 3.2 节节(SVEEE 体系结构构)需要解决决的问题。此外,从软件开开发的角度来来看,Nattive 隔隔离运行模型型中的 Tyype I VMM 实实际上是将传传统操作系统统的硬件资源源管理功能下下移到 VMMM 中。但但在个人计算算平台下这种种机制有一个个明显的不足足:个人计算算平台上硬件件设备的多样样化将会极大大地增加Tyype I VMM 开开发的复杂性性。个人计算算平台开放的的体系结构导导致计算机系系统有类型繁繁多的硬件设设备,而直接接运行在硬件件系统之上 Type I VMMM 则需要管管理这些设备备,因此为它它们编写相应应的驱动
14、程序序将是工程浩浩大的工作。与与此不同,TType III VMMM 可以直接接利用操作系系统提供的设设备抽象接口口,极大简化化 VMM 的开发,从从而可以有效效提高 VMMM 的稳定定性。综上所述,除了了约束 2CC 和约束 2D,这两两种隔离运行行模型均能够够满足其他约约束。但是,由由于 SVEEE 主要针针对的是个人人计算平台,而而 Hostted 隔离离运行模型在在个人计算平平台下具有显显著优势,因因此 SVEEE 采用了了基于 Tyype III VMM 的 Hossted 隔隔离运行模型型。在这种模模型下,SVVEE VMMM 以 TType III VMMM 的形式运运行在宿主操
15、操作系统之上上,并负责创创建本地化启启动的 SVVEE 虚拟拟机作为执行行非可信软件件的运行环境境。运行在本本地化启动的的 SVEEE 虚拟机之之上的客户操操作系统是宿宿主操作系统统的一个副本本,因此非可可信软件在宿宿主操作系统统上的行为得得以精确重现现,同时将其其执行效果同同宿主运行环环境彻底隔离离。3.2 系统体体系结构为了满足前文中中描述的五个个约束,SVVEE 引入入了本地虚拟拟化技术(LLocal Virtuualizaation Technnologyy)以实现可可配置的计算算环境重现。SVEE 基于于 Typee II VVMM 的 Hosteed 体系结结构如图 33.2 所示
16、示,SVEEE 由五个核核心组件构成成:SVEEE 虚拟机监监视器(SVVEE VMMM)、基于于卷快照(VVolumee Snappshot)的的虚拟机简单单磁盘(Viirtuall Simpple Diisk)、操操作系统动态态迁移管理器器(OS DDynamiic Miggratioon Mannager)、修修改跟踪管理理器(Chaange TTrackiing Maanagerr)和隐式操操作系统信息息重构组件(IImpliccit OSS Infoormatiion Reeconsttructoor)。如 SVEE 隔离运行模模型所述,SSVEE VVMM 需要要以 Typpe II VMM 的的形式实现,即即在宿主操作作系统之上运运行。SVEEE VMMM 负责创建建非可信软件件的隔离运行行环境SVVEE 虚拟拟机(
