【免费】KVM虚拟化动态迁移技术的安全防护模型1资源-CSDN文库

需积分: 0 15 浏览量 2022-08-03 14:28:46 上传评论收藏 354KB PDF 举报

【KVM虚拟化动态迁移技术的安全防护模型】虚拟化技术是现代数据中心的核心组成部分，它允许多个操作系统在同一硬件上并发运行，极大地提高了资源利用率和灵活性。KVM（Kernel-based Virtual Machine）是Linux内核中的一个模块，它为Linux系统提供了全虚拟化的解决方案。KVM虚拟化支持虚拟机的动态迁移，即在不中断服务的情况下，将正在运行的虚拟机从一个物理宿主机迁移到另一个物理宿主机。这种技术对于实现负载均衡、故障恢复和资源优化至关重要。然而，虚拟机动态迁移过程中存在安全风险。在迁移过程中，虚拟机的状态，包括内存内容、用户数据等，必须通过网络传输到新的宿主机。这种传输过程可能会暴露敏感信息，如用户数据、密码、加密密钥等，给攻击者带来可乘之机。此外，迁移过程中可能出现的内存泄漏也可能导致数据泄露。针对这些问题，文章提出了一个基于混合随机变换编码的安全防护模型。该模型主要包含两个关键组件：数据监控模块和安全模块。数据监控模块负责在迁移开始前对虚拟机内存进行检查，识别并处理可能存在的内存泄漏问题。而安全模块则在迁移过程中对数据进行加密，采用混合随机变换编码方法，确保即使数据在网络中被截取，也无法被轻易解密。混合随机变换编码是一种结合多种加密算法的策略，它提高了破解的难度，增强了数据的安全性。在迁出端，虚拟机内存数据经过编码加密后发送；在迁入端，接收的数据由安全模块解码解密，然后恢复到虚拟机的内存中。这种设计确保了在迁移过程中数据的完整性，降低了数据被篡改或窃取的风险。为了验证模型的有效性，研究人员进行了大量的实验和仿真测试，结果表明该安全防护模型能够在保持虚拟机正常运行性能的同时，有效保护虚拟机动态迁移过程中的数据安全，实现了安全性和迁移性能之间的平衡。总结来说，KVM虚拟化动态迁移技术的安全防护模型是针对虚拟机迁移过程中的安全问题提出的一种解决方案。通过数据监控和混合随机变换编码，该模型可以降低迁移过程中的安全风险，确保虚拟机在迁移期间的数据安全，这对于云计算环境和企业数据中心的稳定运行具有重要意义。未来的研究可能会进一步优化这种模型，提高加密效率，减少对虚拟机性能的影响，同时增强安全防护能力。

资源详情

资源评论

资源推荐

软件学报 ISSN 1000-9825, CODEN RUXUEW E-mail: jos@iscas.ac.cn

Journal of Software,2016,27(6):14021416 [doi: 10.13328/j.cnki.jos.005009] http://www.jos.org.cn

KVM 虚拟化动态迁移技术的安全防护模型





范

伟

1,2

孔

斌

3,4

张珠君

王婷婷

1,2

张

杰

1,2

黄伟庆

1,4

(中国科学院信息工程研究所,北京 100093)

(中国科学院研究生院,北京 100049)

(国家保密科技测评中心,北京 100044)

(北京交通大学,北京 100044)

通信作者: 张珠君, E-mail: zhangzhujun@iie.ac.cn

摘要: 虚拟机动态迁移技术是在用户不知情的情况下使得虚拟机在不同宿主机之间动态地转移,保证计算任务

的完成,具有负载均衡、解除硬件依赖、高效利用资源等优点,但此技术应用过程中会将虚拟机信息和用户信息暴

露在网络通信中,其在虚拟化环境下的安全性成为广大用户担心的问题,逐渐成为学术界讨论和研究的热点问题.从

研究虚拟化机制、虚拟化操作系统源代码出发,以虚拟机动态迁移的安全问题作为突破点,首先分析了虚拟机动态

迁移时的内存泄漏安全隐患;其次结合 KVM(kernel-based virtual machine)虚拟化技术原理、通信机制、迁移机制,

设计并提出一种基于混合随机变换编码方式的安全防护模型,该模型在虚拟机动态迁移时的迁出端和迁入端增加

数据监控模块和安全模块,保证虚拟机动态迁移时的数据安全;最后通过大量实验,仿真测试了该模型的安全防护能

力和对虚拟机运行性能的影响.仿真结果表明,该安全防护模型可以在 KVM 虚拟化环境下保证虚拟机动态迁移的

安全,并实现了虚拟机安全性和动态迁移性能的平衡.

关键词: KVM 虚拟化;动态迁移;安全防护模型;混合随机变换

中图法分类号: TP309

中文引用格式: 范伟,孔斌,张珠君,王婷婷,张杰,黄伟庆.KVM 虚拟化动态迁移技术的安全防护模型.软件学报,2016,27(6):

14021416. http://www.jos.org.cn/1000-9825/5009.htm

英文引用格式: Fan W, Kong B, Zhang ZJ, Wang TT, Zhang J, Huang WQ. Security protection model on live migration for KVM

virtualization. Ruan Jian Xue Bao/Journal of Software, 2016,27(6):14021416 (in Chinese). http://www.jos.org.cn/1000-9825/

5009.htm

Security Protection Model on Live Migration for KVM Virtualization

FAN Wei

1,2

, KONG Bin

3,4

, ZHANG Zhu-Jun

, WANG Ting-Ting

1,2

, ZHANG Jie

1,2

, HUANG Wei-Qing

1,4

(Institute of Information Engineering, The Chinese Academy of Sciences, Beijing 100093, China)

(Graduate University, The Chinese Academy of Sciences, Beijing 100049, China)

(National Secrecy Science and Technology Evaluation Center, Beijing 100044, China)

(Beijing Jiaotong University, Beijing 100044, China)

Abstract: Live migration of virtual machines is the transfer of running virtual machines from one host server to a new host server to

ensure computing tasks completed without notifying the owners of virtual machines, which has many beneficial characteristics such as

load balancing, hardware independent, and high efficiency utilization of resource. However, live migration of virtual machines exposes

information of virtual machines and their users to the network, making its security in the virtualized environment a serious problem that

 基金项目: 国家自然科学基金(61502486)

Foundation item: National Natural Science Foundation of China (61502486)

收稿时间: 2015-08-15; 修改时间: 2015-10-09; 采用时间: 2015-12-05; jos 在线出版时间: 2016-01-21

CNKI 网络优先出版: 2016-01-22 11:20:10, http://www.cnki.net/kcms/detail/11.2560.TP.20160122.1120.019.html

范伟等:KVM 虚拟化动态迁移技术的安全防护模型

1403

concerns many users becomes a hot issue in the industry and academia. This article focuses on researching the mechanism of

virtualization and the source code of virtualization operating system, and explores breakthrough in security problems of live migration.

Firstly the article analyzes potential memory-leak security threat of live migration. Then it designs and puts forward a new security

protection model based on hybrid random transform coding method. Combined with KVM (kernel-based virtual machine) virtualization

structure, communication mechanism and migration mechanism, the model adds monitor module and security module at source and

destination of live migration, ensuring the data security while the virtual machines are migrating. Finally, a series of experiments are

designed to simulate and test the security protection capability of the model and its impact to virtual machine’s performance. The

simulation results show that the proposed model can ensure the security of live migration in the KVM virtualization environment, as well

as balance the security of virtual machines and performance of live migration.

Key words: KVM virtualization; live migration; security protection model; hybrid random transformation

虚拟化技术是实现云计算为用户提供灵活增减 IT 资源、按需付费等特色服务的基础核心,在虚拟化环境

下,云计算才成为可能,所以虚拟化技术无疑成为了研究热点.虚拟化架构主要由宿主机、虚拟化层和虚拟机组

成,虚拟机动态迁移技术是在保持虚拟机为用户提供持续服务的状态下,从一个虚拟平台宿主机迁移到另一个

虚拟平台宿主机中,为资源的整合和动态调度带来了巨大便利,虚拟平台厂商都各自提出了自主的动态迁移技

术,目前流行的 KVM 虚拟化技术是基于硬件虚拟化的 Linux 全虚拟化解决方案,发展迅速,迁移技术日趋完善,

但忽略了对安全问题的重视,存在一些安全威胁.

Oberheide

[1]

在 2008 年就从 3 个方面对虚拟机动态迁移的安全性进行了实验与分析,分别是 VMM(virtual

machine monitor,虚拟机监控器,等同于 Hypervisor,是虚拟化操作系统的核心)控制层、数据层和迁移模块层.在

VMM 控制层,由 VMM 实施启动及管理在线迁移,所以它的通信机制必须经过验证并抗篡改,黑客可能会通过

VMM 控制层来影响在线虚拟机迁移,进而控制客户虚拟机.在数据层,虚拟机的内存信息必须得到保护,防止被

嗅探和篡改.在迁移模块层,如果黑客根据迁移模块的漏洞破坏 VMM,那么他可能完全控制 VMM 和其他所有

虚拟机.针对数据层的攻击,黑客通常采用地址解析协议(address resolution protocol,简称 ARP)欺骗、域名系统

(domain name system,简称 DNS)污染以及路由劫持等手段,通过监视在线迁移通道,黑客可以从迁移的内存信

息中提取出用户账户、口令等敏感信息.Oberheide 利用 Xensploit 工具(即:Oberheide 设计的工具可以在动态迁

移过程中实施中间人攻击)对源 Domain0 和目的 Domain0 之间迁移的 DomainU 中部分内存信息进行了篡改,

验证了数据层的安全威胁.Yamunadevi

[2]

在 KVM 虚拟化平台上进行了动态迁移实验,也证实了被迁移虚拟机内

存上的信息容易被黑客截获.另外,本团队

[3,17]

从 2012 年开始就一直对动态迁移过程中内存泄漏安全问题进行

研究,可还原出虚拟机迁移过程中的内存泄漏数据.黄休平

[47]

等人可以根据特征值恢复源文本信息,增加了虚

拟机迁移过程中的安全隐患.

由于虚拟机动态迁移期间传输的数据是不安全的,Sulaiman 等人提出通过使用 IPsec(Internet protocol

security,网络安全协议集)实现数据在宿主机之间安全传输

[8]

,并通过调整 MTU(maximum transmission unit,最大

传输单元)和 MSS(maximum segment size,最大段大小)的值来提高迁移时的表现.Pati 提出使用 RSA 算法(一种

公钥解密算法)和 SSL(secure sockets layer,安全套接层协议,一种常用加密算法)来保证数据安全

[9]

,并使用

MOSIX 软件(集群软件)将内存迁移确保负载均衡.Nagin 等人提出基于 SSH 通道的在线迁移方式

[10]

,保证迁移

过程的安全,这些方法虽然能够有效防止监听者窃取传输的虚拟机数据,在一定程度上保证迁移虚拟机实例的

传输安全,但是它无法保证虚拟机是否被迁移到一个可信的服务器中,这样容易造成虚拟机的失控,而且也未采

取任何方式的完整性保护措施,无法确认传输的虚拟机实例是否被篡改.并且这种方式明显增加了动态迁移中

虚拟机的宕机时间,性能大大下降.

可信平台模块(trusted platform module,简称 TPM)是由可信计算组(trusted computing group)指定的规范,使

用 TPM 芯片可以搭建一个安全且可信赖的运算平台,通过虚拟化技术可以让每个虚拟机拥有一个 TPM(实际

上使用物理机上的 TPM),此 TPM 为 VTPM(虚拟 TPM)

[11]

,通过 VTPM 迁移协议可以验证源和目的 VMM 的完

整性并在动态迁移前创建一个安全的连接通道,张新方等人则对基于可信通道的 VTPM 迁移协议进行改进

[12]

改进的协议使用加密、完整性检验和随机数保证迁移数据的完整性、机密性和及时性.但是基于 VTPM 的迁

1404

Journal of Software 软件学报 Vol.27, No.6, June 2016

移不适合动态迁移的环境.

同样,基于可信令牌(trusted token)

[13]

的迁移方式,它是由制定策略、实现迁移策略和审计迁移组件组成.用

户的策略包含对虚拟机迁移中目的云平台的可信保证等级 TAL(trust assurance level).当目的宿主机上可信令

牌中的 TAL 值处于用户迁移策略中的 TAL 值范围时,迁移才可以发生.基于角色/策略的迁移方式

[14]

保护迁移

过程,它包含认证服务(attestation service)、密封存储(seal storage)、策略服务(policy service)、迁移服务(migration

service)和安全 Hypervisor(secure hypervisor)组件.虽然基于这两种方式的安全迁移在主机间认证有一定优势,

但它需要相关硬件的支持,不适合动态迁移的环境.

NSE-H

[15]

(network security engine-hypervisor,网络安全引擎)是对 Hypervisor 的一种扩展.它具有防火墙、

入侵检测等防御系统功能来抵御对虚拟网络的入侵,Chen

[16]

等人针对 NSE-H 提出一种实时迁移框架

CoM.NSE-H 可以在迁移过程中保证虚拟机的安全上下文,如防火墙、入侵检测系统等.但是 NSE-H 不能满足虚

拟机迁移数据层的安全需求.

本文的研究重心在于对 KVM 虚拟化平台上的动态迁移安全问题进行探讨,进而提出安全防护模型.第 1 节

将对动态迁移过程中的安全隐患进行总结归纳.第 2 节对动态迁移过程中的内存泄漏问题进行分析,并设计实

验截获数据并还原信息.第 3 节在基于 KVM 虚拟化系统底层源代码和动态迁移机制的前提下提出一种基于混

合随机编码方式的安全防护模型.第 4 节用实验仿真的方式对安全防护模型的防护效果进行验证和分析.最后

总结全文并指出下一步研究方向.

1 动态迁移安全隐患

虚拟机是虚拟化系统中一种特殊的信息资产,存在发生不期望事件而造成损害的潜在可能性,实际应用中

面临多种多样的安全隐患,下面主要对其在动态迁移过程中的安全隐患进行讨论,主要包括以下 4 个方面.

(1) 不安全的通信通道.迁移的数据可能遭到监听甚至修改.一方面,攻击者通过监听源宿主机与目标宿主

机之间的网络,获得迁移过程中传送的全部数据,从而可以确定迁移虚拟机的大小、迁移时间、甚至虚拟机操

作系统的用户口令、应用数据等敏感信息.另一方面,攻击者通过修改迁移的内存数据为特定数据,进而控制虚

拟机.

(2) 缺少访问控制.例如允许未经授权的用户启动和迁移虚拟机.攻击者可以通过启动大量虚拟机迁移到

一个目标宿主机上,耗费宿主机资源使其拒绝服务.或者被迁移的虚拟机带有恶意软件、木马、恶意代码等,通

过迁移到其他安全宿主机使其可以攻击目标宿主机或其他虚拟机.

(3) 平台缺少完整性验证.虚拟机可能被迁移到不可信平台中,攻击者在虚拟机迁移前,已经通过某种手段

控制了目的平台,一旦虚拟机被迁移过来,攻击者就会对其进行攻击破坏,获取虚拟机权限.

(4) 虚拟化系统迁移模块本身存在漏洞.攻击者可能在 VMM 上的迁移模块寻找漏洞,比如整数符号问题的

栈溢出,内存分配程序问题的堆溢出,这些漏洞允许攻击者获得特权代码执行权限并危及到 VMM 和宿主机

安全.

2 动态迁移内存数据泄漏分析

2.1 原理

动态迁移实际上是把虚拟机的配置封装在一个文件中,然后通过高速网络,把虚拟机配置和内存运行状态

从一台物理机迅速传送到另外一台物理机上,期间虚拟机一直保持运行状态,并在迁移结束后在迁入端继续虚

拟机提供的服务,对于一次动态迁移而言,攻击者可以利用的不安全点包括迁出端、迁入端、网络通信链路、

网络文件系统服务端,如图 1 所示.

剩余14页未读，继续阅读

评论收藏

内容反馈

朱王勇

粉丝: 22
资源: 306

KVM虚拟化动态迁移技术的安全防护模型1

评论0

最新资源

KVM虚拟化动态迁移技术的安全防护模型1

评论0

一种基于虚拟化技术增强云安全的可信赖模型

云计算虚拟化技术安全防护.pdf

基于ARM虚拟化扩展的安全防护技术.pdf

Citrix_Xen虚拟化动态迁移技术XenMotion技术

KVM虚拟化技术之virt-manager使用及KVM虚拟化平台网络模型介绍

KVM虚拟化高级实战课程-网盘链接提取码下载 .txt

KVM虚拟化技术实-战与原理解析.pdf

linux下KVM虚拟化总结

KVM虚拟化技术实战与原理解析

PowerVM优秀的虚拟化技术机器内动态共享资源+机器间在线迁移应用

KVM虚拟化技术.ppt

虚拟化kvm虚拟

KVM虚拟化技术

KVM虚拟化技术基础与实践全套课件.pptx

Qemu-kvm虚拟化技术介绍.pdf

XEN虚拟化技术和KVM虚拟化技术

Linux_KVM虚拟化源代码分析文档

SHELL脚本自动部署KVM虚拟化

KVM虚拟化技术__实战与原理解析

kvm虚拟化视频教程.zip

KVM虚拟化技术__实战与原理解析_带书签

KVM虚拟化平台资源.rar

虚拟化技术KVM.pdf

KVM虚拟化技术 实战与原理解析

Xen_KVM虚拟化及IaaS云技术OpenStack笔记

BurpLoaderKeygen.jar.zip

最新版ISO/IEC 27001:2022、ISO 27002:2022中英文合集

最新资源

KVM虚拟化技术实战与原理解析