基於可信虛擬域的雲邊界安全防護模型與方法研究

已有的安全機制無法滿足雲計算環境的動態性和邊界泛化等特點，致使其邊界安全成為信息安全領域亟待解決的核心問題。本項目藉助可信虛擬域的概念，首先提出統一的雲邊界安全防護模型。並以此為理論依據，針對現有研究未能很好的解決虛擬機之間共享計算資源帶來的安全隱患，項目從資源分配的角度，提出一種記憶體著色方案來改善虛擬機之間的隔離性；針對虛擬機跨域遷移時狀態不穩定易受攻擊的缺點，研究能夠保證虛擬機跨域遷移數據機密性和完整性方法、遷移時安全策略的同步機制和安全監控策略。為了防止不同安全等級虛擬域、虛擬域之間數據的非法訪問，研究虛擬域基於屬性的訪問控制與群密鑰協商，實現虛擬域中數據的訪問控制和安全通信；最後，搭建雲計算虛擬邊界原型系統來實證所提模型與方法機制的合理可行性。本項目力求在雲環境下虛擬邊界安全模型和部分相關機制方法方面取得突破，該研究理論與方法是對雲計算安全領域的進一步豐富和創新。

由於雲邊界動態性和邊界泛化的特點，其安全問題是雲計算領域面臨的核心安全問題。為此，本項目重點研究虛擬邊界的安全隔離策略、研究虛擬機安全遷移方法以及研究虛擬域數據安全訪問控制機制這三個基礎科學問題與關鍵理論研究。針對當前雲邊界的動態性和數據資源的高度聚合性，本項目通過研究雲計算環境安全威脅的起源，構建虛擬邊界安全防護模型；針對雲計算環境下虛擬機共享資源帶來的安全隱患，提出一系列雲環境下跨虛擬機側信道的檢測與防護方案；為了保持租戶虛擬機的透明性和安全性，提出了基於虛擬機自省的漏洞檢測和惡意行為監控方法；針對虛擬機跨域遷移時狀態不穩定易受攻擊的劣勢，提出保證虛擬機遷移時機密性和完整性方法，和保證安全策略一致方法；針對不同等級虛擬域、虛擬機之間非法訪問帶來的的安全隱患，提出虛擬域數據安全訪問控制策略和群密鑰協商與管理機制。通過在VMM體系結構上引入各種監控、檢測模組，對現有虛擬化環境進行安全增強，實現了邊界安全套用環境。本項目採用的研究方案和關鍵技術強調對現有雲邊界狀態的隔離與控制，與以往方法不同，是對虛擬化安全領域的豐富與創新。