虛擬化環境安全缺陷分析及安全性增強方法研究

目前虛擬化已經成為流行的計算環境資源調度和管理的方法,隨著其套用的越來越廣泛，如何保障虛擬化技術的安全成為一個關鍵性問題。.虛擬化安全問題的根源在於缺少對其安全缺陷的形式化分析，沒有系統的尋找和解決造成缺陷的本源問題。同時，也缺乏針對虛擬機監控器的安全保護和虛擬機內軟體的有效多維度隔離防護手段。因此必須採取理論研究和技術實踐相結合的手段，從根本問題入手，將抽象解釋理論運用於虛擬化環境安全缺陷的建模，從安全約束規則的角度研究虛擬機監控器的保護方法，建立了可支持多維可變粒度的高安全需求軟體動態隔離機制，並構造實驗驗證系統進行相關驗證，最終形成安全且高效的虛擬化運行環境。.本項目有助於進一步深入研究安全虛擬環境的構造與保護問題，探索虛擬化安全領域的相關理論，推動信息系統安全理論的深入與虛擬化技術的發展，確保我國在基礎信息技術領域取得長足的發展。

虛擬化在隔離和自我測量方面具有極大的安全優勢，並隨著雲計算的普及得到了越來越廣泛的套用，但是虛擬化技術本身也面臨著眾多安全挑戰，在Xen，VMware ESX等虛擬機中均發現了多出安全漏洞，這些安全問題將會對依賴虛擬機技術的雲計算等新技術帶來嚴重安全威脅。 本研究從虛擬化環境安全性缺陷的理論模型與分析以及虛擬化環境保護方法兩個方面展開，在虛擬化環境安全性缺陷的理論模型與分析方面，重點研究虛擬化環境的形式化描述方法，並針對多層次的安全缺陷展開分析；在虛擬化環境保護方法研究方面，重點研究虛擬機監控器的保護方法以及虛擬機內軟體隔離模型的建立方法，最後構建實驗驗證系統，並通過原型系統，驗證了本研究提出的理論與實踐方法的可行性與正確性。 研究成果明確了雲環境以及內部組件可信性的定義，提出了適用於部分動態屬性建模分析的方法，並利用狀態機模型對虛擬化環境的安全缺陷進行了分析。構建了組件耦合關係有向圖及計算組件耦合度，為雲環境以及虛擬化環境安全設計提供理論指導。發現了虛擬化環境使存在的多用戶造成TSS與TPM死鎖，提出了基於價值評價的動態優先權任務調度策略進行解決，並設計了一種新的TSS結構。將信任從基礎安全硬體傳遞到虛擬機監控器，實現信任與控制的並行傳遞與轉移，保證了整個虛擬化環境的安全，提出一種進程隔離方法，以信息之間的依賴關係強弱為基礎，提出虛擬機內安全隔離，從信息流、安全域以及執行安全三個方面給出了安全約束的形式化描述，建立安全域之間的依賴關係與信息互動規則，確保了進程的初始安全以及運行過程安全。 在本研究的資助下，共發表包括《China Communications》、《計算機學報》、《軟體學報》、《電子學報》等在內的期刊和會議學術論文32篇，其中SCI檢索3篇，EI檢索15篇；申請發明專利3個並獲得授權1個；申請並獲得軟體著作權1個；培養博士生7人，碩士12人；基於本項目的研究成果，我們申請並獲批了863課題1個、973課題1個、湖北省重點科技攻關項目1個，保證了研究的延續性；我們還還組織、參與了一批國內外著名學術會議：主辦和協辦了可信計算與信息安全學術會議、全國網路與信息安全防護峰會等學術會議. 在實際套用上，我們和華為、浪潮等企業展開合作，將本研究部分進行了產業化，實現了產、學、研結合。