虛擬機的安全技術分析

譚雨萱

摘 要：虛擬機技術最早由 IBM 于上世紀 60 年代提出，被定義為硬件設備的軟件模擬實現，虛擬機可以實現對硬件、指令和操作系統的虛擬化。本文主要針對虛擬機的安全技術進行分析。

關鍵詞：虛擬機；安全技術；分析

當今世界是互聯網的信息時代，也是病毒和惡意程序不斷發展的時代。目前我們即使采用了各種主動性的防御技術也很難阻擋病毒和惡意程序對計算機系統的攻擊和侵害。系統的崩潰，數據的損壞是我們經常會面臨的問題。但是互聯網已經成為我們工作和生活不可或缺的一種工具，我們迫切需要一種新的強有力的技術能夠保證網絡的應用安全和計算機系統的正常工作和運行。

一、虛擬機技術的應用

虛擬機是在物理計算機上模擬的計算機，這些虛擬機可以相當于物理計算機上的應用程序一樣運行，實現對硬件、指令和操作系統的虛擬化。在虛擬機的運行環境中，虛擬機以及硬件層之間存在虛擬機監視器，這是系統的核心，可以實現虛擬機系統資源的底層交換與合理分配。它們可以模擬計算機的工作，可以安裝應用程序并對應用程序進行軟件的評測，可以訪問互聯網的資源，一旦出現網絡攻擊，虛擬機也會出現問題，但這些都不會影響物理計算機的正常的運行，而且可以很快實現虛擬機操作系統的恢復。虛擬機技術是智能化較高的具有較高的查殺病毒準確性的一種反病毒技術，它可以提高硬件資源的利用效率，進行網絡災難的及時恢復并提高辦公軟件的自動化水平。

二、虛擬機的安全技術分析

虛擬機可以實現對程序的隔離執行狀態。也就是說我們可以運用虛擬機技術對相應的計算機程序執行隔離，使之運行于某一封閉的環境中。它既可以實現對危險性較高的計算機程序的有效隔離，也可以實現對需要重點保護的應用程序進行有效隔離。

但是這種虛擬機的隔離技術也不是永遠安全可靠的。滿足了操作系統虛擬化的計算機可以實現操作系統內核的共享操作。要特別注意對內核惡意代碼的有效隔離，防備惡意代碼進入操作系統內核而避開虛擬機的隔離機制。這樣的話，我們即使使用了一定的隔離措施，但計算機的系統資源也很難實現真正完全的有效保護。

對硬件進行虛擬化的隔離可以達到更強效果的隔離。它可以把某些計算機程序發送到沙箱的虛擬機中進行自動執行，但這種執行環境要受到一定配置的條件影響，需要進行手動的設置。虛擬機也可以設有通用的計算機程序環境和封閉的計算機程序運行環境。一旦出現高危的程序，就可以實現對這些高危程序的封閉隔離。但是就目前而言，這些虛擬機的隔離技術都需要較高的硬件虛擬化開銷，需要進一步的技術上的研發和突破。

虛擬機可以提高硬件資源的使用效率，也可以實現對病毒和高危程序的有效隔離，對網絡災難的實時恢復，但是在享有這些優點的同時，我們發現，在虛擬環境中，我們無法對用戶的行為進行有效的監控。雖然當前虛擬機的自省技術擁有特權對虛擬機中的用戶內存執行訪問的功能，但其權限是有限的，不同虛擬機之間的語意鴻溝也不是完全就可以消除或忽略不管的。因而還需要科研人員的不斷努力來改變這種現狀。

虛擬機也可以對內存進行保護。傳統的反病毒軟件可以實現對內存和文檔的掃描、查殺，但是隨著新病毒的不斷涌現和計算機系統漏洞問題的出現，經常會導致計算機的殺毒軟件失效或出現無法啟動的情況。現在的虛擬機技術可以實現對虛擬機內存的保護和有效隔離。我們可以采用分離式頁表對內核內存和應用程序內存進行有效分離，也可以采用內核代碼完整性驗證的機制來實現虛擬機監視器層對內存寫保護機制的檢測和惡意代碼進入的限制。

虛擬機動態遷移技術的發展實現了虛擬機在不同物理計算機服務器上的遷移。這種虛擬機的動態遷移技術可以把文件系統、內存以及網絡連接等等各種資源進行整體的遷移，對于數據中心的負載均衡和網絡災難的恢復意義重大，影響深遠。但是這種虛擬機的動態遷移技術也是存在一定的技術缺陷的，它的安全防護措施只對擁有加密的SSL通信有效，對于某些欺騙攻擊目前還起不到明顯的防護效果，需要配合其他的安全防護措施。

三、結語

綜上所述，在現在互聯網信息時代和云計算的背景下，虛擬機的出現可以解決物理計算機系統能耗高、效率低的問題，同時它還可以實現對高危應用程序的有效隔離和內存的有效保護，也可以實現對網絡災難的實時恢復，對于新型計算機應用技術的節能減排，安全高效有著重要的意義。但目前虛擬機的應用還存在著很多技術上的缺陷和一定的安全隱患，需要我們加大對它的科學研究，讓它的實用性更強，擁有更大的發展潛力。

參考文獻：

[1] 程川.一種基于Xen的信任虛擬機安全訪問設計與實現[J].計算機與數字工程，2010（03）.

[2] 鄭婷婷，武延軍，賀也平.云計算環境下的虛擬機快速克隆技術[J].計算機工程與應用，2011（13）.

[3] 宋韜，盤細平，羅元柯，倪國軍.Java虛擬機在嵌入式DSP系統上的實現[J].計算機應用與軟件，2007（04）.

[4] 王惠萍，張海龍，馮帆，王建華.Java虛擬機使用及優化[J].計算機與網絡，2010（21）.