淺談虛擬機安全與可靠的重要性

曹瑞娟劉艷秋

1. 河北煤業工貿有限責任公司 2. 河北天駿電子科技有限公司

淺談虛擬機安全與可靠的重要性

曹瑞娟1劉艷秋2

1. 河北煤業工貿有限責任公司 2. 河北天駿電子科技有限公司

虛擬機作為虛擬化技術的一種重要應用形式，在業界獲得廣泛應用。與此同時，虛擬機的安全問題也受到越來越多的關注。提高虛擬機安全性與可靠性、建立可信的虛擬化環境已經成為學術界與產業界亟待解決的問題。本文從可靠性和可信兩方面出發，研究可信計算技術、完整性度量技術在保障虛擬機安全方面的應用，闡述了保障虛擬機安全的重要性。

虛擬機安全 可信計算技術完整性度量

1 研究背景

虛擬化是一項擁有悠久歷史的技術。二十世紀六十年代IBM首次將虛擬化技術應用于大型機，允許用戶在一臺主機上運行多個操作系統，能夠充分利用硬件系統資源。2007年Google和IBM開始在美國推廣云計算計劃，云計算提供的基礎設施服務是以虛擬機為核心的，它們的基礎都是虛擬化平臺。在Gartner Symposium IT/Expo 2012大會上虛擬化技術被列為IT領域的十大關鍵技術和發展趨勢之一。我國虛擬化技術雖然處于起步階段，但隨著云計算的大力發展，作為云計算支撐技術的虛擬化技術將被更多的企業采用。

2 面臨的安全問題

在服務器虛擬機獲得廣泛應用的同時，也面臨越來越多的安全問題。如虛擬機逃逸攻擊、拒絕服務攻擊、特定的病毒和惡意軟件攻擊等。為使得可信虛擬化平臺的數據更加可靠和可信必須首先保障虛擬機的安全。

3 論文的主要工作

本文首先討論了虛擬化技術環境中常見的安全問題，對相關保障信息安全的技術進行簡單介紹。然后分析和討論國內外虛擬化信息系統設計和實現中解決的安全問題，使用的方法等。

4 相關技術介紹

可信計算技術是一種新出現的信息安全技術，它是由可信計算聯盟提出的較高安全等級的安全防護技術。其核心思想是程序能夠按預期的方式運行，保證程序的行為安全。將可信計算應用到虛擬化環境中將有助于解決虛擬機的安全問題。

完整性度量技術作為可信計算的一個分支，也取得了一定研究成果。IBM基于Linux設計實現的安全完整性度量架構(IMA)，用SHA1算法計算程序的hash值，并引入TPM使得遠程端能夠驗證度量列表。虛擬機的完整性度量一方面可以增強服務器虛擬機的安全性，另一方面能夠推動虛擬化技術甚至云計算技術的發展。

5 相關研究分析

目前針對虛擬機安全的研究很多，大致可以分為以下幾類：安全虛擬機監控器研究、可信計算相關研究、針對特定攻擊的研究、安全應用研究等。自虛擬化技術的出現和發展至今，很多學者對可信計算應用到虛擬化的安全技術進行了不懈的研究。

Luigi Catuogno等人基于Xen和L4 microkernel平臺描述了構建可信虛擬域所需的各種組件和協議，并基于Xen和L4 microkernel平臺實現了原型系統。

IBM的S.Berger等人首先利用軟件方式實現了可信平臺模塊的虛擬化，使得每一臺虛擬機擁有一個TPM實例，可以使用TPM的安全存儲、加密函數、生成隨機數等功能。最后利用虛擬TPM將可信鏈從宿主機操作系統延伸到每一個虛擬機中。

斯坦福大學的Garfinkel提出的一個靈活的可信計算架構Terra，它允許具有不同安全性要求的應用程序可以在通用硬件平臺上同時運行。Terra用TCG的可信平臺模塊來保障Hypervisor的啟動，通過可信虛擬機監控器將防纂改的硬件平臺分成多個獨立的虛擬機，實現虛擬機之間的資源隔離。

6 結論

以上通過對國內外關于保障虛擬機安全的方案進行分析，發現將可信計算應用于虛擬化安全環境主要集中在以下幾個方面：

①通過硬件的手段來保證虛擬化環境的安全；

②通過虛擬化TPM的方式來滿足多虛擬機的情況；

③采用專用的可信計算虛擬機來實現擴展的可信虛擬化平臺。

通過比較這些方案的共性不難得出，采用硬件的手段保證可信虛擬環境應用場景比較狹窄、實現難度大；而采用將TPM虛擬化的方法可以保證多個虛擬機共用TPM的狀態。我們可以在一定安全條件下實施虛擬TPM的方案，并通過一些相關聯的安全手段彌補非物理TPM環境安全性的不足。

[1]Sailer R,Zhang X,Jaeger T,van DoornL.Design and implementation of aTCG-based integrity measurement architecture//Proceedings of the 13th USENIX Security symposium.San Diego,USA,2004：223-238

[2]Luigi Catuogno,Alexandra Dmitrienko,et al.Trusted Virtual Domains-Design,Implementation and lessons Learnded. Trusted Systems,Lecture Notes in Computer Science Volumn 6163,2010：156-179