基于虛擬安全域的多級安全訪問控制

孫 陽，劉 京，郎靜宏，柯文浚

（1.海軍航空大學，山東煙臺264001；2.中國航天系統科學與工程研究院；3.中國空間技術研究院，北京100048）

作為云計算[1]技術核心的虛擬化技術[2]，目前仍然面臨許多安全問題。但能通過使用合適的訪問控制模型[3]，在一定程度解決虛擬化環境中的安全威脅。Xen虛擬化安全平臺中研究的核心問題是hypervisor[4]安全。IBM通過對虛擬機系統進程進行控制，實現系統資源隔離，通過建立sHyper架構設計訪問控制模塊實現該隔離機制；Ga等利用TPM機制實現安全啟動Hypervisor，建立可信Hypervisor對虛擬機與物理資源隔離，并在代碼層以及對虛擬化系統中的數據的完整性進行限制，設計HyperSafer架構[5]實現安全模型研究。IBM早在2008年針對虛擬機安全問題就提出了一種可信虛擬數據中心TVD[6]的概念，主要實現了虛擬化平臺下可信域間通信，TVD所實現的數據安全策略主要包含：①虛擬化標簽，通過標簽來標記可通信的虛擬機以及資源；②運行域，確立可以在同一臺物理服務器上運行的虛擬機。

我國對虛擬化安全防護技術的研究起步較晚，研究成果較為匱乏，主要體現在3個方面：①研究重點是虛擬化方面的安全防護，缺乏針對應用場景的安全防護理論研究；②企業單位側重點是通過虛擬化優化工作中遇到的網絡管理問題，對于信息的安全防護考慮不充分；③當前安全廠商的虛擬化安全解決方案主要是傳統安全技術和網絡安全產品的簡單疊加整合，未嚴格考慮到虛擬化與傳統網絡環境的差異。

總而言之，現如今云計算技術的快速發展，虛擬化也日漸成熟，虛擬化環境的安全與合適的訪問控制模型以及與其制定的策略緊密相關。因此，對于CPU虛擬化、內存虛擬化、I/O虛擬化進行全面深入的了解，并且在這基礎上延伸顯得尤其重要。

1 BLP模型多級安全規則

本文在BLP模型[7]的簡單屬性和*-屬性基礎上結合虛擬化環境的特征，設計適合企業內網環境下的虛擬機間的多級安全訪問控制[8]模型。設計模型制定安全策略適用場景為企業內網虛擬化環境中虛擬機通信[9]、虛擬機和存儲設備之間的信息流控制[10]，使得這2種主要行為滿足虛擬化網絡環境多級安全需求。

定義任何安全狀態v，其根據狀態轉換規則ρ(Rk,v)=(Dm,v*)衍生的v*也是處于安全狀態，則稱ρ為安全狀態規則。同理，可定義ρ的簡單安全特性規則、*-特性規則、ds-特性規則。

規則1：定義R1=主體對客體的只讀請求。

定義域 ：Rk=(g,Si,Oj,r)∈R(1)，Rk∈dom(Rk) ，1≤k≤10。

規則：

規則解釋：記Rk∈dom(R1)，即Rk在R1的定義域內為條件1；記fs(Si)≥fo(Oj)即Si的安全級別支配客體Oj的安全級別為條件2；條件3分為3種情形，只要滿足3種情形之一就為滿足條件3。

情形1：Si∈ST，即主體Si是可信主體；情形2：[Oj∈OD][r∈Mij]，即Oj為虛擬機客體且訪問矩陣M中主體Si具有對客體Oj的r訪問屬性；情形3：[Oj∈OS][Oj∈H(Oi)]，即Oj是屬于虛擬機主體Si的虛擬磁盤。條件都滿足時，客體Oj允許主體Si的只讀請求訪問。

規則2：R2=主體對客體的讀寫請求。

定義域 ：，1≤k≤10。

規則：

規則解釋：記Rk∈dom(R2)，即Rk在R2的定義域內為條件1；記fc(Si)=fo(Oj)即Si的安全級別支配客體Oj的安全級別為條件2；條件3分為3種情形，只要滿足3種情形之一就為滿足條件2。

情形1：Si∈ST即主體Si是信主體；情形2：[Oj∈OD][w∈Mij]即Oj為虛擬機客體且訪問矩陣M中主體Si具有對客體Oj的w訪問屬性；情形3：[Oj∈OS][Oj∈H(Oi)]即Oj是屬于虛擬機主體Si的虛擬磁盤。條件都滿足時，客體Oj允許主體進行讀寫訪問。

規則3：R3=訪問主體放棄對客體的訪問，其中訪問屬性為x（只讀、讀寫）。

定義域：，1≤k≤10；x∈A。

規則：

規則解釋：當符合條件Rk∈dom(R3)時，可以從b中刪除主體對客體x屬性的訪問。

規則4：R4=新建一個客體虛擬機。

定義域：，1≤k≤10，Lu表示新創建的虛擬機客體的安全級別。

規則：

規則解釋：記Rk∈dom(R4)為條件1；記Si∈ST為條件2；記Oj∈OR為條件3。若符合以上3個條件時，表示主體新建一個客體虛擬機，其父節點為Oj，且其安全級別為Lu，記該客體虛擬機為Onew(H)。當創建新的客體虛擬機后，在相應的主體集合內新增一個具有一樣安全級別的主體虛擬機，記為Snew(H)。

規則5：R5=新建客體虛擬磁盤。

定義域：，1≤k≤10，Lu≤Lj表示新創建的虛擬機客體的安全級別。

規則：

規則解釋：記Rk∈dom(R5)為條件1；記Si∈ST為條件2；記Oj∈OD為條件3。

若符合以上3個條件時，表示主體新建一個客體虛擬磁盤Onew(H)作為主體虛擬機的一部分存儲，該虛擬磁盤父節點為Oj，全級別為Lu。

規則6：R6=刪除虛擬機客體。

定義域：，1≤k≤10。

規則：

規則解釋：記Rk∈dom(R6)為條件1；記Si∈ST為條件2；記Oj∈OS為條件3。若符合以上3個條件時，表示客體虛擬機Oj被主體虛擬機Si刪除，同時虛擬機Oj名下的虛擬磁盤一并被刪除。

規則7：R7=刪除客體虛擬磁盤。

定義域：，1≤k≤10。

規則：

規則解釋：記Rk∈dom(R7)為條件1；記Si∈ST為條件2；記Oj∈OS為條件3。若符合以上3個條件時，表示客體虛擬磁盤被主體刪除。

規則8：R8=主體Sλ授予主體Si對虛擬機客體Oj的訪問屬性x。

定義域：，1≤k≤10；x∈A。

規則：

規則解釋：記Rk∈dom(R8)，即Rk在R8的定義域內為條件1；記Si∈ST，即Si為條件2；記Oj∈OD，即Oj是虛擬機客體節點為條件3。若符合以上3個條件時，主體Sλ授予主體Si對虛擬機客體Oj的訪問屬性x。

規則9：R9=表示主體Sλ撤銷主體Si對虛擬機客體Oj的訪問屬性x。

定義域：，1≤k≤10；x∈A。

規則：

規則解釋：記Rk∈dom(R9)，即Rk在R9的定義域內為條件1；記Si∈ST，即Si為條件2；記Oj∈OD，即Oj是虛擬機客體節點為條件3。若符合以上3個條件時，主體Sλ撤銷主體Si對客體Oj的訪問屬性x。

規則10：R10=表示調整主體Sj的當前安全級別。

定義域：，1≤k≤10；Lu表示Sj新的當前安全級別。

規則：

規則解釋：記Rk∈dom(R10)，即Rk在R10的定義域內為條件1；記Si∈ST，為條件2；記Sj∈OD，即Oj是虛擬機客體節點為條件3。若符合以上3個條件時，調整主體Sj的當前安全級別為Lu。

虛擬化網絡環境中多級安全模型主要是在傳統BLP模型基礎上，對虛擬機之間的通信行為和虛擬機對存儲設備的訪問進行細化，主要體現在對其安全公理和對轉換規則的重新設計。通過上述對傳統BLP模型的改進，主要體現在以下5個方面。

1）本文研究的虛擬化環境中，主動發起訪問的為主體虛擬機S，其中，主體可以訪問的客體主要分為客體虛擬機、管理虛擬機以及虛擬磁盤。因此客體O代表了虛擬機與虛擬磁盤的并集。因此，利用數學模型分析可知，如果存在n個虛擬機，則對于安全級別為fs(Si)的虛擬機Si(1 ≤i≤n)，會有C(Si)個虛擬磁盤客體，虛擬磁盤存放虛擬機中存放的相應安全等級的文件和數據。

2）在本安全系統模型中，將管理虛擬機設定為可信虛擬機，即管理虛擬機不受訪問控制策略的約束；為了滿足多級安全的特性，將對虛擬化系統中的虛擬機以及虛擬磁盤設置多安全等級屬性，主要是為了限制虛擬機對信息處理的最高等級。

3）本文對虛擬化資源的管理主要采取多層次管理機制。①管理服務器對每個虛擬化服務器中的管理虛擬機進行管理，主要是對管理虛擬機中的策略進行更新、同步等；②Dom0為主體時，主要默認其為可信主體，Dom0為客體時，主要作為根節點；③虛擬機主要作為客體，在虛擬安全域中的虛擬機均屬于同一層次，客體虛擬機集合可表述為OD={O1,O2,…,On}，對任意i(1≤i≤n)，Oi均在H(OR)中，并且對任意i(1 ≤i≤n)和j(1≤j≤n)，Oi均不在H(Oj)中；④ 該層次為虛擬磁盤客體，對于同一用戶的虛擬磁盤具有相同的虛擬機節點，可以用集合方式表述為：

4）傳統的BLP模型中主客體的訪問屬性有A={r,w,e,a}。在虛擬化系統中，本文主要研究虛擬機之間的通信和虛擬機對磁盤的訪問，故在此安全模型中只存在2種訪問屬性只讀和讀寫，即A={r,w}。

5）在該安全模型中禁止普通虛擬機主體創建、刪除和擅自更改虛擬機訪問屬性等操作，只有可信主體虛擬機，即管理虛擬機可以新建、刪除虛擬機，并且可以實現對其訪問屬性的調整。基于此，該安全模型對轉換規則重新設計修改，并且對涉及的客體范圍做了進一步的限制。

①針對主體對客體的訪問，當主體以x屬性訪問客體，主要用規則1和2表示，主體釋放以x屬性訪問客體，主要用規則3來表示。

②管理虛擬機對虛擬化資源的新建、刪除。管理虛擬機新建虛擬機和新建虛擬磁盤，主要用規則4和5表示；管理虛擬機刪除虛擬機和虛擬磁盤，主要用規則6和7來表示。

③管理虛擬機對虛擬機訪問屬性的調整和虛擬機主體的安全級別。規則8主要體現為對虛擬機客體授予訪問屬性x。反之，規則9則是撤銷該訪問屬性；規則10，表示對當前虛擬機的安全級別進行調整。

2 虛擬安全域

傳統的網絡環境主要是通過實體PC機處理各種不同業務，主要采用實體的終端管理。由于虛擬機本身的特性，傳統的管理手段不適用于虛擬化環境，因此需結合虛擬化信息安全需求，設計一種全新的管理方案。本文將引入虛擬安全域，對資源按域劃分，設計屬性作基本的約束規則，依據資源屬性確定安全標簽，用于判斷虛擬機通信以及對存儲設備的讀寫等。

2.1 虛擬安全域理論

本文提出虛擬安全域，即把相同安全等級、需求的虛擬機歸入相同的邏輯組內，對這個邏輯組配置訪問控制策略。虛擬安全域中的虛擬機有共同的安全策略，這組虛擬機相互信任。本文根據資源的屬性[11]將分布在虛擬化平臺上安全屬性一致的虛擬機劃分在同一虛擬安全域中，不同的虛擬安全域之間保持嚴格的隔離。通常情形下，在同一虛擬安全域內的虛擬機可以相互通信。相反，則必須符合特定域間訪問控制策略[12]才能相互通信。

虛擬化環境中引入虛擬安全域概念后（見圖1），可將不同安全屬性虛擬機抽象歸為不同的虛擬安全域，并且其對應的安全策略也各不相同。

圖1 虛擬安全域Fig.1 Virtual security domains

2.2 資源屬性

在虛擬化網絡環境中虛擬機和存儲資源主要涉及3個核心屬性，主要為用戶、部門、安全等級。在虛擬化環境中主要通過3種不同的角度去定義。由于均為相互獨立的劃分方式，所以每針對其中一個屬性都會將虛擬化環境中的全部資源進行劃分，制定針對特定屬性的安全策略。因此，對于虛擬化網絡環境中的訪問控制[13]，其主要難點就在于資源之間的行為需要考慮多方面的條件約束，所以每一個訪問控制策略都需要同時兼顧多種因素，包括用戶、部門、安全等級等。

2.3 安全標簽

通過對虛擬化系統資源進行安全域劃分后，安全標簽[14]的作用主要體現在標明虛擬機、存儲磁盤等資源所屬的虛擬安全域。安全標簽是由一組安全屬性信息組成，可以直觀的表明實體資源所屬的虛擬安全域。

在創建虛擬機時以及對其分配資源時，都會被分配一個明確的安全標簽。其中，標簽信息作為虛擬機和存儲資源的基本信息被存儲。在虛擬化網絡環境中實體的標簽信息是進行虛擬安全域劃分的主要依據，其地位可見一斑，只能通過服務器中管理虛擬機的虛擬安全域代理進行創建和修改。虛擬機之間通信以及對存儲資源的訪問主要依賴安全標簽信息進行訪問控制策略制定。

虛擬化網絡環境中本文利用三元組[15]（用戶、部門、安全等級）來對資源進行標識，將虛擬化平臺內的虛擬機、存儲等資源劃分給特定的用戶和部門，并且對其進行劃分相應等級。在虛擬化環境的安全理論模型中，將三元組歸納為“安全標簽”，即通過標簽信息標識虛擬化環境中的虛擬機和存儲，在虛擬化安全訪問控制架構中，可以判斷用戶虛擬機可通信的虛擬機和訪問的存儲資源。

虛擬化環境中訪問控制策略執行時對三元組的對比主要是以安全標簽為憑據。在制定訪問控制策略時，根據安全標簽，首先將虛擬機和存儲設備通過安全標簽進行屬性標識；再經過資源屬性對其進行虛擬安全域的劃分；然后，依據安全標簽制定訪問控制策略，實現對虛擬化的多維度的細粒度的訪問控制。

3 系統總體設計

在虛擬化網絡環境中訪問控制模塊主要包含以下幾個方面：策略管理模塊、超級調用攔截模塊、多級安全控制模塊、通信訪問控制模塊和存儲設備訪問控制模塊。策略管理模塊實現對虛擬化全局資源訪問控制策略的管理、分發同步功能；超級調用攔截模塊主要實現虛擬機間通信和虛擬機對存儲磁盤的訪問請求的攔截功能；多級安全控制模塊主要實現虛擬機訪問行為的多級安全防護；通信訪問控制模塊主要實現虛擬機間通信的控制行為；存儲設備訪問控制模塊主要實現虛擬機對虛擬磁盤的訪問控制功能。在Xen虛擬化環境中該系統的總體模塊結構設計見圖2。

圖2 總體模塊結構設計Fig.2 Structure design of overall module

可以直觀看到，該系統策略主要包含2個方面：全局策略管理和本地策略管理。其中，全局策略管理在管理服務器中，主要負責對系統中所有訪問控制策略的制定和管理，并且保證與服務器本地策略保持同步。本地策略管理模塊位于各個虛擬機服務器中，在Xen環境中該模塊位于Dom0中，主要是和管理服務器通信，負責接收來自管理服務器的同步策略信息，并且將策略信息及時寫入到Hypervisor的本地信息庫中。

在該系統中，主要基于XSM框架的安全接口通過超級調用攔截模塊實現對虛擬機之間的訪問和虛擬機對磁盤的訪問行為的控制。其中，超級調用模塊位于Hypervisor中，主要實現對事件通道和授權表操作的超級調用。

在虛擬化網絡環境中系統資源必須遵循分級分域的原則，在Hypervisor層被攔截的訪問請求將會被送到多級安全模塊中進行判定。該多級安全模塊是對基于BLP的多級安全理論的具體實現，保障虛擬機的訪問行為不違反“不上寫、不下讀”的基本原則。主要是實現防止跨越等級的非法操作。

虛擬機間通信訪問控制模塊位于Hypervisor中，主要是對多級安全模塊傳遞的對虛擬機間的通信進行再次判定，只允許屬于同一部門或者滿足訪問控制策略要求的訪問請求被允許。

存儲設備訪問模塊位于Hypervisor層中，主要是對虛擬磁盤訪問控制機制的具體實現，對于多級安全模塊傳遞過來的對虛擬磁盤讀寫行為進行判斷，使得虛擬機只能訪問自己的虛擬磁盤或者對符合本虛擬機訪問控制策略的磁盤進行訪問（該虛擬機存在于虛擬磁盤鏈表中），禁止其他非法訪問請求。

4 系統實現

4.1 測試用例

本節主要從以下幾個方面測試虛擬化訪問控制模型的可用性。

4.1.1 訪問控制策略分發測試

測試在正常狀態下，管理服務器的策略制定功能及其策略分發功能。

測試步驟為：

1）在管理節點服務器上制定針對測試環境的多級安全策略、用戶域策略和部門域策略；

2）嘗試將管理節點服務器上制定的訪問控制策略分發到每一個計算節點服務器；

3）檢查計算節點服務器的配置文件，檢查是否正確接收到了訪問控制策略。

預期結果為：計算節點服務器能夠準確接收到管理節點服務器下發的訪問控制策略。

4.1.2 虛擬機之間的通信訪問控制測試

測試在正常狀態下，虛擬機之間通信行為的訪問控制功能。

測試步驟為：

1）登陸非密等級虛擬機domu3；

2）在虛擬機domu3中，嘗試對屬于部門M的非等級虛擬機domu1發起通信請求；

3）觀察虛擬機domu1對虛擬機domu3通信請求的響應結果。

4）登陸機等級虛擬機domu2；

5）在虛擬機domu2中，嘗試對屬于部門M的非密等級虛擬機domu1發起通信請求；

6）觀察虛擬機domu1對虛擬機domu2通信請求的響應結果。

預期結果為：虛擬機domu3無法訪問虛擬機domu1；虛擬機domu2可以訪問虛擬機domu1。

4.1.3 虛擬磁盤讀寫訪問控制測試

測試在正常狀態下，虛擬機對虛擬磁盤訪問行為的的訪問控制功能（虛擬機domu1沒有授予虛擬機domu3訪問虛擬磁盤權限和虛擬機domu1授予虛擬機domu2訪問虛擬磁盤權限）

測試步驟為：

1）登陸虛擬機domu3；

2）在虛擬機domu3中，嘗試對屬于虛擬機domu1的非密虛擬磁盤發起讀寫訪問請求；

3）觀察虛擬機domu3對虛擬機domu1虛擬磁盤讀寫請求的響應。

4）登陸虛擬機domu2；

5）在虛擬機domu2中，嘗試對屬于虛擬機domu1的非密虛擬磁盤發起讀寫訪問請求；

6）觀察虛擬機domu2對虛擬機domu1虛擬磁盤讀寫請求的響應。

預期結果為：虛擬機domu3無法訪問虛擬機domu1的虛擬磁盤；虛擬機domu2可以訪問虛擬機domu1的非密虛擬磁盤。

4.2 安全域間的通信實驗

1）domu1和domu2處于相同的部門域。雖然domu1屬于機密域，domu2屬于非密域，但是domu2可訪問domu1授權的非密域的虛擬磁盤。因此，domu2可和domu1進行虛擬磁盤共享Domu2能夠成功接入信道，證明在通信訪問控制策略作用下虛擬機之間能夠實現安全通信將domu1提供的共享內存頁映射到domu2的訪問地址為shared_page=d388400（見圖3），即domu2在自己的地址空間，可以通過該地址讀寫數據，其寫入的數據domu1可見，domu1寫入的數據domu2也可見，證明能夠實現虛擬磁盤讀寫訪問控制策略。綜上，能夠看出訪問控制策略分發成功。

圖3 虛擬機之間通信成功Fig.3 Successful communication between virtual machines

2）domu1部門域為M不能和部門域為N的domu3通信。因此，domu3企圖接入domu1，提示“-1 Bad address”（見圖4），由此可知domu3接入domu1信道失敗，即虛擬機domu3與domu1不能通信以及讀取虛擬磁盤信息。

圖4 虛擬機之間通信失敗Fig.4 Failure communication between virtual machines

本節主要針對訪問控制策略分發、虛擬機通信訪問控制、虛擬磁盤讀寫訪問控制的安全模型進行測試，驗證了該模型在虛擬化環境中對虛擬機之間的通信以及虛擬機對虛擬磁盤的訪問行為控制的有效性。

5 結論

在當前虛擬化架構下，Hypervisor通過Hypercall機制為上層虛擬機提供了建立基本通信機制的能力，包括EventChannel和granttable機制。通過在虛擬機上加上合適的訪問控制機制安全策略實現2個DomU之間在安全策略的控制下建立底層通信信道，實現或者禁止虛擬機之間相互通信以及數據信息傳遞。本文在虛擬化環境中在BLP模型的基礎上引入虛擬安全域的邏輯，對虛擬化環境進行分級分域實現本訪問控制系統，實踐證明，在虛擬化環境中如果缺乏有效的訪問控制機制，當前的Xen主流虛擬化產品將難以有效防止信息泄露行為，造成難以預料的信息泄露。