基于云計算的虛擬機系統安全分析

李芬

摘 要：云計算模式的出現，進一步的滿足了用戶計算以及儲存資源等相關需求，更多先進的技術被開發應用，比如虛擬技術，實現對服務資源的動態調整和監管，更加滿足用戶的實際需求。一時間基于云計算虛擬機系統就成為了探究的熱門話題，本文也就在此基礎上，對其安全問題進行探究，確定在當前云計算服務下存在的安全問題，如何確保虛擬機系統的安全可靠性。

關鍵詞：云計算;虛擬機系統;安全分析

引言：云計算技術在當前已經得到了快速的發展，作為一種新型的計算模式，讓云計算資源實現動態化、虛擬化，提高了其伸縮性和靈活性，特別是虛擬化技術的開發利用，進一步滿足用戶的多樣化需求。但是以你為云計算本身開放式的特點，在大環境中，安全仍然是非常重視的一個問題。很多調查中發現，當前用戶對于云計算主要需求，安全性問題占據的比例最大，一些大型的企業也還是會發生各種安全事故，加劇了用戶對于與計算技術的憂慮。為此基于云計算的虛擬機系統安全也成為了云計算技術和虛擬化技術發展的重點關注問題。

1. 基于云計算的虛擬機系統

云計算是通過網絡云將巨大的數據計算處理程序分解成無數個小程序，通過服務器組成的系統進行處理和分析，并且把最終得到的結果反饋給用戶。它是通過一系列的動態升級和被虛擬化的資源組成，為用戶提供云服務。并且在各行業都得了應用，比如醫藥醫療運用云信息平臺，取代了各系統分散為為主體的運用模式，提高內部信息共享能力等;比如在制造領域，利用云計算技術，實現對內部業務系統整合，加速企業顳部信息一體化進程;在電子政務領域里，利用云計算技術建立技術平臺，提高公共服務平臺內部的可靠性[1]。

基于云計算的虛擬機系統，首先分析虛擬化技術，就是基于云計算技術發展而來的，通過在硬件上添加虛擬機監控器的軟件來實現，提高計算機的工作效率。簡單來講，就是計算原件在虛擬的基礎上運行。虛擬化技術原理就是虛擬機對真實計算環境的抽象和模擬。然后分析虛擬機，虛擬機是計算機系統的仿真器，通過軟件模擬具有硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。作為虛擬化技術的一種，就比如目前比較常見的VMware Workstation系統，該系統軟件就可以提供虛擬機功能，讓計算機可以同時運行多個不同操作系統，可以在一部實體機器上模擬完整的網絡環境[2]。

在實際使用中，基于云計算的虛擬機系統，相關用戶在使用計算與儲存等資源的同時，將軟件和硬件設備的直接控制和維護全交給了云計算提供商，不需要知道云計算系統所處的位置以及配置信息。針對特點就增加了用戶使用的安全威脅，特別是針對一些有特殊安全需求的使用者，相當于放棄了安全控制權，讓安全無法得到保證。此外，針對安全問題，在實際的運用中，一般會安裝虛擬機監視器，但是一些攻擊者也會利用監視器中弱點對虛擬機系統進行攻擊，進而容易出現安全問題。經過總結目前基于云計算的虛擬機系統所面對的安全問題主要有：安裝容易軟件、仿冒提供商、仿冒合法操作、訪問運行時數據、訪問配置數據、進行拒絕服務供給、否認虛擬機啟動、干預其他用戶的虛擬機、獲取用戶機密數據。在操作中，外部攻擊者、操作者以及提供商都可能會成為攻擊者，帶來安全威脅，為此還需要加強研究，確保虛擬機系統的安全問題。

2. 基于云計算虛擬機系統安全策略

對于虛擬機系統的安全保證，最主要還是需要確保一個安全的計算環境，確保系統的安全性。在本次的研究中，是在已有的研究基礎上，進行分析，總結已有的一些安全技術，確保虛擬機系統運行安全。

2.1 對虛擬機之間的通信和訪問進行控制

為了對虛擬機之間的通信和訪問進行控制，確保一個有效的虛擬機系統環境，限制攻擊和惡意代碼在虛擬機之間的傳播。因此可以通過采用訪問控制模型，比如Virt-BLP 模型。實現強制訪問控制框架，對虛擬機之間的通信和訪問進行有效控制。

其主要操作是建立相關的模型，就如在BLP 模型升級優化而成的Virt-BLP 模型。但是要想實現有效的控制，確保運行安全，還需要在模型中設計強制訪問控制框架。一般會選擇一個平臺，將Virt-BLP 模型的相關勻速映射或體現在虛擬機系統中，以此來實現控制功能。這樣在實際的操作中，云服務供應商就可以利用控制框架來管理和控制多天用戶虛擬機之間的訪問和通信，確保多級安全的訪問控制。主要是提供了一個多級安全環境，防治攻擊以及惡意軟件在虛擬機之間相互傳播啊，主要針對的訪問控制[3]。

2.2 虛擬機系統用戶級應用程序的安全控制

是在訪問控制上的進一步安全保證，確保云計算軟件服務中客戶虛擬機用戶級應用程序的安全性。因為虛擬機的隔離特性，很多方法都借助特權虛擬機來監控客戶虛擬機的狀態，因此需要對用戶級應用程序的安全進行控制。比如使用面向云平臺的虛擬機內度量框架：HYperivm度量框架。

度量框架融合度量的思想和虛擬機內監控方法，不需要硬件虛擬化的支持，利用可信平臺模塊就能作為框架的可信根結點，保證度量過程本身的可信性。對于虛擬機系統用戶級應用程序的安全控制，其中最關鍵的就是客戶虛擬機，他負責度量客戶虛擬機中運行的可執行程序并產生相應的度量值，當有新的度量值產生，就會立即通過虛擬機之間的通信機制傳遞到特權虛擬機中，放到度量列表中，以此來確保度量過程的可信性。在實際的運作中，可信性環境下，客戶虛擬機中可執行程序產生的度量值是可信度量值，也是在驗證中個作為標準值。而且在框架中還涉及了內存監視模塊和判斷度量模塊狀態[4]。

2.3 客戶虛擬機內核運行安全保障

云計算虛擬機系統中客戶虛擬機操作系統內核的安全確定，主要是通過虛擬機動態監控框架來實現，針對內核攻擊，確保內核的運行安全。比如目前使用的HYperivm動態監控框架。上述HYperivm度量框架確保用戶級安全，而HYperivm動態監控框架確保內核運行安全。

客戶虛擬機動態監控框架，是為了保障客戶虛擬機內核的運行安全，針對內核攻擊，動態監控框架可以不借助系統文件，直接通過搜索客戶虛擬機的內核內存來得到監控需要的關鍵值。并且在框架中利用監控頻率自調整策略，可以調整監控的頻率，不斷改進檢測的準確率。

3. 結束語

本文主要是對基于云計算的虛擬機系統安全保證進行了分析，簡單闡述了目前對于虛擬機系統安全保證的擊中措施，通過訪問控制模型對虛擬機之間的通信和訪問進行有效的控制;虛擬機內度量框架確保云計算軟件服務中客戶虛擬機用戶級應用程序的安全性;動態監控框架確保內核運行安全。

參考文獻：

[1]張淑慧. 基于內存自省的虛擬機系統安全監控模型與方法研究[D].山東大學，2018.

[2]李波濤.基于云計算的虛擬機系統安全探析[J].電腦與信息技術，2018，26（04）：82-84+91.

[3]劉謙. 面向云計算的虛擬機系統安全研究[D].上海交通大學，2012.

[4]陸彥琦，伍華鳳，高毅. 云計算環境下虛擬機安全性分析與研究[A]. 中國造船工程學會電子技術學術委員會.中國造船工程學會電子技術學術委員會2017年裝備技術發展論壇論文集[C].中國造船工程學會電子技術學術委員會：中國造船工程學會，2017：7.

（武漢晴川學院）