83
0 引言
虚拟化技术在信息系统组织,降低信息系统操作代价,改进硬件资源的效率、利用率以及灵活性方面扮演着主要的角。通过虚拟化,物理的电脑被划分成多个孤立的虚拟机,即多个虚拟机可以在一台主机上运行,每一个虚拟机都运行自己的操作系统和应用程序。随着虚拟化技术的广泛运用,它的安全性问题也越来越受到关注。
1虚拟化面临的安全威胁
虚拟机环境中大多数的安全缺点和物理系统相关的安全缺点非常类似。包括以下几种场景和攻击:虚拟机之间或者虚拟机和主机之间的交流和孤立;妥协孤立造成的VM escape ;主机监控虚拟机场景;另一
台虚拟机监控一台虚拟机场景;服务拒绝攻击;用户到用户的攻击;虚拟机发生外部改变的场景;超级监督者发生改变的场景等等。以下我们研究两篇论文,来看两个实际的虚拟化场景中的安全控制机制。
1.1 可移植镜像的安全控制
虚拟机技术被认作是服务器端资源共享和应用服务传播的基础。虚拟机由镜像实体化而来,这些镜像包含了初始的文件系统状态和虚拟机上的软件。一个镜像可能在一个客户虚拟机上被实例化,而这个镜像的硬件是由一个服务资源提供商提供的。虚拟机镜像也是传播“虚拟应用组件”的便捷工具。这些虚拟应用组件通过预先打包好的软件组件来实现分发,当客户端请求时,设备实例化这些应用组件。考虑如下一个最简单的例子,虚拟机在用户直接使用的设备界面上实例化。客户控制器是一个处理客户表单请求的Web 页面,并且将虚拟桌面按照需求实例化成一个特别的组件镜像。这时候,安全控制所需要的只是一个简单的语境表单,这个表单可以
他们需要管理环境相关的镜像变量。例如,亚马逊的EC2提供了一个虚拟计算架构管理着AMIs(Amazon Machine Images). 一旦实例化之后,一个AMI 通过HTTP 查询一个镜像上预装的URL 去获得所有者的公钥。这个URL 指向了一个域名,这个域名由Web 服务器所管理,接受请求,并且返回给用户相应的Key。因此这个镜像只能在EC2上运行。
另一个常用的解决办法是将安全令牌(例如密钥密码之类)嵌入到镜像中。这个导致了当镜像被一个不同的安全体系共享时,是不安全的。更进一步的是,当一个可移植的镜像被一个镜像提供商许可,安
装安全令牌会使这种许可失效。镜像提供商可以为特别的顾客按照需求提供许可镜像。但是这种方法依然禁止了镜像的共享,并且需要设备去管理同一个镜像上的多种变量。由于镜像的大小会大到GB 级别,一个镜像的多个实例可能会和缓存机制冲突并且影响性能。
第三种选择是在安装过程修改可移植的镜像,安装密钥或者其他依赖信息。例如,软件设备可能当镜像验证过后写入密钥。这个方案折衷了可移植性,因为这个软件必须注意到镜像结构、操作系统、文件系统状态、密钥存储位置以及验证服务。这个选择会限制操作系统和新组件的发展。
Ionut Constandache 等提出了一个简单实用灵活的绑定协议,镜像提供商可以简单安全地提供支持。这个协议不依赖镜像上预装的安全状态。但是,它需要镜像上的KeyMaster 在初始阶段运行执行协议。绑定协议实现在最小的python 脚本语言的KeyMaster上,这个协议交换并且安装公钥使得可以建立一个有root 权限的SSH 连接。图1解释了
传输Key,使得所有者可以使用传输层安全协议(例如 TLS/SSH/SSL 等)和所有者与客户节点的相互认证,来通过一个连接安全的登录。理想情况下,登录甚至不需要密码。
一个前提也是必须的立足点是,通过一个绑定的协议来建立一个安全的已验证的控制信道,这个信道连接了客户控制器和客户镜像。这个控制信道的安全性是关键的。如果这个信道不安全,那么一个攻击者可以控制一个新实例化的虚拟机,模仿或者阻止正确拥有者的访问。一个更有经验的攻击者可能会在客户控制器和节点之间插入,监听或是篡改客户程序。因此绑定协议必须提供交互验证以及密钥交换。因为控制器很有可能被一个广域网所隔开,这个协议需要在传输层及以上提供完备的防御,而不是只依靠孤立网络段。
一个可选择的解决办法是为特定用户的特定使用构建镜像。现在很常用的是在镜像上添加依赖关系,但是这种做法和镜像的共享冲突,为镜像提供商和设备提供商增加了不受欢迎的负担,
蒋万春,汤立,陈震
(清华大学,北京 100084)
摘 要:
虚拟化技术在系统组织,降低系统操作代价,改进硬件资源的效率、利用率以及灵活性方面扮演着主要的角。然而,虚拟化技术本身不仅面临着传统网络已有的安全威胁,还面临着自身引入的安全问题。但是,由于虚拟化技术带来的资源分割独立的优势,它也在构建安全策略中扮演着重要的角。本文主要是关于这两方面虚拟化安全问题的调研。
关键词:
虚拟化;安全中图分类号:TP393.08 文献标识码:A
安全问题探析
虚拟化
doi :10.3969/j.issn.1671-1122.2010.08.033
协助的虚拟化系统,并将其集成到操作
系统中去。这个项目最近才发布,命名
为Hyper-V,是Windows server 2008的
一个部分。Hyper-V是一个投资平台并
且将会作为未来技术的一个基础。所
以从开始的时候体系结构就要正确。通
过Hyper-V 的设计中添加了可信计算的
原则。Hyper-V有三个主要部分组成:
Hypervisor、虚拟化栈,虚拟机。结构
体系如图4所示:
图4 Hyper-v结构体系
Hypervisor是分区内核,没有虚拟
化函数,虚拟化由虚拟化栈提供。如上
图所示,是一个非常薄的软件层,没有
设备驱动,但是为其他操作系统的支持
提供了良好的接口。
虚拟栈运行于Root分区,是将传
统的Hypervisor分区放到上层作为一个
微型Hypervisor,管理客户分区,解决冲
突。层次结构如图5所示:
图5 Hypervisor层次结构图
安全模式的建立有如下安全假
设:用户是不被信任的,Root必须被
Hypervisor信任,父节点必须被子节点
信任。调用接口的文档很详细,并且被
攻击者广泛可见。所以的调用接口用户
都会尝试,能够检测用户是否在一个
Hypervisor上运行。安全的目标包括:分
区间的孤立,保护用户数据的完整性和
可信度等等。Hyper-V安全模式如图6:
由图6可见,Hypervisor的安全模
式包括以下几个方面:
内存:Hyper-V需要维护物理地
从一个镜像在一个设备页面上实例化一
个节点的安全控制过程。
图1 安全控制过程
以下是两种不同的绑定协议,分别
用在不同的情况,前一种是秘密分享协
议,后一种是无秘密协议。秘密分享协议
(Shared Secret Protocol)流程图如图2所示:
图2 秘密分享协议流程图
无秘密协议(No "Secrets" Protocol)
如图3:
图3 无秘密协议示意图
这两种协议主要从以下几个方面来
比较:1)防御攻击类型:均为Man-in-
the-Middle 型攻击;2)协议需求:Shared
Secret 有安全性上的需求,request, site
control 和boot channel必须是安全的,而
对于 No Secrets来说,这三者必须满足完
整性;3)可信内容:页面(Site)是可信的,
它们都需要传输安全令牌,所以必须是
可信的;4)缺陷: Shared Secret 如果被
危害到,就会面临Man-in-the-Middle攻
击,分享的对称密钥K暴露在主机的页
面上,而对于No Secrets来说只要页面正
确传输了,就不会有缺陷。
绑定协议允许一个最近实例化的节
点建立一个验证所有者和控制器之间的
安全交流通道。这种能力对于背景中的
或是个性化的虚拟组件镜像是一个关
键的立足点。绑定协议、背景层以及控
制层的分开使得多背景方法存在于同一
个设备计算平台上。
1.2 Hyper-V 安全模式
2003年,微软开始开发一个硬件
址到分区的映射。内存上维护父子关
系模型。可以在客户page tables上获得
读取权。
1)CPU:硬件管理缓存和注册的
孤立,指令冲突;2)I/O:用户对实际
硬件没有权限;3)Hypervisor接口:分
区隐私模式,用户模式调用接口。
Hyper-V 的安全模式包括以下方
面:使用验证管理器,为个人定义了特
定的函数,比如开始、停止创造,添加
硬件,更改驱动镜像等;虚拟机管理员
不一定要是系统的管理员;客户资源被
每一个虚拟机配置文件所控制;共享的
资源是受保护的。
2 虚拟化在安全方面的应用
虚拟化技术同样可以被用于保证系
统的安全性,这主要得益于虚拟化技术
所带来的独立性。虚拟化技术将操作系
统和指令执行隔离开来,这样就有可能
检测所有的操作系统的调用。这一点可
以极大地降低监测的复杂度。
2.1 应用程序跟踪
目前,应用程序面临着各种各样的
攻击,如浏览器漏洞攻击、PDF嵌入代
码。当恶意软件进入系统漏洞时,主机
不会立刻有受到感染的提示,同时恶意
软件会传播到整台机器。毕竟,完美的
防护是不可能的,那如何从攻击中恢复
过来是一个重要的问题。一种方法是
备份,但是频繁的备份不能说明系统什
么时候被感染的,不能够区分好的和坏
的,什么东西损失了,什么行为、文件
被恢复了,个人信息是否被泄露了。直
觉认为,记录所有应用程序的行为能够
解决这个问题。但是记录所有操作系统
的行为代价太大,日志文件大小增长非
图6 Hyper-v安全模式
85
序能否安全运行就完全建立在语言实现的正确性之上。从上个世纪90年代开始,大量研究开始关注如何减小安全语言的信任基础。携带证明的代码(proof-carrying code,简称PCC )是其中最有代表性
的工作,它采用形式化方法来证明程序的安全性质,并通过直接在汇编语言级别上对程序进行运行前的证明检查来排除编译器中潜在的错误对程序安全性的影响。传统的PCC 如图9所示, 制造者依据一定的规则构建一些证明,使用者使用验证条件生成器生成验证条件,检测该证明的正确性。其中PCC 面临的一个重要问题是证明的大小和代码本身的大小的协调,制造者缺乏灵活性,可信计算基(TCB )相应增长很快。
图9 传统的PCC示意图
扩展的PCC (EPCC )通过使用小型的安全虚拟机(Virtual machine of EPCC )来解决这些问题。Heidar Pirzadeh 等探讨了该小型虚拟机设计中的折衷以及VEP 工作的机制。在传统的PCC 中添加VEP 以及证明生成编译器可以实现证明优化和压缩的目标。如图10所示,首先制造者使用用户的逻辑制造更小的证明,证明之后会被用户转化为自身的逻辑集。之后制造者使用证明生成器将该证明输出为用户可接收的格式。这样制造者就有两次优化和压缩证明的机会。接着用户得到制造者提供的代码,并且在执行该代码前检测证明,即在VEP 上面运行安全代码生成器得到证明,并用检测器检测。VEP 是EPCC 的TCB 中的关键部分,它只有300多行代码,非常容易被验证。
3 总结
虚拟化带来了机器逻辑上的变化,
常快,因为记录不能持续很长时间;另外,由于应用程序共享服务,感染可能并不会被包含在记录中,从记录中追踪感染非常困难。如果仅仅记录恢复所必须的日志,这是可行的。Yih Huang 等使用轻量级虚拟化来完成这项任务。应用轻量级虚拟化,能够独立各个应用程序,避免记录操作系统的日志,使得应用程序从一个已知的安全的状态开始运行,从而达到追踪应用程序的目的。轻量级的虚拟化通过以下策略实现:
1)控制所有应用程序内部I/O ;2)记录应用程序内部的系统调用,忽略操作系统的系统调用和事件;3)所有应用程序独立运行,无进程间通信;4)维护统一的文件系统:保证应用程序崩溃不能颠覆整个系统;快速的应用程序重启和快照;共享的文件放在专门的磁盘块,由用户批准文件共享。
轻量级的虚拟化技术对于资源受约束的环境来说是理想的,它能够追踪病毒在应用文件及其容器中的传播。实验表明,轻量级虚拟化的情况下,系统调用显著减少,需要记录的内容亦显著减少,如图7所示。
2.2 跨层的损伤评估 (Damage
Assessment )
损伤评估的主要目的是发展各种技术和工具,以确定和评估信息资产的损害和破坏情况,从而为从灾
难中恢复提供支持。损伤评估和入侵检测的不同之处主要有:(1)损伤是会传播的,如一个受损的文件中X 在被使用时,有可能导致另一个文件Y 被损坏;(2)受损的数据或者代码在不同的级别有不同的语意,如被SQL 注入损坏的记录在指令级、操作系统级、用户级分别具有不同的语义。如果在系统调用级监察损伤,则效果不够好;如果从指令级监察损伤,虽然能够得到细粒度的结果,但是开销大,响应时间不能满足需求。为了解决响应时间和检测粒度之间的冲突,有必要使用离线的细粒度损伤评估,即离线的
重新执行产品系统,在此期间追踪基于信息流的损伤传播, 这样对于响应时间的要求就放松了。 但是离线评估的问题在于如何确定离线系统的行为是在线系统行为的复现,即保真性(fidelity )问题。如图8所示,在产品系统虚拟机在线执行时,做轻量级的记录,只记录非确定性的事件;在离线执行时,应用这些记录,消除离线执行时的不确定性,从而保证离线执行和在线执行的一致性。同时,他们分别考虑了客户虚拟机被损伤、未被损伤情形下的跨层损伤评估,给出了指令级和操作系统级别联合的问题追踪。
2.3 扩展的携带证明的代码(PCC)
计算机软件安全问题也越来越引起人们的关注。基于程序设计语言的软件安全研究试图通过使用安全的程序设计语言来避免软件中可能存在的隐
患。使用这类安全的程序设计语言,例
如Java 和C#
等,程序员通常能够避免在使用传统程序设计语言时经常出现的一些安全漏洞,如数组越界、悬空指针访问、内存泄漏等。然而这类安全语言的实现大都相当复杂,通常包括一个庞大的编译器以及诸多实现各种功能的运行库和虚拟机。因此这类语言编写的程
图7 轻量级虚拟化下系统调用、需要记录
内容示意图
python虚拟机图8 相关记录示意图
它只是下层系统的逻辑实例,所以很多传统电脑遇到的威胁对于虚拟机来说同样存在。虚拟化是一个强大的解决办法,减少了计算上的开销,但是当它犯错时会威胁到原有的系统环境。更加复杂的是,由于市场上存在太多不同种类的虚拟化技术,安全问题很难被理解。每一种都有自己的优点和缺点,每一种虚拟化部署都是不同的,取决于虚拟化的需求。一个普遍的认识是任何一个单一的虚拟化技术不可能解决所有的安全问题。所以建立一个好的虚拟化环境的关键是深入了解需要虚拟的环境,考
虑所有可能的安全问题。最后在正确的虚拟化技术帮助下完成设计,将安全模型重点考虑。
虚拟化技术使得资源分割独立起
来,虚拟机之间互不影响,因而使得监测变得容易起来了。在安全技术的构建之时,使用轻量级的虚
拟化技术,往往有助于降低实现的代价。虚拟化技术本身面临着安全问题,但也有助于安全技术设计。 (责编 杨晨
)参考文献:
[1] William Arbaugh, Brandon Baker, Hyper-V Security, talking on VMSec workshop of CCS'08.
[2] hi.baidu/xifengtang/blog/item/339eee07d0f7cfc17b8947ab.html.
[3] www.vmware/cn/technology/virtual-infrastructure.html.
[4] Yih Huang, Angelos Stavrou, Anup K. Ghosh, Sushil Jajodia, Efficiently Tracking
Application Interactions Using Lightweight Virtualization, VMSec workshop of CCS'08. [5] Xiaoqi Jia, Shengzhi Zhang, Jiwu Jing, Peng Liu , Using Virtual Machines to Do Cross-Layer Damage Assessment, VMSec workshop of CCS'08.
[6] Ionut Constandache, Aydan Yumerefendi, Jeff Chase, Secure Control of Portable Images in a Virtual Computing Utility , VMSec workshop of CCS'08.
[7] Heidar Pirzadeh, Danny Dubé, VEP: a Virtual Machine for Extended Proof-Carrying Code, VMSec workshop of CCS'08.
[8] Jenni Susan Reuben, a survey on virtual machine security, TKK (Helsinki University of Technology) T-110.5290 Seminar on Network Security,2007-10-11/12.
定“未经著作权人许可”的常见途径,但这一举证途径在被侵权的权利人为单一或少数的情形下比较适用,当被侵权人人数众多、分布范围广泛时,则会陷入困境,并不具备可操作性,也容易造成执法资源的浪费,在权利人无从逐一查的情况下,司法实践开始支持通过著作权认证机构,或著作权集体管理组织等权利人组织出具证明的途径,来解决现实问题。
国家版权局陆续指定了一批涉外著作权认证机构,代表某一领域的权利人进行权利认证,包括国际唱片业协会、美国商业软件联盟、交互式数字软件协会等,2006年,国家版权局又先后指定韩国著作权审议调停委员会、日本唱片协会为涉外著作权认证机构。上述这些认证机构均已设立了驻华办事处。这些认证机构的确可以在不同领域内就相对应的作品出具权利证明,但其具有局限性。根据国家版权局相关文件,这些认证机构的驻华办事处本身不能直接进行认证,必须通过办事处向其总部取得认证证明,这种程序上的要求导致了取证效率的降低。
4 电子商务犯罪预防建议
鉴于电子商务犯罪的日趋严重和查处难点,有必要采取积极应对措施,加以预防和规制,在防范对策上必须强调前瞻性、综合性、一体化的策略。
4.1 加强技术防范,保障运营安全
犯罪分子对电子商务系统的侵害和攻击总是从系统安全的漏洞着手,因此防范电子商务犯罪的基础工作就是进行技术防范,当前,拥有大量网络安全技术和管理高级人才的电子商务运营企业,应当进一步加快维护电子商务系统安全的技术开发,为防范和制止犯罪提供重要的智力和技术支持,以全面提升整个交易系统的安全系数。
4.2 完善管理机制,提高员工素质
加强机制建设,对电子商务活动进行有效监管,建立健全大额交易记录报告、可疑交易报告制度,完善客户信息资料及帐户监管操作流程,设置复核审批关口,明确责任人,强化制度执行情况的检查和监督,定期开展职业道德教育、法制宣传,提高员工遵法守法、预防犯罪的自觉性。
4.3 重视信息沟通,形成打击合力
电子商务犯罪案件由于专业性较强,不能完全沿用办理传统刑事案件的经验和做法。作为检察机关,要继续加强与公安机关的相互配合和相互制约,对于重大案件通过适时介入侦查活动,对侦查方向和
侦查取证提出针对性的意见和建议, 以形成合力,提高工作效率,确保办案质量,稳准狠地打击犯罪,震慑犯罪。
4.4加强法制宣传,强化防范意识
不少高仿真假冒网站页面雷同、Logo 相似,被害人一旦上当,就会被盗走客户的个人信息资料。针对当前“钓鱼网站、李鬼热线”正成为电子商务犯罪常见手段的现状,必须加强法制宣传力度,呼吁广大市民提高防范意识,注册时看清网址,尤其是看准网页上有无网络安全警察等安全认证标志,尽量到知名网站进行交易。
(责编 张岩)图10 相关技术结构示意图
51页
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论