基于虛擬安全域的多級(jí)安全訪問(wèn)控制

孫 陽(yáng)，劉 京，郎靜宏，柯文浚

（1.海軍航空大學(xué)，山東煙臺(tái)264001；2.中國(guó)航天系統(tǒng)科學(xué)與工程研究院；3.中國(guó)空間技術(shù)研究院，北京100048）

作為云計(jì)算[1]技術(shù)核心的虛擬化技術(shù)[2]，目前仍然面臨許多安全問(wèn)題。但能通過(guò)使用合適的訪問(wèn)控制模型[3]，在一定程度解決虛擬化環(huán)境中的安全威脅。Xen虛擬化安全平臺(tái)中研究的核心問(wèn)題是hypervisor[4]安全。IBM通過(guò)對(duì)虛擬機(jī)系統(tǒng)進(jìn)程進(jìn)行控制，實(shí)現(xiàn)系統(tǒng)資源隔離，通過(guò)建立sHyper架構(gòu)設(shè)計(jì)訪問(wèn)控制模塊實(shí)現(xiàn)該隔離機(jī)制；Ga等利用TPM機(jī)制實(shí)現(xiàn)安全啟動(dòng)Hypervisor，建立可信Hypervisor對(duì)虛擬機(jī)與物理資源隔離，并在代碼層以及對(duì)虛擬化系統(tǒng)中的數(shù)據(jù)的完整性進(jìn)行限制，設(shè)計(jì)HyperSafer架構(gòu)[5]實(shí)現(xiàn)安全模型研究。IBM早在2008年針對(duì)虛擬機(jī)安全問(wèn)題就提出了一種可信虛擬數(shù)據(jù)中心TVD[6]的概念，主要實(shí)現(xiàn)了虛擬化平臺(tái)下可信域間通信，TVD所實(shí)現(xiàn)的數(shù)據(jù)安全策略主要包含：①虛擬化標(biāo)簽，通過(guò)標(biāo)簽來(lái)標(biāo)記可通信的虛擬機(jī)以及資源；②運(yùn)行域，確立可以在同一臺(tái)物理服務(wù)器上運(yùn)行的虛擬機(jī)。

我國(guó)對(duì)虛擬化安全防護(hù)技術(shù)的研究起步較晚，研究成果較為匱乏，主要體現(xiàn)在3個(gè)方面：①研究重點(diǎn)是虛擬化方面的安全防護(hù)，缺乏針對(duì)應(yīng)用場(chǎng)景的安全防護(hù)理論研究；②企業(yè)單位側(cè)重點(diǎn)是通過(guò)虛擬化優(yōu)化工作中遇到的網(wǎng)絡(luò)管理問(wèn)題，對(duì)于信息的安全防護(hù)考慮不充分；③當(dāng)前安全廠商的虛擬化安全解決方案主要是傳統(tǒng)安全技術(shù)和網(wǎng)絡(luò)安全產(chǎn)品的簡(jiǎn)單疊加整合，未嚴(yán)格考慮到虛擬化與傳統(tǒng)網(wǎng)絡(luò)環(huán)境的差異。

總而言之，現(xiàn)如今云計(jì)算技術(shù)的快速發(fā)展，虛擬化也日漸成熟，虛擬化環(huán)境的安全與合適的訪問(wèn)控制模型以及與其制定的策略緊密相關(guān)。因此，對(duì)于CPU虛擬化、內(nèi)存虛擬化、I/O虛擬化進(jìn)行全面深入的了解，并且在這基礎(chǔ)上延伸顯得尤其重要。

1 BLP模型多級(jí)安全規(guī)則

本文在BLP模型[7]的簡(jiǎn)單屬性和*-屬性基礎(chǔ)上結(jié)合虛擬化環(huán)境的特征，設(shè)計(jì)適合企業(yè)內(nèi)網(wǎng)環(huán)境下的虛擬機(jī)間的多級(jí)安全訪問(wèn)控制[8]模型。設(shè)計(jì)模型制定安全策略適用場(chǎng)景為企業(yè)內(nèi)網(wǎng)虛擬化環(huán)境中虛擬機(jī)通信[9]、虛擬機(jī)和存儲(chǔ)設(shè)備之間的信息流控制[10]，使得這2種主要行為滿足虛擬化網(wǎng)絡(luò)環(huán)境多級(jí)安全需求。

定義任何安全狀態(tài)v，其根據(jù)狀態(tài)轉(zhuǎn)換規(guī)則ρ(Rk,v)=(Dm,v*)衍生的v*也是處于安全狀態(tài)，則稱(chēng)ρ為安全狀態(tài)規(guī)則。同理，可定義ρ的簡(jiǎn)單安全特性規(guī)則、*-特性規(guī)則、ds-特性規(guī)則。

規(guī)則1：定義R1=主體對(duì)客體的只讀請(qǐng)求。

定義域 ：Rk=(g,Si,Oj,r)∈R(1)，Rk∈dom(Rk) ，1≤k≤10。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R1)，即Rk在R1的定義域內(nèi)為條件1；記fs(Si)≥fo(Oj)即Si的安全級(jí)別支配客體Oj的安全級(jí)別為條件2；條件3分為3種情形，只要滿足3種情形之一就為滿足條件3。

情形1：Si∈ST，即主體Si是可信主體；情形2：[Oj∈OD][r∈Mij]，即Oj為虛擬機(jī)客體且訪問(wèn)矩陣M中主體Si具有對(duì)客體Oj的r訪問(wèn)屬性；情形3：[Oj∈OS][Oj∈H(Oi)]，即Oj是屬于虛擬機(jī)主體Si的虛擬磁盤(pán)。條件都滿足時(shí)，客體Oj允許主體Si的只讀請(qǐng)求訪問(wèn)。

規(guī)則2：R2=主體對(duì)客體的讀寫(xiě)請(qǐng)求。

定義域 ：，1≤k≤10。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R2)，即Rk在R2的定義域內(nèi)為條件1；記fc(Si)=fo(Oj)即Si的安全級(jí)別支配客體Oj的安全級(jí)別為條件2；條件3分為3種情形，只要滿足3種情形之一就為滿足條件2。

情形1：Si∈ST即主體Si是信主體；情形2：[Oj∈OD][w∈Mij]即Oj為虛擬機(jī)客體且訪問(wèn)矩陣M中主體Si具有對(duì)客體Oj的w訪問(wèn)屬性；情形3：[Oj∈OS][Oj∈H(Oi)]即Oj是屬于虛擬機(jī)主體Si的虛擬磁盤(pán)。條件都滿足時(shí)，客體Oj允許主體進(jìn)行讀寫(xiě)訪問(wèn)。

規(guī)則3：R3=訪問(wèn)主體放棄對(duì)客體的訪問(wèn)，其中訪問(wèn)屬性為x（只讀、讀寫(xiě)）。

定義域：，1≤k≤10；x∈A。

規(guī)則：

規(guī)則解釋?zhuān)寒?dāng)符合條件Rk∈dom(R3)時(shí)，可以從b中刪除主體對(duì)客體x屬性的訪問(wèn)。

規(guī)則4：R4=新建一個(gè)客體虛擬機(jī)。

定義域：，1≤k≤10，Lu表示新創(chuàng)建的虛擬機(jī)客體的安全級(jí)別。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R4)為條件1；記Si∈ST為條件2；記Oj∈OR為條件3。若符合以上3個(gè)條件時(shí)，表示主體新建一個(gè)客體虛擬機(jī)，其父節(jié)點(diǎn)為Oj，且其安全級(jí)別為L(zhǎng)u，記該客體虛擬機(jī)為Onew(H)。當(dāng)創(chuàng)建新的客體虛擬機(jī)后，在相應(yīng)的主體集合內(nèi)新增一個(gè)具有一樣安全級(jí)別的主體虛擬機(jī)，記為Snew(H)。

規(guī)則5：R5=新建客體虛擬磁盤(pán)。

定義域：，1≤k≤10，Lu≤Lj表示新創(chuàng)建的虛擬機(jī)客體的安全級(jí)別。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R5)為條件1；記Si∈ST為條件2；記Oj∈OD為條件3。

若符合以上3個(gè)條件時(shí)，表示主體新建一個(gè)客體虛擬磁盤(pán)Onew(H)作為主體虛擬機(jī)的一部分存儲(chǔ)，該虛擬磁盤(pán)父節(jié)點(diǎn)為Oj，全級(jí)別為L(zhǎng)u。

規(guī)則6：R6=刪除虛擬機(jī)客體。

定義域：，1≤k≤10。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R6)為條件1；記Si∈ST為條件2；記Oj∈OS為條件3。若符合以上3個(gè)條件時(shí)，表示客體虛擬機(jī)Oj被主體虛擬機(jī)Si刪除，同時(shí)虛擬機(jī)Oj名下的虛擬磁盤(pán)一并被刪除。

規(guī)則7：R7=刪除客體虛擬磁盤(pán)。

定義域：，1≤k≤10。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R7)為條件1；記Si∈ST為條件2；記Oj∈OS為條件3。若符合以上3個(gè)條件時(shí)，表示客體虛擬磁盤(pán)被主體刪除。

規(guī)則8：R8=主體Sλ授予主體Si對(duì)虛擬機(jī)客體Oj的訪問(wèn)屬性x。

定義域：，1≤k≤10；x∈A。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R8)，即Rk在R8的定義域內(nèi)為條件1；記Si∈ST，即Si為條件2；記Oj∈OD，即Oj是虛擬機(jī)客體節(jié)點(diǎn)為條件3。若符合以上3個(gè)條件時(shí)，主體Sλ授予主體Si對(duì)虛擬機(jī)客體Oj的訪問(wèn)屬性x。

規(guī)則9：R9=表示主體Sλ撤銷(xiāo)主體Si對(duì)虛擬機(jī)客體Oj的訪問(wèn)屬性x。

定義域：，1≤k≤10；x∈A。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R9)，即Rk在R9的定義域內(nèi)為條件1；記Si∈ST，即Si為條件2；記Oj∈OD，即Oj是虛擬機(jī)客體節(jié)點(diǎn)為條件3。若符合以上3個(gè)條件時(shí)，主體Sλ撤銷(xiāo)主體Si對(duì)客體Oj的訪問(wèn)屬性x。

規(guī)則10：R10=表示調(diào)整主體Sj的當(dāng)前安全級(jí)別。

定義域：，1≤k≤10；Lu表示Sj新的當(dāng)前安全級(jí)別。

規(guī)則：

規(guī)則解釋?zhuān)河汻k∈dom(R10)，即Rk在R10的定義域內(nèi)為條件1；記Si∈ST，為條件2；記Sj∈OD，即Oj是虛擬機(jī)客體節(jié)點(diǎn)為條件3。若符合以上3個(gè)條件時(shí)，調(diào)整主體Sj的當(dāng)前安全級(jí)別為L(zhǎng)u。

虛擬化網(wǎng)絡(luò)環(huán)境中多級(jí)安全模型主要是在傳統(tǒng)BLP模型基礎(chǔ)上，對(duì)虛擬機(jī)之間的通信行為和虛擬機(jī)對(duì)存儲(chǔ)設(shè)備的訪問(wèn)進(jìn)行細(xì)化，主要體現(xiàn)在對(duì)其安全公理和對(duì)轉(zhuǎn)換規(guī)則的重新設(shè)計(jì)。通過(guò)上述對(duì)傳統(tǒng)BLP模型的改進(jìn)，主要體現(xiàn)在以下5個(gè)方面。

1）本文研究的虛擬化環(huán)境中，主動(dòng)發(fā)起訪問(wèn)的為主體虛擬機(jī)S，其中，主體可以訪問(wèn)的客體主要分為客體虛擬機(jī)、管理虛擬機(jī)以及虛擬磁盤(pán)。因此客體O代表了虛擬機(jī)與虛擬磁盤(pán)的并集。因此，利用數(shù)學(xué)模型分析可知，如果存在n個(gè)虛擬機(jī)，則對(duì)于安全級(jí)別為fs(Si)的虛擬機(jī)Si(1 ≤i≤n)，會(huì)有C(Si)個(gè)虛擬磁盤(pán)客體，虛擬磁盤(pán)存放虛擬機(jī)中存放的相應(yīng)安全等級(jí)的文件和數(shù)據(jù)。

2）在本安全系統(tǒng)模型中，將管理虛擬機(jī)設(shè)定為可信虛擬機(jī)，即管理虛擬機(jī)不受訪問(wèn)控制策略的約束；為了滿足多級(jí)安全的特性，將對(duì)虛擬化系統(tǒng)中的虛擬機(jī)以及虛擬磁盤(pán)設(shè)置多安全等級(jí)屬性，主要是為了限制虛擬機(jī)對(duì)信息處理的最高等級(jí)。

3）本文對(duì)虛擬化資源的管理主要采取多層次管理機(jī)制。①管理服務(wù)器對(duì)每個(gè)虛擬化服務(wù)器中的管理虛擬機(jī)進(jìn)行管理，主要是對(duì)管理虛擬機(jī)中的策略進(jìn)行更新、同步等；②Dom0為主體時(shí)，主要默認(rèn)其為可信主體，Dom0為客體時(shí)，主要作為根節(jié)點(diǎn)；③虛擬機(jī)主要作為客體，在虛擬安全域中的虛擬機(jī)均屬于同一層次，客體虛擬機(jī)集合可表述為OD={O1,O2,…,On}，對(duì)任意i(1≤i≤n)，Oi均在H(OR)中，并且對(duì)任意i(1 ≤i≤n)和j(1≤j≤n)，Oi均不在H(Oj)中；④ 該層次為虛擬磁盤(pán)客體，對(duì)于同一用戶的虛擬磁盤(pán)具有相同的虛擬機(jī)節(jié)點(diǎn)，可以用集合方式表述為：

4）傳統(tǒng)的BLP模型中主客體的訪問(wèn)屬性有A={r,w,e,a}。在虛擬化系統(tǒng)中，本文主要研究虛擬機(jī)之間的通信和虛擬機(jī)對(duì)磁盤(pán)的訪問(wèn)，故在此安全模型中只存在2種訪問(wèn)屬性只讀和讀寫(xiě)，即A={r,w}。

5）在該安全模型中禁止普通虛擬機(jī)主體創(chuàng)建、刪除和擅自更改虛擬機(jī)訪問(wèn)屬性等操作，只有可信主體虛擬機(jī)，即管理虛擬機(jī)可以新建、刪除虛擬機(jī)，并且可以實(shí)現(xiàn)對(duì)其訪問(wèn)屬性的調(diào)整?；诖?，該安全模型對(duì)轉(zhuǎn)換規(guī)則重新設(shè)計(jì)修改，并且對(duì)涉及的客體范圍做了進(jìn)一步的限制。

①針對(duì)主體對(duì)客體的訪問(wèn)，當(dāng)主體以x屬性訪問(wèn)客體，主要用規(guī)則1和2表示，主體釋放以x屬性訪問(wèn)客體，主要用規(guī)則3來(lái)表示。

②管理虛擬機(jī)對(duì)虛擬化資源的新建、刪除。管理虛擬機(jī)新建虛擬機(jī)和新建虛擬磁盤(pán)，主要用規(guī)則4和5表示；管理虛擬機(jī)刪除虛擬機(jī)和虛擬磁盤(pán)，主要用規(guī)則6和7來(lái)表示。

③管理虛擬機(jī)對(duì)虛擬機(jī)訪問(wèn)屬性的調(diào)整和虛擬機(jī)主體的安全級(jí)別。規(guī)則8主要體現(xiàn)為對(duì)虛擬機(jī)客體授予訪問(wèn)屬性x。反之，規(guī)則9則是撤銷(xiāo)該訪問(wèn)屬性；規(guī)則10，表示對(duì)當(dāng)前虛擬機(jī)的安全級(jí)別進(jìn)行調(diào)整。

2 虛擬安全域

傳統(tǒng)的網(wǎng)絡(luò)環(huán)境主要是通過(guò)實(shí)體PC機(jī)處理各種不同業(yè)務(wù)，主要采用實(shí)體的終端管理。由于虛擬機(jī)本身的特性，傳統(tǒng)的管理手段不適用于虛擬化環(huán)境，因此需結(jié)合虛擬化信息安全需求，設(shè)計(jì)一種全新的管理方案。本文將引入虛擬安全域，對(duì)資源按域劃分，設(shè)計(jì)屬性作基本的約束規(guī)則，依據(jù)資源屬性確定安全標(biāo)簽，用于判斷虛擬機(jī)通信以及對(duì)存儲(chǔ)設(shè)備的讀寫(xiě)等。

2.1 虛擬安全域理論

本文提出虛擬安全域，即把相同安全等級(jí)、需求的虛擬機(jī)歸入相同的邏輯組內(nèi)，對(duì)這個(gè)邏輯組配置訪問(wèn)控制策略。虛擬安全域中的虛擬機(jī)有共同的安全策略，這組虛擬機(jī)相互信任。本文根據(jù)資源的屬性[11]將分布在虛擬化平臺(tái)上安全屬性一致的虛擬機(jī)劃分在同一虛擬安全域中，不同的虛擬安全域之間保持嚴(yán)格的隔離。通常情形下，在同一虛擬安全域內(nèi)的虛擬機(jī)可以相互通信。相反，則必須符合特定域間訪問(wèn)控制策略[12]才能相互通信。

虛擬化環(huán)境中引入虛擬安全域概念后（見(jiàn)圖1），可將不同安全屬性虛擬機(jī)抽象歸為不同的虛擬安全域，并且其對(duì)應(yīng)的安全策略也各不相同。

圖1 虛擬安全域Fig.1 Virtual security domains

2.2 資源屬性

在虛擬化網(wǎng)絡(luò)環(huán)境中虛擬機(jī)和存儲(chǔ)資源主要涉及3個(gè)核心屬性，主要為用戶、部門(mén)、安全等級(jí)。在虛擬化環(huán)境中主要通過(guò)3種不同的角度去定義。由于均為相互獨(dú)立的劃分方式，所以每針對(duì)其中一個(gè)屬性都會(huì)將虛擬化環(huán)境中的全部資源進(jìn)行劃分，制定針對(duì)特定屬性的安全策略。因此，對(duì)于虛擬化網(wǎng)絡(luò)環(huán)境中的訪問(wèn)控制[13]，其主要難點(diǎn)就在于資源之間的行為需要考慮多方面的條件約束，所以每一個(gè)訪問(wèn)控制策略都需要同時(shí)兼顧多種因素，包括用戶、部門(mén)、安全等級(jí)等。

2.3 安全標(biāo)簽

通過(guò)對(duì)虛擬化系統(tǒng)資源進(jìn)行安全域劃分后，安全標(biāo)簽[14]的作用主要體現(xiàn)在標(biāo)明虛擬機(jī)、存儲(chǔ)磁盤(pán)等資源所屬的虛擬安全域。安全標(biāo)簽是由一組安全屬性信息組成，可以直觀的表明實(shí)體資源所屬的虛擬安全域。

在創(chuàng)建虛擬機(jī)時(shí)以及對(duì)其分配資源時(shí)，都會(huì)被分配一個(gè)明確的安全標(biāo)簽。其中，標(biāo)簽信息作為虛擬機(jī)和存儲(chǔ)資源的基本信息被存儲(chǔ)。在虛擬化網(wǎng)絡(luò)環(huán)境中實(shí)體的標(biāo)簽信息是進(jìn)行虛擬安全域劃分的主要依據(jù)，其地位可見(jiàn)一斑，只能通過(guò)服務(wù)器中管理虛擬機(jī)的虛擬安全域代理進(jìn)行創(chuàng)建和修改。虛擬機(jī)之間通信以及對(duì)存儲(chǔ)資源的訪問(wèn)主要依賴安全標(biāo)簽信息進(jìn)行訪問(wèn)控制策略制定。

虛擬化網(wǎng)絡(luò)環(huán)境中本文利用三元組[15]（用戶、部門(mén)、安全等級(jí)）來(lái)對(duì)資源進(jìn)行標(biāo)識(shí)，將虛擬化平臺(tái)內(nèi)的虛擬機(jī)、存儲(chǔ)等資源劃分給特定的用戶和部門(mén)，并且對(duì)其進(jìn)行劃分相應(yīng)等級(jí)。在虛擬化環(huán)境的安全理論模型中，將三元組歸納為“安全標(biāo)簽”，即通過(guò)標(biāo)簽信息標(biāo)識(shí)虛擬化環(huán)境中的虛擬機(jī)和存儲(chǔ)，在虛擬化安全訪問(wèn)控制架構(gòu)中，可以判斷用戶虛擬機(jī)可通信的虛擬機(jī)和訪問(wèn)的存儲(chǔ)資源。

虛擬化環(huán)境中訪問(wèn)控制策略執(zhí)行時(shí)對(duì)三元組的對(duì)比主要是以安全標(biāo)簽為憑據(jù)。在制定訪問(wèn)控制策略時(shí)，根據(jù)安全標(biāo)簽，首先將虛擬機(jī)和存儲(chǔ)設(shè)備通過(guò)安全標(biāo)簽進(jìn)行屬性標(biāo)識(shí)；再經(jīng)過(guò)資源屬性對(duì)其進(jìn)行虛擬安全域的劃分；然后，依據(jù)安全標(biāo)簽制定訪問(wèn)控制策略，實(shí)現(xiàn)對(duì)虛擬化的多維度的細(xì)粒度的訪問(wèn)控制。

3 系統(tǒng)總體設(shè)計(jì)

在虛擬化網(wǎng)絡(luò)環(huán)境中訪問(wèn)控制模塊主要包含以下幾個(gè)方面：策略管理模塊、超級(jí)調(diào)用攔截模塊、多級(jí)安全控制模塊、通信訪問(wèn)控制模塊和存儲(chǔ)設(shè)備訪問(wèn)控制模塊。策略管理模塊實(shí)現(xiàn)對(duì)虛擬化全局資源訪問(wèn)控制策略的管理、分發(fā)同步功能；超級(jí)調(diào)用攔截模塊主要實(shí)現(xiàn)虛擬機(jī)間通信和虛擬機(jī)對(duì)存儲(chǔ)磁盤(pán)的訪問(wèn)請(qǐng)求的攔截功能；多級(jí)安全控制模塊主要實(shí)現(xiàn)虛擬機(jī)訪問(wèn)行為的多級(jí)安全防護(hù)；通信訪問(wèn)控制模塊主要實(shí)現(xiàn)虛擬機(jī)間通信的控制行為；存儲(chǔ)設(shè)備訪問(wèn)控制模塊主要實(shí)現(xiàn)虛擬機(jī)對(duì)虛擬磁盤(pán)的訪問(wèn)控制功能。在Xen虛擬化環(huán)境中該系統(tǒng)的總體模塊結(jié)構(gòu)設(shè)計(jì)見(jiàn)圖2。

圖2 總體模塊結(jié)構(gòu)設(shè)計(jì)Fig.2 Structure design of overall module

可以直觀看到，該系統(tǒng)策略主要包含2個(gè)方面：全局策略管理和本地策略管理。其中，全局策略管理在管理服務(wù)器中，主要負(fù)責(zé)對(duì)系統(tǒng)中所有訪問(wèn)控制策略的制定和管理，并且保證與服務(wù)器本地策略保持同步。本地策略管理模塊位于各個(gè)虛擬機(jī)服務(wù)器中，在Xen環(huán)境中該模塊位于Dom0中，主要是和管理服務(wù)器通信，負(fù)責(zé)接收來(lái)自管理服務(wù)器的同步策略信息，并且將策略信息及時(shí)寫(xiě)入到Hypervisor的本地信息庫(kù)中。

在該系統(tǒng)中，主要基于XSM框架的安全接口通過(guò)超級(jí)調(diào)用攔截模塊實(shí)現(xiàn)對(duì)虛擬機(jī)之間的訪問(wèn)和虛擬機(jī)對(duì)磁盤(pán)的訪問(wèn)行為的控制。其中，超級(jí)調(diào)用模塊位于Hypervisor中，主要實(shí)現(xiàn)對(duì)事件通道和授權(quán)表操作的超級(jí)調(diào)用。

在虛擬化網(wǎng)絡(luò)環(huán)境中系統(tǒng)資源必須遵循分級(jí)分域的原則，在Hypervisor層被攔截的訪問(wèn)請(qǐng)求將會(huì)被送到多級(jí)安全模塊中進(jìn)行判定。該多級(jí)安全模塊是對(duì)基于BLP的多級(jí)安全理論的具體實(shí)現(xiàn)，保障虛擬機(jī)的訪問(wèn)行為不違反“不上寫(xiě)、不下讀”的基本原則。主要是實(shí)現(xiàn)防止跨越等級(jí)的非法操作。

虛擬機(jī)間通信訪問(wèn)控制模塊位于Hypervisor中，主要是對(duì)多級(jí)安全模塊傳遞的對(duì)虛擬機(jī)間的通信進(jìn)行再次判定，只允許屬于同一部門(mén)或者滿足訪問(wèn)控制策略要求的訪問(wèn)請(qǐng)求被允許。

存儲(chǔ)設(shè)備訪問(wèn)模塊位于Hypervisor層中，主要是對(duì)虛擬磁盤(pán)訪問(wèn)控制機(jī)制的具體實(shí)現(xiàn)，對(duì)于多級(jí)安全模塊傳遞過(guò)來(lái)的對(duì)虛擬磁盤(pán)讀寫(xiě)行為進(jìn)行判斷，使得虛擬機(jī)只能訪問(wèn)自己的虛擬磁盤(pán)或者對(duì)符合本虛擬機(jī)訪問(wèn)控制策略的磁盤(pán)進(jìn)行訪問(wèn)（該虛擬機(jī)存在于虛擬磁盤(pán)鏈表中），禁止其他非法訪問(wèn)請(qǐng)求。

4 系統(tǒng)實(shí)現(xiàn)

4.1 測(cè)試用例

本節(jié)主要從以下幾個(gè)方面測(cè)試虛擬化訪問(wèn)控制模型的可用性。

4.1.1 訪問(wèn)控制策略分發(fā)測(cè)試

測(cè)試在正常狀態(tài)下，管理服務(wù)器的策略制定功能及其策略分發(fā)功能。

測(cè)試步驟為：

1）在管理節(jié)點(diǎn)服務(wù)器上制定針對(duì)測(cè)試環(huán)境的多級(jí)安全策略、用戶域策略和部門(mén)域策略；

2）嘗試將管理節(jié)點(diǎn)服務(wù)器上制定的訪問(wèn)控制策略分發(fā)到每一個(gè)計(jì)算節(jié)點(diǎn)服務(wù)器；

3）檢查計(jì)算節(jié)點(diǎn)服務(wù)器的配置文件，檢查是否正確接收到了訪問(wèn)控制策略。

預(yù)期結(jié)果為：計(jì)算節(jié)點(diǎn)服務(wù)器能夠準(zhǔn)確接收到管理節(jié)點(diǎn)服務(wù)器下發(fā)的訪問(wèn)控制策略。

4.1.2 虛擬機(jī)之間的通信訪問(wèn)控制測(cè)試

測(cè)試在正常狀態(tài)下，虛擬機(jī)之間通信行為的訪問(wèn)控制功能。

測(cè)試步驟為：

1）登陸非密等級(jí)虛擬機(jī)domu3；

2）在虛擬機(jī)domu3中，嘗試對(duì)屬于部門(mén)M的非等級(jí)虛擬機(jī)domu1發(fā)起通信請(qǐng)求；

3）觀察虛擬機(jī)domu1對(duì)虛擬機(jī)domu3通信請(qǐng)求的響應(yīng)結(jié)果。

4）登陸機(jī)等級(jí)虛擬機(jī)domu2；

5）在虛擬機(jī)domu2中，嘗試對(duì)屬于部門(mén)M的非密等級(jí)虛擬機(jī)domu1發(fā)起通信請(qǐng)求；

6）觀察虛擬機(jī)domu1對(duì)虛擬機(jī)domu2通信請(qǐng)求的響應(yīng)結(jié)果。

預(yù)期結(jié)果為：虛擬機(jī)domu3無(wú)法訪問(wèn)虛擬機(jī)domu1；虛擬機(jī)domu2可以訪問(wèn)虛擬機(jī)domu1。

4.1.3 虛擬磁盤(pán)讀寫(xiě)訪問(wèn)控制測(cè)試

測(cè)試在正常狀態(tài)下，虛擬機(jī)對(duì)虛擬磁盤(pán)訪問(wèn)行為的的訪問(wèn)控制功能（虛擬機(jī)domu1沒(méi)有授予虛擬機(jī)domu3訪問(wèn)虛擬磁盤(pán)權(quán)限和虛擬機(jī)domu1授予虛擬機(jī)domu2訪問(wèn)虛擬磁盤(pán)權(quán)限）

測(cè)試步驟為：

1）登陸虛擬機(jī)domu3；

2）在虛擬機(jī)domu3中，嘗試對(duì)屬于虛擬機(jī)domu1的非密虛擬磁盤(pán)發(fā)起讀寫(xiě)訪問(wèn)請(qǐng)求；

3）觀察虛擬機(jī)domu3對(duì)虛擬機(jī)domu1虛擬磁盤(pán)讀寫(xiě)請(qǐng)求的響應(yīng)。

4）登陸虛擬機(jī)domu2；

5）在虛擬機(jī)domu2中，嘗試對(duì)屬于虛擬機(jī)domu1的非密虛擬磁盤(pán)發(fā)起讀寫(xiě)訪問(wèn)請(qǐng)求；

6）觀察虛擬機(jī)domu2對(duì)虛擬機(jī)domu1虛擬磁盤(pán)讀寫(xiě)請(qǐng)求的響應(yīng)。

預(yù)期結(jié)果為：虛擬機(jī)domu3無(wú)法訪問(wèn)虛擬機(jī)domu1的虛擬磁盤(pán)；虛擬機(jī)domu2可以訪問(wèn)虛擬機(jī)domu1的非密虛擬磁盤(pán)。

4.2 安全域間的通信實(shí)驗(yàn)

1）domu1和domu2處于相同的部門(mén)域。雖然domu1屬于機(jī)密域，domu2屬于非密域，但是domu2可訪問(wèn)domu1授權(quán)的非密域的虛擬磁盤(pán)。因此，domu2可和domu1進(jìn)行虛擬磁盤(pán)共享Domu2能夠成功接入信道，證明在通信訪問(wèn)控制策略作用下虛擬機(jī)之間能夠?qū)崿F(xiàn)安全通信將domu1提供的共享內(nèi)存頁(yè)映射到domu2的訪問(wèn)地址為shared_page=d388400（見(jiàn)圖3），即domu2在自己的地址空間，可以通過(guò)該地址讀寫(xiě)數(shù)據(jù)，其寫(xiě)入的數(shù)據(jù)domu1可見(jiàn)，domu1寫(xiě)入的數(shù)據(jù)domu2也可見(jiàn)，證明能夠?qū)崿F(xiàn)虛擬磁盤(pán)讀寫(xiě)訪問(wèn)控制策略。綜上，能夠看出訪問(wèn)控制策略分發(fā)成功。

圖3 虛擬機(jī)之間通信成功Fig.3 Successful communication between virtual machines

2）domu1部門(mén)域?yàn)镸不能和部門(mén)域?yàn)镹的domu3通信。因此，domu3企圖接入domu1，提示“-1 Bad address”（見(jiàn)圖4），由此可知domu3接入domu1信道失敗，即虛擬機(jī)domu3與domu1不能通信以及讀取虛擬磁盤(pán)信息。

圖4 虛擬機(jī)之間通信失敗Fig.4 Failure communication between virtual machines

本節(jié)主要針對(duì)訪問(wèn)控制策略分發(fā)、虛擬機(jī)通信訪問(wèn)控制、虛擬磁盤(pán)讀寫(xiě)訪問(wèn)控制的安全模型進(jìn)行測(cè)試，驗(yàn)證了該模型在虛擬化環(huán)境中對(duì)虛擬機(jī)之間的通信以及虛擬機(jī)對(duì)虛擬磁盤(pán)的訪問(wèn)行為控制的有效性。

5 結(jié)論

在當(dāng)前虛擬化架構(gòu)下，Hypervisor通過(guò)Hypercall機(jī)制為上層虛擬機(jī)提供了建立基本通信機(jī)制的能力，包括EventChannel和granttable機(jī)制。通過(guò)在虛擬機(jī)上加上合適的訪問(wèn)控制機(jī)制安全策略實(shí)現(xiàn)2個(gè)DomU之間在安全策略的控制下建立底層通信信道，實(shí)現(xiàn)或者禁止虛擬機(jī)之間相互通信以及數(shù)據(jù)信息傳遞。本文在虛擬化環(huán)境中在BLP模型的基礎(chǔ)上引入虛擬安全域的邏輯，對(duì)虛擬化環(huán)境進(jìn)行分級(jí)分域?qū)崿F(xiàn)本訪問(wèn)控制系統(tǒng)，實(shí)踐證明，在虛擬化環(huán)境中如果缺乏有效的訪問(wèn)控制機(jī)制，當(dāng)前的Xen主流虛擬化產(chǎn)品將難以有效防止信息泄露行為，造成難以預(yù)料的信息泄露。