Thesis Defense

1,277

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,277
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • 产生的原因:
    采取了一定安全措施的系统
    不同安全级的VM之间共享虚拟资源
    1.隐通道存在的一个最主要的原因是不同安全级的VM之间共享系统资源,因而系统中存在可被高安全级VM修改并被低安全级VM观察到的状态变量。
    2.隐通道的形成往往要依赖于系统中某些资源分配策略和资源管理方法的副作用,但这并不意味这些策略和方法是错误的,系统的性能和效率是系统设计者必须追求的重要目标。
    3.存在隐通道的系统实际上是采取了一定安全措施的系统。隐通道的收、发方目的是非法的,但操作本身是合法的。
    分类:
    存储隐通道
    存储隐通道: 两通信VM,一个VM直接或间接地写存储单元,而另一个VM则直接或间接地读此存储单元观察到写的结果。
     
    时间隐通道
    时间隐通道:一个VM对系统性能产生的影响可以被另一个VM观察到并且可以利用一个时间基准进行测量,或者说指利用事件的发生顺序传递信息的通道。
  • Thesis Defense

    1. 1. 基于虚拟机架构的分布式强制基于虚拟机架构的分布式强制 访问控制系统访问控制系统 答辩人 : 石磊 导师 : 邹德清 副教授 答辩时间 : 2009.5
    2. 2. 研究生期间工作 • 2007.8-2007.10 – 参与 CGSP v2.0 项目的开发 – 编写用户注册和登录接口 – 整合 CGSP 和 VEGA 平台用户信息和服务 • 2008.1-2008.4 – 参与优先中国墙策略的设计 – 负责算法设计 – 编写专利 (NO. 200810047946.8)
    3. 3. 研究生期间工作 (cont.) • 2008.4-2009.4 – 参与 <<Xen 虚拟化技术 >> 的编写 – 前期源码分析 + 后期编撰工作 – ISBN: 978-7-5609-5203-1 • 2008.1-2009.5 – 毕业设计 – 基于虚拟机架构的分布式 MAC 系统 – 提交相关专利
    4. 4. 提纲 研究背景和课题目的1 优先中国墙策略实现2 系统结构和功能模块3 测试及分析4 进一步工作5
    5. 5. 问题提出 • 虚拟化技术发展迅速,安全问题日益突出 – VMM 保证运行 VM 的隔离性 – VM 之间的资源共享可能破坏 VM 的隔离性 – 实施 MAC, 有效的协助 VMM 控制 VM 间共享 – 但是,目前基于 VM 的 MAC 系统存在问题 • VM 之间能够避开 MAC 进行非公开的通信(隐通道 ) • 对节点间虚拟机的行为 ( 通信 , 迁移 ) 缺乏控制
    6. 6. • 产生的原因: – 采取了一定安全措施的系统 – 同一节点 VM 安全级别不同 – 合法操作 , 非法目的 隐通道 硬件硬件 Xen/MACXen/MAC VM 1 Order Info. VM 1 Order Info. VM 2 Order Info. VM 2 Order Info. VM 0 VM 0 VM 3 Adv. VM 3 Adv. 隐通道 硬件硬件 Xen/ACMXen/ACM VM 1 Order Info. VM 1 Order Info. VM 2 Order Info. VM 2 Order Info. VM 0VM 0 硬件硬件 Xen/ACMXen/ACM VM 1 Comput . VM 1 Comput . VM 0VM 0 节点 1 节点 2 VM 2 Adv. VM 2 Adv. 隐通道 VM 通信
    7. 7. 隐通道 (cont.) • 特点 – 非公开 , 难以发现并消除 – VM 间普遍存在 • 解决方案 – 禁止受控 VM 同时运行 ( 冲突集 ) – 动态冲突集 • 记录 VM 运行历史 • 解决间接隐通道 VMMVMM VMVM VMVM VMVM VMVM
    8. 8. 课题目的 • 设计并实现动态冲突集 – 优先中国墙策略 (PCW) – 应用 PCW 到分布式环境下 • 构建分布式 MAC 系统 – 利用 Xen 虚拟机系统 – 建立节点间策略决策机制 – 分布式策略信息管理
    9. 9. PCW 策略实现 • 动态冲突集 – 动态冲突集 = 原始冲突集 + 历史状态数组 • 原始冲突集过于庞大 , 实际只有少数冲突对有效 – 动态冲突集  有效冲突集 • 有效的冲突对与运行的 VM 相关 • 记录 VM 的运行状态 – 运行状态数组 • 记录当前运行的 VM ( 标签 ) VM 标签 (Types): Oil-A, Oil-B, Bank-C, Others 原始冲突集 (CIS_O): {{Oil-A, Oil-B}} VM 标签 (Types): Oil-A, Oil-B, Bank-C, Others 原始冲突集 (CIS_O): {{Oil-A, Oil-B}}
    10. 10. 有效冲突集 + 运行状态数组 • 有效冲突集 – CIS_A[type] • 运行状态数组 – RT[type] CIS_A: RT: VMMVMM O-BO-B B-CB-C OthOth 10 1 0 0 0 000 0 1 O-AO-A 1 2 0 1
    11. 11. PCW 策略实现 ( 分布式 ) • PCW 控制的虚拟机行为 – 节点间虚拟机通信 – 虚拟机迁移 • PCW 策略决策 – 同时需要两个节点的 CIS_A 和 RT – 可能对双方运行状态产生影响 VMM 1VMM 1 VMM 2VMM 2 O-BO-B OthOth 00 22 00 00CIS_A: 11 00 00 11RT: 11 00 00 00CIS_A: 00 11 00 00RT: O-AO-A 通信 ? 00 11 00 00CIS_A: 00 00 00 11RT:
    12. 12. 系统体系结构 • 建立中心节点作为中心安全服务器 (CSS) – 负责集中保存各节点策略信息 • 策略信息主要用于节点间策略决策 – 执行节点间策略决策
    13. 13. 系统体系结构 (cont.) • 在一般节点建立本地安全服务器 (LSS) – 负责执行本地决策 • 本地策略决策 • 执行本地决策 • 处理同步 – 执行节点间决策结果 • 发送决策请求 • 接收策略更新
    14. 14. CSSLSS • 通过安全网络通道进行连接 – 传输更新的策略信息 – 传递决策请求和决策结果 • 通过策略管理模块执行更新操作 – 策略信息的组织 – 策略更新和同步
    15. 15. 策略同步请求 PP NN PP PP RR PP
    16. 16. 节点间策略决策请求 PP RR PP DD PP PPPP
    17. 17. 测试及分析 • 策略决策时间 3E+09 3.5E+09 4E+09 4.5E+09 5E+09 5.5E+09 6E+09 6.5E+09 1 2 3 4 5 6 7 8 9 10 消耗时钟周期数 测试次数 Xen sHype DVM- MAC 时间开销增加 34% ( 增加 CIS_A 和 RT 数组更新 , SCM 策略信息拷贝 过程 ) 时间开销增加 34% ( 增加 CIS_A 和 RT 数组更新 , SCM 策略信息拷贝 过程 )
    18. 18. 测试及分析 • 节点间策略信息更新时间 0 2E+09 4E+09 6E+09 8E+09 1E+10 1.2E+10 1 2 3 4 5 6 7 8 9 10 11 消耗时钟周期数 测试次数 更新时间 本地决策时间 更新时间平均为决策时间的 70% 左右 ( 更新时间开销不稳定 , 47%--93%, 优化传递信息 量 ) 更新时间平均为决策时间的 70% 左右 ( 更新时间开销不稳定 , 47%--93%, 优化传递信息 量 )
    19. 19. 进一步工作 • 优化 CIS_A 和 RT 数组更新方式 , 降低策略 决策开销 – 减少数组遍历次数 • 优化策略信息的跨空间拷贝 – 共享内存代替直接的内存拷贝 • 减少节点间数据传输容量 – 更改策略更新模式 , 替代整体的信息传递
    20. 20. 谢谢

    ×