TPM context manager and dynamic configuration management for trusted virtualization platform

It is absolutely critical that trusted configuration management which significantly affects trust chain establishment, sealing storage and remote attestation, especially in trusted virtualization platform like Xen whose system configuration changes easily. TPM （trusted platform module） context manager is presented to carry out dynamic configuration management for virtual machine. It manages the TPM command requests and VM （virtual machine） configurations. The dynamic configuration representa- tion method based on Merkle hash tree is explicitly proposed against TCG （trusted computing group） static configuration representation. It reflects the true VM status in real time even if the configuration has changed, and it eliminates the invalidation of configuration representation, sealing storage and remote attestation. TPM context manager supports TCG storage protection, remote attestation etc, which greatly enhances the security on trusted virtualization platform.     

Security Architecture of Trusted Virtual Machine Monitor for Trusted Computing

With analysis of limitations Trusted Computing Group （TCG） has encountered, we argued that virtual machine monitor （VMM） is the appropriate architecture for implementing TCG specification. Putting together the VMM architecture, TCG hardware and application-oriented ＂thin＂ virtual machine （VM）, Trusted VMM-based security architecture is present in this paper with the character of reduced and distributed trusted computing base （TCB）. It provides isolation and integrity guarantees based on which general security requirements can be satisfied.     

基于数字证书和透明加密的桌面虚拟化系统

在虚拟化桌面技术应用日益增加、功能愈发强大的情况下,其安全问题已然成为阻碍虚拟化桌面发展的一大瓶颈..如何确保虚拟化桌面的安全性、让用户可以放心的使用虚拟化桌面就显得尤为重要.本文在研究了虚拟化及虚拟化桌面技术的基础上,提出一种基于数字证书实名认证与透明加密相结合的方法,该方法首先在客户端登录时对用户进行实名认证,确保登录者真实身份的可信性.其次,本文对数据中心的数据进行透明加密,防止由于虚拟化技术的资源共享问题造成重要数据的外泄.通过实验分析,证明在系统中增加网络实名证书模块和透明加密模块,能够在一定程度上保护虚拟桌面用户的账户安全和数据安全.     

A virtual machine-based invasion detection system for the virtual computing environment

0IntroductionThe virtual technologies whichaimat raisingthe uti-lizationrate of resources and the realization of the large-scale sharing of resources have enjoyedrapid developmentinrecent years.The virtual technologies research primari-lyfocuses ontwo directions:node-level and application-level virtual technology.At present,a popular subject ofstudyin application-level virtual technologies is the useof grid and P2Ptechnologies.However,personal comput-eris a closedintegritysystemin design,soit…     

ARM TrustZone的轻量级嵌入式虚拟化架构

针对现存的基于软件的虚拟化解决方案存在的不足,利用ARM标准硬件技术和赛灵思ZC702商业平台,实现通用操作系统(GPOS)与轻量级实时操作系统(FreeRTOS)同时运行.测试结果表明:虚拟机从RTOS到GPOS的上下文切换系统开销是3.10 μs,相反过程为2.64 μs,内存占用也仅为1 KB;由虚拟机监视系统(VMM)引入的性能开销低和内存占用较小;利用ARM TrustZone技术可实现一个具有低成本和高可靠性的轻量级虚拟化解决方案.     

基于Xen的虚拟机动态迁移技术研究

Xen是一种开源的虚拟化软件,在虚拟机动态迁移技术领域有着广泛的应用。在分析了Xen虚拟机动态迁移技术原理及迁移架构的基础上设计并开展相关实验,将实验结果中不同负载情况对迁移性能的影响做了对比分析后发现Xen能够较好的完成虚拟机在线迁移工作,为虚拟环境下的服务器负载平衡提供了保障。     

一种硬件虚拟化技术的Rootkit及其检测

硬件虚拟化技术的出现使得程序员在x86平台上构建虚拟机的方法更加简单,同时也为Rootkit的研究提供了新的平台。硬件虚拟化技术的Rootkit(HVM Rootkit)的出现对计算机信息安全领域提出了新的挑战。为了研究这种新的Rootkit技术,介绍了硬件虚拟化技术和HVM Ro-otkit的工作机制,在此基础上对HVM Rootkit的键盘过滤和网络传输功能进行设计和实现,展示攻击者如何利用HVM Rootkit对用户计算机造成的安全威胁,对HVM Rootkit的检测问题进行分析,讨论HVM Rootkit的进一步研究方向。     

基于虚拟化的多网安全办公系统研究与设计

信息化程度的不断提高,使得各部门在完成正常办公业务时通常都需要访问多个不同安全域网络,如内部办公网、外部办公网、互联网等。针对用户多网办公存在的安全问题,提出基于虚拟化的多网安全办公技术研究。通过引入受控策略、安全策略、可信策略等关键策略,实现信息单向导入、外设管控、虚拟机间信息受控拷贝、可信启动、透明存储加密等功能。最后给出安全办公原型系统,结果表明该系统在保证系统正常运行效率的同时能有效满足用户多网办公的安全需求。     

vTCM:一种基于物理可信计算环境虚拟化的虚拟可信密码模块

虚拟机的信任问题是虚拟机安全的关键问题之一,可信密码模块作为计算机信任的源头,其在虚拟机上的应用也引起了越来越多的关注。提出了虚拟可信密码模块(virtual trusted cryptography module, vTCM)方案,该方案将现有可信密码模块(trusted cryptography module, TCM)方案扩展为可切换vTCM场景的vTCM物理环境来支持少量物理vTCM场景,通过vTCM场景的虚拟化调度,从而支持多个虚拟机的TCM访问,为每个虚拟机分配一个绑定的vTCM实例,并使这些实例可以轮流在物理vTCM场景中运行,以使vTCM的安全性分析可以借助TCM结论,增强vTCM的安全性。这一方案在vTCM的管理,包括vTCM迁移等操作上,也体现出了其优势。给出了该方案在KVM虚拟化平台下的实现方法,实现结果表明,该方案不但可行,并且对现有的虚拟机机制有良好的兼容性。     

基于KVM的可信虚拟化架构模型

针对云计算安全中的虚拟化安全问题, 提出一种可改善虚拟化安全问题的可信虚拟化架构. 该架构通过在模拟处理器中添加虚拟可信平台模块, 在操作系统中添加可信平台模块驱动, 构造一个从底层基础架构到上层应用服务的可信架构. 该架构在虚拟化平台服务器中融合了可信平台模块, 可有效解决虚拟化平台服务器的安全性
问题.     

A Scheme of Memory Privacy Protection in Cloud Computing Environment

With the popularity and commercialization of cloud computing platforms, the security of virtualization technology must be guaranteed. The paper studies the protection of memory privacy under virtual platform to enhance system security. Based on the monitoring of foreign mapping for Dom0, a memory privacy protection scheme is designed and implemented to prevent process memory pages in DomU being mapped illegally which might result in the leakage of secret data.     

基于遥感的合肥市建成区时空变化分析

通过对恶意代码行为和特征提取技术的分析,提出了基于虚拟环境下实现恶意代码检测的方法,设计了相应的检测系统;利用虚拟化技术,通过Docker容器简化检测环境的配置,增强了代码检测的隔离性、安全性;并建立相应的实验平台开展测试,为检测恶意的网络行为提供了支持。     

资源池安全接入管理关键技术研究

为保证在虚拟机中的桌面或服务器操作系统的安全运行,将安全工作划分为6个子任务,提出了以虚拟机管理器工作机制为技术基础、利用代理技术实现主控服务器和宿主服务器之间安全管控与审计,同时提出了虚拟机安全隔离的设计机制,从运行、CPU、内存、存储和网络5个方面分析了虚拟机的隔离方式,有效地实现了终端的安全接入管理与隔离运行,为安全审计、抗逃逸攻击等提供了基础安全保障机制.     

科研在线:云服务模式的网络虚拟科研环境

介绍了网络虚拟科研环境和云计算的概念,分析了云计算对网络虚拟科研环境的服务模式变革.基于网格技术和云计算技术,构建了面向云服务模式的网络虚拟科研环境——科研在线.科研在线利用虚拟化技术构建协同虚拟机;通过网格技术实现分布式资源的集成;通过多站点配置机制实现多网络虚拟科研环境扩展.通过一键式协同平台创建科研在线,提高了协同业务的易用性和透明性,目前该系统已为中国科学院不同学科应用的网络协同科研提供在线云服务.     

虚拟化平台构建操作系统函数调用关系方法

针对现有操作系统函数调用关系构建方法存在依赖系统源代码、兼容性差的问题,提出了一种基于硬件虚拟化中断陷入机制的操作系统内核函数调用关系构建方法。该方法在操作系统内核函数的特定位置动态插入会引起虚拟化中断陷入的特殊指令覆盖内核特定位置的指令,实现在函数调用、被调用时触发虚拟化中断陷入,并在陷入后的虚拟机监控器中获取当前内核函数的调用信息,从而动态构建操作系统的内核调用关系。实验结果表明,本方法能在不依赖内核源码、编译器的情况下构建多种开源/闭源、32 位/64 位操作系统的内核函数调用关系,构建准确率为100%,查全率大于85%。该方法可用于操作系统内核安全分析及白名单构建等工作,具有一定的实用价值。     

商业银行云计算数据中心布线方式的探讨

在越发注重信息产业安全的大环境下,"自主可控"战略已经上升为商业银行科技部门的核心指导方针之一。立足下一代计算机网络技术蓬勃发展的大背景,分析了如何搭建支撑数据中心级接入层网络,以及在"自主可控"的前提下如何更好地应用网络虚拟化技术;着重探讨了在未来业务系统由小型机下移的趋势下,数目庞大的集群服务器组在接入层网络依托虚拟化技术达到安全、可靠的实现方法。     

基于云计算的计算机实验设备管理平台的研究与应用

针对现有高校以计算机为载体的实验室建设中设备的投入过大、维护成本过高、更新过快和人员不足等现状，本文以玉林师范学院的计算机实验教学示范中心为例，引入云计算技术中的虚拟机技术，构建以桌面虚拟化、虚拟服务器和虚拟存储为基础的计算机实验设备管理平台，利用云计算技术经济性和共享性等优点，以提高实验资源的使用率及共享性．实践证明，该平台能对计算机实验室及其实验资源进行科学、有效的管理，充分提高资源设备的使用率和充分发挥实验设备的性能，降低重复采购设备投入，并通过云数据中心更好地管理实验及相关系统数据，极大地丰富实践教学手段和提高实验管理服务水平．     

虚拟存储技术研究与应用

本文介绍了虚拟存储技术的数据组织结构,提出了一种元数据服务器子树划分方案和存储扩展方案,最后阐述了以虚拟机为基础的虚拟计算环境支持方法。     

基于虚拟机的安全技术研究

由于虚拟机的高隔离性以及对系统、应用的透明性,使得很多安全技术是基于虚拟机实现的.提出一种基于Xen的安全架构,可将现有安全程序移植到该架构上,并保证其功能性,如文件、内存扫描以及主动防御技术.由于大量减少处于被保护虚拟机中的安全程序组件,使得安全程序本身具有更高的安全性,同时利用半虚拟化I/O技术将系统开销降低到最小,具有实用性.该框架还可将其他基于虚拟机的安全技术整合进来,且不需要修改现有的操作系统及应用程序,因此具有较强的适用性.     

Building Intrusion Tolerant Software System

In this paper, we describe and analyze the hypothesis about intrusion tolerance software system, so that it can provide an intended server capability and deal with the impacts caused by the intruder exploiting the inherent security vulnerabilities. We present some intrusion tolerance technology by exploiting N-version module threshold method in con-structing multilevel secure software architecture, by detecting with hash value, by placing an ““““““““antigen““““““““ word next to the return address on the stack that is similar to human immune system, and by adding ““““““““Honey code““““““““ nonfunctional code to disturb intruder, so that the security and the availability of the software system are ensured.