1. 基于虚拟机架构的分布式强制
访问控制系统
答辩人 : 石磊
导师 : 邹德清 副教授
答辩时间 : 2009.5

2. 研究生期间工作
• 2007.8-2007.10
– 参与CGSP v2.0项目的开发
– 编写用户注册和登录接口
– 整合CGSP和VEGA平台用户信息和服务
• 2008.1-2008.4
– 参与优先中国墙策略的设计
– 负责算法设计
– 编写专利(NO. 200810047946.8)

3. 研究生期间工作(cont.)
• 2008.4-2009.4
– 参与<<Xen虚拟化技术>>的编写
– 前期源码分析+后期编撰工作
– ISBN: 978-7-5609-5203-1
• 2008.1-2009.5
– 毕业设计
– 基于虚拟机架构的分布式MAC系统
– 提交相关专利

4. 提纲
研究背景和课题目的
1
优先中国墙策略实现
2
系统结构和功能模块
3
测试及分析
4
进一步工作
5

5. 问题提出
• 虚拟化技术发展迅速，安全问题日益突出
– VMM保证运行VM的隔离性
– VM之间的资源共享可能破坏VM的隔离性
– 实施MAC, 有效的协助VMM控制VM间共享
– 但是，目前基于VM的MAC系统存在问题
• VM之间能够避开MAC进行非公开的通信（隐通道）
• 对节点间虚拟机的行为 (通信, 迁移) 缺乏控制

6. • 产生的原因：
– 采取了一定安全措施的系统
– 同一节点VM安全级别不同
– 合法操作, 非法目的
隐通道
硬件
Xen/MAC
VM 1
Order
Info.
VM 2
Order
Info.
VM
0
VM 3
Adv.
隐通道
硬件
Xen/ACM
VM 1
Order
Info.
VM 2
Order
Info.
VM
0
硬件
Xen/ACM
VM 1
Comput.
VM
0
节点1 节点2
VM 2
Adv.
隐通道
VM通信

7. 隐通道(cont.)
• 特点
– 非公开, 难以发现并消除
– VM间普遍存在
• 解决方案
– 禁止受控VM同时运行(冲突集)
– 动态冲突集
• 记录VM运行历史
• 解决间接隐通道
VMM
VM VM
VM
VM

8. 课题目的
• 设计并实现动态冲突集
– 优先中国墙策略(PCW)
– 应用PCW到分布式环境下
• 构建分布式MAC系统
– 利用Xen虚拟机系统
– 建立节点间策略决策机制
– 分布式策略信息管理

9. PCW策略实现
• 动态冲突集
– 动态冲突集 =原始冲突集 + 历史状态数组
• 原始冲突集过于庞大, 实际只有少数冲突对有效
– 动态冲突集  有效冲突集
• 有效的冲突对与运行的VM相关
• 记录VM的运行状态
– 运行状态数组
• 记录当前运行的VM (标签)
VM标签(Types): Oil-A, Oil-B, Bank-C, Others
原始冲突集(CIS_O): {{Oil-A, Oil-B}}

10. 有效冲突集 + 运行状态数组
• 有效冲突集
– CIS_A[type]
• 运行状态数组
– RT[type]
CIS_A:
RT:
VMM
O-B B-C Oth
1
0
1
0 0 0
0
0
0 0 1
O-A
1
2
0
1

11. PCW策略实现(分布式)
• PCW控制的虚拟机行为
– 节点间虚拟机通信
– 虚拟机迁移
• PCW策略决策
– 同时需要两个节点的CIS_A和RT
– 可能对双方运行状态产生影响
VMM 1 VMM 2
O-B Oth
0 2 0 0
CIS_A:
1 0 0 1
RT:
1 0 0 0
CIS_A:
0 1 0 0
RT:
O-A
通信?
0 1 0 0
CIS_A:
0 0 0 1
RT:

12. 系统体系结构
• 建立中心节点作为中心安全服务器(CSS)
– 负责集中保存各节点策略信息
• 策略信息主要用于节点间策略决策
– 执行节点间策略决策
IPsec
节点 0
策略管理模块
CSS
策略信息库 策略更新模块
策略决策模块
IPsec
LSS
LSS
IPsec
LSS
LSS IPsec

13. 节点 N
策略管理模块
LSS
策略同步模块
节点间策略执行模块
IPsec CSS
CSS
IPsec
硬件
Xen VMM
本地
策略执行模块
本地
策略信息
节点间
策略信息
安全控制模块
(SCM)
1环
3环
写
通知
CSS
IPsec
CSS
IPsec
读
更新
系统体系结构(cont.)
• 在一般节点建立本地安全服务器(LSS)
– 负责执行本地决策
• 本地策略决策
• 执行本地决策
• 处理同步
– 执行节点间决策结果
• 发送决策请求
• 接收策略更新

14. CSSLSS
• 通过安全网络通道进行连接
– 传输更新的策略信息
– 传递决策请求和决策结果
• 通过策略管理模块执行更新操作
– 策略信息的组织
– 策略更新和同步
IPsec
LPMM
节点间策略信息
本地策略信息
CPMM
CSS
LSS
SCM
Xen VMM
1环
3环
Xen VMM
1环
3环
策略信息库

15. 策略同步请求
节点 0
策略管理模块
CSS
策略信息库
节点 N
LSS
IPsec
硬件
Xen VMM
本地
策略执行模块
本地
策略信息
安全控制模块
(SCM)
1环
3环
通知
策略管理模块
节点间
策略信息
读
策略同步模块
P
N
P
P
R
P

16. 节点间策略决策请求
节点 N
策略管理模块
LSS
节点间策略执行模块
硬件
Xen VMM
本地
策略信息
节点间
策略信息
安全控制模块
(SCM)
1环
3环
写
更新
IPsec
节点 0
策略管理模块
CSS
策略信息库 策略更新模块
策略决策模块
IPsec
IPsec
P
R
P
D
P
P
P

17. 测试及分析
• 策略决策时间
3E+09
3.5E+09
4E+09
4.5E+09
5E+09
5.5E+09
6E+09
6.5E+09
1 2 3 4 5 6 7 8 9 10
消耗时钟周期数
测试次数
Xen
sHype
DVM-
MAC
时间开销增加34%
(增加CIS_A和RT数组更新, SCM策略信息拷贝过程)

18. 测试及分析
• 节点间策略信息更新时间
0
2E+09
4E+09
6E+09
8E+09
1E+10
1.2E+10
1 2 3 4 5 6 7 8 9 10 11
消耗时钟周期数
测试次数
更新时间
本地决策时间
更新时间平均为决策时间的70%左右
(更新时间开销不稳定, 47%--93%, 优化传递信息量)

19. 进一步工作
• 优化CIS_A和RT数组更新方式,降低策略决策
开销
– 减少数组遍历次数
• 优化策略信息的跨空间拷贝
– 共享内存代替直接的内存拷贝
• 减少节点间数据传输容量
– 更改策略更新模式,替代整体的信息传递

20. 谢谢