蒲江　唐金藝　趙進(jìn)

摘要：虛擬機(jī)技術(shù)正在越來越多地被使用在個(gè)人電腦、數(shù)據(jù)中心和服務(wù)器集群中。其優(yōu)點(diǎn)之一是引入這種體系結(jié)構(gòu)層次可增強(qiáng)整個(gè)系統(tǒng)的安全。文中提出了一種Linux內(nèi)核虛擬機(jī)安全增強(qiáng)方案，旨在提高客戶虛擬機(jī)的安全性。該方案有以下特點(diǎn)：對客戶虛擬機(jī)透明；嚴(yán)格的訪問控制策略；為每個(gè)虛擬機(jī)與主機(jī)之間提供安全通信；能夠在Linux主機(jī)和目前支持Linux的客戶虛擬機(jī)中實(shí)現(xiàn)。

關(guān)鍵詞：內(nèi)核；虛擬機(jī)；安全性

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）07-1516-03

1 研究背景

虛擬化技術(shù)被廣泛地使用在個(gè)人電腦與服務(wù)器集群等設(shè)備中。目前使用最廣泛的是基于x86的虛擬化解決方案。即使近些年虛擬化解決方案的可靠性已經(jīng)有所提高，針對虛擬化服務(wù)和操作系統(tǒng)內(nèi)虛擬機(jī)的保護(hù)控制仍是一個(gè)研究熱點(diǎn)。針對系統(tǒng)安全性的大多數(shù)類型的攻擊會改寫部分文件系統(tǒng)，采用入侵檢測工具能夠檢查對文件的修改，重點(diǎn)是檢查位于關(guān)鍵路徑上的文件。

通常完整性檢驗(yàn)工具和數(shù)據(jù)收集工具運(yùn)行在同—個(gè)被監(jiān)控的系統(tǒng)上。這里存在—個(gè)安全隱患，惡意軟什可能篡改監(jiān)控系統(tǒng)的鉤子函數(shù)。虛擬化技術(shù)的引入可以提高整個(gè)系統(tǒng)的安全性，虛擬機(jī)有附加的邊界保護(hù)[1]。特別地，—個(gè)系統(tǒng)管理程序能夠提供—個(gè)定位監(jiān)控系統(tǒng)可信計(jì)算根時(shí)，惡意軟件無法訪問該可信計(jì)算根。在這種情況下，即使攻擊者成功地侵入—個(gè)虛擬機(jī)，其篡改痕跡也不能被刪除，外部的安全系統(tǒng)也能夠迅速采取相應(yīng)行動。

本文討論了監(jiān)控客戶虛擬機(jī)在服務(wù)器整合的工作模式，即—臺主機(jī)上運(yùn)行多個(gè)客戶虛擬機(jī)。該文提出了—個(gè)可以監(jiān)控和保護(hù)這些客戶虛擬機(jī)的安全增強(qiáng)方案。實(shí)時(shí)完整性檢驗(yàn)方法使主機(jī)可控制內(nèi)部未經(jīng)授權(quán)的對客戶虛擬機(jī)的篡改。方案可以檢測并對異常的客戶行為采取措施。安全增強(qiáng)方案的實(shí)現(xiàn)是一個(gè)基于擴(kuò)展并具有最小化可訪問性和可視性的監(jiān)控系統(tǒng)的Linux內(nèi)核虛擬機(jī)[4]。

2 安全增強(qiáng)方案機(jī)制

2.1威脅模式

假設(shè)僅有虛擬機(jī)管理程序和主機(jī)內(nèi)核是可信計(jì)算根的一部分。客戶虛擬機(jī)運(yùn)行時(shí)，可能遭到攻擊或被注入惡意軟件?？蛻糁鳈C(jī)運(yùn)行時(shí)，客戶系統(tǒng)可能遭到病毒、惡意代碼注入、緩沖區(qū)溢出等所有可能的攻擊。入侵者可能利用各種系統(tǒng)漏洞來影響內(nèi)核和應(yīng)用程序運(yùn)行，頁可能遠(yuǎn)程利用這樣的漏洞企圖獲得全部權(quán)限。

2.2要求和注意事項(xiàng)

根據(jù)上述討論的威脅模式，下面給出基于虛擬機(jī)的一個(gè)安全系統(tǒng)主要要求和可能遇到的一些需要注意的相關(guān)問題，及可能的解決方案。

基于虛擬機(jī)的安全系統(tǒng)使用了入侵檢測系統(tǒng)的核心概念[3]。這樣的系統(tǒng)必須符合下列要求。

透明性：系統(tǒng)應(yīng)盡覺降低虛擬機(jī)方面的能見度。即潛在的入侵者不應(yīng)該能夠發(fā)現(xiàn)監(jiān)測系統(tǒng)的存在。

免疫來自客戶系統(tǒng)的攻擊：主機(jī)系統(tǒng)和屬性相同的客戶系統(tǒng)應(yīng)受到保護(hù)，免受來自不安全客戶攻擊。同時(shí)，由主機(jī)系統(tǒng)提供的功能不應(yīng)受到影響。

可部署性：系統(tǒng)應(yīng)可以部署在絕大多數(shù)可用的硬件上。

動態(tài)反應(yīng)：系統(tǒng)應(yīng)能檢測到一個(gè)客戶的入侵行為并采取適當(dāng)?shù)男袆?，或?qū)Σ话踩目蛻舨扇∵m當(dāng)?shù)男袆印?/p>

注意事項(xiàng)：

（1）需要建立從客戶到主機(jī)的通信通道，以便主機(jī)讀取客戶數(shù)據(jù)或解析客戶信息，但通道必須對用戶空間不可見。

（2）需要建立客戶虛擬機(jī)和主機(jī)之間的信號信道，以便客戶虛擬機(jī)中發(fā)生的某些事件時(shí)可通知主機(jī)，但同樣它應(yīng)盡可能的隱藏。

（3）為了確?！滦院头郎闲畔⑿孤?，對通道進(jìn)行某種形式的訪問控制是必要的。但是，這種訪問控制機(jī)制不應(yīng)影響系統(tǒng)性能。

3 安全增強(qiáng)方案結(jié)構(gòu)

方案體系結(jié)構(gòu)由多個(gè)位于主機(jī)和客戶機(jī)內(nèi)核的模塊組成。監(jiān)測系統(tǒng)的核心模塊位于主機(jī)。數(shù)據(jù)可以由客戶虛擬機(jī)系統(tǒng)收集，或由主機(jī)側(cè)的唯一進(jìn)程收集。

虛擬機(jī)系統(tǒng)可以收集到更準(zhǔn)確和更完整的客戶系統(tǒng)數(shù)據(jù)，但也更容易被客戶系統(tǒng)發(fā)覺。用—個(gè)位于客戶系統(tǒng)中的守護(hù)進(jìn)程收集感興趣的客戶數(shù)據(jù)，可以減少主機(jī)端的計(jì)算負(fù)載。然而，在監(jiān)控系統(tǒng)隱蔽性和減少主機(jī)端計(jì)算負(fù)荷之間孺進(jìn)行權(quán)衡。進(jìn)程收集方式理論上是客戶無法檢測到，但僅允許一個(gè)相當(dāng)受限的監(jiān)測系統(tǒng)。該文提出的安全增強(qiáng)方案優(yōu)先選擇支持虛擬機(jī)系統(tǒng)收集數(shù)據(jù)，同時(shí)也支持單—進(jìn)程收集數(shù)據(jù)。

安全增強(qiáng)方案的每個(gè)虛擬機(jī)伩川自己的私有內(nèi)存空間與主機(jī)通信，其虛擬機(jī)之間是完全獨(dú)立。

安全增強(qiáng)方案的實(shí)現(xiàn)分為兩大部分，主機(jī)和客戶機(jī)。兩者有相似的結(jié)構(gòu)：（1）內(nèi)核的守護(hù)進(jìn)程用于管理和共享通信信道：（2）用—個(gè)模塊動態(tài)接收、分析消息，并采取相應(yīng)行動。

下面討論為解決一系列安全增強(qiáng)方案的技術(shù)難題而需要遵循的要求：

1）主機(jī)一客戶機(jī)通信系統(tǒng)在KVM[5]中不可用，必須設(shè)計(jì)一個(gè)使用共享內(nèi)存的簡易通信系統(tǒng)。

2）KVM中缺乏客戶機(jī)至主機(jī)的信號通道，需要設(shè)計(jì)一個(gè)使用共享內(nèi)存的簡單的信號機(jī)制。不選擇類似Xen[2]中的事件通道，因?yàn)槠鋵?shí)現(xiàn)的信號信道使得整個(gè)安全增強(qiáng)操作系統(tǒng)更容易地暴露在客戶虛擬機(jī)中的攻擊者面前。

3）KVM缺乏對共享內(nèi)存的訪問控制機(jī)制，需要同步主機(jī)一客戶機(jī)間對共享內(nèi)存的訪問。為了簡化訪問控制管理，每個(gè)安全增強(qiáng)方案實(shí)現(xiàn)的虛擬機(jī)提供了自己的共享內(nèi)存區(qū)，用于與主機(jī)通信。同時(shí)，為每個(gè)虛擬機(jī)的兩個(gè)單向通道實(shí)現(xiàn)了一個(gè)簡單的鎖機(jī)制，以同步共享內(nèi)存區(qū)域的消息傳輸。

KVM與Xen不同，共享內(nèi)存沒有由虛擬機(jī)監(jiān)控程序直接管理，而是由Qemu-KVM[6]仿真進(jìn)程管理。采用虛擬網(wǎng)絡(luò)接口作為主機(jī)和客戶機(jī)問通信信道導(dǎo)致客戶可見且易受到攻擊。此外，該消息處理程序包含在客戶機(jī)內(nèi)核模塊就是為了使它盡可能的安全。主機(jī)端的消息處理程序?qū)崿F(xiàn)包含在Qemu-KVM的共享內(nèi)存管理模塊中。如圖1所示，方案中共享內(nèi)存是由兩個(gè)數(shù)據(jù)緩存區(qū)和兩個(gè)鎖保護(hù)相應(yīng)的關(guān)鍵段組成。

安全增強(qiáng)方案應(yīng)能夠主動監(jiān)控客戶虛擬機(jī)內(nèi)運(yùn)行的關(guān)鍵進(jìn)程。方案能定期檢查客戶機(jī)的守護(hù)進(jìn)程是否存在與活動。如果其中的一個(gè)進(jìn)程終止，主機(jī)將采取適當(dāng)?shù)牟呗裕ㄊ占瘮?shù)據(jù)進(jìn)行分析，甚至凍結(jié)客戶機(jī)或重新啟動。方案在主機(jī)端創(chuàng)建一個(gè)包含對選擇的虛擬機(jī)關(guān)鍵路徑文件計(jì)算的校驗(yàn)和的數(shù)據(jù)庫。一個(gè)運(yùn)行時(shí)守護(hù)進(jìn)程可重新計(jì)算被監(jiān)控文件的哈希值。如果發(fā)現(xiàn)哈希值不匹配，將采取相應(yīng)對策。

1） 共享內(nèi)存的管理和分配：客戶機(jī)由內(nèi)核模塊分配和管理共享內(nèi)存，而在主機(jī)的共享內(nèi)存必須已經(jīng)在虛擬機(jī)中分配并且由Qemu-KVM進(jìn)程管理。

2） 模塊的數(shù)量：在虛擬機(jī)，共享內(nèi)存管理需要兩個(gè)內(nèi)核模塊，而在主機(jī)端需要三個(gè)模塊。

4 結(jié)論

安全增強(qiáng)方案的目標(biāo)是提供一種潛在的無法察覺、無法破壞的系統(tǒng)，可以捕捉完整性損害的虛擬機(jī)，其具有以下特點(diǎn)：

1） 方案實(shí)現(xiàn)的主機(jī)一客戶機(jī)通信消息不通過標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議棧處理，以使其無法被檢測。方案完全靠自己的內(nèi)部通訊協(xié)議，它獨(dú)立于所采用的虛擬化系統(tǒng)。此外，方案的每個(gè)虛擬機(jī)都有自己保留共享內(nèi)存區(qū)實(shí)現(xiàn)主機(jī)一客戶機(jī)通信，使得每個(gè)通信通道獨(dú)立管理并相互間隔離。

2） 主機(jī)和客戶機(jī)間沒有明確的信號通道，方案中實(shí)現(xiàn)的通信不易被檢測到。

3） 方案可以在主機(jī)和客戶機(jī)之間共享監(jiān)測任務(wù)，提升了系統(tǒng)性能。

4） 核心監(jiān)測系統(tǒng)位于主機(jī)側(cè)，系統(tǒng)很難被侵入。此外，管理主機(jī)和客戶機(jī)間通信的模塊駐留在客戶機(jī)的內(nèi)核中。

5） 方案實(shí)現(xiàn)可以部署在任何最新的標(biāo)準(zhǔn)Linux內(nèi)核。

本文提出了一個(gè)Linux內(nèi)核虛擬機(jī)擴(kuò)展安全增強(qiáng)方案。該方案增強(qiáng)了Linux的內(nèi)部安全性，對客戶虛擬機(jī)透明，支持全虛擬化，提供了虛擬機(jī)管理程序和客戶虛擬機(jī)間安全的雙向通信通道，同時(shí)該方案可以部署在大多數(shù)x86和x86-64位計(jì)算機(jī)上。后續(xù)將繼續(xù)對方案的實(shí)現(xiàn)與應(yīng)用進(jìn)行進(jìn)一步研究。

參考文獻(xiàn)：

[1] M.Aiken，M.F ahndrich，C.Hawblitzel，and al.Deconstructing process isolation.In MSPC，06：Proc.Of the 2006 workshop on Memory system perf.andcorrectness，pages1-10，NewYork，NY，USA，2006.

[2] 張志新，彭新光.基于Xen的入侵檢測服務(wù)研究[J].杭州電子科技大學(xué)學(xué)報(bào)，2008（6）：91-94

[3] 程川.一種基于Xen的信任虛擬機(jī)安全訪問設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)與數(shù)字工程，2010，（3）.

[4] 管建超.基于VMware的虛擬機(jī)安全設(shè)計(jì)與實(shí)現(xiàn)[J].電力信息化，2010，（6）.

[5] P.A.Loscocco，P.W.Wilson，J.A.Pendergrass，and al.Linux kernel integrity measurement usingcontextual inspection.In STC07：Proc.Of the 2007 ACM workshop on Scalable trusted computing，pages 21-29，NewYork，NY，USA，2007.

[6] R.Di Pietro and L.V.Mancini.Intrusion Detection Systems，volume 38 0f Advances in lnformationSecurity.Springer-Verlag，2008.