云計(jì)算平臺可信性增強(qiáng)技術(shù)探討范文
本站小編為你精心準(zhǔn)備了云計(jì)算平臺可信性增強(qiáng)技術(shù)探討參考范文,愿這些范文能點(diǎn)燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
《電腦編程技巧與維護(hù)雜志》2015年第六期
1系統(tǒng)安全加強(qiáng)技術(shù)
云計(jì)算平臺的安全性是計(jì)算機(jī)應(yīng)用的關(guān)鍵要素,而計(jì)算機(jī)病毒則是威脅計(jì)算機(jī)應(yīng)用系統(tǒng)的主要原因,因此,必須加強(qiáng)對計(jì)算機(jī)病毒的有效監(jiān)測與控制。一般情況下,對于計(jì)算機(jī)病毒的監(jiān)測與控制所采用的方法是動(dòng)態(tài)監(jiān)測與靜態(tài)防御,在進(jìn)行動(dòng)態(tài)監(jiān)測時(shí),采用的技術(shù)主要有兩種,其中一項(xiàng)是動(dòng)態(tài)信息流跟蹤,另一種是二進(jìn)制混淆。應(yīng)用動(dòng)態(tài)信息流跟蹤方法時(shí)主要是通過分析病毒攻擊特征,有效變換程序正常控制流和針對不信任數(shù)據(jù)相關(guān)非法應(yīng)用,此種加強(qiáng)系統(tǒng)安全性的技術(shù)主要是依據(jù)從不信流的數(shù)據(jù)源中讀取相關(guān)數(shù)據(jù)標(biāo)記其不可信。另外,二進(jìn)制可以利用一系列相應(yīng)程序的變化把程序修改成功能上等價(jià),避免惡意程序分析與理解,進(jìn)而防止數(shù)據(jù)和控制流進(jìn)入惡意代碼中。一般情況下,動(dòng)態(tài)信息流跟蹤包含標(biāo)記不信任源、不信任標(biāo)簽相關(guān)傳播以及異常檢測3個(gè)階段,應(yīng)用動(dòng)態(tài)信息流跟蹤技術(shù)時(shí)要從硬件系統(tǒng)與軟件系統(tǒng)中實(shí)現(xiàn)。其中硬件系統(tǒng)中的動(dòng)態(tài)信息流跟蹤技術(shù)主要針對原有處理器相關(guān)結(jié)構(gòu),使其擴(kuò)展成擁有信息流跟蹤功能,現(xiàn)階段只是利用在商用產(chǎn)品中。然而軟件系統(tǒng)中一般應(yīng)用編譯器和動(dòng)態(tài)二進(jìn)制的編譯器,通過在程序路徑中設(shè)置新的應(yīng)用,傳播不信任標(biāo)簽和安全檢測的相關(guān)代碼。另外,在應(yīng)用動(dòng)態(tài)信息流跟蹤系統(tǒng)時(shí),應(yīng)該配合用戶態(tài)異常處理體系,有效提升信息流跟蹤系統(tǒng)在計(jì)算機(jī)安全警告中的相應(yīng)性能。
2基于虛擬化的云計(jì)算應(yīng)用可信性增強(qiáng)技術(shù)
2.1CHAOS系統(tǒng)概述CHAOS是云計(jì)算應(yīng)用所建立的行為約束層,可以加強(qiáng)云計(jì)算應(yīng)用相關(guān)完整性保護(hù)。同時(shí)CHAOS行為約束層能夠?qū)崿F(xiàn)不可信操作系統(tǒng)和云計(jì)算應(yīng)用間有關(guān)數(shù)據(jù)的交換,防止可信應(yīng)用資源發(fā)生其他操作系統(tǒng)的竊取。另外CHAOS行為約束層有兩個(gè)重要目標(biāo),其一透明性,原有的云計(jì)算應(yīng)用并不需要修改就可以運(yùn)行在CHAOS平臺中。其二是強(qiáng)制性,也就是CHAOS行為約束并不被相關(guān)操作系統(tǒng)所繞過。但是Talos要對操作系統(tǒng)完成部分修改之后,才可以確保操作系統(tǒng)有效,并且與CHAOS行為約束層進(jìn)行配合。同時(shí),還應(yīng)該重視操作系統(tǒng)所修改的部分并不需要CHAOS行為約束層信任。相關(guān)惡意操作系統(tǒng)能夠拒絕和CHAOS行為約束層進(jìn)行配合,但是惡意操作系統(tǒng)不可以獲取充足的信息使云計(jì)算平臺有效運(yùn)行。
2.2I/O數(shù)據(jù)加密CHAOS中I/O數(shù)據(jù)的機(jī)密體系主要是用來實(shí)現(xiàn)保護(hù)內(nèi)核和用戶進(jìn)程間相關(guān)數(shù)據(jù)的交換。因?yàn)榇疟P和操作系統(tǒng)中內(nèi)核為不可信的,對此CHAOS行為約束層把數(shù)據(jù)完成加密,避免內(nèi)核和磁盤發(fā)生信息數(shù)據(jù)的泄露,比如寫文件操作系統(tǒng),CHAOS需要把用戶相關(guān)進(jìn)程數(shù)據(jù)實(shí)現(xiàn)加密之后,傳輸至內(nèi)核完成磁盤操作。I/O信息數(shù)據(jù)加密要利用可信系統(tǒng)調(diào)用層來實(shí)現(xiàn),這對于操作系統(tǒng)和用戶程序方面而言是完全透明的。一般情況下,用戶進(jìn)程中I/O操作主要分成系統(tǒng)調(diào)用和內(nèi)存映射I/O操作,其中系統(tǒng)調(diào)用I/O操作能夠直接利用行為約束層完成處理,而內(nèi)存映射I/O操作要利用CHAOS中的頁故障相關(guān)處理函數(shù)完成處理,在進(jìn)行頁故障處理過程中,CHAOS應(yīng)針對內(nèi)存映射有效范圍之內(nèi)的頁面完成加密。
2.3隔離機(jī)制CPU中的上下文隔離操作比較簡單,CHAOS僅僅需要在控制過程中,從CHAOS至內(nèi)核時(shí)把并不需要的寄存器實(shí)現(xiàn)隱藏或是替換。從內(nèi)存隔離方面而言,CHAOS主要完成以下3個(gè)方面的處理:(1)頁表管理部分以及實(shí)現(xiàn)對客戶映射的有效隱藏;(2)頁面應(yīng)用跟蹤部分,有效避免受保護(hù)應(yīng)用進(jìn)程相關(guān)頁面的非授權(quán)訪問;(3)頁故障處理內(nèi)容,主要是針對頁面完成有效換入和換出。對于頁表隱藏而言,CHAOS把一個(gè)需要被保護(hù)進(jìn)程的相關(guān)用戶頁面在進(jìn)入核心態(tài)之前實(shí)現(xiàn)隱藏。因此,CHAOS應(yīng)該把現(xiàn)階段的頁表完成保存,同時(shí)把現(xiàn)階段包含內(nèi)核映射的相關(guān)頁表裝載至硬件當(dāng)中,而在控制返回至用戶進(jìn)程的相應(yīng)用戶態(tài)時(shí),CHAOS應(yīng)該把保存頁表裝置至硬件。物理頁面應(yīng)用跟蹤,為了可以有效確保虛擬機(jī)間的隔離,Xen能夠提供針對物理頁面依據(jù)虛擬機(jī)完成跟蹤,同時(shí)為了能夠確保物理頁面可以在各種用戶進(jìn)程間實(shí)現(xiàn)隔離,CHAOS要針對原有的Xen隔離機(jī)制完成擴(kuò)充。CHAOS針對所有物理頁面應(yīng)該記錄一個(gè)所有者的ID與一個(gè)組ID,其中所有者ID主要用來識別物理頁面相關(guān)所有者進(jìn)程,而組ID主要用在控制進(jìn)程間相應(yīng)頁的共享,CHAOS可以在進(jìn)程生命周期完成相應(yīng)頁面的有效保護(hù)。對于頁的換入和換出,CHAOS能夠?yàn)槭鼙Wo(hù)的應(yīng)用頁面有效換入和換出提供支持,如果一個(gè)頁面需要完成換出,頁表并不會(huì)含有針對此頁面的引用。對此,CHAOS可以依據(jù)物理頁面相應(yīng)引用計(jì)數(shù)以跟蹤實(shí)現(xiàn)頁表和頁面的引用,同時(shí)把操作系統(tǒng)的相應(yīng)換入和換出模塊實(shí)現(xiàn)相對較小的修改之后,可以配合CHAOS完成需要換出頁面的有效加密。
3Shepherd不可信環(huán)境下云計(jì)算服務(wù)的外在攻擊防御
Shepherd利用虛擬機(jī)監(jiān)控實(shí)現(xiàn)對并不可信的進(jìn)程行為進(jìn)行有效監(jiān)控,從而在一定程度上限制其造成對操作系統(tǒng)和相關(guān)用戶進(jìn)程的損害。和CHAOS比較相同的是,Shepherd系統(tǒng)要在虛擬機(jī)監(jiān)控器中設(shè)置行為約束層,進(jìn)而實(shí)現(xiàn)云計(jì)算用戶進(jìn)程相關(guān)系統(tǒng)調(diào)用的嚴(yán)格審計(jì)、檢測以及隔離。隔離管理器,在進(jìn)程明確是否會(huì)出現(xiàn)攻擊前,Shepherd中隔離管理器會(huì)把進(jìn)程相應(yīng)的系統(tǒng)資源操作完成隔離。對于文件系統(tǒng)有關(guān)系統(tǒng)調(diào)用而言,隔離管理器能夠?yàn)樵撓到y(tǒng)調(diào)用建立相應(yīng)的執(zhí)行環(huán)境,并且對其行為實(shí)現(xiàn)隔離。總體來說,隔離管理器要獲取該系統(tǒng)調(diào)用操作相應(yīng)文件名,并且在隔離管理器中的隔離文件系統(tǒng)中建立對應(yīng)的影子文件,然后把針對此文件的后續(xù)進(jìn)程操作重新定向至影子文件。如果進(jìn)程在一段相對較長的時(shí)間之內(nèi)并未檢測到異常發(fā)生,就是Shep-herd把此時(shí)間段內(nèi)文件系統(tǒng)修改歸入至主文件系統(tǒng)中。如果此進(jìn)程操作相應(yīng)文件并未被進(jìn)程所修改,這時(shí)Shepherd能夠相對簡單地把此文件拷貝至主文件系統(tǒng),若是其他相關(guān)進(jìn)程也對此文件進(jìn)行了修改,這時(shí)就會(huì)出現(xiàn)攻擊。因此,Shepherd會(huì)把此文件中的影子文件完成重命名,同時(shí)把其放至主文件系統(tǒng)中一個(gè)特定位置,并且會(huì)向系統(tǒng)管理工作人員發(fā)出警告。
4結(jié)語
云計(jì)算技術(shù)的快速發(fā)展,對云計(jì)算平臺可信性提出了更高的要求。通過對現(xiàn)階段云計(jì)算軟件、硬件以及服務(wù)中相關(guān)可信性需求進(jìn)行深入分析,并在充分了解云計(jì)算平臺可信性存在的問題之后,制定了加強(qiáng)云計(jì)算平臺可信性的方案。為了能夠進(jìn)一步加強(qiáng)云計(jì)算平臺的可信性,應(yīng)在軟件、硬件以及虛擬平臺中有效強(qiáng)化信息安全技術(shù),設(shè)計(jì)和實(shí)現(xiàn)CHAOS與Shepherd,從而有效提升云計(jì)算平臺相關(guān)軟件和硬件的安全性與可靠性。此外,動(dòng)態(tài)信息流跟蹤技術(shù)的運(yùn)用有效強(qiáng)化了軟件相應(yīng)更新技術(shù)并完成基于軟件的相應(yīng)動(dòng)態(tài)虛擬化技術(shù)。諸多加強(qiáng)云計(jì)算平臺可信性技術(shù)的運(yùn)用,在很大程度上提升了云計(jì)算平臺可靠性的相關(guān)操作范圍,同時(shí)能夠有效推動(dòng)國內(nèi)計(jì)算機(jī)技術(shù)的普遍應(yīng)用。
作者:王兵單位:遼寧行政學(xué)院
