文摘
无处不在的智能手机和移动互联网的发展,越来越多的移动互联网服务迁移到云服务平台,更好的用户体验。最不可缺少的部件之一的云计算基础设施,虚拟化技术最近已经吸引了相当大的兴趣。然而,虚拟化的发展仍然面临着许多挑战,信息安全。在本文中,我们提出一个新颖的建筑,被称为多层次和分组对虚拟化的安全模型(V-MGSM),在云计算平台资源的安全。具体来说,实现信息共享和隐私保护之间的平衡,虚拟机(VM)基于相应的实体分成不同的组,和同一组中的每个虚拟机分配给不同的安全级别根据安全需求。此外,虚拟机之间的操作是基于强制访问控制机制。详细的安全分析表明,该V-MGSM可以提供虚拟机的安全通信机制和实现借来的同步更新数据。最终,我们实现V-MGSM Xen进行实验,结果表明,V-MGSM确实可以实现数据安全和隐私保护有效的移动互联网服务。
1。介绍
在我们的信息社会中,移动互联网使得网络连接访问和无处不在的越来越采用普通消费者。广受欢迎和广泛应用,移动互联网服务执行添加巨大的收入业务社区和移动互联网行业最近开始起飞1- - - - - -3]。2013年3月,年底前在中国有超过8100万的移动互联网用户产生移动互联网市场规模超过200亿美元。
随着移动技术的巨大进步,人们期望更多的服务随时随地成为可能。尽管当前的移动技术和改进允许网上购物,网上聊天,或任何其他移动应用程序通过移动终端,几个某些阻碍沟通过程需要解决的问题。例如,人们倾向于使用智能手机等移动终端做任何事变现造成一系列的问题包括以下:计算载荷放大,电池待机时间缩短,存储是有限的。移动终端的提出问题,尤其是有限的计算能力和有限的存储上面所讨论的,它是必要的移动互联网服务迁移到云平台,减少计算量和延长待机时间。云计算的一个主要优势是提供大量存储和强大的计算能力,云服务器(4- - - - - -6]。从这个未来,云计算和移动互联网的合作是有前途的云计算可以从终端运输适用的计算能力和存储到云服务器。简而言之,云计算的出现是对移动互联网的持续发展具有重要意义。
图1说明了传统的移动互联网服务的必要性是迁移到云服务平台。具体地说,服务规模越大,就越需要的物理设备和仪器,以实现执行。特别是移动互联网服务,因为它是移动终端的能力受限,需要更多的资源服务提供者(服务器的7,8]。受益于计算能力的提高和成本的降低,虚拟化技术带来许多优点在IT行业通用技术,比如提高硬件利用率,促进服务质量。为充分利用基础设施和成本的降低,越来越多的移动互联网服务提供商往往将他们的服务迁移到云服务平台。然而,移动互联网服务提供商的迁移从传统模式向云服务平台导致安全问题已成为一个关键问题。与虚拟化、多租户包括医疗服务、教育服务、和企业服务提供不同的服务在相同的平台和云平台可能招致新的漏洞,尤其是隐私侵犯不同服务提供者之间和内部访问虚拟机在一个服务提供者。尽管虚拟化安全近年来吸引了相当大的兴趣,提出了几个安全的解决方案(9,10),对虚拟化的安全解决方案的发展仍然面临许多挑战信息共享和隐私保护之间的平衡。安全问题对虚拟化技术的主要障碍移动互联网的发展和广泛使用。(我)VM非法访问另一个相对重要的VM擅自虚拟化系统,这可能会导致机密信息的泄漏。(2)提高组织的效率,有必要保证虚拟机之间的信息共享,属于同一个组织。(3)虚拟机监视程序(VMM)最高优先级虚拟化系统,虚拟化系统将打破如果VMM非法访问。
为了建立一个虚拟化的安全通信机制(11),实现信息共享和隐私保护之间的平衡,一种新的多级安全访问控制模型和分组(V-MGSM)提出。和我们的主要贡献是三倍。(我)在V-MGSM模型中,实现有效的隔离虚拟机对应于不同的组织,所有虚拟机都被分成几组,可以避免不必要的访问和提供不同群体之间的隐私保护。(2)合理和安全的访问控制,不同的安全级别分配给虚拟机在同一组。特别是,低级虚拟机不能访问其他VM具有更高的安全级别;一个虚拟机不能访问其他VM分成其他组;和vm与高水平与低水平管理虚拟机。然后,高层VM中的机密信息将不会得到一些恶意的低级虚拟机。(3)在同一集团高层从低级VM虚拟机可以借数据,当借来的低级虚拟机中的数据被修改,相应的数据在高级VM将同步更新。
本文的其余部分组织如下。节2,我们调查相关工作。节3,我们目前的架构提出V-MGSM模型。然后,我们提供V-MGSM模型的正确性和安全性证明的部分4,其次是实现部分5。最后,我们得出我们的结论6。
2。相关的工作
2.1。对虚拟化的安全机制
繁荣的虚拟化,虚拟机之间的通信的安全最近吸引了相当大的兴趣。虚拟机之间的通信的必要性在特定的应用程序场景中首先指出在[12],它提到的实现访问控制机制对vm的交流也是非常重要的。此外,作为强制访问控制(MAC)机制,sHype [13)是一种最知名的安全架构VMM。基于Xen虚拟机之间的通信和硬件资源访问vm可以控制好sHype,确定应该同时运行的vm的利益冲突。然而,虚拟机之间的通信的类型不是sHype中定义。最近,一些注意力都投入到虚拟机之间的通信类型。中国墙(PCW)政策优先(14),提出了构建一套vm可以动态地相互通信。一个基于角色的访问控制策略15提出后,关注客人vm和VMM层之间的通信。然而,他们都忽略了inter-VMs沟通。Virt-BLP模型(16基于BLP []17)模型,提出了满足要求的多层次安全虚拟化。作为虚拟机系统的安全通信机制,Virt-BLP模型获得虚拟机之间的通信,而内存的访问控制矩阵太大。
2.2。多级访问控制模型的发展
目前,有几种安全模型和方法用于nonvirtualized系统保证访问控制。Bell-LaPadula模型(18],海景模型[19),和多级关系(高)20.]介绍了模型经过了三十年的多级访问控制研究[21]。与其他模型相比之前提出,高钙很清楚在语义和完美的功能经过多年的安全访问控制模型和研究已广泛应用于多个领域和非常安全的多级安全模型。然而,在多级用户系统中,由于一个高级用户可能想借数据从一个低级用户是合理和必要的,高级用户可以借高钙和高层的低级元组数据元组确实有这个借来的数据将被更新或者删除同步时借来的低级用户已被修改的数据。与此同时,一种致命的高借贷的数据造成的安全风险是高级用户的角度的变化由低级用户可能导致泄漏机密数据的高级用户如果借来的这两个用户之间存在的关系。
3所示。提出V-MGSM模型
在本节中,我们重新设计架构,元素,数据解释,安全定理,为更好地利用状态转换规则在虚拟化和提出一个多层次、分组访问控制模型的基础上,高钙模型来构造一个虚拟机的安全通信机制。我们首先回顾虚拟化的架构,作为V-MGSM模型的基础。
虚拟化的实际结构如图所示2(一个)。用一个软件层VMM之间插入硬件和操作系统上,几个虚拟机可以运行在一个物理机器在同一时间。此外,虚拟机之间的安全通信,强制访问控制(MAC)模块构造控制的VMM和虚拟机之间的通信流。然而,从不同vm的视角,VMM被认为是不同的实体。如图2 (b),虚拟化系统可以被分为几组根据vm的相应组织,如用户用户系统1和系统2,每个由VM1, VM2 VM3 VM4,分别。更重要的是,在用户系统的角度来看,他们是管理和控制VMM1 VMM2分别,虽然只有一个VMM在虚拟化系统。
(一)
(b)
3.1。V-MGSM模型的元素
之前介绍的正式定义的多级关系模型和多级关系虚拟化,在本部分中,我们定义V-MGSM模型的基本元素,如下所示。
(我)主体和客体。对象代表活跃的实体(如流程和用户;对象表示被动的实体,如数据和文件。在V-MGSM模型中,一个虚拟机被认为是一个主题或一个对象基于信息流的传播过程。
(2)安全级别。假设有两个vm虚拟机系统,当且仅当在同一个组织主体和对象和主体的安全级别是高于或等于的对象,对象可以访问的主题。
(3)数据的属性。V-MGSM模型中,虚拟化系统分组的基础上的实体,在虚拟机之间的通信的场景,一个VM只能由另一个VM查询时对应于相同的实体。
定义1(独立对虚拟化的多级关系模型)。让表示一个属性域,让表示一个数据域的属性,让表示的安全水平,让钢筋混凝土表示一个VM的安全级别。关系与不同层次描述实例。指定的域安全级别可以设置,所有的安全水平和从下确界的上确界有关。
定义2(虚拟化的多级关系)。让表示一个VM的安全级别,让表示的安全水平,记录一个VM的多级关系用。然后,所有数据数据属性和安全水平的多层次关系符合以下表达式:
具体地说,每个关系实例由许多记录vm的记录。所有数据和安全水平的关系实例符合下列表达式:
3.2。V-MGSM模型的数据解释
为了避免可能出现的模糊查询结果在高访问VM中,两个重要的属性,实体多实例和记录多实例,介绍了。和表1是采取一个例子描述实体的定义多实例并记录多实例。两个实体(枪, )和(枪, 表中描述的)1,这是由主题和分别为主题;水平的最低水平,下是一个基本的记录,只能访问下,它只会被删除主题;TS高于在安全水平。因此,这两个TS下,下可以访问TS主题;TS主题借了属性的值范围授权的“2”TS主题。然而,该属性的值数量TS设定的主题是TS主题的价值属性数量主题并不是授权TS主题。然后,两种多实例包括记录多实例和实体多实例是上面提到的示例。
定义3(记录多实例)。在多级关系,有相同的值的记录和不同的价值观被称为记录多实例。
定义4(实体多实例)。在多级关系,有相同的值的记录和不同的价值观被称为实体实例,这意味着实体的水平是不同的。然后,的意思可以解释如下。
(我)主键 和安全级别属性 在V-MGSM模型。让表示主键的值以及一个VM的名字,和我们表示实体对应于VM的身份和安全级别的实体在一个实例。意味着实体的安全级别和实体与安全水平被称为实体。在V-MGSM vm分成不同的组根据相应的实体,这些实体被分配到不同的安全级别。特定的价值在特定的时刻,只有一个实体可以授权的受试者有相同的价值。
(2)安全级别属性 在一个记录。 代表记录插入一个VM与水平,被称为vm,数据记录授权vm。如果没有相应的记录存在,这意味着不是授权的实体vm。的安全级别记录,称为是用来判断访问是否成功。具体来说,虚拟机可以访问的数据一个更高水平的主题。换句话说,一个虚拟机可以访问其他vm如果,。数据记录只能删除或更新它的主人和两个虚拟机之间的借贷关系存在吗和当且仅当他们分为同一组和满足,。
3.3。安全V-MGSM定理
在这一部分中,我们首先精心修改_property,被选中的一个地下室V-MGSM模型和最初提出了BLP模型。然后,介绍了四个综合属性为V-MGSM设计。
定义5 (_property)。在V-MGSM模型中,主体的安全级别并不是由一个对象的安全级别。VMM最高优先级虚拟化系统;VM只能读取数据从其他虚拟机在同一组内的水平较低,无法读取数据从VMM或其他虚拟机与高水平,消除阅读上升的现象。VMM和其他安全级别较高的vm可以更新或删除任何低级虚拟机中的数据,消除写作下降的现象。此外,两个基本安全定理BLP模型中定义声称向下向上阅读和写作的现象应该绝对避免。
定义6(实体综合属性)。可以正式表示为实体综合属性,。修改后的实体综合属性是为了确认每个VM分为一个独特的群体。主键的值是一个VM的名字和是一个实体的安全级别相应的VM的一个实例吗。
定义7(多实例综合属性)。多实例属性可以被正式称为集成,,,。修改后的多实例综合属性是专为不存在的模糊性在查询过程中,这可能是由于高的主题访问对象。所有实例相同的主键值允许在任何关系。然而,考虑到安全级别,只有一个实体是授权的主体。为简单起见,只有一个授权的实体是VMM的价值当处理命令在特定的时刻。
证明多实例综合属性,显然,一个示例表所示2用于描述多实例的冲突。两个实体具有相同的主键值”Gun3”和不同的价值观提出了在这个例子中,是不允许在V-MGSM模型。更重要的是,只有一个实体授权,以避免模糊查询的结果对于一个给定的安全水平。与高钙相比,V-MGSM模型的优点是,与多实例的实体是允许跨越安全水平。同时,只有一个实体授权当虚拟机访问其他VM。
定义8 (Data-Borrowing综合属性)。所有记录,,因为,如果,,,然后。V-MGSM,高级用户更关心借来的关系一个低级用户,而不是详细的借来的数据值。借来的数据证明了低级虚拟机的安全级别借来的数据应该保持的低级虚拟机。
(我)的主要思想改进的数据借贷。一想到高借贷的数据模型是相对不合理,因为大量的机密信息可能泄露从高级用户因为低级高级用户的用户可以修改视图。与高钙是专为nonvirtualized系统相比,V-MGSM模型更为合理,可以应用于虚拟化系统和高级VM中的信息不会被泄露的低级虚拟机的删除或更新高模型的操作,克服缺点。
(2)条件成功Data-Borrowing操作。安全在同一组内虚拟机之间的通信,V-MGSM的改进主要集中在借贷方面的数据和同步更新。在特定的,我们假设借来的数据的存在基本条件由高级用户data-borrowing操作成功;这时,一个低级虚拟机拥有借来的属性的值;最后,借了数据的安全级别的高层VM仍保持着原来的安全水平,确保了借来的信息仍然证明了它的创造者。如果条件都不满足,借来的数据应该被设置为空。
(3)如何执行同步更新。借来的安全级别的数据与原始水平保持在借来的高级VM来执行同步更新数据时,它已被修改或删除的低级虚拟机。
因此,从低级虚拟机设置null或借来的数据更新同步在高层虚拟机删除或修改的创造者,避免丢失重要的信息。
定义9 (Nonborrowed属性综合属性)。综合属性可以被正式称为Nonborrowed属性,。NBA表示nonborrowed属性之间的关系。所有数据在vm,多重关系的一个实例满足Nonborrowed属性综合属性的安全级别属于nonborrowed属性都是相同的。
3.4。状态转换规则V-MGSM模型
在本部分中,四个订单(插入,删除,更新,和选择)和相应的语法定义为V-MGSM模型的状态转换规则。
定义10 (插入操作语言)。语法形式的插入操作语言描述如下:
语义。表示关系的名称,表示虚拟机的名称表示选择项。每一个插入操作可以创建一个记录与安全水平在关系由一个主题。对所有,如果在“成”属性的列表,然后呢。另一个案例中,,应该考虑如果的价值不插入记录。插入操作是允许只有当没有记录满足。插入一条记录可以成功如果虚拟化的生成状态满足实体集成(EI)属性,多实例综合属性,同时和Nonborrowed属性集成(NBAI)财产。
定义11 (删除操作语言)。语法形式的删除操作语言描述如下:
语义。R表示关系的名称,代表一个检查表达式可以安全属性表达式或数据表达,和任何VM只能被删除的数据的创造者。删除操作是允许当且仅当并符合然后删除记录。在V-MGSM模型中,另一种情况显示如下考虑,因为数据借贷。对所有记录,我们可以获得,如果,。
定义12 (更新操作语言)。语法形式的更新操作可以描述如下:
语义。为更新操作语言,任何虚拟机的数据只能被它的创造者更新。在V-MGSM模型中,另一种情况,同步更新的借来的信息,是考虑到如果高层VM借了低级虚拟机的数据。的价值不允许被修改更新操作。对所有记录的关系,如果,然后。更新的属性的值只会被更新的创造者,所以更新属性维护的安全级别的主人是否已经借了。更新属性的值在两个低级虚拟机和高级VM时同步更新借来的这两个VM之间存在关系。因此,如果,,,然后。
定义13 (选择操作语言)。语法形式的选择操作语言描述如下:
语义。让*表示选择关系的所有数据,让表示检查表达式可以安全属性表达式或数据表达式。虚拟机的数据关系将计算,并记录将由一个更高级别的访问主题在同一组。如果,然后VM可以查询的信息主题。
4所示。正确性和安全性分析
4.1。V-MGSM模型的正确性
明确证明的正确性V-MGSM模型,两个步骤是必要的。一个是所有记录的证明在一个关系满足四个综合属性;另一个是证明任何的操作序列包括插入,删除,更新将任意合法状态转换成另一种法律状态。
定义14。V-MGSM模型正确等于所有记录的事实关系法律状态在虚拟化系统满足四个综合属性中定义的部分3。
定义15。模型正确等于事实,任何法律状态可以转化成另一个法律状态的任何序列插入,删除,更新这是之前定义。
有必要强调插入,删除,和更新在虚拟化系统操作改变任意合法状态到另一个合法的国家。显然,任何选择操作不会改变任何国家因为没有数据插入、更新或删除。然后,我们假设记录一直在操作以下步骤。(我)生成的数据的插入操作不会破坏实体综合属性,Data-Borrowing综合属性,或非基本关键属性的语义集成插入操作。因此,我们只需要证明的插入操作不打破多个实例综合属性。基于操纵的监管插入操作,一个记录r插入成功只有当吗符合不存在的关系。总之,生成的状态的插入操作不打破四之前定义的综合属性。(2)任何的原因删除操作不会破坏四个综合属性详细解释。实体综合属性,多个实例综合属性和非基本满足综合属性因为没有记录的关键字在原来的关系后插入或更新删除操作。为,如果和,我们就能获得,Data-Borrowing综合房地产强制满足的关系。因此,删除操作不会破坏四个综合属性定义的。(3)任何更新操作不打破四个综合属性。实际上,所有综合属性满足基于语义的强制要求更新操作。因此,如果初始状态是正确的,任何国家从任何正确的状态的转换更新操作是正确的或法律定义中定义的一样15。
因此,所有相关的操作可以将法律状态转换为另一个法律状态而不破坏四个综合属性。最后,我们可以证明该V-MGSM模型是正确的。
4.2。安全分析
证明V-MGSM的安全模型中,我们定义了安全状态和解释的原因状态仍然是安全的执行一系列操作后在前面提到的部分。
定义16。安全状态在V-MGSM模型意味着不存在向下的信息流在虚拟机之间的通信过程。
任何主题的输出属于不删除任何输入的影响属于。让年代是所有科目的设置包括所有vm,并让所有记录有不同程度在一个虚拟机系统。然后,我们定义作为一组所有受试者的安全水平低于或等于表示一组的所有记录水平低于或等于,,:S-SV 是,R-RV (c),分别。对于任何访问级别以极大的缓解,我们得到以下方程根据每个符号的含义:
为了证明V-MGSM的安全模型,我们采取的操作序列包括插入,删除,选择、和更新V-MGSM VMs作为输入和输出结果包括两部分:的一组记录或失败的结果返回给虚拟机的访问选择操作;成功或失败信息后返回到主题插入,删除,或更新操作。在分析可能的访问结果返回到主题,安全V-MGSM由两种情况的证明。(我)对于任何访问级别c,输出到任何主题不是通过改变影响和四个病例在接下来需要考虑。(一)由于选择的语义操作,当执行一个选择操作主题和小于或等于什么在设置RH(,没有记录)将回到主题。因此,输出不是通过改变影响作为。(b)的插入由一个主题是拒绝如果记录,。走一步;的插入操作也将拒绝是否生成的记录了EI属性,多实例综合属性,NBAI财产,或Data-Borrowing综合属性。(c)的删除由一个主题年代拒绝只有当删除记录不是创建的主题,这意味着这个话题没有执行任何操作的权利在这个记录这个话题没有这个记录的所有权。(d)的更新由一个主题拒绝更新操作结果是否在打破EI属性,多实例综合财产,NBAI财产或不执行它的创造者。在记录由一个吗主题和记录由一个吗主题,只记录r和涉及,应该考虑。成功或失败的信息,传递给主题年代∈SV(c),不受变化的影响因为,。然后,我们可以得出一个结论不会被删除的任何输入更改主题。(2)国家只有V-MGSM模型修改插入,删除,或更新操作和我们假设大于c在以下的情况。(一) vm可以生成一个下的插入操作。(b) vm只能删除下。(c) vm可以更新下。自大于,。
最后,我们得出一个结论,没有下行沟通过程中信息流动存在。返回的结果任何话题属于集这并不影响删除输入的主题吗年代1属于集。因此,任何国家的虚拟化从一个安全的初始状态是保持安全后新的状态转换规则进行。
5。V-MGSM模型的实现
如图3,我们构造一个MAC框架由VMM,管理,XSM, V-MGSM MAC ACCF和vm。具体来说,ACCF表示访问控制配置文件,管理用于管理访问控制其他vm Domain0,和V-MGSM MAC安全模块是实现为一个基于XSM安全钩子函数,由Xen,管理虚拟机之间的通信根据V-MGSM状态转换规则模型。当一个VM发出请求访问另一个虚拟机访问属性选择,更新,或删除XSM拦截请求;和XSM转移这V-MGSM MAC的访问请求;然后,ACCF存储访问权限和对象和对象之间的关系,用于帮助V-MGSM MAC决定是否访问请求被拒绝;最后,V-MGSM MAC返回的决定。如果返回的决定是“是”,那么XSM授权主体访问客体的访问属性;否则,拒绝访问。
实现是建立在一个工作站与四个四核Intel Core i7, 2.5 GHz cpu, 16 GB的内存和1 T存储。在特定版本的Xen 3.3.1, Domain0 CentOS 5.4操作系统,每个VM覆盖在测试运行Ubuntu 8.10。Domain0 Apache提供的web服务,通过它每个VM可以登录和查询信息的共享内存;此外,一套软件用于适用于共享内存和共享内存中的值,称为Virmem,在每一个虚拟机执行。
步骤1 (Xen虚拟化的初始化)。五个vm创建Xen和用VM1, VM2, VM3, VM4, VM5,分别和他们的安全水平H3,H2,H1,H3,H2,H3 >H2 >H1。不同组织之间有效的隐私保护,VM1, VM2,和VM3分为用户系统1,和VM4 VM5用户系统2;独特的识别用户系统1和系统2 L1和L2,分别。然后,VM3 Virmem, VM4, VM5申请共享内存和集的第一个字节共享内存的“”、“”和“”,分别。和VM2适用于共享内存VM1,设置第一个字节的值由“。”
第2步(在用户系统1和VM4 VM1用户系统2查询所有共享内存Domain0通过web服务,职责)。然后,结果如表所示3(一)和3(b), VM1拥有最高的安全级别,所有数据在用户系统1而不是用户2可以通过VM1查询。,如表所示3(一)的值在这些记录都是相同的这意味着所有的虚拟机都是对应于同一组用户系统1。如表所示3(b),当VM4查询所有用户系统共享内存2的值也是一样的。因此,结果表明,我们建议的V-MGSM模型是正确和安全地应用于虚拟化的隐私保护。
步骤3(共享内存的值更新VM2)。VM2在用户系统1更新共享内存的第一个字节的值为“由Virmem”。然后,VM2查询web服务共享内存的Domain0,结果如表所示3(c)。
步骤4 (VM1查询共享内存)。如表所示3(d),数据在第一和第二记录的值修改为“”。因此,借来的共享内存的值在一个高层次的VM可以同步更新和更新成功,如果它的主人,一个低级虚拟机。
实验结果表明,多级安全访问控制vm和有效隔离虚拟机对应于不同群体和同步更新中实现虚拟化系统并执行虚拟机之间的安全通信过程。
6。结论
本文基于多级关系,一个新的多级安全模型和分组,称为V-MGSM,提出了虚拟化。在特定的安全需求的基础上不同的vm,我们重新设计元素,综合属性,V-MGSM模型和数据操纵语言,和所有vm分为几组根据相应的实体,可以避免不必要的访问和提供不同群体之间的隐私保护。除此之外,不同的安全级别分配给虚拟机在同一组,和一个高级机密信息VM将不会得到一些恶意的低级虚拟机。然后,当借来的低级虚拟机中的数据被修改,相应的数据在高级VM将同步更新。此外,详细的安全分析表明,该V-MGSM vm可以提供一个安全的通信机制,实现同步更新的借来的数据。最终,我们实现V-MGSM Xen进行实验,结果表明,V-MGSM确实可以实现移动互联网服务的效率。
信息披露
本文的摘要在第五届国际会议上提交了智能网络和协作系统,9 - 16页,20131]。
利益冲突
作者宣称没有利益冲突有关的出版。
确认
这项工作是由中国国家自然科学基金(61303218和61303218号);中国111项目(B08038);中央大学的基础研究基金(没有。K5051301017)。