【精品】【考研计算机专业课】武汉大学操作系统PPT课件 安全补充-隐蔽通道和虚拟化精品ppt课件.ppt

《【精品】【考研计算机专业课】武汉大学操作系统PPT课件 安全补充-隐蔽通道和虚拟化精品ppt课件.ppt》由会员分享，可在线阅读，更多相关《【精品】【考研计算机专业课】武汉大学操作系统PPT课件 安全补充-隐蔽通道和虚拟化精品ppt课件.ppt（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【考研计算机专业课】武汉大学操作系统PPT课件 安全补充-隐蔽通道和虚拟化隐蔽通道n隐蔽通道概念n隐蔽通道是指恶意进程通过合谋信息系统共享资源而实现的一种信息泄漏方式。n隐蔽通道分析 n隐蔽通道分析是国内外安全标准对脆弱性分析的强制性要求。n具体分析工作包括通道的识别、度量和处置。n隐蔽通道分析是信息安全研究领域的一个重要难题，其原因在于：以强制访问控制研究为基础；海量代码分析复杂；技术壁垒导致参考资料非常少。隐蔽通道n隐蔽通道是系统中不受安全策略控制的信息泄露路径。按隐蔽的方式分，隐蔽通道分为n隐蔽存储通道：如果一个进程直接或间接地写一个存储单元，另一个进程直接或间接地读该存储单元，则称这种

2、通道为隐蔽存储通道。n如果发送方进程通过选择是否耗尽共享资源作为0和1的编码发送消息，则称为资源耗尽型隐蔽通道；n如果发送方进程并不耗尽共享资源，而是通过修改共享资源的状态发送信息，则称为事件计数型隐蔽通道。n隐蔽定时通道：如果一个进程通过调节它对系统资源的使用，影响另外一个进程观察到的真实响应时间，实现一个进程向另一个进程传递信息，则称这种通道为隐蔽定时通道。隐蔽通道n按解码概率分n无噪通道：在隐蔽通道中，如果对发送进程传送的任意比特，接收进程都能以概率1正确地解码，则称该通道为无噪通道。n噪音通道：对发送进程传送的任意比特，接收进程能够正确解码的概率小于1。隐蔽通道n美国国防部推荐采用Ts

3、ai定义作为隐蔽通道的推荐定义。n定义(Tsai，1987)给定一个强制安全策略模型M，及其在一个操作系统中的解释I(M)，I(M)中的两个主体I(Sh)和I(Sl)之间的通信是隐蔽的，当且仅当模型M中的对应主体Sh和Sl之间的任何通信都是非法的。Tsai定义清楚显示了定义清楚显示了隐蔽通道与不同的访问隐蔽通道与不同的访问控制策略之间的关系控制策略之间的关系。隐蔽通道关键技术n隐蔽通道本质上是信息传输通道，传输机制的研究重点集中在对传输介质的研究。根据共享资源属性的不同，传输介质分为存储类型和时间类型，由此衍生出存储隐蔽通道和时间隐蔽通道的分类。n在操作系统、数据库、网络系统中都存在存储隐蔽通

4、道和时间隐蔽通道。n在操作系统、数据库或者网络中发现一种共享资源作为隐蔽通道的传输介质，是隐蔽通道传输机制的核心，而好的传输介质的选择，能够提高通道的容量和隐匿性。操作系统隐蔽通道 n操作系统隐蔽通道研究重点在于防患于未然，侧重于通道标识、场景构建和容量度量。nKemmerer认为隐蔽通道是使用不正常数据客体的项从一个主体向另一个主体传递信息的通道，并由该定义设计出共享资源矩阵法。该方法构建共享资源矩阵工作量巨大，容易产生状态爆炸。nTsai等人认为隐蔽通道是违反强制安全策略模型的两个主体间的非法通信。提出语义信息流方法，分析编程语言的语义、内核代码中的数据结构，发现其中变量的可修改性/可见性

5、；然后利用信息流分析方法来判断内核变量的间接可见性，以此发现潜在的隐蔽通道。该方法工作量大、缺少自动化工具的缺点。操作系统隐蔽通道 nDenning对信息流模型进行了形式化描述，为从每个语句中抽象出信息流语义包含“明流”和“暗流”，将信息流策略应用于系统的顶层规范或者代码上，生成信息流公式，最后利用定理证明器证明。n卿斯汉延续了语义信息流的思想，设计了一种代码层次的标识方法回溯搜索法，该方法引入“剪枝规则”，在标识过程中立即删除不能构成隐蔽通道的共享变量，显著地减少了分析的工作量。nGoguen认为，在安全系统中一个用户不能意识到任何不由它所支配的用户的任何操作，称为无干扰模型。如果不存在隐蔽

6、通道，则任何一个用户都应该与其支配的任何用户之间满足无干扰关系。数据库系统隐蔽通道 n在数据库系统中存在大量的共享资源，导致隐蔽通道的存在。数据库系统隐蔽通道研究主要集中在通道检测、威胁度量和限制技术中。n数据库存储资源引入的通道。该通道利用数据库中的共享资源，如数据、数据字典等。发送者修改数据/数据字典，接收者则通过完整性约束等方式间接感知数据/数据字典的修改，以此来传输机密信息。n数据库管理资源引入的通道。数据库系统中的另一类共享资源包括系统变量、游标、临时数据区等。通过耗尽有限的共享资源，收发双方传输机密信息。n事务并发控制引起的隐蔽通道。入侵者可以利用不同安全级事务间的并发冲突构造隐蔽

7、通道，称作数据冲突隐蔽通道。网络系统隐蔽通道 n网络隐蔽通道将信息泄漏威胁从系统内部转移到系统之间 n网络存储隐蔽通道将信息附加在不常用的数据段中，包括未用的IP头字段(ToS字段、DF和URG位)、IP头的扩展和填充段、IP标识和碎片偏移等。n网络时间隐蔽通道将隐蔽信息编码成数据包的发送/到达时刻，时间间隔等序列，更加难以检测和处置。n2004年美国Purdue大学的Cabuk提出一种IP时间隐蔽通道，称作IPCTC。n2009年Purdue大学的Sellke提出了一种基于编码表的网络时间隐蔽通道，称为$L-bits-to-n-Packets$通道。n现有的网络时间隐蔽通道研究成果可以发现，

8、改进通道的编解码过程能够提高通道容量。虚拟化n什么是虚拟化技术？n虚拟化技术是一种调配计算资源的方法，它将不同层面硬件、软件、数据、网络、存储一一隔离开来的技术。n或者说是从其他系统、应用或终端用户与计算机资源进行互动的方式中隐藏物理特性的技术。虚拟化n为什么要虚拟化？n充分利用计算机的硬件资源n多操作系统和复杂网络环境n应用程序及操作系统的移植虚拟化技术的意义n是CPU多核技术发展的必然要求n是解决计算机安全问题的新手段HypervisornHypervisor是一种运行在物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享一套基础物理硬件，因此也可以看作是虚拟环境中的“元”操

9、作系统，它可以协调访问服务器上的所有物理设备和虚拟机，也叫虚拟机监视器（Virtual Machine Monitor）。Hypervisorn作用：Hypervisor是所有虚拟化技术的核心。非中断地支持多工作负载迁移的能力是Hypervisor的基本功能。Hypervisorn种类：目前市场上各种x86 管理程序(hypervisor)的架构存在差异，三个最主要的架构类别包括：nI型：虚拟机直接运行在系统硬件上，创建硬件全仿真实例，被称为“裸机”型。Hypervisor直接管理调用硬件资源，不需要底层操作系统，也可以将Hypervisor看作一个很薄的操作系统。这种方案的性能处于主机虚拟化

10、与操作系统虚拟化之间。HypervisornII型：虚拟机运行在传统操作系统上，同样创建的是硬件全仿真实例，被称为“托管/主机”型。Hypervisor运行在基础操作系统上，构建出一整套虚拟硬件平台（CPU/Memory/Storage/Adapter），使用者根据需要安装新的操作系统和应用软件，底层和上层的操作系统可以完全无关化，如Windows运行Linux操作系统。主机虚拟化中VM的应用程序调用硬件资源时需要经过:VM内核-Hypervisor-主机内核，因此相对来说，性能是三种虚拟化技术中最差的。Hypervisorn型：虚拟机运行在传统操作系统上，创建一个独立的虚拟化实例（容器），指

11、向底层托管操作系统，被称为“操作系统虚拟化”。操作系统虚拟化是在操作系统中模拟出运行应用程序的容器，所有虚拟少。但是缺点是底层和上层必须使用同一种操作系统，如底层操作系统运行的是Windows系统，则VPS/VE就必须运行Windows。Hypervisorn常见的Hypervisor有两类：裸机型与主机型n裸机型的Hypervisor最为常见，直接安装在硬件计算资源上，操作系统安装并且运行在Hypervisor之上。两种虚拟化技术的对比因素因素裸机型裸机型主机型主机型性能性能高，资源开销小，高级的资源控制。性能较差，资源开销大有限的资源控制，虚拟机竞争资源。硬件兼容性没有太多要求，因为虚拟化

12、平台运行在传统操作系统之上，有操作系统硬件的驱动程序支持。运行在经过认证的有限的硬件集合内，如VMware ESX 和 ESXi。易用性安装容易，但配置很复杂。安装、使用和维护都很简单，不需要专门的技能。高可用性高可用性，主机发生故障时能够提供持续的可用性缺少高可用特性，主机发生故障时，故障解决前虚拟机将处于停机状态。因素因素裸机型裸机型主机型主机型可靠性可靠性高，hypervisor经过很多QA（quality-assurance）测试和严格的硬件认证。直接运行在硬件上，而不是主机操作系统，减少了一个可能发生故障的组件。主机型hypervisor使用通用的硬件并没有对虚拟化进行专门的测试。虚

13、拟化hypervisor管理提供了几种控制台，能够容易的管理数量巨大的主机及虚拟机；市场上具有很多用于裸机虚拟化hypervisor的第三方管理和自动化产品可以使用。管理员必须单独管理每个虚拟机，在大型虚拟化基础设施中将非常繁琐，也很耗时。两种虚拟化技术的对比因素因素裸机型裸机型主机型主机型成本裸机hypervisor成本却很昂贵，尤其是当你想扩大规模并使用高级特性时。多数裸机虚拟化hypervisor宣称是免费的，但是仅限于核心hypervisor.成本较低，许多基于主机的hypervisor是免费的或者仅仅花费数百美元。可扩展性能够扩展到相当大的规模，使用裸机hypervisor,如果你的

14、主机具有足够的硬件资源，那么你能够轻松地在一台主机上运行数百个虚拟机。在vSphere 5中单个虚拟机能够配置高达1TB的内存以及32个虚拟CPU。非常有限的可扩展性，VMware基于主机的虚拟化hypervisor VMware Workstation,仅能够支持32GB的内存以及8个虚拟CPU。产品VMware ESX和ESXi，微软的Hyper-V，Citrix的XenServer，orcal虚拟机，linux KVM。VMware Server（GSX）、Workstation和Microsoft Virtual PC、Microsoft Virtual Server等Hypervis

15、or意义nHypervisor 实现了操作系统和应用程序与硬件层之间的隔离，这样就可以有效的减轻软件对硬件设备以及驱动的依赖性。nHypervisor可以允许操作系统和应用程序工作负载在更广泛的硬件资源上运行。支持多操作系统和工作负载，每一个单独的虚拟机或虚拟机实例都能够同时运行在同一个系统上，共享计算资源。n每台虚拟机可以在不同平台之间迁移，这样做就可以更好的利用计算平台，实现无缝的工作负载迁移和备份能力。Hypervisor的安全n使用Type 2 hypervisor有很多优势，尤其是进行服务器维护时，但是如果你主要关注的是虚拟化安全，最好使用Type 1 hypervisor。Hype

16、rvisor的安全应考虑的问题n虚拟机的访问控制机制n虚拟机的安全度量机制n虚拟机的安全快照和回滚机制n虚拟机存储数据安全的隔离机制Hypervisor在安全方面的好处n实现简单，规模小，因此在设计和实现过程中引入错误和漏洞的几率也小许多，适合作为计算机系统的可信基；n有着天然的优良的隔离特性，可以并行运行多个操作系统，并在它们之间提供屏障，一个虚拟机中的应用程序出现问题，不会影响到整个计算机系统；n虚拟化技术通过运行多个操作系统，并为它们赋予不同的安全级别和期望，单个计算机系统就可以满足用户的多安全需求。n如果在底层硬件平台上引入可信计算机制，则可以构建更加安全的计算环境。ThanksThanks！