【摘要】：隨著大數(shù)據(jù)、物聯(lián)網(wǎng)的發(fā)展,越來(lái)越多的用戶選擇在云平臺(tái)上部署自己的應(yīng)用,但是用戶數(shù)據(jù)的安全問(wèn)題也隨之變得嚴(yán)峻。攻擊者可以利用軟件漏洞直接竊取用戶數(shù)據(jù),也可以針對(duì)云平臺(tái)本身發(fā)起攻擊、控制云平臺(tái)實(shí)施惡意行為,一些攻擊者甚至可以實(shí)施諸如冷啟動(dòng)、總線監(jiān)聽(tīng)等物理攻擊來(lái)竊取用戶數(shù)據(jù)。因此,在云環(huán)境下保護(hù)這些數(shù)據(jù)的安全已經(jīng)成為重要的研究課題。最近,AMD在新一代的CPU中推出了對(duì)內(nèi)存加密的硬件支持:安全內(nèi)存加密(SME)與安全加密虛擬化(SEV),其中,SEV允許每個(gè)虛擬機(jī)使用自己的密鑰來(lái)選擇性的加密和管理自己的內(nèi)存,這就為在不可信云環(huán)境下保護(hù)虛擬機(jī)及其中的數(shù)據(jù)提供了可能。但是,本文發(fā)現(xiàn)現(xiàn)有的SEV還具有一些問(wèn)題,首先,惡意的虛擬機(jī)監(jiān)控器可以通過(guò)修改相關(guān)的關(guān)鍵數(shù)據(jù)結(jié)構(gòu)繞過(guò)、甚至直接關(guān)閉保護(hù);其次,SEV提供的保護(hù)不足以覆蓋虛擬機(jī)的整個(gè)生命周期。針對(duì)這些問(wèn)題,本文系統(tǒng)分析了現(xiàn)版本SEV所具有的安全隱患,詳細(xì)討論了利用AMD的SEV機(jī)制保護(hù)客戶虛擬機(jī)與應(yīng)用程序關(guān)鍵數(shù)據(jù)的可行性。為了解決不可信虛擬機(jī)監(jiān)控器繞過(guò)保護(hù)的問(wèn)題,系統(tǒng)將關(guān)鍵資源從非關(guān)鍵的服務(wù)中分離了出來(lái),并將虛擬機(jī)監(jiān)控器修改這些關(guān)鍵資源的權(quán)限進(jìn)行了剝離,取而代之的是一個(gè)根據(jù)系統(tǒng)預(yù)訂策略來(lái)管理這些關(guān)鍵資源的安全上下文。在同級(jí)保護(hù)機(jī)制下,安全上下文與原有的虛擬機(jī)監(jiān)控器運(yùn)行在同一特權(quán)級(jí)下以減少性能開(kāi)銷(xiāo)。為了保護(hù)應(yīng)用程序中的關(guān)鍵數(shù)據(jù)安全,系統(tǒng)對(duì)應(yīng)用程序進(jìn)行解耦和,將關(guān)鍵數(shù)據(jù)和代碼置于獨(dú)立的安全環(huán)境中運(yùn)行,使之免受Guest OS的惡意讀取。本文貢獻(xiàn)如下:·對(duì)AMD SEV硬件內(nèi)存加密機(jī)制的全面安全分析與討論�！ひ惶总浖䲠U(kuò)展方案Fidelius,該方案在彌補(bǔ)了SEV的缺陷后,創(chuàng)新得復(fù)用SEV API,最終為虛擬機(jī)提供覆蓋整個(gè)生命周期的保護(hù)�！ひ惶总浖䲠U(kuò)展方案Sedora,該方案對(duì)應(yīng)用程序進(jìn)行解耦和,將關(guān)鍵部分置于利用SEV建立的獨(dú)立安全環(huán)境以保護(hù)其安全。·系統(tǒng)的安全分析和定量的性能評(píng)估,最終證明兩個(gè)系統(tǒng)原型的安全和高效。
【學(xué)位授予單位】：上海交通大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2018
【分類(lèi)號(hào)】：TP309.7;TP302

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 陳佳昕;;虛擬機(jī)隱藏進(jìn)程檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J];現(xiàn)代計(jì)算機(jī)(專(zhuān)業(yè)版);2019年01期

2 尹學(xué)淵;陳興蜀;陶術(shù)松;陳林;;一種無(wú)代理虛擬機(jī)進(jìn)程監(jiān)控方法[J];南京大學(xué)學(xué)報(bào)(自然科學(xué));2019年02期

3 郭建偉;;靈活管理虛擬機(jī)[J];網(wǎng)絡(luò)安全和信息化;2019年05期

4 關(guān)長(zhǎng)杰;;巧用虛擬機(jī)維護(hù)多媒體教室計(jì)算機(jī)之我見(jiàn)[J];信息記錄材料;2019年04期

5 王瑞宗;;淺析云計(jì)算虛擬機(jī)部署方案[J];電子世界;2019年15期

6 甘娜;;一種基于服務(wù)次數(shù)的云虛擬機(jī)資源部署算法[J];中國(guó)新通信;2017年23期

7 石岳;王春海;;快速克隆千臺(tái)虛擬機(jī)[J];網(wǎng)絡(luò)安全和信息化;2017年06期

8 顧武雄;;創(chuàng)建虛擬機(jī)與遠(yuǎn)程管理[J];網(wǎng)絡(luò)安全和信息化;2017年05期

9 顧武雄;;虛擬機(jī)復(fù)制管理[J];網(wǎng)絡(luò)安全和信息化;2018年06期

10 趙艷;王春海;;虛擬機(jī)“句柄無(wú)效”無(wú)法開(kāi)機(jī)[J];網(wǎng)絡(luò)安全和信息化;2018年09期

相關(guān)會(huì)議論文 前10條

1 陸彥琦;伍華鳳;高毅;;云計(jì)算環(huán)境下虛擬機(jī)安全性分析與研究[A];中國(guó)造船工程學(xué)會(huì)電子技術(shù)學(xué)術(shù)委員會(huì)2017年裝備技術(shù)發(fā)展論壇論文集[C];2017年

2 段翼真;王曉程;;可信安全虛擬機(jī)平臺(tái)的研究[A];第26次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

3 沈敏虎;查德平;劉百祥;趙澤宇;;虛擬機(jī)網(wǎng)絡(luò)部署與管理研究[A];中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)第十次學(xué)術(shù)年會(huì)論文集[C];2010年

4 陳援非;朱珍民;葉劍;;一種基于多量級(jí)虛擬機(jī)的可擴(kuò)展普適計(jì)算架構(gòu)[A];第四屆和諧人機(jī)環(huán)境聯(lián)合學(xué)術(shù)會(huì)議論文集[C];2008年

5 張健;高鋮;宮良一;顧兆軍;;虛擬機(jī)自省技術(shù)研究[A];第32次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2017年

6 鄧小林;;虛擬機(jī)系統(tǒng)資源動(dòng)態(tài)分配策略[A];浙江省信號(hào)處理學(xué)會(huì)2013學(xué)術(shù)年會(huì)論文集——信號(hào)處理在海洋[C];2013年

7 丁濤;郝沁汾;張冰;;內(nèi)核虛擬機(jī)調(diào)度策略的研究與分析[A];'2010系統(tǒng)仿真技術(shù)及其應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2010年

8 管慶華;葉力旋;劉凱;明月;;一種基于資源池分布式部署虛擬機(jī)的方法[A];2010電力行業(yè)信息化年會(huì)優(yōu)秀論文專(zhuān)輯[C];2010年

9 ;瑞星研制出全球最快反病毒虛擬機(jī)[A];2010電力行業(yè)信息化年會(huì)優(yōu)秀論文專(zhuān)輯[C];2010年

10 陳乃剛;李健;李龍;;云計(jì)算數(shù)據(jù)中心的網(wǎng)絡(luò)帶寬保證方案[A];2016電力行業(yè)信息化年會(huì)論文集[C];2016年

相關(guān)重要報(bào)紙文章 前10條

1 本報(bào)記者 馮霄霞;容器引領(lǐng)云計(jì)算2.0時(shí)代[N];中國(guó)信息化周報(bào);2016年

2 南方日?qǐng)?bào)駐京記者 王騰騰;網(wǎng)絡(luò)空間安全攻防戰(zhàn)[N];南方日?qǐng)?bào);2017年

3 馮志鵬 黃文雯 胡宇;引領(lǐng)架構(gòu)提升 打造“云”上服務(wù)[N];國(guó)家電網(wǎng)報(bào);2017年

4 劉荻 編譯;虛擬機(jī)真比容器安全嗎？[N];中國(guó)計(jì)算機(jī)報(bào);2017年

5 鄒錚 編譯;云計(jì)算充滿“僵尸”虛擬機(jī)?沒(méi)什么大不了![N];網(wǎng)絡(luò)世界;2015年

6 ;首批通過(guò)云計(jì)算產(chǎn)品虛擬機(jī)管理測(cè)評(píng)名單[N];中國(guó)電子報(bào);2014年

7 本報(bào)記者 邱燕娜;如何告別虛擬機(jī)管理煩惱[N];中國(guó)計(jì)算機(jī)報(bào);2012年

8 本報(bào)記者 李旭陽(yáng);Azul“搶灘”國(guó)內(nèi)Java虛擬機(jī)市場(chǎng)[N];計(jì)算機(jī)世界;2012年

9 《網(wǎng)絡(luò)世界》記者 周源;3:0!Power虛擬機(jī)完勝x86虛擬機(jī)[N];網(wǎng)絡(luò)世界;2012年

10 本報(bào)記者 鄒大斌;VMware推出新虛擬機(jī)管理工具[N];計(jì)算機(jī)世界;2011年

相關(guān)博士學(xué)位論文 前10條

1 張涵翠;云平臺(tái)中面向虛擬機(jī)的自適應(yīng)異常檢測(cè)關(guān)鍵技術(shù)研究[D];重慶大學(xué);2018年

2 魏亮;面向云網(wǎng)融合的資源調(diào)度算法及實(shí)驗(yàn)平臺(tái)研究[D];北京郵電大學(xué);2018年

3 張?chǎng)螐?數(shù)據(jù)中心虛擬機(jī)放置方法的研究[D];大連理工大學(xué);2018年

4 張留美;面向綠色云計(jì)算的虛擬機(jī)評(píng)估研究[D];西安電子科技大學(xué);2016年

5 徐驍麟;面向多虛擬機(jī)應(yīng)用的基礎(chǔ)設(shè)施云服務(wù)性能優(yōu)化機(jī)制研究[D];華中科技大學(xué);2016年

6 丁有偉;云環(huán)境下能量高效的任務(wù)調(diào)度方法研究與應(yīng)用[D];南京航空航天大學(xué);2016年

7 胡榮東;面向能效的云計(jì)算虛擬化資源提供方法研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2015年

8 葉楓;QoS-Aware的云服務(wù)可信增強(qiáng)機(jī)制的研究[D];南京航空航天大學(xué);2016年

9 郭芬;面向虛擬機(jī)的云平臺(tái)資源部署與調(diào)度研究[D];華南理工大學(xué);2015年

10 劉海坤;虛擬機(jī)在線遷移性能優(yōu)化關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2012年

相關(guān)碩士學(xué)位論文 前10條

1 胡南;一種基于虛擬服務(wù)器的小區(qū)云網(wǎng)絡(luò)設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2019年

2 雷美煉;大規(guī)模網(wǎng)絡(luò)系統(tǒng)的可靠性建模的若干問(wèn)題的研究與仿真[D];電子科技大學(xué);2019年

3 任麗媛;基于遺傳算法的虛擬機(jī)整合策略[D];長(zhǎng)安大學(xué);2019年

4 黃科;基于微服務(wù)的虛擬機(jī)自動(dòng)化編排系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];電子科技大學(xué);2019年

5 劉靜;基于FORTH虛擬機(jī)的操作系統(tǒng)多任務(wù)動(dòng)態(tài)管理研究[D];云南大學(xué);2018年

6 王蕾;基于FORTH虛擬機(jī)的實(shí)時(shí)多任務(wù)調(diào)度研究[D];云南大學(xué);2018年

7 喬淑敏;基于資源需求特征的應(yīng)用分類(lèi)及虛擬機(jī)放置策略[D];云南大學(xué);2018年

8 梅東暉;云數(shù)據(jù)中心虛擬機(jī)負(fù)載均衡部署問(wèn)題研究[D];云南大學(xué);2018年

9 楊媛;基于多目標(biāo)優(yōu)化的虛擬機(jī)資源調(diào)度問(wèn)題研究[D];長(zhǎng)安大學(xué);2019年

10 張琛;云計(jì)算中基于預(yù)拷貝的虛擬機(jī)動(dòng)態(tài)內(nèi)存遷移研究[D];重慶郵電大學(xué);2018年

本文編號(hào)：2716220