可信虛擬計算環(huán)境安全防護關(guān)鍵技術(shù)研究

1、可信虛擬計算環(huán)境安全防護關(guān)鍵技術(shù)研究2 1 1.項目的目的、意義及必要性項目的目的、意義及必要性 2.研究內(nèi)容研究內(nèi)容 3.主要研發(fā)工作、關(guān)鍵技術(shù)主要研發(fā)工作、關(guān)鍵技術(shù) 4.預(yù)期提交成果預(yù)期提交成果 5.項目組織實施與管理措施項目組織實施與管理措施3 項目背景、意義 國家“十二五”科學(xué)和技術(shù)發(fā)展規(guī)劃：要推動云計算科技產(chǎn)業(yè)化工程，形成基于自主核心技術(shù)的“中國云”總體技術(shù)方案和建設(shè)標(biāo)準(zhǔn)，掌握云計算和高性能計算的核心技術(shù)，并對網(wǎng)絡(luò)與系統(tǒng)安全技術(shù)、數(shù)據(jù)安全及應(yīng)用技術(shù)、新技術(shù)所帶來的安全問題技術(shù)進行攻關(guān)。 北京市“十二五”時期科技北京發(fā)展建設(shè)規(guī)劃指出應(yīng)重點研發(fā)面向新一代互聯(lián)網(wǎng)應(yīng)用虛擬化、服務(wù)計算、安全云

2、計算等關(guān)鍵技術(shù)及關(guān)鍵設(shè)備；研制自主知識產(chǎn)權(quán)的基礎(chǔ)軟件、信息安全軟件、各類云計算通用支撐平臺。 2015年863指南重點支持云計算平臺的可信與可控技術(shù)及其支撐系統(tǒng)。 在此背景下，需要研究云計算平臺的可信與可控安全支撐關(guān)鍵技術(shù)，研發(fā)云計算平臺可信服務(wù)和安全監(jiān)測工具，實現(xiàn)和構(gòu)建基于可信可控技術(shù)的云計算安全支撐平臺，研究在所有權(quán)和控制權(quán)分離的模式下，可信云安全計算環(huán)境的關(guān)鍵技術(shù)，為北京市科技發(fā)展提供支撐。云計算存在的安全問題共享技術(shù)漏洞引入的虛擬共享技術(shù)漏洞引入的虛擬化安全風(fēng)險化安全風(fēng)險虛擬化系統(tǒng)的各個功能組虛擬化系統(tǒng)的各個功能組件均存在安全問題件均存在安全問題虛擬機監(jiān)控器安全虛擬機管理工具安全客戶操

3、作系統(tǒng)及應(yīng)用安全云服務(wù)不可信帶來的信息云服務(wù)不可信帶來的信息安全風(fēng)險安全風(fēng)險云服務(wù)方具有超級用戶權(quán)云服務(wù)方具有超級用戶權(quán)限，用戶對不可信的云服限，用戶對不可信的云服務(wù)無防范手段務(wù)無防范手段數(shù)據(jù)存儲過程中的安全問題數(shù)據(jù)使用中的安全問題數(shù)據(jù)刪除與重用過程的安全問題多租戶模式帶來的數(shù)據(jù)多租戶模式帶來的數(shù)據(jù)泄露風(fēng)險泄露風(fēng)險惡意租戶可通過共享資源惡意租戶可通過共享資源對其他租戶和云計算基礎(chǔ)對其他租戶和云計算基礎(chǔ)設(shè)施進行攻擊設(shè)施進行攻擊租戶間攻擊導(dǎo)致的數(shù)據(jù)泄露租戶共謀攻擊導(dǎo)致的信息泄露云平臺惡意使用帶來的運云平臺惡意使用帶來的運營安全風(fēng)險營安全風(fēng)險云平臺的深度開放性使攻云平臺的深度開放性使攻擊者選擇多種途

4、徑侵入和擊者選擇多種途徑侵入和控制云平臺控制云平臺云計算資源濫用，DDoS 攻擊云計算為非法行為提供技術(shù)基礎(chǔ)1001001101101100管理員傀儡機傀儡機傀儡機傀儡機傀儡機解決解決云云計算云服務(wù)的計算云服務(wù)的安全安全問題，非常重要問題，非常重要6 研究內(nèi)容研究在所有權(quán)和控制權(quán)分離的云計算模式下，云提供商如何建設(shè)安全可靠的云基礎(chǔ)設(shè)施，為用戶提供可信的云服務(wù)。主要包括四方面內(nèi)容：云安全的可信云安全的可信保障關(guān)鍵技術(shù)保障關(guān)鍵技術(shù)多租戶虛擬計多租戶虛擬計算環(huán)境安全防算環(huán)境安全防護技術(shù)護技術(shù)虛擬化終端安虛擬化終端安全管理技術(shù)全管理技術(shù)云安全管理中云安全管理中心心研究框架云安全管理中心 云可信保障計算

5、環(huán)境安全防護終端安全管理研究內(nèi)容1 云可信保障體系云硬件層云虛擬層云平臺層云應(yīng)用層可信監(jiān)控動態(tài)信任鏈傳遞具體研究內(nèi)容：研究適用于各種云服務(wù)模式的通用可信鏈傳遞機制；研究云環(huán)境信任鏈的動態(tài)創(chuàng)建、關(guān)閉和遷移。行為可信監(jiān)控具體研究內(nèi)容：研究支持多粒度刻畫的云服務(wù)行為描述和云服務(wù)行為可信的精確形式化語義；研究柔性可擴展的可信證據(jù)獲取方法；研究低開銷的行為可信形式化驗證技術(shù)。 虛擬可信根構(gòu)建具體研究內(nèi)容：研究自主可控、通用的虛擬可信根；研究物理可信根與虛擬可信根、虛擬可信根與虛擬機之間的高效映射機制。研究內(nèi)容2 多租戶虛擬計算環(huán)境安全防護虛擬網(wǎng)絡(luò)安全動態(tài)安全域節(jié)點間通信安全虛擬防火墻異常流量監(jiān)控數(shù)據(jù)計算

6、存儲安全全同態(tài)加密計算海量加密數(shù)據(jù)檢索分布式數(shù)據(jù)存儲安全數(shù)據(jù)存在可用性證明多租戶權(quán)限管理基于可信根的多因子認(rèn)證PKIAAA應(yīng)用安全防護應(yīng)用層攻擊防護病毒防護API調(diào)用和編程安全應(yīng)用層漏洞掃描虛擬化終端安全管理模型為“一個核心保護對象、三個關(guān)鍵防護支點、構(gòu)建系統(tǒng)化防護體系”虛擬化終端安全管理技術(shù)以虛擬化終端為核心保護對象，綜合考慮虛擬機監(jiān)視器、虛擬化服務(wù)器、接入客戶端運行環(huán)境的安全防護，構(gòu)建涵蓋從事件檢測、關(guān)聯(lián)分析、安全策略到防護響應(yīng)的系統(tǒng)化防護系統(tǒng)。研究內(nèi)容3-1 虛擬化終端安全管理模型研究內(nèi)容3-2 虛擬化終端安全管理系統(tǒng)架構(gòu)l虛擬化終端安全管理系統(tǒng)由“CM4A”六個部分組成：從虛擬機一個管

7、理中心：虛擬化安全管理中心）一個安全虛機：安全虛擬機）四個安全代理：虛擬化桌面安全代理、虛擬化服務(wù)器安全代理、虛擬機安全代理和虛擬化客戶端安全代理l外部到虛擬機內(nèi)部實現(xiàn)對虛擬化桌面的安全保護。研究內(nèi)容4 云安全管理中心從可信根出發(fā)的靜態(tài)可信擴展過程，保證宿主機和虛擬機可信基礎(chǔ)軟件的可信性。通過可信硬件、宿主機安全機制、VMM安全機制到虛擬機安全機制的動態(tài)可信擴展過程，保障虛擬平臺相關(guān)安全機制運行時的可信性。關(guān)鍵技術(shù)之一：云平臺信任鏈建立及傳遞關(guān)鍵技術(shù)之二：多租戶安全隔離多租戶安全技術(shù)實施框架虛擬層可信保障平臺層接入層 計算環(huán)境安全隔離機制接入層監(jiān)控點平臺層監(jiān)控點租戶n租戶計算環(huán)境n虛擬層應(yīng)實現(xiàn)

8、支持計算環(huán)境的動態(tài)建立、支持上層動態(tài)分發(fā)策略的安全隔離機制共性技術(shù)多租戶隔離策略生成機制n在接入層和平臺層的監(jiān)控多租戶計算環(huán)境需求n根據(jù)監(jiān)控結(jié)果，動態(tài)生成隔離策略并發(fā)送給虛擬層安全隔離機制n可信保障機制向租戶提供計算環(huán)境可信的證明關(guān)鍵技術(shù)三：可信隔離機制-虛擬機環(huán)境及遷移可信每個虛擬機一個vTCM,通過TCM和虛擬機的綁定關(guān)系，以及TCM中可信對象和虛擬機配置、策略的關(guān)聯(lián)關(guān)系，實現(xiàn)對虛擬機的可信管理虛擬機遷移時，虛擬機的可信鏈隨之遷移，通過宿主機的可信支撐軟件進行，對虛擬機環(huán)境透明物理平臺VMMTCM vTCMvTCMvTCMvTCMVMVMVMVMTCM驅(qū)動TCM驅(qū)動TCM驅(qū)動TCM驅(qū)動虛擬

9、化平臺TCM調(diào)度管理模塊可信根配置管理中心關(guān)鍵技術(shù)之四：動態(tài)安全域隔離方案方案1：虛擬交換機隔離，：虛擬交換機隔離，Vswitch+VLAN+虛擬防火墻虛擬防火墻方案方案2：硬件交換機隔離，：硬件交換機隔離，EVB+VLAN+防火墻防火墻關(guān)鍵技術(shù)之五：基于全同態(tài)加密的遠程數(shù)據(jù)安全機制云計算平臺通過數(shù)據(jù)同態(tài)加密、海量加密數(shù)據(jù)檢索以及數(shù)據(jù)存在與可用性證明等關(guān)鍵技術(shù)的研究，保障遠程數(shù)據(jù)存儲中數(shù)據(jù)的安全性、機密性。關(guān)鍵技術(shù)之六：VMI內(nèi)存反省技術(shù)虛擬機反省程序依據(jù)虛擬CPU中CR3寄存器的值獲取到頁表信息，并依據(jù)頁表遍歷整個虛擬機的內(nèi)存；結(jié)合對于操作系統(tǒng)給定的語義信息，還原出虛擬機語義層面的信息，并結(jié)

10、合威脅知識診斷虛擬機的安全狀態(tài)。關(guān)鍵技術(shù)之七：無代理虛擬機安全掃描技術(shù)基于無代理的文件掃描技術(shù)和啟發(fā)式文件分析技術(shù)，實現(xiàn)自動化的安全檢查與掃描功能，分析識別系統(tǒng)安全性相關(guān)的配置、組件等。實現(xiàn)對虛擬機、虛擬機模版的安全檢查?；跓o代理啟發(fā)式文件分析技術(shù)對虛擬機的注冊表進行分析，識別出虛擬機當(dāng)前的補丁狀況；對于缺失的補丁，安全虛擬機將補丁注入到用戶虛擬機中，在虛擬機下次啟動時執(zhí)行補丁安裝。關(guān)鍵技術(shù)之八：無代理虛擬機控制技術(shù)基于無代理技術(shù)的虛擬機控制技術(shù)，通過對虛擬機運行態(tài)的分析，動態(tài)選取虛擬機中未使用的內(nèi)存頁作為植入空間，寫入需要植入的代碼，并在頁表中將指定地址的頁碼修改跳轉(zhuǎn)到植入空間。當(dāng)系統(tǒng)運行

11、到需要被控制的位置時，系統(tǒng)執(zhí)行流將會自動跳轉(zhuǎn)到植入空間中，完成相關(guān)的控制操作。關(guān)鍵技術(shù)之九：審計安全多層互聯(lián)的身份認(rèn)證多層互聯(lián)的身份認(rèn)證多層次的多層次的監(jiān)視器機制監(jiān)視器機制統(tǒng)一訪問控制策略模型統(tǒng)一訪問控制策略模型基于對象關(guān)聯(lián)基于對象關(guān)聯(lián)的的審計過濾審計過濾可追蹤溯源的審計信息可追蹤溯源的審計信息 實現(xiàn)實現(xiàn)全程全程統(tǒng)一統(tǒng)一安全安全審計審計 利用利用訪問控制裁決審計信息訪問控制裁決審計信息的過濾和擴展信息的過濾和擴展信息增加支持增加支持管理層面對用戶行為追蹤溯管理層面對用戶行為追蹤溯源行為源行為創(chuàng)新點1 基于可信根的動態(tài)信任鏈傳遞和應(yīng)用行為可信監(jiān)控機制2 多租戶可信安全隔離和遷移可信機制3 基于全

12、同態(tài)加密的遠程數(shù)據(jù)安全機制4 VMI內(nèi)存反省技術(shù)5 無代理虛擬機安全掃描技術(shù)6 無代理虛擬機程序控制技術(shù)25 1套可信云安全示范套可信云安全示范系統(tǒng)系統(tǒng) 云安全可信保障技術(shù)云安全可信保障技術(shù) 多租戶虛擬安全計算環(huán)多租戶虛擬安全計算環(huán)境境 虛擬化終端安全管理虛擬化終端安全管理 云安全管理子系統(tǒng)云安全管理子系統(tǒng)10篇篇EI檢索或核心檢索或核心期刊論文期刊論文 動態(tài)信任鏈傳遞和應(yīng)用動態(tài)信任鏈傳遞和應(yīng)用行為可信監(jiān)控機制行為可信監(jiān)控機制 基于全同態(tài)加密的遠程基于全同態(tài)加密的遠程數(shù)據(jù)安全機制數(shù)據(jù)安全機制 10份云安全技術(shù)專份云安全技術(shù)專利利 VMI內(nèi)存反省技術(shù)內(nèi)存反省技術(shù) 無代理啟發(fā)式文件分析無代理啟發(fā)式

13、文件分析技術(shù)技術(shù) 無代理補丁管理技術(shù)無代理補丁管理技術(shù) 無代理虛擬機程序控制無代理虛擬機程序控制技術(shù)技術(shù) 設(shè)計通用的云安全可信保障技術(shù)體系、多租戶虛擬安全防護環(huán)境、 虛擬化終端安全管理系統(tǒng)、云安全管理中心。在可信保障、數(shù)據(jù)同態(tài)加密、多租戶隔離、虛擬化終端防護、云SOC方面形成成套示范應(yīng)用或產(chǎn)品。成果指標(biāo)27 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 云安全管理中心云安全管理中心北京郵電大學(xué) 云安全的可信保障云安全的可信保障 多租戶虛擬安全計算環(huán)境多租戶虛擬安全計算環(huán)境北京北信源軟件股份有限公司 虛擬化終端安全管理技術(shù)虛擬化終端安全管理技術(shù)組織實施國家網(wǎng)絡(luò)應(yīng)急技術(shù)國家網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心處理協(xié)調(diào)中心973項目項目-高效可信的虛擬計算環(huán)境高效可信的虛擬計算環(huán)境基礎(chǔ)研究基礎(chǔ)研究(2011CB302600)虛擬計算環(huán)境綜合實驗床與示范應(yīng)虛擬計算環(huán)境綜合實驗床與示范應(yīng)用用(2011CB302605)。論文論文X篇篇專利專利X篇篇待補充待補充北京郵電大學(xué)北京郵電大學(xué)國家級重點實驗室國家級重點實驗室2個個國家工程實驗室國家工程實驗室1個個教育部重點實驗室教育部重點實驗室2個個工信部重點實驗室工信部重點實驗室21個個論文論文X篇篇專利專利X篇篇北京北信源軟件股北京北信源軟件股份有限公司份