基于云计算的虚拟机系统安全分析

李芬

摘 要：云计算模式的出现，进一步的满足了用户计算以及储存资源等相关需求，更多先进的技术被开发应用，比如虚拟技术，实现对服务资源的动态调整和监管，更加满足用户的实际需求。一时间基于云计算虚拟机系统就成为了探究的热门话题，本文也就在此基础上，对其安全问题进行探究，确定在当前云计算服务下存在的安全问题，如何确保虚拟机系统的安全可靠性。

关键词：云计算;虚拟机系统;安全分析

引言：云计算技术在当前已经得到了快速的发展，作为一种新型的计算模式，让云计算资源实现动态化、虚拟化，提高了其伸缩性和灵活性，特别是虚拟化技术的开发利用，进一步满足用户的多样化需求。但是以你为云计算本身开放式的特点，在大环境中，安全仍然是非常重视的一个问题。很多调查中发现，当前用户对于云计算主要需求，安全性问题占据的比例最大，一些大型的企业也还是会发生各种安全事故，加剧了用户对于与计算技术的忧虑。为此基于云计算的虚拟机系统安全也成为了云计算技术和虚拟化技术发展的重点关注问题。

1. 基于云计算的虚拟机系统

云计算是通过网络云将巨大的数据计算处理程序分解成无数个小程序，通过服务器组成的系统进行处理和分析，并且把最终得到的结果反馈给用户。它是通过一系列的动态升级和被虚拟化的资源组成，为用户提供云服务。并且在各行业都得了应用，比如医药医疗运用云信息平台，取代了各系统分散为为主体的运用模式，提高内部信息共享能力等;比如在制造领域，利用云计算技术，实现对内部业务系统整合，加速企业颞部信息一体化进程;在电子政务领域里，利用云计算技术建立技术平台，提高公共服务平台内部的可靠性[1]。

基于云计算的虚拟机系统，首先分析虚拟化技术，就是基于云计算技术发展而来的，通过在硬件上添加虚拟机监控器的软件来实现，提高计算机的工作效率。简单来讲，就是计算原件在虚拟的基础上运行。虚拟化技术原理就是虚拟机对真实计算环境的抽象和模拟。然后分析虚拟机，虚拟机是计算机系统的仿真器，通过软件模拟具有硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。作为虚拟化技术的一种，就比如目前比较常见的VMware Workstation系统，该系统软件就可以提供虚拟机功能，让计算机可以同时运行多个不同操作系统，可以在一部实体机器上模拟完整的网络环境[2]。

在实际使用中，基于云计算的虚拟机系统，相关用户在使用计算与储存等资源的同时，将软件和硬件设备的直接控制和维护全交给了云计算提供商，不需要知道云计算系统所处的位置以及配置信息。针对特点就增加了用户使用的安全威胁，特别是针对一些有特殊安全需求的使用者，相当于放弃了安全控制权，让安全无法得到保证。此外，针对安全问题，在实际的运用中，一般会安装虚拟机监视器，但是一些攻击者也会利用监视器中弱点对虚拟机系统进行攻击，进而容易出现安全问题。经过总结目前基于云计算的虚拟机系统所面对的安全问题主要有：安装容易软件、仿冒提供商、仿冒合法操作、访问运行时数据、访问配置数据、进行拒绝服务供给、否认虚拟机启动、干预其他用户的虚拟机、获取用户机密数据。在操作中，外部攻击者、操作者以及提供商都可能会成为攻击者，带来安全威胁，为此还需要加强研究，确保虚拟机系统的安全问题。

2. 基于云计算虚拟机系统安全策略

对于虚拟机系统的安全保证，最主要还是需要确保一个安全的计算环境，确保系统的安全性。在本次的研究中，是在已有的研究基础上，进行分析，总结已有的一些安全技术，确保虚拟机系统运行安全。

2.1 对虚拟机之间的通信和访问进行控制

为了对虚拟机之间的通信和访问进行控制，确保一个有效的虚拟机系统环境，限制攻击和恶意代码在虚拟机之间的传播。因此可以通过采用访问控制模型，比如Virt-BLP 模型。实现强制访问控制框架，对虚拟机之间的通信和访问进行有效控制。

其主要操作是建立相关的模型，就如在BLP 模型升级优化而成的Virt-BLP 模型。但是要想实现有效的控制，确保运行安全，还需要在模型中设计强制访问控制框架。一般会选择一个平台，将Virt-BLP 模型的相关匀速映射或体现在虚拟机系统中，以此来实现控制功能。这样在实际的操作中，云服务供应商就可以利用控制框架来管理和控制多天用户虚拟机之间的访问和通信，确保多级安全的访问控制。主要是提供了一个多级安全环境，防治攻击以及恶意软件在虚拟机之间相互传播啊，主要针对的访问控制[3]。

2.2 虚拟机系统用户级应用程序的安全控制

是在访问控制上的进一步安全保证，确保云计算软件服务中客户虚拟机用户级应用程序的安全性。因为虚拟机的隔离特性，很多方法都借助特权虚拟机来监控客户虚拟机的状态，因此需要对用户级应用程序的安全进行控制。比如使用面向云平台的虚拟机内度量框架：HYperivm度量框架。

度量框架融合度量的思想和虚拟机内监控方法，不需要硬件虚拟化的支持，利用可信平台模块就能作为框架的可信根结点，保证度量过程本身的可信性。对于虚拟机系统用户级应用程序的安全控制，其中最关键的就是客户虚拟机，他负责度量客户虚拟机中运行的可执行程序并产生相应的度量值，当有新的度量值产生，就会立即通过虚拟机之间的通信机制传递到特权虚拟机中，放到度量列表中，以此来确保度量过程的可信性。在实际的运作中，可信性环境下，客户虚拟机中可执行程序产生的度量值是可信度量值，也是在验证中个作为标准值。而且在框架中还涉及了内存监视模块和判断度量模块状态[4]。

2.3 客户虚拟机内核运行安全保障

云计算虚拟机系统中客户虚拟机操作系统内核的安全确定，主要是通过虚拟机动态监控框架来实现，针对内核攻击，确保内核的运行安全。比如目前使用的HYperivm动态监控框架。上述HYperivm度量框架确保用户级安全，而HYperivm动态监控框架确保内核运行安全。

客户虚拟机动态监控框架，是为了保障客户虚拟机内核的运行安全，针对内核攻击，动态监控框架可以不借助系统文件，直接通过搜索客户虚拟机的内核内存来得到监控需要的关键值。并且在框架中利用监控频率自调整策略，可以调整监控的频率，不断改进检测的准确率。

3. 结束语

本文主要是对基于云计算的虚拟机系统安全保证进行了分析，简单阐述了目前对于虚拟机系统安全保证的击中措施，通过访问控制模型对虚拟机之间的通信和访问进行有效的控制;虛拟机内度量框架确保云计算软件服务中客户虚拟机用户级应用程序的安全性;动态监控框架确保内核运行安全。

参考文献：

[1]张淑慧. 基于内存自省的虚拟机系统安全监控模型与方法研究[D].山东大学，2018.

[2]李波涛.基于云计算的虚拟机系统安全探析[J].电脑与信息技术，2018，26（04）：82-84+91.

[3]刘谦. 面向云计算的虚拟机系统安全研究[D].上海交通大学，2012.

[4]陆彦琦，伍华凤，高毅. 云计算环境下虚拟机安全性分析与研究[A]. 中国造船工程学会电子技术学术委员会.中国造船工程学会电子技术学术委员会2017年装备技术发展论坛论文集[C].中国造船工程学会电子技术学术委员会：中国造船工程学会，2017：7.

（武汉晴川学院）