武 越，劉向東，段翼真

（中國(guó)航天科工集團(tuán)第二研究院706所，北京100039）

0 引 言

桌面虛擬化，是基于云計(jì)算的一種針對(duì)用戶桌面的部署模式，將散亂分布于各處的用戶桌面遷移至云中，以虛擬機(jī)的形式在云端數(shù)據(jù)中心服務(wù)器上運(yùn)行虛擬桌面。桌面虛擬化環(huán)境中，用戶應(yīng)用程序具有不同的安全等級(jí)，存儲(chǔ)資源也具有不同的安全等級(jí)，保證用戶不同安全等級(jí)的應(yīng)用程序和存儲(chǔ)資源的持續(xù)隔離至關(guān)重要。但是，大量用戶的虛擬桌面運(yùn)行在數(shù)據(jù)中心的同一臺(tái)服務(wù)器上，打破了傳統(tǒng)用戶桌面運(yùn)行在各自主機(jī)上的物理隔離局面，攻擊者可以利用虛擬化平臺(tái)的安全漏洞對(duì)虛擬桌面進(jìn)行攻擊，竊取用戶的敏感數(shù)據(jù)或與用戶進(jìn)行非法通信，并有可能在攻破一個(gè)用戶虛擬桌面之后進(jìn)而控制服務(wù)器內(nèi)其他用戶的虛擬桌面［1］。

為應(yīng)對(duì)桌面虛擬化集中部署帶來(lái)的安全威脅，本文首先對(duì)現(xiàn)有虛擬桌面進(jìn)行改進(jìn)，將用戶虛擬桌面中不同安全等級(jí)的應(yīng)用程序運(yùn)行在不同的虛擬機(jī)中，以實(shí)現(xiàn)安全隔離；同時(shí)對(duì)虛擬機(jī)和存儲(chǔ)資源依據(jù)不同的安全等級(jí)進(jìn)行虛擬安全域劃分并使用安全標(biāo)簽進(jìn)行標(biāo)識(shí)，制定訪問(wèn)控制策略，防止用戶間非法通信和對(duì)存儲(chǔ)資源的越權(quán)訪問(wèn)；最后，基于以上研究，設(shè)計(jì)實(shí)現(xiàn)了桌面虛擬化安全訪問(wèn)控制架構(gòu)。

1 現(xiàn)狀及分析

與傳統(tǒng)本地桌面相比，雖然桌面虛擬化具有其獨(dú)特優(yōu)勢(shì)，但是也存在相應(yīng)的安全風(fēng)險(xiǎn)。本節(jié)將詳細(xì)描述當(dāng)前桌面虛擬化的現(xiàn)狀，并逐一分析其存在的安全問(wèn)題。

1.1 當(dāng)前桌面虛擬化現(xiàn)狀

桌面虛擬化將用戶的終端設(shè)備與桌面環(huán)境解耦合，每個(gè)用戶的虛擬桌面運(yùn)行在云計(jì)算數(shù)據(jù)中心服務(wù)器上，用戶使用終端設(shè)備依靠桌面?zhèn)鬏攨f(xié)議訪問(wèn)虛擬桌面。具體的桌面虛擬化體系架構(gòu)如圖1所示。

圖1 桌面虛擬化體系架構(gòu)

桌面虛擬化具有節(jié)約開(kāi)銷、易于運(yùn)維管理、靈活訪問(wèn)、方便備份的優(yōu)點(diǎn)，很多企業(yè)和行業(yè)基于提升管理維護(hù)效率和降低信息外泄風(fēng)險(xiǎn)的考慮，紛紛采用桌面虛擬化技術(shù)改造或重建內(nèi)部信息基礎(chǔ)設(shè)施，將散落分布的用戶終端集中到云計(jì)算數(shù)據(jù)中心進(jìn)行統(tǒng)一管理。桌面虛擬化作為具有前沿革命性的終端部署模式，由于其強(qiáng)大的集中部署和便捷管理，已經(jīng)開(kāi)始在各個(gè)單位企業(yè)中快速實(shí)施，逐漸取代了傳統(tǒng)的分布式終端部署模式。

1.2 安全風(fēng)險(xiǎn)

雖然桌面虛擬化具有傳統(tǒng)本地桌面無(wú)法比擬的優(yōu)勢(shì)，但是隨著虛擬化等技術(shù)的引入，當(dāng)前桌面虛擬化架構(gòu)面臨新的安全風(fēng)險(xiǎn)。

當(dāng)前，在桌面虛擬化的部署模式中，大量虛擬桌面運(yùn)行在同一虛擬化平臺(tái)上，導(dǎo)致不同安全等級(jí)的應(yīng)用程序運(yùn)行在同一虛擬化平臺(tái)，用戶不同安全等級(jí)的數(shù)據(jù)混雜存儲(chǔ)，打破了傳統(tǒng)用戶桌面運(yùn)行在各自物理主機(jī)上的物理隔離，不便于分類管理。同時(shí)，不同用戶的虛擬桌面共享服務(wù)器資源 （虛擬機(jī)監(jiān)視器 （hypervisor）和包括CPU、內(nèi)存、I／O在內(nèi)的各類服務(wù)器硬件資源［2］），為攻擊者利用虛擬桌面底層的弱隔離性進(jìn)行攻擊提供了可能。如果同一臺(tái)服務(wù)器上的虛擬桌面被攻擊者攻破，那么攻擊者還可以進(jìn)一步?jīng)_破虛擬桌面的束縛，將安全威脅迅速擴(kuò)散到服務(wù)器上的其它虛擬桌面中，加劇安全風(fēng)險(xiǎn)。

因此，需要對(duì)用戶虛擬桌面的應(yīng)用程序和數(shù)據(jù)依據(jù)不同的安全等級(jí)進(jìn)行分割和管理，并在不同用戶的虛擬桌面之間和同一用戶不同安全等級(jí)的應(yīng)用程序和數(shù)據(jù)之間建立堅(jiān)固的安全訪問(wèn)控制機(jī)制，對(duì)用戶之間的訪問(wèn)行為進(jìn)行監(jiān)控和約束，對(duì)不同安全等級(jí)虛擬機(jī)之間的通信行為進(jìn)行管理。

2 改進(jìn)優(yōu)化及關(guān)鍵技術(shù)

通過(guò)分析桌面虛擬化面臨的安全威脅，對(duì)現(xiàn)有虛擬桌面結(jié)構(gòu)進(jìn)行改進(jìn)并研究相應(yīng)關(guān)鍵技術(shù)，本文對(duì)桌面虛擬化環(huán)境中的虛擬機(jī)和存儲(chǔ)資源依據(jù)不同密級(jí)進(jìn)行分類慣例，制定了相應(yīng)的安全策略，可以增強(qiáng)虛擬桌面的自身安全性，提高虛擬桌面抵御安全威脅的能力，實(shí)現(xiàn)對(duì)桌面虛擬化中虛擬機(jī)和存儲(chǔ)資源的安全訪問(wèn)控制。

2.1 虛擬桌面結(jié)構(gòu)改進(jìn)

為了將用戶不同安全等級(jí)的應(yīng)用程序進(jìn)行分類管理，本文將用戶不同安全等級(jí)的應(yīng)用程序運(yùn)行在對(duì)應(yīng)安全等級(jí)的虛擬機(jī)中，并使用不同安全防護(hù)等級(jí)的策略進(jìn)行防護(hù)，對(duì)現(xiàn)有的虛擬桌面架構(gòu)進(jìn)行改進(jìn)并進(jìn)行安全增強(qiáng)。改進(jìn)后的虛擬桌面架構(gòu)如圖2所示。

圖2 改進(jìn)后的虛擬桌面架構(gòu)

改進(jìn)后的虛擬桌面架構(gòu)為用戶不同安全等級(jí)的應(yīng)用程序提供隔離的運(yùn)行環(huán)境，對(duì)用戶數(shù)據(jù)進(jìn)行分類管理，可以避免虛擬桌面中的所有應(yīng)用程序全部運(yùn)行在同一臺(tái)虛擬機(jī)中過(guò)于集中的運(yùn)行模式帶來(lái)的安全威脅，同時(shí)能夠分散攻擊者的攻擊目標(biāo)，為不同安全等級(jí)的應(yīng)用程序、數(shù)據(jù)和不同功能的配置信息分配更加明確的運(yùn)行空間，將攻擊者的攻擊范圍限制在更為狹小的范圍內(nèi)，防止攻擊效果的大面積擴(kuò)散。這樣，攻擊者對(duì)一個(gè)應(yīng)用程序的攻擊不會(huì)影響到其它應(yīng)用程序的正常運(yùn)行，即使一臺(tái)虛擬機(jī)被攻破，其它虛擬機(jī)中的應(yīng)用程序和系統(tǒng)配置等將不受影響。

數(shù)據(jù)中心服務(wù)器系統(tǒng)文件和配置信息中存在的潛在漏洞也會(huì)導(dǎo)致整個(gè)虛擬桌面被感染，故對(duì)虛擬桌面進(jìn)行安全改進(jìn)時(shí)，將網(wǎng)絡(luò)代碼 （包括網(wǎng)卡驅(qū)動(dòng)和協(xié)議棧等）、存儲(chǔ)設(shè)備驅(qū)動(dòng) （包括磁盤驅(qū)動(dòng)，USB閃存驅(qū)動(dòng)等）和顯示代碼分別移動(dòng)到專門的虛擬機(jī) （即分別為網(wǎng)絡(luò)管理VM，存儲(chǔ)管理VM，顯示管理VM）中，使攻擊者在發(fā)現(xiàn)了一個(gè)潛在代碼漏洞之后，無(wú)法繼續(xù)控制或感染虛擬桌面其它部分的正常運(yùn)行。

為避免虛擬機(jī)拆分過(guò)細(xì)帶來(lái)的資源占用問(wèn)題，各臺(tái)虛擬機(jī)會(huì)共用相同的操作系統(tǒng)只讀文件［3］，只為用戶目錄和特殊的系統(tǒng)配置分配專門的存儲(chǔ)空間，避免為每臺(tái)虛擬機(jī)復(fù)制一個(gè)操作系統(tǒng)鏡像造成的磁盤空間浪費(fèi)。

同時(shí)，為便于后端數(shù)據(jù)中心管理，對(duì)虛擬機(jī)和存儲(chǔ)資源根據(jù)不同的安全等級(jí)進(jìn)行虛擬安全域劃分并使用安全標(biāo)簽進(jìn)行標(biāo)識(shí)，制定訪問(wèn)控制策略，只有符合策略的訪問(wèn)行為才能生效，防止用戶間的非法通信和對(duì)存儲(chǔ)資源的越權(quán)訪問(wèn)。

2.2 虛擬安全域

虛擬安全域的概念建立在可信虛擬域的基礎(chǔ)之上。可信虛擬域最初由IBM實(shí)驗(yàn)室的研究人員于2005年提出［4］，它由一組互相信任的虛擬機(jī)組成，這組虛擬機(jī)共享相同的安全策略，并且獨(dú)立于物理平臺(tái)。

基于以上思路，依據(jù)桌面虛擬化環(huán)境中的安全等級(jí)對(duì)虛擬機(jī)進(jìn)行劃分，將分布在不同物理服務(wù)器上的具有相同安全等級(jí)的虛擬機(jī)組成一個(gè)具有統(tǒng)一安全策略的獨(dú)立區(qū)域，即虛擬安全域。虛擬安全域結(jié)構(gòu)如圖3所示。虛擬安全域的管理服務(wù)器負(fù)責(zé)制定安全策略，并將策略下發(fā)到每臺(tái)服務(wù)器的管理虛擬機(jī) （Xen平臺(tái)即為Dom0）中，由管理虛擬機(jī)執(zhí)行安全策略。

圖3 虛擬安全域結(jié)構(gòu)

不同的虛擬安全域是隔離的，這種隔離不受系統(tǒng)架構(gòu)、hypervisor、虛擬機(jī)生命周期和資源分配的影響。在滿足了用戶訪問(wèn)控制策略并保證了通信的完整性和保密性之后，同一虛擬安全域中具有相同安全等級(jí)的虛擬機(jī)之間可以自由通信，虛擬安全域的內(nèi)部通信建立在認(rèn)證和加密信道（例如IPsec）之上。例如，如果用戶A的機(jī)密級(jí)應(yīng)用程序想要與用戶C的機(jī)密級(jí)應(yīng)用程序進(jìn)行通信，首先會(huì)由管理虛擬機(jī)驗(yàn)證訪問(wèn)控制策略，如果用戶A可以訪問(wèn)用戶C，則兩個(gè)機(jī)密級(jí)虛擬機(jī)之間可以進(jìn)行通信。

2.3 安全標(biāo)簽

安全標(biāo)簽對(duì)虛擬安全域中所有的虛擬機(jī)、存儲(chǔ)資源和VLAN進(jìn)行標(biāo)識(shí)，是對(duì)虛擬安全域的直觀表示，數(shù)據(jù)中心虛擬桌面管理員在對(duì)虛擬安全域制定隔離策略和其它安全策略時(shí)，通過(guò)安全標(biāo)簽指定對(duì)應(yīng)的虛擬安全域。

在對(duì)桌面虛擬化架構(gòu)進(jìn)行改進(jìn)之后，對(duì)虛擬桌面的安全防護(hù)分為橫向和縱向兩個(gè)方面。橫向，對(duì)屬于同一用戶虛擬桌面的虛擬機(jī)和資源依據(jù)基于用戶的訪問(wèn)控制策略進(jìn)行統(tǒng)一管理；縱向，將具有相同安全等級(jí)的虛擬機(jī)和資源劃分到同一虛擬安全域中，使用相應(yīng)安全等級(jí)的防護(hù)策略進(jìn)行隔離保護(hù)和通信控制［5］。故使用＜用戶，安全等級(jí)＞二元組形式的安全標(biāo)簽對(duì)各類設(shè)備進(jìn)行標(biāo)識(shí)，以清晰表明虛擬桌面中虛擬機(jī)和存儲(chǔ)資源所屬的用戶和安全等級(jí)。

在本文的實(shí)現(xiàn)中，依據(jù)虛擬桌面的安全等級(jí)，使用不同的安全標(biāo)簽對(duì)虛擬桌面所在的虛擬機(jī)和存儲(chǔ)資源進(jìn)行標(biāo)注，標(biāo)簽信息作為虛擬機(jī)和資源屬性信息的一部分，只能通過(guò)虛擬機(jī)監(jiān)視器創(chuàng)建、修改和管理。桌面虛擬化安全訪問(wèn)控制架構(gòu)依據(jù)安全標(biāo)簽判斷用戶虛擬桌面能夠訪問(wèn)的資源和通信的用戶。

2.4 hypervisor安全增強(qiáng)機(jī)制

虛擬桌面運(yùn)行在數(shù)據(jù)中心服務(wù)器的虛擬機(jī)中，而虛擬機(jī)運(yùn)行在hypervisor之上，所以虛擬機(jī)的安全和隔離將最終依賴于hypervisor的堅(jiān)固。

hypervisor安全增強(qiáng)機(jī)制建立在現(xiàn)有hypervisor提供的隔離基礎(chǔ)之上，同時(shí)在現(xiàn)有hypervisor中增加訪問(wèn)控制模塊ACM （access control model），通過(guò)ACM中的訪問(wèn)決策函數(shù)，對(duì)虛擬機(jī)之間的資源共享和通信行為進(jìn)行仲裁判定和約束控制［6］。詳細(xì)的hypervisor安全增強(qiáng)架構(gòu)如圖4所示。

圖4 hypervisor安全增強(qiáng)架構(gòu)

在hypervisor安全增強(qiáng)的訪問(wèn)控制結(jié)構(gòu)中，有兩組訪問(wèn)仲裁鉤子 （hook）。第一組鉤子，位于hypervisor中，控制虛擬機(jī)對(duì)事件通道、grant table、網(wǎng)絡(luò)和虛擬磁盤的訪問(wèn)，以此約束虛擬機(jī)之間的通信和共享行為；另一組鉤子，位于管理虛擬機(jī)中 （若在Xen中即為Dom0），控制虛擬機(jī)對(duì)資源 （虛擬磁盤或磁盤分區(qū)）的訪問(wèn)。這兩組鉤子都會(huì)調(diào)用訪問(wèn)控制模塊ACM中的訪問(wèn)決策函數(shù)以進(jìn)行仲裁判定。

通過(guò)對(duì)hypervisor進(jìn)行安全增強(qiáng)，可以在桌面虛擬化底層確保系統(tǒng)安全策略的正確執(zhí)行［7］，實(shí)現(xiàn)對(duì)虛擬機(jī)行為的強(qiáng)制訪問(wèn)控制。通過(guò)強(qiáng)制訪問(wèn)控制限制用戶的行為，可以實(shí)現(xiàn)：①病毒和惡意代碼不會(huì)從一個(gè)用戶虛擬機(jī)傳播到另一個(gè)；②數(shù)據(jù)不會(huì)輕易從一個(gè)用戶虛擬機(jī)泄漏到另一個(gè)；③攻擊者攻破一臺(tái)虛擬機(jī)，不會(huì)影響其它虛擬機(jī)的正常運(yùn)行。

3 實(shí)現(xiàn)方案

3.1 總體方案

根據(jù)數(shù)據(jù)中心大規(guī)模部署的特點(diǎn)，對(duì)數(shù)據(jù)中心機(jī)架上的刀片服務(wù)器進(jìn)行配置。數(shù)據(jù)中心每個(gè)機(jī)架上含有固定數(shù)量的刀片服務(wù)器，每個(gè)刀片是一個(gè)含有獨(dú)立處理器、內(nèi)存、網(wǎng)絡(luò)和存儲(chǔ)適配器的計(jì)算系統(tǒng)。通過(guò)機(jī)架上掛載的以太網(wǎng)交換機(jī)對(duì)刀片進(jìn)行互聯(lián)并訪問(wèn)網(wǎng)絡(luò)存儲(chǔ) （例如SANs），數(shù)據(jù)中心部署方案如圖5所示。圖7中從虛擬桌面系統(tǒng)管理端 （以下簡(jiǎn)稱管理端）到刀片、物理交換機(jī)、SAN存儲(chǔ)控制節(jié)點(diǎn) （SVC）的虛線箭頭代表管理應(yīng)用程序?qū)@些組件的配置行為。管理端通過(guò)Xen API配置刀片上運(yùn)行的Xen系統(tǒng)，配置操作包括為虛擬機(jī)、VLAN、邏輯分離的網(wǎng)絡(luò)和存儲(chǔ)設(shè)備等資源進(jìn)行邏輯分離和安全標(biāo)簽標(biāo)注，不同安全等級(jí)的虛擬安全域分別用不同的安全標(biāo)簽進(jìn)行標(biāo)識(shí)。

圖5 數(shù)據(jù)中心部署方案

在進(jìn)行具體部署時(shí)，將安全等級(jí)不同的虛擬安全域分別部署在不同的刀片上，以實(shí)現(xiàn)物理隔離。在Xen中，Domain 0通過(guò)軟件模擬的虛擬網(wǎng)橋?yàn)榈镀舷嗤摂M安全域中的虛擬機(jī)進(jìn)行互聯(lián)，同時(shí)對(duì)虛擬網(wǎng)橋使用相同的顏色進(jìn)行安全標(biāo)簽標(biāo)注；同一機(jī)架上的不同虛擬安全域之間通過(guò)機(jī)架上掛載的物理交換機(jī)進(jìn)行網(wǎng)絡(luò)流量交換，不同機(jī)架上的虛擬安全域之間通過(guò)數(shù)據(jù)中心物理交換機(jī)進(jìn)行網(wǎng)絡(luò)流量交換。

在Xen系統(tǒng)中，相同顏色的虛擬機(jī)通過(guò)相對(duì)應(yīng)的網(wǎng)橋進(jìn)行互聯(lián)，例如所有機(jī)密級(jí)虛擬機(jī)全部通過(guò)機(jī)密級(jí)網(wǎng)橋進(jìn)行互聯(lián)，所有秘密級(jí)虛擬機(jī)全部通過(guò)秘密級(jí)網(wǎng)橋進(jìn)行互聯(lián)，這種機(jī)制保證了只有同一安全域中的虛擬機(jī)之間才能互相通信［8］。

3.2 安全訪問(wèn)控制實(shí)現(xiàn)

為實(shí)現(xiàn)基于安全標(biāo)簽的存儲(chǔ)隔離，本文將安全訪問(wèn)控制機(jī)制 與 CbCS （capability－based command security）機(jī)制進(jìn)行結(jié)合。CbCS機(jī)制最初由Michael Factor等人于2007年提出［9］，該機(jī)制對(duì) SCSI （small computer system interface）協(xié)議進(jìn)行擴(kuò)展，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)存儲(chǔ)設(shè)備的訪問(wèn)控制。CbCS機(jī)制要求：發(fā)出資源訪問(wèn)請(qǐng)求的虛擬機(jī)在對(duì)資源進(jìn)行訪問(wèn)之前，需要給出對(duì)資源具有訪問(wèn)權(quán)限證明的證書［10］。結(jié)合CbCS機(jī)制，在涉密信息系統(tǒng)的桌面虛擬化環(huán)境中，由管理虛擬機(jī)為提出資源訪問(wèn)請(qǐng)求的虛擬機(jī)發(fā)放證書，并使用消息認(rèn)證碼 （MAC）對(duì)證書進(jìn)行安全增強(qiáng)，防止證書被偽造或修改，消息認(rèn)證碼與存儲(chǔ)資源使用同一個(gè)對(duì)稱密鑰，使存儲(chǔ)設(shè)備可以對(duì)證書進(jìn)行驗(yàn)證。

本文的桌面虛擬化安全訪問(wèn)控制架構(gòu)對(duì)于證書的生成增加了一個(gè)額外檢驗(yàn)步驟，即虛擬機(jī)和存儲(chǔ)資源必須具有相匹配的安全標(biāo)簽，否則虛擬機(jī)無(wú)法獲取到訪問(wèn)存儲(chǔ)資源的證書。

圖6即為整合了CbCS機(jī)制的安全訪問(wèn)控制機(jī)制。具體操作步驟為：步驟一，虛擬桌面系統(tǒng)管理端 （以下簡(jiǎn)稱管理端）在管理虛擬機(jī) （在Xen中為Domain 0）上部署訪問(wèn)控制策略，同時(shí)在存儲(chǔ)控制器上建立對(duì)稱密鑰；步驟二，管理端對(duì)存儲(chǔ)資源進(jìn)行安全標(biāo)簽標(biāo)識(shí)；步驟三，管理端為虛擬機(jī)分配安全標(biāo)簽和用于驗(yàn)證管理端的私鑰，這一私鑰和虛擬機(jī)配置信息同時(shí)保存在管理虛擬機(jī)中；步驟四：管理虛擬機(jī)驗(yàn)證管理端的屬性，并向管理端請(qǐng)求獲取虛擬機(jī)訪問(wèn)存儲(chǔ)資源時(shí)使用的證書，在管理端，如果虛擬機(jī)和存儲(chǔ)資源具有相同的安全標(biāo)簽，則同意獲取證書的請(qǐng)求，否則，管理端拒絕請(qǐng)求。最后，虛擬機(jī)發(fā)送I／O命令，命令在執(zhí)行之前會(huì)被hypervisor截取并進(jìn)行安全標(biāo)簽驗(yàn)證，同時(shí)還會(huì)被存儲(chǔ)系統(tǒng)截取進(jìn)行證書認(rèn)證。

在實(shí)現(xiàn)過(guò)程中，管理端、存儲(chǔ)系統(tǒng)和管理虛擬機(jī)將作為可信計(jì)算基的一部分。管理端負(fù)責(zé)存儲(chǔ)密鑰并根據(jù)隔離策略準(zhǔn)確制定訪問(wèn)控制策略，同時(shí)虛擬機(jī)信任Domain 0不會(huì)將其私鑰和證書泄露。如果虛擬機(jī)不遵守CbCS機(jī)制，存儲(chǔ)資源將拒絕虛擬機(jī)的訪問(wèn)。

為降低安全威脅，本文中對(duì)存儲(chǔ)資源的訪問(wèn)遵循最小特權(quán)原則，當(dāng)虛擬機(jī)被遷移出系統(tǒng)時(shí)，管理虛擬機(jī)將會(huì)把與虛擬機(jī)有關(guān)的認(rèn)證信息和證書全部刪除。這樣，保證了存儲(chǔ)資源只能被對(duì)應(yīng)宿主機(jī)上運(yùn)行的虛擬機(jī)訪問(wèn)。

3.3 隔離通信實(shí)現(xiàn)

圖6 安全訪問(wèn)控制實(shí)現(xiàn)方案

Xen中虛擬機(jī)之間的網(wǎng)絡(luò)通信通過(guò)Domain 0中的虛擬網(wǎng)橋進(jìn)行實(shí)現(xiàn)，虛擬網(wǎng)橋?qū)⑺刑摂M機(jī)的虛擬網(wǎng)卡與實(shí)際物理網(wǎng)卡進(jìn)行連接，但這樣使得所有虛擬機(jī)可以潛在看到所有通信流量，無(wú)法保證隔離，不足以滿足大規(guī)模、安全級(jí)別高的應(yīng)用環(huán)境的安全需求［11］。

在Xen系統(tǒng)中，Domain 0擁有物理網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)，并控制著對(duì)系統(tǒng)中客戶虛擬機(jī)的網(wǎng)絡(luò)訪問(wèn)行為［12］。使用網(wǎng)絡(luò)隔離組件在Domain 0中配置合適的VLAN，并將安全標(biāo)簽技術(shù)應(yīng)用于VLAN中，可以實(shí)現(xiàn)虛擬桌面之間的網(wǎng)絡(luò)隔離。具體的隔離通信實(shí)現(xiàn)方案如圖7所示。

VLAN通過(guò)為以太網(wǎng)幀分配不同的VLAN ID號(hào)，實(shí)現(xiàn)在一個(gè)物理局域網(wǎng)上模擬出多個(gè)分離的虛擬局域網(wǎng)，對(duì)帶有不同ID號(hào)的以太網(wǎng)幀進(jìn)行嚴(yán)格隔離。數(shù)據(jù)中心與對(duì)應(yīng)的VLAN和虛擬網(wǎng)橋使用相同的安全標(biāo)簽，并將具有相同安全標(biāo)簽的虛擬機(jī)和虛擬網(wǎng)橋彼此互聯(lián)，實(shí)現(xiàn)只有相同安全等級(jí)的虛擬機(jī)之間可以互相通信；不同安全等級(jí)的虛擬機(jī)之間即使連接到了同一個(gè)物理系統(tǒng)中，由于不具有相同的安全標(biāo)簽，也不能穿過(guò)VLAN進(jìn)行通信。

在實(shí)現(xiàn)時(shí)，安全虛擬桌面網(wǎng)絡(luò)隔離組件一方面在虛擬化系統(tǒng)內(nèi)部的VLAN上配置安全標(biāo)簽，另一方面在虛擬化系統(tǒng)與外部進(jìn)行互聯(lián)的以太網(wǎng)交換機(jī)上為VLAN配置安全標(biāo)簽。這樣，虛擬機(jī)在本地系統(tǒng)或遠(yuǎn)程系統(tǒng)上只能與含有相同安全標(biāo)簽的虛擬機(jī)進(jìn)行通信。

4 結(jié)束語(yǔ)

本文對(duì)當(dāng)前桌面虛擬化環(huán)境的整體結(jié)構(gòu)和各部分功能進(jìn)行了研究，分析了當(dāng)前桌面虛擬化的優(yōu)點(diǎn)和不足，著重針對(duì)現(xiàn)有桌面虛擬化訪問(wèn)控制架構(gòu)中存在的安全問(wèn)題，對(duì)虛擬桌面架構(gòu)進(jìn)行了改進(jìn)，并設(shè)計(jì)實(shí)現(xiàn)了桌面虛擬化安全訪問(wèn)控制架構(gòu)。

圖7 隔離通信實(shí)現(xiàn)方案

本文的安全架構(gòu)中，通過(guò)對(duì)hypervisor進(jìn)行安全增強(qiáng)實(shí)現(xiàn)了虛擬桌面的強(qiáng)制訪問(wèn)控制和對(duì)虛擬桌面的安全隔離；通過(guò)結(jié)合CbCS機(jī)制實(shí)現(xiàn)了基于安全標(biāo)簽的安全存儲(chǔ)訪問(wèn)，防止越權(quán)訪問(wèn)存儲(chǔ)資源；通過(guò)對(duì)虛擬網(wǎng)橋配置安全策略實(shí)現(xiàn)了網(wǎng)絡(luò)隔離，防止用戶間的非法通信。

［1］Joanna Rutkowska.Security challenges in virtualized envirnments ［C］／／San Francisco：RSA Confrence，2008：2－5.

［2］Matt Piotrowski.A system for privilege separation of legacy desktop applications ［R］.UCB／EECS－2010－70.California：University of California at Berkeley，2010：3－6.

［3］Carl Gebhardt，Allan Tomlinson.Secure virtual disk images for grid computing ［C］／／Third Asia－Pacific Trusted Infrastructure Technologies Conference，2008：19－22.

［4］Luigi Catuogno，Alexandra Dmitrienko.Trusted virtual domains－design，implementation and lessons learned ［G］.LNCS 6163：Proceedings of the First International Conference on Trusted Systems，2010：156－159.

［5］Jasti A，Shah P，Nagaraj R，et al.Security in multi－tenancy cloud ［C］／／San Jose：Proceedings of IEEE International Carnahan Conference on Security Technology，2010：35－41.

［6］Yu Lei，Weng Chuliang，Li Minglu，et al.Security challenges on the clone，snapshot，migration and rollback of Xen based computing environments ［C］／／Guangzhou，China：Proceedings of the Fifth Annual CinaGrid Conference，2012：223－227.

［7］Serdar Cabuk，Chris I Dalton.Towards automated security policy enforcement in multi－tenant virtual data centers ［J］.Journal of Computer Security，2010，18 （1）：89－121.

［8］Udaya Tupakula，Vijay Varadharajan.TVDSEC：Trusted virtual domain security ［C］／／4th IEEE International Conference on Utility and Cloud Computing，2011：57－64.

［9］Michael Factor，Dalit Naor.Capability based secure access control to networked storage devices ［C］／／24th IEEE Conference on Mass Storage Systems and Technologies，2007：43－47.

［10］Tim Mather，Subra Kumaraswamy，Shahed Latif.Cloud security and privacy ［M］.O’Reilly Media，2009：29－30.

［11］Wu Hanqian，Ding Yi，Winer Chuck，et al.Network security for virtual machine in cloud computing ［C］／／Seoul Korea：Proceedings of 5th International Conference on Computer Sciences and Convergence Information Technology，2010：18－21.

［12］Serdar Cabuk，Chris I Dalton，HariGovind Ramasamy，et al.Towards automated provisioning of secure virtualised networks［C］／／Proceedings of ACM CCS，2007：12－14.