虚拟域内访问控制系统的保护机制研究

作者：邹德清 杨凯 张晓旭 苑博阳 冯明路虚拟机管理程序虚拟化内存保护访问控制系统

摘要：为有效提高系统的安全等级，利用虚拟机管理程序的隔离性和高特权性，提出了一种新的保护操作系统内核完整性和虚拟域内访问控制系统的安全的方案。在该方案中，访问控制系统分为三个部分：安全策略管理模块、安全服务器模块和策略执行模块。虚拟域内访问控制系统保护机制的原型系统SEVD（security-enhanced virtu-al domain，SEVD）通过修改Xen虚拟机管理程序，在该虚拟化平台上实现。测试结果表明SEVD系统能够有效保护客户操作系统中访问控制系统的安全，能够抵御流行的Rookit攻击；在性能方面，与SELinux访问控制系统相比，SEVD性能开销也是没有增加，并实现了虚拟环境下安全策略集中配置，有效降低了安全策略管理的复杂度。

注：因版权方要求，不能公开全文，如需全文，请咨询杂志社