上海交通大学硕士学位论文基于XEN虚拟监控器的安全访问控制技术研究姓名：范晓光申请学位级别：硕士专业：计算机技术指导教师：邓倩妮;朱世交20091101上海交通大学工程硕士学位论文摘要基于XEN虚拟监控器的安全访问控制技术研究摘要虚拟化技术是当前工业界和学术界研究的热点随着虚拟机技术的发展信息安全变得越来越重要。这使得安全控制机制越来越难满足日益增长的各种应用的需求。本文在一款XEN虚拟机的基础上对它的安全虚拟监控器模块进行深入的研究结合虚拟监控器的相关特点选择了Flask为安全框架的模型来建立安全控制模块并在该框架基础上应用了中国墙以及简单类型增强策略。首先通过对虚拟化技术的背景及其国内外发展现状的分析罗列了三大虚拟机模型的核心架构、虚拟化技术的相关特点及虚拟监控器目前存在的安全隐患并比较了目前比较流行的安全控制模型选择出适用于虚拟化环境的模型。其次以XEN虚拟机为基础深入研究了它的安全虚拟监控器模块提出了在虚拟监控器的虚拟资源访问中增加安全钩子、针对虚拟机对资源的访问进行相应的安全控制制定了安全虚拟监控器安全控制机制的流程分析了安全钩子安全策略管理器安全策略决策器这三大安全虚拟监控器模块之间的依赖关系。最后搭建了虚拟机安全控制实验环境制定了测试方案对实验结果进行了对比分析。经过测试数据表明：加载安全虚拟监控器之后会对XEN虚拟机造成系统性能的影响；但安全虚拟监控器对系统总体性能的影响不大属于可接受的范围；从系统缓存角度表明加载安全控制机制之后还能提高虚拟机内存缓存的效率。本文通过对虚拟机安全机制的研究提出了一种加载安全模块来增加虚拟机安全的方法对未来XEN虚拟机安全模块进一步优化以及性能改善提供了很大的帮助。关键词：XEN安全虚拟监控器访问控制I上海交通大学工程硕士学位论文符号说明TheSecurityAccessControlofXENHypervisorABSTRACTWiththegrowingofcomputerscienceupgradingoftheoperatingsystemthesecurityofnetworkandinformationhavebecomemoreandmoreimportant.Thusthesecurityissuesfacewithgreatchallenges.BasedonXENhypervisorwestudydeeplywithitsSeHypermodule.Andcombinewithrelevantcharacteristicweanalyzethestructureofthesecuritycontrolmodule.Themainworksofthepaperareasfollowing:FirstofallweintroducethestatusofvirtualizationtechnologylistthethreemajorHypervisormodulesanalyzethekeyfeaturesofthevirtualizationtechnologypointoutthesecurityrisksintheHypervisorandlisttheprevalencesecuritycontrolmodule.SecondlybasedontheXENwedeeplystudyitsSeHyper.Analyzeho