戰(zhàn)術(shù)環(huán)境下的虛擬化安全增強(qiáng)方法

望婭露，龍愷， 王石生

(1中國(guó)電子科技集團(tuán)公司網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川成都6100412中國(guó)鐵道科學(xué)研究院電子計(jì)算技術(shù)研究所，北京100081)

戰(zhàn)術(shù)環(huán)境下的虛擬化安全增強(qiáng)方法

望婭露1，龍愷1， 王石生2

(1中國(guó)電子科技集團(tuán)公司網(wǎng)絡(luò)空間安全技術(shù)重點(diǎn)實(shí)驗(yàn)室，四川成都6100412中國(guó)鐵道科學(xué)研究院電子計(jì)算技術(shù)研究所，北京100081)

在數(shù)據(jù)中心中，虛擬化的價(jià)值已經(jīng)被大家所公認(rèn)，但是在戰(zhàn)術(shù)環(huán)境中，虛擬化能否發(fā)揮同樣的作用呢?答案是肯定的，但是前提是保證它的安全。在戰(zhàn)術(shù)環(huán)境中，虛擬機(jī)管理器更容易受到攻擊，如果虛擬機(jī)管理器和虛擬機(jī)之間無法隔離的話，一旦虛擬機(jī)管理器被攻擊者控制，那么虛擬機(jī)也會(huì)被控制。本文闡述了虛擬化在戰(zhàn)術(shù)環(huán)境中的優(yōu)勢(shì)，同時(shí)利用強(qiáng)制訪問控制策略保障戰(zhàn)術(shù)環(huán)境中的虛擬化安全。由此實(shí)現(xiàn)虛擬化在戰(zhàn)術(shù)環(huán)境下的實(shí)際使用。

戰(zhàn)術(shù)環(huán)境；虛擬化；虛擬機(jī)隔離

0 引言

隨著計(jì)算能力的增強(qiáng)，為保證數(shù)據(jù)能夠在快速的轉(zhuǎn)移，目前在將戰(zhàn)術(shù)車輛轉(zhuǎn)變成移動(dòng)的數(shù)據(jù)中心。這些機(jī)器可以在戰(zhàn)地上提供珍貴的信息資源，以保證戰(zhàn)場(chǎng)上的優(yōu)勢(shì)。但是，盡管將這些運(yùn)輸車或坦克上裝備實(shí)時(shí)的智能電腦設(shè)備，這些設(shè)備卻沒辦法發(fā)揮巨大的機(jī)制，因?yàn)檫@些設(shè)備需要消耗大量珍貴的電力、制冷設(shè)備和物流去部署和維護(hù)這些設(shè)備。例如大量的計(jì)算機(jī)會(huì)很顯眼，并且會(huì)在已經(jīng)很熱的環(huán)境中產(chǎn)生多余的熱量，降低士兵的反應(yīng)速度并且潛在的影響健康，并造成安全威脅。

有趣的是，這些移動(dòng)的數(shù)據(jù)中心和目前企業(yè)的數(shù)據(jù)中心面臨的挑戰(zhàn)基本一致。一樣是電力資源的匱乏、不充足的制冷和空間的缺乏。為了克服這些困難，數(shù)據(jù)中心的管理者將這些數(shù)據(jù)中心虛擬化，將物理服務(wù)器虛擬化，并基本上以10:1的比例進(jìn)行優(yōu)化整合。那么在戰(zhàn)術(shù)環(huán)境下，能不能也用虛擬化的方式來解決這些問題呢?在戰(zhàn)術(shù)環(huán)境中不同安全級(jí)別的信息資源在安全方面有什么特殊的安全需求呢?現(xiàn)在關(guān)鍵是要弄清楚虛擬服務(wù)器和物理服務(wù)器之間的區(qū)別，同時(shí)也需要清楚一些可以直接應(yīng)用在戰(zhàn)場(chǎng)上的開源社區(qū)虛擬化軟件的安全優(yōu)勢(shì)。

1 虛擬化的優(yōu)點(diǎn)

在戰(zhàn)地和數(shù)據(jù)中心進(jìn)行虛擬化有非常多的好處，包括資源整合、統(tǒng)一化、支持在線遷移和性能優(yōu)勢(shì)，這些可以使戰(zhàn)斗贏在起跑線上。

1.1 整合

當(dāng)應(yīng)用通過虛擬化整合后，硬件的使用率就會(huì)得到提升，那么就可以用更少的服務(wù)器完成更多的工作，同時(shí)節(jié)省了電力、空間和制冷設(shè)備上的費(fèi)用。在戰(zhàn)術(shù)環(huán)境中，功能可以通過計(jì)算能力的要求增加來加強(qiáng)。通過將應(yīng)用整合到少量的物理服務(wù)器上后，新的可用空間就可以用來做其他的事情例如增加一些任務(wù)所需的物品，例如更多的子彈，或戰(zhàn)士的休息空間。

1.2 統(tǒng)一化

虛擬化使數(shù)據(jù)中心的管理者可以將硬件和操作系統(tǒng)解耦，這也就使數(shù)據(jù)中心的管理者可以用更低的價(jià)格得到更好性能的硬件，而不需要再部署一套軟件棧以適應(yīng)新的硬件。部隊(duì)也不會(huì)被一家硬件提供商所綁定，可以通過競(jìng)爭(zhēng)選擇更優(yōu)的硬件提供商。在戰(zhàn)術(shù)環(huán)境中，這個(gè)好處是非常大的，軟件不需要由于一些外部因素例如電力供應(yīng)、合適的連接器等固定在某一臺(tái)特定的服務(wù)器上。因此，添加一項(xiàng)新的功能會(huì)比原來更容易，硬件的更新也會(huì)比之前更快，因?yàn)橐呀?jīng)不需要重新部署軟件棧了。同時(shí)，不是所有的裝甲車都需要相同的功能，因此，無論這項(xiàng)功能被使用還是沒有使用，都需要對(duì)電力、空間和制冷設(shè)備的嚴(yán)格預(yù)算。最后統(tǒng)一化會(huì)使得戰(zhàn)場(chǎng)更敏捷。

1.3 支持在線遷移

如果已經(jīng)通過Hypervisor檢測(cè)到了在數(shù)據(jù)中心中的一臺(tái)硬件服務(wù)器會(huì)馬上宕機(jī)，在這上面運(yùn)行的應(yīng)用可以零停機(jī)的在線遷移到另一臺(tái)服務(wù)器上。甚至，在沒有預(yù)測(cè)到的情況下，Hypervisor宕機(jī)，在之上運(yùn)行的虛擬機(jī)也可以在不需要用戶干預(yù)的情況下在另外一臺(tái)物理服務(wù)器上重新啟動(dòng)。在戰(zhàn)術(shù)環(huán)境中，戰(zhàn)地的損傷，會(huì)直接導(dǎo)致很多計(jì)算機(jī)的損壞，更糟糕的是可能會(huì)導(dǎo)致戰(zhàn)場(chǎng)上急需的一些關(guān)鍵業(yè)務(wù)被破壞。如果采用原有的直接將應(yīng)用運(yùn)行在物理服務(wù)器上，這些業(yè)務(wù)被破壞，可能得等到戰(zhàn)士到裝甲車上重新維護(hù)才能進(jìn)入這些業(yè)務(wù)，這樣就太晚了。但是，如果這些應(yīng)用被虛擬化，那么這些業(yè)務(wù)在被破壞時(shí)就可以立刻被遷移，在另外一輛裝甲車上可以工作的服務(wù)器上重新啟動(dòng)，而不需要人工干預(yù)。這樣，在戰(zhàn)場(chǎng)上一名作戰(zhàn)人員在很長(zhǎng)一段時(shí)間失去一項(xiàng)關(guān)鍵任務(wù)的信息就減少了。

1.4 性能

一些業(yè)務(wù)需要在系統(tǒng)之間的通訊要低延時(shí)高帶寬，這個(gè)速度與虛擬化后在一臺(tái)硬件設(shè)備上的通信的速度差不多。這是因?yàn)樘摂M網(wǎng)絡(luò)的通信是通過本機(jī)的主板而不是通過一個(gè)更慢更高延時(shí)的網(wǎng)絡(luò)設(shè)備從一個(gè)物理系統(tǒng)到另一個(gè)物理系統(tǒng)進(jìn)行通訊。這樣增加了網(wǎng)絡(luò)性能，并降低了延時(shí)，可以幫助作戰(zhàn)人員在焦灼的戰(zhàn)場(chǎng)上得到更快的響應(yīng)速度。

2 戰(zhàn)術(shù)環(huán)境中的虛擬化安全風(fēng)險(xiǎn)

應(yīng)用層的安全手段無法保障整個(gè)系統(tǒng)的安群，因?yàn)槟壳霸谌魏我粋€(gè)計(jì)算機(jī)系統(tǒng)里面，應(yīng)用會(huì)越來越多，你無法保證每一個(gè)應(yīng)用都是安全可靠的。而且，如果底層的脆弱性沒有解決，只要有一個(gè)應(yīng)用出了問題，那么它可能就會(huì)把這個(gè)安全問題蔓延到整個(gè)系統(tǒng)。

在普通的計(jì)算機(jī)系統(tǒng)中，所謂的底層是指操作系統(tǒng)及相關(guān)基礎(chǔ)軟件環(huán)境。具體到虛擬化計(jì)算環(huán)境中，這個(gè)“底層”往往是指與計(jì)算機(jī)操作系統(tǒng)功能類似的虛擬機(jī)管理器(Hypervisor)。Hypervisor是虛擬化環(huán)境的核心，它負(fù)責(zé)對(duì)運(yùn)行其上的虛擬機(jī)發(fā)起的資源請(qǐng)求進(jìn)行響應(yīng)，這就涉及到硬件資源的虛擬化以及資源調(diào)度的過程。因此Hypervisor在系統(tǒng)層面來說擁有較高的特權(quán)。

在未虛擬化之前，服務(wù)器和服務(wù)器之間彼此是物理隔離的，攻擊者攻破一臺(tái)服務(wù)器后，他只能控制那一臺(tái)服務(wù)器，這時(shí)攻擊者必須采取網(wǎng)絡(luò)攻擊，攻擊網(wǎng)絡(luò)內(nèi)的其它服務(wù)器，才有可能拿到其它服務(wù)器的控制權(quán)。系統(tǒng)管理員有很多工具檢測(cè)和保護(hù)網(wǎng)絡(luò)攻擊，如防火墻，網(wǎng)絡(luò)流量分析工具，入侵檢測(cè)工具等。

虛擬化后，在同一臺(tái)物理主機(jī)上運(yùn)行了多個(gè)服務(wù)(應(yīng)用程序)，如果一個(gè)Hypervisor被攻破，那么不止是一臺(tái)虛擬機(jī)被控制，在這個(gè)Hypervisor上面運(yùn)行的所有的虛擬機(jī)都被控制，并且在這個(gè)Hypervisor上的虛擬機(jī)的鏡像文件可能同時(shí)在另外一個(gè)Hypervisor上運(yùn)行，那么這之間的連接也被控制了，甚至可以向主機(jī)能直接訪問的虛擬機(jī)鏡像寫入惡意代碼。如果虛擬化技術(shù)被應(yīng)用到戰(zhàn)術(shù)環(huán)境中，那么Hypervisor就必須保證安全性，這樣，戰(zhàn)斗人員才能信任任務(wù)的組件。

3 利用sVirt來提供安全的虛擬化環(huán)境

現(xiàn)實(shí)世界中的攻擊者對(duì)Hypervisor的漏洞興趣越來越濃，前不久Xen的Hypervisor就已經(jīng)被攻破了。如果虛擬化應(yīng)用到戰(zhàn)術(shù)環(huán)境中，出于作戰(zhàn)的目的，它將會(huì)遭受強(qiáng)度更大的攻擊。現(xiàn)在的問題是如果真發(fā)生這種情況時(shí)該如何處置。鑒于Hypervisor執(zhí)行的功能和操作系統(tǒng)類似，在系統(tǒng)未知安全防護(hù)上，我們也可以參考操作系統(tǒng)的做法來實(shí)現(xiàn)。

在操作系統(tǒng)中，強(qiáng)制訪問控制(Mandatory Access Control，MAC)被用于增強(qiáng)系統(tǒng)抵御0-Day攻擊(利用尚未公開的漏洞實(shí)現(xiàn)的攻擊行為)的能力。所以它不是網(wǎng)絡(luò)防火墻或訪問控制列表的替代品，在用途上也不重復(fù)。

在基于Linux的虛擬化環(huán)境中，有一個(gè)社區(qū)項(xiàng)目將強(qiáng)制訪問控制整合到系統(tǒng)中，該項(xiàng)目名稱叫做sVirt，它是包含在libvirt中的SELinux框架，用于隔離虛擬機(jī)。在介紹sVirt之前，需要對(duì)SELinux和KVM做一個(gè)快速的介紹。

SELinux比x86服務(wù)器虛擬化技術(shù)要出現(xiàn)得更早，在這之前是用來鎖定物理系統(tǒng)以防止一些惡意軟件對(duì)其他軟件甚至主要系統(tǒng)的攻擊。SELinux是通過標(biāo)簽來進(jìn)行控制的。在SELinux系統(tǒng)上的每一個(gè)對(duì)象都需要根據(jù)他的功能制定一個(gè)標(biāo)簽，這包括進(jìn)程、用戶、文件、硬件設(shè)備網(wǎng)絡(luò)端口和適配器等。SELinux的策略通過標(biāo)簽明確的允許該對(duì)象訪問另外一個(gè)對(duì)象同樣根據(jù)另外一個(gè)標(biāo)簽拒絕訪問其他任何對(duì)象的訪問。例如，如果一個(gè)惡意的web服務(wù)器進(jìn)程試圖讀取一份含有口令的文件，SELinux會(huì)一直鎖定這份文件并且將這次訪問記錄到日志中，因?yàn)镾ELinux的策略明確指出不允許帶有web服務(wù)器標(biāo)簽的進(jìn)程訪問帶有口令標(biāo)簽的文件。SELinux并不是Linux的外部程序，而是在Linux的內(nèi)部。從2007年開始SELinux在大型企業(yè)Linux的發(fā)行版中作為默認(rèn)開啟的狀態(tài)。

KVM是從2006年開始興起的一個(gè)開源項(xiàng)目，并且在2007年被Linux的內(nèi)核項(xiàng)目所接受，目前在大多數(shù)Linux的發(fā)行版中都包含KVM。KVM的獨(dú)特之處在于所有的KVM虛擬機(jī)都是Linux下的一個(gè)進(jìn)程。同樣的，KVM非常的精簡(jiǎn)，因?yàn)樗梢宰孡inux操作系統(tǒng)去管理虛擬機(jī)，提供硬件支持，并且在電力的節(jié)省和性能上有優(yōu)勢(shì)。與之前類似，web服務(wù)器進(jìn)程可以被SELinux的策略所控制，一個(gè)KVM的虛擬機(jī)進(jìn)程也可以被SELinux的策略sVirt所控制。

3.1 sVirt的工作原理

sVirt項(xiàng)目是在1999年NSA發(fā)起的一個(gè)開源項(xiàng)目SELinux的基礎(chǔ)上建立的。sVirt早先是用來保證KVM虛擬機(jī)之間和虛擬機(jī)與Hypervisor之間的安全隔離的。從更高層來看，sVirt通過將SELinux的“強(qiáng)制空間”包裹住虛擬機(jī)，這個(gè)空間可以限制虛擬機(jī)可以做什么。sVirt甚至可以保護(hù)虛擬機(jī)的客戶機(jī)操作系統(tǒng)，這些客戶機(jī)操作系統(tǒng)可以是不在SELinux的保護(hù)下的操作系統(tǒng)例如Windows。

圖1 通過sVirt保護(hù)的KVM頂層概覽Fig.1 High－level overview of KVM with sVirt protection

當(dāng)一個(gè)虛擬機(jī)客戶機(jī)啟動(dòng)時(shí)，KVM就會(huì)通過sVirt給這個(gè)虛擬機(jī)進(jìn)程分配一個(gè)唯一的SELinux的標(biāo)簽，與之對(duì)應(yīng)的這個(gè)虛擬機(jī)的磁盤文件也會(huì)給一個(gè)匹配的標(biāo)簽。除了這個(gè)進(jìn)程和虛擬磁盤文件，這個(gè)系統(tǒng)中沒有其他的對(duì)象會(huì)有相同的標(biāo)簽。當(dāng)?shù)诙_(tái)虛擬機(jī)啟動(dòng)時(shí)，第二個(gè)虛擬機(jī)的進(jìn)程和虛擬磁盤文件也會(huì)給一個(gè)匹配但不相同的唯一標(biāo)簽。

當(dāng)一臺(tái)虛擬機(jī)試圖通過一個(gè)Hypervisor的漏洞去獲取管理員的權(quán)限時(shí)，在內(nèi)核級(jí)別的sVirt就會(huì)限制這臺(tái)虛擬機(jī)的訪問保證這臺(tái)虛擬機(jī)只能訪問那些sVirt SELinux策略中允許他訪問的對(duì)象，一般來說就是他自己的磁盤，使用它自己的資源。在2011年美國(guó)的黑帽大會(huì)上，Nelson Elhage展示了一種攻擊KVM的方法，但是使用sVirt就可以阻止這種攻擊。

例如，libvirt動(dòng)態(tài)地標(biāo)記鏡像文件，默認(rèn)所有虛擬機(jī)都使用svirt_t type類型標(biāo)記，所有鏡像文件都使用svirt_image_t類型標(biāo)記。SELinux策略規(guī)定svirt_t進(jìn)程可以讀/寫svirt_image_t文件和設(shè)備。這種保護(hù)允許虛擬機(jī)只能與正確標(biāo)記的文件和設(shè)備交互，被攻破的虛擬機(jī)不能訪問主機(jī)的home目錄，即使虛擬機(jī)以root權(quán)限運(yùn)行。這樣就能保護(hù)宿主機(jī)不受任何虛擬機(jī)的侵害，實(shí)現(xiàn)了虛擬機(jī)和Hypervisor之間的隔離。

3.2 引入多類別安全保護(hù)

通過類型標(biāo)記的方法有效的保護(hù)了宿主機(jī)遭受來自虛擬機(jī)的攻擊，但這種類型的保護(hù)不能阻止一個(gè)虛擬機(jī)攻擊另一個(gè)虛擬機(jī)。因?yàn)槭褂孟嗤念愋蜆?biāo)記域和鏡像文件的時(shí)候，虛擬機(jī)1以svirt_t類型運(yùn)行，如果攻擊者控制了虛擬機(jī)機(jī)2，此時(shí)虛擬機(jī)2也將以svirt_t類型運(yùn)行，那么攻擊者就可以訪問虛擬機(jī)1的鏡像文件了，這個(gè)在安全策略中是被允許的行為。

從REHL5開始，SELinux策略的安全上下文字段從原來的三個(gè)增加到四個(gè):“用戶:角色:類型:多級(jí)安全”，其中新增加的多級(jí)安全(Multi Level Security，MLS)標(biāo)記定義了一個(gè)敏感級(jí)別(s0-s15)和數(shù)據(jù)分類(c0.c1023)，MLS標(biāo)記允許MLS機(jī)器不僅可以基于它的使用者標(biāo)記文件，也可以根據(jù)敏感性和內(nèi)容的本身屬性進(jìn)行標(biāo)記。這個(gè)字段僅在MLS策略中使用，我們嘗試在默認(rèn)策略(targeted)中使用它，只定義一個(gè)敏感級(jí)別(s0)，允許管理員定義分類，我們把它叫做多類別安全(Multi Category Security，MCS)。是由NSA和其他機(jī)構(gòu)驅(qū)動(dòng)的安全計(jì)算直接引出的一個(gè)概念。這最引人注意的地方在于證明了這些有涉密信息的機(jī)構(gòu)貢獻(xiàn)出自己的技術(shù)，使自己的需求在開源社區(qū)從小眾的需求變?yōu)橹髁鳌?/p>

sVirt使用MCS隔離兩個(gè)相同SELinux類型(svirt_t)的虛擬機(jī)，由libvirt分配一個(gè)不同的隨機(jī)選擇的MCS標(biāo)記給每個(gè)虛擬機(jī)及其關(guān)聯(lián)的虛擬鏡像，libvirt保證它選擇的MCS字段的唯一性，SELinux策略禁止不同MCS標(biāo)記的虛擬機(jī)之間互相操作，這樣就保證了虛擬機(jī)之間無法相互攻擊。

例如，libvirt用下面這些標(biāo)記創(chuàng)建兩個(gè)虛擬機(jī)機(jī)器關(guān)聯(lián)的虛擬鏡像:

表1

SELinux阻止虛擬機(jī)1(system_u:system_r:svirt_t:s0:c0，c10)訪問虛擬機(jī)2的鏡像文件(system_u:object_r:svirt_image_t:s0:c101，c230)，因此這兩個(gè)虛擬機(jī)不能互相攻擊。

下表所示的是libvirt指定的SELinux上下文的含義:

表2

另外，sVirt還支持靜態(tài)標(biāo)記的功能，靜態(tài)標(biāo)記允許管理員為虛擬機(jī)選擇一個(gè)特殊的標(biāo)記，包括MCS/MLS字段，虛擬機(jī)將總是以這個(gè)標(biāo)記啟動(dòng)，運(yùn)行靜態(tài)虛擬機(jī)的管理員負(fù)責(zé)給鏡像文件設(shè)置正確的標(biāo)記，libvirt永遠(yuǎn)不會(huì)修改靜態(tài)虛擬機(jī)上下文的標(biāo)記，它允許sVirt組件在MLS環(huán)境下運(yùn)行，你可以在一個(gè)libvirt系統(tǒng)上以不同敏感級(jí)別運(yùn)行多個(gè)虛擬機(jī)。

圖2 通過sVirt生成唯一的虛擬機(jī)進(jìn)程和磁盤文件動(dòng)態(tài)標(biāo)簽

sVirt策略保證了虛擬機(jī)之間的隔離，也保證了虛擬機(jī)與Hypervisor之間的隔離。解決了在作戰(zhàn)環(huán)境下Hypervisor被攻擊之后控制所有虛擬機(jī)的風(fēng)險(xiǎn)。同時(shí)由于其引入了多級(jí)安全字段，使得不同敏感程度的信息能夠在同一臺(tái)物理設(shè)備上得到很好的隔離。滿足戰(zhàn)術(shù)環(huán)境中對(duì)于多種密級(jí)信息的統(tǒng)一化整合時(shí)所需要的隔離需求。使得虛擬化技術(shù)能夠真正在戰(zhàn)術(shù)環(huán)境中使用起來。

4 未來的工作

更好的性能和安全是發(fā)展的趨勢(shì)。對(duì)于虛擬化而言可能需要將資源控制組(Cgroups)融合到虛擬化中。與SELinux對(duì)Linux的進(jìn)程進(jìn)行訪問控制一樣，Cgroups是用來對(duì)CPU、網(wǎng)絡(luò)、內(nèi)存以及其他Linux進(jìn)程所用到的資源進(jìn)行控制。由于KVM虛擬機(jī)時(shí)Linux的進(jìn)程，他們一樣也可用通過Cgroups來控制。這可以推進(jìn)在多租戶環(huán)境下資源的控制。一個(gè)虛擬機(jī)不會(huì)使用超出分配的資源，不然的話會(huì)影響到同一個(gè)Hypervisor上的其他虛擬機(jī)。從安全的角度來看，Cgroups同樣可以用在通過對(duì)一臺(tái)虛擬機(jī)拒絕服務(wù)攻擊而導(dǎo)致整個(gè)Hypervisor癱瘓上。

另外可以考慮的開源項(xiàng)目就是可信計(jì)算。由于計(jì)算資源包含一些敏感數(shù)據(jù)，這些數(shù)據(jù)會(huì)被推送到戰(zhàn)場(chǎng)上，一種方法是啟動(dòng)并且相信聯(lián)合系統(tǒng)不會(huì)出問題。一個(gè)開源組織和政府結(jié)構(gòu)、硬件軟件廠家聯(lián)合，致力于可信計(jì)算技術(shù)的研究。由于KVM的虛擬機(jī)時(shí)Linux的一個(gè)進(jìn)程，越快的采用這種新興的可信計(jì)算技術(shù)會(huì)使的安全變得更簡(jiǎn)單，而不是發(fā)明更多全新的東西來保證安全。

[1]Loscocco P A，Smalley S D，Muckelbauer P A，et al.The inevitability of failure:The flawed assumption of security in modern computing environments[C]//Proceedings of the 21st National Information Systems Security Conference.1998，10:303-314.

[2]Gregory M，Loscocco P.Using the flask security architecture to facilitate risk adaptable access controls[C]//Third Annual Security Enhanced Linux Symposium.2007.

[3]Peter Loscocco N S A.Integrating flexible support for security policies into the Linux operating system[C]//Proceedings of the FREENIX Track:...USENIX Annual Technical Conference.The Association，2001:29.

[4]Walsh E.Application of the flask architecture to the x window system server[C]//Proceedings of the 2007 SELinux Symposium.2007:1-8.

[5]Spencer R，Smalley S，Loscocco P，et al.The Flask security architecture:System support for diverse policies[C]//Proceedings of the Eighth USENIX Security Symposium.1999.

Enhancement of Virtualization Security in Tactical Environment

WANG Ya-lu1，LONG Kai1，WANG Shi-sheng2
(1CETC Key Laboratory of Cyberspace Security Technology，Chengdu Sichuan 610041，China，2Institute of Electronic Computing Technology，China Academy of Railway Sciences，Beijing 100081，China)

Virtualization proves to be valuable in the data center，but could it work in tactical environments?Yes，only if it’s secure.In tactical environment，virtual machine manager is fairly vulnerable to attacking.If the isolation of between the virtual machine manager and virtual machine could not be ensured，and once the virtual machine manager is controlled by an attacker，the virtual machine would be easily controlled.Advantages of virtualization in tactical environment are described in this paper.In addition，mandatory access control policies are applied to protecting the virtualization security in tactical environment，thus to realize practical application of virtualization in tactical environment.

tactical environment； virtualization； virtual machine isolation

TP309 [文獻(xiàn)標(biāo)志碼]A [文章編號(hào)]1009-8054(2016)04-0113-04

2015-12-25

望婭露(1990—)，女，本科，助理工程師，主要研究方向?yàn)樵朴?jì)算安全；

龍愷(1990—)，男，碩士研究生，助理工程師，主要研究方向?yàn)樾畔踩?/p>

王石生 (1977— )，男，本科，副研究員，主要研究方向?yàn)橛?jì)算機(jī)軟件與安全。