基于oVirt-Qemu-Kvm云平臺(tái)系統(tǒng)分析與安全加固設(shè)計(jì).pdf

1、隨著云計(jì)算產(chǎn)業(yè)如火如荼的發(fā)展，云辦公環(huán)境已經(jīng)不再只是停留在概念階段上，越來(lái)越多的企業(yè)和公司把自己的辦公環(huán)境從原來(lái)的傳統(tǒng)辦公模式轉(zhuǎn)移到嶄新的云辦公平臺(tái)上。與傳統(tǒng)辦公環(huán)境相比，給企業(yè)帶來(lái)了提高辦公效率、公司資料統(tǒng)一管理和降低企業(yè)開(kāi)銷(xiāo)等優(yōu)點(diǎn)。然而，同時(shí)也帶來(lái)了新的安全隱患，例如：在oVirt云平臺(tái)中，虛擬機(jī)磁盤(pán)數(shù)據(jù)是以明文的形式存放在服務(wù)器上，并沒(méi)有考慮到虛擬機(jī)磁盤(pán)數(shù)據(jù)安全問(wèn)題，以及公司內(nèi)部員工可以利用USB設(shè)備隨意拷貝公司資料，容易造成公司

2、內(nèi)部數(shù)據(jù)泄露的安全問(wèn)題等。
　　本文的研究正是源于oVirt云平臺(tái)安全方面的需求，從oVirt云平臺(tái)安全方面問(wèn)題入手，以保護(hù)oVirt云平臺(tái)用戶以及公司敏感數(shù)據(jù)安全。針對(duì)現(xiàn)有的云平臺(tái)的攻擊方式，結(jié)合Qemu、KVM和VDSM源碼詳細(xì)分析，重點(diǎn)分析了oVirt云平臺(tái)框架、oVirt云平臺(tái)磁盤(pán)存儲(chǔ)管理、oVirt云平臺(tái)文件系統(tǒng)和虛擬機(jī)磁盤(pán)鏡像文件讀寫(xiě)流程，并通過(guò)實(shí)驗(yàn)證明了虛擬機(jī)磁盤(pán)鏡像文件、虛擬機(jī)磁盤(pán)刪除和USB設(shè)備管理在這三方面存在

3、著嚴(yán)重的安全隱患。
　　本文通過(guò)上述oVirt云平臺(tái)系統(tǒng)分析所發(fā)現(xiàn)的安全問(wèn)題，制定了oVirt云平臺(tái)安全加固的解決方案，同時(shí)設(shè)計(jì)并實(shí)現(xiàn)了oVirt云平臺(tái)安全加固系統(tǒng)，本系統(tǒng)主要包括了虛擬機(jī)磁盤(pán)鏡像加解密、虛擬機(jī)磁盤(pán)深度擦除和USB設(shè)備實(shí)時(shí)管控三個(gè)子系統(tǒng)。
　　虛擬機(jī)磁盤(pán)加解密子系統(tǒng)是在 Qemu層中增加了密鑰管理模塊和磁盤(pán)數(shù)據(jù)加解密模塊，設(shè)計(jì)了用戶登錄身份認(rèn)證，確保了用戶登錄的安全。并通過(guò)磁盤(pán)數(shù)據(jù)加解密模塊，對(duì)虛擬機(jī)磁盤(pán)鏡像

4、文件數(shù)據(jù)進(jìn)行加解密，達(dá)到了防止黑客以及內(nèi)部管理人員竊取虛擬機(jī)用戶數(shù)據(jù)的作用。
　　虛擬機(jī)磁盤(pán)擦除子系統(tǒng)是在VDSM層中增加了深度擦除模塊，采用了權(quán)限認(rèn)證和多安全級(jí)數(shù)據(jù)擦除機(jī)制，給用戶提供了多種虛擬機(jī)數(shù)據(jù)擦除方式，虛擬機(jī)用戶數(shù)據(jù)通過(guò)數(shù)據(jù)覆寫(xiě)的方式進(jìn)行深度擦除，使得虛擬機(jī)用戶數(shù)據(jù)經(jīng)擦除后難以恢復(fù)。
　　USB設(shè)備實(shí)時(shí)管控子系統(tǒng)是在 Qemu層中增設(shè)了兩個(gè)白名單認(rèn)證模塊和訪問(wèn)控制模塊，通過(guò)修改Qemu中USB設(shè)備重定向機(jī)制，添加U