云计算中虚拟化层的安全问题研究

董建敏　高　静

(内蒙古农业大学计算机与信息工程学院　内蒙古 呼和浩特 010018)



云计算中虚拟化层的安全问题研究

董建敏高静*

(内蒙古农业大学计算机与信息工程学院内蒙古 呼和浩特 010018)

摘要近年来，云计算安全问题的重要性正呈现逐步上升的趋势，是制约云计算技术发展的关键因素之一。云计算的核心技术是虚拟化，所有应用在部署环境时都要依赖虚拟平台的管理、迁移、扩展和备份。然而虚拟化所存在的诸如数据泄密、权限访问等问题已对云计算环境的安全性造成严重威胁。基于对云安全相关国内外研究现状的分析，总结出云计算中虚拟化层的漏洞与攻击，提出了相应的解决思路及保障虚拟化隐私和数据安全的主要方法。

关键词云计算虚拟化技术安全漏洞虚拟化隐私

0引言

云计算作为传统计算机技术与网络融合的产物，可以将各类资源以服务的形式向用户提供，具有可虚拟化性、动态性和可伸缩性，被认为是信息产业的又一次重大革命[1]。虚拟化及虚拟机概念是20世纪60年代由IBM提出，主要通过将有限的、固定的资源根据不同需求进行重新规划以达到简化管理、优化资源的目的[2]。尽管虚拟化技术能够显著减轻很多管理问题，但同时也为云计算带来了很多安全威胁。近年来，Google、Amazon等云计算发起者被爆出的多种安全事故让人们开始担忧云计算的安全性。因此,要让组织和企业可以大规模应用云计算技术,并将自己的数据放心地交付于云服务提供商管理,就必须全面分析并着手解决云计算所面临的各类安全问题。目前，国外已成立了多个专门组织机构来开展云计算安全问题的相关研究。例如，云安全联盟(CSA)[3]，致力于为云计算环境提供最佳的安全方案；欧洲网络与信息安全局(ENISA)，已发布了《云计算中信息安全的优势、风险和建议》、《政府云的安全和弹性》；信息安全分技术委员会(ISO/IEC JTC1/SC27)已启动研究项目《云计算安全和隐私》等。在我国，信息安全标准化委员会(TC260)[4]已完成《云计算安全及标准研究报告V1.0》，并正在研究《政府部门云计算安全》等。同时云安全联盟(CSA)也已成立中国区分会，致力于提升中国地区的云安全实践。

但上述研究主要针对云计算环境大的安全框架及相关标准，针对云计算虚拟化层的安全性问题的研究仍比较匮乏。虚拟化实现了IT资源的逻辑抽象和统一的表示，确保虚拟化的安全性对云计算技术的稳定发展及应用有着至关重要的作用。本文通过分析当前云计算虚拟化层所面临的安全问题，详细总结了各类安全漏洞及威胁并阐明了相应的解决思路，以期为我国未来云计算安全性的相关科研以及云计算的产业发展做出有益的探索。

1传统的虚拟化技术及其漏洞

在传统的由物理交换机连接物理服务器所组成的环境中，IT组织一般可获得服务器和交换机之间详细的流量消耗信息。但对于虚拟交换机而言，它往往不提供这一级别的信息管理。这直接导致同一物理水平的虚拟计算机中，物理和虚拟交换机之间缺乏流量监控，从而影响安全性和性能的测量[5]。以下列举了常用虚拟化技术及其存在的安全问题：

1) 基于操作系统的虚拟化

如图1所示，该技术中虚拟化由主机操作系统启用，支持多个独立分布在单个物理服务器上的用户操作系统，它们具备由专有硬件基础设施控制的相同操作系统内核。主机操作系统可以查看并控制虚拟机[6]。这个技术相对简单，却存在漏洞。例如，攻击者可以将内核脚本注入到主机操作系统，使在这个内核上的所有用户操作系统都运行他们的系统，从而控制所有虚拟机[7]。

图1　基于操作系统虚拟化

2) 基于虚拟机控制器的虚拟化

虚拟机控制器(hypervisor)是虚拟化技术之一，从概念上讲，它的级别高于监督员，是一种运行在操作系统和基础物理服务器之间的中间软件层，可以访问服务器上包括内存和磁盘在内的所有物理设备[8]。虚拟机控制器能够非中断地支持多工作负载迁移，是所有虚拟化技术的核心。

在基于虚拟机控制器的虚拟化技术中，虚拟机控制器在机器启动时开启，主要负责多个虚拟机之间的系统资源共享(如图2所示)。其部分虚拟机享有特权分区，通常用于管理虚拟化平台和被托管的虚拟机器。在此体系结构中，虚拟机控制器通过特权分区来观察和控制虚拟机器[9]。

图2　基于虚拟机控制器的虚拟化

这种方法可以建立一个最佳的可控环境，但同时它也是脆弱的，因为在这一体系结构中，管理程序属于一个单点故障。一旦虚拟机控制器崩溃或攻击者获得了控制权，所有的虚拟机就都会处于攻击者的控制之下[10]。

总而言之，虚拟化是支撑着云计算伟大构想的最重要的技术基石。但目前在云中广泛使用的虚拟化技术仍只是建立在旧的虚拟化技术之上，它所存在的安全性相关问题应该尽快被解决。

2云计算虚拟化层的安全问题

虚拟化中潜在的问题很容易影响云计算环境的安全性，例如当服务提供商将太多的虚拟机安置在同一物理服务器上时，可能导致有限的CPU周期或I/O瓶颈等各类将影响安全稳定性的问题[11]。因此，类似性能管理和安全监控等任务在虚拟环境中会显得更加重要。

2.1虚拟机的安全

虚拟机中的安全问题主要指针对虚拟机控制器的各类攻击(对虚拟机控制器的恶意修改和嵌套等)。目前针对这些问题，主要采用的防护方法有基于虚拟机的入侵检测、基于虚拟机的内核保护和基于虚拟机的可信计算等[12]。

2.1.1虚拟机控制器的安全

虚拟机控制器可以接触和影响虚拟机的所有行为。因此当攻击者控制了虚拟机控制器时就可能导致各种安全问题。

1) 虚拟机控制器系统的优缺点

虚拟机控制器除了能够管理资源，还潜在影响着云服务基础设施的安全可靠。而目前基于虚拟机控制器的虚拟化技术是实现安全云计算环境的最佳选择。原因如下：

• 虚拟机控制器是唯一可以访问并控制硬件的程序，它可作为一个防火墙来防止恶意用户损坏硬件[13]。

• 虚拟机控制器可以检测到通过用户操作系统中安全系统的攻击，并被用作一个抽象层来隔离底层硬件和虚拟环境[14]。

• 虚拟机控制器控制来宾操作系统和共享的底层硬件之间的所有通道，因此可以简化云计算环境中的事务监控过程[15]。

除了以上优势之外，虚拟机控制器仍有一些缺陷可能会影响安全方案的性能：

• 基于虚拟机控制器的虚拟化技术中，由于只有一个虚拟机控制器，因此系统成为一个单点故障[16]。一旦虚拟机控制器由于过载或攻击而崩溃，所有的系统和虚拟机便都会被影响。

• 与其他技术相似，虚拟机控制器也有一些漏洞，例如缓冲区溢出等[17]。

2) 虚拟机控制器的安全管理

虚拟机控制器是一个管理工具，创建这一区域的主要目的是在硬件和虚拟机之间建立一个信任区域，其他可获得的虚拟机可以依赖它以获得安全的工作环境。虚拟机控制器主要有如下三个安全管理水平：

• 身份认证：用户必须使用正确、标准并且可用的机制来保证账户信息验证正确[18]。

• 授权：用户必须获得授权，必须有权限执行他们想做的一切。

• 网络：网络的设计中必须有能够确保与管理应用程序安全连接的机制，其最有可能位于与传统用户不同的安全区域[19]。

网络通常被认为是用户和虚拟机控制器之间最重要的问题，但对于虚拟化而言，同样重要的是理解API和虚拟机控制器的基本概念以及虚拟机等工具的工作原理[20]。云客户端顺利地完成一个全面的安全策略，需要安全管理器解决认证、授权、虚拟硬件、网络以及虚拟机控制器等一系列安全问题[21]。如果一个虚拟化水平的云服务提供商只考虑执行任务的网络安全性，那么实现的虚拟环境就将面临风险。

2.1.2虚拟机的入侵检测技术

入侵检测系统IDS(Intrusion Detection Systems)，是指按照一定的安全策略，对系统、网络的运行状况进行监视，尽可能地发现各种攻击企图、攻击行为或攻击结果，以保证网络系统资源的机密性、完整性和可用性[22]。虚拟机和硬件之间的所有交流都由虚拟机控制器控制，因此IDS可以在虚拟机控制器中使用。目前基于虚拟机的入侵检测主要包含五种方法，即记录与审计、诱骗与干扰、漏洞检测、Out-of-VM监控和改进的Out-of-VM[23]。

2.1.3虚拟机的内核保护技术

基于虚拟机的木马程序可以修改内核程序的控制流程，从而对虚拟环境的安全构成巨大威胁[24]。而基于虚拟机的内核保护技术主要通过分析内核中影响程序控制流程的资源，并对这些资源进行保护，从而防止木马程序对内核控制流程的篡改。目前基于虚拟机的内核保护主要有三种方法，即内核完整性保护、代码授权执行和页面加密[25]。

2.1.4虚拟机的可信计算技术

可信计算主要通过利用远程验证及对用户敏感信息的保护来帮助系统不断提升可信级别。基于虚拟机的可信计算主要包含虚拟可信平台模块和虚拟可信计算系统。其中涉及了五大核心概念即签注密钥、远程认证、密封储存、储存器屏蔽以及安全输入及输出[26]。

2.2虚拟化的威胁与攻击

虚拟化已经不是一门新技术，但它仍然存在几个安全问题已经影响到云技术。在虚拟机控制器中，所有的用户都由同一台计算机提供服务。而虚拟机是一个由底层控制程序管理的操作系统，在这一级别下也存在着各种各样的威胁和攻击。

2.2.1威胁1) 虚拟机级别的攻击

在多租户体系中，云服务供应商使用的虚拟机控制器或虚拟机技术是一个潜在问题。企业有必要监测从物理主机到虚拟机的出入流量数据，使入侵检测和防御算法能够尽快捕捉来自攻击者的威胁。例如可以通过端口镜像来发现威胁，复制交换机上一个端口的数据流到另一个端口，并用交换机中IDS/IPS监听和分析信息[27]。

2) 云服务提供商的漏洞

这些漏洞可能是平台级的，例如云服务层中的跨站脚本漏洞(即在输入中包含JavaScript代码，在受害者的浏览器中执行)或SQL注入(即在输入中包含SQL代码，诱发错误的数据库后端执行)都可能导致不安全的环境[28]。此外，不安全的用户行为例如选择了弱密码和重复使用的密码也会容易导致被攻击。

3) 验证与授权

企业的认证和授权框架不自然地扩展到云中，并将云的安全策略与他们自己的安全标准及政策相合并。错误的授权检查往往会将未经授权的信息暴露给用户，URL猜测攻击的根源就是缺少授权检查，在这种攻击下，用户能够修改URL来显示其他用户的账户信息[29]。解决这一漏洞的重要方式之一是严格控制访问权限。管理员需要确认只有符合资格的用户才能更改应用，并需要对服务器做节能型访问控制管理，利用一些强大的登录功能例如双重身份验证等保证服务器的安全[30]。

4) 云中的数据安全

第一类安全漏洞是云中的数据控制，中型企业会在他们整个的IT投资组合中使用完整的可见性和控制权，甚至可以移动一些组件到云中创造操作“盲点”，导致其服务退化或中断，并且很少有预警[31]。同时云中的数据缺失和泄露也是数据安全的重要问题。云提供商应能够检测系统管理数据、鉴别信息和重要业务数据在传输过程中的数据完整性，并通过Hash校验和多备份机制来防止单一数据损坏造成的损失[32]。

5) 虚拟化水平的沟通

虚拟机之间的通信一旦不符合重大安全参数就有可能成为攻击目标。一般可以采用关键词过滤的方式来进行参数检查，或运用安全链接法检测信息对象中的各种变化[33]。通信完整性和保密性是需要重点解决的，在通信过程中应采用约定的通信会话方式以保证通信过程中的数据完整性，在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。

2.2.2攻击

云可以为合法用户提供服务却也同样可能将服务提供给有恶意目的的用户。黑客往往可以利用云来运行恶意程序对用户进行攻击。

1) DDoS攻击

典型的分布式拒绝服务攻击(DDoS)比较关注在特定网络人口的大数量的IP数据包。在云计算中，基础设施由大量的虚拟机客户端共享，因此DDoS攻击对它的影响往往大于其对单一出租架构的影响。如果云没有足够的资源为虚拟机提供服务就容易导致不良的DDoS攻击，对这一事件的传统解决方案是增加关键资源的数量。但更严重的问题是一个恶意用户有意在DDoS攻击中使用了僵尸网络。僵尸网络是一个可以被攻击者远程控制的已被攻陷的主机组成的网络[34]。由于它们一般数量巨大，因此会对整个网络环境构成严重威胁。大多数的网络对策由于不能区分信道传输状况的好坏，因而无法有效防范DDoS攻击。

2) 端对端攻击

在虚拟化环境中对一个客户端虚拟机的攻击可以迁移到在相同物理机上驻留的其他虚拟机上，使得虚拟化面临最大的安全风险。恶意用户可能会花费大量时间攻击一个虚拟机，然后感染其他虚拟机，从而逃避虚拟机控制器以非官方的方式访问虚拟机[35]。因此在虚拟化环境中的主要安全风险就是“端对端的攻击”，在这种攻击中，攻击者可以获得虚拟环境下基础设施级别的管理员权限从而能够访问所有虚拟机。如果黑客可以控制虚拟机控制器并且得到虚拟机控制器和虚拟机之间传输的所有数据，他就可以执行例如欺骗攻击等一系列的攻击活动。

3) DNS攻击

DNS攻击是指攻击者冒充域名服务器，将查询到的IP地址设为攻击者的IP地址的一种欺骗攻击。常见的DNS攻击包括域名劫持、缓存投毒、DDos攻击、DNS欺骗等。要防范这类攻击首先要扩大带宽，其次要保证可从外部访问的DNS服务器仅为自身网络执行循环查询，通过阻止利用循环查询装载大型有害的DNS记录，来防止DNS攻击[36]。

2.3虚拟化隐私及数据安全

2.3.1虚拟化隐私

云服务提供商，特别是IaaS提供商，往往会为顾客提供无限的幻想：关于计算、网络、存储容量和无摩擦的注册过程，并且通常允许任何人使用云服务。使用模式的相对匿名间接导致了垃圾邮件大量增加，恶意代码作者和黑客也因此能够进行他们的攻击活动而相对不受惩。PaaS提供商通常会遭受类似的攻击，然而，最近的证据显示黑客的目标也开始涵盖IaaS供应商[37]。在基于云的服务中，用户的数据存储在第三方的存储单元上。服务提供者必须充分实现安全措施来保证数据隐私。数据加密是在数据库受到恶意攻击时确保隐私的一种解决方案，通过集成的数据加密，一般可以有效对抗外部的恶意攻击并能限制服务提供者的责任[38]。

任何解决数据隐私问题的方案都必须使用特定的加密，但却也容易导致数据恢复问题。假设用户忘记了自己设置的密钥，云服务提供商就很难进行数据恢复。比较简单的解决方案是找到一个用户可以信任的云服务提供商，这种方案一般适用于小型企业，且存储在云中的数据不属于关键数据[39]。对于大中型企业而言更重要的是发展加密技术或使用私有云，以确保能够直接通过启用加密数据的查询处理来保障面对云服务提供商的隐私安全。

2.3.2数据泄密

在云中客户的数据一般会面临两个挑战。首先是数据将被存储在远离客户的机器上，其次是数据从单租户移动到了多租户环境。这些变化从安全角度看已经成为最大的组织风险，因此容易导致数据泄露。

近年来，数据泄露防护已经成为较为流行的应用程序用来保护敏感数据。但在云计算中这类产品的功效仅仅围绕保密性。虚拟化技术数据防泄露是目前被广泛应用的主要技术之一，利用虚拟化技术可以清楚地划分管理和使用权限，有效防止用户破坏系统或盗取数据[40]。同时由于虚拟环境间无论存储还是应用都是相互隔离的，可以起到逻辑隔离的作用，使得文件无法直接在不同安全等级的网络间传输，从而杜绝数据泄露的风险。

2.3.3虚拟化中的数据剩磁问题

数据剩磁是以某种方式删除的数据残留部分的物理表示。在存储介质被删除后，仍可能存在一些物理特性允许数据恢复。因此任何关键数据都应该确保在使用完后被安全的删除。一般而言，IT组织可以自由运用各种可用工具来安全摧毁多余和重要的数据。但当他们迁入云计算环境时，他们的虚拟服务器就将由第三方控制。传统的解决方法是数据覆盖，但在云计算环境中用户不能访问物理设备和数据层[41]。因此用户需要用绝对机密的密钥进行数据加密，以防止删除后的数据残留重建数据。

3云计算中虚拟化层安全漏洞的详细描述

表1中列出了目前云计算中存在的虚拟化相关的安全漏洞及容易发生的故障类型和攻击模式，并简要说明了漏洞的产生原因，对相关的防范措施做出了总结。

表1　云计算中虚拟化层的安全漏洞总结列表

续表1

4结语

基于虚拟化，云计算模式能够让工作负载具备伸缩性并能被虚拟机或物理机快速部署。但目前，集中管理的云计算中心已逐渐成为黑客攻击的重点目标。且在云服务平台中，资源以虚拟、租用的模式提供给用户，如果云平台中的虚拟化软件存在安全漏洞，将很难向用户提供安全的云服务。通过增强信息安全的公众意识以减少机密数据意外泄漏的事故，减少人为错误是保障云计算虚拟化环境中信息安全的第一步。同时云服务商需要提供足够多的关键资源，以抗击针对云环境的各类攻击。

本文总结了云计算中虚拟化技术及环境所存在的漏洞与攻击，并给出了部分可参考的解决思路，但对于单个漏洞的解决方案仍缺乏深入的探讨。总而言之，重视并解决云计算虚拟化层的安全性问题有助于实现完全意义上的云安全，打破用户的顾虑，使得云计算得到更快、更深入的发展。

参考文献

[1] 李乔,郑啸.云计算研究现状综述[J].计算机科学,2011,38(6):32-37.

[2] 陈康,郑纬民.云计算:系统实例与研究现状[J].软件学报,2009,20(5):1337-1348.

[3] Eddy N.Unease With Government Access to Information:Cloud Security Alliance[J].eWeek,2013,4(2):16-20.

[4] Fal A.Standardization in information security management[J].Cybernetics and Systems Analysis,2010,46(3):512-515.

[5] Smith J E,Nair R.The architecture of virtual machines[J].IEEE Computer,2005,38(5):32-38.

[6] Rosenblum M,Garfinkel T.Virtual machine monitors: Current technology and future trends[J].IEEE Computer,2005,38(5):39-47.

[7] Wang Z,Jiang X.HyperSafe:A lightweight approach to provide lifetime hypervisor control-flow integrity[C]//Proc of Security and Privacy.Washington:IEEE Computer Society,2010:380-395.

[8] 项国富,金海,邹德清,等.基于虚拟化的安全监控[J].软件学报,2012,23(8):2173-2187.

[9] Lombardi F,Pietro R D.Secure virtualization for cloud computing[J].Journal of Network and Computer Applications,2011,34(4):1113-1122.

[10] Malek B,Miri A.Combining attribute-based and access systems[C]//Proc of the 12th IEEE Int’l Conf. on Computational Science and Engineering.IEEE Computer Society,2009:305-312.

[11] 吴佳民,彭新光,高丹.基于Xen虚拟机的系统日志安全研究[J].计算机应用与软件,2010,27(4):125-126,166.

[12] Lei R,Lin Z,Ya B Z,et al.Resource virtualization in cloud manufacturing[J].Computer Integrated Manufacturing Systems,2011,17(3):511-518.

[13] Xiao J W,Yi Z,Center N,et al.The Research on Cloud Computing Datacenter Based Virtualization[J].Computer Knowledge and Technology,2014,43(4):169-174.

[14] Sadeghi A R,Schneider T,Winandy M.Secure outsourcing of data and arbitrary computations withlower latency[C]//Proc of Trust and Trustworthy Computing. Berlin: Springer-Verlag,2010:417-429.

[15] Tao Y.Study on Security Technology of Cloud Computing Virtualization[J].Information Security and Communications Privacy,2012,77:43-45.

[16] Hoesing M T.Virtualization Security Assessment[J].Information Security Journal:A Global Perspective,2009,18(3):124-130.

[17] 石磊,邹德清,金海.Xen虚拟化技术[M].武汉:华中科技大学出版社,2009.

[18] Ostrovsky R,Sahai A,Waters B.Attribute-Based encryption with non-monotonic access structures[C]//Proc of Computer and Communications Security,CCS 2007.Alexandria:ACM Press,2007:195-203.

[19] 冯登国,张敏,张研,等.云计算安全研究[J].软件学报,2011,22(1):22-28.

[20] Baroncelli F,Martini B,Castoldi P.Network virtualization for cloud computing[J].Annals of telecommunications-annales des télé communications,2010,65(11-12):713-721.

[21] Whitaker A,Cox R S.Rethinking the design of virtual machine monitors[J].IEEE Computer,2005,38(5):57-62.

[22] Popek G,Goldberg R.Formal requirements for virtualizable third generation architectures[J].Communications of the ACM,1974,17(7):413-421.

[23] Robin J S,Irvine C E.Analysis of the Intel Pentium’s ability to support a secure virtual machine monitor[C]//Proc of the 9th USENIX Security Symp.Berkeley:USENIX Association,2000:129-144.

[24] Almond C.A Practical Guide to Cloud Computing Security[J].IEEE Computer,2009,8(27):186-196.

[25] 蔡忠闽,管晓宏,邵萍,等.基于粗糙集理论的入侵检测新方法[J].计算机学报,2003,26(3):361-366.

[26] 穆成坡,黄厚宽.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685.

[27] Tien C,Taipei C T.Efficient and effective NIDS for cloud virtualization environment[C]//Cloud Computing Technology and Science (CloudCom),2012 IEEE 4th International Conference on.IEEE,2012:249-254.

[28] 王佩雪,周华强.多租户环境下基于可信第三方的云安全模型研究[J].计算机科学,2014,41(12):235-242.

[29] Xiao Z.Research and Design of Cloud Experiment Platform Based on Virtualization Technology[J].Computer Knowledge and Technology,2014,12(2):33-35.

[30] Steinmetz R,Darmstadt T U.Threat as a Service:Virtualization’s Impact on Cloud Security[J].IT Professional,2012,14(1):32-37.

[31] Xiong X,Tian D,Liu P.Practical protection of kernel integrity for commodity OS from untrusted extensions[C]//Proc of the 18thAnnual Network and Distributed System Security Symp.Rosten: Internet Society,2011:114-130.

[32] Sun P,Shen Q,Gu L,et al.Multilateral Security Architecture for Virtualization platform in multi-tenancy cloud environment[J].Conference Anthology,IEEE,2013,7(4):1-5.

[33] 曹立铭,赵逢禹.私有云平台上的虚拟机进程安全检测[J].计算机应用研究,2013(5):1495-1499.

[34] Juels A,Kaliski B.Proofs of retrievability for large files[C]//Proc of Computer and Communications Security.Alexandria:ACM Press,2007:584-597.

[35] Loganayagi B,Sujatha S.Enhanced Cloud Security by Combining Virtualization and Policy Monitoring Techniques[J].Procedia Engineering,2012,35(3):654-661.

[36] Waldspurger C A.Memory resource management in VMware ESX server[C]//Proc of the 5th Symp,on Operating Systems Design and Implementaion.New York: ACM Press,2002:181-194.

[37] Nanda S,Chiueh T.A survey on virtualization technologies[M].Technical Report,TR-179,Stony Brook University,2005.

[38] 黄汝维,桂小林,余思,等.云环境中支持隐私保护的可计算加密方法[J].计算机学报,2011(12):2391-2402.

[39] Bethencourt J,Sahai A,Waters B.Ciphertext-Policy attribute-based encryption[C]//Proc of the 2007 IEEE Symp. on Security and Privacy. Oakland: IEEE Computer Society,2007:321-334.

[40] Lombardi F,Pietro R D.Secure virtualization for cloud computing[J].Journal of Network and Computer Applications,2011,34(4):1113-1122.

[41] Luo X,Yang L,Ma L,et al.Virtualization Security Risks and Solutions of Cloud Computing via Divide-Conquer Strategy[J].Multimedia Information Networking and Security,2011,54(6):637-641.

收稿日期：2015-03-18。国家自然科学基金项目(61462070)；内蒙古自治区科技计划项目(20130364)。董建敏，硕士生，主研领域：云计算安全与可靠性。高静，教授。

中图分类号TP309.2

文献标识码A

DOI:10.3969/j.issn.1000-386x.2016.07.064

ON SECURITY PROBLEM OF VIRTUALISATION LAYER IN CLOUD COMPUTING

Dong JianminGao Jing*

(CollegeofComputerandInformationEngineering,InnerMongoliaAgriculturalUniversity,Hohhot010018,InnerMongolia,China)

AbstractIn recent years, the importance of security problems in cloud computing is showing a gradually upward trend, and it is one of the key factors that restricts the development of cloud computing technology. Virtualisation is the core technology of cloud computing, all of the applications have to rely on the virtual platform in regard to management, migration, expansion and backup while deploying their environment. However the problems existed in virtualisation such as data leaks and privileged access, etc., have imperilled severely the security of cloud computing environment. Based on analysing the research status correlated to cloud security at home and abroad, we summarise the vulnerabilities and attacks of the virtualisation layer in cloud computing, and put forward the corresponding solution ideas and the main approaches for safeguarding the privacy of virtualisation and data security.

KeywordsCloud computingVirtualisation technologyVulnerabilityPrivacy of virtualisation