服务器虚拟化安全机制研究

服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护.     

基于协作型VMM的虚拟机执行环境动态配置模型

针对当前各类虚拟机监控器(VMM)在定制虚拟机执行环境过程中灵活性不足、可用性不强方面的问题,提出并设计了一种用户动态配置虚拟机执行环境的模型,并在协作型VMM之上进行了实现。结合Intel VT-x技术的实现机制,充分利用虚拟机控制结构(VMCS)中的执行控制域特性,通过为用户提供接口,对虚拟机配置文件进行操作,实现对虚拟机执行环境的实时动态配置。用户利用该模型能够快速构建具有不同运行时特性的虚拟机执行环境。测试结果表明,该模型能够提高VMM的可用性。     

VMSF—一种内核级虚拟机监控器调度框架

虚拟化技术由于具有提高资源利用率、降低系统总体拥有成本等优点得到越来越多的关注。虚拟机成为计算机系统的一种新型应用模式,但虚拟机应用在服务质量保证和协同运行等方面与传统商用操作系统面向的应用不同,虚拟机监控器应针对此类应用的特点设计相应的调度算法。但是,在传统基于宿主操作系统的虚拟化技术中,虚拟机的调度由宿主操作系统的标准调度器完成。本文提出一种不修改宿主操作系统现有调度机制的虚拟机调度扩展框架VMSF,该框架允许第三方自行开发适于虚拟机系统的调度算法。最后通过在Linux上开源的内核级虚拟机监控器KVM上移植Xen的Credit调度器验证了本文研究的有效性。     

Trochilidae:面向众核平台的高性能轻量级虚拟机监控器

虚拟化技术在云计算中广泛应用。传统虚拟化技术对操作系统的一些操作都进行了捕捉与封装,使其越来越复杂,同时也影响了操作系统的性能。针对众核平台的发展趋势和特点,面向众核平台设计并实现了一个轻量级的高性能虚拟机监控器——蜂鸟(Trochilidae)。多操作系统可以同时运行在此虚拟机监控器之上,同时对操作系统性能无损失。在提供传统虚拟机监控器功能的基础上,蜂鸟的代码量仅4000行左右(包括汇编与C代码),降低了系统的复杂度,便于系统的维护与调试。     

设备虚拟化方法研究与实现

针对虚拟机监控器在IO虚拟化方面存在的性能瓶颈,分析了现有IO虚拟化模型存在的问题,提出了一种基于IO处理机的协作型虚拟机监控器。建立了基于IO处理机的IO虚拟化模型,实现了对客户机操作系统IO访问请求的处理,并进一步给出了该方法下从设备发现到功能模拟等关键技术。实验结果表明,基于IO处理机的IO虚拟化模型能够提供更为稳定的系统环境,并能有效提高整个系统性能。     

基于Intel VT—x的XEN全虚拟化实现

由于X86体系结构对虚拟机支持的先天不足,基于此体系结构的虚拟机需要修改操作系统的源代码,称为泛虚拟化技术.泛虚拟化需要修改操作系统的源代码,故只能支持开源的操作系统,且这种虚拟机的实现也是比较困难的.为了解决这个问题,Intel公司提出了VT-x技术,该技术可以使虚拟机不需要修改操作系统的源代码,也就是所谓的全虚拟化技术,可以支持非开源的操作系统,且虚拟机的实现也比较简单.XEN是业界广泛看好的一款基于X86体系结构开源的虚拟机监视器,XEN 3.0开始实现了基于VT-x的全虚拟化技术,具有优越的性能和良好的体系结构.文中讨论了Intel的VT-x技术,并从CPU虚拟化、内存虚拟化和设备虚拟化三个方面介绍XEN实现全虚拟化的关键技术.     

基于可信轻量虚拟机监控器的安全架构*

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题：a）虚拟化性能上开销大;b）作为可信集相对比较庞大;c）不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。     

Xen中VCPU调度算法分析

为了降低虚拟化环境中虚拟机的性能开销,提高虚拟化实施效率,在综合考虑虚拟处理器在虚拟机调度过程中的需求的基础上,对Xen中基于信用度的调度算法进行了分析,该算法在处理器密集型应用、多处理器调度和QoS控制方面具有明显的优势.针对目前调度算法在多处理器和新型虚拟机监控器结构下存在的性能问题,提出了自旋锁优先和处理器绑定等优化措施.实例表明,该措施能够提高虚拟处理器的调度效率.     

多线程ARM虚拟机的设计与实现

虚拟机技术广泛应用于代码移植、跨平台计算和模拟硬件机器、嵌入式系统模拟等领域.该技术以软件的方式构建通用机器的硬件的仿真环境,实现机器指令在处理器中的运算过程.在介绍了虚拟机原理的基础上,设计并实现了基于多线程的ARM虚拟机,初步模拟了ARM9的指令执行过程.     

VMM入侵检测系统体系结构

针对现存入侵检测系统存在的问题,提出一个运行于虚拟机监控器之上的入侵检测系统。由虚拟机监控器来虚拟硬件接口,在单一的硬件实体上运行多个系统实例,因为虚拟机监控器处于操作系统和硬件之间,从而使得这个入侵检测系统位于监控所有对操作系统的入侵事件的最佳位置,并处于一个独立于操作系统之外的受保护的空间内,增强了入侵检测系统的独立性和检测能力,是传统的基于主机和网络的入侵检测系统优点的完美结合。     

一种异构多核处理器嵌入式实时操作系统构架设计

由于异构多核处理器和多处理器系统及同构多核处理器的构架存在很大差别,应用于多处理器系统的分布式结构以及应用于同构多核系统的主从式结构操作系统不能解决异构多核处理器的实时调度和效率问题。对异构多核处理器的特点及发展趋势进行了研究,提出了一种适用异构多核处理器的多主模式实时操作系统构架。这种构架将通信总线中的多主模式引入多核操作系统构架中,采用对称式结构及组件模式设计操作系统模型,使多核处理器中每个内核都可以作为主核实现对资源、任务的实时管理,提高系统性能,同时可以解决主从式操作系统存在的由于处理器核增多而带来的主内核不能满足系统性能要求的瓶颈问题。通过这种单一构架模型可以进行灵活配置,以适应不同结构及功能要求的处理器内核,降低操作系统开发难度。     

Guest Editors' Introduction: Interaction of Many-Core Computer Architecture and Operating Systems

Rapid changes in platform hardware resources with the evolution of many-core architectures will require a fundamental reexamination of mainstream system-software design decisions to support multiple cores and to efficiently manage on-chip hardware resources shared among the multiple cores. In turn, the evolution of many-core processor architectures will be successfully sustained by the new capabilities and features added to the system software, perhaps while requiring substantial support from hardware. The guest editors introduce five articles on the interaction of computer architecture and operating systems for this special issue of IEEE Micro.     

基于TCP/IP协议的高速FTIR光谱数据传输系统设计

本文针对高分辨率傅立叶变换红外(FTIR)光谱仪,提出了一种基于TCP/IP协议的高速光谱数据传输系统。文章阐述了所设计的光谱传输系统的工作原理。以高速浮点型DSP为核心处理器,讨论了系统的硬件结构,以及底层驱动软件的实现。详细介绍了嵌入式TCP/IP协议的原理及其在DSP处理器上的软件实现过程。并讨论了作为网络客户端的上位机程序的编写方法。     

嵌入式操作系统EPOS的设计与实现

我们利用微内核的思想，设计并实现了一个基于X86系列处理器的多任务的嵌入式操作系统。该系统利用了保护模式基于描述符的存储管理模式及Intel X86系列处理器的其它许多先进功能。实现了任务管理、中断处理、时间管理、内存管理等多项管理功能，具有较好的实时性和稳定性。     

一种采用SlaveB传输模式的LonWorks电力线节点

为提高LonWorks系统在电力线信道上进行多进程、多任务并行处理时的实时性,介绍了一种在主机AT89S51与从机MC143150之间采用Slave_B并行传输模式的LonWorks电力线节点.数据通信通过传递虚拟令牌得以实现,解决了数据总线传输冲突问题;节点配以路由器和iLON100构建的主干式网络,保证了数据在电力线信道上的及时处理.实际应用表明,相对于传统基于神经元芯片类型的LonWorks节点,基于Slave-B并行传输模式的电力线节点控制能力得到增强.     

多处理器操作系统的性能分析

个人计算机近期最主要的发展之一是使用多处理器以提高计算能力。为了分析个人计算机额外处理器所获得的性能，研究操作系统性能与计算机体系结构的相关性，我们用功能模块设计了一个双处理器计算机系统，采用修改过的快速傅立叶算法验证加强计算的能力。Windows NT4．0版本和Linux 2.0版本采用双处理器系统运行快速傅立叶算法，无需线程技术，使第二个处理器产生的性能得到了确认。文章探讨了这方面的细节问题。     

Intel virtualization technology

A virtualized system includes a new layer of software, the virtual machine monitor. The VMM's principal role is to arbitrate accesses to the underlying physical host platform's resources so that multiple operating systems (which are guests of the VMM) can share them. The VMM presents to each guest OS a set of virtual platform interfaces that constitute a virtual machine (VM). Once confined to specialized, proprietary, high-end server and mainframe systems, virtualization is now becoming more broadly available and is supported in off-the-shelf systems based on Intel architecture (IA) hardware. This development is due in part to the steady performance improvements of IA-based systems, which mitigates traditional virtualization performance overheads. Intel virtualization technology provides hardware support for processor virtualization, enabling simplifications of virtual machine monitor software. Resulting VMMs can support a wider range of legacy and future operating systems while maintaining high performance.     

龙芯2号处理器的同时多线程设计

提出了适合龙芯2号处理器的同时多线程处理器模型,并介绍了具体的微体系结构设计以及相应的Linux操作系统的实现方案.通过在设计的龙芯2号同时多线程处理器上启动Linux操作系统,并运行应用程序,例如SPEC CPU2000,进行性能评测.结果表明,龙芯2号同时多线程处理器通过挖掘线程级并行性,将龙芯2号处理器的性能提高了31.1%.     

基于S3C6410的矿用车载定位装置的设计

针对现有的采用8/16位单片机作为主控处理器的车载定位装置存在数据运算能力及实时性较差、较复杂操作系统无法移植及功能可扩展性不强等问题,设计了一种基于S3C6410和嵌入式Wince操作系统的矿用车载定位装置。该装置首先通过GPS定位模块获得卡车的定位数据,并将定位数据通过UART通信方式传输给ARM处理器S3C6410,然后通过GPRS无线传输模块向后台定位中心发送GPS定位数据,实现卡车的实时定位。该装置功能强大,实用性好,满足了应用现场的实时性需求。     

在操作系统中实现处理机进程和存储进程的分离

通过为进程分配和回收处理机资源和存储器资源，传统操作系统实施对处理机和存储器的管理和控制，在多处理机操作系统中，当处理机和存储器之间的互连方式比较复杂时，仅仅构造唯一一种进程抽象，不能很好地实施对处理机资源和存储器资源的管理，基于以上思想，在操作系统中应该构造两类进程抽象；处理机进程和存储进程，并实现处理机进程和存储进程的分离，首先分析了构造两类进程抽象（处理机进程和存储进程）并实现二者分离的原因，根据分析提出了实现处理进程和存储进程分离的方法。