基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即,在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其他所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,...     

基于硬件虚拟化的虚拟机文件完整性监控

为保护虚拟机敏感文件的完整性,针对外部监控中基于指令监控方式性能消耗大、兼容性低和灵活性差等缺点,提出一种基于硬件虚拟化的文件完整性监控（OFM）系统。该系统以基于内核的虚拟机（KVM）作为虚拟机监视器,可动态实时地配置敏感文件访问监控策略;OFM可修改虚拟机系统调用表项以透明拦截文件操作相关系统调用,以监控策略为依据判定虚拟机进程操作文件的合法性,并对非法进程进行处理。在虚拟机中采用性能测试软件Unixbench进行仿真,其中OFM在文件监控方面优于基于指令的监控方式,且不影响虚拟机其他类型系统调用。实验结果表明,OFM可以有效地监控虚拟机文件的完整性,具有更好的兼容性、灵活性和更低的性能损耗。     

基于硬件虚拟化的内核同层多域隔离模型

为了解决内核不可信带来的问题,很多工作提出了同层可信基的架构,即在内核同一硬件特权水平构建可部署安全机制的唯一保护域.但是,实际过程中往往面临多样化的安全需求,将多种对应的安全机制集中于唯一的保护域必然导致只要其中任何一个安全机制被攻陷,同一个保护域内其它所有安全机制都可能被攻击者恶意篡改或者破坏.为了解决上述问题,本文提出了内核同层多域隔离模型,即在内核同一硬件特权水平构建多个保护域实现了不同安全机制的内部隔离,缓解了传统方法将所有安全机制绑定在唯一保护域带来的安全风险.本文实现了内核同层多域隔离模型的原型系统Decentralized-KPD,其利用硬件虚拟化技术和地址重映射技术,将不同安全机制部署在与内核同一特权水平的多个保护域中,并不会引起较大的性能开销.总体而言,实验结果展示了内核同层多域隔离模型的安全性和实用性.     

在硬件基础上的USB设备虚拟化的研究

随着IT技术的不断完善,为了对硬件的利用率最大化,科研人员开始将目光转向虚拟化上来。通过从虚拟化技术的描述、硬件虚拟化两个方面来对虚拟化技术进行论述,其次对USB设备及驱动框架进行分析,最后在此基础上利用USB设备直接分配法实现USB设备虚拟化。     

一个基于硬件虚拟化的内核完整性监控方法

对操作系统内核的攻击就是通过篡改关键数据和改变控制流来危及操作系统的安全。已有的一些方法通过保护代码完整性或控制流完整性来抵御这些攻击,但是这往往只关注于某一个方面而没有给出一个完整的监控方法。通过对内核完整性概念的分析,得出了在实际系统中保证内核完整性需要的条件:保障数据完整性,影响系统功能的关键数据对象只能由指定的代码在特定情况下修改;保障控制流完整性,保护和监控影响代码执行序列改变的所有因素。并采用硬件虚拟化的Xen虚拟机监控器实现对Linux内核的保护和监控。实验结果证明,该方法能够阻止外来攻击和本身漏洞对内核的破坏。     

基于AMD硬件内存加密机制的关键数据保护方案

长期以来,保护应用程序关键数据（如加密密钥、用户隐私信息等）的安全一直是个重要问题,操作系统本身巨大的可信计算基使其不可避免的具有许多漏洞,而这些漏洞则会被攻击者利用进而威胁到应用程序的关键数据安全。虚拟化技术的出现为解决此类问题提供了一定程度的帮助,虚拟化场景下虚拟机监控器实际管理物理内存,可以通过拦截虚拟机的关键操作为应用程序提供保护,而硬件内存加密机制则能够解决应用程序在运行时内存中明文数据被泄露的问题。本文基于虚拟化技术和AMD的硬件内存加密机制,提出了一套高效的关键数据保护方案,并通过应用解耦和技术将关键数据与代码与其余的正常数据与代码分离并置于隔离的安全环境中运行从而达到保护关键数据的目的。测试显示,软件带来的系统性能开销小于1%,关键部分的性能开销小于6%,常见应用的延迟在接受范围内。系统能够成功保护应用程序如私钥等关键数据免受恶意操作系统的读取与Bus Snooping、Cold Boot等物理攻击。     

基于硬件虚拟化技术的隐藏进程检测技术*

随着越来越多的PC用户习惯于从互联网上下载和执行各类软件,潜在的自隐藏恶意代码已成为亟待解决的安全问题,而进程隐藏是这类恶意代码最常用也是最基本的规避检测的自隐藏技术。针对这个问题,提出了一种新的基于硬件虚拟化技术的隐藏进程检测技术——Libra。Libra通过构造一个轻量级的虚拟机监视器（libra virtual machine monitor,LibraVMM）实现了从虚拟层隐式获取真实进程列表（true process list, TPL）的新技术。与已有的基于虚拟机技术的解决方案相比,Libra     

虚拟环境下硬件事务内存辅助的同步机制

在虚拟化系统中,双重调度问题普遍存在。过度负载的现象进一步加剧了双重调度问题,造成了不可忽视的性能下降。如何在保护系统公平性的同时,缓解双重调度问题带来的负面影响,提高系统的整体性能,成为一个重要的课题。通过研究双重调度引发的同步机制效率问题,结合硬件事务内存的特点,为虚拟机内核设计了新的同步机制SPINRTM。一方面,SPINRTM基于硬件事务内存不可被打断的特性,保护了虚拟机内的临界区间,使其不被打断,有效缓解了双重调度问题;另一方面,SPINRTM结合了传统的排队自旋锁,保护了硬件事务内存的运行效率,也维护了系统的公平性。测试证明,在超负载的情况下,SPINRTM能够在保护系统公平性的同时,提高系统的整体性能。     

基于硬件虚拟化实现多结点单一系统映像

实现多结点单一系统映像SS(ISingle System Image)是并行计算机体系结构研究的一个重要方向。当前,国内、外关于SSI的大量研究工作是在中间件层(MiddlewareLevel)开展的,存在透明性较差和性能较低等问题。提出了一种实现多结点SSI的新方法,即利用硬件虚拟化技术,在操作系统OS(Operating System)之下构建分布式虚拟机监视器DVMM(Distributed Virtual Machine Monitor),DVMM由各结点之上的VMM(Virtual Machine Monitor)共同组成,各VMM完全对称;通过各结点的VMM之间协作,实现多结点系统资源的感知、整合、虚拟化和呈现,使多结点对OS呈现为SSI;通过DVMM与OS配合,实现在多结点系统上透明地运行并行应用软件。同现有方法相比,所述方法具有透明性好、性能较高、应用面广和实现难度适中等优势。     

基于Citrix XenApp的高校校园网应用虚拟化设计及研究

针对高校校园网络环境下传统计算机应用软件使用和管理中存在的问题,分析了虚拟化及应用虚拟化技术的原理,比较了当前较为成熟的各种技术,设计出基于Citrix XenApp的高校校园网应用虚拟化系统解决方案,重点解决了校园网中软件安装、软件兼容性、软件升级、软件安全性等问题,并研究了应用虚拟化技术优势及其使用过程中应注意的硬件兼容性、应用软件授权等问题。应用虚拟化可以较好地解决目前校园网中软件管理及使用中所面临的大多数问题。     

提高存储资源利用率的存储虚拟化技术研究

随着存储数据的爆炸式增长,存储空间的迫切需求,虚拟存储技术已经广泛应用到存储系统中.根据操作系统中内存管理的虚拟内存机制,将其扩展引入到整个存储系统的管理中,并与传统的存储虚拟化技术相结合,提出了双层次存储虚拟化的结构,实现了逻辑层和虚拟层的双层虚拟,以屏蔽存储设备的异构性,极大提升存储资源利用率.     

企业级私有云中的虚拟化实现

在云存储的概念被提出之后,虚拟化技术在云存储系统中得到了广泛的应用,出现了全新的数据中心部署和管理方式。实现了一个企业级私有云存储系统WFS,在WFS云存储系统的四层架构中,分别采用了统一存储管理、虚拟路径、数据与元数据分离、云存储接口、多路径访问等虚拟化技术。通过对该系统进行分析,说明了虚拟化技术在云存储系统中的应用方式、特点以及在提高资源利用率、增强系统安全性、易用性等方面的重要作用。     

基于特征选择的虚拟化系统语义鸿沟桥接研究

虚拟化系统的强隔离性质在为安全机制部署提供可靠环境的同时,也引入了语义鸿沟问题。针对现有研究普遍依赖的软件体系结构信息、数据结构和控制流容易被窜改,采用的检测算法在客户机状态识别方面效率较低等问题,设计了特征构造和窗口标记的方法对虚拟机数据进行预处理,以满足实施数据挖掘的必要条件,建立了基于特征选择的虚拟化系统语义鸿沟桥接模型,能够仅依赖硬件体系结构数据构建虚拟机执行模式并进行安全检测。实验结果表明,所设计的系统模型能够筛选出关键的虚拟机特征,并有效地识别出客户机异常行为,提高语义鸿沟的桥接效率,为处理语义鸿沟问题提供了一种可行方案。     

云计算虚拟化技术的发展与趋势

云计算是一种融合了多项计算机技术的以数据和处理能力为中心的密集型计算模式,其中以虚拟化、分布式数据存储、分布式并发编程模型、大规模数据管理和分布式资源管理技术最为关键。经过十多年的发展,云计算技术已经从发展培育期步入快速成长期,越来越多的企业已经开始使用云计算服务。与此同时,云计算的核心技术也在发生着巨大的变化,新一代的技术正在改进甚至取代前一代技术。容器虚拟化技术以其轻便、灵活和快速部署等特性对传统的基于虚拟机的虚拟化技术带来了颠覆性的挑战,正在改变着基础设施即服务（IaaS）平台和平台即服务（PaaS）平台的架构和实现。对容器虚拟化技术进行深入介绍,并通过分析和比较阐述容器虚拟化技术和虚拟机虚拟化技术各自的优势、适应场景和亟待解决的问题,然后对云计算虚拟化技术的下一步研究方向和发展趋势进行展望。     

基于完全虚拟化的安全监控技术探析

近几年来随着计算机虚拟化技术的迅速发展,基于完全虚拟化技术的安全监控应运而生,它不仅能确保监控工具的有效性、牢固性,而且监控技术易于实现.本文将从安全监控架构中内核、内核可加戢模块两个方面存在的问题对基于完全虚拟化的安全监控技术进行探析.     

基于虚拟化与分布式技术的存储系统

介绍了一套基于云计算(cloud computing)技术的数据应用平台系统设计方案。该系统由多组服务器集群组成,可提供数据存储、备份和并行运算服务。并可采用虚拟化应用端与分布式(Hadoop)技术相结合的方式为用户提供高容量和异构应用存储系统,以便结合iSCSI协议在硬件层获得更灵活的部署。     

基于利用率提升的服务器虚拟化技术应用探讨

企业的IT基础设施越来越多,由于服务器设备的增加,导致企业的中心机房管理难度越来越大,在这种情况下服务器虚拟化技术应运而生,服务器虚拟化技术能极大的提高企业数据利用率和管理水平.文章重点介绍了服务器虚拟化技术及其在企业数据中心的应用.