基于Xen的虚拟化访问控制研究综述

虚拟化作为云计算的核心技术,在广泛应用与迅速发展的同时,其安全威胁也日益凸显,严重阻碍了虚拟化的发展,是亟待解决的重要问题。学术界提出各种解决方案,其中访问控制技术作为虚拟化安全的重要屏障,获得广泛关注和研究。首先回顾了访问控制技术的发展及其对比,其次分析了Xen虚拟化环境中的安全问题以及所采用的访问控制技术,最后对目前国内外虚拟化安全访问控制的研究进行了总结。     

Xen中Credit调度算法的优化

在系统级虚拟机中,一个高效的调度算法可以显著提高硬件资源的利用率。Xen-q-以对半虚拟化Guest操作系统有效调度。但在Xen的全虚拟化环境中,由于Xen统对Guest操作系统的运行情况无法直接了解,因此无法对对全虚拟化的Guest操作系统做出有效的调度。该文主要对目前Xen中使用的Credit调度算法进行了如下改进：在全虚拟化Guest操作系统上运行反馈进程,该进程会向Xen反馈系统的负载状态,从而优化Xen对CPU资源的分配。     

基于Xen的Qubes操作系统技术架构及安全性能分析

伴随着大数据和云时代的到来,虚拟化技术的应用已经越来越成熟。如何运用虚拟化技术给终端客户提供一个安全稳定高效的桌面环境,成为了一个日益热门的话题。Qubes系统利用新一代的硬件技术和虚拟化技术实现物理宿主机的隔离能力,从系统层面对木马病毒和恶意代码进行了防范和遏制,一定程度上解决了系统安全领域的木桶问题。此外,应用虚拟化技术提高安全性能的同时还可能带来那些问题和隐患,也应该引起我们足够的重视。     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

一种基于Xen的信任虚拟机安全访问设计与实现

结合信任计算技术与虚拟化技术,提出了一种基于Xen的信任虚拟机安全访问机制,为用户提供了一种有效的安全访问敏感数据的模式。其核心思想是利用虚拟机的隔离性,为数据信息应用提供一个专用的隔离环境,同时利用信任计算技术保证该虚拟平台配置状态的可信性。     

XHydra:面向虚拟机Xen的安全增强架构

针对开源虚拟化平台Xen的管理虚拟机Dom0服务臃肿和可信计算基庞大等问题,提出了一种基于Xen的安全虚拟机架构XHydra。该架构采用微内核的设计思想和最小特权安全理论,将Dom0分离成多个功能独立、相互隔离且具有最小特权的迷你服务域,并设计了一个服务监视器进行管理。服务监视器通过构建用户虚拟机与迷你服务域之间设备通信的专用通道,实现用户虚拟机和迷你服务域之间的双向隔离。最后基于Xen4.4开发了XHydra的原型系统,提高了平台的安全性,验证了架构的可行性。同时,针对虚拟化平台的存储性能和网络性能进行基准测试,实验结果表明所提方案性能相对于原始Xen仅降低了3%。     

Xen硬件虚拟化下一种客户机进程追踪技术

Xen硬件虚拟化(HVM)是运行于Xen Hypervisor上, 无需修改客户操作系统内核便可实现虚拟化的技术. 但Xen HVM在提升用户体验的同时, 也造成了VMM对客户机的干涉和理解程度的降低, 丧失了进程粒度级别的管理能力. 鉴于此, 提出了一种针对Xen HVM客户机的轻量级进程追踪技术原型Xen HPT. 借助VMM掌握的客户机ESP寄存器信息, 从客户机外部隐式捕获其实时进程信息. 实验证明, 该技术是一种追踪客户机进程的有效方法.     

基于QEMU的Xen文件系统加解密设计

针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。     

VMware和Xen虚拟网络性能比较

随着个人计算机处理能力的增强,虚拟化技术成为计算机系统的发展趋势。VMware和Xen是两种典型的硬件抽象层虚拟化软件,通过实验比较了它们的虚拟网络的性能。Xen的虚拟网络性能与真实主机(Physical)接近,而且比VMware Workstaion虚拟网络的性能要好。     

文件支持的Xen存储虚拟化研究

基于文件的虚拟磁盘存储是虚拟机技术实现的重要一环,为了提高虚拟机磁盘读写效率,着重研究了Xen基于文件的磁盘虚拟化,分析利用异步I/O技术提升虚拟机对虚拟磁盘的读写速度,同时阐述了不同格式的虚拟磁盘文件做为虚拟存储设备的优劣。     

基于Xen的私有云

为了充分利用企业分布在不同系统的基础设施,保护企业的核心数据,提供一个统一的安全的运行接口和运行环境,避免为每个系统重新部署、设计的重复繁杂工作,一个较好的解决方案是构建企业私有云.本文分析了私有云的架构及其优势,例如拓扑结构、缓存机制、负载均衡策略和存储池设计,通过物理机集群技术和Xen虚拟化技术,设计基于Xen的私有云基础设施,为用户提供统一的、简单的结构界面.     

Xen虚拟机资源调度优化算法

针对Xen虚拟化平台中虚拟机资源分配不合理的问题,提出了两种资源调度优化算法,即细粒度优化算法和粗粒度优化算法.细粒度优化算法主要解决单个物理节点上虚拟机资源分配不合理问题,能够根据物理节点上运行的各虚拟机的资源利用情况来调整资源分配量,适当增加利用率较高的虚拟机的资源,减少资源利用率低的虚拟机的资源,从而优化资源分配,提高资源利用效率,避免不必要的虚拟机迁移.粗粒度优化算法是针对集群中多个物理节点之间虚拟机负载不均衡问题而提出的.该算法结合粒子群优化技术,选择将集群系统中热点物理机上的部分虚拟机迁移到最适合的冷点物理机上,从而避免高载物理机宕机.实验结果表明,这两种资源调度优化算法能够有效解决虚拟机资源分配不合理的问题,具有较好的适用性和应用前景.     

提升缓存效率的Xen虚拟机调度优化

Xen4.1发布的两个调度算法,都无法在服务器多任务虚拟化时得到好的性能。首先分析虚拟机上运行的3种任务的特点及要求,然后提出优化方法:将I/O任务按已消耗时间排序,优先调度消耗时间少的I/O任务,并记录缓存关联计算型任务,以保持运行时缓存的一致性,最终在保证I/O响应和带宽性能的基础上显著提高了缓存性能。     

Xen系统中CPU间歇性故障的自适应策略

Xen虚拟化环境没有考虑CPU的间歇性故障带来的影响。基于此,建立模拟CPU间歇性故障的时间模型,在该模型下未修改的Xen系统中的虚拟机会立刻崩溃。提出一种自适应的策略来改进Xen的CPU调度,该策略主动跟踪CPU的状态变化,将发生故障的CPU上的虚拟处理器迁移到可用的其他CPU上。实验结果表明,当CPU间歇性故障频繁发生时,应用该策略可以使虚拟机继续稳定地工作,性能平滑地降低。     

Xen虚拟机间的磁盘I/O性能隔离

针对当前的虚拟化技术无法使各个虚拟机平等地或按特定比例地共享磁盘带宽、无法保证虚拟机间的I/O性能隔离的问题,基于Xen半虚拟化技术中的块IO请求处理过程,提出一种适用于Xen虚拟机间的磁盘I/O性能隔离算法-XIOS(XenI/O Scheduler)算法,在通用块层调度各虚拟机的块IO操作(bio结构),在I/O调度层保障延迟需求.实验结果表明该算法有效地在虚拟机间按比例地分配磁盘带宽.     

基于体系结构扩展的云计算安全增强研究

近年来,云计算的安全问题得到了广泛的关注。由于云计算模式的共享、外包和开发的特性,用户并不拥有对计算和数据的完全控制;相反,云平台内部的恶意系统管理员可在用户不知情的情况下窃取或篡改用户的关键数据。研究者们为保护云计算数据的隐私性与完整性,对体系结构进行了扩展,尝试缩小云安全所依赖的软硬件栈。本文阐述了这些研究中采用的主要技术类型,包括内存隔离增强、安全处理器加密等。