虚拟计算平台远程可信认证技术研究

与传统的单机系统按照可信平台模块、可信BIOS、操作系统装载器、操作系统内核的信任链传递方式不同,虚拟化计算环境信任链按照可信平台模块、可信BIOS、虚拟机监控器和管理虚拟机、用户虚拟机装载器、用户虚拟机操作系统装载器、用户虚拟机操作系统内核的方式进行.文章对虚拟计算平台远程完整性验证的安全需求进行了分析.为防止恶意的虚拟机监控器篡改虚拟机的完整性证明,文章提出虚拟机平台和虚拟机管理器两级的深度认证.在对虚拟机认证过程中,远程挑战者需要通过虚拟机或者直接与虚拟平台建立联系来认证平台的虚拟机管理器层.为防止中间人攻击,文章提出将物理平台寄存器映射到各虚拟平台寄存器的方式解决虚拟机与物理平台的绑定问题.     

基于可信轻量虚拟机监控器的安全架构*

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集,利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件,因而存在以下问题：a）虚拟化性能上开销大;b）作为可信集相对比较庞大;c）不能提供有效的信任链证明自身可信性。针对上述问题,提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构,Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器,并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性,并具有代码量小、动态可加载和虚拟化开销小等优点。     

VMSF—一种内核级虚拟机监控器调度框架

虚拟化技术由于具有提高资源利用率、降低系统总体拥有成本等优点得到越来越多的关注。虚拟机成为计算机系统的一种新型应用模式,但虚拟机应用在服务质量保证和协同运行等方面与传统商用操作系统面向的应用不同,虚拟机监控器应针对此类应用的特点设计相应的调度算法。但是,在传统基于宿主操作系统的虚拟化技术中,虚拟机的调度由宿主操作系统的标准调度器完成。本文提出一种不修改宿主操作系统现有调度机制的虚拟机调度扩展框架VMSF,该框架允许第三方自行开发适于虚拟机系统的调度算法。最后通过在Linux上开源的内核级虚拟机监控器KVM上移植Xen的Credit调度器验证了本文研究的有效性。     

设备虚拟化方法研究与实现

针对虚拟机监控器在IO虚拟化方面存在的性能瓶颈,分析了现有IO虚拟化模型存在的问题,提出了一种基于IO处理机的协作型虚拟机监控器。建立了基于IO处理机的IO虚拟化模型,实现了对客户机操作系统IO访问请求的处理,并进一步给出了该方法下从设备发现到功能模拟等关键技术。实验结果表明,基于IO处理机的IO虚拟化模型能够提供更为稳定的系统环境,并能有效提高整个系统性能。     

基于系统虚拟化的安全技术研究

为提高操作系统和应用程序的安全性,研究了系统虚拟化的相关技术,讨论典型的基于系统虚拟化技术的安全技术应用和系统.根据研究目标的软件层次,分别从应用程序安全、操作系统安全和虚拟机监控器自身安全性三方面,对当前的研究现状和未来的发展趋势进行了分析和归纳.设计一种基于系统虚拟化技术实现对恶意软件透明安全的动态调试分析方案,通过在Intel-VT平台上实现系统原型,验证了该方法的可行性和有效性.     

基于本地虚拟化技术的隔离执行模型研究

程序隔离执行是一种将被隔离代码的执行效果与其它应用隔离的安全机制.但是目前的相关研究无法在PC平台下兼顾操作系统隔离与被隔离代码的可用性.针对这个问题,文中提出并实现了一种新的名为SVEE(Safe Virtual Execution Environment)的隔离执行模型.SVEE具有两个关键特性:一是借助基于本地虚拟化技术的系统级虚拟机(SVEEVM)有效实现了非可信代码与宿主操作系统的隔离;二是利用本地虚拟化技术实现了宿主机计算环境在SVEEVM内的重现,保证了被隔离程序在SVEEVM中与在宿主操作系统内的执行效果的一致性.因此,SVEE在保护了宿主操作系统安全的同时,兼顾了隔离执行代码的可用性.测试证明,对于计算密集型应用SVEE虚拟机的性能达到了本地性能的91.23%～97.88%,具有很好的可用性.     

服务器虚拟化安全机制研究

服务器虚拟化技术立足于操作系统和CPU提供的权限控制,由工作在底层的虚拟机监控器为客户机提供资源的实时监控、授权访问、追踪审计等安全功能;同时虚拟机监控器自身采用可信计算技术,实现动态的可信认证;配合其他安全策略规划,服务器虚拟化为客户机提供更好的私密性和完整性保护.     

HybridHP:一种轻型的内核完整性监控方案及其形式化验证

虽然传统的虚拟化监控方法可以在一定程度上保障操作系统安全.然而,虚拟监控器VMM中管理域Domain0的存在以及操作系统级的切换所带来的性能损失是很多具有大型应用的操作系统所不能接受的.注重硬件虚拟化技术的监控能力而摒弃其不必要的虚拟化能力,提出了一个新型的通用的虚拟化监控框架HybridHP,并实现其原型.HybridHP将管理域和虚拟机监控机制两者整合到被监控操作系统的地址空间,具有很好的获取被监控系统操作语义的能力.利用Isabelle/HOL形式化辅助证明工具验证HybridHP的隔离性、安全性和监控能力.最后对HybridHP进行了攻击实验和性能评估,结果显示HybridHP提供了和传统的虚拟化监控方案相同的安全保障,并具有很好的系统性能.     

基于虚拟机的透明计算设备子系统设计及实现*

为解决在现有透明计算系统中磁盘等设备的虚拟化,需要对操作系统进行修改才能在端计算机上运行的问题,提出透明计算系统中一种基于虚拟机技术的设备子系统。以Intel VT硬件级虚拟支持和Xen虚拟化技术为基础, 在全虚拟化的虚拟机上运行用户操作系统: 通过运行在管理域用户空间中设备模型的虚拟磁盘和网络驱动,将用户域访问磁盘和网络的I/O请求跨网络地重定向到服务器进行处理, 从而实现端计算机上多操作系统的远程运行。在VT硬件平台和Xen虚拟机监控器上实现了原型系统,验证了该方法的可行性。     

基于AMD硬件内存加密机制的关键数据保护方案

长期以来,保护应用程序关键数据（如加密密钥、用户隐私信息等）的安全一直是个重要问题,操作系统本身巨大的可信计算基使其不可避免的具有许多漏洞,而这些漏洞则会被攻击者利用进而威胁到应用程序的关键数据安全。虚拟化技术的出现为解决此类问题提供了一定程度的帮助,虚拟化场景下虚拟机监控器实际管理物理内存,可以通过拦截虚拟机的关键操作为应用程序提供保护,而硬件内存加密机制则能够解决应用程序在运行时内存中明文数据被泄露的问题。本文基于虚拟化技术和AMD的硬件内存加密机制,提出了一套高效的关键数据保护方案,并通过应用解耦和技术将关键数据与代码与其余的正常数据与代码分离并置于隔离的安全环境中运行从而达到保护关键数据的目的。测试显示,软件带来的系统性能开销小于1%,关键部分的性能开销小于6%,常见应用的延迟在接受范围内。系统能够成功保护应用程序如私钥等关键数据免受恶意操作系统的读取与Bus Snooping、Cold Boot等物理攻击。     

农机监控调度系统的设计与实现

针对目前农机作业中信息发布滞后、农机资源调度不合理、效率低下等问题,提出一种基于地理信息系统(GIS)、通用分组无线业务(GPRS)及全球定位系统(GPS)技术的农机监控调度系统,运用GPRS数据传输技术和GIS组件MapObjects,实现农机作业信息的即时采集与监控调度。为满足实时计算的需要,采用A-Star寻路算法规划农机的调度路径。应用结果表明,该系统能有效管理和调度农机,提高作业效率。     

基于轻量级虚拟机的透明计算系统

基于虚拟机的透明计算系统MMNC-VX实现了未经修改的操作系统在透明计算环境中可按需加载,但其性能与同配置PC相比有较大差距。针对该问题,提出一种基于轻量级虚拟机的透明计算系统,仅虚拟网络设备,减少了由全虚拟化带来的开销,利用设备模型将用户操作系统的存储I/O请求重定向到服务器上处理,实现透明计算。经测试,原型系统性能与同配置PC基本相当,与MMNC-VX相比有较大提高。     

基于虚拟化的系统安全增强及显卡透传研究

针对个人终端操作系统安全问题,提出一种基于系统虚拟化技术的操作系统安全增强模型,研究提高该模型下KVM虚拟机显示性能的显卡透传技术。实验结果表明,显卡透传技术能够克服虚拟机客户操作系统的显示性能缺陷,使得客户机操作系统能够像真实操作系统一样满足图形显示与处理的应用,适用于终端安全领域。     

基于用户态JVM的安全驱动模型的设计与实现

设备驱动等内核扩展模块被认为是造成操作系统不稳定的主要原因,而目前对操作系统稳定性的研究也主要集中在研究如何将其与内核的主体部分分离.本文结合现有的研究成果,提出了利用用户态的Java虚拟机(JVM)将驱动程序与内核分离的架构.在这样的架构中,驱动程序运行在受限的JVM中,所有驱动程序的错误都将被捕获而不致影响到内核的其他部分.利用这样的架构,在Linux系统下实现了新的USB协议栈,并对其进行了性能测试.测试结果表明,与原内核驱动程序相比,新的驱动架构表现出更高的稳定性,而在性能方面,对于时间和数据量要求不高的设备,其性能与原驱动程序相当接近;而对于需要进行大量数据处理的设备,其性能有一定程度的下降.     

Rethinking the design of virtual machine monitors

A virtual machine monitor is a software system that partitions a single physical machine into multiple virtual machines. Traditionally, VMMs have created a precise replica of the underlying physical machine. Through faithful emulation, VMMs support the execution of legacy guest operating systems such as Windows or Linux without modifications. However, traditional VMMs suffer from poor scalability and extensibility. To overcome the poor scalability and extensibility of traditional virtual machine monitors that partition a single physical machine into multiple virtual machines, the Denali VMM uses paravirtualization to promote scalability and hardware interposition to promote extensibility.     

一种高效的虚拟机快照管理系统

链式虚拟磁盘快照技术是广泛实现的一种支持虚拟机失效恢复的技术手段,针对链式结构磁盘快照技术引入多余I／O请求导致虚拟机性能低效问题,分析和研究了支持高效虚拟机快照实现的无链式关联磁盘快照技术,通过集成ZFS及OCFS2文件系统给出了无链式关联磁盘快照技术实现,并设计和实现了虚拟机快照存储组织模型和快速检索算法,提高了虚拟机快照检索效率．设计试验验证了系统的有效性．     

Optimizing guest swapping using elastic and transparent memory provisioning on virtualization platform

On virtualization platforms, peak memory demand caused by hotspot applications often triggers page swapping in guest OS, causing performance degradation inside and outside of this virtual machine (VM). Even though host holds sufficient memory pages, guest OS is unable to utilize free pages in host directly due to the semantic gap between virtual machine monitor (VMM) and guest operating system (OS). Our work aims at utilizing the free memory scattered in multiple hosts in a virtualization environment to improve the performance of guest swapping in a transparent and implicit way. Based on the insightful analysis of behavioral characteristics of guest swapping, we design and implement a distributed and scalable framework HybridSwap. It dynamically constructs virtual swap pools using various policies, and builds up a synthetic swapping mechanism in a peer-to-peer way, which can adaptively choose different virtual swap pools.We implement the prototype of HybridSwap and evaluate it with some benchmarks in different scenarios. The evaluation results demonstrate that our solution has the ability to promote the guest swapping efficiency indeed and shows a double performance promotion in some cases. Even in the worst case, the system overhead brought by HybridSwap is acceptable.     

Intel virtualization technology

A virtualized system includes a new layer of software, the virtual machine monitor. The VMM's principal role is to arbitrate accesses to the underlying physical host platform's resources so that multiple operating systems (which are guests of the VMM) can share them. The VMM presents to each guest OS a set of virtual platform interfaces that constitute a virtual machine (VM). Once confined to specialized, proprietary, high-end server and mainframe systems, virtualization is now becoming more broadly available and is supported in off-the-shelf systems based on Intel architecture (IA) hardware. This development is due in part to the steady performance improvements of IA-based systems, which mitigates traditional virtualization performance overheads. Intel virtualization technology provides hardware support for processor virtualization, enabling simplifications of virtual machine monitor software. Resulting VMMs can support a wider range of legacy and future operating systems while maintaining high performance.     

基于无干扰理论的虚拟机可信启动研究

云计算作为一种新型高价值计算系统,目前被广泛应用于各行业领域;等保2.0中也提出了对其应用主动免疫可信计算技术进行动态可信验证的要求.云计算模式下,虚拟机作为用户使用云服务的直接载体,其可信启动是虚拟机运行环境可信的基础.但由于虚拟机以进程的形式运行在物理节点上,其启动过程呈现出高动态性,且多虚拟机域间存在非预期干扰等特点;而现有的虚拟机可信启动方案存在虚拟机启动过程的动态防护性不足、缺乏多虚拟域间非预期干扰性排除等问题.针对上述问题,提出一种基于无干扰理论的虚拟机可信启动研究方案.首先,基于无干扰理论,提出了虚拟机进程的运行时可信定理;进一步地,给出了虚拟机可信启动的定义并证明了虚拟机可信启动判定定理.其次,依据虚拟机可信启动判定定理,基于系统调用设计监测控制逻辑,对虚拟机启动过程进行主动动态度量与主动控制.实验结果表明所提方案能够有效排除复杂云环境下多虚拟机间非预期干扰,保证虚拟机启动过程的动态可信性,且性能开销较小.     

Xen虚拟机的虚拟CPU松弛协同调度方法

目前,Xen虚拟机调度算法均采用独立调度虚拟CPU的方式,而没有考虑虚拟机各虚拟CPU之间的协同调度关系,这会使虚拟机各个虚拟CPU之间产生很大的时钟中断数量偏差等问题,从而导致系统不稳定.为了提高系统的稳定性,基于Credit算法提出了一种比RCS(relaxed co-scheduling)算法更松弛的协同调度算法MRCS(more relaxed co-scheduling).该算法采用非抢占式协同调整方法将各个虚拟CPU相对运行的时间间隔控制在同步时间检测的上限门限值Tmax之内,同时利用同步队列中虚拟CPU优化选择调度方法和Credit算法的虚拟CPU动态迁移方法,能够更加及时地协同处理虚拟CPU,并且保证了各个物理CPU的负载均衡,有效地减少客户操作系统与VMM的环境切换次数,降低了系统开销.实验结果证明该方法不但保证了系统的稳定性,而且使系统性能得到一定程度的提升.虚拟机调度算法不仅影响虚拟机的性能,更会影响虚拟机的稳定性,致力于虚拟机调度算法的研究是一项非常有意义的工作.