一种基于虚拟机的安全隔离与交换系统

文中分析了隔离网闸的原理以及应用中的问题,为实现更高效的安全隔离与数据交换系统,提出了基于一种基于虚拟机监控器体系结构的安全隔离与信息交互系统模型。并基于Xen虚拟机监控器系统,讨论了该模型的实现方式,利用Xen虚拟机体系结构实现不同客户域OS的安全隔离,采用Xen体系的超级调用、异步事件和域间内存共享访问机制,基于虚拟机管理器内部实现的访问控制模块（ACM）执行不同安全域信息受控交换策略,实现了不同客户域OS之间的受控数据交换。分析认为,该系统模型具有足够的安全隔离特性以及零内存拷贝的高效数据交换特性,具有重要的应用参考价值。     

面向网络性能优化的虚拟计算资源调度机制研究

针对基于Xen的vCPU调度机制对虚拟机网络性能的影响进行了深入研究和分析。提出一种高效、准确、轻量级的网络排队敏感类型虚拟机（NSVM）识别方法,可根据当前虚拟机I/O传输特征将容易受到影响的虚拟机进行准确识别和区分。进而设计一种新型虚拟计算资源调度和分配机制Diff-Scheduler,将不同类型虚拟机的vCPU实施分池隔离调度,同时提高NSVM类型虚拟机vCPU的调度频率。原型系统实验结果表明,相比Xen默认的调度机制,Diff-Scheduler能够大幅提高虚拟机网络性能,同时保证计算资源分配的公平性。     

私有云安全云管平台关键技术与应用研究

云技术的发展、私有云的大规模建设,在带来灵活性、可扩展性、集中部署的同时也带来了新的挑战,内部流量不可见、内部虚拟机间缺乏有效隔离手段,使私有云环境面临着新的挑战,私有云环境的安全管理和安全隔离相关的技术成为云计算解决方案中的一个重要部分,安全云管平台为私有云的安全运维、运营、监控提供了便利性,也为私有云安全中心的安全...     

基于虚拟机的可信计算

当前,虚拟机技术和可信计算技术是两大热门技术,可信计算技术是实现信息系统安全的重要手段。是否可以在虚拟机的环境下,通过结合虚拟机和可信计算的技术优势,来实现终端系统与网络的可信,提高整个信息系统的安全？研究了如何设计一个基于虚拟机的可信计算平台安全架构,并进一步研究了虚拟化TPM的问题。同时,分析并总结了TCG定义的可信链技术。在此基础上,提出了虚拟机环境下可信链的实现方法,加强终端系统与网络的安全性。     

虚拟机与宿主机之间的文件访问控制

文中在深入分析Windows环境下VMware Player虚拟机与宿主机之间文件交换机理的基础上,提出采用HIPS技术结合多角色强制访问控制矩阵模型,实现对VMware Player虚拟机安装Windows XP操作系统与宿主机安装Windows XP操作系统之间的可视文件的访问控制,补充和完善了宿主机系统与虚拟机系统之间的安全隔离和封装,为VMware Player虚拟机系统在实际的安全隔离环境中的应用提供了更高的安全保障。     

安全桌面虚拟化信息系统设计与实现

通过对安全桌面虚拟化信息系统设计要求的分析,提出了"白名单"安全机制的安全虚拟化技术、优化设计的虚拟化层安全技术、资源和网络层隔离的虚拟机安全技术,在此基础上构建了安全桌面虚拟化信息系统的总体架构,给出了系统实现和典型应用场景。相关研究可为企业桌面云架构提供一个安全、易管理、低成本的解决方案,进而提高云计算安全核心技术水平,促进自主可控高安全云计算产品的研制。     

一种利用虚拟机隔离驱动故障的方法

针对驱动程序故障率高,易引发系统内核故障的问题,利用虚拟化技术执行环境隔离的特性,设计了一种基于虚拟机的驱动隔离机制。采用将执行应用程序的客户机的驱动由特定的驱动客户机执行的方法,将客户机驱动故障隔离在一个指定的驱动客户机中,避免驱动故障导致应用客户机发生错误,从而保证应用程序的正常运行,提高系统的可靠性。最后,对该方法的功能和性能进行了测试。测试结果表明,基于虚拟机的故障隔离机制能够有效地隔离驱动故障,并且额外开销小,性能损失小。     

战术环境下的虚拟化安全增强方法

在数据中心中,虚拟化的价值已经被大家所公认,但是在战术环境中,虚拟化能否发挥同样的作用呢?答案是肯定的,但是前提是保证它的安全。在战术环境中,虚拟机管理器更容易受到攻击,如果虚拟机管理器和虚拟机之间无法隔离的话,一旦虚拟机管理器被攻击者控制,那么虚拟机也会被控制。本文阐述了虚拟化在战术环境中的优势,同时利用强制访问控制策略保障战术环境中的虚拟化安全。由此实现虚拟化在战术环境下的实际使用。     

Xen虚拟机迁移技术在搬迁中的应用——以内蒙古气象防灾减灾预警中心为例

本文介绍了Xen虚拟机动态迁移技术,并结合内蒙古气象防灾减灾预警中心核心机房业务搬迁的实际应用场景,设计了基于Xen Server虚拟化技术的业务系统搬迁方案。该方案包括搬迁实施的网络条件,构建新资源池的网络规划、存储规划、建池步骤等内容,最后详细介绍了迁移实施的具体步骤,并对迁移过程的经验教训进行了归纳、总结。     

利用可信赖执行技术防范基于hypervisor的rootkit

虚拟化技术的发展和应用,给虚拟机的安全带来了新的威胁和挑战。论文深入研究和分析了针对虚拟机的rootkit攻击以及虚拟机监控软件（hypervisor）面临的安全风险,提出了检测和防范rookit攻击的方法。结合可信赖执行技术（TXT）的特点,给出了防范基于hypervisor的rootkit的方法和步骤,并探讨了虚拟机安全的发展趋势和下一步的研究方向。     

基于密码的云计算虚拟化网络安全研究

虚拟化网络技术是构建新一代的云计算数据中心,为云计算环境提供基础设施支撑的关键。在研究云计算数据中心典型架构与访问应用模式的基础上,从用户安全接入、通信隔离与机密性保护等方面分析了数据中心虚拟化网络的安全需求,提出了虚拟化网络安全技术框架,重点针对基于密码技术强化虚拟化网络安全,保障虚拟机之间的通信保护、信息隔离与安全交换等安全机制进行了分析与设计,提出了一种可供参考的解决方案。     

一种虚拟机系统下关于多级安全的强制访问控制框架II:实现

This paper is a continuation of our last paper [1] which describes the theory of Virt-BLP model. Based on Virt-BLP model, this paper implements a mandatory access control (MAC) framework applicable to multi-level security (MLS) in Xen. The Virt-BLP model is the theoretical basis of this MAC framework, and this MAC framework is the implementation of Virt-BLP model. Our last paper focuses on Virt-BLP model, while this paper concentrates on the design and implementation of MAC framework. For there is no MAC framework applicable to MLS in virtual machine system at present, our MAC framework fills the blank by applying Virt-BLP model to Xen, which is better than current researches to guarantee the security of communication between virtual machines (VMs). The experimental results show that our MAC framework is effective to manage the communication between VMs.     

Enhancing virtual environments with QoS aware resource management

Nowadays, the consolidation of application servers is the most common use for current virtualization solutions. Each application server takes the form of a virtual machine (VM) that can be hosted into one physical machine. In a default Xen implementation, the scheduler is configured to handle equally all of the VMs that run on a single machine. As a consequence, the scheduler shares equally all of the available physical CPU resources among the running VMs. However, when the applications that run in the VM dynamically change their resource requirements, a different solution is needed. Furthermore, if the resource usage is associated with service-level agreements, a predefined equal share of the processor power is insufficient for the VMs. Within the Xen’s primitives, even though it is possible to tune the scheduler parameters, there is no tool to achieve the dynamic change of the share of the processor power assigned to each VM. A combination of a number of primitives, however, appears to be suited as a base for achieving this. In this paper, we present an approach to efficiently manage the quality of service (QoS) of virtualized resources in multicore machines. We evaluate different alternatives within Xen for building an enhanced management of virtual CPU resources. We compare these alternatives in terms of performance, flexibility, and ease of use. We devise an architecture to build a high-level service that combines interdomain communication mechanisms with monitoring and control primitives for local resource management. We achieve this by our solution, a local resource manager (LRM), which adjusts the resources needed by each VM according to an agreed QoS. The LRM has been implemented as a prototype and deployed on Xen-virtualized machines. By means of experiments, we show that the implemented management component can meet the service-level objectives even under dynamic conditions by adapting the resources assigned to the virtualized machines according to demand. With the LRM, we therefore achieve both fine-grain resource allocation and efficient assignment.     

云计算中虚拟机计算环境安全防护方案

提出了一种虚拟机计算环境的安全防护方案,该方案采用虚拟机内外监控相结合的方式对虚拟机的计算环境进行持续、动态的监控和度量,可对虚拟机进行反馈控制,保障虚拟机计算环境的安全,提升虚拟机的动态适应能力。对比现有安全防护案,该方案充分考虑了云计算中虚拟机效率损耗问题,安全性和执行效率较高,适用于虚拟计算环境。     

Research on dynamic migration of virtual machine based on security level

Side-channel attacks were the main ways of multi-tenant information leakage in the cloud computing and data center environments.The existing defense approaches based on dynamic migration of virtual machine have long convergence time of migration algorithm and high migration cost.Hence,a dynamic migration of virtual machine based on security level was proposed.Firstly,security level classification of virtual machines was used to reduce the number of migrating virtual machines.Then the corresponding virtual machines embedding strategy was used to reduce the frequency of virtual machines migration.Simulation experiments demonstrate that the proposed approach can reduce convergence time of migration algorithm and migration cost.     

Multi-tenant virtual domain isolation construction method based on L-DHT

Aiming at the problem of security isolation of multi-tenant data in cloud environment,a tenant virtual domain isolation construction method based on L-DHT was proposed.Firstly,through the design of multi-tenant isolation mapping algorithm based on label-hash mapping,the balanced mapping mechanism of tenant resources was constructed to realize the distributed management of tenant resources.Secondly,for the security isolation and access between tenant data mapped to the same storage node,based on the predicate encryption mechanism,through the effective binding of security labels and tenant data,a tenant data isolation storage algorithm based on label predicate encryption was designed.Finally,by the design of multi-dimensional tenant data isolation control rules and using the analysis and authentication of security labels,independent,logical and secure virtual domains between tenants were built hierarchically.The security analysis shows that the method constructs tenant virtual domains which are secure and non-interference with each other.The simulation results show that the mapping algorithm can achieve a better dynamic load balance.The efficiency and security of data access are verified by the comparative analysis of tenant data retrieval efficiency and authentication access security.     

基于VPE的可信虚拟域构建机制

针对现有可信虚拟域构建方式无法满足云计算灵活配置等特性的问题,结合云计算企业内部敏感数据的防泄漏需求,提出了基于VPE的可信虚拟域构建方法TVD-VPE。TVD-VPE利用分离式设备驱动模型构建虚拟以太网VPE,通过后端驱动截获数据分组,并进行边界安全策略检查,最后对满足策略的数据帧进行加密。同时,还设计了可信虚拟域加入/退出协议确保用户虚拟机安全加入/退出,为边界安全策略的部署设计了面向可信虚拟域的管理协议,同时为高特权用户的跨域访问设计了跨域访问协议。最后,实现了原型系统并进行了功能测试及性能测试,测试结果证明本系统可以有效地防止非法访问,同时系统对Xen的网络性能的影响几乎可以忽略。     

虚拟机技术在高职计算机网络安全教学中的应用研究

文中针对虚拟机技术在高职计算机网络安全教学中的应用进行研究。为确保研究具有实践性,文中结合文献和相关资料,主要研究了虚拟机技术在高职计算机网络安全教学中的应用现状、应用效果、应用中的问题以及具体应用策略。利用虚拟相关技术进行电脑网络安全教学,可以实现教学质量优化的目标。但是,目前还存在教学模式落后、虚拟机技术衔接不顺畅等问题。因此,解决以上两点问题,对于提升网络安全教学的效果有重要的作用。     

系统虚拟化技术性能评测

虚拟化已成为企业数据中心有效整合资源、降低成本的重要技术,并且是云计算平台的重要组成部分。目前在工业界和学术界存在多种可供选择的虚拟化技术,本文首先对物理机和KVM、硬件辅助虚拟化的Xen、Xen半虚拟化、VirtualBox等开源虚拟化技术部署的虚拟机进行了性能基准测试,然后基于测试数据进行深入解读和分析。最后,结合各种虚拟化技术的性能评测结果,针对处理器密集型应用、磁盘I/O密集型应用和网络I/O密集型应用等虚拟化应用场景,为企业和科研用户在不同的应用场景中选择具体的虚拟化技术提出了切实的建议。