云计算中动态可信平台模块的实现

针对目前在云计算环境中用户虚拟计算环境不可信的问题,利用可信平台模块虚拟化技术,在云服务器端为用户构造一个虚拟可信平台模块,然后以虚拟可信平台模块为基石,为用户在云服务器端构造了一个虚拟的可信计算环境,从而使现有的云计算用户中虚拟计算环境的可信情况获得了有效保障。通过与现有的可信平台模块虚拟化方案作对比发现,所提方案不仅周全地考虑了在云计算中虚拟机效率损耗的相关问题,而且相较显著提高了它的安全性和执行效率,更加适合被应用于用户虚拟计算环境。     

基于扩展LS的可信虚拟平台信任链分析

针对可信虚拟平台信任链的形式化分析问题,建立了包括虚拟机和虚拟信任根在内的可信虚拟平台完整的信任链模型,并详细定义其应满足的信任属性,通过扩展LS2,验证了可信虚拟平台信任链模型能够有条件地满足其正确性、唯一性。对实例系统分析表明本文所建立信任链模型的通用性及基于扩展LS2分析方法的有效性。     

基于信任扩展的可信虚拟执行环境构建方法研究

为保护虚拟机运行环境及上层服务软件的完整性、安全性,提出了一种基于信任扩展的可信虚拟执行环境的构建方法.首先,建立物理平台配置寄存器(PCR,platform configuration register)与虚拟PCR的映射关系,以此实现虚拟可信平台模块(vTPM)与底层可信计算基的绑定;其次,利用本地vTPM管理器签...     

基于虚拟机的可信计算

当前,虚拟机技术和可信计算技术是两大热门技术,可信计算技术是实现信息系统安全的重要手段。是否可以在虚拟机的环境下,通过结合虚拟机和可信计算的技术优势,来实现终端系统与网络的可信,提高整个信息系统的安全？研究了如何设计一个基于虚拟机的可信计算平台安全架构,并进一步研究了虚拟化TPM的问题。同时,分析并总结了TCG定义的可信链技术。在此基础上,提出了虚拟机环境下可信链的实现方法,加强终端系统与网络的安全性。     

基于可信计算的可信应用研究

探讨了基于可信计算的可信应用目前缺乏的主要原因,深入剖析了基于虚拟机的可信平台和基于可信计算的可信Web服务体系结构、工作机制和应用流程,以及简要介绍了可信计算在AdHoc、传感器网络、网格计算、数字版权管理和RFID中的可信应用。通过对可信计算应用的研究,为推动可信计算技术的广泛应用具有重要的意义,最后对可信计算技术的应用进行了展望。     

应用于云中MapReduce计算的动态资源调度算法

越来越多的MapReduce计算由运行在云中虚拟机组成的虚拟集群完成,为增强虚拟MapReduce集群计算中任务的数据本地性,充分利用云计算的资源可动态配置的优势,提出了一种基于队列的动态资源调度算法,并模拟了云计算平台进行测试,实验结果表明动态资源调度算法提高了虚拟MapReduce集群的计算性能.     

云计算中虚拟机计算环境安全防护方案

提出了一种虚拟机计算环境的安全防护方案,该方案采用虚拟机内外监控相结合的方式对虚拟机的计算环境进行持续、动态的监控和度量,可对虚拟机进行反馈控制,保障虚拟机计算环境的安全,提升虚拟机的动态适应能力。对比现有安全防护案,该方案充分考虑了云计算中虚拟机效率损耗问题,安全性和执行效率较高,适用于虚拟计算环境。     

基于VPE的可信虚拟域构建机制

针对现有可信虚拟域构建方式无法满足云计算灵活配置等特性的问题,结合云计算企业内部敏感数据的防泄漏需求,提出了基于VPE的可信虚拟域构建方法TVD-VPE。TVD-VPE利用分离式设备驱动模型构建虚拟以太网VPE,通过后端驱动截获数据分组,并进行边界安全策略检查,最后对满足策略的数据帧进行加密。同时,还设计了可信虚拟域加入/退出协议确保用户虚拟机安全加入/退出,为边界安全策略的部署设计了面向可信虚拟域的管理协议,同时为高特权用户的跨域访问设计了跨域访问协议。最后,实现了原型系统并进行了功能测试及性能测试,测试结果证明本系统可以有效地防止非法访问,同时系统对Xen的网络性能的影响几乎可以忽略。     

基于CloudStack和OpenStack的KVM虚拟机跨平台迁移方法

在CloudStack平台与OpenStack平台共存的环境中,为了使CloudStack平台中已创建的KVM虚拟机在迁移到OpenStack平台后可以被OpenStack平台的控制节点正确识别并接管,提出了一种将CloudStack平台中已经存在的虚拟机动态迁移到OpenStack平台的方法。通过将传统基于本地存储的KVM虚拟机迁移方法与CloudStack以及OpenStack云计算平台自身特点相结合,重新对虚拟机迁移相关文件进行组合,实现了虚拟机跨平台的动态迁移。实验结果表明,本方法不但可以完成将KVM虚拟机成功从CloudStack平台迁移到OpenStack平台的任务,而且在时间上与传统方法相比并未产生其他时间成本。     

云计算虚拟化技术研究

本文对云计算虚拟化技术的概念及其发展现状进行了阐述,并对虚拟化技术在云计算中的应用进行了具体分析。虚拟化技术包括虚拟整合、虚拟拆分和虚拟迁移。云计算使用虚拟整合技术将云平台中异构的物理资源整合成一个资源池,方便对资源的管理和分配;虚拟拆分将每台服务器拆分为多个虚拟机,通过虚拟桌面技术,每个用户能独占一个虚拟机,运行自己的应用,互不影响;虚拟迁移技术能够帮助云平台进行负载均衡和节约运行成本。最后对几种虚拟软件的性能进行了测试对比,分析了虚拟化带来的资源损耗问题。     

基于云计算环境下的数据安全保护技术分析

文中主要以目前云计算环境下数据安全现状为切入点,通过基于虚拟化架构的可信云计算平台、数据备份策略及基于矩阵乱序的数据部分加密方案措施探讨安全保护技术,研究结果显示用户数据安全相当于以往提升至70％,安全系数的增长说明本文研究的数据安全保护技术方案完全可行.尤其虚拟化架构的可信云计算平台在建立用户与虚拟机关联后,仅使用数字信封便能封存虚拟机,用户访问或使用资源时通过PKI中间件使用用户的私钥解密虚拟机中的数字信封,最大程度保证数据完整性和安全性.     

基于虚拟机的操作系统开发

首先对Minix系统进行了简要介绍,然后阐述了虚拟机系统的结构、虚拟技术的分类及Bochs虚拟机软件,接下来描述了基于Bochs的操作系统开发平台的具体安装及配置过程,最后给出了一个具体的操作系统开发实例.     

移动IPv4/IPv6虚拟机迁移系统设计

为充分利用异构网络资源建设云计算基础平台,满足云计算平台的资源需求,文中设计了一种基于隧道技术、前缀管理、地址池管理协作及移动IP的IPv4/IPv6虚拟机迁移过渡框架.框架将传统IPv4/IPv6过渡技术与移动IP技术应用于云计算平台的虚拟机迁移,利用过渡控制引擎作为核心与开发的IPv4/IPv6插件交互完成虚拟机迁移.经实验验证框架建立的网络结构可向客户端跨IPv4/IPv6网络提供云计算服务适用于IPv4虚拟机与IPv6虚拟机之间的无缝迁移.该框架可应用于IPv4/IPv6过渡期间云计算基础平台建设.     

基于虚拟技术的网络安全攻防模拟平台设计

为实现网络安全实战攻防仿真、提升虚拟网络连通性，设计基于虚拟技术的网络安全实战攻防仿真模拟平台。采用KVM系统设计虚拟网络层，调用驱动生成虚拟网络环境，通过QEMU处理器完成虚拟机设计，将虚拟机操作接口提供给流量模拟层；根据最优攻击策略模拟结果确定防御方的最优防御策略，利用攻击工具库生成网络攻击流程；在Web界面层生成目标虚拟网络，并构建虚拟网络环境相关数据存储于数据存储层。实验结果表明，平台构建所消耗的时间少，且具有较高的网络连通性，可实现网络安全实战攻防仿真目的。     

面向网络性能优化的虚拟计算资源调度机制研究

针对基于Xen的vCPU调度机制对虚拟机网络性能的影响进行了深入研究和分析。提出一种高效、准确、轻量级的网络排队敏感类型虚拟机（NSVM）识别方法,可根据当前虚拟机I/O传输特征将容易受到影响的虚拟机进行准确识别和区分。进而设计一种新型虚拟计算资源调度和分配机制Diff-Scheduler,将不同类型虚拟机的vCPU实施分池隔离调度,同时提高NSVM类型虚拟机vCPU的调度频率。原型系统实验结果表明,相比Xen默认的调度机制,Diff-Scheduler能够大幅提高虚拟机网络性能,同时保证计算资源分配的公平性。     

考虑虚拟机间性能互扰的虚拟资源分配方法

提出了一种考虑虚拟机间性能互扰的虚拟资源分配方法.构建了虚拟机性能互扰度量模型,并给出了基于虚拟机负载模式的性能互扰度预测方法.在此基础上将对虚拟机间性能互扰的预测结果应用于资源分配方案性能互扰评价中,以作为虚拟资源分配的依据,能够有效保证虚拟资源分配方案的有效性.实验结果表明,和已有方法相比,提出的虚拟资源分配方法能够保证虚拟机上所部署应用的执行性能.     

基于MDA-FHMIPv6的云计算虚拟机迁移系统

为了充分利用IPv6网络资源建设云计算基础平台,设计了一种基于改进FHMIPv6的MDA-FHMIPv6协议IPv6虚拟机在线迁移系统.利用设计的云计算控制引擎为核心转换连接IPv6网络完成虚拟机在线迁移,并向客户端提供云计算服务.该云计算控制引擎联合特权虚拟机实现了基于FHMIPv6的MAP动态自适应功能.经实验验证该系统可应用于IPv6网络云计算基础平台建设,并提高云计算环境中的虚拟机迁移效率.     

基于策略的计算平台可信证明

 计算平台状态可信证明是可信计算研究的热点问题.基于系统策略的计算平台状态可信证明模型(Policy Based Trustworthiness Attestation Model,PBTAM)可以解决目前计算平台可信证明方法中存在的平台隐私保护等重要问题.PBTAM认为计算平台的状态是否可信与其系统可信传递策略紧密相关,如果证明平台的系统可信传递策略符合质询方的期望,那么该证明平台对于质询方是可信的.PBTAM在可信计算平台技术规范基础上,通过对证明平台的系统可信传递策略进行度量和验证,实现计算平台的可信证明.本文在对实际生产系统应用安装状态采样、统计和分析的基础之上,对PBTAM的性能进行了总结,证明了该模型的实际可行性和有效性.     

云计算平台生存性研究

本文主要研究云计算平台的生存性问题,设计并提出一种云计算平台生存性机制,利用虚拟化技术把硬件环境与运行系统进行强隔离后,通过把虚拟机迁移到稳定可靠的硬件设备上来保证虚拟机承载的服务的可用性,以提升云计算平台在大规模系统故障发生的情况下的存活能力。具体工作包括设计基于基础设施运行状况的实时监控、基于虚拟机的调度优化、云服务的自动迁移调度和服务自动恢复、以及在异常出现情况下的预警和告警的机制。本文的主要贡献包括确立了云计算平台的生存性需求,提出了基于虚拟资源迁移的生存性机制以及实现并整合生存性机制到现有的Vebula私有云基础设施平台。     

基于密码卡的虚拟化可信平台设计

虚拟化技术实现了云中硬件资源的共享,但也给主机安全带来了新的挑战。从虚拟化环境中主机系统的可信性需求出发,针对传统设计的TPM模块在虚拟化环境中性能和资源的不足,提出利用性能更高、易于灵活扩展的PCI-E接口密码卡替代传统TPM的方法。结合密码卡、虚拟化技术和可信服务功能构建一个高性能的虚拟可信平台,为虚拟平台上的应用提供可信度量、可信存储服务,从而有效地解决云端服务器的安全、可信问题。