共查询到20条相似文献,搜索用时 31 毫秒
1.
2.
针对Xen虚拟机磁盘镜像文件以明文方式存储的问题,提出了一种Xen镜像文件实时加解密方案。采用了透明加解密方法,在Xen的模拟处理器QEMU(Quick EMUlator)中加入了加解密模块,对虚拟机磁盘镜像进行了实时加解密,解决了Xen虚拟机用户的磁盘数据安全威胁问题。通过对比测试未加密和加密的虚拟机,验证了该方法的有效性和性能可靠性。 相似文献
3.
4.
5.
随着虚拟化广泛应用于如云计算等各种领域,渐渐成为各种恶意攻击的目标.虚拟机的运行时安全是重中之重.针对此问题,提出一种适用于虚拟化环境下的监测方法,并且在Xen中实现虚拟机的一个安全监测原型系统.通过这个系统,特权虚拟机可以对同一台物理机器上的大量客户虚拟机进行动态、可定制的监控.特别地,本系统对于潜伏在操作系统内核中的rootkit的检测十分有效.这种安全监测方法能有效提高客户虚拟机以及整个虚拟机系统的安全性. 相似文献
6.
7.
8.
针对在传统特权虚拟机中利用虚拟机内省实时监测其他虚拟机内存安全的方法不利于安全模块与系统其他部分的隔离,且会拖慢虚拟平台的整体性能的问题,提出基于轻量操作系统实现虚拟机内省的安全架构,并提出基于内存完整性度量的内存安全监测方案。通过在轻量客户机中实现内存实时检测与度量,减小了安全模块的可攻击面,降低了对虚拟平台整体性能的影响。通过无干涉的内存度量和自定义的虚拟平台授权策略增强了安全模块的隔离性。基于Xen中的小型操作系统Mini-OS实现了虚拟机内省与内存检测系统原型,评估表明该方案比在特权虚拟机中实现的同等功能减少了92%以上的性能损耗,有效提高了虚拟机内省与实时度量的效率。 相似文献
9.
基于QEMU的虚拟可信平台模块的设计与实现 总被引:1,自引:0,他引:1
针对可信计算机系统信任链传递过程中的安全性缺陷,提出了在虚拟机中进行信任链传递的虚拟机穿越技术,并在QEMU虚拟机中实现了虚拟可信平台模块。虚拟可信平台模块通过采用信息代理的实现方式并利用虚拟机的封闭性和隔离性为可信计算机系统信任链传递提供了一个安全、高效和透明环境。通过KnoppixLinux分析和比较了QEMU虚拟机中实现的虚拟可信平台模块和Xen中基于可信平台模拟器的虚拟可信平台模块。 相似文献
10.
为了防止内核级Rootkit对内核完整性造成破坏,描述基于Xen的隔离保护方法,Xen是一种微内核结构的虚拟机,直接运行在硬件之上,操作系统内核在Xen的域里运行,而域又可分为权限域Dom0和非权限域DomU,域问相互隔离,利用这个特性,强制将动态加载模块隔离在DomU里运行,并通过Xen的事件通道和授权表两个域间通信机制模拟出模块与内核之间函数调用。将监视模块加入中间层就可以达到监控所有模块对内核的操作。 相似文献
11.
《计算机科学与探索》2016,(3):311-325
针对开源虚拟化平台Xen的管理虚拟机Dom0服务臃肿和可信计算基庞大等问题,提出了一种基于Xen的安全虚拟机架构XHydra。该架构采用微内核的设计思想和最小特权安全理论,将Dom0分离成多个功能独立、相互隔离且具有最小特权的迷你服务域,并设计了一个服务监视器进行管理。服务监视器通过构建用户虚拟机与迷你服务域之间设备通信的专用通道,实现用户虚拟机和迷你服务域之间的双向隔离。最后基于Xen4.4开发了XHydra的原型系统,提高了平台的安全性,验证了架构的可行性。同时,针对虚拟化平台的存储性能和网络性能进行基准测试,实验结果表明所提方案性能相对于原始Xen仅降低了3%。 相似文献
12.
云计算技术已飞速发展并被广泛应用,虚拟化作为云计算的重要支撑,提高了平台对资源的利用效率与管理能力。作为一款开源虚拟化软件,Xen独特的设计思想与优良的虚拟化性能使其被许多云服务商采用,然而Xen虚拟机监视器同样面临着许多安全问题。Xen为虚拟机提供的特权接口可能被虚拟机恶意代码利用,攻击者可以借此攻击Xen或者运行其上的虚拟机。文章针对Xen向虚拟机提供的超级调用接口面临被恶意虚拟机内核代码利用的问题,提出了一种基于执行路径的分析方法,用以追溯发起该超级调用的虚拟机执行路径,与一个最初的路径训练集进行对比,可以避免超级调用被恶意虚拟机内核代码利用。该方法通过追溯虚拟机内核堆栈信息,结合指令分析与虚拟机内核符号表信息,实现了虚拟化平台下对虚拟机执行路径的动态追踪与重构。在Xen下进行实验,通过创建新的虚拟机并让其单独运行来获得训练集,训练集中包含所有发起该超级调用的虚拟机路径信息。在随后虚拟机运行过程中针对该超级调用动态构造出对应的虚拟机执行路径,将其与训练集对比,避免非正常执行路径的超级调用发生。 相似文献
13.
14.
进程重放用于程序调试,无法重现系统全部状态,难以分析错误根源.而系统级重放复杂且难于实现,尚无模型分析方法提供理论指导,确保重放执行与记录执行等价.为了使执行重放系统适用于系统调试,建立虚拟机指令执行模型,提出了虚拟机执行重放的定义,给出并证明了成功重放的充分条件.根据该充分条件,设计实现了基于Xen的虚拟机重放系统CASMotion.CASMotion讨论了Xen DomU中不确定事件的种类,给出各类事件的重放方法以及时间点的匹配算法.CASMotion成功实现了不确定事件的准确重放,实验结果表明其具有较低的性能损失. 相似文献
15.
一种Xen细粒度强制访问控制框架的设计与实现 总被引:1,自引:0,他引:1
利用强制访问控制技术可实现虚拟机间安全的隔离与共享,但现有强制访问控制技术无法对虚拟机内部资源进行有效的保护。在深入分析Xen虚拟化技术和强制访问控制技术的基础上,针对Xen Security Module(XSM)/Flask架构,提出虚拟化强制访问控制VMAC(Virtual Mandatory Access Control)框架,提供了Virtual Machine(VM)和Virtual Machine Monitor(VMM)两级安全策略的集中管理和操作,实现了Xen的细粒度强制访问控制。 相似文献
16.
17.
18.
为解决在现有透明计算系统中磁盘等设备的虚拟化,需要对操作系统进行修改才能在端计算机上运行的问题,提出透明计算系统中一种基于虚拟机技术的设备子系统。以Intel VT硬件级虚拟支持和Xen虚拟化技术为基础, 在全虚拟化的虚拟机上运行用户操作系统: 通过运行在管理域用户空间中设备模型的虚拟磁盘和网络驱动,将用户域访问磁盘和网络的I/O请求跨网络地重定向到服务器进行处理, 从而实现端计算机上多操作系统的远程运行。在VT硬件平台和Xen虚拟机监控器上实现了原型系统,验证了该方法的可行性。 相似文献
19.
《计算机应用与软件》2014,(7)
主要研究数据存储的基础设施的安全保护。以开源的基础设施Xen的虚拟化可信平台模块vTPM为基础,研究迁移方法中的四个基本需求,再对虚拟机及其虚拟可信平台模块vTPM的运行环境做分析。采用身份加密机制、安全通道以及虚拟迁移等技术,完成安全的数据迁移。最后通过实验对该迁移机制进行安全性分析,得出了此迁移方法是有效且可靠的。 相似文献
20.
当虚拟机技术应用在服务器整合等领域时,虚拟机之间的通信会非常频繁.虚拟机本身的通信机制将成为瓶颈.目前,在Xen中不同的虚拟机间进行通信时,不仅通信路径长.而且虚拟机间的切换会造成很大的性能开销.在深人研究Xen虚拟机通信机制的基础上,提出了一种基于共享内存的通信方法,用于提高同一台物理机器上不同虚拟机之问通信的性能.实验结果表明,该方法极大地增加了虚拟机之间的通信带宽,并且有效平衡一f各个虚拟机的CPU利用率. 相似文献