Xen的虚拟机网络优化研究

针对一类流行的IP网络应用,提出了一个性能优化的虚拟机网络原型。多个虚拟机运行在高性能虚拟机监控器Xen上,通过它复用了其下的一台物理宿主机,Xen创建和管理这些虚拟机。优化原型的核心是一个新的虚拟网卡,所有的虚拟机通过它被互连成一个网络,用于虚拟机间的通信。与Xen的标准相应模型相比,实验和评估表明该原型改善了虚拟机间的通信性能,减少了约42%的用户请求响应时间。     

基于Xen虚拟机的USB数据安全性分析及保护机制研究

基于Xen虚拟机的虚拟架构,分析了USB设备的数据安全风险和安全需求,对Xen虚拟机的内部驱动和安全机制进行了细粒度研究,提出了一种基于Xen虚拟机的USB数据保护机制,从虚拟USB接口访问控制、PVUSB后端驱动/QEMU设备模拟数据加解密两方面保护USB数据安全.     

针对减弱隐蔽信道攻击的Xen虚拟机调度策略

为了解决在同一平台不同虚拟机间,通过探测缓存信息实施隐蔽信道攻击的问题,提出了一种利用Xen虚拟机调度策略减弱基于缓存的隐蔽信道攻击的防御构想.首先分析了基于缓存的云平台上跨虚拟机的隐蔽信道攻击的原理及步骤,对Xen虚拟机默认的Credit调度算法进行了分析,针对侧通道攻击的特殊需求对Credit调度策略进行了改进:改正后的调度策略一方面通过标记处理目标进程的VCPU,使得该VCPU优先调度,进而躲避攻击进程的缓存探测;另一方面,对攻击进程的VCPU运行也做出了限制,当目标进程没有运行结束时,攻击进程的VCPU总是调度在VCPU队列的末尾,从而在时间上最大限度地与目标进程进行隔离,达到防御侧通道攻击的目的.最后,对调度策略在模拟器中进行了模拟实验,实验结果表明改进的调度策略可以有效减弱基于缓存的隐蔽信道攻击.     

基于Xen的自下而上调用的设计与实现

针对虚拟机监视器(virtual machine monitor,VMM)与上层客户虚拟机(Guest-VM)之间的语义鸿沟(semantic gap)问题,该文提出了一种自下而上的调用方式,该方法使得VMM能够同步调用客户机的已有功能来获取客户机语义信息,为在客户虚拟机地址空间之外的监控机制带来便利。在Xen半虚拟化环境下,实现了自下而上的同步调用方式,有效地解决了语义重构所需的重复定义和实现问题。实验表明,该方法能使VMM有效地调用客户机的已有功能为自己服务,使VMM能准确地获取上层虚拟机操作系统的信息。     

基于TPM的可信计算的研究

可信计算发展很迅速,传统计算机的误报率越来越多,安全投入不断增大,维护与管理更加复杂,信息系统的使用率大大降低。产生这种局面的主要原因是不去控制不安全问题的根源,而只是在外围进行封堵。目前计算机采用可信计算的设计理念,通过对可信计算的分析和研究,尤其对比国外TPM安全芯片所经历的历程和设计理念,提出走自己的可信道路,并预测了广阔的市场前景。     

基于FPGA的嵌入式平台中TPM的扩展实现

随着可信计算技术的发展,利用可信计算来提高嵌入式系统的安全性已成为热点。针对可信计算技术中的核心硬件可信平台模块（Trusted Platform Module,TPM）,文章提出了一种TPM在嵌入式系统中的扩展方案,并在ARM嵌入式平台中进行了设计与实现。通过研究TCG定义的PC可信计算平台硬件结构,在分析比较嵌入式平台的通用外部接口的基础上,选择SPI总线进行信号的扩展;基于FPGA实现了SPI总线周期与TPM的特殊LPC总线周期间信号的转换和匹配,有效的解决了TPM在嵌入式平台中的硬件扩展问题。     

基于可信计算技术的自助服务系统终端可信环境构建研究

利用可信计算技术手段,以硬件为信任根,逐级检查计算设备终端的可信性.当发现设备内软、硬件处于异常状态即停止服务的启动或运行,极大地减小了恶意用户攻击的可能性.提出了自助服务系统终端可信环境的实现方法,从源头解决了计算机系统的安全问题.     

Xen虚拟机动态增量迁移的设计与实现

Xen虚拟机现有迁移机制中,源主机和目的主机需要连接共享存储服务,共享存储是动态迁移的必要条件。针对这一局限性提出了一种包括外存迁移在内的动态增量迁移方法,可以在动态迁移过程中,把虚拟机磁盘文件从源主机迁移至目的主机,从而降低了动态迁移的成本,扩大了动态迁移的应用范围。并通过实验进行了性能分析。     

基于可信计算的远程证明的研究

可信计算作为一种信息系统安全新技术,为克服单纯依靠软件安全防范方式的不足提供了新的思路,在平台上通过软硬件结合的方式构建可信计算环境。远程证明是可信计算平台的重要功能之一,是发出证明请求的一方确认远程平台的身份和平台状态配置信息的过程。本文围绕可信计算的远程认证进行研究,从可信平台模块、可信软件栈及其在实际中的应用进行探讨、分析和改进,为基于可信计算的远程认证的设计和实现提供了新的途径。     

可信计算及其进展

详细介绍了“可信计算”的发展历程,总结了容错计算(可信系统与网络)、安全探作系统、网络安全等领域的研究对可信计算形成和发展的推动作用;提出了对可信计算的概念、研究对象、目的以及可信计算的体系结构的看法;综述了可信计算中的终端可信、终端可信应用、可信网络连接、可信网络服务、交易可信、可信评测和管理方法等方面的研究内容,并进行了分析和点评,结合已有的研究成果,展望了可信计算未来的研究方向及其面对的挑战．     

基于PAM的身份认证系统研究

保证登录用户身份的真实是保证计算平台“值得信任”的前提。基于PAM的身份认证技术与外部认证实体相结合,提出了基于PAM的双因素身份认证解决方案。该方案能够为可信计算平台提供高可靠性的用户身份认证。在Linux PAM框架下实现了一个基于UsbKey的可信计算平台身份认证系统。     

关于可信计算平台模块的研究

随着信息技术的飞速发展,可信计算机在安全方面的优越性越来越受到国内外计算机领域工作者的重视。可信计算机的核心部件是可信计算平台模块(TPM),文章介绍了关于TPM的体系结构、使用、平台证实等内容,并对可信计算平台的信任链及其安全引导进行了分析。     

可信计算平台安全芯片设计研究

可信计算平台应用研究的基本目标就是要建立一个网络中的可信任域,并基于该网络信任域的管理系统将个体的可信计算平台扩展到网络中,形成网络里的可信任域,并结合信息保密网的应用,给出可信计算平台的应用方案。安全芯片就是该平台的重要组成部分。重点介绍了可信计算平台安全芯片的设计技术环节,对于该行业广大从业人员具有一定的指导意义。     

可信计算平台关键机制研究

在可信计算平台的概念和技术的基础上,文章对可信计算平台的几个关键机制进行了深入分析,给出了这些关键机制的基本原理,最后,提出了基于上述可信机制的可信软件保护模型,并对模型进行了实例分析。     

可信计算密码支撑平台中的密钥管理技术研究

介绍了可信计算密码支撑平台中的密钥的分类和结构,着重分析了支持可信计算密码支撑平台的TSM的密钥结构和管理形式.对现有平台密钥管理存在的问题,提出了利用Rootkit 技术加强平台保护的方案.测试结果表明新方法可提高密钥管理的安全性.     

可信认证网关系统的原理与设计

提出基于可信计算集团(TCG)可信平台模型TPM的可信认证网关系统(TAGS)的解决方案,介绍了其原理和设计,并对TAGS的缺陷进行了分析。由于可信平台模型(TPM)中保存着与芯片所在平台相关的密钥和证书,验证者可以通过TAGS系统确定何时可以安全地向一个网络请求开放网络连接。     

基于可信计算的网络信任管理系统

对可信计算平台的应用和实施作了初步探讨,指出可信计算平台应用的基本目标就是要把信任链延伸到网络上,并构建网络信任管理系统.基于网络信任管理系统结合信息保密网的应用给出可信计算平台的应用方案.在研究整体信任解决方案后,使用信任延伸模型计算信任值.此方案在广东工业大学研究生管理系统中得到了应用. 更多还原     

无线传感器网络与TCP/IP网络的互联研究

研究介绍了三种将无线传感器网络(WSN)与TCP/IP网络互联的方法:代理体系、用于传感器网络的TCP/IP协议和容迟网络(DTN)体系;介绍了它们的网络拓扑和系统结构体系;分析了它们的优缺点、系统的通信可靠性、安全性和同步问题.     

uIP协议分析及其应用

目前大多数嵌入式统还处于单独应用的阶段,孤立于Internet以外,所以局限性较大。把嵌入式系统连接到Internet上已成为嵌入式系统今后发展的一个重要的方向,而且也将成为今后嵌入式系统必须具备的功能之一。文章分析了一个适用于8/16位单片机的嵌入式TCP/IP协议栈———uIP,重点讨论了uIP的功能特性、体系结构和相关接口。最后给出该协议栈的简单应用示例。