基于Xen平台的虚拟机安全监控系统的研究

针对虚拟机安全监控系统的灵活性和安全性不足的问题,在Xen平台上研发虚拟机安全监控系统来解决该问题.对Xen虚拟机技术和虚拟机监控技术进行了详细描述,对虚拟机安全监控系统的框架进行了详细分析,给出了系统安全决策模块和安全呼叫模块之间的协商机制,并给出了系统模块的部分实现.对系统安全工程人员和项目架构人员都具有积极的作用.     

Xen安全机制探析

虚拟化技术正在成为一种主流的网络应用,Xen作为一种虚拟化产品,已经在开源社区中得到广泛推广,其安全风险也受到业界关注。文章系统分析了Xen的安全框架XSM的实现机制和关键技术,介绍了ACM和Flask两种不同的安全构架,深入剖析了其中安全模型的具体实现原理和方法,并结合实际应用中的场景进行了安全保护分析。     

基于Xen的X86虚拟机性能调优

目前针对虚拟机环境的性能测试工具很少，测试主要还停留在运行一些基准测试程序的基础上，对虚拟机性能的调优帮助有限。文章提出了一个Xen虚拟机环境下的性能调试工具Exentrace，介绍了其Lasylog和Smartfilter两大特性。演示了利用Exentrace在不同负载的虚拟机上收集、分析数据。利用这些数据发现并解决了一个关键的性能问题。     

一种基于Xen的信任虚拟机安全访问设计与实现

结合信任计算技术与虚拟化技术,提出了一种基于Xen的信任虚拟机安全访问机制,为用户提供了一种有效的安全访问敏感数据的模式。其核心思想是利用虚拟机的隔离性,为数据信息应用提供一个专用的隔离环境,同时利用信任计算技术保证该虚拟平台配置状态的可信性。     

基于共享内存的Xen虚拟机间通信的研究

当虚拟机技术应用在服务器整合等领域时,虚拟机之间的通信会非常频繁.虚拟机本身的通信机制将成为瓶颈.目前,在Xen中不同的虚拟机间进行通信时,不仅通信路径长.而且虚拟机间的切换会造成很大的性能开销.在深人研究Xen虚拟机通信机制的基础上,提出了一种基于共享内存的通信方法,用于提高同一台物理机器上不同虚拟机之问通信的性能.实验结果表明,该方法极大地增加了虚拟机之间的通信带宽,并且有效平衡一f各个虚拟机的CPU利用率.     

基于Xen的Qubes操作系统技术架构及安全性能分析

伴随着大数据和云时代的到来,虚拟化技术的应用已经越来越成熟。如何运用虚拟化技术给终端客户提供一个安全稳定高效的桌面环境,成为了一个日益热门的话题。Qubes系统利用新一代的硬件技术和虚拟化技术实现物理宿主机的隔离能力,从系统层面对木马病毒和恶意代码进行了防范和遏制,一定程度上解决了系统安全领域的木桶问题。此外,应用虚拟化技术提高安全性能的同时还可能带来那些问题和隐患,也应该引起我们足够的重视。     

基于Xen的虚拟机迁移时内存优化算法

为了在云计算环境下进行虚拟机迁移,Xen迁移时采用比较传递页位图和跳过页位图的方式来判断内存页是否重传.针对页位图比较带来多次重传增加网络传送开销的问题,提出基于AR模型的内存优化算法,该算法根据所有记录的内存页修改时间间隔来预测内存页的下次修改时间,当下次修改时间大于某个阈值时进行重传.实验结果表明,基于AR模型的内存优化算法缩短了虚拟机迁移的时间,减少了虚拟机迁移时的网络开销,保证了同台服务器上其它虚拟机的网络带宽应用.     

一种基于互信的特权分离虚拟机安全模型研究

虚拟机的安全问题一直是关注的热点。传统管理域Dom0权限过大, 使用户的隐私受到威胁; 同时, 攻击者一旦攻破Dom0, 会给所有用户带来威胁。针对这些问题, 提出一种基于互信的特权分离(MTSP)安全模型, 对Dom0的特权进行分割, 将漏洞较多的设备驱动独立出来, 形成驱动域; 把影响用户隐私的操作分离, 为每个用户创建一个DomU管理域; 其余的形成Thin Dom0。系统的启动需要用户和虚拟机监控器共同来完成, 起到相互制约的作用。结合该模型, 给出了原型实现, 并且进行了安全性分析及性能测试。结果表明, 该模型可以有效地保护用户隐私, 分散安全风险, 并且隔离故障。     

基于Xen的I／O准虚拟化驱动研究

针对全虚拟化下客户端虚拟机无法“感知”虚拟机监视器的问题,对基于Xen的I／O准虚拟化驱动进行研究,通过实验可知,准虚拟化驱动能够消除全虚拟化方式下虚拟机监视器“黑箱”特性的限制,可以实现和虚拟机监视器的密切配合,从而提高I／O性能。在虚拟机Xen的全虚拟化环境中加入准虚拟化驱动,采用对比测试方法验证了该驱动能大幅提升网络性能。     

提升缓存效率的Xen虚拟机调度优化

Xen4.1发布的两个调度算法,都无法在服务器多任务虚拟化时得到好的性能。首先分析虚拟机上运行的3种任务的特点及要求,然后提出优化方法:将I/O任务按已消耗时间排序,优先调度消耗时间少的I/O任务,并记录缓存关联计算型任务,以保持运行时缓存的一致性,最终在保证I/O响应和带宽性能的基础上显著提高了缓存性能。     

负载类型相关的Xen虚拟机系统性能模型

针对Xen虚拟机系统执行网络I/O密集型负载时容易耗尽Domain0的CPU资源而过载和执行计算密集型负载时在客户域平均性能与数目之间存在线性规划的问题,提出了两个负载类型相关的性能模型。首先,通过分析Xen虚拟机系统处理网络I/O操作的CPU资源消耗规律,建立了CPU核共享和CPU核隔离两种情况下的客户域网络I/O操作请求次数计算模型;然后,通过分析多个相同客户域并行执行计算密集型负载的平均性能与一个相同客户域执行相同负载的性能表现之间的关系,建立了并行执行计算密集型负载的客户域平均性能分析模型。实验结果表明,两个性能模型能够有效地限制客户域提交的网络I/O操作请求次数以防止Xen虚拟机系统过载,并求解给定资源配置情况下执行计算密集型负载的Xen虚拟机系统客户域伸缩性数目。     

基于Xen的虚拟显示性能测试与评价

针对虚拟化环境下图形显示的特点,该文充分考虑了在虚拟化环境下显示性能的特殊性,选取了六个不同的应用,将其作为评价虚拟化环境下显示性能的重要指标;与此同时提出了一个虚拟化环境下虚拟机显示性能的评价标准,作为判断虚拟环境下虚拟机显示性能好坏的依据。     

基于Xen硬件虚拟机的安全通信机制研究

在深入分析Xen硬件虚拟机通信机制和网络安全控制技术的基础上,实现了Xen硬件虚拟机安全通信机制,它在虚拟机监控器上加入了一个安全服务器,同时在虚拟机进行网络通信的关键路径上添加安全检查模块,实现了虚拟机通信的访问控制,提高了虚拟域间通信的安全性。     

基于Xen的虚拟显示性能测试与评价

针对虚拟化环境下图形显示的特点,该文充分考虑了在虚拟化环境下显示性能的特殊性,选取了六个不同的应用．将其作为评价虚拟化环境下显示性能的重要指标;与此同时提出了一个虚拟化环境下虚拟机显示性能的评价标准．作为判断虚拟环境下虚拟机显示性能好坏的依据。     

一种基于Xen虚拟机的内核完整性监控方法

为了防止内核级Rootkit对内核完整性造成破坏,描述基于Xen的隔离保护方法,Xen是一种微内核结构的虚拟机,直接运行在硬件之上,操作系统内核在Xen的域里运行,而域又可分为权限域Dom0和非权限域DomU,域问相互隔离,利用这个特性,强制将动态加载模块隔离在DomU里运行,并通过Xen的事件通道和授权表两个域间通信机制模拟出模块与内核之间函数调用。将监视模块加入中间层就可以达到监控所有模块对内核的操作。     

Xen虚拟机Credit调度算法的实时性能分析

为了降低开销以及增加灵活性,通过虚拟化技术将多个系统运行在一个通用计算平台上已成为复杂实时嵌入式系统的趋势。Xen是近年来应用最广泛的虚拟化技术,对其默认使用的Credit调度算法进行实时性能分析,使得能够直接对运行在Xen上的实时系统进行可调度性测试,并且可以通过形式化的资源界限函数对Credit的实时性进行直观的评估。首先分析了Credit调度算法的基本实现,提出并且证明了一种配置VCPU参数的方法使得Credit的实时性得到提升,在此基础上,通过证明得到了Credit算法的基本性质,并得出其在最坏情况下为VCPU分配的资源函数曲线。     

一种基于Xen的可信虚拟机系统的构建与应用

基于虚拟机的可信计算平台架构系统可以解决目前可信计算技术在应用过程中所产生的一些问题。该文介绍了一个符合这种架构的具体系统,对系统的构建方法进行了研究和探讨,并利用该系统解决了针对TCG完整性度量的TOCTOU攻击问题。