虚拟机管理器中面向虚拟块设备的一种通用快照扩展机制 被引量：3

1

作者 陈彬 蔡志平 +1 位作者 肖侬 褚福勇 《计算机工程与科学》 CSCD 北大核心 2011年第5期54-58,共5页

基于虚拟机环境下虚拟块设备多样性的特点以及对高可用、容错等能力的需求,本文针对目前主流的虚拟机体系结构,提出了一种在虚拟机管理器中为虚拟块设备扩展通用快照功能的机制,能够为虚拟机环境下的多种虚拟块设备提供统一和可扩展的... 基于虚拟机环境下虚拟块设备多样性的特点以及对高可用、容错等能力的需求,本文针对目前主流的虚拟机体系结构,提出了一种在虚拟机管理器中为虚拟块设备扩展通用快照功能的机制,能够为虚拟机环境下的多种虚拟块设备提供统一和可扩展的快照服务,有效避免了大幅修改底层的多种具体的虚拟块设备驱动。基于Linux平台,为QEMU扩展了通用的快照功能,验证了快照扩展机制的可行性,并通过实验测试分析了快照对虚拟机性能的影响。 展开更多

关键词 虚拟机管理器 虚拟块设备 快照 高可用

在线阅读 下载PDF 职称材料

基于虚拟机管理器层次的客户机行为监测系统 被引量：1

2

作者 银伟 杨春雷 周红建 《计算机工程与设计》 北大核心 2018年第6期1516-1520,共5页

对位于客户机层次的虚拟机蜜罐进行监测能让安全人员全面掌控攻击者的行为,而位于客户机层次的监测系统容易被识别,为此提出基于虚拟机管理器层次的客户机行为监测系统,对系统进行设计、实现和实验验证,从多个维度隐蔽地,有效地跟踪客... 对位于客户机层次的虚拟机蜜罐进行监测能让安全人员全面掌控攻击者的行为,而位于客户机层次的监测系统容易被识别,为此提出基于虚拟机管理器层次的客户机行为监测系统,对系统进行设计、实现和实验验证,从多个维度隐蔽地,有效地跟踪客户机操作系统的执行路线和系统行为,且对客户机来说是透明的。客户机与监测环境完全隔离,客户机不能对监测环境进行修改,保证监测数据的完整性和安全性。 展开更多

关键词 蜜罐 网络安全 客户机行为监测 虚拟机管理器 蜜罐监测

在线阅读 下载PDF 职称材料

基于I/O受限进程识别的虚拟处理器调度机制

3

作者 王强 董小社 +1 位作者 王恩东 朱正东 《西安交通大学学报》 EI CAS CSCD 北大核心 2015年第4期53-60,共8页

针对多核平台的虚拟化环境中客户机与虚拟机管理器(virtual machine monitor,VMM)之间语义缝隙造成客户机I/O性能下降的问题,提出了一种基于I/O受限进程识别的虚拟处理器(virtual CPU,vCPU)调度机制。该机制在客户机内部利用推断技术识... 针对多核平台的虚拟化环境中客户机与虚拟机管理器(virtual machine monitor,VMM)之间语义缝隙造成客户机I/O性能下降的问题,提出了一种基于I/O受限进程识别的虚拟处理器(virtual CPU,vCPU)调度机制。该机制在客户机内部利用推断技术识别I/O受限进程,通过客户机与VMM的协作实现I/O事件与I/O受限进程的关联,利用保证客户机之间公平性的虚拟对称多核处理器(virtual symmetric multi-core processor,vSMP)Internal调度算法,优先调度与I/O事件关联的I/O受限进程所在的vCPU来桥接客户机与VMM之间的语义缝隙,提高拥有vSMP的客户机中I/O负载性能。测试结果表明,相比于KVM虚拟化环境的CFS调度机制,该机制可以在保证客户机CPU公平性的前提下,有效提升运行混合负载的vSMP客户机中I/O负载性能,同时只增加较小的客户机额外开销,可以应用在负载多样性和不可预测性的虚拟桌面和云计算环境中。 展开更多

关键词 虚拟化 虚拟机管理器 虚拟处理器调度 I/O受限进程

在线阅读 下载PDF 职称材料

基于优化的COW虚拟块设备的虚拟机按需部署机制 被引量：9

4

作者 陈彬 肖侬 +1 位作者 蔡志平 王志英 《计算机学报》 EI CSCD 北大核心 2009年第10期1915-1926,共12页

基于COW(Copy-on-Write)读写模式的虚拟块设备有利于实现大规模虚拟机环境下虚拟机的快速部署.文中为虚拟机管理器中的COW虚拟块设备设计了一种优化方法,能够提高COW磁盘的访问性能以及生成多个小尺寸的COW磁盘映像文件,以降低通过网络... 基于COW(Copy-on-Write)读写模式的虚拟块设备有利于实现大规模虚拟机环境下虚拟机的快速部署.文中为虚拟机管理器中的COW虚拟块设备设计了一种优化方法,能够提高COW磁盘的访问性能以及生成多个小尺寸的COW磁盘映像文件,以降低通过网络部署虚拟机的开销.基于优化的COW虚拟块设备,文中提出了虚拟机环境下的虚拟机按需部署机制及关键技术问题的解决方案.基于Linux平台和QEMU虚拟机,实现了基于优化COW虚拟块设备的虚拟机按需部署原型系统.实验表明,优化的COW虚拟块设备、基于COW磁盘有效工作集的优化部署以及COW磁盘回收等方法能够有效地支持虚拟机环境下低开销的、按需的虚拟机部署. 展开更多

关键词 虚拟机 虚拟机管理器 虚拟机按需部署 COW磁盘 有效工作集

在线阅读 下载PDF 职称材料

虚拟化技术在高性能计算机系统中的应用研究 被引量：36

5

作者 钱磊 李宏亮 +1 位作者 谢向辉 陈左宁 《计算机工程与科学》 CSCD 北大核心 2009年第A01期307-311,共5页

随着高性能计算机系统规模的不断扩大,体系结构的日益复杂,其管理和使用也变得越来越困难。将虚拟化技术应用于构建高性能计算机系统有助于帮助开发人员高效管理和使用高性能计算机系统,使其发挥最大效能。本文详细分析了虚拟化技术在... 随着高性能计算机系统规模的不断扩大,体系结构的日益复杂,其管理和使用也变得越来越困难。将虚拟化技术应用于构建高性能计算机系统有助于帮助开发人员高效管理和使用高性能计算机系统,使其发挥最大效能。本文详细分析了虚拟化技术在高性能计算机系统中已有的几个成功应用,总结了虚拟化技术应用于高性能计算领域时所面临的主要问题,最后对虚拟化技术在高性能计算机系统中的应用前景进行了展望。 展开更多

关键词 虚拟化技术 虚拟机管理器 高性能计算机

在线阅读 下载PDF 职称材料

虚拟机环境下软件按需部署中的预取机制 被引量：4

6

作者 陈彬 肖侬 +1 位作者 蔡志平 王志英 《软件学报》 EI CSCD 北大核心 2010年第12期3186-3198,共13页

针对大规模虚拟机环境下软件的按需部署,提出了一种基于预取的按需软件部署优化机制,能够降低用户端虚拟机的启动延迟以及为用户提供更好的虚拟机本地运行性能.基于用户使用软件的行为特点以及虚拟磁盘映像的细粒度分割,预取机制在后台... 针对大规模虚拟机环境下软件的按需部署,提出了一种基于预取的按需软件部署优化机制,能够降低用户端虚拟机的启动延迟以及为用户提供更好的虚拟机本地运行性能.基于用户使用软件的行为特点以及虚拟磁盘映像的细粒度分割,预取机制在后台对服务器端存储的虚拟磁盘映像进行预取,通过一种基于访问频率和优先级的预取目标识别算法AFPTR(access frequency and priority-based prefetch target recognition)和一种预取量动态调节机制,将预取集中在用户使用的少数小尺寸的虚拟磁盘映像上,并在预取过程中对预取量进行动态自适应地调节,以提高虚拟磁盘访问的本地命中率,进而提高用户端虚拟机的运行性能.基于QEMU虚拟机和Linux平台,实现了基于预取的按需软件部署原型系统.实验结果表明,预取机制能够有效地降低虚拟机的启动延迟,并能提高虚拟机的本地运行性能,支持虚拟机环境下按需、快速的软件部署. 展开更多

关键词 虚拟机 虚拟机管理器 COW(copy-on-write)磁盘 预取 按需软件部署

在线阅读 下载PDF 职称材料

面向虚拟机的远程磁盘缓存 被引量：1

7

作者 陈昊罡 汪小林 +4 位作者 王振林 靳辛欣 温翔 罗英伟 李晓明 《计算机科学与探索》 CSCD 2010年第12期1073-1088,共16页

在虚拟机(virtual machine)系统中,随着虚拟机数量和应用程序需求的不断增长,内存容量已经成为应用程序性能的主要瓶颈。为了提升内存密集型和I/O密集型程序的页面交换性能,提出了虚拟机的远程磁盘缓存机制REMOCA,它允许运行在一台物理... 在虚拟机(virtual machine)系统中,随着虚拟机数量和应用程序需求的不断增长,内存容量已经成为应用程序性能的主要瓶颈。为了提升内存密集型和I/O密集型程序的页面交换性能,提出了虚拟机的远程磁盘缓存机制REMOCA,它允许运行在一台物理主机上的虚拟机将其他物理主机的内存作为其二级磁盘缓存。由于网络传输延迟远远小于磁盘访问,用网络传输代替磁盘访问就能够有效地降低虚拟机的平均磁盘访问延迟。REMOCA的目标就要尽可能地减少磁盘访问。REMOCA运行在虚拟机管理器中,其基本工作原理是截获并处理虚拟机的页面淘汰、磁盘访问等事件。REMOCA能够与现有的虚拟机内存管理机制(如气球技术、影子缓存)相结合,从而提供更加灵活的内存资源管理策略。实验数据表明,REMOCA能有效地降低页面抖动对虚拟机性能的影响,并在很大程度上提升虚拟机中I/O密集型应用的性能。 展开更多

关键词 虚拟机管理器 虚拟机监视器 远程磁盘缓存 内存服务器

在线阅读 下载PDF 职称材料

基于软件模拟的虚拟机系统故障插入工具 被引量：2

8

作者 车建华 何钦铭 +1 位作者 陈建海 王备 《浙江大学学报（工学版）》 EI CAS CSCD 北大核心 2011年第4期614-620,共7页

对虚拟机系统故障插入工具所涉及的故障模型、插桩方式、触发机制和监控跟踪等进行研究.通过统计分析各种虚拟机系统的故障症状,给出虚拟机系统的典型故障模型(包括故障类型、故障位置、发生模型和持续时间等)及实现代码.在研究虚拟机... 对虚拟机系统故障插入工具所涉及的故障模型、插桩方式、触发机制和监控跟踪等进行研究.通过统计分析各种虚拟机系统的故障症状,给出虚拟机系统的典型故障模型(包括故障类型、故障位置、发生模型和持续时间等)及实现代码.在研究虚拟机系统架构和故障插入实现原理的基础上,采用软件模拟方法基于Xen系统设计一个故障插入工具——SFIVE,介绍相应的插桩方式、触发机制和监控机制.实验分析表明,SFIVE具有较高的虚拟机系统故障覆盖率,能够激活和监控与大部分虚拟机相关的插桩故障. 展开更多

关键词 故障插入 虚拟机 虚拟机管理器 可靠性评测

在线阅读 下载PDF 职称材料

基于SR-IOV的虚拟机防火墙设计与实现 被引量：4

9

作者 荀仲恺 黄皓 金胤丞 《计算机工程》 CAS CSCD 2014年第5期154-157,共4页

由于虚拟网络数据传输时,用户态与核心态之间频繁切换,导致虚拟域间多次数据拷贝严重影响网络I/O性能。为此,提出一种高性能的虚拟机防火墙设计方案。利用SR-IOV规范的高性能数据传输特性和对接收数据包的过滤功能,使虚拟域直接与真实... 由于虚拟网络数据传输时,用户态与核心态之间频繁切换,导致虚拟域间多次数据拷贝严重影响网络I/O性能。为此,提出一种高性能的虚拟机防火墙设计方案。利用SR-IOV规范的高性能数据传输特性和对接收数据包的过滤功能,使虚拟域直接与真实网卡交互。针对低特权级的虚拟域中防火墙容易受到攻击的问题,通过在高特权级的Xen中部署监控模块,对虚拟域中的防火墙进行实时监控。实验结果表明,应用SR-IOV网卡可使虚拟机的网络I/O性能相对于Xen传统网络访问模式平均提高1倍以上,并且具有监控模块的Xen能防止防火墙被非法访问和恶意篡改,保证防火墙的安全。 展开更多

关键词 虚拟化 Xen虚拟机管理器 SR—IOV规范 防火墙 高性能 监控

在线阅读 下载PDF 职称材料

基于虚拟化的安全监控 被引量：63

10

作者 项国富 金海 +1 位作者 邹德清 陈学广 《软件学报》 EI CSCD 北大核心 2012年第8期2173-2187,共15页

近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控... 近年来,虚拟化技术成为计算机系统结构的发展趋势,并为安全监控提供了一种解决思路.由于虚拟机管理器具有更高的权限和更小的可信计算基,利用虚拟机管理器在单独的虚拟机中部署安全工具能够对目标虚拟机进行检测.这种方法能够保证监控工具的有效性和防攻击性.从技术实现的角度来看,现有的研究工作可以分为内部监控和外部监控.根据不同的监控目的,详细地介绍了基于虚拟化安全监控的相关工作,例如入侵检测、蜜罐、文件完整性监控、恶意代码检测与分析、安全监控架构和安全监控通用性.最后总结了现有研究工作的不足,并指出了未来的研究方向.这对于从事虚拟化研究和安全监控研究都具有重要意义. 展开更多

关键词 虚拟化 虚拟机管理器 安全监控 虚拟机自省

在线阅读 下载PDF 职称材料

利用虚拟化平台进行内存泄露探测 被引量：15

11

作者 汪小林 王振林 +3 位作者 孙逸峰 刘毅 张彬彬 罗英伟 《计算机学报》 EI CSCD 北大核心 2010年第3期463-472,共10页

文中利用虚拟机管理器,透明地记录应用程序对资源的申请、释放以及使用情况,提供了探测内存泄露的辅助信息.此机制首先不需要修改或重新编译源程序;其次,带来的性能损失很小.两者结合可以构建在线内存泄露探测和汇报机制.不仅如此,基于... 文中利用虚拟机管理器,透明地记录应用程序对资源的申请、释放以及使用情况,提供了探测内存泄露的辅助信息.此机制首先不需要修改或重新编译源程序;其次,带来的性能损失很小.两者结合可以构建在线内存泄露探测和汇报机制.不仅如此,基于虚拟机环境的内存泄露探测还具备通用性,且不需要特殊的硬件支持.所有这些特性,是已有的解决方案所不能兼有的.实验结果表明:基于虚拟机环境的内存泄露探测机制具有实用性,性能损失也被控制在10%以内,能够运用在实际的生产环境中. 展开更多

关键词 内存泄露探测 虚拟机 虚拟化平台 虚拟机管理器

在线阅读 下载PDF 职称材料

多核分区管理方法的设计与实现 被引量：1

12

作者 郝继锋 虞保忠 郭芳超 《计算机工程与设计》 北大核心 2018年第2期387-392,共6页

针对目前综合化模块化航空电子系统中,满足航空电子应用软件接口标准的分区管理方法基于单核嵌入式处理器的现状,研读航空电子工程委员会最新发布航空电子应用软件接口标准第1部分第4次修订版的要求,对恩智浦公司的嵌入式多核处理器、... 针对目前综合化模块化航空电子系统中,满足航空电子应用软件接口标准的分区管理方法基于单核嵌入式处理器的现状,研读航空电子工程委员会最新发布航空电子应用软件接口标准第1部分第4次修订版的要求,对恩智浦公司的嵌入式多核处理器、绿山公司的多核分区操作系统、风河公司的多核分区操作系统进行调研;基于多核分区操作系统设计并实现一种多核分区管理方法,提出3个创新点,包括分区在核间的动态控制方法、C/S架构的多核分区动态控制模型、虚拟机管理器的分区动态控制的接口标准;在典型嵌入式多核处理器目标硬件平台上,对多核分区管理方法的功能正确性进行测试和验证。 展开更多

关键词 综合化模块化航空电子系统 航空电子工程委员会 航空电子应用软件接口标准第1部分第4次修订版 客户/服务器架构 多核分区操作系统 多核分区管理 虚拟机管理器

在线阅读 下载PDF 职称材料

面向虚拟化系统的故障注入工具设计与实现 被引量：4

13

作者 胡慎 徐珞 +1 位作者 艾中良 李宁 《计算机工程与设计》 北大核心 2018年第2期468-473,共6页

为解决现有故障注入工具缺乏对虚拟化系统特有故障进行测试的问题,提出一种面向虚拟化系统的故障注入工具架构。架构由虚拟机管理器、各虚拟机节点和前端部分组成,Xml定义的测试脚本通过前端部分传入并解析,使得虚拟机管理器获取故障注... 为解决现有故障注入工具缺乏对虚拟化系统特有故障进行测试的问题,提出一种面向虚拟化系统的故障注入工具架构。架构由虚拟机管理器、各虚拟机节点和前端部分组成,Xml定义的测试脚本通过前端部分传入并解析,使得虚拟机管理器获取故障注入信息后,根据信息将各类故障注入到虚拟机节点中,完成一次故障注入过程。以该架构为基础,在Xen虚拟化系统上实现故障注入工具并进行故障注入实验,实验结果表明,利用该工具可以对Xen系统进行有效故障注入并完成可靠性和容错性评测。 展开更多

关键词 故障注入 虚拟化系统 虚拟机管理器 故障建模 可靠性评测 容错性评测

在线阅读 下载PDF 职称材料

一种基于众核处理器的操作系统研究 被引量：2

14

作者 吴志峰 黄玉琪 张建平 《河南理工大学学报（自然科学版）》 CAS 2009年第5期602-606,共5页

论述了一种新型的操作系统结构,该结构在三权分立的原则下,对传统操作系统的功能进行分割与重组,让不同的功能组件运行在不同的虚拟机中,利用虚拟机间的强隔离特性保证各组件的独立性,利用虚拟机间的专有通信机制实现各组件之间的协作... 论述了一种新型的操作系统结构,该结构在三权分立的原则下,对传统操作系统的功能进行分割与重组,让不同的功能组件运行在不同的虚拟机中,利用虚拟机间的强隔离特性保证各组件的独立性,利用虚拟机间的专有通信机制实现各组件之间的协作与制约.这种新型的结构解决了操作系统各组件之间互相干扰的问题和操作系统的封闭性与可扩展性问题. 展开更多

关键词 多核处理器 操作系统 虚拟化技术 虚拟计算机 虚拟机管理器

在线阅读 下载PDF 职称材料

XtratuM平台上的μC/OS-Ⅱ半虚拟化研究与实现 被引量：1

15

作者 周刘成 张激 +1 位作者 李健 孙陈伟 《计算机工程》 CAS CSCD 北大核心 2015年第7期100-105,共6页

XtratuM虚拟机管理器是一款面向嵌入式安全关键领域的虚拟机管理器。XtratuM系统的每个分区上可运行一个经过修改的客户操作系统,但目前其支持的客户操作系统并不包括μ/COS-Ⅱ嵌入式实时操作系统。为此,在研究XtratuM架构的基础上,给... XtratuM虚拟机管理器是一款面向嵌入式安全关键领域的虚拟机管理器。XtratuM系统的每个分区上可运行一个经过修改的客户操作系统,但目前其支持的客户操作系统并不包括μ/COS-Ⅱ嵌入式实时操作系统。为此,在研究XtratuM架构的基础上,给出基于XtratuM虚拟机管理器的半虚拟化方案。利用XtratuM提供的系统调用服务向客户操作系统的μ/COS-Ⅱ隐藏不必要的硬件细节,重新设计μ/COS-Ⅱ的任务栈帧以及上下文切换算法以避免对特权指令的使用,将虚拟时钟中断挂接到XtratuM系统来保证μ/COS-Ⅱ任务的正常调度。实验结果证明,作为客户操作系统的2个μ/COS-Ⅱ可以相对独立地按照既定调度方案运行于同一个x86硬件平台上。 展开更多

关键词 XtratuM虚拟机管理器 客户操作系统 μC/OS-Ⅱ实时操作系统 半虚拟化

在线阅读 下载PDF 职称材料

VMM中Guest OS非陷入系统调用指令截获与识别 被引量：6

16

作者 熊海泉 刘志勇 +2 位作者 徐卫志 唐士斌 范东睿 《计算机研究与发展》 EI CSCD 北大核心 2014年第10期2348-2359,共12页

针对虚拟化环境下Guest OS某些特定指令行为不会产生陷入从而在虚拟机管理器(virtual machine monitor,VMM)中无法对其进行监控处理的问题,提出通过改变非陷入指令正常运行条件,使其执行非法产生系统异常陷入VMM的思想;据此就x86架构下G... 针对虚拟化环境下Guest OS某些特定指令行为不会产生陷入从而在虚拟机管理器(virtual machine monitor,VMM)中无法对其进行监控处理的问题,提出通过改变非陷入指令正常运行条件,使其执行非法产生系统异常陷入VMM的思想;据此就x86架构下Guest OS中3种非陷入系统调用指令在VMM中的截获与识别进行研究:其中基于int和sysenter指令的系统调用通过使其产生通用保护(general protection,GP)错系统异常而陷入,基于syscall指令的系统调用则通过使其产生UD(undefined)未定义指令系统异常而陷入,之后VMM依据虚拟处理器上下文现场信息对其进行识别;基于Qemu&Kvm实现的原型系统表明:上述方法能成功截获并识别出Guest OS中所有3种系统调用行为,正常情况下其性能开销也在可接受的范围之内,如在unixbench的shell测试用例中,其性能开销比在1.900~2.608之间.与现有方法相比,它们都是以体系结构自身规范为基础,因此具有无需修改Guest OS、跨平台透明的优势. 展开更多

关键词 客户操作系统 虚拟机管理器 虚拟化 非陷入指令 系统调用

在线阅读 下载PDF 职称材料

基于访问控制的Hypervisor非控制数据完整性保护 被引量：3

17

作者 陈志锋 李清宝 +1 位作者 张平 曾光裕 《电子与信息学报》 EI CSCD 北大核心 2015年第10期2508-2516,共9页

在虚拟化技术广泛应用的同时虚拟层的安全问题引起了国内外研究人员的密切关注。现有的虚拟机管理器(Hypervisor)完整性保护方法主要针对代码和控制数据的完整性保护,无法抵御非控制数据攻击;采用周期性监控无法提供实时的非控制数据完... 在虚拟化技术广泛应用的同时虚拟层的安全问题引起了国内外研究人员的密切关注。现有的虚拟机管理器(Hypervisor)完整性保护方法主要针对代码和控制数据的完整性保护,无法抵御非控制数据攻击;采用周期性监控无法提供实时的非控制数据完整性保护。针对现有方法的不足,该文提出了基于UCON的Hypervisor非控制数据完整性保护模型UCONhi。该模型在非控制数据完整性保护需求的基础上简化了UCON模型,继承了UCON模型的连续性和易变性实现非控制数据的实时访问控制。根据攻击样例分析攻击者和攻击对象确定主客体减少安全策略,提高了决策效率;并基于ECA描述UCONhi安全策略,能够有效地决策非控制数据访问合法性。在Xen系统中设计并实现了相应的原型系统Xen-UCONhi,通过实验评测Xen-UCONhi的有效性和性能。结果表明,Xen-UCONhi能够有效阻止针对虚拟机管理器的攻击,且性能开销在10%以内。 展开更多

关键词 虚拟机管理器 非控制数据 使用控制 完整性保护 事件条件行为

在线阅读 下载PDF 职称材料

一种基于影子页表+的软件型vTPM密钥秘密信息保护方案 被引量：2

18

作者 谭良 王闪 +1 位作者 宋敏 舒红梅 《密码学报》 CSCD 2019年第3期304-323,共20页

由于TPM是一块资源受限的硬件芯片,在可信虚拟平台上所有用户虚拟机都通过共享TPM方式来实现可信计算的功能是不现实的.因此,当前不少虚拟平台在对TPM虚拟化时采用软件仿真方式,但现有虚拟机环境中的许多恶意攻击均能窃取和破坏此类vTP... 由于TPM是一块资源受限的硬件芯片,在可信虚拟平台上所有用户虚拟机都通过共享TPM方式来实现可信计算的功能是不现实的.因此,当前不少虚拟平台在对TPM虚拟化时采用软件仿真方式,但现有虚拟机环境中的许多恶意攻击均能窃取和破坏此类vTPM运行时的密钥秘密信息,特别在全虚拟化和硬件虚拟化平台环境中,整个虚拟机均处于VMM的用户空间中, vTPM的密钥秘密信息更容易遭到攻击,这将严重影响虚拟机和vTPM的安全.为此,本文提出了一种基于影子页表+的软件型vTPM密钥秘密信息保护方案.该方案主要是在全虚拟化或硬件虚拟化平台中通过新增影子页表管理模块MMU-vTPM来保护vTPM的密钥秘密信息,该管理模块通过对vTPM密钥私有内存页表的访问控制来阻止其他进程非法访问和破坏vTPM密钥秘密信息私有内存.而且为了防止恶意用户对MMU-vTPM模块进行篡改,采用TPM的静态度量机制和动态度量机制对该模块进行完整性保护.最后,基于Xen实现了该方案.测试结果表明,该方案能够在保证vTPM的vEK和v SRK等关键密钥秘密信息的安全性,而且不会带来严重的性能损失. 展开更多

关键词 虚拟机管理器 可信计算模块虚拟化 内存保护 影子页表

在线阅读 下载PDF 职称材料

申威架构下的软件平滑嵌套页表 被引量：1

19

作者 沙赛 杜翰霖 +2 位作者 罗英伟 汪小林 王振林 《计算机研究与发展》 EI CSCD 北大核心 2022年第4期737-746,共10页

嵌套页表是一种硬件辅助的内存虚拟化模型,当前国产申威处理器上未能提供该模型所需的硬件支持.然而申威架构特有的特权程序可编程接口可以通过软件构建必要的底层硬件支持.该接口运行在申威硬件模式上,具有最高CPU特权级.基于这一特性... 嵌套页表是一种硬件辅助的内存虚拟化模型,当前国产申威处理器上未能提供该模型所需的硬件支持.然而申威架构特有的特权程序可编程接口可以通过软件构建必要的底层硬件支持.该接口运行在申威硬件模式上,具有最高CPU特权级.基于这一特性,在申威平台上实现了软件平滑嵌套页表模型swFNPT,通过软件设计优化弥补了硬件支持上的不足.特别地,使用平滑(1级)嵌套页表代替4级嵌套页表来提升页表查询效率.使用多组测试程序测试该设计的性能.在申威1621服务器上的实验结果表明:swFNPT整体性能良好.SPEC CPU 2006的平均内存虚拟化开销约为3%,SPEC CPU 2017中大工作集程序的平均开销约为4%,STREAM内存带宽测试结果显示swFNPT的带宽损失低于3%.这一工作可以为申威架构的硬件辅助虚拟化发展提供有价值的参考. 展开更多

关键词 地址转换 内存虚拟化 嵌套页表 申威架构 虚拟机管理器

在线阅读 下载PDF 职称材料