VMM中Guest OS非陷入系统调用指令截获与识别

针对虚拟化环境下Guest OS某些特定指令行为不会产生陷入从而在虚拟机管理器(virtual machine monitor,VMM)中无法对其进行监控处理的问题,提出通过改变非陷入指令正常运行条件,使其执行非法产生系统异常陷入VMM的思想;据此就x86架构下Guest OS中3种非陷入系统调用指令在VMM中的截获与识别进行研究:其中基于int和sysenter指令的系统调用通过使其产生通用保护(general protection,GP)错系统异常而陷入,基于syscall指令的系统调用则通过使其产生UD(undefined)未定义指令系统异常而陷入,之后VMM依据虚拟处理器上下文现场信息对其进行识别;基于Qemu&Kvm实现的原型系统表明:上述方法能成功截获并识别出Guest OS中所有3种系统调用行为,正常情况下其性能开销也在可接受的范围之内,如在unixbench的shell测试用例中,其性能开销比在1.900~2.608之间.与现有方法相比,它们都是以体系结构自身规范为基础,因此具有无需修改Guest OS、跨平台透明的优势.

XtratuM平台上的μC/OS-Ⅱ半虚拟化研究与实现

XtratuM虚拟机管理器是一款面向嵌入式安全关键领域的虚拟机管理器。XtratuM系统的每个分区上可运行一个经过修改的客户操作系统,但目前其支持的客户操作系统并不包括μ/COS-Ⅱ嵌入式实时操作系统。为此,在研究XtratuM架构的基础上,给出基于XtratuM虚拟机管理器的半虚拟化方案。利用XtratuM提供的系统调用服务向客户操作系统的μ/COS-Ⅱ隐藏不必要的硬件细节,重新设计μ/COS-Ⅱ的任务栈帧以及上下文切换算法以避免对特权指令的使用,将虚拟时钟中断挂接到XtratuM系统来保证μ/COS-Ⅱ任务的正常调度。实验结果证明,作为客户操作系统的2个μ/COS-Ⅱ可以相对独立地按照既定调度方案运行于同一个x86硬件平台上。

电信云虚拟基础设施安全风险分析与安全策略研究

电信云作为资源池,可分配不同的资源给用户使用。目前,提供防止外部攻击的技术措施保护资源和数据的安全,提供合适的数据保护策略防止用户数据泄露,这些都是电信云平台需要解决的网络信息安全挑战。本文分析了电信云虚拟基础设施业务面及管理面信息网络的安全风险,并从虚拟化网络、虚拟化存储、虚拟化计算、Guest OS、Host OS等维度全方位提出了电信云基础设施系统化信息安全的解决方案,从而为构建动态、主动、全网协同与智能运维的电信云平台纵深安全防护体系提供了技术支撑。

基于EPT的内存虚拟化研究与实现

为降低虚拟机监控器在内存虚拟化方面的开销,提高内存虚拟化性能,分析了两种的内存虚拟化机制,着重对基于Intel扩展页表的内存虚拟化机制进行了研究,分析了基于扩展页表的两种内存虚拟化方案优劣,并进一步分析了影响内存虚拟化性能的因素。针对扩展页表页故障,提出了页池的动态内存分配方案。内存虚拟化实现表明,采用扩展页表实现内存虚拟化能简化了设计流程,有效地提高了内存虚拟化性能。

Xen虚拟CPU空闲调度算法

在Xen虚拟化环境下,Credit调度算法是非抢占式调度算法,当虚拟CPU空时它不会将空闲状态信息通知给Xen,因此不会放弃物理CPU的使用权.虽然已有文献提出在虚拟CPU空闲时的处理方法,但它依然存在很多问题,例如空闲虚拟CPU的空闲时间还存在浪费的现象、没有考虑特权Service OS的空闲状态和虚拟机空闲状态判断不准确等,这造成很多不必要的性能损失.针对这样的问题,在Credit算法的基础上提出了虚拟CPU空闲调度算法,虚拟CPU空闲状态接收模块接收到的虚拟CPU空闲通知,动态调整该虚拟机的虚拟CPU的credit值,并将空闲的CPU时间分配给调度队列中其他的虚拟CPU使用.同时,根据该虚拟机的虚拟CPU的平均空闲率,重新调整该虚拟机的权重,从而实现了反馈控制与虚拟机调度的动态集成,实验结果证明该调度方法使系统的整体性能得到大大提高.

自适应调整虚拟机权重参数的调度方法

在基于特权服务操作系统的虚拟机架构下客户操作系统需要借助特权服务操作系统来访问真实硬件,目前虚拟机调度算法的优化主要是侧重于I/O密集型虚拟机的研究,而忽视了CPU密集型虚拟机,更忽视了特权服务操作系统的I/O处理能力对虚拟机整体性能的影响.针对这些问题,提出了一种基于Credit算法的自适应调整虚拟机权重参数的优化调度方法,将特权服务操作系统的I/O处理能力作为虚拟机参数调整的一个重要参数,同时兼顾I/O密集型虚拟机和CPU密集型虚拟机对资源的需求.实验结果表明该方法能够及时根据当前的I/O请求数量和特权服务操作系统的处理能力合理调整虚拟机的权重参数,从而大大提高了客户操作系统CPU处理性能和硬件设备的访问性能.

Xen虚拟机的虚拟CPU松弛协同调度方法

目前,Xen虚拟机调度算法均采用独立调度虚拟CPU的方式,而没有考虑虚拟机各虚拟CPU之间的协同调度关系,这会使虚拟机各个虚拟CPU之间产生很大的时钟中断数量偏差等问题,从而导致系统不稳定.为了提高系统的稳定性,基于Credit算法提出了一种比RCS(relaxed co-scheduling)算法更松弛的协同调度算法MRCS(more relaxed co-scheduling).该算法采用非抢占式协同调整方法将各个虚拟CPU相对运行的时间间隔控制在同步时间检测的上限门限值Tmax之内,同时利用同步队列中虚拟CPU优化选择调度方法和Credit算法的虚拟CPU动态迁移方法,能够更加及时地协同处理虚拟CPU,并且保证了各个物理CPU的负载均衡,有效地减少客户操作系统与VMM的环境切换次数,降低了系统开销.实验结果证明该方法不但保证了系统的稳定性,而且使系统性能得到一定程度的提升.虚拟机调度算法不仅影响虚拟机的性能,更会影响虚拟机的稳定性,致力于虚拟机调度算法的研究是一项非常有意义的工作.

嵌入式虚拟机管理器内存虚拟化方法研究

嵌入式虚拟机管理器需对3类硬件资源进行虚拟化才能支持客户OS的正常运行,而且支持虚拟内存的客户OS需对MMU页表进行虚拟化;以NXP公司的PowerPC架构处理器为例介绍了MMU概况、管理方法,并提出MMU虚拟化的需求;研究了XEN、ViMo、KVM/ARM、NOVA、MobiVMM 5个典型虚拟机管理器软件中所采用的主流内存虚拟化方案,并给出了基于软件影子页表、基于硬件支持特性、软硬件结合等3种对MMU页表进行虚拟化的解决方案。

VMware的技术与应用探析

虚拟化技术是当今服务器技术的一个主流方向,也是一项在计算机领域具有革命性意义的技术.作为x86架构体系下虚拟化技术的领军者-VMware,在技术上有其独到之处.研究VMware的技术与应用,对探知其优秀的技术特点,了解其成熟的产品体系有着现实意义.

虚拟化中断异常设计与实现

中断异常虚拟化解决虚拟机管理器与虚拟机的中断异常处理兼容性问题能够保证虚拟机管理器对中断异常的绝对控制权,又能够保证虚拟机原生的中断异常处理过程。以Power PC的E500MC处理器核心为平台,设计实现了一种中断异常虚拟化方案。

存储虚拟化设计与实现

虚拟化技术研究广泛应用于服务器到PC机,目前在嵌入式机载领域也有很多相关研究。存储虚拟化是虚拟化技术的关键部分,能够提供虚拟机之间的空间隔离能力,保证虚拟机之间不会出现空间访问越界,并且保证客户操作系统的MMU功能。本文在机载领域使用的硬件平台Power PC E500mc处理器上设计实现了存储虚拟化。

设备虚拟化方法研究与实现

针对虚拟机监控器在IO虚拟化方面存在的性能瓶颈,分析了现有IO虚拟化模型存在的问题,提出了一种基于IO处理机的协作型虚拟机监控器。建立了基于IO处理机的IO虚拟化模型,实现了对客户机操作系统IO访问请求的处理,并进一步给出了该方法下从设备发现到功能模拟等关键技术。实验结果表明,基于IO处理机的IO虚拟化模型能够提供更为稳定的系统环境,并能有效提高整个系统性能。

A Protective Mechanism for the Access Control System in the Virtual Domain

In traditional framework,mandatory access control(MAC) system and malicious software are run in kernel mode. Malicious software can stop MAC systems to be started and make it do invalid. This problem cannot be solved under the traditional framework if the operating system(OS) is comprised since malwares are running in ring 0 level. In this paper,we propose a novel way to use hypervisors to protect kernel integrity and the access control system in commodity operating systems. We separate the access control system into three parts: policy management(PM),security server(SS) and policy enforcement(PE). Policy management and the security server reside in the security domain to protect them against malware and the isolation feather of the hypervisor can protect them from attacks. We add an access vector cache(AVC) between SS and PE in the guest OS,in order to speed up communication between the guest OS and the security domain. The policy enforcement module is retained in the guest OS for performance. The security of AVC and PE can be ensured by using a memory protection mechanism. The goal of protecting the OS kernel is to ensure the security of the execution path. We implementthe system by a modified Xen hypervisor. The result shows that we can secure the security of the access control system in the guest OS with no overhead compared with modules in the latter. Our system offers a centralized security policy for virtual domains in virtual machine environments.Keywords: hypervisor; virtualization; memo-

一种轻量级软件划分系统

提出一种应用在多核网络处理器平台上的轻量级软件划分方案,以支持多个异构OS在同一物理主机中同时运行,在尽量满足整个网络处理系统可靠性和安全性的前提下提高系统的业务融合能力。首先分析传统系统虚拟化技术在网络处理器平台中应用的缺陷和不足,并提出一种轻量级的软件划分方案;接着分别从系统物理资源划分、运行时控制系统和分层运行结构几个方面描述系统设计中的关键问题;最后通过测试数据验证了整体系统的性能。

客户操作系统中断虚拟化的研究与实现

为解决操作系统在运行于虚拟机管理器提供的虚拟化环境中,无法直接处理系统中的中断的问题,针对虚拟化操作系统的中断处理,结合虚拟机管理器所能提供的功能,提出了一种中断虚拟化的模型,并以Vx Works 5.5为验证对象进行了中断虚拟化的实现以及验证,通过验证结果表明,中断虚拟化模型能够保证客户操作系统中断的正常处理。

利用虚拟平台 创建实验机房

一直以来,学校机房的管理都存在着管理难度较大的问题,特别是计算机专业的一些课 程实验,往往与机房管理的要求发生冲突．本文主要是利用虚拟平台技术,通过“虚拟机一软件 VMWare,在现有的硬件基础上,可“虚拟”出若干台“虚拟机”供学生实验,而又不会破坏原有系统, 从而实现一个机房的多种用途．

一种基于微核架构的虚拟化设备高效访问模型

文章提出了一种基于微核架构的虚拟化设备高效访问模型,这种访问模型的基本思想就是把设备驱动程序置于虚拟机管理器内核之外的用户空间,然后,通过向客户OS中插入代理驱动/插桩驱动,它可以把用户的I/O请求转化为到驱动程序的IPC消息,从而完成多分区对设备的并发访问请求。此方法可以提供和内核态驱动相接近的性能、更好的信息安全性能、减小内核尺寸、故障隔离以及实现虚拟机管理器内核可形式化验证的目标。