【摘要】：Xen是運行于x86體系結(jié)構(gòu)上的虛擬機監(jiān)控器,它支持多個客戶操作系統(tǒng)以高性能和強隔離性同時運行。Xen是遵循GNU許可的開源軟件。隨著現(xiàn)代計算機的發(fā)展和Intel x86體系結(jié)構(gòu)的流行,Xen成為一個研究熱點。 本文系統(tǒng)地總結(jié)和分析前人的研究成果。對基于Xen的虛擬機在操作系統(tǒng)安全性、可靠性、面向特定應(yīng)用的性能、面向特定應(yīng)用的部署等方面進行了深入細致的研究。本文的主要內(nèi)容為: 1.提出了一個優(yōu)化Xen虛擬機操作系統(tǒng)安全性的模型。新模型中,利用保護環(huán)和安全內(nèi)核的功能,虛擬機監(jiān)控器Xen中被用來保護運行時安全內(nèi)核。虛擬機監(jiān)控器運行在有最高特權(quán)級的保護環(huán)上,安全內(nèi)核和用戶進程分別運行在次高特權(quán)級和最低特權(quán)級的保護環(huán)上。當次高特權(quán)級的安全內(nèi)核試圖寫某些關(guān)鍵的系統(tǒng)資源時,寫操作必須經(jīng)過運行于最高特權(quán)級的Xen的驗證和許可。結(jié)果,該模型能夠阻止惡意代碼修改并繞過運行時安全內(nèi)核。 2.提出了一種用形式化方法優(yōu)化Xen虛擬機塊設(shè)備IO可靠性的方法。用通信順序進程和軟件體系結(jié)構(gòu)等形式化方法描述了Xen的塊設(shè)備IO體系結(jié)構(gòu),增加了約束其構(gòu)件并發(fā)交互行為的設(shè)計準則,理論上確保了并發(fā)交互的不死鎖,提高了系統(tǒng)的可靠性。以這些設(shè)計準則為指導,重新優(yōu)化了相關(guān)程序。實驗表明優(yōu)化帶來了IO吞吐量的一些降低。但系統(tǒng)的可靠性得到了增強,優(yōu)化仍具有價值。 3.提出了一種記錄Xen虛擬機操作系統(tǒng)系統(tǒng)調(diào)用日志的原型。原型讓客戶操作系統(tǒng)以非特權(quán)模式運行在虛擬機監(jiān)控器Xen上,在Xen中增加了重定向模塊和日志記錄模塊,當一個應(yīng)用程序調(diào)用系統(tǒng)調(diào)用時,它從最低特權(quán)級被重定向到處于最高特權(quán)級的虛擬機監(jiān)控器Xen,完成日志記錄后,返回到處于較高特權(quán)級的客戶操作系統(tǒng)以完成系統(tǒng)調(diào)用;與傳統(tǒng)的記錄系統(tǒng)調(diào)用日志的方法相比,原型使攻擊者毀壞或篡改這些日志更加困難。 4.提出了一個基于Xen的入侵檢測系統(tǒng)原型。SNARE是Linux操作系統(tǒng)的一個著名的入侵檢測系統(tǒng),然而,它也是易受攻擊的。一個新的方法被用來保護它免受攻擊,運用虛擬機監(jiān)控器的功能,SNARE被移植到運行在虛擬機監(jiān)控器Xen上的兩個虛擬機中,SNARE的兩個主要部分(內(nèi)核補丁和審計后臺進程)被分隔而分別放入兩個被Xen強隔離的虛擬機。Xen提供了兩個虛擬機間共享內(nèi)存的機制,運用這一機制,運行在一個虛擬機上的內(nèi)核補丁記錄并轉(zhuǎn)移審計日志到運行在另一個虛擬機上的審計后臺進程。與傳統(tǒng)的SNARE相比,新方法使攻擊者毀壞或篡改這些日志更加困難。 5.針對一類流行的IP網(wǎng)絡(luò)應(yīng)用,提出了一個性能優(yōu)化的虛擬機網(wǎng)絡(luò)原型。多個虛擬機運行在虛擬機監(jiān)控器Xen上,Xen創(chuàng)建和管理這些虛擬機。優(yōu)化原型的核心是一個新的虛擬網(wǎng)卡,所有的虛擬機通過它被互連成一個網(wǎng)絡(luò),用于虛擬機間的通信。與Xen的標準相應(yīng)模型相比,實驗和分析表明該原型改善了虛擬機間的通信性能,減少了約42%的用戶請求響應(yīng)時間。 6.針對一個特定的應(yīng)用場景(制造業(yè)產(chǎn)業(yè)鏈上企業(yè)的協(xié)同商務(wù)),提出了基于Xen虛擬機的三層協(xié)同商務(wù)服務(wù)部署體系結(jié)構(gòu)。該體系結(jié)構(gòu)能夠支持制造業(yè)產(chǎn)業(yè)鏈上的多個企業(yè)組成一個虛擬企業(yè),共享數(shù)據(jù)庫,方便、靈活、安全地實現(xiàn)虛擬企業(yè)內(nèi)的成員企業(yè)間的商務(wù)協(xié)同。應(yīng)用服務(wù)器的Xen虛擬機部署方式不僅明顯降低了服務(wù)部署的TCO成本,而且也方便了應(yīng)用服務(wù)的部署。
【學位授予單位】：電子科技大學
【學位級別】：博士
【學位授予年份】：2010
【分類號】：TP302

【參考文獻】

相關(guān)期刊論文 前4條

1 黃文,謝寄石;基于J2EE的數(shù)據(jù)庫連接服務(wù)[J];電子科技大學學報;2002年01期

2 趙慧娟,王淑營,孫林夫;面向中小企業(yè)信息化建設(shè)的ASP服務(wù)平臺[J];計算機集成制造系統(tǒng)-CIMS;2004年11期

3 趙慧娟;唐慧佳;孫林夫;;基于應(yīng)用服務(wù)提供商的汽車產(chǎn)業(yè)鏈協(xié)同商務(wù)平臺解決方案[J];計算機集成制造系統(tǒng);2006年05期

4 梅宏,陳鋒,馮耀東,楊杰;ABC:基于體系結(jié)構(gòu)、面向構(gòu)件的軟件開發(fā)方法[J];軟件學報;2003年04期

本文編號：2765491