【摘要】：早在20世紀60年代就已經有了虛擬化技術,當時主要使用在大容量的服務器上,IBM第一個使用這種特定的技術在服務器上增加了一個新的空間層,用于進行虛擬化。它具有不同于以往任何一款軟硬件的功能,一方面能夠主動獲取軟件應用層方面對其它層的請求,另一方面,它能夠對這些請求進行新的闡述和更改,經過這兩個協(xié)作后,共同達到提供一些新功能。隨著相關技術的更新和硬件的發(fā)展,提供了很好的從大型服務器向個人電腦拓展的機會。 虛擬化具有自身獨有的特點,使用虛擬化,可以跨越平臺的限制,為多種不同的硬件提供相關分享和多種服務,尤其是它能夠為單獨的PC使用者提供屬于自己的個人計算服務空間；除此之外,虛擬化技術能夠高效地利用服務器資源,通過對服務器進行虛擬化操作；同時,提供各個虛擬化空間的隔離性,使其之間不會相互干擾,提高各個系統(tǒng)操作的穩(wěn)定性 虛擬化技術的一個目標就是充分利用以前閑置的服務器資源,并高效的使用,使成本下降。其中主要是通過對服務器進行虛擬化,運行多個虛擬機,提供多層服務,比如說有些通信密集型軟件服務,各個虛擬機間的通信頻率就會提高。 本文側重于XEN虛擬機之間的通信信息安全,分析其特有的通信路徑特點,通過在通信路徑上不同的環(huán)節(jié)上對通信信息進行加解密處理,增強信息安全性 XEN中兩個不同的客戶虛擬機需要通信,首先需要考慮兩種情況：1、兩臺虛擬機在同一個物理主機上；2、兩臺虛擬機位于不同的物理主機上。對于第一種情況,消息首先會傳輸?shù)教摂M機的前端驅動(front-end),然后再將信息傳輸?shù)教貦嗵摂M機的后端驅動(back-end),信息通過特權虛擬機的驅動模型(Driver Model)處理,回到特權虛擬機的后端驅動,繼而轉發(fā)到接受消息的客戶虛擬機的前端驅動,消息到達目的虛擬機的應用層,完成一次通信。而第二種情況與第一種有所不同的是,消息到達特權虛擬機后,會通過它里面的原生網卡驅動送到真實的網卡中發(fā)送。同樣的方式,另一臺物理主機進行接受消息,最終抵達目的虛擬機。但是正如真實物理機進行通信一樣,跨域虛擬機進行通信同樣會受到信息被截獲的威脅。 為了有效地保障虛擬機通信信息安全,本論文立足于自身對虛擬化研究的基礎上,結合虛擬機通信的特點,設計并實現(xiàn)了一個加解密模塊,根據linux核心模塊的特點,該模塊采用netfilter鉤子函數(shù),在虛擬機通信路徑上進行信息提取,并進行相應的加解密處理,整體上不僅對原有的代碼的干擾盡量小,同時能夠有效地提高通信安全度。 最后,考慮到可能的模塊處理帶來的性能負擔,論文做了一些方案進行試驗分析,分別從延遲、CPU利用率等多個方面與未放置模塊時進行對比。相關信息表明,增加相應的加解密模塊后,虛擬機間進行通信時,對相關性能影響在可接受的范圍之內。
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2013
【分類號】：TN918.4;TP302

【參考文獻】

相關期刊論文 前7條

1 黃良良;韓軍;汪倫偉;;基于Xen硬件虛擬機的安全通信機制研究[J];計算機安全;2010年03期

2 王紅兵;虛擬現(xiàn)實技術—回顧與展望[J];計算機工程與應用;2001年01期

3 胡冷非;李小勇;;基于Xen的I/O準虛擬化驅動研究[J];計算機工程;2009年23期

4 懷進鵬;李沁;胡春明;;基于虛擬機的虛擬計算環(huán)境研究與設計[J];軟件學報;2007年08期

5 王一平;韋衛(wèi);;網絡安全框架Netfilter在Linux中的實現(xiàn)[J];計算機工程與設計;2006年03期

6 朱團結;艾麗蓉;;基于共享內存的Xen虛擬機間通信的研究[J];計算機技術與發(fā)展;2011年07期

7 薛海峰;卿斯?jié)h;張煥國;;XEN虛擬機分析[J];系統(tǒng)仿真學報;2007年23期

本文編號：2767269