本文關(guān)鍵詞：虛擬化技術(shù)在高安全嵌入式平臺應(yīng)用研究

  更多相關(guān)文章： 虛擬化 Linux容器 嵌入式 安全

【摘要】：隨著云計算的快速發(fā)展,虛擬化的技術(shù)也成為了研究的熱點。在嵌入式的領(lǐng)域,如何有效的利用資源是一個關(guān)鍵的問題,虛擬化技術(shù)可以有效的劃分系統(tǒng)的硬件資源,提供給應(yīng)用程序使用,但是在嵌入式資源受限的環(huán)境下,運行服務(wù)器的虛擬化技術(shù)不太現(xiàn)實,高效并且輕量級的虛擬化方案才是嵌入式虛擬化的研究重點。同時隨著嵌入式的大規(guī)模普及,安全和隱私也成為了研究中需要考慮的問題。虛擬化可以在同一個平臺上運行不同的操作系統(tǒng),將不同的應(yīng)用放在不同的操作系統(tǒng)之上運行,應(yīng)用之間相互隔離,為系統(tǒng)的安全提供了必要的保障。本文通過調(diào)研和比對現(xiàn)有的虛擬化方案的同時,提出了輕量級的操作系統(tǒng)級虛擬化的方案,并將這種方案移植到嵌入式的平臺上,通過共享內(nèi)核的方式,實現(xiàn)了在平臺上運行多個操作系統(tǒng),本文主要完成了如下工作：(1)研究和分析了當前的幾種虛擬化方案,并對它們進行了調(diào)研分析比對,最后綜合考慮選擇了Linux容器的虛擬化技術(shù)。(2)通過分析Linux的內(nèi)核源碼研究Linux容器(LXC)虛擬化方案的原理,從資源的控制和隔離的角度,闡述了LXC的工作機制以及虛擬機的創(chuàng)建過程。為實現(xiàn)安全的虛擬化方案,提出了兩種容器安全增強的方案并對其進行分析,意在系統(tǒng)調(diào)用和訪問控制兩個方面對虛擬化的方案進行改進。(3)優(yōu)化嵌入式系統(tǒng)環(huán)境,對課題平臺所提供的內(nèi)核進行裁剪和優(yōu)化,并對裁剪的系統(tǒng)進行實驗分析。在優(yōu)化過的系統(tǒng)上,通過修改內(nèi)核和LXC的源碼,完成了LXC的移植工作,成功實現(xiàn)了在同一平臺運行多個操作系統(tǒng)。在虛擬化安全增強方面,限制了容器內(nèi)的進程執(zhí)行不安全的系統(tǒng)調(diào)用,在容器外的進程不能改寫容器的文件系統(tǒng)。(4)從三個方面對系統(tǒng)進行了測試實驗,通過實驗結(jié)果的分析,驗證了安全增強的LXC虛擬化方案在性能、靈活性以及安全方面都有比較好的表現(xiàn)。
【關(guān)鍵詞】：虛擬化 Linux容器 嵌入式 安全
【學位授予單位】：南京理工大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP368.1
【目錄】：

• 摘要3-4
• Abstract4-8
• 1 緒論8-14
• 1.1 課題研究背景8
• 1.2 課題研究現(xiàn)狀8-11
• 1.3 課題項目背景11-12
• 1.4 課題主要研究工作12-13
• 1.5 論文的組織結(jié)構(gòu)13-14
• 2 硬件平臺與相關(guān)技術(shù)14-25
• 2.1 硬件平臺與系統(tǒng)簡介14-16
• 2.2 Bootloader簡介16-19
• 2.3 虛擬化技術(shù)介紹19-24
• 2.3.1 平臺虛擬化20-22
• 2.3.2 操作系統(tǒng)級虛擬化22-23
• 2.3.3 容器虛擬化方案LXC23-24
• 2.5 小結(jié)24-25
• 3 LXC安全虛擬化方案實現(xiàn)機制分析25-41
• 3.1 控制組機制25-29
• 3.1.1 Cgroup結(jié)構(gòu)分析26-27
• 3.1.2 Cgroup控制原理27-29
• 3.2 內(nèi)核命名空間機制29-33
• 3.2.1 PID命名空間30
• 3.2.2 IPC命名空間30-31
• 3.2.3 MNT命名空間31-32
• 3.2.4 NET命名空間32-33
• 3.2.5 UTS命名空間33
• 3.3 LXC執(zhí)行過程分析33-36
• 3.3.1 LXC工具包分析33-34
• 3.3.2 容器啟動過程分析34-36
• 3.4 虛擬化安全增強方案分析36-40
• 3.4.1 Seccomp策略36-37
• 3.4.2 Linux安全模塊37-39
• 3.4.3 基于LSM框架的SELinux安全模塊39-40
• 3.5 小結(jié)40-41
• 4 安全容器設(shè)計與實現(xiàn)41-53
• 4.1 內(nèi)核移植與裁剪41-45
• 4.2 LXC在pandaboard上的實現(xiàn)45-50
• 4.2.1 內(nèi)核源碼修改45-47
• 4.2.2 LXC源碼修改47-48
• 4.2.3 創(chuàng)建容器48-50
• 4.3 容器安全增強實現(xiàn)50-52
• 4.3.1 Seccomp策略實現(xiàn)50-51
• 4.3.2 SELinux安全模塊實現(xiàn)51-52
• 4.4 小結(jié)52-53
• 5 系統(tǒng)測試與分析53-60
• 5.1 性能測試53-55
• 5.1.1 內(nèi)存占用指標53-54
• 5.1.2 CPU運算指標54-55
• 5.2 資源隔離測試55-57
• 5.2.1 CPU隔離55-56
• 5.2.2 內(nèi)存隔離56-57
• 5.2.3 IO帶寬隔離57
• 5.3 安全測試57-59
• 5.3.1 系統(tǒng)調(diào)用測試58
• 5.3.2 訪問控制測試58-59
• 5.4 小結(jié)59-60
• 6 總結(jié)與展望60-62
• 6.1 本文工作總結(jié)60-61
• 6.2 未來研究工作61-62
• 致謝62-63
• 參考文獻63-65
• 附錄65

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前2條

1 吳革;李健;賴英旭;;基于操作系統(tǒng)容器虛擬化技術(shù)的JBS模型的研究[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2010年04期

2 黃昆;;“橫刀一切”:資源訪問虛擬化[J];中國計算機用戶;2007年08期

中國碩士學位論文全文數(shù)據(jù)庫 前2條

1 孫鵬;基于虛擬化技術(shù)的智能手機移動辦公的研究與應(yīng)用[D];復旦大學;2011年

2 李全;基于Linux的USB網(wǎng)絡(luò)設(shè)備驅(qū)動程序的研究[D];華中科技大學;2010年

，

本文編號：606671