基于嵌套虛擬化的Hypervisor內(nèi)存保護(hù)機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)
發(fā)布時(shí)間:2023-04-19 03:34
虛擬機(jī)監(jiān)控器(Hypervisor)是云計(jì)算的核心組成部分,它負(fù)責(zé)為虛擬機(jī)提供安全保護(hù)。Hypervisor通過在內(nèi)存中維護(hù)一些關(guān)鍵數(shù)據(jù)來管理和保護(hù)虛擬機(jī)。如果這些關(guān)鍵數(shù)據(jù)的完整性被破壞,那虛擬機(jī)的安全也必然受到威脅。然而目前商用的Hypervisor通常有較大的攻擊面,這使得其內(nèi)存中的關(guān)鍵數(shù)據(jù)很容易被攻擊者(一個(gè)惡意的虛擬機(jī))篡改,進(jìn)而威脅到其他虛擬機(jī)的安全。為了解決這一問題,現(xiàn)有的解決方案通常采用HVI(HyperVisor Introspection)架構(gòu)。HVI利用嵌套虛擬化,使Hypervisor運(yùn)行在一個(gè)比它權(quán)限更高的嵌套Hypervisor軟件層之上。HVI用一個(gè)監(jiān)控器來動(dòng)態(tài)地檢查Hypervisor中的行為,從而保證Hypervisor內(nèi)存數(shù)據(jù)的安全。同時(shí)為了確保監(jiān)控器能安全工作,HVI將監(jiān)控器放在一個(gè)與不可信的Hypervisor隔離的并由嵌套Hypervisor保護(hù)的可信虛擬機(jī)中。這種從Hypervisor外部對(duì)其進(jìn)行監(jiān)控的方式雖然能很好地保證Hypervisor的安全,但在嵌套虛擬化環(huán)境下監(jiān)控器和Hypervisor之間的上下文切換會(huì)產(chǎn)生大量的性能開銷。這也導(dǎo)致H...
【文章頁數(shù)】:82 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 研究背景
1.2 研究現(xiàn)狀
1.3 本文研究?jī)?nèi)容
1.4 本文結(jié)構(gòu)
第二章 技術(shù)背景
2.1 虛擬化技術(shù)
2.1.1 硬件輔助虛擬化
2.2 嵌套虛擬化技術(shù)
2.3 Intel硬件虛擬化特性
2.3.1 EPT Violation和 Virtualization Exception
2.3.2 EPTP Switching VMFUNC
2.4 本章小結(jié)
第三章 IHMI系統(tǒng)設(shè)計(jì)
3.1 威脅模型
3.2 場(chǎng)景分析
3.3 系統(tǒng)目標(biāo)
3.3.1 安全目標(biāo)
3.3.2 性能目標(biāo)
3.4 IHMI概述
3.5 IHMI的設(shè)計(jì)
3.5.1 內(nèi)存隔離
3.5.2 監(jiān)控器和Hypervisor之間的切換
3.5.3 監(jiān)控器的設(shè)計(jì)
3.6 本章小結(jié)
第四章 IHMI系統(tǒng)實(shí)現(xiàn)
4.1 寄存器保護(hù)
4.2 地址空間隔離
4.3 監(jiān)控器和Hypervisor之間的切換
4.3.1 高效地切換
4.3.2 安全地切換
4.4 監(jiān)控器的實(shí)現(xiàn)
4.4.1 安全保障模塊的實(shí)現(xiàn)
4.4.2 檢查模塊的實(shí)現(xiàn)
4.4.3 處理模塊的實(shí)現(xiàn)
4.4.4 退出模塊的實(shí)現(xiàn)
4.4.5 高效地監(jiān)控
4.5 Hypervisor全生命周期內(nèi)存保護(hù)
4.5.1 系統(tǒng)初始化
4.5.2 運(yùn)行時(shí)內(nèi)存保護(hù)
4.6 本章小結(jié)
第五章 安全分析與性能評(píng)測(cè)
5.1 安全分析
5.1.1 IHMI自身安全
5.1.2 Hypervisor的內(nèi)存數(shù)據(jù)安全
5.1.3 安全分析小結(jié)
5.2 性能評(píng)測(cè)
5.2.1 系統(tǒng)內(nèi)部操作的開銷
5.2.2 系統(tǒng)處理寫操作的開銷
5.2.3 系統(tǒng)整體性能
5.2.4 性能評(píng)測(cè)小結(jié)
5.3 本章小結(jié)
第六章 總結(jié)與展望
6.1 HVI和 IHMI對(duì)比
6.2 討論與展望
6.2.1 IHMI的優(yōu)勢(shì)和作用
6.2.2 安全強(qiáng)化
6.2.3 性能改進(jìn)
6.2.4 其他Hypervisor支持
參考文獻(xiàn)
致謝
攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文
本文編號(hào):3793635
【文章頁數(shù)】:82 頁
【學(xué)位級(jí)別】:碩士
【文章目錄】:
摘要
abstract
第一章 緒論
1.1 研究背景
1.2 研究現(xiàn)狀
1.3 本文研究?jī)?nèi)容
1.4 本文結(jié)構(gòu)
第二章 技術(shù)背景
2.1 虛擬化技術(shù)
2.1.1 硬件輔助虛擬化
2.2 嵌套虛擬化技術(shù)
2.3 Intel硬件虛擬化特性
2.3.1 EPT Violation和 Virtualization Exception
2.3.2 EPTP Switching VMFUNC
2.4 本章小結(jié)
第三章 IHMI系統(tǒng)設(shè)計(jì)
3.1 威脅模型
3.2 場(chǎng)景分析
3.3 系統(tǒng)目標(biāo)
3.3.1 安全目標(biāo)
3.3.2 性能目標(biāo)
3.4 IHMI概述
3.5 IHMI的設(shè)計(jì)
3.5.1 內(nèi)存隔離
3.5.2 監(jiān)控器和Hypervisor之間的切換
3.5.3 監(jiān)控器的設(shè)計(jì)
3.6 本章小結(jié)
第四章 IHMI系統(tǒng)實(shí)現(xiàn)
4.1 寄存器保護(hù)
4.2 地址空間隔離
4.3 監(jiān)控器和Hypervisor之間的切換
4.3.1 高效地切換
4.3.2 安全地切換
4.4 監(jiān)控器的實(shí)現(xiàn)
4.4.1 安全保障模塊的實(shí)現(xiàn)
4.4.2 檢查模塊的實(shí)現(xiàn)
4.4.3 處理模塊的實(shí)現(xiàn)
4.4.4 退出模塊的實(shí)現(xiàn)
4.4.5 高效地監(jiān)控
4.5 Hypervisor全生命周期內(nèi)存保護(hù)
4.5.1 系統(tǒng)初始化
4.5.2 運(yùn)行時(shí)內(nèi)存保護(hù)
4.6 本章小結(jié)
第五章 安全分析與性能評(píng)測(cè)
5.1 安全分析
5.1.1 IHMI自身安全
5.1.2 Hypervisor的內(nèi)存數(shù)據(jù)安全
5.1.3 安全分析小結(jié)
5.2 性能評(píng)測(cè)
5.2.1 系統(tǒng)內(nèi)部操作的開銷
5.2.2 系統(tǒng)處理寫操作的開銷
5.2.3 系統(tǒng)整體性能
5.2.4 性能評(píng)測(cè)小結(jié)
5.3 本章小結(jié)
第六章 總結(jié)與展望
6.1 HVI和 IHMI對(duì)比
6.2 討論與展望
6.2.1 IHMI的優(yōu)勢(shì)和作用
6.2.2 安全強(qiáng)化
6.2.3 性能改進(jìn)
6.2.4 其他Hypervisor支持
參考文獻(xiàn)
致謝
攻讀學(xué)位期間發(fā)表的學(xué)術(shù)論文
本文編號(hào):3793635
本文鏈接:http://sikaile.net/kejilunwen/ruanjiangongchenglunwen/3793635.html
最近更新
教材專著
