|
- UID
- 1029342
- 性别
- 男
|
================特殊的虚拟化项目==============================================
5. NOVA: AMicrohypervisor-Based Secure Virtualization Architecture
内容提要:
1) 主题思想:当前hypervisor大而且易于被攻击,为了克服这个缺点,本文设计了一个能提高整个系统安全性的hypervisor,可以用来运行多个未修改的操作系统,而且要比当前的虚拟化系统小一个数量级。
2) 论文贡献:极大的减少了特权级下代码;减少了虚拟机可行计算部分一个数量级;虚拟机通讯开销可以减少,同时NOVA取得了全虚拟化很好的性能。
3) 背景:虚拟机追述到19世纪60年代中期,在沉寂了一段时间后,90年代末期以Disco和VMware商业上的成功为代表,虚拟机开始了复兴阶段。随着x86的全虚拟化硬件支持的提出,新的虚拟机环境开始浮现。虚拟机又分为全虚拟化和半虚拟化。虚拟机对安全性影响有正面的和负面的,主要是根据实现方式。
4) TCB相比:实验正面NOVA的TCB要远远小于其他的虚拟机系统。
5) NOVA架构:
a) 两大原则:其一是功能分解为:微hypervisor;root划分管理器;多虚拟机管理器;设备驱动和其他系统服务。其二是所有组件中执行最小权限原则。
b) 具体架构:见图2
c) 攻击模型:略
d) Microhypervisor:提供了保护域,执行上下文,调度上下文,通讯门,信号系统。
e) 内存管理:尽量使用EPT等,否则使用vTLB算法
f) Root 划分管理器:负责初始化分配资源
g) VMM:指令模拟;设备模拟;设备通讯;BIOS模拟;多核模拟
6) 性能测试:
a) 内核编译:分别测试含VPID, 不含VPID等方式。。。
b) 硬盘性能:硬盘顺序读不同块大小。额外开销增加在三方面:设备虚拟,中断虚拟,数据传输。
c) 网络性能:Netperf测试
d) User和Kernel模式转换:设计了一系列实验用于测量转换时间。
e) 虚拟机退出频率:略
=============一种新的嵌入式虚拟化思想==========================================
6. Cells: A Virtual Mobile Smartphone Architecture
内容提要:
1) 提出了一种名为Cells的可以安全独立的运行多个系统的嵌入式系统。主要思想使用单一的linux内核和多个文件系统,linux内核提供虚拟的各个设备,多个文件系统之间可以切换。现实中比较类似chroot程序的应用,但是做的安全性和隔离线要比chroot好的多估计。
2) 背景:网上轻易的下载应用程序极易导致安全性问题,以及一些工作,娱乐等冲突问题。ARM虽然可以实现虚拟化但是需要类虚拟化
3) CELL虚拟化架构:支持在一个操作系统上跑多个虚拟机的架构,操作系统又分前端和后端。后端不显示,前端可以直接访问所有的硬件,后端只能共享硬件当前端不需要独享硬件的时候。前端可以获得物理机速度。Cells可以为每个虚拟机使用VoIP 技术为不同的VP提供不同的phone number而不需要不同的SIM卡。
4) Cell使用特点:支持多个操作系统切换,多个系统由外部生成好拷贝至手机中。对设备分别有no access;shared access;exclusive access三种权限控制模式。
5) Cell 设计特点:利用device namespace区分不同的虚拟机内核和用户程序。虚拟化很奇特。其实主要是文件系统之前切换而不是内核切换,因此涉及不到cpu虚拟化内存虚拟化等标准的虚拟化解决方案。因此其主要内容是外设和资源的共享。
6) Cell 测试结果:测试标准:CPU性能:linpack;文件I/O:Quandrant Advanced Edition v1.1.1;3D图形:Neocore by Qualcomm;网络浏览:SunSpider v0.9.1 JavaScript benchmark;网络性能:wget下包;能耗:播放音乐,每10分钟计算电池剩余量。 |
|
