基于Intel VT-d技術(shù)的虛擬機(jī)安全隔離研究.pdf

1、近幾年，隨著互聯(lián)網(wǎng)業(yè)務(wù)的飛速發(fā)展，以及計(jì)算機(jī)硬件能力的不斷升級，虛擬化技術(shù)得到了廣泛的應(yīng)用，隨著Intel VT技術(shù)的推出，出現(xiàn)了一大批性能優(yōu)異的虛擬化技術(shù)，Xen就是之中的代表之一。Xen具有開源、高效的特點(diǎn)，但Xen也存在著自身的安全問題，比如攻擊者可以從客戶虛擬機(jī)所占用的內(nèi)存中讀到敏感信息，進(jìn)而可以將攻擊擴(kuò)散到虛擬機(jī)管理域 VM0和它上層的所有虛擬域。資源隔離，是虛擬機(jī)技術(shù)必不可少的重要安全手段，但是目前的性能和隔離效果并不能令人

2、滿意。Intel退出的VT-d技術(shù)在芯片級對虛擬機(jī)提供支持，對傳統(tǒng)的操作系統(tǒng)起到了很好的安全隔離作用，并能有效的提高虛擬機(jī)的I/O性能。在深入的分析linux環(huán)境下Xen完全虛擬化技術(shù)理論的基礎(chǔ)上，基于Intel VT-d技術(shù)，我們提出了一種安全的虛擬機(jī)隔離方案。該方案通過安全內(nèi)存管理（SMM）和安全I(xiàn)/O管理（SIOM）兩種手段進(jìn)行保護(hù)，完善了Xen宿主機(jī)系統(tǒng)與虛擬機(jī)系統(tǒng)之間的安全隔離，為Xen虛擬機(jī)在實(shí)際的安全隔離環(huán)境中的應(yīng)用提供了