云計算中XEN虛擬機安全隔離相關技術綜述

北京林業大學北京密碼管理局北京 王雅超

北京密碼管理局北京 黃澤剛

引言

將系統進行虛擬化后，一臺物理計算機系統虛擬化為多臺虛擬計算機系統，每臺虛擬機都有自己的硬件（包括CPU、內存、I/O等設備），通過虛擬化層的模擬，虛擬機中的操作系統認為自己獨占一個操作系統在運行。每個虛擬機中的操作系統可以完全不同，其執行環境也是完全獨立的。利用計算虛擬化技術可以實現快速存儲和計算性能的無縫擴展，因此虛擬化技術為云計算提供了很好的底層技術平臺，是云計算技術的精髓。但是云計算平臺上的云架構提供者必須向客戶提供具有安全隔離保證的虛擬機[6]，在保證共享資源的前提下，實現虛擬機的安全運行[7]。從目前的情況來看，提供給使用者的虛擬機必須保證虛擬機與宿主機之間運行指令、存儲空間、網絡流量和用戶訪問的隔離。

虛擬化實現技術中，虛擬化層就是業內定義的VMM（虛擬機監視器）。從VMM提供的虛擬化平臺類型可以將虛擬化技術分為完全虛擬化和半虛擬化兩大類：安全虛擬化指客戶操作系統不需要做任何修改就可以運行；半虛擬化要求操作系統進行修改來適應虛擬化平臺。目前半虛擬化技術基本很少被采用，VMM基本都采用完全虛擬化技術。完全虛擬化經歷了兩個階段：軟件輔助的完全虛擬化和硬件輔助的完全虛擬化。隨著虛擬化技術成為云計算的核心技術，日益發展壯大，為了能夠取得先機，x86廠商在硬件上加入了對虛擬化的支持，因此目前基本上所有的VMM都是基于硬件輔助虛擬化實現的完全虛擬化。……