基于虚拟化的系统安全增强及显卡
透传研究
1 目录
2概述 .................................................................................................................... 4
1
3操作系统安全增强模型 .................................................................................... 5 4KVM虚拟机 ......................................................................................................... 7 5直接地址映射技术 ............................................................................................ 8
5.1基本原理.................................................................................................. 8 5.2实现方式.................................................................................................. 9 6显卡直接分配 .................................................................................................. 10
6.1显卡在KVM虚拟机中的注册 .............................................................. 11 6.2显卡专用总线的注册............................................................................ 12 6.3显卡资源直接映射................................................................................ 12
6.3.1历史遗留资源映射 .................................................................... 12 6.3.2显卡资源映射 ............................................................................ 13 6.4卡的PCI配置空间 ................................................................................ 14 6.5VGA BIOS ................................................................................................. 15 6.6DMA映射 ............................................................................................... 15 7小结 .................................................................................................................. 15
2
摘要:本文着重于探讨系统虚拟化技术在终端安全领域的应用前景以及在推广应用中所面临的显卡性能问题的解决办法。针对个人终端操作系统安全问题,提出了一种基于系统虚拟化技术的操作系统安全增强模型,并基于KVM虚拟机深入研究了提高该模型下虚拟机显示性能的显卡透传技术的具体实现。实验结果证明显卡透传技术能够突破虚拟机客户操作系统的显示性能瓶颈问题,使得客户机操作系统能够像真实操作系统一样满足图形显示与处理应用,对虚拟技术在终端安全领域的发展拓展了更广阔的空间。
关键词:系统虚拟化技术;系统安全增强;KVM虚拟机;显卡透传;直接地址映射
The Research on Virtualization-Based System Security Enhancements and
Graphics Card Pass-Through
HOU Jian-Ning1,DONG Gui-Shan2,WANG Yin3,SHEN Ya4 (1.No.30 Institute of China Electronics Tecnology Group
Corporation,Chendu,Sichuan 610041,China; 2. No.30 Institute of China Electronics Tecnology Group
Corporation,Chendu,Sichuan 610041,China; 3.No.30 Institute of China Electronics Tecnology Group
Corporation,Chendu,Sichuan 610041,China;
4.Westone Information Industry Inc.Chendu,Sichuan 610051,China) Abstract: This paper focuses on the prospect of system virtualization technology which applications in the terminal security field, and investigate the solution of the graphics performance problem when people promote the technology. For security issues of personal terminal operating system, this paper propose a security Enhancements model based on the system virtualization technology on operating system, and in-depth study implementation of graphics Card pass-through technology to improve virtual machine performance based on this model on KVM virtual machine. Experimental results show that graphics Card pass-through technology can breakthrough display performance
3
bottlenecks of the virtual machine client operating system. This technology can make client operating system meet the graphics and processing applications as a real operating system, and can expand more space for development of terminal security field.
Key Words:System virtualization technology ;System Security Enhancements; KVM virtual machine;Graphics Card pass-through; Direct address mapping
2 概述
虚拟化技术存在和发展已达四十多年的时间了,近年来,随着研究的深入,系统虚拟化技术已在企业计算、灾难恢复、分布式计算、桌面虚拟化领域得到了广泛发展。在信息安全领域,因系统虚拟化层介于硬件平台与用户操作系统之间,其特有的客户机操作系统监控和隔离作用,使得系统虚拟化技术不仅仅可以用于服务器端实现资源整合与管理功能,也可以增强以操作系统安全为核心的用户终端系统的安全性,因此虚拟技术在信息安全领域也备受关注。
在国内,系统虚拟技术在信息安全领域的技术研究已经开展比较多,目前在硬件资源访问控制、操作系统恶意行为监控、隐藏进程检测等方面已有相关的研究[1]。主要的思路是在虚拟机监控器(VMM,Virtual Machine Monitor)中构筑一系列的安全防护措施,强化对客户机操作系统的安全监控与管理,但此类技术的应用研究目前还处于起步阶段,尚无完整的应用实现方案。
本文借鉴国内外当前相关技术研究成果,结合个人终端操作系统安全防护实际需求,提出了一种适用于个人终端计算机、基于虚拟技术的操作系统安全增强模型。根据该模型在终端安全领域应用推广中将会面临的显卡性能问题,提出了一种提高虚拟机显示性能的显卡透传技术,并基于KVM虚拟机深入研究了显卡透传技术的具体实现。显卡透传技术的突破,能够很好的解决客户机操作系统的易用性难题,对促进系统虚拟化技术在终端操作系统安全增强领域的推广应用起着重要的作用。
4
3 操作系统安全增强模型
在个人终端操作系统安全增强方面,需要做到既能维护系统的安全性,又需要保证系统的易用性和高效性。根据这个需求特点,我们通过改造现有虚拟机体系结构,提出了个人终端操作系统安全增强模型。传统系统虚拟化体系模型如图1所示,改造后的操作系统安全增强模型体系结构如图2所示。
在基于虚拟技术的个人终端操作系统安全增强模型上,一台PC机只运行一个独立的虚拟客户机操作系统,该系统对于用户来说就是普通的用户操作系统。虚拟机监控器则成为安全监控器,负责根据访问策略隔离与控制客户机操作系统对硬件资源的访问权限,可以根据安全性需要将不存在安全隐患的硬件(显卡、声卡、键盘、鼠标等)透传给客户机操作系统直接控制,对存在安全隐患的硬件资源(如网卡、USB端口)进行虚拟,在虚拟层实施访问过滤等检测措施确保访问安全;同时通过在虚拟化层实现进一步的恶意行为检测、隐藏进程检测等安全模块对客户机操作系统各种恶意行为进行监控。
相比于通用虚拟机体系结构[2],这种安全模型中虚拟机监控器主要职能不再是多虚拟环境的调度与切换,而转变为对单一虚拟机的安全监视功能,简化了传统系统虚拟化体系结构的复杂性,增强了操作系统安全性控制功能。
图1:传统系统虚拟化体系模型
5
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库基于虚拟化的系统安全增强及显卡透传研究在线全文阅读。
相关推荐: