《虚拟化技术及其在信息安全中的应用》由会员分享,可在线阅读,更多相关《虚拟化技术及其在信息安全中的应用(79页珍藏版)》请在金锄头文库上搜索。
1、,计算机虚拟化技术 及其在信息安全中的应用,一、计算机虚拟化的概念和发展历史 二、现阶段计算机虚拟化技术的重要意义 三、计算机虚拟化的主要技术类型及实现方法 四、国内外虚拟化技术的研究现状 五、虚拟化技术在信息安全中的应用 六、维纳斯虚拟网络管理系统介绍概述,汇报提纲,国外著名媒体CRN评出了未来十年IT行业的十大计算机技术,其中虚拟化技术居于首位。 微软公司确定了未来发展的四大方向,其中虚拟化技术居于首位。 Intel,AMD,IBM,Microsoft,所有的IT巨头都在做虚拟化技术。,一、计算机虚拟化的概念和发展历史,什么是虚拟化技术? 虚拟化技术是一种调配计算资源的方法,它将不同层面硬
2、件、软件、数据、网络、存储一一隔离开来的技术。 或者说是从其他系统、应用或终端用户与计算机资源进行互动的方式中隐藏物理特性的技术。,一、计算机虚拟化的概念和发展历史,一、计算机虚拟化的概念和发展历史,为什么要虚拟化?,充分利用计算机的硬件资源 多操作系统和复杂网络环境 应用程序及操作系统的移植,一、计算机虚拟化的概念和发展历史,虚拟化的发展历史,1、1959年,克里斯托弗(Christopher Strachey)发表了一篇学术报告,名为“大型高速计算机中的时间共享”(Time Sharing in Large Fast Computers),提出了虚拟化的基本概念,这篇文章也被认为是虚拟化技
3、术的最早论述。,一、计算机虚拟化的概念和发展历史,虚拟化的发展历史,2、最早在商业系统上实现虚拟化的是IBM公司在1965年发布的IBM7044。它允许用户在一台主机上运行多个操作系统,让用户尽可能充分地利用昂贵的大型机资源。随后虚拟化技术一直只在大型机上应用。 3、1999年,VMware在X86平台上推出了可以流畅运行的商业虚拟化软件。从此虚拟化技术终于走下大型机的神坛,来到PC服务器的世界之中。,一、计算机虚拟化的概念和发展历史,虚拟化的发展历史,4、从2006年到现在,可以说是进入了虚拟化技术的快速发展期。由于多核技术的发展以及虚拟化技术巨大的市场前景,几乎所有的IT巨头都相继研究并推
4、出虚拟机产品。,一、计算机虚拟化的概念和发展历史 二、现阶段计算机虚拟化技术的重要意义 三、计算机虚拟化的主要技术类型及实现方法 四、国内外虚拟化技术的研究现状 五、虚拟化技术在信息安全中的应用 六、维纳斯虚拟网络管理系统介绍概述,汇报提纲,二、现阶段计算机虚拟化技术的重要意义,是CPU多核技术发展的必然要求,1、多核技术的发展 2、多核处理器对软件系统的要求,二、现阶段计算机虚拟化技术的重要意义,1)为什么从单核转向多核。 从单核转向多核,最重要的目的是能提高芯片的执行效率。对于单核来说,提高性能的主要途径便是优化逻辑结构、扩大缓存以及提高芯片频率。但是目前这些办法已经发挥极致。,1、多核技
5、术的发展,芯片的逻辑架构,往往有着4、5年的生命周期,一但设计稳定就很难从根本上对其做出改变。提高缓存容量虽然能够小幅的提高性能,但付出的代价相当高:处理器的高速缓存都是使用SRAM静态随机存储器件,SRAM速度极快,可晶体管利用率很低,1MB容量缓存就要消耗5000万左右的晶体管,如果不断提升缓存容量,无疑将对芯片的制造成本(与芯片面积三次方成正比)和运行功耗带来严重的影响。与之类似,提高工作频率能够一定程度上提高新片的性能,但会导致运行功耗大增,现在芯片运行在风冷条件之下已经接近极限。,二、现阶段计算机虚拟化技术的重要意义,2)多核技术单核处理器速度提高受到限制,因此多核技术产生。一般将具
6、有8个以下核的处理器称为多核处理器,而将多于8个核的处理器称为众核处理器。目前,内部集成16个核的处理器已经面世,内部集成几十个甚至上百个核心的处理器预计在近两年出现。可以预见,在未来的几年里,PC和服务器中将广泛采用众核处理器。,1、多核技术的发展,二、现阶段计算机虚拟化技术的重要意义,2、多核处理器对软件系统的要求,单核处理器是采用指令级并行技术来提升处理器速度。 多核处理器是采用线程级并行及数据级并行技术,通过增加处理器核的数量提升处理器的速度。,在主要依赖指令级并行技术来提升处理器的情况下,如流水线、乱序执行等关键技术主要在处理器内部实现,对操作系统和应用程序等软件是透明的,这意味着在
7、更高性能的处理器上已有的软件无需修改就可以获得运行速度的提升。但在多核时代,在主要依赖线程级并行及数据级并行技术来提升处理器的情况下,必须采用更新的多线程编程模型才能充分利用多核处理器的能力,而目前的操作系统及大多数程序(尤其是桌面程序)的并行程度很低,无法充分发挥多核技术带来的性能提升,因此如何充分利用计算机的硬件性能成为关键问题。,1、虚拟化技术可以实现在单个计算机上运行多个虚拟机,将多线程编程模型嵌入虚拟机监控器中,向所有的虚拟机开发标准的接口,虚拟机上运行的操作系统和应用软件可以通过它实现多线程并行技术,从而充分发挥多核的性能。 2、虚拟化技术提供了一种灵活的划分硬件资源的方法,向运行
8、于虚拟机中的软件屏蔽底层硬件的差异,如处理器核的数量等,为软件在众核平台上的移植和扩展带来了方便。 因此,虚拟化技术的快速发展是CPU多核技术发展的必然要求。,二、现阶段计算机虚拟化技术的重要意义,是解决计算机安全问题的新手段,计算机从诞生到现在,已经经历了半个多世纪,但是至今仍然不安全。其根本原因是传统的操作系统具有体制上的问题。 主要包括:,1、传统的操作系统存在体制上的问题,二、现阶段计算机虚拟化技术的重要意义,(1)集各种权力于一身,体制不完善。 在传统结构中,操作系统是一个独立的实体,它既是各类政策的制定者,又是这些政策的执行者;既是各类资源的管理者,又是这些资源的使用者。从社会学的
9、角度来说,这种集各种权力于一身的体制是不完善的,如果系统本身存在漏洞(事实证明,漏洞总是存在的),而又被恶意利用的话,系统的权力就容易被窃取并被滥用,整个系统就容易失控,甚至崩溃。,1、传统的操作系统存在体制上的问题,二、现阶段计算机虚拟化技术的重要意义,1、传统的操作系统存在体制上的问题,(2)各成员之间相互影响,隔离不彻底。传统的操作系统也被分成不同的组成部分,如操作系统内核与用户进程,其中内核又被分成不同的子系统,如进程管理、内存管理、文件系统、设备管理等。各子系统之间并没有独立的边界,它们能够互相调用、互相影响。也就是说,从内核的角度看,各个进程之间实际上拥有大片的公共区域,它们之间的
10、隔离是不彻底的。显然,在现有的操作系统结构中,很难建立起相互独立的运行实体。,二、现阶段计算机虚拟化技术的重要意义,1、传统的操作系统存在体制上的问题,(3)需引入第三方代码,内核封闭性差。通用操作系统必须能够支持各种各样的外部设备、文件系统、网络协议等。而外部设备驱动程序、文件系统、网络协议等都是操作系统内核的重要组成部分,必须运行在内核空间(微内核除外)。但是插入到内核中的设备驱动程序、文件系统、网络协议等,其代码质量难以保证、代码行为难以控制。研究表明,在Windows XP操作系统中,85的系统崩溃是由驱动程序引起的;在Linux操作系统中,驱动程序的出错频率是内核其余部分的3到7倍。
11、,二、现阶段计算机虚拟化技术的重要意义,1、传统的操作系统存在体制上的问题,(4)应用程序都运行在同一环境中,环境封闭性差。所有的应用程序都在同一个环境中执行,具有相同的资源访问权限,而不管它们的来源是否可信。执行不可信的程序很容易破坏系统的完整性,向系统中引入病毒、木马等恶意程序,造成系统失效、信息泄漏等危害。因此,环境的非封闭性是导致系统安全性、可靠性差的另一个主要原因。,二、现阶段计算机虚拟化技术的重要意义,是解决计算机安全问题的新手段,2、虚拟化技术是解决传统操作系统问题的唯一途径。,1、传统的操作系统存在体制上的问题,二、现阶段计算机虚拟化技术的重要意义,2、虚拟化技术是解决传统操作
12、系统问题的唯一途径。,1)虚拟机监控器相对于商用操作系统来说,其实现上要简单得多,规模上也小得多,因此在设计和实现过程中引入错误和漏洞的几率也小许多,适合作为计算机系统的可信基; 2)虚拟化技术有着天然的优良的隔离特性,可以并行运行多个操作系统,并在它们之间提供屏障,一个虚拟机中的应用程序出现问题,不会影响到整个计算机系统;,二、现阶段计算机虚拟化技术的重要意义,2、虚拟化技术是解决传统操作系统问题的唯一途径。,3)虚拟化技术通过运行多个操作系统,并为它们赋予不同的安全级别和期望,单个计算机系统就可以满足用户的多安全需求。 4)如果在底层硬件平台上引入可信计算机制,则可以构建更加安全的计算环境
13、。 在信息安全日益受到重视的今天,虚拟化技术在安全领域的优秀特性也是它再度成为计算机领域研究热点的重要原因。,一、计算机虚拟化的概念和发展历史 二、现阶段计算机虚拟化技术的重要意义 三、计算机虚拟化的主要技术类型及实现方法 四、国内外虚拟化技术的研究现状 五、虚拟化技术在信息安全中的应用 六、维纳斯虚拟网络管理系统介绍概述,汇报提纲,三、计算机虚拟化的主要技术类型及实现方法,虚拟化技术的关键在于虚拟机监控器VMM。 按实现模型划分可分为基于监控模型和基于宿主机模型。 按虚拟化方式划分可分为完全虚拟化(Full Virtualization)、半虚拟化(Para-Virtualization)以
14、及硬件虚拟化。,三、计算机虚拟化的主要技术类型及实现方法,基于监控模型的VMM直接运行于硬件上,而基于宿主机模型的VMM作为模块运行在操作系统中。 采用监控模型需要自己实现必要的支撑VMM运行的内存管理、中断处理、虚拟机调度等机制以及驱动程序,实际上是要构建一个传统意义上的小规模的操作系统; 采用宿主机模型可借用宿主操作系统的大部分支持,实现难度上要小于前者,但宿主操作系统往往很大且复杂,宿主机的软件漏洞可能直接影响到整个系统的安全性。,三、计算机虚拟化的主要技术类型及实现方法,完全虚拟化的特点在于客户操作系统无需修改就可以直接运行于虚拟机中,而半虚拟化则需要对客户操作系统进行部分修改。 由于
15、传统x86平台固有的在虚拟化方面的缺陷,一般需依赖动态二进制翻译技术才能够实现完全虚拟化。 而半虚拟化通过在单个硬件平台上运行多个修改过的客户操作系统来实现传统x86平台的虚拟化。,三、计算机虚拟化的主要技术类型及实现方法,虽然利用动态二进制翻译或半虚拟化等方法可在传统x86平台上实现系统虚拟机,但会带来挤占客户操作系统地址空间(Address Space Compression)、特权级别名(Ring Aliasing)等问题,破坏了虚拟化应对VM保持透明的原则。为此,Intel和AMD开发了各自的硬件虚拟化技术,分别称为VT(Virtual Technology)和SVM(Secure V
16、irtual Machine),从硬件上弥补了x86处理器在虚拟化方面的不足,提高了虚拟化的效率,并简化了VMM的实现。,一、计算机虚拟化的概念和发展历史 二、现阶段计算机虚拟化技术的重要意义 三、计算机虚拟化的主要技术类型及实现方法 四、国内外虚拟化技术的研究现状 五、虚拟化技术在信息安全中的应用 六、维纳斯虚拟网络管理系统介绍概述,汇报提纲,四、国内外虚拟化技术研究现状,1、国外的发展现状 2、国内的发展现状 3、发展国家虚拟化技术的重要意义,四、国内外虚拟化技术研究现状,1、国外的发展现状,1)发展路线图: 服务器虚拟化桌面虚拟化网络资源虚拟化“云”网,四、国内外虚拟化技术研究现状,1、国外的发展现状,2)八仙过海,各显神通,四、国内外虚拟化技术研究现状,1、国外的发展现状,3)硬件虚拟化发展迅速,促使虚拟化进入高速发展期,目前主流处理器厂商大都在处理器层面上提供了对虚拟化的支持,如Intel的VT-x/VT-i、AMD的SVM等。与此同时,Intel提出了VT-d规范、AMD提出了IOMMU规范,以支持I/O设备的虚拟化。另外,AMD已实现了嵌套页表(Nested Page Table,NPT),Intel也实现扩展页表(Extended Page Table,EPT)等等。,
