資源描述:
《可信虛擬機平臺(nxpowerlite)》由會員上傳分享���,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1�����、基于虛擬機架構(gòu)的可信計算環(huán)境與可信軟件設(shè)計VMbasedtrustedcomputingenvironment&softwaredesign孫毓忠研究員Tel:010-62600640INSTITUTEOFCOMPUTINGTECHNOLOGYEmail:yuzhongsun@ict.ac.cn計算機體系結(jié)構(gòu)國家重點實驗室(籌)中國科學(xué)院計算技術(shù)研究所國防科學(xué)技術(shù)大學(xué)、清華大學(xué)2011.4.19內(nèi)容提要:INSTITUTEOFCOMPUTINGTECHNOLOGY?研究背景和意義?主要研究內(nèi)容與成果?基于虛
2����、擬機的可信計算平臺研究與設(shè)計(TRainbow)?面向管理域虛擬機完整性的實時檢測技術(shù)(VMGuard)?可信可控用戶虛擬計算環(huán)境構(gòu)建方法研究(TRIOB)?面向虛擬存儲數(shù)據(jù)完整性的透明檢測技術(shù)(Tapwire)?虛擬化全局內(nèi)存優(yōu)化技術(shù)(TMemCanal)?分布化IO資源的全局可見與共享技術(shù)?Xen虛擬計算環(huán)境下的可信接入控制技術(shù)?項目推廣與展望?成果統(tǒng)計2研究背景:計算模式的發(fā)展INSTITUTEOFCOMPUTINGTECHNOLOGY?單一桌面計算向以互聯(lián)網(wǎng)為主的大規(guī)模跨域服務(wù)計算過渡?傳統(tǒng)物理結(jié)構(gòu)
3����、已經(jīng)逐漸被網(wǎng)絡(luò)化的數(shù)據(jù)中心代替?計算環(huán)境具有開放、動態(tài)�、難控的特點多種用戶共存,多種服務(wù)共存���,面向數(shù)據(jù)中心�,物理資源共享3研究背景:平臺可信性INSTITUTEOFCOMPUTINGTECHNOLOGY?“可信軟件基礎(chǔ)研究”基本要求:?改變傳統(tǒng)的“面向正確性的軟件理論+工程化”模式�����,轉(zhuǎn)向以軟件可信性度量為基礎(chǔ)�,全面考慮軟件的需求分析、建模等軟件工程全過程和運行支撐環(huán)境等方面的可信保證問題����。?軟件的設(shè)計階段,主要關(guān)注可靠性和可伸縮性等系統(tǒng)軟件本身的可信屬性?軟件的運行階段��,主要關(guān)注完整性、私密性等運行支撐環(huán)境
4�、方面的可信屬性4研究背景:云計算面臨的挑戰(zhàn)INSTITUTEOFCOMPUTINGTECHNOLOGY?加州大學(xué)伯克利分校?IBM5主要貢獻:INSTITUTEOFCOMPUTINGTECHNOLOGYTRainbow:基于虛擬機的可信計算平臺研究與設(shè)計TRIOB:可信可控用戶虛擬計算環(huán)境構(gòu)建方法研Xen虛擬計算環(huán)境下的可信接入控制技究術(shù)VMGuard:面向管理域虛擬機完整性的實時檢測技術(shù)Tapwire:面向虛擬存儲數(shù)據(jù)完整性的透明檢測技術(shù)分布化IO資源的全局可見與共享技TMemCanal:虛擬化全局內(nèi)存優(yōu)
5、化技術(shù)術(shù)6內(nèi)容提要:INSTITUTEOFCOMPUTINGTECHNOLOGY?研究背景和意義?主要研究內(nèi)容與成果?基于虛擬機的可信計算平臺研究與設(shè)計(TRainbow)?面向管理域虛擬機完整性的實時檢測技術(shù)(VMGuard)?可信可控用戶虛擬計算環(huán)境構(gòu)建方法研究(TRIOB)?面向虛擬存儲數(shù)據(jù)完整性的透明檢測技術(shù)(Tapwire)?虛擬化全局內(nèi)存優(yōu)化技術(shù)(TMemCanal)?分布化IO資源的全局可見與共享技術(shù)?Xen虛擬計算環(huán)境下的可信接入控制技術(shù)?項目推廣與展望?成果統(tǒng)計7虛擬計算平臺可信性需求分析
6���、INSTITUTEOFCOMPUTINGTECHNOLOGY?當(dāng)前計算平臺系統(tǒng)軟件存在的問題?結(jié)構(gòu)單一:大多采用單內(nèi)核結(jié)構(gòu)?層次過多:往往采用層次化的設(shè)計方式?規(guī)模巨大�,Bug眾多:Linux內(nèi)核可能存在大約15000個缺陷?交互接口眾多:內(nèi)部的函數(shù)調(diào)用關(guān)系復(fù)雜�,向外提供的系統(tǒng)調(diào)用非常多?應(yīng)用隔離度差:大多基于進程和文件系統(tǒng)進行隔離,但共享內(nèi)核?設(shè)計目標(biāo)?滿足應(yīng)用需求���、平臺運行可靠、隔離外部攻擊?從結(jié)構(gòu)重構(gòu)的角度��,以虛擬機為粒度��,基于拆分驗證的方法設(shè)計面向數(shù)據(jù)中心的可信計算平臺系統(tǒng)軟件?結(jié)構(gòu)變革:內(nèi)核組件拆
7�����、分重構(gòu)?面向應(yīng)用:定制可信應(yīng)用環(huán)境?面向內(nèi)核:隔離設(shè)備管理服務(wù)?規(guī)范交互:共享通道安全驗證8TRainbow:可信計算平臺設(shè)計INSTITUTEOFCOMPUTINGTECHNOLOGY?設(shè)計思想:–定制化:計算環(huán)境的定制思想��,即根據(jù)應(yīng)用的特點和對計算環(huán)境的依賴關(guān)系�,提供定制的虛擬機–扁平化:應(yīng)用對資源直接訪問思想,計算環(huán)境中只提供與應(yīng)用相關(guān)的訪問接口��,該訪問接口與指定的資源之間提供直達一對一綁定–角色化:通過專用虛擬機來提供多種可信關(guān)鍵服務(wù)–顆粒化:力圖實現(xiàn)輕量級的虛擬機結(jié)構(gòu)���,提高可靠性9TRainbow
8�����、:體系結(jié)構(gòu)INSTITUTEOFCOMPUTINGTECHNOLOGY10TRainbow平臺可信性增強設(shè)計INSTITUTEOFCOMPUTINGTECHNOLOGY應(yīng)用環(huán)境定制可信驗證隔離內(nèi)核拆分重構(gòu)可靠設(shè)備服務(wù)完整性檢測服務(wù)11內(nèi)容提要:INSTITUTEOFCOMPUTINGTECHNOLOGY?研究背景和意義?主要研究內(nèi)容與成果?基于虛擬機的可信計算平臺研究與設(shè)計(TRainbow)?面向管理域虛擬機完
