一种基于SR-IOV技术的虚拟环境安全隔离模型

doi:10.3969/j.issn.1671-1122.2016.09.017

信息网络安全 ›› 2016, Vol. 16 ›› Issue (9): 84-89.doi: 10.3969/j.issn.1671-1122.2016.09.017

一种基于SR-IOV技术的虚拟环境安全隔离模型

刘明达, 马龙宇()

江南计算技术研究所,江苏无锡 214083

收稿日期:2016-07-25 出版日期:2016-09-20 发布日期:2020-05-13
作者简介:
作者简介：刘明达（1991—）,男,山东,硕士研究生,主要研究方向为可信计算和密码学;马龙宇（1987—）,男,黑龙江,硕士研究生,主要研究方向为可信计算和嵌入式安全。
基金资助:
国家自然科学基金[91430214]

A Security Isolation Model of Virtual Environment Based on SR-IOV Technology

Mingda LIU, Longyu MA()

Jiangnan Institute of Computing Technology, Wuxi Jiangsu 214083, China

Received:2016-07-25 Online:2016-09-20 Published:2020-05-13

摘要/Abstract

摘要：

虚拟化技术的发展,带来了计算模式的变革,同时也带来了诸多安全问题。文章研究了虚拟环境安全问题和目前主流的安全防护方式,同时研究了I/O硬件虚拟化技术——SR-IOV,并针对虚拟计算环境安全隔离的问题提出了一种基于SR-IOV技术的虚拟环境安全隔离模型。该模型根据用户需求将虚拟域进行安全分级,安全等级高的虚拟域能够分配专门的物理网卡和加密卡,安全等级较低的虚拟域仍采用传统的软件模拟方法实现I/O设备。在SR-IOV的结构设计中,采用了设备直连技术实现虚拟域和物理设备的通信,设备直连技术本身具备良好的隔离效果,这样就能够根据其安全等级实现网络数据隔离和数据加密隔离。实验结果表明,该模型能够提高虚拟计算环境的安全隔离特性,增强虚拟环境的安全,不仅具有可行性,而且具有良好的性能效率。

关键词: 虚拟环境, SR-IOV, 安全隔离

Abstract:

The development of virtualization technology brings about the change of computing model, but it also brings many security problems. This paper researches virtual environment safety problems, currently the mainstream security protection mode, and I/O hardware virtualization technology (SR-IOV). And then it proposes a virtual environment safety isolation model based on SR-IOV technology for the problems of the virtual computing environment safety isolation. The model devise virtual domain into different safety level according to user needs. High level domain owns dedicated physical network card and encryption card, and lower still uses traditional software simulation method implementing I/O device. SR-IOV uses the direct device technology to realize the communication of virtual domains and the physical equipment. The equipment of direct connected technology has good isolation effect, so it can achieve network data isolation and data encryption isolation according to the level of security. The experimental analysis shows that the model can improve the security isolation characteristics of virtual computing environment, and enhance the security of virtual environment. Not only it has the feasibility, but also has a good performance and efficiency.

Key words: virtual environment, SR-IOV, security isolation

中图分类号:

TP309

刘明达, 马龙宇. 一种基于SR-IOV技术的虚拟环境安全隔离模型[J]. 信息网络安全, 2016, 16(9): 84-89.

Mingda LIU, Longyu MA. A Security Isolation Model of Virtual Environment Based on SR-IOV Technology[J]. Netinfo Security, 2016, 16(9): 84-89.

图/表 8

图1

图2

图3

图4

图5

表1

图6

图7

参考文献 15

[1]	冯登国,张敏,张妍,等. 云计算安全研究[J]. 软件学报,2011,22(1):71-83.
[2]	程戈. 基于虚拟机架构的可信计算环境构建机制研究[D]. 武汉:华中科技大学,2010.
[3]	慈林林. 可信网络连接与可信云计算[M]. 北京:科学出版社,2016.
[4]	廖子渊,陈明志,邓辉. 基于评价可信度的云计算信任管理模型研究[J]. 信息网络安全,2016(2):33-39.
[5]	王丽娜,高汉军,余荣威,等. 基于信任扩展的可信虚拟执行环境构建方法研究[J]. 通信学报,2011,32(9):1-8.
[6]	马威,韩臻,成阳. 可信云计算中的多级管理机制研究[J]. 信息网络安全,2015(7):20-25.
[7]	林闯等. 云计算安全:架构、机制与模型评价[J]. 计算机学报,2013,36(9):1765-1784.
[8]	郭乐深,张乃靖,尚晋刚. 云计算环境安全框架[J]. 信息网络安全,2009(7):62-64.
[9]	WAILLY A, LACOSTE M, DEBER H.Towards Multi-layer Autonomic Isolation of Cloud Computing and Networking Resources[C]//IEEE. 2011 Conference on Network and Information System Security (SAR-SSI), May 18-21, 2011, La Rochelle, France. New Jersey: IEEE, 2011: 1-9.
[10]	向林波,刘川意. 针对内部威胁的可控云计算关键技术研究与实现[J]. 信息网络安全,2016(3):53-58.
[11]	PCI SIG: PCI-SIG Single Root I/O Virtualization. [EB/OL]. , 2016-7-11.
[12]	黄智强. 基于SR-IOV的高性能I/O虚拟化研究与优化[D]. 上海:上海交通大学,2013.
[13]	郝旭东. Intel VT-d技术的研究及其在KVM虚拟机上的实现[D]. 成都:电子科技大学,2009.
[14]	李超. SR-IOV虚拟化技术的研究与优化[D]. 长沙:国防科技大学,2010.
[15]	三未信安公司云加密卡[EB/OL]. ,2016-7-12.

一种基于SR-IOV技术的虚拟环境安全隔离模型

A Security Isolation Model of Virtual Environment Based on SR-IOV Technology

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 8

参考文献 15

相关文章 4

编辑推荐

Metrics

本文评价

[1]	刘志娟, 高隽, 丁启枫, 王跃武. 移动终端TEE技术进展研究[J]. 信息网络安全, 2018, 18(2): 84-91.
[2]	王琦魁，李昕，赵甫. 工控系统信息安全与加工网络防护方案研究[J]. 信息网络安全, 2014, 14(9): 120-122.
[3]	王海洋;王江波;孟凡勇. 一种新型的安全隔离和数据传输设备设计[J]. , 2012, 12(8): 0-0.
[4]	石军. 一种信息泄漏的新方式及其应对策略[J]. , 2011, 11(10): 0-0.