基于本地虚拟化技术的隔离执行模型研究

作     者：温研 王怀民 WEN Yan;WANG Huai-Min

作者机构：国防科学技术大学计算机学院长沙410073 

出 版 物：《计算机学报》 (Chinese Journal of Computers)

年 卷 期：2008年第31卷第10期

页      面：1768-1779页

核心收录：

学科分类：0810[工学-信息与通信工程] 12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 0808[工学-电气工程] 0839[工学-网络空间安全] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家"九七三"重点基础研究发展规划项目基金(2005CB321801)资助 

主　　题：入侵隔离 隔离执行 虚拟执行环境 安全 虚拟机 

摘      要：程序隔离执行是一种将被隔离代码的执行效果与其它应用隔离的安全机制.但是目前的相关研究无法在PC平台下兼顾操作系统隔离与被隔离代码的可用性.针对这个问题,文中提出并实现了一种新的名为SVEE(Safe Virtual Execution Environment)的隔离执行模型.SVEE具有两个关键特性:一是借助基于本地虚拟化技术的系统级虚拟机(SVEEVM)有效实现了非可信代码与宿主操作系统的隔离;二是利用本地虚拟化技术实现了宿主机计算环境在SVEEVM内的重现,保证了被隔离程序在SVEEVM中与在宿主操作系统内的执行效果的一致性.因此,SVEE在保护了宿主操作系统安全的同时,兼顾了隔离执行代码的可用性.测试证明,对于计算密集型应用SVEE虚拟机的性能达到了本地性能的91.23%～97.88%,具有很好的可用性.