[發明專利]基于KVM虛擬化的網絡服務隔離設計在審
| 申請號: | 201710345670.0 | 申請日: | 2017-05-12 |
| 公開(公告)號: | CN108875360A | 公開(公告)日: | 2018-11-23 |
| 發明(設計)人: | 李亞南;黃皓;蔡淼 | 申請(專利權)人: | 南京大學 |
| 主分類號: | G06F21/53 | 分類號: | G06F21/53 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 210023 江蘇*** | 國省代碼: | 江蘇;32 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 內核 虛擬機 緩沖區 后端模塊 網絡驅動 宿主機 崩潰 地址空間隔離 數據處理模塊 隔離 網絡協議棧 虛擬化技術 安全增強 前端模塊 數據傳輸 通信模塊 網絡服務 網絡設備 物理主機 隔離性 操作系統 主機 取出 分配 創建 | ||
1.基于KVM的網絡服務隔離設計充分利用了KVM/Qemu-kvm全虛擬化方案能提供完整的網絡協議棧和驅動程序運行的基本環境及虛擬機在硬件層級上可提供故障隔離和安全隔離,擁有獨立的運行環境,不會影響其他的工作負載的特點。將可能出現漏洞的內核模塊隔離到虛擬機中,減少內核可信計算基,同時能有效防止內核錯誤或者故障擴散,并且不會影響整個內核,大大增強操作系統的安全性和可靠性。
2.基于權利要求1所述的基于KVM網絡服務隔離設計,包括以下幾個特征模塊:
(1)數據處理模塊,負責宿主機內核系統調用數據處理,主要包括數據打包和數據解析兩部分功能,為后端模塊提供統一的處理形式,并將包裝數據交給后端模塊,或者對從后端獲得的返回結果解析。
(2)后端模塊,是系統調用轉發的重要模塊,負責數據緩沖區映射以及數據的發送/接收等功能。
(3)通信模塊,該模塊由數據通信模塊和消息通知模塊兩部分組成。
(4)前端模塊,最主要的是前端驅動程序,其功能包括設備驅動初始化,資源申請,配置空間的設置,中斷處理程序等,創建并維護數據緩沖區,處理客戶機內核系統調用與前端驅動程序之間數據的轉換和數據的發送與接收,同時將數據緩沖區信息通過IO操作虛擬設備配置空間,完成前端驅動與虛擬設備的映射。
(5)虛擬設備,作為前端驅動的物理設備,要滿足內核中驅動,設備與總線的關系。虛擬機創建時就把前端驅動緩沖區相關信息通知后端模塊,需要虛擬設備將記錄的驅動創建數據緩沖區的地址,長度等信息通知給后端設備,建立前后端模塊的內存映射。
(6)網絡設備驅動,是很容易產生漏洞威脅的部分,本系統使用Intel VT-d技術將PCI設備直接分配給虛擬機,利用虛擬機中的網絡驅動直接驅動網絡設備。
3.基于權利要求2所述的基于KVM網絡服務隔離設計,其特征模塊(2),是一個基于雜湊設備的后端驅動程序。首先,需要雜湊設備完成設備注冊和初始化,然后,由特征模塊(5)中虛擬設備調用該設備進行數據緩沖區的映射等功能。
4.基于權利要求2所述的基于KVM網絡服務隔離設計,其特征模塊(3),其中數據通信模塊負責前后端數據傳輸,是基于vring機制實現的;消息通知模塊負責前后端模塊之間的及時通知,在有數據添加到傳輸通道時通過消息通知對方收數據,該消息是基于eventfd機制實現的。
5.基于權利要求2所述的基于KVM網絡服務隔離設計,其特征模塊(5),需要具備以下功能:a)虛擬設備為前端模塊驅動提供虛擬PCI設備,根據虛擬PCI設備的配置空間約定的參數信息,完成前端模塊的驅動程序與虛擬PCI設備進行通信。b)虛擬設備為后端模塊提供客戶機操作系統的內存信息和前端模塊驅動創建vring的相關信息。負責虛擬設備與后端模塊驅動的通知。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于南京大學,未經南京大學許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710345670.0/1.html,轉載請聲明來源鉆瓜專利網。
