基于虚拟化的系统安全增强及显卡透传研究

1基于虚拟化的系统安全增强及显卡透传研究1目录2概述....................................................................................................................423操作系统安全增强模型....................................................................................54KVM虚拟机.........................................................................................................75直接地址映射技术............................................................................................85.1基本原理..................................................................................................85.2实现方式..................................................................................................96显卡直接分配..................................................................................................106.1显卡在KVM虚拟机中的注册..............................................................116.2显卡专用总线的注册............................................................................126.3显卡资源直接映射................................................................................126.3.1历史遗留资源映射....................................................................126.3.2显卡资源映射............................................................................136.4卡的PCI配置空间................................................................................146.5VGABIOS.................................................................................................156.6DMA映射...............................................................................................157小结..................................................................................................................153摘要：本文着重于探讨系统虚拟化技术在终端安全领域的应用前景以及在推广应用中所面临的显卡性能问题的解决办法。针对个人终端操作系统安全问题，提出了一种基于系统虚拟化技术的操作系统安全增强模型，并基于KVM虚拟机深入研究了提高该模型下虚拟机显示性能的显卡透传技术的具体实现。实验结果证明显卡透传技术能够突破虚拟机客户操作系统的显示性能瓶颈问题，使得客户机操作系统能够像真实操作系统一样满足图形显示与处理应用，对虚拟技术在终端安全领域的发展拓展了更广阔的空间。关键词：系统虚拟化技术；系统安全增强；KVM虚拟机；显卡透传；直接地址映射TheResearchonVirtualization-BasedSystemSecurityEnhancementsandGraphicsCardPass-ThroughHOUJian-Ning1,DONGGui-Shan2,WANGYin3,SHENYa4(1.No.30InstituteofChinaElectronicsTecnologyGroupCorporation,Chendu,Sichuan610041,China;2.No.30InstituteofChinaElectronicsTecnologyGroupCorporation,Chendu,Sichuan610041,China;3.No.30InstituteofChinaElectronicsTecnologyGroupCorporation,Chendu,Sichuan610041,China;4.WestoneInformationIndustryInc.Chendu,Sichuan610051,China)Abstract:Thispaperfocusesontheprospectofsystemvirtualizationtechnologywhichapplicationsintheterminalsecurityfield,andinvestigatethesolutionofthegraphicsperformanceproblemwhenpeoplepromotethetechnology.Forsecurityissuesofpersonalterminaloperatingsystem,thispaperproposeasecurityEnhancementsmodelbasedonthesystemvirtualizationtechnologyonoperatingsystem,andin-depthstudyimplementationofgraphicsCardpass-throughtechnologytoimprovevirtualmachineperformancebasedonthismodelonKVMvirtualmachine.ExperimentalresultsshowthatgraphicsCardpass-throughtechnologycanbreakthroughdisplayperformance4bottlenecksofthevirtualmachineclientoperatingsystem.Thistechnologycanmakeclientoperatingsystemmeetthegraphicsandprocessingapplicationsasarealoperatingsystem,andcanexpandmorespacefordevelopmentofterminalsecurityfield.KeyWords:Systemvirtualizationtechnology;SystemSecurityEnhancements;KVMvirtualmachine;GraphicsCardpass-through;Directaddressmapping2概述虚拟化技术存在和发展已达四十多年的时间了，近年来，随着研究的深入，系统虚拟化技术已在企业计算、灾难恢复、分布式计算、桌面虚拟化领域得到了广泛发展。在信息安全领域，因系统虚拟化层介于硬件平台与用户操作系统之间，其特有的客户机操作系统监控和隔离作用，使得系统虚拟化技术不仅仅可以用于服务器端实现资源整合与管理功能，也可以增强以操作系统安全为核心的用户终端系统的安全性，因此虚拟技术在信息安全领域也备受关注。在国内，系统虚拟技术在信息安全领域的技术研究已经开展比较多，目前在硬件资源访问控制、操作系统恶意行为监控、隐藏进程检测等方面已有相关的研究[1]。主要的思路是在虚拟机监控器（VMM，VirtualMachineMonitor）中构筑一系列的安全防护措施，强化对客户机操作系统的安全监控与管理，但此类技术的应用研究目前还处于起步阶段，尚无完整的应用实现方案。本文借鉴国内外当前相关技术研究成果，结合个人终端操作系统安全防护实际需求，提出了一种适用于个人终端计算机、基于虚拟技术的操作系统安全增强模型。根据该模型在终端安全领域应用推广中将会面临的显卡性能问题，提出了一种提高虚拟机显示性能的显卡透传技术，并基于KVM虚拟机深入研究了显卡透传技术的具体实现。显卡透传技术的突破，能够很好的解决客户机操作系统的易用性难题，对促进系统虚拟化技术在终端操作系统安全增强领域的推广应用起着重要的作用。53操作系统安全增强模型在个人终端操作系统安全增强方面，需要做到既能维护系统的安全性，又需要保证系统的易用性和高效性。根据这个需求特点，我们通过改造现有虚拟机体系结构，提出了个人终端操作系统安全增强模型。传统系统虚拟化体系模型如图1所示，改造后的操作系统安全增强模型体系结构如图2所示。在基于虚拟技术的个人终端操作系统安全增强模型上，一台PC机只运行一个独立的虚拟客户机操作系统，该系统对于用户来说就是普通的用户操作系统。虚拟机监控器则成为安全监控器，负责根据访问策略隔离与控制客户机操作系统对硬件资源的访问权限，可以根据安全性需要将不存在安全隐患的硬件（显卡、声卡、键盘、鼠标等）透传给客户机操作系统直接控制，对存在安全隐患的硬件资源（如网卡、USB端口）进行虚拟，在虚拟层实施访问过滤等检测措施确保访问安全；同时通过在虚拟化层实现进一步的恶意行为检测、隐藏进程检测等安全模块对客户机操作系统各种恶意行为进行监控。相比于通用虚拟机体系结构[2]，这种安全模型中虚拟机监控器主要职能不再是多虚拟环境的调度与切换，而转变为对单一虚拟机的安全监视功能，简化了传统系统虚拟化体系结构的复杂性，增强了操作系统安全性控制功能。图1：传统系统虚拟化体系模型6图2：基于虚拟化技术的操作系统安全增强模型这种安全模型的推广应用，要求虚拟机下的客户机操作系统应具备与运行于真实主机上的操作系统相同或相近的性能与通用性，否则终端用户是无法接受因安全增强而带来的性能或易用性方面的损失的。自2005年，Intel和AMD公司分别发布了支持VT（VirtualizationTechnology）技术的CPU以来，基于支持VT技术的CPU虚拟化技术已经让虚拟机处理性能产生了质的提升，能够达到真实主机性能的95%以上，CPU处理性能已经不再是虚拟化技术在终端安全领域发展的绊脚石。而显卡显示性能问题则成为当前虚拟化技术在终端安全领域发展的关键问题，当前国外主流的虚拟机软件都没能很好的解决好显卡虚拟化问题，虚拟机的图形显示处理能力只相当于当年的386时代的水平，这使得虚拟机中的客户机操作系统不能够运行一些对图形处理能力要求高的应用，这种安全模型的进一步发展存在着较大的障碍。下面将基于KVM虚拟机研究实现提升客户机操作系统显示性能的具体实现方法，本文的研究主要是基于KVM虚拟机进行的，但相关技术原理具有普适性，也可在其他开源虚拟机上得到实现。74KVM虚拟机当前，主流的商业虚拟机有VMware和VirutalPC，开源虚拟机有Xen、Qemu、Bochs、KVM等。KVM[3]是kernel-basedVirtualMachine的简称，是一个基于Linux内核