發(fā)布時間：2020-11-14 05:43

　　 近年來,基于容器的虛擬化技術(shù)在工業(yè)界日益流行。隨著容器成為新的云計算平臺,云安全成為容器部署所要面臨的重大挑戰(zhàn)。英特爾SGX(Software Guard EXtensions)為應用程序提供了強大的安全保障。在容器中應用SGX技術(shù),將提高容器云的安全性,為租戶提供強有力的隱私保護,本文稱這種容器為安全容器。但是,這項技術(shù)也帶來了新的問題。例如,SGX安全容器的性能下降,以及SGX安全容器的動態(tài)遷移問題。由于SGX不允許運行在飛地中的應用執(zhí)行系統(tǒng)調(diào)用,所以當需要請求系統(tǒng)服務時,應用必須退出飛地模式。如果應用頻繁請求系統(tǒng)服務,模式切換帶來的開銷是不可忽略的。同時,由于飛地通常和具體的硬件綁定,而且不可信的操作系統(tǒng)無法訪問SGX飛地內(nèi)的代碼和數(shù)據(jù),SGX安全容器無法正常進行容器動態(tài)遷移。動態(tài)遷移是云計算的一項基礎功能,失去動態(tài)遷移將減少云計算的優(yōu)勢。首先,本文研究了安全容器的性能優(yōu)化問題,提出了基于Intel SGX SDK(Software Development Kit)的switchless call,消除了由模式切換帶來的開銷;并針對switchless call建立性能模型,基于性能分析結(jié)果,設計和實現(xiàn)了基于效能的工作線程調(diào)度算法,優(yōu)化CPU(Central Processing Unit)的效率。其次,現(xiàn)有的容器動態(tài)遷移解決方案無法處理SGX安全容器的遷移問題。為了解決這個問題,本文設計和實現(xiàn)SGX安全容器動態(tài)遷移框架。該遷移框架結(jié)合SGX技術(shù)的特性和容器的使用場景,并且同時考慮EPC(Enclave Page Cache)內(nèi)存和持久化存儲的遷移,為開發(fā)者提供了輕量級,又易于使用的方案。本文在設計安全容器動態(tài)遷移框架時,除了考慮遷移的功能的實現(xiàn)外,還確保了遷移框架的安全性。該框架可以防止惡意操作系統(tǒng)對遷移過程的fork攻擊和rollback攻擊,并在不依賴操作系統(tǒng)的情況下,確保遷移數(shù)據(jù)的一致性。最后,安全評估證明了遷移框架的安全性。性能評估表明,安全容器優(yōu)化對于性能有著顯著提高,同時工作線程調(diào)度算法針對不同類型的負載,有效地調(diào)整了工作線程數(shù)目。此外,與正常的容器遷移相比,SGX安全容器遷移的額外時間開銷為15%,但是考慮到SGX所帶來的安全性,這個開銷是可以接受的。
【學位單位】：北京郵電大學
【學位級別】：碩士
【學位年份】：2019
【中圖分類】：TP393.08
【部分圖文】：

這就為應用開發(fā)、部署、分發(fā)提供了統(tǒng)一平臺。第二，容器技術(shù)為應用??程序提供了安全隔離，每個容器只能使用自己獨有的資源。第三，容器虛擬化不??需要硬件支持，沒有額外的虛擬化開銷，擁有接近裸機的性能。容器架構(gòu)如圖２－??１所示。??容器容器容器??應用?應用?應用??二進制與?二進制與?二進制與??操作系統(tǒng)?操作系統(tǒng)?操作系統(tǒng)??庫庫庫???主機操作系統(tǒng)內(nèi)核???圖２－１容器架構(gòu)示意圖??容器虛擬化的關(guān)鍵技術(shù)是命名空間＃］、ｃｇｒｏｕｐＭｋ鏡像標準等。??命名空間是Ｌｉｎｕｘ為應用提供的用于隔離進程樹、網(wǎng)絡接口、掛載點以及進??程間通信等資源的方法。雖然多個容器運行在同一個平臺上，但是他們分別位于??自己的命名空間中，無法訪問到命名空間外部的資源，這樣即使某個容器被攻擊??或者存在某個惡意容器，入侵者也僅能訪問到當前容器的所有內(nèi)容，其他的資源??７??

Ｃｇｒｏｕｐ能夠隔離宿主機器上的物理資源，除了之前提到的ＣＰＵ和內(nèi)存，各??種外設也包含其中，如磁盤Ｉ／Ｏ帶寬和網(wǎng)絡帶寬等。ｃｇｒｏｕｐ包含了多個子系統(tǒng)，??分別控制不同的物理資源，其基本結(jié)構(gòu)和生效函數(shù)如圖２－２所示。每個ｃｇｒｏｕｐ包??含多個進程，這些進程都處于相同的資源限制的標準和參數(shù)之下，而不同的??ｃｇｒｏｕｐ之間是有層級關(guān)系的，也就是說ｃｇｒｏｕｐ可以從父ｇｒｏｕｐ中繼承一些用于??限制資源使用的標準和參數(shù)。ｃｇｒｏｕｐ的功能主要包括：資源限制、資源統(tǒng)計、進??程控制等。容器正是借助ｃｇｒｏｕｐ的能力，實現(xiàn)對容器內(nèi)的所有進程的分組管理??和資源限制。??ｍｅｍ＿ｃｇｒｏｕｐ＿ｔｒｙ＿ｃｈａ?ｒｇｅ?人?１〇子系統(tǒng)）??Ｉ??Ｉ?ｊｆ??ｇｅｎｅｒｉｃ＿＿ｍａｋｅ＿ｒｅｑｕｅｓｔ＿＿ｃｈｅｃｋｓ??ｃｇｒｏｕｐ一ｃａｎ一ｆｏｒｋ??（ｃｇｒｏｕｐ?＼??、ｃｏｒｅ?Ｊ??ｓｏｃｋ＿ｕｐｄａｔｅ＿ｃｌａｓｓｉｄ／??ｓ?ｏ?ｃ?ｋ＿ｕ?ｐｄａ?ｔ?ｅ＿ｎｅｔ?ｐｒｉｏ?ｉｄｘ??ｃｈｅｃｋ＿ｅｎｑｕｅｕｅ＿ｔｈｒｏｔｔｌｅ??＾ｃｐｕｉｉａＡ?＾?￣＼??ｂ絡子系ｙ??圖２－２?ｃｇｒｏｕｐ各個功能子系統(tǒng)及生效函數(shù)??容器的鏡像包含了運行一個軟件所必備的所有組件，鏡像標準化為容器的推??廣奠定了基礎。容器鏡像采用分層存儲方式，因此多個鏡像可以從同一個ｂａｓｅ鏡??像構(gòu)建而來，而每層鏡像通常是只讀的，高層鏡像之間可以共享底層的鏡像，這??極大地節(jié)約了空間。當容器啟動以后，會在最上層加上一層可寫的容器層，容器??內(nèi)所有的修改都保存在這層鏡像中。??８??

?圖２－３?Ｄｏｃｋｅｒ各個組件的架構(gòu)示意圖??如圖２－３所不，Ｄｏｃｋｅｒ米用多層的架構(gòu)設計。Ｄｏｃｋｅｒ?ｅｎｇｉｎｅ包含Ｔ客戶端??和守護進程兩部分。守護進程接收從客戶端發(fā)來的命令，記錄所有的容器相關(guān)信??息，并交由ｃｏｎｔａｉｎｅｒｄ具體負責容器的操作。Ｃｏｎｔａｉｎｅｒｄ是容器的運行時，它負??責管理容器的生命周期，從拉取鏡像，到啟動容器，最后銷毀容器等，對Ｄｏｃｋｅｒ??ｅｎｇｉｎｅ使用標準的ＧＲＰＣ協(xié)議，提供滿足ＯＣＩ?（Ｏｐｅｎ?Ｃｏｎｔａｉｎｅｒ?Ｉｎｉｔｉａｔｉｖｅ）細準??的ＡＰＩ。Ｃｏｎｔａｉｎｅｒ－ｓｈｉｍ是容器的運行時實體，作為容器進程的父進程，管理容??器進程的生命周期。ｍｎＣ是對容器ＯＣＩ標準的實現(xiàn)，擁有所奮標準規(guī)定的容器??管理接門，同時ｒｕｎＣ負責所Ｙｆ內(nèi)核特件的１：１？理，如命名空間、ｓｅｃｃｏｍｐ和ｃｇｒｏｕｐ??等。??２．２容器遷
【相似文獻】

相關(guān)期刊論文 前10條

1 李劍芳;;“佛山傳統(tǒng)文化”如何融入“容器造型”教學[J];山海經(jīng);2018年21期

2 胡珊;;現(xiàn)代容器開啟過程的用戶體驗研究[J];工業(yè)設計研究;2016年00期

3 ;山東工藝美術(shù)學院教師彭建祥、朱小堯、王付銀包裝容器設計作品選[J];包裝世界;2011年02期

4 紀璐;韓冰;;形式美法則在包裝內(nèi)容器設計中的應用[J];大眾文藝;2011年06期

5 許秦蓉;呂劍;;基于通用設計原則的包裝與容器設計[J];包裝工程;2011年24期

6 劉來福;;GY-82型超高壓容器設計及試制[J];天然氣工業(yè);1987年03期

7 劉昌信;毛仲高;;壓力容器一百問[J];井礦鹽技術(shù);1987年05期

8 陳啟松;;計入σ_6~'時臥式容器的優(yōu)化設計[J];江蘇機械;1987年04期

9 余群躍;;對“臥式容器設計”有關(guān)問題的討論——兼談對JB1167-81《鞍式支座》的一點看法[J];石油化工設備技術(shù);1987年02期

10 裴俊厚,汪廣海;壓力式LPG船貨艙容器在試水狀態(tài)下的應力分析[J];艦船科學技術(shù);1988年05期

相關(guān)博士學位論文 前2條

1 馬歆;自保護快速啟閉式超高壓海產(chǎn)品加工容器關(guān)鍵技術(shù)研究[D];浙江大學;2006年

2 開方明;鋁內(nèi)襯輕質(zhì)高壓儲氫容器強度和可靠性研究[D];浙江大學;2007年

相關(guān)碩士學位論文 前10條

1 張瓊;云環(huán)境中安全容器動態(tài)遷移的研究[D];北京郵電大學;2019年

2 張城城;基于Docker的容器集群管理平臺的研究與實現(xiàn)[D];北京郵電大學;2019年

3 姚增增;大規(guī)模環(huán)境下容器技術(shù)的研究與優(yōu)化[D];浙江大學;2019年

4 韓寧;記憶元件的電學特性分析及應用研究[D];長安大學;2018年

5 裴夢琛;新型攪拌器結(jié)構(gòu)設計與性能研究[D];西北大學;2018年

6 崔偉;外壓薄壁容器穩(wěn)定性模擬分析與研究[D];長春理工大學;2018年

7 張浩;基于Kubernetes的數(shù)據(jù)中心異構(gòu)容器運行時設計與實現(xiàn)[D];浙江大學;2018年

8 賀斌;基于入場物流成本視角的DNZ公司汽車零部件容器運營模式對比研究[D];鄭州大學;2018年

9 田森;基于RunV容器的網(wǎng)絡存儲優(yōu)化的設計與實現(xiàn)[D];華中科技大學;2016年

10 袁昊;鉛鉍反應堆主容器疲勞、蠕變及裂紋分析[D];華北電力大學(北京);2015年

本文編號：2883150