资源池安全接入管理关键技术研究

为保证在虚拟机中的桌面或服务器操作系统的安全运行,将安全工作划分为6个子任务,提出了以虚拟机管理器工作机制为技术基础、利用代理技术实现主控服务器和宿主服务器之间安全管控与审计,同时提出了虚拟机安全隔离的设计机制,从运行、CPU、内存、存储和网络5个方面分析了虚拟机的隔离方式,有效地实现了终端的安全接入管理与隔离运行,为安全审计、抗逃逸攻击等提供了基础安全保障机制.     

SOC快速内存检查点的研究与实现

随着系统芯片SOC设计技术的普遍应用,对应的可靠性问题逐渐成为关注的焦点.提出一种应用在SOC设计上的内存检查点技术,通过硬件逻辑将内存中的数据备份到非易失存储介质中,系统恢复时将数据从存储介质取出,重新拷贝到内存,避免内存中的数据丢失;同时给出外部存储器到RAM的程序代码拷贝设计,显著提高了内存检查点保存的速度.在断电等突发情况下,可以有效地保护内存中的数据,具有很好的通用性,占用资源较少,可以广泛应用于实时系统的容错机制中.     

基于内存优化配置的MapReduce性能调优

MapReduce作业性能与内存配置存在极大的相关性,针对准确预测作业内存困难问题,根据Java虚拟机(JVM)的分代内存管理特点,提出了一种分代内存预测方法.首先使用回归模型对年轻代与垃圾回收平均时间的关系进行建模,将寻找合理年轻代内存大小的问题转换为一个受约束的非线性优化问题,并设计搜索算法来求解该优化问题.文中还建立MapReduce作业的Map任务和Reduce任务性能与内存的关系模型,求解最佳性能的内存需求,从而获得Map任务和Reduce任务的年长代内存大小;使用聚类算法预测JVM晋升对象阈值,优化JVM配置,减少了JVM的垃圾回收暂停时间.实验结果表明,文中提出的方法能准确预测作业的内存需求,显著提升作业运行性能.     

虚拟域内访问控制系统的保护机制研究

为有效提高系统的安全等级,利用虚拟机管理程序的隔离性和高特权性,提出了一种新的保护操作系统内核完整性和虚拟域内访问控制系统的安全的方案。在该方案中,访问控制系统分为三个部分:安全策略管理模块、安全服务器模块和策略执行模块。虚拟域内访问控制系统保护机制的原型系统SEVD(security-enhanced virtual domain,SEVD)通过修改Xen虚拟机管理程序,在该虚拟化平台上实现。测试结果表明SEVD系统能够有效保护客户操作系统中访问控制系统的安全,能够抵御流行的Rookit攻击;在性能方面,与SELinux访问控制系统相比,SEVD性能开销也是没有增加,并实现了虚拟环境下安全策略集中配置,有效降低了安全策略管理的复杂度。     

虚拟机内存轻量级检查点研究

针对传统的虚拟机检查点粒度大和做检查点时停机时间长的问题,采用空闲内存页面排空、写时复制和增量检查点来解决传统虚拟机检查点的问题,通过这三项技术使检查点技术轻量化.空闲内存页面排空通过在检查点中排除空闲页面,可以减少虚拟机检查点文件的大小;写时复制通过在虚拟机内存写入时进行内存页面复制,可以减少做检查点的时间;增量检查点通过内存增量页面的计算,检查点只包含增量信息,可以减少虚拟机检查点文件的大小.在虚拟化平台Xen上的实验结果表明:采用写时复制技术减少了做检查点过程中虚拟机的停机时间,停机时间不超过300ms,并可使检查点这一过程对上层应用透明;采用内存排空技术和增量技术来做检查点,使得检查点文件的大小减少20%.     

基于虚拟机的安全技术研究

由于虚拟机的高隔离性以及对系统、应用的透明性,使得很多安全技术是基于虚拟机实现的.提出一种基于Xen的安全架构,可将现有安全程序移植到该架构上,并保证其功能性,如文件、内存扫描以及主动防御技术.由于大量减少处于被保护虚拟机中的安全程序组件,使得安全程序本身具有更高的安全性,同时利用半虚拟化I/O技术将系统开销降低到最小,具有实用性.该框架还可将其他基于虚拟机的安全技术整合进来,且不需要修改现有的操作系统及应用程序,因此具有较强的适用性.     

一种基于离散事件模型的柔性装配系统容错控制策略

深入研究了柔性装配系统中错误检测和自恢复的同步Petri网模型．通过将系统中的传感信息和状态持续时限建模为事件集，讨论了通过过程监控生成错误恢复子网的系统容错设计方法，并对具体的错误恢复子网实施的外部条件进行了讨论．试验表明，该方法有助于提高柔性装配系统的可靠性，并为柔性装配系统布置提供了相应的设计依据．     

VxWorks中任务恢复机制的设计与实现

软件容错技术是保证系统高可靠性及高可信性的有力工具。设计并实现了一种在VxWorks系统下基于检查点的任务恢复机制。通过对VxWorks系统下检查点文件内容的分析,采用3种方法来解决检查点的任务恢复问题:基于内存预先分配的主动内存管理,解决任务恢复时数据内存地址变化的问题;建立系统内核对象池,实现支持多任务之间同步和通信的内核对象的恢复;设计用户层任务恢复中间件,实现用户级检查点设置和任务恢复。最后设计基于VxWorks和PowerPC的计算平台原理样机,通过对单任务、多个单任务、多任务通讯、以及多任务协调工作4个测试用例的分析表明,所设计的基于检查点的任务恢复实现方案能正确保存任务关键信息及保证任务恢复的正确性和一致性。     

一种新型虚拟进程运行环境——SPVM

通过对传统虚拟机的特点分析，提出一种用于单进程虚拟运行的环境，在保证进程运行时逻辑隔离 的基础上，避免了传统虚拟机由于客户操作系统引起的空间利用率和性能较低的缺点，对相关问题进行了讨论，并 对SPVM的进一步工作做出了展望。     

Linux 休眠原理与实现

休眠操作通过保存当前系统进程数据和cpu状态数据到硬盘中,当系统断电并重新启动后,又自动读取保存的数据并恢复到原始系统状态,如此大大减少了系统的启动时间。内存管理,进程管理和swap操作等方面是休眠实现的主要涉及范围,因此对于深入理解linux操作系统有所帮助。