云环境中安全容器动态迁移的研究

发布时间：2020-11-14 05:43

　　 近年来,基于容器的虚拟化技术在工业界日益流行。随着容器成为新的云计算平台,云安全成为容器部署所要面临的重大挑战。英特尔SGX(Software Guard EXtensions)为应用程序提供了强大的安全保障。在容器中应用SGX技术,将提高容器云的安全性,为租户提供强有力的隐私保护,本文称这种容器为安全容器。但是,这项技术也带来了新的问题。例如,SGX安全容器的性能下降,以及SGX安全容器的动态迁移问题。由于SGX不允许运行在飞地中的应用执行系统调用,所以当需要请求系统服务时,应用必须退出飞地模式。如果应用频繁请求系统服务,模式切换带来的开销是不可忽略的。同时,由于飞地通常和具体的硬件绑定,而且不可信的操作系统无法访问SGX飞地内的代码和数据,SGX安全容器无法正常进行容器动态迁移。动态迁移是云计算的一项基础功能,失去动态迁移将减少云计算的优势。首先,本文研究了安全容器的性能优化问题,提出了基于Intel SGX SDK(Software Development Kit)的switchless call,消除了由模式切换带来的开销;并针对switchless call建立性能模型,基于性能分析结果,设计和实现了基于效能的工作线程调度算法,优化CPU(Central Processing Unit)的效率。其次,现有的容器动态迁移解决方案无法处理SGX安全容器的迁移问题。为了解决这个问题,本文设计和实现SGX安全容器动态迁移框架。该迁移框架结合SGX技术的特性和容器的使用场景,并且同时考虑EPC(Enclave Page Cache)内存和持久化存储的迁移,为开发者提供了轻量级,又易于使用的方案。本文在设计安全容器动态迁移框架时,除了考虑迁移的功能的实现外,还确保了迁移框架的安全性。该框架可以防止恶意操作系统对迁移过程的fork攻击和rollback攻击,并在不依赖操作系统的情况下,确保迁移数据的一致性。最后,安全评估证明了迁移框架的安全性。性能评估表明,安全容器优化对于性能有着显著提高,同时工作线程调度算法针对不同类型的负载,有效地调整了工作线程数目。此外,与正常的容器迁移相比,SGX安全容器迁移的额外时间开销为15%,但是考虑到SGX所带来的安全性,这个开销是可以接受的。
【学位单位】：北京邮电大学
【学位级别】：硕士
【学位年份】：2019
【中图分类】：TP393.08
【部分图文】：

这就为应用开发、部署、分发提供了统一平台。第二，容器技术为应用??程序提供了安全隔离，每个容器只能使用自己独有的资源。第三，容器虚拟化不??需要硬件支持，没有额外的虚拟化开销，拥有接近裸机的性能。容器架构如图２－??１所示。??容器容器容器??应用?应用?应用??二进制与?二进制与?二进制与??操作系统?操作系统?操作系统??库库库???主机操作系统内核???图２－１容器架构示意图??容器虚拟化的关键技术是命名空间＃］、ｃｇｒｏｕｐＭｋ镜像标准等。??命名空间是Ｌｉｎｕｘ为应用提供的用于隔离进程树、网络接口、挂载点以及进??程间通信等资源的方法。虽然多个容器运行在同一个平台上，但是他们分别位于??自己的命名空间中，无法访问到命名空间外部的资源，这样即使某个容器被攻击??或者存在某个恶意容器，入侵者也仅能访问到当前容器的所有内容，其他的资源??７??

Ｃｇｒｏｕｐ能够隔离宿主机器上的物理资源，除了之前提到的ＣＰＵ和内存，各??种外设也包含其中，如磁盘Ｉ／Ｏ带宽和网络带宽等。ｃｇｒｏｕｐ包含了多个子系统，??分别控制不同的物理资源，其基本结构和生效函数如图２－２所示。每个ｃｇｒｏｕｐ包??含多个进程，这些进程都处于相同的资源限制的标准和参数之下，而不同的??ｃｇｒｏｕｐ之间是有层级关系的，也就是说ｃｇｒｏｕｐ可以从父ｇｒｏｕｐ中继承一些用于??限制资源使用的标准和参数。ｃｇｒｏｕｐ的功能主要包括：资源限制、资源统计、进??程控制等。容器正是借助ｃｇｒｏｕｐ的能力，实现对容器内的所有进程的分组管理??和资源限制。??ｍｅｍ＿ｃｇｒｏｕｐ＿ｔｒｙ＿ｃｈａ?ｒｇｅ?人?１〇子系统）??Ｉ??Ｉ?ｊｆ??ｇｅｎｅｒｉｃ＿＿ｍａｋｅ＿ｒｅｑｕｅｓｔ＿＿ｃｈｅｃｋｓ??ｃｇｒｏｕｐ一ｃａｎ一ｆｏｒｋ??（ｃｇｒｏｕｐ?＼??、ｃｏｒｅ?Ｊ??ｓｏｃｋ＿ｕｐｄａｔｅ＿ｃｌａｓｓｉｄ／??ｓ?ｏ?ｃ?ｋ＿ｕ?ｐｄａ?ｔ?ｅ＿ｎｅｔ?ｐｒｉｏ?ｉｄｘ??ｃｈｅｃｋ＿ｅｎｑｕｅｕｅ＿ｔｈｒｏｔｔｌｅ??＾ｃｐｕｉｉａＡ?＾?￣＼??ｂ络子系ｙ??图２－２?ｃｇｒｏｕｐ各个功能子系统及生效函数??容器的镜像包含了运行一个软件所必备的所有组件，镜像标准化为容器的推??广奠定了基础。容器镜像采用分层存储方式，因此多个镜像可以从同一个ｂａｓｅ镜??像构建而来，而每层镜像通常是只读的，高层镜像之间可以共享底层的镜像，这??极大地节约了空间。当容器启动以后，会在最上层加上一层可写的容器层，容器??内所有的修改都保存在这层镜像中。??８??

?图２－３?Ｄｏｃｋｅｒ各个组件的架构示意图??如图２－３所不，Ｄｏｃｋｅｒ米用多层的架构设计。Ｄｏｃｋｅｒ?ｅｎｇｉｎｅ包含Ｔ客户端??和守护进程两部分。守护进程接收从客户端发来的命令，记录所有的容器相关信??息，并交由ｃｏｎｔａｉｎｅｒｄ具体负责容器的操作。Ｃｏｎｔａｉｎｅｒｄ是容器的运行时，它负??责管理容器的生命周期，从拉取镜像，到启动容器，最后销毁容器等，对Ｄｏｃｋｅｒ??ｅｎｇｉｎｅ使用标准的ＧＲＰＣ协议，提供满足ＯＣＩ?（Ｏｐｅｎ?Ｃｏｎｔａｉｎｅｒ?Ｉｎｉｔｉａｔｉｖｅ）細准??的ＡＰＩ。Ｃｏｎｔａｉｎｅｒ－ｓｈｉｍ是容器的运行时实体，作为容器进程的父进程，管理容??器进程的生命周期。ｍｎＣ是对容器ＯＣＩ标准的实现，拥有所奋标准规定的容器??管理接门，同时ｒｕｎＣ负责所Ｙｆ内核特件的１：１？理，如命名空间、ｓｅｃｃｏｍｐ和ｃｇｒｏｕｐ??等。??２．２容器迁
【相似文献】

相关期刊论文 前10条

1 李剑芳;;“佛山传统文化”如何融入“容器造型”教学[J];山海经;2018年21期

2 胡珊;;现代容器开启过程的用户体验研究[J];工业设计研究;2016年00期

3 ;山东工艺美术学院教师彭建祥、朱小尧、王付银包装容器设计作品选[J];包装世界;2011年02期

4 纪璐;韩冰;;形式美法则在包装内容器设计中的应用[J];大众文艺;2011年06期

5 许秦蓉;吕剑;;基于通用设计原则的包装与容器设计[J];包装工程;2011年24期

6 刘来福;;GY-82型超高压容器设计及试制[J];天然气工业;1987年03期

7 刘昌信;毛仲高;;压力容器一百问[J];井矿盐技术;1987年05期

8 陈启松;;计入σ_6~'时卧式容器的优化设计[J];江苏机械;1987年04期

9 余群跃;;对“卧式容器设计”有关问题的讨论——兼谈对JB1167-81《鞍式支座》的一点看法[J];石油化工设备技术;1987年02期

10 裴俊厚,汪广海;压力式LPG船货舱容器在试水状态下的应力分析[J];舰船科学技术;1988年05期

相关博士学位论文 前2条

1 马歆;自保护快速启闭式超高压海产品加工容器关键技术研究[D];浙江大学;2006年

2 开方明;铝内衬轻质高压储氢容器强度和可靠性研究[D];浙江大学;2007年

相关硕士学位论文 前10条

1 张琼;云环境中安全容器动态迁移的研究[D];北京邮电大学;2019年

2 张城城;基于Docker的容器集群管理平台的研究与实现[D];北京邮电大学;2019年

3 姚增增;大规模环境下容器技术的研究与优化[D];浙江大学;2019年

4 韩宁;记忆元件的电学特性分析及应用研究[D];长安大学;2018年

5 裴梦琛;新型搅拌器结构设计与性能研究[D];西北大学;2018年

6 崔伟;外压薄壁容器稳定性模拟分析与研究[D];长春理工大学;2018年

7 张浩;基于Kubernetes的数据中心异构容器运行时设计与实现[D];浙江大学;2018年

8 贺斌;基于入场物流成本视角的DNZ公司汽车零部件容器运营模式对比研究[D];郑州大学;2018年

9 田森;基于RunV容器的网络存储优化的设计与实现[D];华中科技大学;2016年

10 袁昊;铅铋反应堆主容器疲劳、蠕变及裂纹分析[D];华北电力大学(北京);2015年

本文编号：2883150