房 晶，吳 昊，白松林

（北京交通大學軌道交通控制與安全國家重點實驗室 北京 100044）

1 引言

近年來，云計算受到了學術(shù)界和產(chǎn)業(yè)界的一致關(guān)注。隨著云計算應(yīng)用的日益復(fù)雜，其安全性要求也越來越高。而且傳統(tǒng)的IT系統(tǒng)是封閉的，存在于企業(yè)內(nèi)部，對外暴露的只是網(wǎng)頁服務(wù)器、郵件服務(wù)器等少數(shù)接口，因此只需要在出口設(shè)置防火墻、訪問控制等安全措施，就可以解決大部分安全問題。但在云環(huán)境下，云暴露在公開的網(wǎng)絡(luò)中，任何一個節(jié)點及它們的網(wǎng)絡(luò)都可能受到攻擊，存在諸多安全隱患。

云計算中的安全包括身份和訪問管理、數(shù)據(jù)安全、隱私保護、虛擬化安全等。圖1描述了虛擬化角度下的云計算架構(gòu)[1]。節(jié)點的物理硬件和網(wǎng)絡(luò)物理硬件通過多層虛擬化的邏輯簡化過程形成了彈性化的計算、存儲和網(wǎng)絡(luò)帶寬3者整合的虛擬資源池，提供了隨需而選的資源共享、分配、管控平臺，用戶可根據(jù)上層的數(shù)據(jù)和業(yè)務(wù)形態(tài)的不同需求，搭配出各種互相隔離的應(yīng)用。這樣通過虛擬技術(shù)，就形成一個服務(wù)導向的可伸縮的IT基礎(chǔ)架構(gòu)，可以提供云計算服務(wù)。比如 Amazon EC2（elastic compute cloud），它為用戶提供了大量的虛擬資源，用戶只需根據(jù)自己的需要創(chuàng)建虛擬機實例，從而通過這些資源完成用戶的任務(wù)。

專家大多認為，云計算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬的計算環(huán)境，也正是這一區(qū)別導致其安全問題變得異常“棘手”。身份管理、數(shù)據(jù)安全等問題可以通過現(xiàn)有的訪問控制策略、數(shù)據(jù)加密等傳統(tǒng)安全手段來解決，而虛擬化作為云計算最重要的技術(shù)，且虛擬環(huán)境是云計算的獨特環(huán)境，傳統(tǒng)的安全措施很難從根本上解決問題，必須采取新的安全策略。

2 虛擬化技術(shù)

云計算的特征體現(xiàn)為虛擬化、分布式和動態(tài)可擴展。虛擬化是云計算最主要的特點。每一個應(yīng)用部署的環(huán)境和物理平臺是沒有關(guān)系的，通過虛擬平臺進行管理、擴展、遷移、備份，種種操作都是通過虛擬化技術(shù)完成。虛擬化技術(shù)是一種調(diào)配計算資源的方法，它將應(yīng)用系統(tǒng)的不同層面——硬件、軟件、數(shù)據(jù)、網(wǎng)絡(luò)、存儲等一一隔離開來，從而打破數(shù)據(jù)中心、服務(wù)器、存儲、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用中的物理設(shè)備之間的劃分，實現(xiàn)架構(gòu)動態(tài)化，并實現(xiàn)集中管理和動態(tài)使用物理資源及虛擬資源[2,3]。圖2顯示的是一個典型的虛擬機系統(tǒng)。其中，虛擬機監(jiān)控器（virtual machine monitor,VMM），又稱為監(jiān)管程序（Hypervisor），是虛擬化技術(shù)的核心。通過在計算機系統(tǒng)上添加一個虛擬機監(jiān)控程序軟件對計算機系統(tǒng)進行虛擬化，在物理機上構(gòu)建一個虛擬機系統(tǒng)，每個虛擬機（VM）運行自己的客戶機操作系統(tǒng)（Guest OS）[4]。這可以說是云計算的一個雛形。

現(xiàn)在，整個IT環(huán)境已逐步向云計算時代跨越，虛擬化技術(shù)也從最初的側(cè)重于整合數(shù)據(jù)中心內(nèi)的資源，發(fā)展到可以跨越IT架構(gòu)實現(xiàn)包括資源、網(wǎng)絡(luò)、應(yīng)用和桌面在內(nèi)的多種虛擬化，這些都促進了云計算模式的形成。大部分軟件和硬件已經(jīng)對虛擬化有一定支持，可以把各種IT資源、軟件、硬件、操作系統(tǒng)和存儲網(wǎng)絡(luò)等要素都進行虛擬化，放在云計算平臺中統(tǒng)一管理[5]。

3 虛擬化安全問題研究

3.1 虛擬化的安全問題

虛擬化技術(shù)對于云計算而言是非常重要的，所以，虛擬化的安全也直接關(guān)系到云計算的安全。從目前研究來看，云計算的虛擬化安全問題主要集中在以下幾點。

（1）VM Hopping

一臺虛擬機可能監(jiān)控另一臺虛擬機甚至會接入到宿主機，這稱為VM Hopping。如果兩個虛擬機在同一臺宿主機上，一個在虛擬機1上的攻擊者通過獲取虛擬機2的IP地址或通過獲得宿主機本身的訪問權(quán)限可接入到虛擬機2。攻擊者監(jiān)控虛擬機2的流量，可以通過操縱流量攻擊，或改變它的配置文件，將虛擬機2由運行改為離線，造成通信中斷。當連接重新建立時，通信將需要重新開始[6]。

（2）VM Escape

VM Escape攻擊獲得Hypervisor的訪問權(quán)限，從而對其他虛擬機進行攻擊。若一個攻擊者接入的主機運行多個虛擬機，它可以關(guān)閉Hypervisor，最終導致這些虛擬機關(guān)閉。

（3）遠程管理缺陷

Hypervisor通常由管理平臺來為管理員管理虛擬機。例如，Xen用XenCenter管理其虛擬機。這些控制臺可能會引起一些新的缺陷，例如跨站腳本攻擊、SQL入侵等。

（4）拒絕服務(wù)（DoS）的缺陷

在虛擬化環(huán)境下，資源（如CPU、內(nèi)存、硬盤和網(wǎng)絡(luò)）由虛擬機和宿主機一起共享。因此，DoS攻擊可能會加到虛擬機上從而獲取宿主機上所有的資源，因為沒有可用資源，從而造成系統(tǒng)將會拒絕來自客戶的所有請求。

（5）基于 Rootkit的虛擬機

Rootkit概念出現(xiàn)在Unix中，它是一些收集工具，能夠獲得管理員級別的計算機或計算機網(wǎng)絡(luò)訪問。如果Hypervisor被Rootkit控制，Rootkit可以得到整個物理機器的控制權(quán)[7]。

（6）遷移攻擊

遷移攻擊可以將虛擬機從一臺主機移動到另一臺，也可以通過網(wǎng)絡(luò)或USB復(fù)制虛擬機。虛擬機的內(nèi)容存儲在Hypervisor的一個文件中。如圖3所示，在虛擬機移動到另一個位置的過程中，虛擬磁盤被重新創(chuàng)建，攻擊者能夠改變源配置文件和虛擬機的特性。一旦攻擊者接觸到虛擬磁盤，攻擊者有足夠的時間來打破所有的安全措施，例如密碼、重要認證等。由于該虛擬機是一個實際虛擬機的副本，難以追蹤攻擊者的此類威脅。

除此以外，虛擬機和主機之間共享剪切板可能造成安全問題。若主機記錄運行在主機上的虛擬機的登錄按鍵和屏幕操作，如何確保主機日志的安全也是一個問題。

3.2 虛擬化安全分層分析

目前對虛擬化安全的研究綜合起來可以歸結(jié)為兩個方面：一個是虛擬化軟件的安全；另一個是虛擬服務(wù)器的安全。

（1）虛擬化軟件的安全

該軟件層直接部署于裸機之上，提供能夠創(chuàng)建、運行和銷毀虛擬服務(wù)器的能力。主機層的虛擬化能通過任何虛擬化模式完成，包括操作系統(tǒng)級虛擬化（Solaris container、BSD jail、Linux-Vserver）、半虛擬化（硬件和 Xen、VMware的結(jié)合）或基于硬件的虛擬化（Xen、VMware、Microsoft Hyper-V）[8]。

這一層的重點是虛擬機的安全，其中Hypervisor作為虛擬機的核心，要確保安全。目前有兩種攻擊方式，一是惡意代碼通過應(yīng)用程序接口（API）攻擊，因虛擬機通過調(diào)用API向Hypervisor發(fā)出請求，Hypervisor要確保虛擬機只會發(fā)出經(jīng)過認證和授權(quán)的請求。二是通過網(wǎng)絡(luò)對Hypervisor進行攻擊。通常，Hypervisor所使用的網(wǎng)絡(luò)接口設(shè)備也是虛擬機所使用的。如果網(wǎng)絡(luò)配置得不是很嚴格，這意味著虛擬機可以連接到Hypervisor的IP地址，并且可以在Hypervisor的登錄密碼沒有使用強密碼保護的情況下入侵到Hypervisor。這種不嚴格的網(wǎng)絡(luò)配置還可能導致對Hypervisor的DoS攻擊，使得外網(wǎng)無法鏈接到Hypervisor去關(guān)閉這些有問題的虛擬機。

（2）虛擬服務(wù)器的安全

虛擬服務(wù)器位于虛擬化軟件之上。服務(wù)器的虛擬化相對于之前的服務(wù)器，變化最大的一點是網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)架構(gòu)的改變相應(yīng)地產(chǎn)生了許多安全問題[9]。采用虛擬化技術(shù)前，用戶可以在防火墻設(shè)備商建立多個隔離區(qū)，對不同服務(wù)器采用不同的規(guī)則進行管理，由于隔離區(qū)的存在，對一個服務(wù)器的攻擊不會擴散到其他服務(wù)器。采用虛擬服務(wù)器后，所有的虛擬機會集中連接到同一臺虛擬交換機與外部網(wǎng)絡(luò)通信，會造成安全問題的擴散。服務(wù)器虛擬化后，每一臺服務(wù)器都將支持若干個資源密集型的應(yīng)用程序，可能出現(xiàn)負載過重，甚至會出現(xiàn)物理服務(wù)器崩潰的狀況。在管理程序設(shè)計過程中的安全隱患會傳染到同臺物理主機上的虛擬機，造成虛擬機溢出，此時的虛擬機從管理程序脫離出來，黑客可能進入虛擬機管理程序，能夠避開虛擬機安全保護系統(tǒng)，對虛擬機進行危害[10]。

另外，虛擬機遷移以及虛擬機間的通信將會大大增加服務(wù)器遭受滲透攻擊的機會。虛擬服務(wù)器或客戶端面臨著許多主機安全威脅，包括接入和管理主機的密鑰被盜，攻擊未打補丁的主機，在脆弱的服務(wù)標準端口偵聽，劫持未采取合適安全措施的賬戶等。面對以上不安全因素，目前研究發(fā)現(xiàn)，可以采取以下措施：

·針對網(wǎng)絡(luò)架構(gòu)的變化，在每臺虛擬機上都安裝防毒軟件或者其他種類的殺毒軟件；

·避免服務(wù)器過載崩潰，要不斷監(jiān)視服務(wù)器的硬件利用率，并進行容量分析，使用容錯服務(wù)器或容錯軟件是一個好的選擇[11]；

·為阻止虛擬機溢出，在數(shù)據(jù)庫和應(yīng)用層間設(shè)置防火墻，通過隔離虛擬機實現(xiàn)從網(wǎng)絡(luò)上脫機保存虛擬化環(huán)境；

·選擇具有可信平臺模塊 （trusted platform module，TPM）的虛擬服務(wù)器；

·安裝時為每臺虛擬服務(wù)器分配一個獨立的硬盤分區(qū)，以便進行邏輯隔離；

·每臺虛擬服務(wù)器應(yīng)通過VLAN和不同的IP地址網(wǎng)段的方式進行邏輯隔離，需要通信的虛擬服務(wù)器間通過VPN進行網(wǎng)絡(luò)連接；

·進行有計劃的備份，包括完整、增量或差量備份方式，進行虛擬化的災(zāi)難恢復(fù)[12]。

4 基于Xen平臺安全問題分析

為了研究方便，筆者選擇Xen搭建云計算平臺，分析Xen是怎樣解決虛擬化安全問題的，并認識Xen未解決的問題，從而對云計算虛擬化的安全問題有更深一步的認識。

4.1 Xen概述及其與VMware的比較

Xen是一種基于虛擬機監(jiān)控器Xen Hypervisor的虛擬機體系結(jié)構(gòu)，由劍橋大學開發(fā)。Xen Hypervisor作為虛擬機監(jiān)控器直接運行在硬件上，提供虛擬化環(huán)境。同時，在Xen Hypervisor上運行一個具有管理接口（administrative console）的虛擬機（Domain 0）作為 Xen Hypervisor的擴展，管理Xen hypervisor和其他虛擬機實例（Domain U）[13]。

跟Xen比較起來，VMware是完全仿真計算機，理論上操作系統(tǒng)可不需更改就直接在虛擬機器上執(zhí)行，但是VMware不夠靈活。通常Xen采用半虛擬化技術(shù)，雖然操作系統(tǒng)必須進行顯式地修改（“移植”）以在Xen上運行，但是提供給用戶應(yīng)用的兼容性強。這使得Xen無需特殊硬件支持，就能達到高性能的虛擬化。參考文獻[14]表明，當用Linux自帶的網(wǎng)絡(luò)服務(wù)測試工具測試VMware和Xen的虛擬網(wǎng)絡(luò)性能時，隨著請求文件長度的變大，每秒鐘處理的請求數(shù)均降低，Xen的虛擬網(wǎng)絡(luò)性能與真實主機接近，而比VMware虛擬網(wǎng)絡(luò)的性能好。目前，Intel等公司的努力使Xen已經(jīng)支持完全虛擬化。更重要的是，Xen是開源的，因此選用Xen搭建云計算環(huán)境是一個不錯的選擇。

4.2 Xen已解決的安全問題

（1）Xen 的訪問控制

云計算虛擬化面臨諸多安全問題，有效采取訪問控制策略能有效解決非法登錄、虛擬機流量監(jiān)控等安全問題。Xen通過自己的訪問控制模塊 （access control module,ACM），能有效解決諸多訪問不當造成的安全問題。

ACM實現(xiàn)了兩種策略機制，分別是中國墻（Chinese wall）策略和簡單類型強制（simple type enforcement，STE）策略。其中，中國墻策略定義了一組中國墻類型，并由此定義沖突集，然后根據(jù)類型定義標簽，該策略根據(jù)標簽來進行判斷，若兩個虛擬機的標簽處在同一個沖突集中，則不能同時在相同的系統(tǒng)上運行，因此該機制主要用于虛擬機之間的信息流控制。STE策略亦定義了一組類型（該類型針對的是域所擁有的資源），然后根據(jù)類型定義標簽，要求當主體擁有客體標簽時，主體才能訪問客體，以此來控制資源共享。除此以外，Xen的Domain 0用戶可以根據(jù)自己的需求制定安全策略文檔，當虛擬機請求與別的虛擬機進行通信或訪問資源時，ACM模塊能根據(jù)用戶定義的策略判斷，以此達到對虛擬機的資源進行控制以及對虛擬機之間的信息流進行控制的目的[15]。

（2）Xen 的可信計算

可信計算技術(shù)是一種新興的信息安全手段，其安全措施是通過構(gòu)建信任鏈來防御攻擊。通過傳遞機制，在系統(tǒng)啟動時可將BIOS中最先啟動的代碼BIOS boot loader作為整個信任鏈的起點，依次逐級向上傳遞系統(tǒng)控制權(quán)并構(gòu)建信任鏈，直到應(yīng)用層。可信計算可以有效彌補傳統(tǒng)安全協(xié)議無法提供的有關(guān)通信終點節(jié)點完整性與可信性差的問題[16,17]。

可信計算平臺是能夠提供可信計算服務(wù)的計算機軟硬件實體，它能夠提供系統(tǒng)的可靠性、可用性以及信息和行為的安全性[18]。因此，建立可信平臺是應(yīng)對云計算安全的一種重要手段。而可信平臺模塊（TPM）是可信計算的基石。

TPM實際上是一個含有密碼運算部件和存儲部件的系統(tǒng)級芯片，是云計算平臺重要的防篡改組件[19]，這能有效保證平臺的安全。相對于傳統(tǒng)物理平臺，可信平臺在Xen等虛擬化平臺上實現(xiàn)TPM，有一定的優(yōu)越性。平時計算機裝了太多軟件，這使得構(gòu)建信任鏈變得很復(fù)雜。相對而言，使用虛擬機（VM）配合虛擬可信平臺模塊（vTPM）組成虛擬終端可信平臺要方便得多[20]。這是因為虛擬終端可信平臺通常只為處理某種特定任務(wù)而產(chǎn)生，可由用戶自定義其所需功能，所以功能相對簡單，更容易構(gòu)建信任鏈。此平臺可以來處理需要安全保障的在線服務(wù)或敏感數(shù)據(jù)的訪問。

現(xiàn)在，Xen 3.0以上的版本都能支持vTPM的實現(xiàn)，vTPM能實現(xiàn)虛擬計算系統(tǒng)中虛擬機的安全可靠。vTPM可以使平臺上的每個虛擬機利用其功能，讓每個需要TPM功能的虛擬機都感覺是在訪問自己私有的TPM一樣。在平臺搭建中，可以創(chuàng)建多個虛擬TPM，這樣每一個如實地效仿硬件TPM的功能，可有效維護各個虛擬機的安全，從而使Xen搭建的云計算平臺處于較穩(wěn)定狀態(tài)。

4.3 Xen的現(xiàn)有問題及解決策略

目前的Xen的安全性還有較多的安全問題。比如，Domain 0是一個安全瓶頸，其功能較其他域強，所以容易被敵手發(fā)起蠕蟲、病毒、DoS等各種攻擊，如果Domain 0癱瘓或者被敵手攻破，那么將破壞整個虛擬機系統(tǒng)。Xen的隱通道問題沒有解決，在Xen上就不可能運行高安全等級的操作系統(tǒng)。虛擬機共享同一套硬件設(shè)備，一些網(wǎng)絡(luò)安全協(xié)議可能更加容易遭到惡意破壞和惡意實施[21]。Xen提供了方便的保存和恢復(fù)機制，使得操作系統(tǒng)數(shù)據(jù)的回滾和重放非常容易，但這些將影響操作本身的密碼特性。除此之外，在Xen中，由于安全機制做在Guest OS中，所以不能保證VMM的安全。Xen只能限制頁表一級的內(nèi)存I/O地址空間，而中斷和I/O端口地址空間的粒度要比頁表小得多，如果不同虛擬機中的驅(qū)動不幸被分配到同一個頁表空間，那么它們就可以訪問對方的內(nèi)存地址空間[22]，造成安全問題。

針對Domain 0的問題，可削弱它的功能，將其功能分解到其他域，這將會適當減少Domain 0的瓶頸作用。具體的策略需要進一步研究。對于敏感數(shù)據(jù)要進行多次擦除防止再恢復(fù)。另外，Xen的ACM模塊不能完全解決設(shè)備隔離和資源隔離問題，將Xen和LaGrande技術(shù)結(jié)合是一個不錯的選擇。LaGrande是Intel將要實施的一種硬件技術(shù)，它是一組通用的硬件安全增強組件，用來防止敏感的信息被惡意軟件攻擊，其安全功能將被整合到處理器和芯片集中，能有效增強設(shè)備隔離，實現(xiàn)I/O保護、內(nèi)存越界保護、鍵盤、顯示的隔離保護等?？傊?，在之后的工作中，需要慢慢解決虛擬化的安全問題，這是云計算安全的關(guān)鍵。

5 業(yè)界對虛擬化安全的努力

針對傳統(tǒng)安全防火墻技術(shù)不能有效監(jiān)控虛擬機流量的問題，Altor Networks公司使用VMware的API來開發(fā)虛擬安全分析器，以檢測虛擬交換機流量——在虛擬層之上的網(wǎng)絡(luò)層流量。該公司也開發(fā)了虛擬網(wǎng)絡(luò)防火墻，該防火墻基于虛擬機管理器，可認證有狀態(tài)的虛擬防火墻，檢查所有通過虛擬機的數(shù)據(jù)分組，組織所有未經(jīng)批準的連接和允許對數(shù)據(jù)分組進行更深層次的檢查，確保了虛擬機間通信的安全。針對虛擬環(huán)境的安全問題，目前Resolution Enterprise公司提出要對虛擬化環(huán)境采取深層防護戰(zhàn)略，這是一個像城堡一樣的防護模型，通過執(zhí)行相應(yīng)的策略實現(xiàn)對云計算虛擬資源池的保護。這個新發(fā)明值得進一步去研究。

除此以外，開源Xen管理程序社區(qū)Xen.org已經(jīng)開始實施Xen云平臺（XCP）計劃，目的是在云環(huán)境中利用領(lǐng)先的Xen管理程序，為未來的云服務(wù)提供安全的、經(jīng)過驗證的開源基礎(chǔ)設(shè)施平臺。目前，已經(jīng)發(fā)布了XCP1.0及其修正版，并將慢慢發(fā)布更加穩(wěn)定的版本。這將有助于建立更加穩(wěn)定的云計算平臺。

6 結(jié)束語

虛擬化打開了云計算的大門，而云計算的本質(zhì)正是虛擬化服務(wù)。作為一個新的網(wǎng)絡(luò)計算，云計算面臨著諸多安全問題，而虛擬化安全作為云計算的特有安全問題，需要重點關(guān)注。后期研究的重點集中在虛擬機的隔離，虛擬機流量的監(jiān)控和虛擬的可信平臺的穩(wěn)固上。只有解決這些問題，才能夠確保云計算平臺的虛擬化安全，從而放心地使用云計算。

1 王鵬，黃華峰，曹珂.云計算：中國未來的IT戰(zhàn)略.北京：人民郵電出版社,2010

2 《虛擬化與云計算》小組.虛擬化與云計算.北京：電子工業(yè)出版社，2009

3 張為民，唐劍峰，羅志國.云計算深刻改變未來.北京：科學出版社，2009

4 于嘉.基于TPM的虛擬機安全協(xié)議的設(shè)計與實現(xiàn).上海交通大學碩士學位論文，2008

5 王昊鵬，劉旺盛.虛擬化技術(shù)在云計算中的應(yīng)用初探 .電腦知識與技術(shù)，2008，7(3)

6 Jasti A,Shah P,Nagaraj R,et al.Security in multi-tenancy cloud.Proceedings of2010 IEEE InternationalCarnahan Conference on Security Technology (ICCST),San Jose,CA,2010:35～41

7 Hanqian Wu,Yi Ding,Winer Chuck,et al.Network security for virtual machine in cloud computing.Proceedings of 5th International Conference on Computer, Sciences and Convergence Information Technology(ICCIT),Seoul,Korea,2010:18～21

8 Tim Mather,Subra Kumaraswamy,Shahed Latif.Cloud Security and Privacy.O'Reilly Media,2009

9 Yanfeng Zhang,Cuirong Wang,Yuan Gao.A QoS-oriented network architecture based on virtualization.Proceedings of First International Workshop on Education Technology and Computer Science,Wuhan,China,2009:959～963

10 Sehgal N K,Ganguli M.Applications of virtualization for server management and security.Proceedings of IEEE International Conference on Industrial Technology (ICIT),Mumbai,India,2006:2 752～2 755

11 Xiaorui Wang,Yefu Wang.Coordinating power control and performance management for virtualized server clusters.IEEE Transactions on Parallel and Distributed Systems,2011,22(2):245～259

12 聞劍峰,龔德志.虛擬化技術(shù)在電信災(zāi)難恢復(fù)計劃中的應(yīng)用研究.電信科學,2009,25(9):16～20

13 Xen Introduction.http://xen.xensource.com/media /xen/player.html

14 江迎春.VMware和Xen虛擬網(wǎng)絡(luò)性能比較.軟件導刊,2009,8(5):133～134

15 石磊，鄒德清，金海.Xen虛擬化技術(shù).武漢：華中科技大學出版社,2009

16 程川.一種基于Xen的信任虛擬機安全訪問設(shè)計與實現(xiàn).計算機數(shù)字與工程，2010,38(3):109～111

17 Challener D,Yoder K,Catherman R,et al.A Practical Guide to Trusted Computing.IBM Press,2008

18 陳小峰.可信平臺模塊的形式化分析和測試.計算機學報，2009,32(4):646～653

19 劉海雷，王震宇，馬鳴錦.嵌入式可信終端TPM接口的研究與實現(xiàn).計算機工程與設(shè)計，2008，29(13)：16～19

20 Chen P M,Noble B D.When virtual is better than real.Proceedings of the 8th Workshop on HotTopics in Operating Systems,IEEE ComputerSociety,Washington,DC,USA,2001

21 Ongaro D,Cox A L,Rixner S.Scheduling I/O in virtual machine monitors.Proceedings of the fourth ACM SIGPLAN/SIGOPS International Conference on Virtual Execution Environments,Seattle,WA,2008

22 Lei Yu,Chuliang Weng,Minglu Li,et al.Security challenges on the clone,snapshot,migration and rollback ofXen based computing environments.Proceedingsofthe Fifth Annual ChinaGrid Conference,Guangzhou,China,2010:223～227