TVD-VPE：基于VPE的可信虚拟域安全构建

"该文提出了一种基于虚拟以太网VPE的可信虚拟域构建机制TVD-VPE，旨在解决云计算环境下虚拟机间网络安全和敏感数据防泄漏问题。TVD-VPE采用分离式设备驱动模型，通过后端驱动对数据进行安全策略检查和加密，设计了可信虚拟域的加入/退出协议、管理协议以及跨域访问协议，以增强虚拟环境的安全性和隔离性。在实际系统实现和测试中，该方法能有效防止非法访问，对Xen的网络性能影响极小。" 在当前的云计算环境中，虚拟机间的通信通常依赖于虚拟交换机或网桥，这可能导致敏感信息的泄露和虚拟机隔离性的降低。为了解决这些问题，研究人员提出了TVD-VPE（Trusted Virtual Domain based on Virtual Private Ethernet），这是一种创新的可信虚拟域构建机制。TVD-VPE的核心是利用虚拟私有以太网（Virtual Private Ethernet，VPE）技术，通过分离式设备驱动模型来增强虚拟网络的安全性。 在TVD-VPE中，数据包在传输过程中会被后端驱动截获，随后进行边界安全策略检查。这些策略可能包括访问控制列表、防火墙规则等，确保只有符合安全策略的数据帧才能继续传输。通过这种方式，TVD-VPE能够防止未经授权的虚拟机访问敏感数据，增强了数据的保密性。 为了保证虚拟机能够安全地加入或退出可信虚拟域，文章中还设计了可信虚拟域加入/退出协议。这个协议确保了虚拟机在加入域时经过严格的验证，而在退出时则会清除所有相关的安全状态，从而避免信息残留带来的风险。 此外，针对高权限用户的跨域访问需求，TVD-VPE还提出了跨域访问协议。这个协议定义了安全的跨域通信规则，使得在保障安全的同时，高级别用户仍能高效地进行跨域操作。 在实际应用中，TVD-VPE被实现为一个原型系统，并进行了功能和性能测试。测试结果显示，该系统能够有效地阻止非法访问，同时对Xen虚拟化平台的网络性能影响微乎其微，证明了其在保持灵活性的同时，具备高度的安全性和效率。 TVD-VPE是一种创新的可信虚拟域构建机制，它通过虚拟以太网技术，结合分离式设备驱动模型，提供了一套全面的安全策略框架，以保护云计算环境中的敏感数据，增强虚拟机的隔离性，并支持安全的跨域访问。这一方法对于提升云计算的安全性，防止数据泄漏，以及维护云服务的稳定性和性能具有重要意义。