Trusted lightweight VMM based security architecture
基于可信轻量虚拟机监控器的安全架构

虚拟化技术越来越多地被用于增强商用操作系统的安全性。现有的解决方案通常将虚拟机管理软件（VMM）作为可信集，利用其作为底层架构的优势来为上层软件提供安全功能。这些方案都是基于通用虚拟机管理软件，因而存在以下问题：a）虚拟化性能上开销大；b）作为可信集相对比较庞大；c）不能提供有效的信任链证明自身可信性。针对上述问题，提出以轻量虚拟机监控器作为可信集的安全架构——Cherub架构，Cherub利用主流处理器的安全扩展指令和硬件辅助虚拟化技术在运行的操作系统中插入轻量级的虚拟机监控器，并利用该虚拟机监控器作为可信集用于实现多种安全目标。实验结果证明了该架构的有效性，并具有代码量小、动态可加载和虚拟化开销小等优点。