虚拟化技术下的安全

虚拟化技术下的安全（精选十篇）

虚拟化技术下的安全 篇1

关键词：虚拟化,虚拟化安全,宿主系统,虚拟系统,虚拟网络

0 引言

当今, 服务器、桌面、存储和网络系统都已虚拟化方式来实现。但是, 在这些已虚拟化技术为基础的资产中, 对于虚拟化安全的关注确非常少, 人们把大部分安全精力放到了能看得到的物理主机系统, 物理网络系统, 但往往忽视了虚拟系统及网络的安全性。

1 虚拟化安全概述

在现有的虚拟化技术下, 一个虚拟化环境可能为攻击者提供了新的攻击模式和非常规精细化漏洞攻击的机会。因此, 重要的是必须要采取相应措施, 确保包括物理主机 (physicalhosts) 以及创建和维护虚拟机时在其上运行的虚拟系统 (guest) 的安全。

1.1 非虚拟化环境

在一个非虚拟化环境中, 主机彼此都是物理隔离的, 而且每个主机都有自己的独立环境, 主机与主机的环境都互不相关, 包括像一系列的服务, 如web服务或DNS服务。这些服务都直接与他们自己的用户空间 (user space) 进行通讯, 主机内核 (host kernel) 和物理主机 (physical host) 直接向网络提供服务。非虚拟化环境示意如图1所示:

1.2 虚拟化环境

在虚拟化环境中, 多个操作系统可以被安装到一个单独的主机内核和物理主机中。虚拟化环境示意如图2所示:

当服务都没有被虚拟化时, 机器之间是相互物理隔离的。如果受到明显异常的网络攻击, 任何漏洞利用因此通常只会影响被攻击的主机。当服务在虚拟化环境中被组合在一起, 额外的安全漏 洞将出现 在系统中 。如果在 虚拟系统 管理器 (hypervisor) 中存在一个可以由虚拟系统 (guest) 实例所利用的安全漏洞, 该虚拟系统可能不仅能攻击宿主机 (host) , 也可能攻击运行于改宿主机上的其他虚拟系统。这不是理论上的说法, 此类攻击已经存在于虚拟机管理程序上。这些攻击能超出虚拟系统实例 (guest instance) 并可能使其他虚拟系统受到攻击。

2 虚拟化安全解析

2.1 虚拟化技术的安全问题

在部门IT架构中部署虚拟化应用带来了很多优点, 但也会存在新的风险。通常情况下, 虚拟化资源和服务的部署存在着一下安全风险:

(1) 宿主系统 (host) 、虚拟机管理器 (hypervisor) 成为最初目标, 它们往往能导致虚拟系统和数据的单点故障。

(2) 虚拟机之间能以意想不到的方式相互干扰。

(3) 资源和服务能变得难以跟踪和维护, 快速部署虚拟化系统将增加资源管理的复杂度, 包括:补丁修复, 监控和维护。

(4) 在虚拟化的部署和维护过程中, 技术人员有可能缺乏虚拟化安全技术的相关经验。这通常是一个主要的人为漏洞。

(5) 像存储系统之类的资源能够分散部署和相互依赖于多个机器, 这可能导致系统架构过于复杂, 从而导致管理和维护得弱点。

(6) 虚拟化技术并不会解决任何存在于其他环境中的传统安全风险, 在整个虚拟化解决方案中, 不仅仅只是虚拟化层面需要关注安全。

2.2 虚拟化安全三向模型

三向概念模型CIA (Confidentiality, Integrity, Availability) 通常用于传统计算机安全, 除了CIA外, 类似的模型也可以展示和分析虚拟化安全:IPL (Isolate, Protect, Log) , 如图3所示:

(1) Isolate (隔离)

控制虚拟机之间的相互作用, 将其维持在较高的安全级别。

(2) Protect (保护)

虚拟机也同样存在着传统的安全威胁, 每个虚拟机都应该有定期的安全控制管理。

(3) Log (记录)

部署虚拟机非常的容易, 在虚拟化环境中缺乏日志、变更管理和审计跟踪很容易导致一个复杂的, 非托管的和不安全的环境。

2.3 宿主系统 (host) 安全

当部署虚拟化应用时, 宿主系统的安全应该是最重要的, 宿主系统应该始终负责管理和控制所访问的物理设备, 虚拟系统的存储和网络应该由虚拟系统来进行自我管理。如果宿主系统被攻破, 那不仅会造成主机系统脆弱性的提高, 连同在其上运行的虚拟系统及其数据的脆弱性也会被提高。

宿主系统的安全应做到如下几点:

(1) 只运行能够支持虚拟系统运行和管理的必要服务。如果要运行其他与虚拟化无关的服务, 例如文件打印服务等, 应该将其部署到虚拟系统中。

(2) 限制只有拥有需要管理系统的用户才能直接访问系统, 考虑不允许直接的root访问权限, 使用如sudo等工具授予特权访问管理员的管理角色。

(3) 做好文件运行控制, 防止程序违规运行。

(4) 确保任何远程管理系统的连接只通过网络安全隧道连接, 例如:通过SSH、TLS、SSL。

(5) 确保系统防火墙已正确配置并启动, 只开放必要的端口。

(6) 应确保虚拟系统不能直接访问整个磁盘或块设备, 而应使用分区或逻辑卷。

2.4 公共云服务下的虚拟化主机安全

虚拟系统都存在于宿主机-虚拟系统、虚拟系统-虚拟系统之间的隔离, 由于云平台上可能存在恶意的虚拟系统的威胁以及在整个虚拟化基础架构的虚拟系统数据的机密性和完整性的要求, 分别隔离各个系统尤为重要。公共云平台操作应遵循以下几点:

(1) 应禁止从虚拟系统直接访问任何的硬件设备, PCI, USB和其他passthrough机制的设备, 否则不仅会使管理困难, 而且会造成虚拟系统之间去依赖底层硬件进行强制隔离。

(2) 网络流量应该分别隔离, 将专用管理网络和虚拟系统的网络进行隔离, 必须确保虚拟系统不能访问宿主系统的网络, 使得虚拟系统在一个单独的子网上运行。将网络虚拟化, 使一个虚拟系统无法通过云提供商的内部网络直接访问另一个客户的虚拟系统。

2.5 虚拟系统安全

宿主系统的安全性是确保主机上运行的虚拟系统的安全的重要措施。虚拟化系统上与非虚拟化系统相关联的安全风险仍然存在。虚拟化系统也是一正常完整的操作系统, 和物理主机上安装的操作系统并无差别, 如果攻破虚拟系统, 虚拟系统的任何资源可能会变得非常脆弱, 如:关键业务数据或敏感客户信息。

2.6 虚拟化网络安全

通过网络是访问系统、访问应用和管理接口的唯一途径, 虚拟化网络是保证虚拟系统的重要入口, 针对虚拟系统的攻击可能随时从虚拟化网络进入, 因此保证虚拟化网络和物理网络、物理接口之间的安全是非常重要的。

虚拟化网络通常由虚拟系统的虚拟网络设备、虚拟管理程序提供的虚拟链路、宿主系统的物理网络接口构成。虚拟系统之间的通信通常由虚拟系统的网络设备, 通过虚拟链路来彼此进行通信, 如需向外进行通讯, 则通过宿主机物理网络设备转发至外界。虚拟网络仍然存在着传统的网络安全风险, 必须加以控制。虚拟化网络应当与宿主网络环境进行隔离, 确保虚拟化网络访问不到宿主系统网络。虚拟化网络有着很多种的连接方式, 包括虚拟化的网络存储, 每一种方式都应注意其安全要点, 但同样的安全原则也适用于每一个:在使用前进行身份验证, 并使用加密技术保证其数据的完整性和保密性。

3 虚拟化安全风险及挑战

综上所述, 虚拟化安全主要存在于宿主系统安全、虚拟系统安全及虚拟网络安全三个层面上, 随着虚拟化支撑的云平台的广泛使用, 云平台的安全也将成为其中之一。其中宿主系统的安全威胁度最高, 无论是通过外部网络或是虚拟系统攻破宿主系统, 在其上运行的各个虚拟系统都不会幸免于难;虚拟系统及虚拟网络的安全也在保证数据安全及完整性方面也起着重要作用。

虽然虚拟化技术现在已经有了高度的发展, 但传统的各类安全威胁在虚拟化技术中仍然存在, 且在虚拟化技术应用过程中已经出现了针对虚拟化技术的新的攻击方式及安全威胁。在面对日新月异的虚拟化技术时, 必须时刻注意虚拟化安全方面所带来的风险。

参考文献

[1]Smith, Daniel E.Nair, Ravi.2005, The Architecture of Virtual Machines.Computer (IEEE Computer Society)

[2]KVM, 2014, Virtualization security, www.linux-kvm.com.

[3]XEN, 2014, XEN security guide, www.xen.org.

虚拟化技术下的安全 篇2

现代的城市公共雕塑已经成为一种不可或缺的精神文明载体，体现着一个城市的文化内涵与品味。针对当今城市化迅速发展、市场需求量增大、传统的制造体系逐渐不能满足现代社会对效率、个性、多样化等诸多因素需求的情况下，利用新的技术手段，进行标准化，系统化的设计制造成为本文阐述的重点，通过沈阳蒲河生态走廊区域公共雕塑设计制造的例子论证新技术在公共雕塑领域的可行性和优越性。

关键词：

3D打印 虚拟技术 公共雕塑 产品设计

在当今科技高速发展的进程中，3D打印和虚拟现实技术凭借着自身高效便捷的特点已经渗透到各行各业的各个领域中。其在制造业领域发挥着越来越重要的作用。随着城镇化的加快发展，公共雕塑作为精神载体对其的需求量与日俱增。此时现有的技术手段显得过于单一。文中通过对虚拟现实技术和3D打印的技术现状的分析，并将新旧制造方式进行对比，旨在建立一个数字化智能雕塑系统体系，结合具体案例论证新技术在公共雕塑设计与制造的合理性和有效性。

1.研究背景分析

1，1景观规划对公共雕塑的需求

公共雕塑不仅是一个城市的标志，也是一个城市文化魅力的体现。它能够让人们产生领属感和自豪感。随着我国城市化的快速推进，旧城改造和新区建设涌现大量的公共开发空间。为了营造公共文化、增强空间人文气息，公共雕塑的需求量不断增加，这为公共雕塑的发展提供了广阔的前景。现阶段我国公共雕塑“一步一景”的设计理念和小型雕塑的普及度与国外发达国家相比存在这明显差距，传统的雕塑制作工艺的方法逐渐不能满足现代社会讲求效率、个性、多样化特征的市场需求。

1，2虚拟现实与3D打印技术现状及其应用分析

虚拟现实技术通过模拟使用者的听觉、触觉、视觉等感受，让使用者全方位无限制地去观察计算机模拟出的虚拟空间，仿佛身临其境。虚拟现实技术在产品设计开发的过程中，设计师可通过虚拟三维环境对产品的创意、工艺装配、工艺优化进行直观化、数据化、系统化的评价和修改。与传统的计算机辅助设计相比虚拟现实技术具有交互性、沉浸性、想象性的特点。进而有效地避免_了产品开发周期长、资源消耗大的缺陷，加快了设计进度，降低了研究成本。虚拟现实技术逐渐成为行业的主流并广泛应用在汽车仿真实验、展示设计、影视制作等方面。例如2013年谷歌发布了一款增强现实眼镜GoogleGlass，通过对真实场景的虚拟互动和手势控制，能让你分分钟创造自己的虚拟物体，然后3D打印出来如图1所示：

3D打印技术采用粉末树脂或金属等可黏合材料通过电脑控制采用分层加工方式叠加成型，不仅可以打印微小的物品甚至可以颠覆传统的建筑行业的制造方式。例如美国南加州大学研发的“轮廓工艺”。它可以在24小时内可以打印出2层楼高的房子。“轮廓工艺”其实就是一个超级打印机器人，如图2所示，其外形像一台悬停于建筑物之上的桥式起重机，两边是轨道，而中间的横梁则是“打印头”，横梁可以上下、前后移动，进行X轴和Y轴的打印工作，然后一层一层地将整栋房子打印出来。与传统房屋建造相比，“轮廓工艺”3D打印技术能够节省20%-25%的资金和25%-30%的材料，也节省了40%-55%人力。

2.虚拟现实与3D打印技术在公共雕塑设计制造中的可行性探索

2，1传统工艺与新技术制造对比分析

现有的公共雕塑制作流程先是由设计师对雕塑主题的理解构思平面图，通过平面图交代场景、地点、主体、面积，然后制作成小样，接着按原比例制作放大模型，同时进行造型上的修改，然后根据所用材料选择浇铸、锻造、焊接、雕刻等方法进行制作。这一过程要求设计者反复修改甚至重新制作，同时由于加工手段的因素，一些复杂的形态也不得不被放弃，造成了设计周期长、成本高、资源消耗大等问题。

虚拟现实技术与3D打印技术同时参与公共雕塑的设计与制造，是技术与艺术的结合。在艺术领域创造者通过虚拟交互手段实现与雕塑作品的互动完成设计、检测、修复等一系列的工作，同时在技术领域利用三维打印技术能够更精确更快捷地完成作品的制造，提高了设计者的工作效率，节约了设计成本，以深圳职业技术学院图书馆雕塑《思想者》为例，如表1所示，更加直观的体现出新技术相比现有技术的优越性。

2，2公共雕塑3D打印设备设计

2，21公共雕塑3D打印机设计定位

当前，国内外的3D打印机分为开放式和封闭式两种结构类型。由于公共雕塑以景观作品居多，且尺寸大小不一，根据行业的特性，此设计选择开放式结构。其创新点在于结构的整体性强、拆卸便捷、扩展性大同时采用履带式设计移动灵活，在复杂的地形条件下也能够顺利地完成工作。通过建立一个三轴交互运动坐标使打印平面每一个点都具有唯一确定的坐标值与其对应，采用整体造型设计避免零件凌乱布置，分别由机身部分、移动部分和工作部分组成。

2.22公共雕塑3D打印机机体结构设计及加工方式

公共雕塑3D打印机整体的设计结构由x组件、Y组件、z平台组件与工作组件、电路控制部分联接组成。x组件是由直线导轨、移动滑块与工作组件组成。Y组件做整体升降运动，升降运动的精度由控制步进电机与传输带交互完成。

z轴由移动履带与伸缩直线导轨控制步进电机组成。公共雕塑3D打印机整机如图3所示。

打印加工方式为：如表2所示从外部存储设备或者从计算机直接提取得到3D模型，由微控制器（单片机）对模型进行分析建立支撑结构，然后输出指令控制打印喷头的温度，使材料能够迅速融化并通过驱动电机带动喷头进行x、Y、z轴的移动，喷头在接收到指令后会调节喷出材料的多少，每打好一层控制器会读取下一层参数再打印下一层，直到最后打印完成。

3.虚拟现实与3D打印技术在具体雕塑的制作与应用

3.1案例总体设计规划

沈阳蒲河景观带是名副其实的“万顷生态湿地”，同时也是七星文化、蒲河文化、满族文化、现代文化的宜居风情带。该案例设计选址在蒲河景观带中游，如图4所示。为使雕塑与环境气氛相协调，此设计以“藤”作为元素，外观融入了七星文化元素，更能体现区域发展的激情与活力。该雕塑采用新的技术手段，来诠释新技术在公共雕塑设计制作中的可行性与优越性。

3，2虚拟现实与3D打印技术下雕塑制作流程

3，21基础雕塑模型的构建

新技术下雕塑的制作成型不依賴于手工制作，但不代表没有作品的呈现方式。设计中可以采用软件代替传统雕塑中手工制作的方式，将作品转化成立体模型。此设计采用犀牛软件来实现模型的构建，在犀牛软件中将作品创建成型。如图5所示。这里创建的模型替代传统雕塑中手工制造的初模阶段，仅仅表现出雕塑的立体形态，具备观看的效果。此阶段没有确定材质和最终尺寸，这一切都需要利用虚拟现实技术通过与环境的交互体验最终确定雕塑的信息参数。

在确定雕塑的基本形态之后，犀牛软件将以作品模型导出obj格式文件，该格式便于在接下来的虚拟眼镜操作中使用。

3.22虚拟现实预览测试

虚拟交互预览操作借助谷歌meta眼镜，其核心是增强现实技术。简而言之就是把现实世界放到屏幕上的虚拟展示，让现实的信息更丰富，易于观察。通过语音、触控、自动三种模式控制显示信息取代传统鼠标、键盘、显示器的操作，让场景更加真实、有说服力。本公共雕塑虚拟测试步骤：

1首先把基本的模型信息传输到META设备中，运行操作界面后根据蒲河生态走廊的自然环境色与雕塑的表面肌理，选择与其符合的材质与色彩参数。本雕塑材质选取为：SLA材料，色彩参数为C1 M89 Y17 K99；

2通过手指的滑动，转动到所需要的位置，完成对雕塑各个角度的观察。更加直观地优化作品的细节。如图6所示；

3利用手指的撑开与收拢完成任意的缩放，直至得到一个合适的作品尺寸，本雕塑的打印范围：5700，5700，700ram。

3.233D打印实物成型

此环节中我们借助上章节所设计的公共雕塑3D打印设备快速成型，经过虚拟现实预测后，将调整后的3D数字模型保存为STL文件格式，利用前台控制软件PROE对3D模型进行分层处理，分层完成后PROE软件可以导出被3D打印机识别的CODE控制文件。将CODE文件输入到3D打印机中，打印机Arduino主板里的固化软件开始读取控制文件，在确认设备状态正常后，开始控制分层打印。

最终的打印雕塑实物如图7所示，最终打印参数：材料为SLA，设置了2层实心层、2圈轮廓、23%填充绿色。打印速度为每分钟2-4层，成型体积为5700，5700，5700mm，打印精度为10，27，34mm。

4.结论

虚拟化技术下的安全 篇3

关键词：云计算,虚拟化技术,安全性

1 引言

关于“云计算”的概念, 其实并没有一个统一的定义。云计算是一种新兴的共享基础架构的方法, 是一种基于互联网的计算新方式, 通过互联网上异构、自治的服务为个人和企业用户提供按需即取的计算。

虚拟化技术是云计算最核心的技术, 它基于使用软硬件分时服务、模拟与仿真执行等技术, 达到在单个计算机物理设备上模拟出多个相互独立的硬件执行环境的目的。这个相互隔离 (独立) 的虚拟执行环境也被称为虚拟机 (Virtual Machine, VM) , 在这些虚拟机上用户可以运行不同的操作系统和各种应用程序。

云计算的吸引力在于其经济上的可扩展性、资源复用和高效。云没有边界, 从而使世界变得更小。在广大云计算提供商和支持者的推崇下, 众多企业用户已开始跃跃欲试。然而, 云计算也带来了一些新的安全问题, 由于众多用户共享IT基础架构, 安全的重要性非同一般。

(1) 虚拟化服务器是否安全?如果虚拟化服务器 (物理主机) 受到破坏, 那么它所管理的虚拟服务器都有可能会受到攻击。如果虚拟化服务器存在问题, 那其管理下的所有虚拟机的正常运行都可能受到影响。

(2) 虚拟机是否安全?一台虚拟机出现安全问题, 可能影响到同一物理主机下的其他虚拟机, 更有可能影响到虚拟化服务器。

(3) 虚拟机技术之中特有的又属于常规的信息安全行为是否得到管理员的重视?管理员可能只看到了它的便利之处, 却忘记了该有的安全警惕。

目前云计算仍处于初级阶段, 各式各样的供应商提供多种基于云的服务。供应商在推广自己的产品、服务的时候更多地展示如何产品优秀, 前景如何广阔, 而对存在或潜在的缺陷却只字不提。对于最终用户而言, 这是新技术, 能够充分了解或掌握其内涵的人相当有限, 对云计算产品、服务可能存在的隐患, 特别是安全方面的问题更是知之甚少。

对于虚拟化技术, 就目前而言, 在不少IT企业已经得到一定的推广, 而虚拟化技术是否安全肯定会严重触及云计算最终的实现效果。目前与虚拟机安全相关的学术文章也有不少, 但或者理论性太强, 或者点到而止。本文尝试从实践的角度出发, 理论联系实际, 对虚拟化技术的安全问题作一定的研究。

2 云计算与虚拟化技术的关系

2.1 虚拟化的本质

云计算的出现在某种意义上剥离了软件与硬件之间的联系。云计算环境相比之前的技术, 大量运用包括计算能力虚拟化、网络虚拟化、存储虚拟化等虚拟化技术。传统的运营模式中, 企业除了要投资计算机软件、硬件的建设, 还要有相应的技术人员来管理软、硬件, 这使得企业为此付出了极大的成本。而云计算模式下, 企业“花钱买服务”即可, 云计算并不限制应用程序与硬件之间的必然联系, 即透过平行运算的方式, 一个应用程序可以在不同的硬件上执行, 全面解除应用服务与硬件资源间的固定对应关系。

虚拟化的本质是提高用户对资源的使用效率和管理能力。为了给用户提供端到端的资源虚拟化服务, 虚拟化的网络又分为虚拟化服务、虚拟化通道、虚拟化设备。服务器作为虚拟服务的承载, 通过虚拟机实现服务的位置无关性;连接通道作为服务流量的承载, 虚拟化技术配合实现了虚拟服务的迁移、虚拟服务的备份和负载分担;网络设备作为虚拟通道的承载, 虚拟化技术提供了虚拟通道的灵活配置和虚拟通道间的负载分担, 将服务流量的接入、汇聚、核心灵活地根据用户需要进行整合, 带来了虚拟通道部署时的稳定性和灵活性。

然而, 在以虚拟化技术为核心的云计算中, 安全可能成为一道短板。如果在应用中安全问题不能得到有效控制或解决, 那上述一切的优点将不再是优点, 反而可能是用户的梦魇。

在这其中, 虚拟机安全问题首当其冲。由于服务器虚拟化技术是一项新兴的技术, 用户在设计、应用、测试和部署时对虚拟化的安全性问题考虑较少, 或者虽然考虑了但仍采用传统的安全防护技术来解决现有虚拟机中存在的问题, 这会使得用户使用云计算提供的各种服务存在巨大的风险。

虚拟化技术是云计算的基石。一个云计算的应用必定是基于虚拟化的。目前, 云计算已经是第三代的IT, 第三代是动态, 所有的信息和数据都在动态的架构上, 否则也就没有云, 没有云计算。虚拟化是动态的基础, 只有在虚拟化的环境下, 云才是可能。同样, 只有充分研究并解决虚拟化技术的安全问题, 才能使云计算得到长足的发展。

2.2 云计算的安全范畴

云计算中的安全包括身份和访问管理、数据安全、隐私保护、虚拟化安全等。在云计算环境中, 节点的物理硬件和网络物理硬件通过多层虚拟化的逻辑简化过程形成了弹性化的计算、存储和网络带宽三者整合的虚拟资源池。提供了随需而选的资源共享、分配、管控平台。用户可根据上层的数据和业务形态的不同需求, 搭配出各种互相隔离的应用。这样通过虚拟技术, 就形成一个服务导向的可伸缩的IT基础架构, 可以提供云计算服务。

云计算与传统IT环境最大的区别在于其虚拟的计算环境, 正是这一区别导致其安全问题变得异常“棘手”。身份管理、数据安全等问题可以通过现有的访问控制策略、数据加密、网络备份等传统安全手段来解决, 而虚拟化作为云计算最重要的技术, 且虚拟环境是云计算的独特环境, 传统的安全措施很难从根本上解决问题, 必须采取新的安全策略。

3 虚拟化安全问题研究

3.1 资源运行发生意外

3.1.1 虚拟机溢出

虚拟机的溢出是指资源的使用超出了预先设置, 这种情况往往来源于管理程序设计过程中的安全隐患, 它会传染同一台物理主机上的虚拟机, 包括多种情况:同一物理机上的虚拟机使用的CPU或内存总和等资源接近或超出物理机的总容量;单台虚拟机出现CPU或内存的使用超标。

3.1.2 虚拟化服务器的宕机

虚拟化服务器的宕机出现的概率相对较小, 除了上述的资源溢出外, 更多可能的原因在于该控制器所在的物理机的硬件出现问题, 还有一部分可能在于黑客攻击。

3.2 黑客攻击虚拟化服务器

有这样一种可能, 由于某种漏洞的出现, 控制器程序会被黑客干扰或者插入流氓管理程序。由于控制器管理程序是在处理器专属级别上运行的, 所以管理程序上运行的任何操作系统都很难甚至不可能侦测到这些虚拟化安全威胁。虚拟化出现安全问题的一个重要原因就是在部署之时就没有考虑安全因素, 从而导致在软件、硬件上都存在潜在的安全隐患。这里所谈到的漏洞, 有时可能会是管理员的一个低级错误引起的。比如, 管理员所设置的虚拟化服务器 (物理主机) 的IP地址和虚拟机所使用的IP地址在同一网段 (同一Vlan) 或者有路由联通, 那从虚拟机就可以直接“管理”到虚拟化服务器了。又如, 把很多虚拟机放在一台物理机器上, 并且用户的关键应用和敏感数据也都在这台物理机上;或者把不同安全级别 (或信任级别) 的应用放在了同一台物理机上而没有加以隔离。这样部署虚拟机的结果是其安全性甚至还不如相应的物理服务器。

前面所述的虚拟机的溢出将可能导致暴露相关的漏洞并可能允许黑客威胁到特定的虚拟机甚至是物理机 (指上述的虚拟化服务器) , 将黑客攻击从虚拟服务器升级到控制底层的管理程序, 可能导致相关的虚拟机停止服务。从理论上来说, 控制了管理程序的黑客会控制任何在物理服务器上运行的虚拟机。如果整个虚拟化服务器出现问题, 将可能影响到该控制器下的所有虚拟机的正常运行。

还有一种特殊情况, 那就是虚拟化服务器中的虚拟机文件被盗。由于一般情况下一台虚拟机就是一个文件, 所以这是一种相当于窃取了完整的物理服务器的攻击, 而且无需进入安全的数据中心和移除计算设备。

3.3 虚拟机单体安全事件

一台虚拟机从运行的角度来看, 它基本就是一台物理服务器。以前在物理服务器上所要配置的安全设置, 同样也要在虚拟机上实现。不仅如此, 其他的包括入侵检测等在内的安全措施, 虚拟机也照样需要。同理, 原先针对物理服务器的黑客攻击、病毒感染等问题, 对于虚拟机单体来讲, 仍然是不可回避的。

虚拟机单体安全事件在虚拟机安全中不能孤立地看, 因为某虚拟机如果出了问题, 将有可能影响到在同一物理机上的其他虚拟机的安全, 即便入侵者没有更改虚拟机的中的任何设置, 如果他把其他虚拟机改为停机状态或离线状态, 或者更改了它们的配置, 那将可能造成相应的通信中断、应用服务中断。

虚拟机单体安全事件同样也可能影响到虚拟化服务器的安全。在虚拟化环境下, 资源 (如CPU、内存、硬盘和网络) 由虚拟机和宿主机 (虚拟机控制机) 一起共享。因此, 如果有人发起Do S攻击的话, 则有可能会加到虚拟机上从而获取虚拟机控制机上所有的资源, 由于资源耗尽, 从而造成系统将会拒绝来自客户的所有请求, 直至彻底宕机。

3.4 虚拟机迁移导致的信息泄露

虚拟化软件可以有效地将应用程序栈和底层硬件脱钩, 一台虚拟服务器可以像一个文件那样被复制、备份、迁移、移动, 甚至可以动态迁移———即一台虚拟服务器可以在正在运行的过程中被迁移到他处, 而用户访问不受影响并毫不察觉, 所以虚拟化能够提供服务水平协议并提供高质量的服务。

虚拟机的迁移本是虚拟机技术给资源管理带来的诸多好处之一。但如果有人 (不一定属于黑客) 拥有虚拟机控制机的管理权限, 那他可以在不知不觉中将某重要虚拟机进行复制、迁移操作。在复制、迁移过程中, 虚拟磁盘被重新创建, 而创建者完全可以重新配置虚拟机的属性、特性, 且有足够的时间来研究、破解虚拟机原有的安全措施, 在破解的过程中无人能够察觉或追踪, 因为这个虚拟机和原来的虚拟机一模一样但却仅是一个副本。甚至, 最终攻击者可能将此副本顶替原先的虚拟机投入正常运行, 从而彻底掌控这台虚拟机所包含的敏感数据。还有一种可能是将某重要虚拟机迁移到另一台物理主机上, 从而有可能脱离IDS等系统的保护, 从而带来安全风险。

3.5 服务器备份中可能出现的信息泄露

对于任何一个重要的信息管理系统, 数据备份是常规工作, 但数据备份不是做一下、做完了就完事了。企业信息化采用了云计算模式后, 备份的数据一般也会放在云端, 或者说放在某台虚拟机 (或虚拟存储) 里。有人可能会这样认为, 反正我的虚拟机资源很多, 我多做一个备份 (相当于异地容灾备份) , 这下数据安全不是更有保证了吗?这样的理解确实没错, 重要数据是要做不止一份备份, 还要做容灾备份。只是在做备份的时候, 很多管理员可能会忽视备份虚拟机的安全性。如果备份服务器受到攻击, 那数据安全同样得不到有效保证。

4 虚拟化安全风险对策

4.1 保证虚拟化服务器 (物理主机) 的安全

几乎在所有的信息安全范畴当中, 最基本的就是物理设备的安全, 比如说不会出现天灾人祸而导致物理设备损毁或被盗等, 从系统运行的角度讲, 这其中应该包括硬件、软件两个方面。

硬件方面, 物理主机至少配置要高、设备稳定性好, 应使用新的带有多核的处理器, 并支持虚拟技术的CPU, 能保证CPU之间的物理隔离, 会减少许多安全问题。至少不会出现或者难以出现因硬件问题导致虚拟机系统集体宕机的事件。软件方面, 虚拟化服务器软件层直接部署于裸机之上, 提供能够创建、运行和销毁虚拟服务器的能力。虚拟化层的完整性和可用性对于保证基于虚拟化技术构建的公有云的完整性和可用性是最重要, 也是最关键的。作为虚拟机的核心, 必须要确保它的安全。

在虚拟机服务器里创建、配置新的虚拟机的时候, 管理员需要根据虚拟机服务器硬件的实际情况来配置虚拟机的属性, 切不可为了达到“物尽其用”的目的, 而使“虚拟机溢出”成为可能。

4.2 防范黑客攻击

对虚拟化服务器的攻击, 一般或者通过应用程序接口 (API) 或网络攻击, 或者通过虚拟化服务器管理下的虚拟机攻击。对于恶意代码通过应用程序接口 (API) 攻击, 系统要确保虚拟机只会发出经过认证和授权的请求;对于通过网络进行攻击, 需要严格谨慎地配置网络访问, 以及使用强密码保护。

防范对虚拟化服务器的攻击, 还必须严格限制任何未经授权的用户访问虚拟化软件层。云服务提供商应建立必要的安全控制措施, 限制对于相关的虚拟化层次的物理和逻辑访问控制。

4.3 保证虚拟机的安全

前面已经叙述过, 虚拟机的安全与否和虚拟化服务器的安全也是有很大关联的, 所以虚拟机的安全工作也是任重道远的。

管理员不一定能触及每台虚拟服务器的管理, 但平时要做好基础性工作 (比如说打好虚拟机补丁等) , 要加强对虚拟服务器的运行状态的严密监控, 及时发现存在的安全隐患。对不需要运行的虚拟机应当立即关闭。发现问题要及时处理, 严格防范类似于“虚拟机溢出”这类问题的发生, 这是最基本的。

采用虚拟化技术前, 用户可以在防火墙设备上建立多个隔离区, 对不同服务器采用不同的规则进行管理, 由于隔离区的存在, 对一个服务器的攻击不会扩散到其他服务器。虚拟机的运行模式为在同一平台上的并存模式, 从自身安全角度都存在着隔离的需求, 并且所有的虚拟机会集中连接到同一台虚拟交换机与外部网络通信, 会造成安全问题的扩散。所以隔离的方法不能像传统方式那样使用网线、交换机或者防火墙等物理手段, 只能依靠虚拟机监视器和一些软件模块来实现。

从运维的角度来看, 对于虚拟服务器, 应当像对一台物理服务器一样地对它进行系统安全加固, 包括系统补丁、应用程序补丁、所允许运行的服务、开放的端口等。同时严格控制物理主机上运行虚拟服务的数量, 禁止在物理主机上运行其他网络服务。

所以在这方面, 管理员一则还是要依靠那些传统的安全手段, 二则在布置、分配、设置虚拟机资源的时候, 需要根据不同的安全需求、安全级别来处理虚拟机申请。

4.4 有限分发、安全迁移及有效备份

有限分发、安全迁移及有效备份指的是虚拟机的分发/访问管理, 它所涉及的主要就是权限管理, 因为虚拟机的分发、迁移及备份不是每个人都能涉及到的。

4.4.1 有限分发

所有的虚拟机都应该是首先通过系统管理员来创建和保护的, 如果某些最终用户, 如开发人员、测试人员和培训者需要和网络环境中的虚拟机交互, 那么这些虚拟机应该是通过资源池的管理员来创建和管理的。管理员需要控制所有到资源池的访问以确保只有被信任的用户才具备访问权限。控制所有到资源池管理工具的访问, 只有被信任的用户有权访问资源池组件, 如物理服务器、虚拟化管理程序、虚拟网络、共享存储等。需要注意的是, 这是的资源池是泛指, 除了虚拟机、虚拟存储外, 还包括相应的虚拟机文件、存储文件及它们所在的文件夹等。资源是有限的, 分发应是可控的。

4.4.2 安全迁移

复制性迁移其实也是备份的一种方式。将某虚拟机复制到他处, 如果原虚拟机宕机, 就可迁移启动备份虚拟机来达到“无缝切换”的目的, 当然条件是该虚拟机中应用程序的数据是另存他处的。

管理员在进行虚拟机的复制、迁移的过程中要有全局的安全意识, 以保证虚拟机拥有足够的安全保证。避免出现因为迁移而导致虚拟机失去必要保护的低级错误。管理员可以不是负责迁移工作的人员, 但这个负责迁移的人必须是安全可靠的。

4.4.3 有效备份

任何一级的管理员都必须树立安全意识, 在整体管理中有逐级负责的概念。管理员要进行有计划的备份, 包括完整、增量或差量备份方式, 备份对象不仅有常规的文件、数据, 还可以根据需要对相应的虚拟机文件进行备份, 以保证能够有效地进行虚拟化的灾难恢复。当然, 很关键的, 备份服务器 (或存储) 应是安全的所在。

大多数的安全工作说到底除了技术防护, 还有一个就是“人防”。所以, 除技术之外的人员管理规则及建设标准也必须与之同步发展, 真正达到解决云计算的信任问题。

5 结束语

虚拟化技术是云计算最核心的技术, 而信息安全是制约云计算更快发展的主要因素之一, 虚拟化技术的发展能为用户带来快速部署、灵活应用、节约经费等一系列好处。作为云计算的核心技术, 我们必须重视其安全问题。

网络安全工作没有终结点, 云计算的安全也是这样。随着云计算技术的快速发展和更广泛地应用, 我们将会面临更多的安全风险, 没有什么方案、方法能够一劳永逸, 而遵循已有的最佳安全实践, 将可以加强云计算的安全。

参考文献

[1]薛静.基于虚拟化的云计算平台中安全机制研究[D].西安:西北大学, 2010.

[2]陈世兴.虚拟化, 网络面向应用的第一步[N].IP领航, 2013.1.

[3]易涛.云计算虚拟化安全技术研究[J].信息安全与通信保密, 2012.5:63-65.

[4]房晶, 吴昊, 白松林.云计算的虚拟化安全问题[J].电信科学, 2012.4:135-139.

[5]朱源, 闻剑峰.云计算安全浅析[J].电信科学, 2010.6, 54-57甘宏, 潘丹.虚拟化系统安全的研究与分析[J].信息网络安全, 2012, (05) :43-45.

虚拟现实技术在安全工程中的应用 篇4

也就是说，在系统中，人们的目的是使计算机及其他传感器组成的信息处理系统去尽量“满足”人的需要，而不是强迫人去“凑合”那些不很亲切的计算机系统。

虚拟现实技术在安全工程中应用的领域

综合虚拟现实技术的特点，笔者认为安全工程在以下方面可充分应用虚拟现实技术：

科学

研究、实验及计算机模拟结果的真实化再现

安全科学的研究成果需要用直观的形式表示出来，使用技术与多媒体及可视化技术相结合，可以创造一种虚拟的真实环境，可以将孤单的研究公式、计算数值用完全真实的立体效果表示出来，并且好范文版权所有人们可以交互式地控制这种表示结果，可以通过动态改变参数（这种改变不一定要由人输入数据，而可以由人操纵某种设备，如数据手套等进行近乎自然的交互方式）来观察计算结果。

安全性能设计

任何社会产品（也包括安全产品）都应该有其自身的安全性。而人们在产品未生产出前，是无法真实感受其安全性的，而技术可以预先为其提供一种虚拟的真实产品模型，让设计者和使用者在产品付诸生产之前就能亲身感受到该产品的安全性能，从而为设计者提供改进的依据。

救灾指挥决策

发生事故时，救灾指挥者一方面需要准确掌握事故现场的情况，另一方面要了解事故可能的发展趋势，甚至有时需要进行远程指挥（如主要事故处理专家一时无法到达事故现场），这时可以应用技术与其它模拟技术相结合的方式来完成。此外，还可以利用技术来模拟未发生的事故，进行对人员的训练工作。）日常安全教育与避灾训练

可以针对某些事故及一定区域建造事故模拟和训练的系统，让人们在真实的环境中接受事故预防的教育及事故抢险人员的操作训练，从而提高人们对事故的感知度及抢险人员的技术操作水平和战斗力。

安全工程虚拟现实系统结构

由于安全工程涉及范围广泛，所以对不同领域的安全工程系统的侧重面就可能有所不同。本文以大空间建筑火灾系统为例进行介绍。

中国科学技术大学和中国矿业大学合作，针对大空间建筑火灾的特点，建立了大空间建筑火灾系统。这是国内目前安全领域所建立的唯一系统。建筑火灾的系统主要有两个方面，一是要考虑建筑物本身的结构模型的真实性；二是火灾模拟的真实性。本文论述的大空间建筑火灾系统结构主要包括两个模型、两个接口及一套外围设备，即：

建筑物真实感三维立体模型系统；

火灾烟气及火焰模型系统；

三维模型运动及控制接口；

外围设备与两个模型的接口；

虚拟现实外围设备系统；

各部分关系，如图所示：

图大空间公用建筑火灾虚拟现实系统结构

使用者通过外围设备系统经由主计算机系统使用外围设备，例如：计算机鼠标、数据手套等操作设备，通过三维模型运动控制接口程序控制建筑物及火灾的运动。建筑物模型及火灾模型本身由专用三维处理程序建立，具有真实三维立体感。经过控制运动的两个模型，通过外围设备与模型接口程序，将结果显示输出到外围设备，例如：计算机显示器、立体眼睛等。操作者可以根据这一循环的结果，决定下一个循环的操作过程。从而经过不停地循环，达到真实模拟和实时控制的操作环境。

用户可以使用鼠标，控制人员在建筑物中漫游，例如：按动鼠标左键，然后移动鼠标可以沿各个方向运动；按动鼠标右键，左右移动鼠标，可以实现建筑物的左右旋转用上下光标键，可以上下移动建筑物。用户也可以使用数据手套拾取灭火器并对其进行开启操作，以实现灭火的操作；可以用大拇指按动模拟人对灭火器开关的操作，从而使人感觉到似乎是在真实地操作灭火器。而用户若通过立体眼睛观察时所得到的三维模型为具有极强的深度感的三维物体，即两个有前后距离的物体，看起来其间有一段真实的距离前边的物体似乎是在计算机屏幕外边。

系统软件支撑环境和硬件设备的选择

系统软件支撑环境选择是建立真实感模型及控制的关键。选择时，要考虑程序的使用范围。硬件设备的选择应根据经济条件来决定。

模型的建立，可采用专用的软件系统，例如：×、等，然后再使用专用的转换软件转换到所使用的三维开发环境中；还可以直接用三维开发环境进行开发，例如：、×及虚拟现实专用软件开发系统等。本系统采用开发语言，调用三维立体图形接口建立模型。是公司开发的三维图形绘制接口，它可以运行在多种系统中，因而具有应用范围广泛的特点。

虚拟化技术下的安全 篇5

关键词：综采；工作面；安全生产；虚拟现实系统；关键技术

引言

严格意义上来讲，虚拟现实技术属于一门新兴的科学技术，目前已经被广泛应用于航空、航天以及船舶等多方领域之中。虚拟现实技术不仅在一定程度上具备多媒体信息的特点，也能够通过对虚拟现实技术的应用来为矿井生产提供应急救援提供新的途径。其主要原理在于能够利用计算机营造出一种人为的虚拟环境，这种环境的具有较高的仿真性，能够使用户完全沉浸入这种虚拟环境之中，对于煤炭行业的发展来说具有重要的现实意义。

一.综采工作面安全生产虚拟现实系统的重要作用

随着我国煤炭行业中科学技术应用水平的不断提高，我国煤炭工业的面貌发生了极大地改变，不仅工人们的劳动强度得到了较大的降低，煤炭生产的产量也得到了很大的提升，为社会经济建设贡献了巨大的力量。但是煤炭生产事故的发生率却一直都居高不下，在一定程度上加大了广大煤矿工作人员的心理负担。导致安全事故频频发生的原因除了自然条件因素之外，更多的是来自于安全管理模式的欠缺。而综采工作面安全生产虚拟现实系统则能够使人通过个人的视觉、听觉、触觉以及形体和手势参与进信息处理的环境之中，进而得到身临其境的感觉体验。过去传统的综采工作面仿真主要偏重于数字仿真，也就是编制程序采用随机方式仿真生产过程，并由此得出工作面产量以及其他的结果的研究。但是当前虚拟现实技术在综采工作面生产过程中的运用则相对具有更高的性能性，将其应用于矿工培训中不仅能够减少投资、安全可靠，还在很大程度上具有可重复操作的优越性能，对于煤炭行业来说具有十分深远的影响，在有效降低事故发生率的前提下去提升煤炭生产效率。

二.虚拟现实系统的主要构成

对于总裁工作面安全生产虚拟现实系统来说，无论外部条件发生怎样的变化，其主要的构成是不变的。通常情况下，虚拟现实系统都是由虚拟环境、传感器件、作用器件、人以及虚拟环境发生器等几部分组成。其中虚拟环境主要是由虚拟环境发生器所产生，进而使人能够借助于传感器件以及作用器件等媒介进行交往，使人们造成一种身入其境的感觉体验。传感器件主要是将虚拟环境中的形象、动作以及声音等各项因素进行转换，使人们将这种感觉理解成正常情况下的经历。而作用器件则是用来将人的一些约定动作变成作用信息，使人们对虚拟环境有所察觉。人是整个虚拟现实环境系统中的重要主体，去感受到虚拟环境的存在并且通过对虚拟环境的体验做出相应的反应。这些构件都是组成虚拟现实系统不可或缺的重要部分。对于从事煤矿的安全生产来说，虚拟现实系统的很大一部分作用都来自于此方面的影响。

三.综采工作面安全生产虚拟现实系统中的关键技术

（一）实物虚化与虚物实化

一般来说，实物虚化主要就是指现实世界空间向多维信息化空间的一种映射，其中包含了基本模型构建、空间跟踪以及声音定位和视觉跟踪等多项关键技术。在这些相关技术的共同作用下促成了虚拟世界的形成。在这些技术之中，基本模型构建技术是形成虚拟世界的重要基础和前提，它能够将现实世界中的对象物体在相应的3D虚拟世界中进行重新构造，依照系统的相关需要进行部分物理属性的保存。就像车辆在不同的道路上行驶，其行车效果也不尽相同。而空间跟踪技术则是指通过头盔显示器以及数据手套等相关交互工具上的传感器来确定用户各身体部位在虚拟环境中的位置和方向。声音跟踪技术则是根据对不同生源声音的利用来进行到达某一地点的时间差、相位差以及声压差等進行虚拟环境的声音跟踪。视觉跟踪则是通过对摄像机到X-Y平面阵列以及跟踪光在图像摄影平面不同时刻和不同位置上的投影来进行被跟踪对象位置和方向的计算。

相对于实物虚化来讲，虚物实化则是指确保用户能够从虚拟环境中获得到与现实世界中一样的视觉、听觉以及触觉等方面体验的关键技术。通常情况下，能否使参与者形成沉浸感的主要原因除了使其具备相应的知觉体验外，还在于其是否能够感受到虚拟物体的反作用力。

（二）高性能计算机处理技术

最后，作为一种现代化的高新技术虚拟现实系统要想充分发挥其应有的作用就不能缺少高性能的计算机处理技术。高性能计算机处理技术主要包含了数据转换以及数据预处理技术、能够生成并显示出逼真图像的技术、各类声音合成以及声音空间化技术、多维信息数据融合以及相关的命令识别和语音识别等各类技术。对于虚拟现实系统来说，计算机技术是能够使其作用得以发挥的重要保障，在很大程度上左右着安全生产目标的实现。

结束语：对于煤炭行业未来的发展来说，引入虚拟现实技术已经成为了一种时代发展的趋势。然而就我国目前的状况来说，虚拟现实技术的发展应用仍然处于初级阶段，所以对其进行深入探析和研究具有重要的现实意义。我们应当抓住虚拟现实系统的重点部位，通过对其核心技术的发展来为综采工作面的安全生产提供重要支撑。

参考文献：

[1]赵国梁. 综采工作面安全生产虚拟现实系统关键技术研究[D].西安科技大学，2012.

[2]李建忠. 综采工作面场景及覆岩垮落的动态虚拟[D].太原理工大学，2010.

[3]韩可琦，苌道方. 虚拟现实技术在综采工作面仿真中的应用[J]. 计算机仿真，2006，06：229-232.

虚拟现实技术下的科普变革 篇6

在刘慈欣的科幻小说《三体》中, 科学家汪淼穿上虚拟现实装备进入三体游戏世界的情境, 以第一视角在茫茫干涸之地上跋涉, 与周文王及其追随者一起向着商朝首都朝歌行进。需要注意的是, 进入《三体》游戏之前, 要穿上由一个全视角显示头盔和一套感应服构成的“V装具”, 小说中所提到的“V装具”所应用的技术其实就是VR技术。

在2016CES上VR大放异彩, 在终端、游戏、资金、配套支持等产业链条上开始加速完善, 国内业界甚至称VR元年已经到来, 那么到底什么是VR?VR为何如此火爆?VR的发展现状又是如何呢?

1.1 VR的发展史

VR, 英文名virtual reality, 是利用计算机图形系统和各种现实及控制等接口设备, 在计算机上生成的、可交互的三维环境中提供沉浸感觉的技术。虚拟现实技术能够极大地改变人们的生活方式, 它可以在设计、教育、影视娱乐等方面发挥强大的作用。特别是在影视娱乐方面, 虚拟现实将给予人们前所未有的真实体验。

虚拟现实的概念在20世纪80年代就已经诞生, 但是由于技术等各方面的原因一直都只能应用到实验室与军事一些专业领域。直到2014年3月26日, 美国的社交网络平台Facebook宣布, 将斥资20亿美元收购沉浸式虚拟现实技术公司Oculus VR, 而其更是在今年CES上宣布Oculus Rift正式预售, 价格599美元, 已经是普通消费者可以接受的价格范围了。

而且由于其技术成熟, 更是吸引了一众周边商家予以构建完善的VR生态。比如Oculus就在2014年9月初, 与三星合作推出了虚拟现实头盔Gear VR, 该设备允许Galaxy Note 4用户将其手机直接连接到Gear VR头戴式设备上。这一事件使虚拟现实这个名词让业外的人们所熟悉。虚拟现实正在以一种突飞猛进的形式快速发展, Oculus VR与HTC Vive记忆索尼PS VR等民用VR设备也在2016年内纷纷登场, 因此2016年也被人们视作VR元年[1]。

1.2 VR为何如此火爆

实际上, VR的火爆目前仅仅局限于业界, 也就是说除了发烧友, 大众对VR可能并不所熟知。但是通过2016年的CES不难看出VR到底火爆到了什么程度。

2016 CES的游戏和虚拟现实展位比2015 CES增长了77%, 超过40家参展商带来VR系统和相关内容以及硬件设备。Oculus这种明星公司的展位前更是排着长龙。

通过资本市场来看, Facebook押宝VR领域, 美国顶级风投Andreessen Horowitz同样将VR列为重点关注对象, 而国内VR领域的投资就更活跃了, 乐视投资千万美元入股灵镜并顺势推出乐视VR, 迅雷投资大朋VR等等, VR火爆程度可见一斑。

VR被视为下一个热点, 除了被直接利用在游戏领域外, 更被视为娱乐产业的杀手锏。试想, IMAX已经将电影的视听效果发挥到极致了, 而VR可以使你直接入画, 欺骗你的大脑让你深入其境, 这也是《三体》中描绘的场景。如此看来, VR的发展前途可以预期。

1.3 VR产业链发展情况

VR的发展并非依赖于一家明星公司, 而是有着一条长长的产业链条的。终端—周边—内容—技术。

终端方面, Oculus、索尼、HTC是备受关注的公司, 其面向消费者的终端产品都预计于2016年推出。而早先, 三星已经推出了Gear VR, 有了他们的推波助澜, VR获得公众仅仅是时间问题。

周边方面, VR的兴起对影像图像采集也带来了新的推动, 同时也有了更高的要求。尼康推出了360度全景运动相机:Key Mission 360。而在此之前的理光已推出THAT, 并在今年CES上更新为THETA S, 可360度全景视频拍摄。

内容方面, VR目前的内容主要可分为游戏和视频两个领域, Oculus已经组建了一个名叫“故事工作室” (Story Studio) 的内部实验室, 以创作虚拟现实版本的电影。而国内厂商蚁视在2016年CES上发布了首款位置追踪版VR沙盒游戏《几何·生存》, 而腾讯也公布了自己的VR计划。

技术方面, 这也是被众人所忽视的一个, VR的实现对显示技术的要求是极高的。除索尼的Play Station VR, Oculus和HTC的VR设备都需要一台具备强劲性能PC的支持。本次CES上, 惠普就已针对HTC VIVE推出了一款PC (笔记本) , 而在芯片领域, 无论是英特尔、高通、Nvidia还是瑞芯微等国产厂商, 都在积极研发和推广针对VR终端的产品。

1.4 VR的局限性

VR虽火, 但是就像所有电子产品在初期面临的问题一样, 其面临着两大问题:成本和内容, 其中成本更是避不开的障碍。

以本次CES上惠普经针对HTC VIVE推出的PC产品ENVY Phoenix为例, 这款游戏PC仅入门配置的价格就为1699.99美元, 如果要得到最佳的体验, 高配自不可少, 如果再加上终端产品的钱, 体验VR要花至少2 500美元左右, 这就不是一般民众可承受的。

再者就是内容了。VR本身仅是工具, 用户买单的始终是体验。而目前, 市面上可玩的VR游戏或是VR视频真的是少之又少, 用户花大价钱买回去VR终端仅仅可玩1到2款游戏或看1到2部视频, 这实在是得不偿失[2]。

2 科学普及的现有方式

2.1 科学普及的必要性

科学普及简称科普, 又称大众科学或普及科学, 是指利用各种传媒手段以浅显的、容易让大众理解、接受和参与的方式向普通大众介绍自然科学和社会科学知识、推广科学技术、倡导科学方法、传播科学思想、弘扬科学精神的活动。

科学技术已与我们生活息息相关, 我们将科学技术与人文价值融入到我们的生活之中, 可以让生活变得更美好。所以, 科学普及是十分必要且迫切的[3]。

2.2 科学普及的主要途径

科普是面向广大公众的社会性活动, 主要通过广播、电视、报刊、图书、戏剧、音乐、歌曲、表演、讲座等大众媒体包括现在的新媒体进行的科普活动。科普活动包括科普 (技) 展览、讲座、培训、体验、游戏、咨询与服务等群众性科学技术活动, 科普活动一般需要借助各种科普场馆、科普基地开展, 以便与科普受众面对面地进行互动与交流[4]。

2.2.1 优势

传统科普传播媒介经过了长时间的发展, 其优势是非常明显的。首先, 成熟的科普展板、书籍、报刊、电视节目、讲座等数量非常庞大;其次, 受众接触科普知识的成本低廉, 通过电脑、手机等途径访问互联网得到科普信息甚至成本无限接近于零;第三, 经过长期的发展, 传统科普媒介锻炼了一批非常有经验非常专业的科普传播队伍。

2.2.2 劣势

传统科普媒介的劣势也非常明显。第一传统科普媒介发展到现在和新媒体结合的阶段下, 对受众文化水平和接受水平存在挑剔性, 在传统科普二维的传播条件下, 不同的文化结构和接受能力对科普信息的传递有着至关重要的作用;第二, 传统科普的参与性不强, 甚至有些科普信息的传播需要特定的条件, 例如火灾、地震等的演练, 受众在参与演练更多的是扮演看客, 很难真正参与其中。

3 虚拟现实技术下的科学普及变革

在中国科协以“科普中国”为统领的科普信息化建设工程的深入推进, 一大批有志于从事科普和科学传播的组织、机构和个人通过各种形式向广大公众传播科学知识、科学方法, 大大激发了全社会的科学热情。但另一方面, 作为科学普及的传播途径也需要改善, 同时还需要紧跟时代步伐, 那么最新的虚拟现实技术能为科普带来什么呢?

对应传统科普传播媒介, 虚拟现实技术无疑可以大幅度的增加受众的参与程度, 只需要一台电脑, 一套VR设备, 受众就可以亲身感受各种科学变化, 并且可以亲身经历在错误的操作状态下所带来的后果, 降低了因受众接受能力所造成的信息缺失, 加深科普的效果。但VR设备的成本无疑是制约其发展的主要原因, 因此, 虚拟现实技术要应用的科学普及当中, 必须依靠政府的大力支持, 第一步可以在各省会城市的科技馆或图书馆中配备, 试验其效果, 随着科技的发展, VR设备的成本必然会越来越低, 这时就可以往各省的主要城市进行推广, 发挥各地科学技术协会的优势, 为各城市的人民带来最新的体验, 在VR设备发展到像手机一样的程度时, 可以依托各社区的科普驿站来进行体验。

虚拟现实设备硬件成本必然会随着科技的进步大幅降低, 伴随而来的制约因素必然是软件——片源, 虚拟现实技术的游戏、电影等因为会带来利润, 所以这类片源会越来越丰富, 但科学普及的片源就必然需要依靠各级政府的支持, 鼓励更多的人去拍摄、制作科学普及的影片, 不断更新科普的片源, 使民众切实体会到科普的魅力和作用。

VR技术的应用并不是遥不可及的, 2016年《纽约时报》发布了它的第一部VR纪录片《流离失所》 (The Displaced) , 关键之处在于, 用户可通过Youtube, 《纽约时报》的VR应用程序 (i OS版本或者安卓版本) 观看、或者使用安卓智能手机或者苹果手机下载VRSE虚拟现实应用程序通过三星虚拟现实头显Gear VR观看。另外, 获得《纽约时报》赠送谷歌纸盒的一百万订阅者也可通过谷歌纸盒观看一个时长为11min的360度全景视频, 推送一个催人泪下的新闻内容, 该视频展示了三个孩子身处饱受战争蹂躏的地区, 过着流离失所的生活。随后, 《华尔街日报》也加入了开发VR的行列, 它发布了美国芭蕾舞剧院一名舞蹈家在林肯中心排练睡美人的视频, 这个视频可以为观众创造一个360度的体验, 观众通过上下左右移动自己的手机就可以看到Lane的完整的练习室、化妆间, 甚至是林肯中心的舞台。同样, 读者在《华尔街日报》的官网上也能找到这个播放器, 不需要特殊的设备就能看到这个视频。《时代周刊》一直非常推崇VR技术, 他们在2015年8月的刊物中就将Oculus的创始人Palmer Luckey作为封面。

对于国内媒体来说, 山东教育出版社利用增强现实 (AR) 和虚拟现实 (VR) 技术的4D图书, 积极探索纸质图书的增强现实技术。这些都意味着VR技术在新闻领域的应用是最容易吸引人们眼球的数字化新媒体, 并且结合世界上最大型最权威的机构, 助推VR技术在传媒领域的快速发展。这些新闻新闻传媒史上具有划时代意义的VR影片, 也从另一方面证明了VR技术在科学普及领域应用的可行性。

参考文献

[1]科学频道.VR元年来临科技变革让VR之家用户梦想成真[EB/OL].[2016-4-8].http://jiangsu.china.com.cn/html/tech/yx/5166623_1.html.

[2]中国传媒大学新媒体研究院DR.XU团队.VR元年?一篇文章让你了解VR[EB/OL].[2016-1-19].http://www.vrzy.com/vr/3608.html.

[3]王大鹏.科学普及的方式也要科学[N].科技日报, 2016-3-18.

虚拟化技术及其安全问题 篇7

近年来, 虚拟化 (Virtualization) [1]技术逐渐成为人们关注的热点。早在20世纪60年代, IBM首次提出了虚拟机 (VirtualMachine) 的概念来实现对大型机并发地、交互式地访问。每个虚拟机都与底层的物理机器类似, 从而运行的软件不需要修改。虚拟机管理器 (Virtual Machine Monitor) 负责管理和调度多个虚拟机对真实硬件的访问。

早期的虚拟化技术[2]主要应用于大型机。到了20世纪80、90年代, 随着硬件成本的下降和现代多任务操作系统的出现, 大型机逐渐被小型机和个人计算机 (Personal Computer) 代替, VMM也随之消失。目前, 多核 (Multi-Core) 已经成为计算机系统结构的发展趋势, PC的计算能力也得到了飞速地发展。为了充分利用底层的硬件资源, 虚拟化技术也逐步应用于小型机和PC。

在以前的虚拟化历程中, X86架构并没有成为虚拟化技术发展的受益者, 主要原因在于X86架构在设计之初并没有考虑支持虚拟化技术。在20世纪90年代末期, VMware和其他虚拟化厂商率先将虚拟化技术应用于X86服务器, 使得虚拟化技术迅速普及[3]。虚拟化技术既引起了学术界的关注, 例如剑桥, 麻省理工学院, 斯坦福大学, 卡内基梅隆大学等, 同时又得到了工业界的支持, 例如Intel, AMD, IBM, Microsoft等。最近, Intel和AMD都从硬件级别提供了对虚拟化的支持, 例如Intel的VT技术和AMD的SVM技术。

虚拟化技术能够动态组织多种计算资源, 隔离具体的硬件体系结构和软件系统之间的紧密依赖关系, 实现透明化的可伸缩计算系统架构, 从而灵活构建满足多种应用需求的计算环境, 提高计算资源的使用效率, 发挥计算资源的聚合效能, 并为用户提供个性化和普适化的计算资源使用环境。在传统架构中, 操作系统负责管理整个硬件平台, 并为应用程序提供运行环境。然而, 根据Metron's Athene的测试结果, 服务器的利用率一般在20-30%左右。虚拟化技术的目标是实现资源利用率的最大化, 同时将底层物理设备与上层操作系统、应用软件分离, 从而实现计算资源的灵活性。在虚拟化架构中, 虚拟机管理器负责对硬件管理和虚拟机调度, 支持在同一硬件平台上同时运行多个操作系统。与传统架构相比, 虚拟化技术的2个主要优势:资源共享和隔离性 (图1) 。

1.1 资源共享

在虚拟化架构中, 虚拟机管理器负责管理底层硬件, 并调度多个虚拟机运行。多个虚拟机共享底层的计算资源和存储资源, 这种方式能够有效地提高服务器的利用率。

服务聚合 (Server Consolidation) 是指将多个轻量的负载以虚拟机的形式合并到少量的物理机器上运行, 这将节省了硬件开销, 同时降低了管理成本。另一方面, 如果一台服务器上负载过重, 那么可以将任务封装在虚拟机中迁移到其他的物理节点上运行, 从而实现负载均衡 (Load Balance) 。

通过虚拟机封装的形式实现了操作系统、应用程序与底层物理硬件去耦合。虚拟机具有在各个物理节点之间迁移的灵活性, 能够充分利用底层物理设备。

1.2 隔离性

操作系统提供进程间隔离, 各个应用程序运行在相互独立的地址空间。但是, 一个应用程序发生故障, 可能会影响其他应用程序, 甚至导致操作系统崩溃。与传统的操作系统相比, 虚拟机比传统的进程提供更好的隔离性。

虚拟机之间的隔离性主要有3个方面:性能隔离 (Performance Isolation) , 信息隔离 (Information Isolation) 和错误隔离 (Fault Isolation) 。性能隔离是指一个虚拟机不能影响其它虚拟机的性能;信息隔离指虚拟机不能访问其它未授权的虚拟机数据信息;错误隔离指一个虚拟机的错误不能影响其它虚拟机。

性能隔离通过性能隔离度来衡量, 该指标测量的是在一台虚拟机出现资源紧张和异常行为时, 对其它正常工作的虚拟机性能的影响程度。虚拟CPU的调度影响虚拟机的性能, 虚拟机管理器必须保证虚拟机之间的性能隔离, 同时保证虚拟CPU调度的公平性。

信息隔离主要是为了安全性考虑, 虚拟机的信息隔离必须保证一台虚拟机受到攻击, 甚至遭到入侵时, 并不会威胁到虚拟机管理器和其他虚拟机。虚拟机管理器的访问控制策略是保证信息隔离的有效手段。

错误隔离主要是当某个虚拟机的虚拟CPU发生故障, 甚至导致操作系统崩溃时, 不会对其他虚拟机产生影响。

2 虚拟化技术的安全问题

虚拟化技术能够在一定程度上提高系统的安全性, 例如将安全工具 (例如入侵检测工具, 杀毒软件等) 部署在单独的虚拟机中, 对其他的虚拟机进行监控。由于虚拟机管理器能够检测到被监控系统的状态, 而且虚拟机管理器将安全工具与被监控的系统进行隔离, 保证了安全工具的安全性和有效性。然而, 虚拟化技术引入了一种不同的计算机应用形态, 改变了计算机系统结构和计算系统的运行方式, 这些特征对虚拟计算系统的安全性提出了一些挑战。

2.1 虚拟机管理器的安全性

在虚拟化架构中, 虚拟机管理器是整个平台的安全瓶颈。如果虚拟机管理器自身受到破坏, 整个平台上运行的虚拟机将受到严重威胁。

与传统的体系结构相比, 虚拟机管理器只完成最基本的硬件管理和虚拟机调度功能, 代码规模小, 可大大减少漏洞数量。虚拟机管理器上可同时运行多个虚拟机, 单个虚拟机仅需支持一个或一类应用, 使得虚拟机上执行的系统软件功能可望大大简化, 通过结合可信平台模块 (Trusted Platform Module) 构建基于虚拟机架构的可信计算系统, 可望显著减少系统可信验证的复杂性。

目前, 在硬件支持虚拟化功能的X86 CPU上运行的操作系统, 恶意软件可在操作系统和物理硬件之间插入恶意的虚拟机管理器-VMBR (Virtual Machine Based Rootkit) 。例如, BluePill利用支持安全虚拟机技术的AMD处理器将操作系统从正常的状态转换为作为虚拟机运行, 提供一个瘦型监控器控制操作系统, 这个瘦型监控器可以观察、控制操作系统中任何感兴趣的事件。近期, 相关安全研究人员在支持Intel VT的CPU上也实现了类似的原型系统。

2.2 虚拟机之间共享的安全性

虚拟化技术已从完全的物理隔离转变为逻辑隔离, 同时为了充分发掘计算系统的潜能, 虚拟机之间的共享程度也在不断提高, 虚拟计算系统的安全问题也突现其重要性。

虚拟机之间共享的安全性主要通过在虚拟机中实现访问控制模块 (Access Control Module) 来实现。例如, 某台虚拟机只能访问属于它的内存空间, 当试图访问该虚拟机限定之外的内存时, 虚拟机管理器必须返回一个错误。某台虚拟机需要访问外设时, 需要虚拟机管理器进行确认和授权。

Xen[4]是一种开源的、性能接近于真实物理机器的虚拟机管理器。Xen在CPU、内存和I/O方面实现了基本安全机制。Xen的sHype参照监控器 (Reference Monitor) [5]采用了FLASK安全系统架构, 实现了强制访问策略 (Mandatory Access Control) 。

主体就是需要访问资源的虚拟机, 客体就是虚拟机希望访问的资源, 需要访问的资源由监控器进行控制, 主体需要访问资源必须通过监控器调用 (Hypervisor Call) 进行请求。sHype在监控器调用处理函数中插入一个“钩子” (Hook) , 这个“钩子”会利用主体标签、客体标签和操作类型为参数查询独立的访问控制模块, 该模块依照安全策略返回授权结果。如果授权成功则这个Hypervisor Call继续执行, 如果授权失败就会立即返回错误给主体, 从而有效阻止非授权的访问。

目前, Xen中的sHype安全策略较为简单, 只有中国墙策略和Type Enforcement策略。中国墙策略即是允许管理员确保某一些虚拟机不会同时运行在同一个虚拟机监控器上, 每一个虚拟机定义中国墙类型集和中国墙冲突集, 如果正在启动的虚拟机的中国墙类型集里面的元素在当前运行的虚拟机的中国墙冲突集中, 新启动的虚拟机将因冲突而不能启动。TypeEnforcement策略即是控制哪些VM之间才能共享资源, 在虚拟机中定义TE-types表, 只要两个虚拟机中TE-types有元素相同即可共享资源, 否则不允许共享。

2.3 虚拟机特性带来的安全问题

虚拟计算系统允许用户通过类似操纵文件的方式来创建、复制、存储、读写、共享、移植, 以及回滚机器的运行状态。这种灵活性为用户与管理员提供了极大的便利, 可以说形成了一种新型的计算机应用形态, 相应地会引入一系列的系统安全问题, 包括软件生命周期和数据生命周期所引起的系统安全。

传统计算机的生命周期可以被看作一条直线, 当前计算机的状态是直线上的一个点。当软件运行、配置改变、安装软件、安装补丁程序时, 计算机的状态单调地向前进行。但在一个虚拟计算环境中, 计算机的状态更象是一棵树:在任意一点都可能产生多个分支, 也就是说, 任意时刻在这棵树上的任意一点都有可能有一个虚拟机的多个实例在运行。分支是由于虚拟计算环境的可撤销 (Undo) 特性与检查点 (Checkpoint) 特性所产生的, 这使得虚拟机能够回滚到以前的状态或者从某个点重新执行。这种执行模式与目前系统中的补丁管理与维护功能相违背, 因为目前的系统假设系统的状态是单调向前进行的。比如, 回滚机制可能会使已经被补救的漏洞重新出现, 重新启动脆弱的服务, 重新使用已经过时的帐号和口令, 重新使用过时的密码, 还可能重新引入蠕虫、病毒或其它已经被去除的恶意代码。

在建立一个安全系统时的基本原则就是减小敏感数据的生命周期, 但是虚拟机会破坏这个原则, 比如, 虚拟机需要记录运行状态以实现回滚机制。这可能将某些敏感数据 (比如密码、用户口令等) 记录下来, 从而导致了这些敏感数据没有被真正销毁, 带来了潜在的安全问题。例如, 在零知识证明协议时, 如果同一时刻被使用两次将会泄漏用户私钥, 在虚拟计算环境中, 若在产生随机私钥后的虚拟机以文件的方式保存起来, 则同一时刻将可以被多次使用, 相应可能会导致用户私钥的泄漏。

总之, 上述问题是虚拟化架构所特有的安全性问题, 这些问题需要人们在应用虚拟化技术之前解决, 而不是简单地应用传统的安全机制和安全策略。

摘要：虚拟化 (Virtualization) 已成为IT基础架构的核心技术, 并且是计算机系统软件的发展趋势。同时, 虚拟化技术也为安全领域带来了一定的挑战, 本文首先介绍虚拟机技术及其两个重要优势——资源共享和隔离性, 然后在此基础上剖析其安全性问题。

关键词：虚拟化,资源共享,隔离性,安全性

参考文献

[1]J.E.Smith and R.Nair.The Architecture of Virtual Machines.IEEE Computer, vol.38 (5) , pp.32--38, 2005.

[2]S.Nanda and T.Chiueh.A Survey on Virtualization Technologies.Technical Report ECSL-TR-129, SUNY at Stony Brook, 2005.

[3]VMware Home Page:http://www.vmware.com/.

[4]石磊, 邹德清, 金海.Xen虚拟化技术.武汉:华中科技大学出版社, 2009.

论虚拟现实技术环境下的体验学习 篇8

一、体验学习概述

体验学习是一种以学习者为中心, 通过实践与反思相结合来获得知识、技能和态度的学习方式。它不仅包含了学习的结果, 也包括了学习的过程, 是一个动态的概念。体验学习把人们从自己的体验中获得的学习结果视为最佳。它既是一种把学习者的认知、情感和行动整合起来的学习方式, 也是一个促进学生自我实现、自我完善的过程。体验学习是学习者在一定的情境 (这个情境可以是真实的, 也可是虚拟的) 中去亲身经历和体验, 并在这个过程中感受、领悟和学习的学习方式。体验学习在活动方式上以学习者为中心, 关注他们自己的感受、价值取向及学习方式;同时需要学习者自己观察、反思和总结, 学会在不同的环境中学习、思考和解决问题。体验使学习进入了生命领域, 使知识的学习扩展到了情感、生理和人格等领域;从而使学习过程不仅要用自己的脑子思考, 而且要用自己的眼睛看, 用自己的耳朵听, 用自己的嘴巴说, 用自己的双手操作, 即用自己的身体去亲自经历, 用自己的心灵去亲自感悟。这不仅是理解知识的需要, 更是激发学生生命活力, 促进学生生命成长的需要。

二、虚拟现实技术的特性及优势

虚拟现实技术是指在多媒体技术、计算机图形学、仿真技术、传感技术、人工智能等基础上发展起来的, 充分利用高性能的计算机硬件与软件资源及各类先进传感器的一门交叉学科的集成技术。事实上, 它不仅是指使用传感辅助设施的技术, 而且还包括一切与之有关的具有自然模拟、逼真体验的技术和方法。它能够生成实时的、具有三维信息的、人可以与之自然交互的人工虚拟环境 (Virtual Environment) 。学习者进入其中, 可以产生一种身临其境、完全真实的感觉。同时学习者可以根据自身的感受, 通过多种传感设备, 使用人的自然技能对虚拟环境中的物体进行考察或操作, 并像在真实世界中一样与该环境进行实时操纵和相互交流。虚拟现实技术应用于教育教学领域具有独特的优势。

1. 沉浸性和多感知性。

学习者能沉浸到计算机系统创建的虚拟环境中。在这个环境中, 一切感觉逼真。学习者由观察者变为全身心的投入者, 他们觉得自己是虚拟环境的一部分。他们感到被虚拟景物所包围, 可以左顾右盼和自由走动, 与物体相互作用, 如同在现实世界中一样。虚拟现实的多感知性使它具有多感知的能力, 如视觉感知、听觉感知、力觉感知、触觉感知、运动感知和嗅觉感知等。借助这些感知, 学习者在虚拟环境中可以产生非常真实的体验。虚拟现实技术的这两种特性可以让学习者全身心地投入到虚拟环境中获得真实的认知和情感体验, 能够大大增强他们学习的主动性和持久性。

2. 交互性。

学习者能通过键盘、鼠标以及各种传感器与虚拟环境发生交互, 如同在真实环境中用其自然技能与其中的对象发生交互关系, 实现对虚拟环境的考察与操作。在这样一个具有身临其境和交互作用的环境中, 学习者通过他们与所处环境的交互作用, 利用其本身对接触事物的感知和认知能力, 以全方位的方式获取各种形式的信息。例如, 人们用手抓取虚拟环境中的物体, 被抓取的物体会随着手的移动而移动;同时人们会有抓取东西的感受, 并且可以感受到物体的重量。这种交互性对学习者的学习产生了积极影响, 并且为他们完成自身意义世界的建构提供了条件。

3. 想象性。

在以上沉浸性、多感知性和交互性的基础上, 学习者可以从逼真的虚拟环境中得到感性和理性上的深刻认识, 进而深化概念、产生想象, 主动寻求、探索和接收信息, 因此就能够充分发挥他们的想象力, 培养创新精神, 提高创新能力。另外, 从安全性和经济性的角度考虑, 虚拟现实技术也是一种有效的教学工具。它为模拟训练提供了极有价值的、与真实生活很类似的情形, 避免了一些不必要的风险。有了以上优势, 虚拟现实技术在学习过程中就具有了独特作用, 比如:帮助学习者探索那些不能接触到的地点和事物, 如火星表面;向学生呈现那些难于观察和测量的事物, 如分子结构;为学生再现那些已经不复存在的事物, 如冰河期的地球;让学生与虚拟历史人物进行交流, 如与牛顿探讨问题等。这是其他技术不易实现的。

三、虚拟现实技术环境下的体验学习

研究表明, 在亲身经历的过程中进行的学习是最有效的。虚拟现实技术能够提供给学习者类似于亲身经历的逼真体验和技术支持。学习者在这种仿真过程中可以经历不同的时间和空间, 可以与各种仿真物体和虚拟环境的各个部分接触, 从而产生逼真的体验, 更好地进行体验学习。

1. 在虚拟环境中体验感悟。

虚拟现实技术为学习者提供了丰富的学习资源以及选择学习材料和学习方式的机会。利用虚拟现实技术可以让学习者学习一些实际中具有时间性、可变形、距离性、抽象性且用别的方法很难观察和验证的各种事物。例如, 在学习各种自然现象的形成和发展方面的内容时, 大多数自然现象都具有时间性, 或者是转瞬即逝, 或者是非常漫长, 学习者很难观察到。但我们利用虚拟现实技术就可以让学习者在短时间内逼真地观察到自然界几十年、几百年、几千年甚至上万年发生的变化。又如, 物理、化学、数学等科目中的各种概念、定义以及物质的原子、分子结构与化学反应都是很抽象的, 在传统教学中只能依靠教师的口头讲述进行讲授;而利用虚拟现实技术, 教师可以陪同学习者在课堂上一起经历虚拟环境, 观察一些重点问题, 还能让学习者“进入其中”进行体验, 从而获得第一手概念和知识。这种学习方式, 使那些抽象难懂的学习内容以生动形象的形式呈现出来, 大大提高了学习者的理解和掌握能力。

2. 在虚拟实验室中进行仿真实验。

实验是教学活动中一个必不可少的过程, 很多学科都是以实验为基础的。虚拟实验室是由虚拟现实技术仿真或虚构的一种可以进行实验的虚拟环境。在这个环境中, 学习者似乎是在真正的实验室里近距离进行现场操作。学习者可以利用虚拟实验室进行仿真实验。如化学实验中有些药品具有剧毒, 有些化学反应比较剧烈或时间较长, 把这些实验放在虚拟实验室中去做, 既能对实验现象或过程很好地仿真而又不必担心造成伤害。再如, 美国休斯敦大学和NASA (美国国家宇航局) 约翰逊空间中心的研究人员建造了一种称之为“虚拟物理实验室”的系统, 利用该系统可以直观地研究重力、惯性这类物理现象。使用该系统的学习者可以做包括万有引力定律在内的各种实验, 可以控制、观察由于改变重力的大小、方向所产生的种种现象以及对加速度的影响。这样, 学习者就可以获得直接经验, 从而达到对物理概念和物理定律的深刻理解。此外, 在虚拟物理实验室里, 学习者还可以自己动手创造出降雨、水汽蒸发等自然景观, 直观有趣、生动形象。

3. 在虚拟场景中感受历史文化。

在虚拟场景中也可以进行体验学习。例如Intel公司建立的虚拟故宫, 利用虚拟现实技术展示了故宫的全貌。我们只要利用鼠标和键盘就能够畅游历史悠久的紫禁城。在这个有声有色的虚拟故宫里畅游一番, 既可以获得知识, 又省去了劳累的旅途和不菲的开支。在这里, 学习者可以进行亲身体验, 学习到课本以外的知识。又如, 美国加利福尼亚大学洛杉矶分校的教育家们利用最先进的计算机技术, 用非常准确的虚拟现实技术重新构造了数字化古罗马 (公元前50~公元14年) 。我们进入这个完全虚拟的世界, 古罗马的各种人文景观历历在目, 仿佛置身于陌生的异域环境中。学习者可以身临其境地观察各种艺术奇观、雕塑、绘画艺术品, 体会当时的人文环境;可以观察古罗马的住宅、街道和其他建筑格局的特点;可以参加列席奥古斯都的参议院, 聆听诗人的讲演等。这种虚拟场景能够帮助学习者更好地理解特定的历史情境和历史文化, 无疑是独一无二的。

4. 在虚拟环境中进行交互学习。

体验学习过程中最关键的环节是学习者之间的交流, 网络时代体验学习的交互日趋虚拟化。在体验学习过程中, 有大量的网络工具可以为学习者使用。他们可以在三维聊天室中, 在BBS系统中与学习者和教师进行实时的交互, 也可以使用邮件系统和学习者或是集体进行非实时的交互, 取得教师或同伴的异步解答。虚拟体验学习中的交互不受时空的限制, 学习者都是以虚拟的身份参加交流的。虚拟交互的过程中, 学习者之间是自由平等的, 所形成的关系也是虚拟的。在这种情境中, 他们可以畅所欲言, 更容易表达自己在体验学习中的真实见解。

无论是虚拟环境中的体验感悟、交互学习, 虚拟实验室中的仿真实验;还是虚拟场景中的历史文化感受, 都能使学习者获得逼真的体验, 从而产生更好的学习效果。

四、展望

在虚拟现实技术环境中的体验学习虽然情境虚拟化、过程虚拟化、交互虚拟化, 但是体验的结果是真实的。对这种学习方式的展望主要有以下三个方面。

1. 把虚拟体验和现实体验结合起来, 使二者和谐互补。

开发虚拟的体验学习场景需要大量的人力、物力和财力, 所以能进行现实的体验学习就不进行虚拟的体验学习。在现实中不易进行直接体验的学习可以在虚拟体验情境中进行, 如高危险或是受时空限制的情境。

2. 加强技术支持, 完善体验形式。

在虚拟体验学习过程中, 学习者更容易发挥创造力, 展现自己的个性。因此, 随着技术的发展, 我们应该加强对它的规范化设计开发, 尽量完善虚拟体验的形式, 将其优势和潜力在教育领域中凸显出来。同时我们要更加关注技术应该支持体验学习的哪些方面, 如何提供更好的、更智能化的支持, 以及支持的效果如何评定等, 从而使它自身不断得到完善和发展。

3. 在虚拟现实技术环境中重视情感需求。

在利用虚拟现实技术环境的自身优势为学习者的体验学习提供种种便利条件和在其他环境中难以实现的技术支持的同时, 也要重视在这个过程中学习者的情感需求, 鼓励他们参与社会活动, 注重培养在真实情境中的人际互动和人际交往方面的能力。

参考文献

[1]何克抗, 李文光.教育技术学[M].北京师范大学出版社, 2009.

[2]许亚建, 张际平, 高丹丹.技术支持的体验学习研究述评[J].远程教育杂志, 2012, (8) .

[3]皇坤英, 邹霞.现代教育技术课程中的虚拟现实技术应用研究[J].课程教育研究, 2013, (7) .

从安全性方面看桌面虚拟化技术 篇9

关键词：安全性,桌面虚拟化技术,问题

0 引言

随着科技的不断发展和进步, 虚拟化技术很好地解决了在传统的业务平台上发生的安全隐患, 让系统管理变得更加容易。但是在便利的同时它也带来了很多风险, 而且这种风险具有一定的隐蔽性, 让用户发现深层问题变得比较困难。

1 桌面虚拟化技术带来的积极作用

借助桌面虚拟化架构, 桌面应用程序实际上是在数据中心当中的服务器上进行执行, 它依赖于各种显示协议, 而对安全性起到的提升作用主要体现在了以下的几个方面:首先, 它能够更好地对终端电脑以及相对应的配置软件进行控制, 统一进行软件的安装、升级等操作。比较敏感的用户数据都在数据中心当中进行存储, 一旦发生意外事故, 负责安全管理的工作人员也能够在最短时间内及时发现。其次, 它能够对工作人员虚拟工作空间进行合理的管理, 保证用户即便访问了不可信任的主机也不会产生工作数据方面的不良影响。最后, 它还能够在提升单位网络的整体安全稳定性的同时降低安全成本, 借助集中管理镜像文件, 让维护安全性能所耗费的成本有大幅度的降低。总的来说, 在桌面虚拟化技术下带来的积极作用包括以下三点。

1) 虚拟桌面本身以及其虚拟的工作空间都参照比较可靠的操作系统等, 来进行创建, 依托于非常可信的规范模式, 保证用户能够使用到最合法、最新型的软件, 同时在数据中心当中的审计人员可以很快对终端用户操作行为进行适当的评判, 保证利用虚拟桌面进行的非法活动能够在开始之前就得到遏制, 保证安全性。

2) 重要数据大多都在集中服务器当中保存, 防止泄密事件, 同时也解决了数据分布太广所带来的难以控制的问题, 管理人员只需对一部分关键节点进行定期的维护即可, 不必再对每台终端进行维护, 节省人力物力。

3) 合理运用虚拟桌面能够降低灾难恢复以及维持业务所产生的费用, 使用虚拟桌面之后, 用户不必在本地再进行数据的保存。即便用户所处地区出现了严重的故障, 只要在远程服务器正常的状态下, 本地用户都能够及时在新终端上恢复工作以及业务。

2 桌面虚拟化技术带来的负面作用

即便目前桌面模拟技术已经给管理者带来很多的便利, 不过从安全稳定性以及用户的体验角度来考虑的话, 带来的除了积极作用之外还有很多负面影响。

1) 虚拟桌面在进行网络迁移过程当中产生的风险仍然比较大, 这是因为虚拟桌面在网络当中经常要进行大量文件的迁移, 在这个过程中, 局域网内部的用户基本上都不存在秘密, 极易被趁虚而入;另外, 大量文件进行迁移不但会对网络的性能有非常高的要求, 同时也会增加正常使用的不确定性, 例如, 一部分虚拟桌面进行一段时间的使用之后就会出现莫名死机的情况。

2) 使用虚拟机的过程当中正确进行审计和控制目前还没有出现任何一个能够完成的理想工具, 导致在每一个虚拟桌面的客户端权限之间没有非常明显的区别。在这样的环境下, 需要考虑的一项风险是低级虚拟机是否可能直接越过访问的权限进入高级虚拟机之中, 即便目前在虚拟桌面的架构当中是不允许这种操作的, 但是在一些非法的工具帮助下, 却可以借助相同存储空间以及级别达到侵害数据的目的。

3) 在虚拟桌面中管理员所具备的权限也可能会带来一定的泄露秘密以及接数据破坏的风险。而且作为管理员, 由于拥有直接操作的权限, 进行这项操作的成本也非常低, 即使数据已经进行加密, 也能够直接将数据完整拷贝之后进行破解。另外, 集中权限也让管理员的约束条件非常低, 管理员进行任何操作基本上都是没有约束的。

4) 用户的个性化体验相对比较低, 使用了桌面虚拟化, 只有所有人都能够对相同模式的桌面、背景、软件有同样的需求才能够让每个用户都满意, 但是这显然是不可能的, 每个用户都有或多或少的个性化使用方式, 还有一部分工作单位, 它们每个部门之间的需求也都不尽相同, 导致用户的个性化体验水平目前还比较低, 很多用户都要面对很多对自己来说没有意义的软件。

3 如何对桌面虚拟化技术进行安全性方面的改进

在桌面模拟实现了完全化的实施之后, 需要进行适当的安全性能优化, 主要包括访问的控制、审计等方面, 大概包括以下几个方面。

3.1 建立健全访问控制的体系

在虚拟机内部以及外部分别建立起非常完善的控制访问体系, 让每一个虚拟机所具备的权限以及能力, 都能拥有独立的程序控制表, 让每一台虚拟桌面都能够对不同程序进行访问。

3.2 审计流程以及审计日志

实行非常完善的审计配置以及日志审计流程, 让管理员操作行为以及用户操作行为都有非常详细的记录以供审计。

3.3 对传输通道进行加密

利用硬件建立起对虚拟桌面进行加密传输的安全通道, 保证文件迁移中不会遭到完整拷贝。

3.4 建立起虚拟存储保护系统

虚拟存储的保护是非常重要的一部分内容, 如果虚拟桌面的服务器被外界破坏, 那么整个架构就会受到严重的损坏。因此, 需要采取多种方式来进行保护。

4 结语

进行虚拟桌面的架构是一个需要长期进行的工程, 它具有高度的复杂性, 会影响到所有的终端。应用虚拟桌面技术主要需要注意的是数据集中控制所带来的性能方面以及运行成本方面的变化。另外, 管理员的控制力度也会不断地增强, 维持这些因素的平衡, 虚拟桌面所带来的隐患才能够降到最低, 让整个网络都能实现性能的提升。

参考文献

[1]金洁.虚拟桌面管理系统的设计与分析[D].南京:南京理工大学, 2013.

[2]白伟, 李凤英.浅谈桌面虚拟化技术发展与应用现状[J].中小企业管理与科技 (上旬刊) , 2013 (12) .

[3]邵凌.桌面虚拟化在信息安全管理中的应用[J].计算机与网络, 2014 (13) .

虚拟化技术下的安全 篇10

随着信息系统的广泛应用,其所面临的信息安全问题复杂多变,特别是一些安全关键的信息系统,如电力信息系统等,保障该类信息系统的安全成为一个重要而实际的课题。

传统的安全防护框架大多以信息系统软件栈中上层业务应用软件或者底层操作系统作为安全防护的立足点,采用安全加固作为主要技术手段,提高网络和主机系统的安全性和抗攻击能力。

由于上层应用软件和操作系统软件各不相

同,且每个企业对于信息系统的安全需求也不尽相同,导致缺少一种有效的、易于移植的安全防护解决方案。

正如1992年图灵奖获得者David Wheeler在颁奖演讲时所说的,“计算机科学中的任何问题都可以通过增加一层映射而解决”,当前计算系统的很多问题也同样可以通过在计算系统中增加虚拟化层来解决。目前,在虚拟化技术的体系结构和算法等理论研究方面,已取得了丰硕的研究成果[1,2,3]。

在应用方面,已有一些实现了虚拟化技术的平台,如VMWARE、Xen[4]等,一些主流计算机芯片厂商也推出各自的虚拟化技术,如Intel公司“Intel VT”技术[5],这些都使得虚拟化技术应用具有更好的适用性,虚拟化技术因此得以高速发展,同时极大地扩充了信息技术的应用领域与方法,为解决计算系统信息安全等问题提供了一种新的有效的技术手段和方法。

目前,已有不少学者开展了基于虚拟化技术的系统安全研究工作[6,7,8]。Garfinkel等人[6]提出一种新的基于系统虚拟化技术的入侵检测方法,该方法在虚拟机层面实现入侵检测,相对于基于网络的入侵检测系统与基于主机的入侵检测系统而言,基于系统虚拟化的入侵检测系统不仅具备更好的抗攻击性,而且还能获得足够的信息以降低漏报率和误报率。

Sec Visor等人[7]提出一种防止操作系统内核代码遭受恶意篡改的新方法,该方法使用虚拟机监控器来检测与防止对操作系统内核代码的恶意修改,从而到达保证内核代码完整性的目的。

曲文涛等人[8]提出了一种跨虚拟机的检测方法对目标虚拟机进行可信检测,该方法无需对目标虚拟机的操作系统进行任何修改,可以避免“恶意软件”或“流氓软件”对检测程序本身的攻击,不足之处在于目标虚拟机必须是半虚拟化的虚拟机,且内存使用状况以及操作系统的参数需要对检测程序可见。

本文的目标就是通过探讨虚拟化技术的相关特性,研究基于虚拟化技术的信息系统安全防护综合框架,从而对信息系统进行更加有效的安全保护。

1 虚拟化技术简介

虚拟化技术通过在底层硬件设备与上层操作系统之间增加一个额外的软件层,即虚拟机监控

器(VMM,Virtual Machine Moni-

tor),屏蔽硬件平台的分布性、异构性和动态性,支持硬件资源的共享,并采用软硬件分时服务、仿真执行与模拟等技术在单个计算机物理设备上为每个用户提供属于个人的独立、隔离的计算环境,即虚拟机(VM,Virtual Machine),用于运行操作系统软件及上层应用软件,确保在虚拟出的运行环境中操作系统与应用软件的运行状况与在真实的物理设备上运行的状况基本相同,藉此带来更好的安全性、容错性和可维护性等。

图1是计算系统虚拟化的示意图,从图中可以看出,VMM位于底层硬件资源和VM中运行的操作系统,称为客体操作系统

(GOS,Guest Operating System)之

间,处于整个软件栈的最底层,专门负责管理底层硬件资源,然后将其分配给软件栈上层的虚拟机(VM)。VMM拥有对运行在其上的VM及VM中的操作系统完全的控制权,能获取操作系统运行状态,系统资源使用状态和应用程序执行状态等有用的信息。底层硬件资源与客体操作系统之间的任何交互都需要通过VMM进行。

VMM通常具备4个主要的特性,即透明性(Transparent)、隔离性(Isolation)、封装性(Encapsulation)和可管理性(Manageability)。在安全防护领域,VMM的隔离性是被广泛使用的一个重要特性。在虚拟化的环境中,VM之间相互隔离,任何VM之间可以视为互相透明,即使一个VM出现故障或遭受攻击,其他VMs不会受到任何影响;在各个独立的VM之上,存在VMM,VM运行所需要的计算资源(CPU、内存、DISK等)均由VMM提供,同时,VMM管理所有虚拟机与系统硬件的交互。隔离特性是虚拟化技术提高系统安全的主要特性之一,将有助于实现VMM级别的安全防护。

2 基于VMM的安全防护构架

系统虚拟化技术的出现为安全防护带来了新的思路。图2为以数据安全和入侵防御为主要目标建立的适用于信息系统安全防护框架。该防护框架采用虚拟机监视器作为安全服务增强的载

2011年第9卷第6期2011年第9卷第6期

体,充分利用VMM的拦截、隔离和I/O数据加密机制,形成安全增强层,实现各种类型的安全服务,提升安全防护的能力。

传统的安全防护措施将软件栈底层的操作系统作为可信基

但由于操作系统过于庞大,且其主要设计目标是开放性与功能性,而非安全性,所以确保操作系统可信的难度较大,不适合成为可信基。例如,操作系统的系统调用接口往往违反最小特权策略,一旦被恶意代码获得根权限,则非常容易获得对整个系统的控制权。

相反,由于虚拟机监控器相对较小、静态、接口较简单,且硬件层通常存在一个可信平台模块(TPM,Trusted Platform Module)作为VMM的可信根,由TPM和VMM构成可信计算根,对VMM进行完整性度量,使得VMM作为软件栈的可信基,易于实现。此外,系统虚拟化的软件兼容性与同时支持多种类型虚拟机的特性也使VMM作为可信基具有较好的现实意义。

2.1 安全增强层

在VMM可信的基础上,利用VMM的拦截、隔离和I/O数据加解密机制,构造安全增强层,对操作系统与上层业务应用程序的行为进行监控,从而达到行为约束的目的。

对操作系统而言,每个上层应用都是由多个操作系统进程构成,而每个进程所需资源均可被抽象成3种类型:内存、CPU下文、I/O数据。因此,对上层应用软件的保护可以抽象成对其使用资源的保护。以防御恶意攻击为例,执行恶意代码的进程必须通过系统调用才能实现对操作系统状态的控制,因此通过对上层应用执行的系统调用进行监测、检测和隔离,可避免系统软件遭受恶意代码的破坏。安全增强层基本工作过程如图3所示。

操作系统将每个应用抽象成一系列的进程,用户进程与操作系统内核的交互都通过系统调用完成。在传统的操作系统中,系统调用直接从用户态进入到操作系统内核态,存在对操作系统破坏的威胁,因此可以在安全增强层提供拦截机制,在系统调用从用户态进入内核态之前,由VMM截获所有系统调用,检测每个系统调用所涉及的系统资源是否违背预先定义好的安全策略,以及该系统调用是否超过了安全策略已授权的权限,过滤掉具有一定危害性的系统调用操作;接着利用I/O数据加解密机制对用户数据进行加密,防止操作系统在被入侵与破坏后窃取或篡改用户数据;最后利用隔离机制,以写拷贝的方式隔离进程对关键系统资源

的操作,只有当没有异常发生时,进程对系统资源的修改才会被同步到操作系统和运行环境中。在VMM层实现的上述安全机制对于上层应用和操作系统是完全透明的,具备隐密性以及抗攻击性等优点。

2.2 典型的安全服务

在安全增强层的基础上,可以部署各种类型的安全服务,如访问控制、攻击防御(入侵检测)、安全隐私保障和数据处理进程保护等安全服务。入侵检测是一种最为常用的安全防护手段,作为安全增强层上的典型的安全服务,下面阐述安全服务的构建过程。

传统的入侵检测方法主要有2种:一种是基于主机的入侵检测系统;另一种是基于网络的入侵检测系统。长期的使用,发现它们都存在一些缺陷,基于主机的入侵检测系统存在不能有效地保护自身不受攻击的问题,而基于网络的入侵检测系统不能获取被监测计算节点的状态信息。借助于虚拟化技术是解决上述问题的一个切实可行的途径。

基本思想是借助于虚拟化技术的隔离特性,将具有安全漏洞的某些功能移到被监测虚拟机的外面,与客体操作系统一起运行但又与之隔离,提供相同的功能但具有更强的抗攻击能力。借助VMM的支持,使之能够同时兼有基于网络的入侵检测系统和基于主机的入侵检测系统的优点。相对于基于网络的入侵检测系统与宿主检测系统而言,在具备较好的抗攻击性前提下,又能获得较多信息以降低误报率与漏报率。

图4是基于虚拟机的入侵检测系统(VMIDS)的示意图,主要功能是对用户进程的系统调用进行审计、检测和隔离。VMIDS可以看作VMM上的一个特权虚拟机(VM),较其他VMs相比有着特殊的优先权。

VMIDS主要包含3个部件:权限审计器、异常检测器和隔离管理器。权限审计器负责检测每个系统调用所涉及的资源是否违背预先定义好的安全策略,以及该系统调用是否超过了安全策略已授权的权限,过滤掉具有一定危害性的系统调用操作;异常检测器对进程的系统调用序列进行动态监控,通过机器学习、数据挖掘等方式获得系统调用行为的正常模型或异常模型,而后在一般的执行中对进程的行为进行监控,并将其行为与正常的行为进行比较,以实现异常系统调用的检测。隔离管理器将不可信进程对关键系统资源的操作通过写拷贝的方式进行隔离。只有当没有异常发生时,不可信进程对系统资源的修改才会被同步到操作系统与运行环境中。

3 结语

本文提出的基于虚拟化技术的安全防护框架,利用VMM与上层应用软件的运行环境相互隔离的特性,当操作系统遭受恶意代码攻击、被入侵与破坏时不至于使运行于VMM中的安全服务也被破坏,使得在VMM中实现安全服务如入侵检测、安全访问控制、以及病毒防治相对于在操作系统中实现具有独特的安全优势,这也为安全防护技术和安全防护框架的研究提供了一种新的途径。

参考文献:

2011年第9卷第6期

摘要：关键信息系统的安全防护问题一直以来都是研究热点。围绕数据安全和恶意代码攻击等关键安全问题,以虚拟机监视器作为安全防护立足点,充分利用虚拟机监视器的拦截、隔离、I/O数据加解密等机制,构建了一种新的信息系统安全防护构架,详细阐述了安全防护框架的工作原理以及典型安全服务的构建方法。

关键词：虚拟化技术,虚拟机,安全防护

参考文献

[1]Smith J E,Nair R.The architecture of virtual machines[J].Computer,2005,38(5):32-38.

[2]Rosenblum M,Garfinkel T.Virtual machine monitors:Current technology and future trends[J].Computer,2005,38(5):39-47.

[3]Rose R.Survey of system virtualizationtechniques[A].Proceeding of the3rd Int′l Conference on Parallel Processing and Applied Mathematics[C],2004,134-138.

[4]Barham P,Dragovic B,Fraser K,et al.Xen and the art of virtualization[A].Proceedings of the19th ACM Symposium on Operating Systems Principles[C].New York,NY,US-A:ACM Press,2003,164-177.

[5]Uhlig R,Neiger G,Rodgers D,et al.Intel virtualization technology[J].Computer,2005,38(5):48-56.

[6]Garfinkel T,Rosenblum M.A Virtual Machine Introspection Based Architecture for Intrusion Detection[A].Proceedings of the2003Network and Distributed System Security Symposium(NDSS)[C],2003,191-206.

[7]Seshadri A,Qu N.SecVisor:a tiny hypervisor to provide lifetime kernel code integrity for commodity OSes[A].Proceedings of twenty-first ACM SIGOPS symposium on Operating systems principles[C],2007,335-350.