面向多租戶的關鍵虛擬機動態遷移方法研究

趙碩，季新生，程國振，毛宇星

（1. 國家數字交換系統工程技術研究中心，河南 鄭州 450002；2. 解放軍理工大學指揮信息系統學院，江蘇 南京 210007）

面向多租戶的關鍵虛擬機動態遷移方法研究

趙碩1，季新生1，程國振1，毛宇星2

（1. 國家數字交換系統工程技術研究中心，河南 鄭州 450002；2. 解放軍理工大學指揮信息系統學院，江蘇 南京 210007）

提出一種面向多租戶的關鍵虛擬機動態遷移方法。首先，根據租戶對虛擬機的安全需求設定關鍵虛擬機的比例，減少虛擬機動態遷移的數量；然后，通過虛擬機之間共存時間約束條件最大化降低虛擬機動態遷移的頻率；最后，以最小化遷移開銷作為虛擬機遷移的目標函數，進一步降低虛擬機遷移帶來的開銷。實驗表明，與現有的防御方法相比，該方法在有效防御側信道攻擊的前提下，能夠減少對網絡服務性能的影響，降低虛擬機遷移的成本，更加適用于大規模的網絡場景。

側信道攻擊；關鍵虛擬機；動態遷移；遷移算法；遷移開銷

1 引言

云計算技術[1～3]是目前產業界和學術界研究的一個熱點話題，它提供了一種新型共享基礎設施的方法，租戶可以通過互聯網分享虛擬化的資源，極大擴展了互聯網服務提供的種類和范圍。云計算作為一種大規模的資源共享模型，需要超大規模的數據中心建設，對數據中心網絡提出了新的要求。網絡虛擬化（NV，network virtualization）[4～7]為滿足這些要求提供了一條有效的途徑，其主要思想是將數據中心網絡劃分為多個虛擬網（VN，virtual network），各個VN共享相同的底層物理網絡資源（SN，substrate network），但可以有不同的應用、服務和架構，以滿足多樣化的技術部署和應用。網絡虛擬化雖然大大提高了數據中心網絡的靈活性、應用的多樣性、資源的利用率，能夠最大程度地滿足租戶的需求，但多個虛擬網共享相同底層物理資源也帶來了新的安全威脅[8～13]。其中，側信道攻擊[8,11～13]是造成當前云計算與數據中心環境下多租戶間信息泄露的安全威脅之一。攻擊者通過放置惡意虛擬機與目標虛擬機共存在相同的物理主機上，然后通過側信道竊取目標虛擬機中的隱私信息。

目前，防御側信道攻擊的研究主要分為2種思想。一種思想[14～16]是根據具體的側信道攻擊機制修改物理主機的軟硬件。該類方法可以有效地防御特定類型的側信道攻擊，但無法防御不同類型和未知類型的側信道攻擊。另一種思想[17～20]是在不修改物理主機的軟硬件前提下，通過虛擬機的映射、遷移策略主動地防御側信道攻擊。該類方法能夠防御不同類型和未知類型的側信道攻擊，也不需要修改物理主機的軟硬件，但受制于對網絡服務性能影響大、防御成本高的問題，難以適用于大規模的網絡場景。

針對現有防御方法存在的局限性，借鑒文獻[20]提出的側信道攻擊的信息泄露模型，本文提出一種面向多租戶的關鍵虛擬機動態遷移方法，主要貢獻如下。

1) 根據租戶的安全需求設定關鍵虛擬機的比例，有針對性地對虛擬機進行主動的動態遷移，減少虛擬機遷移的數量。

2) 通過虛擬機之間共存時間約束條件來最大化降低虛擬機動態遷移的頻率。

3) 以最小化遷移開銷作為虛擬機遷移的目標函數，進一步降低虛擬機遷移的成本。

4) 定義了風險系數作為側信道攻擊防御效果的評價指標。

2 相關工作

在云計算與數據中心環境下，通過虛擬化技術能夠對不同租戶的虛擬機之間進行邏輯隔離，以此保證虛擬機（VM，virtual machine）功能的獨立性和信息的安全性，但惡意虛擬機仍然可以通過側信道竊取共存在相同物理主機上其他虛擬機的隱私信息。有關研究表明[8,12,21]，利用虛擬機之間的側信道竊取租戶的隱私信息是一種可行的攻擊手段。發動側信道攻擊的攻擊者可以通過虛擬機運行的特征識別攻擊目標[8]，也可以從共享信息中得知攻擊目標的應用[22]和操作系統[23]。文獻[12]表明，利用側信道攻擊，可以在2～3 min恢復高級加密標準（AES，advanced encryption standard）密鑰。

目前，防御側信道攻擊的研究主要分為2種思想。第一種思想[14～16]是根據具體的側信道攻擊機制修改物理主機的軟硬件。文獻[14]提出為了防御基于時間的側信道攻擊，可以通過隱藏程序運行的時間和改變程序暴露的時間進行防御；文獻[15]表明，通過在操作系統層內保護的進程中加入噪音來防御基于操作系統層的側信道攻擊。文獻[16]提出采用跨多個虛擬機的分區加密來防御針對應用層的側信道攻擊。第二種思想[17～20]在不修改物理主機的軟硬件前提下，通過虛擬機的映射、遷移策略主動地防御側信道攻擊。文獻[17]提出建立靈活的遷移架構，在保證網絡健全的情況下對虛擬節點進行遷移，能夠減緩側信道攻擊帶來的威脅，但虛擬機遷移沒有目的性，會帶來較大的遷移開銷。文獻[17]根據虛擬機的安全需求設計了一種安全感知的虛擬網映射架構，一定程度上提高了虛擬機信息的安全性，但使虛擬網絡映射成功率出現較大程度的下降，對網絡服務的性能影響較大。文獻[19]提出采用混合的虛擬機放置策略，增加惡意虛擬機與目標虛擬機共存的難度，提高了攻擊者的攻擊成本。但對側信道攻擊的防御不夠徹底，防御效果有限。文獻[20]提出通過周期性地對虛擬機進行動態遷移來降低虛擬機之間共存的時間，能夠較徹底地防御側信道攻擊，但虛擬機數量過多會導致遷移開銷成本過高，難以適應于大規模的網絡場景。

3 問題描述

3.1 網絡模型

1) 數據中心網絡

2) 虛擬網請求

3) 虛擬網映射

3.2 側信道攻擊問題描述

在云計算和數據中心環境中，攻擊者通過放置惡意虛擬機達到與目標虛擬機共存在相同物理主機上的目的，然后利用側信道竊取目標虛擬機中的隱私信息[19]。如圖2所示，攻擊者通過構建虛擬網使部分惡意虛擬機能夠與虛擬網中的目標虛擬機共存在相同的物理主機上，進而對目標虛擬機發動側信道攻擊。

攻擊者發動側信道攻擊主要分為4個步驟。

① 攻擊者通過啟動大量惡意虛擬機或根據探測到的網絡信息有選擇地啟動惡意虛擬機，使部分惡意虛擬機能夠與目標虛擬機共存在同一個物理主機上。

② 目標虛擬機在工作時對共享的物理資源（CPU cache、網絡隊列）產生影響。

③ 惡意虛擬機通過共享的物理資源對共存的目標虛擬機進行評估和測量。

圖1 虛擬網映射實例

圖2 側信道攻擊模型

④ 惡意虛擬機根據評估和測量的結果，建立與目標虛擬機的隱蔽信道，竊取目標虛擬機的隱私信息。

由文獻[20]知，攻擊者若想通過側信道成功竊取目標虛擬機中的隱私信息，必須保證惡意虛擬機與目標虛擬機共存一定的時間。因此，虛擬機中隱私信息的安全主要取決于如下幾個因素，如表1所示。

表1 安全影響因素

其中，信息泄露速率K的值和目標虛擬機的CPU需求資源的大小有關。目標虛擬機的CPU需求資源越大，對共享的物理資源產生的影響越多，則惡意虛擬機能夠評估和測量的信息越多，通過側信道竊取信息的速率越快，目標虛擬機的信息泄露速率越快。

因此，要想成功防御側信道攻擊，保證虛擬機隱私信息的安全，需要滿足式(1)。

其中，I表示信息被成功竊取的最小信息量。

4 面向多租戶的關鍵虛擬機動態遷移方法

由式(1)知，可以通過周期性地對虛擬機進行動態遷移，減少虛擬機之間共存的時間，來改變式(1)中Γ的大小，以此保證目標虛擬機中的隱私信息不被惡意虛擬機成功竊取。但是，隨著網絡規模的增大，虛擬機數量的增多，如果對所有的虛擬機都進行周期性的動態遷移，將造成虛擬機遷移成本過大，遷移算法收斂時間過長，導致該方法難以適應大規模的網絡場景。因此，本文提出一種面向多租戶的關鍵虛擬機動態遷移方法。一方面，根據租戶對虛擬機的安全需求設定關鍵虛擬機的比例，以此減少虛擬機遷移的數量，降低虛擬機遷移的開銷成本和算法的收斂時間；另一方面，在保證虛擬機信息安全性的前提下，最大化降低虛擬機動態遷移的頻率，進一步降低虛擬機的遷移開銷成本。本節對本文所提方法進行具體的描述。

4.1 關鍵虛擬機的設定

由3.2節知，虛擬機的CPU需求資源越大，信息泄露速率K的值越大，該虛擬機的隱私信息被攻擊者成功竊取的風險越大，另外，由于部分虛擬機中不含有隱私信息或重要的信息，不需要對該部分虛擬機進行動態遷移保護。因此，可以將虛擬機內是否含有隱私信息和虛擬機CPU值的大小作為關鍵虛擬機設定的標準。在虛擬網請求到達時，先對該虛擬網中的所有虛擬機按照CPU值的大小進行降序排列，即虛擬機的CPU值越大，則該虛擬機的序號越小。

云服務提供商為租戶提供一個自定義的關鍵虛擬機比例設定接口，如圖3所示。租戶可以通過該接口自定義虛擬網中關鍵虛擬機所占的比例。例如，若租戶選擇30%的關鍵虛擬機比例，則虛擬機CPU值大小排名在該虛擬網中前30%的虛擬機將被設定為關鍵虛擬機。

圖3 關鍵虛擬機比例設定接口

關鍵虛擬機設定步驟如下。

步驟1 虛擬機安全需求判斷。虛擬網請求到達時，若該虛擬網中的虛擬機存在安全需求且租戶有指定要進行保護的虛擬機，則進行步驟2；若有安全需求但沒有指定保護的虛擬機，則進行步驟3；若無安全需求，則直接進行虛擬網映射。

步驟2 指定關鍵虛擬機。租戶根據虛擬機中含有信息的重要程度，直接指定需要進行保護的虛擬機，則該指定的虛擬機被標記為關鍵虛擬機，若還需要設定關鍵虛擬機的比例，則進行步驟3；若不需要繼續設定關鍵虛擬機的比例，則直接進行虛擬網映射。

步驟3 設定關鍵虛擬機比例。首先將租戶指定的關鍵虛擬機從虛擬機集合中去除，然后對剩余虛擬機按照CPU值的大小進行排序。租戶根據自身虛擬網中對虛擬機的安全需求，通過自定義的關鍵虛擬機比例接口對關鍵虛擬機的比例進行設定，則指定的虛擬機和比例范圍內的虛擬機均被標記為關鍵虛擬機，然后進行虛擬網映射。

4.2 關鍵虛擬機的動態遷移方法

1) 遷移策略

由式(1)知，要想保證虛擬機隱私信息的安全性，必須使虛擬機動態遷移的時間間隔數值Γ不能超過共存時間閾值Γ閾值，即

綜上所述，本文提出方法的遷移策略為：①有針對性地對虛擬機進行遷移。僅對帶有關鍵虛擬機標記的虛擬機進行遷移，減少動態遷移虛擬機的數量；② 最大化降低虛擬機遷移的頻率。以共存時間閾值Γ閾值作為虛擬機動態遷移的時間間隔，降低虛擬機動態遷移的頻率。

2) 重映射策略

關鍵虛擬機的動態遷移必將導致與之相關的虛擬鏈路的遷移，則對虛擬機進行重映射時必須同時滿足虛擬機和虛擬鏈路的重映射約束條件。該方法的映射策略為：① 滿足相關約束條件，進行虛擬機重映射時，需要滿足資源約束、唯一性約束、虛擬鏈路流約束等條件；② 最小化遷移開銷，以最小化遷移開銷作為重映射的目標函數，降低虛擬機遷移帶來的遷移開銷。

5 關鍵虛擬機的動態遷移模型

5.1 變量說明

5.2 約束條件

為了確保關鍵虛擬機的隱私信息不被攻擊者成功竊取，對不同虛擬網的虛擬機之間共享物理主機的時間進行約束，即虛擬機之間共存時間約束：虛擬網中的虛擬機和虛擬網中的虛擬機共存的時間間隔數量不能超過時間間隔數量閾值。

① 虛擬機之間共存時間約束

當不同虛擬網的虛擬機之間共存時間達到共存時間間隔閾值時，需要對其中一個虛擬機進行遷移。虛擬機的遷移必將導致與之相關的虛擬鏈路的遷移，因此對虛擬機進行重映射時需要同時滿足虛擬機重映射約束和虛擬鏈路重映射約束。

② 重映射資源約束

③ 重映射唯一性約束

④ 重映射流約束

式(4)和式(5)表示保證物理主機和物理鏈路的資源能夠滿足其承載上的虛擬機和虛擬鏈路的資源需求；式(6)表示一個虛擬機只能完整地映射到一個物理主機上，式(7)表示同一虛擬網的2個虛擬機不能映射到同一物理主機上；式(8)～式(10)表示虛擬鏈路重映射的流約束。

5.3 目標函數

為降低虛擬機遷移帶來的遷移開銷，本文將最小化遷移開銷作為重映射的目標函數。

遷移開銷等于虛擬機遷移過程中虛擬機和虛擬鏈路的遷移開銷之和。

5.4 評價指標

為了比較不同防御方法對側信道攻擊的防御效果，本文定義了風險虛擬機和風險系數作為衡量防御側信道攻擊效果的指標，從而對防御側信道攻擊的效果有一個定量的評估。

由式(1)知，若要成功防御側信道攻擊，保證虛擬機中隱私信息的安全，虛擬機之間共存的時間不能超過共存時間閾值，否則虛擬機中的隱私信息有被惡意攻擊者成功竊取的風險。若超過共存時間閾值的虛擬機數量越多，則該網絡環境中虛擬機的隱私信息被成功竊取的風險越大，虛擬機內信息的安全性越低。

定義1 風險虛擬機

定義2 風險系數

風險虛擬機的數量占總關鍵虛擬機數量的比例，即為風險系數。

由式(12)和式(13)可知，風險系數ρ的值可以直接反映防御側信道攻擊的效果。風險系數ρ越大，則網絡環境中的風險虛擬機數量越多，即存在側信道攻擊風險的虛擬機數量越多，因此網絡環境的安全狀況越差，防御側信道攻擊的效果越差。同理，風險系數ρ越小，防御側信道攻擊的效果越好。

6 關鍵虛擬機動態遷移算法

本文以式(3)～式(10)為約束條件，以最小化遷移開銷作為重映射目標函數，設計關鍵虛擬機動態遷移算法，具體算法流程如圖4所示。

1) 判斷物理主機上是否映射有2個及以上不同虛擬網的虛擬機，若有，則進行步驟2)；否則進行步驟7)。

2) 判斷映射的虛擬機中是否含有關鍵虛擬機，若無，則進行步驟7)，否則進行步驟3)。

3) 判斷不同虛擬網的虛擬機之間的共存時間是否達到共存時間閾值，若達到，則進行步驟4)，否則進行步驟7)。

4) 首先將達到共存時間閾值的2個虛擬機的計數器都歸0，然后對含有關鍵虛擬機標記的虛擬機進行遷移，若都屬于關鍵虛擬機，則選取CPU值小的虛擬機進行遷移，以減小虛擬機遷移對整個網絡的影響，進行步驟5)。

5) 搜索同時滿足虛擬機和虛擬鏈路重映射約束條件的物理主機，將滿足條件的物理主機放入集合中，進行步驟6)。

7) 是否遍歷完數據中心網絡中的所有物理主機，若是，則該周期內虛擬機遷移完成；否則，對下一個物理主機進行檢查，進行步驟1)。

7 仿真實驗

7.1 實驗設置

圖4 關鍵虛擬機動態遷移算法

本文實驗在Intel Core i7-4790 CPU 3.6 GHz，4 GB RAM的主機上進行，采用GT-ITM工具生成虛擬網絡及數據中心網絡拓撲，關鍵虛擬機動態遷移算法采用C++語言編程實現，并利用Matlab工具對實驗結果進行分析。底層網絡設置為100個物理節點，347條鏈路組成。底層物理主機CPU資源和鏈路的帶寬資源符合[50, 100]的均勻分布。VN中虛擬機的數目服從[5,10]的均勻分布，虛擬機之間的連接概率為0.5，虛擬機和虛擬鏈路所需資源分別服從[5,20]和[5,15]的均勻分布，每100個時間單元平均到達4個VN請求。VN請求的生命周期服從參數為4 000的指數分布。

本文對文獻[20]的虛擬機動態遷移方法和本文方法進行實驗對比。為了方便描述，將本文方法和文獻[20]方法分別用CVMM（critical virtual machines migrated）和VMM（virtual machines migrated）表示，其中VMM方法采取的是對全部虛擬機進行周期性的動態遷移。

7.2 實驗結果

本節實驗通過虛擬網絡映射成功率、遷移算法收斂時間、遷移開銷和側信道攻擊防御效果這4個方面，對CVMM方法和VMM方法進行性能對比分析。

1) 虛擬網絡映射成功率

圖5表示虛擬機的動態遷移分別用CVMM方法和VMM方法對虛擬網絡映射成功率的影響。從圖中可以看出，使用CVMM方法的虛擬網絡映射成功率要高于使用VMM方法的虛擬網絡映射成功率，而且關鍵虛擬機設定的比例越低，對虛擬網絡映射成功率的影響越小。該結果產生的原因有2個：① 虛擬機遷移后重映射會導致底層物理資源利用率出現一定程度上的下降，而且虛擬機遷移的數量越多，對底層物理資源的利用率的影響越大，則對虛擬網絡映射成功率的影響越大，而CVMM方法僅對帶有關鍵虛擬機標記的虛擬機進行動態遷移，減少了虛擬機動態遷移的數量，所以，CVMM方法比VMM方法對虛擬網絡映射成功率影響小，虛擬網絡映射成功率高；② CVMM方法在算法設計上考慮到虛擬機遷移和重映射時對底層物理資源的影響，所以能使底層物理資源相較于VMM算法能承載更多的虛擬網請求。因此，CVMM方法比VMM方法對虛擬網絡映射成功率的影響小。

圖5 虛擬網絡映射成功率

2) 遷移算法收斂時間

圖6描述了CVMM方法和VMM方法在遷移算法收斂時間方面的對比。本實驗將虛擬機遷移間隔周期數值設置為2 000個時間單元。一次完整的虛擬機遷移等于從檢查物理主機上的虛擬機之間的共存時間間隔開始到該次檢查中達到共存時間閾值的虛擬機全部重映射完成為止。當采用CVMM方法、關鍵虛擬機設定比例為20%時，虛擬機遷移算法的收斂時間平均為56個時間單元；當采用CVMM方法、關鍵虛擬機設定比例為40%時，虛擬機遷移算法的收斂時間平均為301個時間單元；當采用VMM方法時，虛擬機遷移算法的收斂時間平均為1 046個時間單元。顯然，相較于VMM方法，CVMM方法大大降低了虛擬機遷移算法的收斂時間。由于CVMM方法通過設定關鍵虛擬機的比例，根據虛擬機的安全需求，僅對關鍵虛擬機進行動態遷移，減少了虛擬機動態遷移的數量，因此大大降低了虛擬機遷移算法的收斂時間。

圖6 虛擬機遷移算法的收斂時間

3) 遷移開銷

圖7表示CVMM方法和VMM方法在遷移開銷總和方面的對比。遷移開銷等于虛擬機遷移過程中虛擬機和虛擬鏈路的遷移開銷之和。其中，虛擬機單位資源遷移開銷χ和虛擬鏈路的單位資源遷移開銷φ分別設置為3個單位開銷和1個單位開銷。從圖6中可以直觀地看出，使用VMM方法的虛擬機動態遷移開銷總和要遠遠大于CVVM，而且有較快的增長速度。從實驗數據中得到，當使用CVMM方法，關鍵虛擬機比例為20%時，每500個時間單元產生29個單位開銷；當使用CVMM方法，關鍵虛擬機比例為40%時，每500個時間單元產生76個單位開銷；當使用VMM方法時，每500個時間單元產生180個單位開銷。CVMM方法使遷移開銷降低的原因主要有2個：① 僅對有安全需求的關鍵虛擬機進行遷移，減少了虛擬機遷移的數量；② CVMM方法將最小化遷移開銷作為虛擬機遷移的目標函數，在進行虛擬機動態遷移過程中也一定程度上降低了遷移開銷。因此，使用CVMM方法可以大大減少虛擬機遷移帶來的遷移開銷。

圖7 虛擬機動態遷移開銷

4) 側信道攻擊防御效果

圖8表示CVMM方法和VMM方法在側信道攻擊防御效果方面的影響。其中，橫坐標表示在500個時間單元內，云服務提供商為虛擬機遷移所提供的開銷預算，縱坐標表示租戶隱私信息被成功竊取的風險系數。首先，根據實驗計算得到遷移一個虛擬機的平均遷移開銷為8.35個單位開銷，然后由圖6得到每500個時間單元內待遷虛擬機的數量，最后根據每500個時間單元內開銷預算的大小得到風險虛擬機的數量，從而得到風險虛擬機占總待遷虛擬機的比例，即風險系數ρ。因此，在開銷預算有限的情況下，單位時間需要的遷移開銷越少，能夠進行遷移的虛擬機數量越多，風險虛擬機的數量越少，風險系數ρ越小，側信道攻擊防御效果越好。例如，當云服務提供商每500單位時間提供的遷移開銷預算為20個單位開銷時，VMM方法的風險系數ρ為0.89；關鍵虛擬機比例為40%的CVMM方法的風險系數為0.74；關鍵虛擬機比例為20%的CVMM方法的風險系數為0.31，因此CVMM方法的側信道攻擊防御效果較好，且關鍵虛擬機比例越低，防御效果越好。另外，當風險系數ρ為0時，則表示采用的方法使所有的虛擬機都可以成功地防御側信道攻擊。當預算開銷等于或大于29時，關鍵虛擬機比例為20%的CVMM方法的風險虛擬機的比例達到0，即所有待遷的虛擬機都可以得到遷移，可以使所有虛擬機成功地防御側信道攻擊；當預算開銷等于或大于79時，關鍵虛擬機比例為40%的CVMM方法的風險虛擬機的比例達到0，可以使所有虛擬機成功地防御側信道攻擊；當預算開銷等于或大于180時，VMM方法的風險虛擬機的比例達到0，可以使所有虛擬機成功地防御側信道攻擊。因此，當單位時間內的開銷預算有限時，CVMM方法相較于VMM方法，可以使風險系數更小，能更加有效地防御側信道攻擊；當單位時間提供的開銷預算足夠大時，VMM和CVMM方法都可以使所有的虛擬機成功地防御側信道攻擊。

圖8 側信道攻擊防御效果

8 結束語

本文對云計算與數據中心環境下存在的側信道攻擊問題進行了描述，分析了當前防御側信道攻擊方法存在的不足，提出了一種面向多租戶的關鍵虛擬機動態遷移方法，以最小化遷移開銷為目標建立了關鍵虛擬機遷移模型，設計了關鍵虛擬機遷移算法，并進行仿真實驗。實驗結果表明，相較于現有基于虛擬機動態遷移的防御方法，該方法在有效防御側信道攻擊的前提下，能夠降低對虛擬網絡映射成功率的影響，大大降低虛擬機遷移算法的收斂時間，從而降低對網絡服務性能的影響，同時降低虛擬機遷移帶來的開銷。另外，在單位時間內提供的開銷預算有限的情況下，本文方法能夠更加有效地防御側信道攻擊。因此，本文方法更適用于大規模網絡場景。

[1] ZHANG Q, CHENG L, BOUTABA R. Cloud computing: state-ofthe-art and research challenges[J]. Journal of Internet Services and Applications, 2010, 1(1):7-18.

[2] BUTT S, SRIVASTAVA A, GANAPATHY V. Self-service cloud computing[C]//ACM Conference on Computer and Communications Security. 2015:253-264.

[3] JAIN R, PAUL S. Network virtualization and software defined networking for cloud computing: a survey[J]. IEEE Communications Magazine, 2013, 51(11):24-31.

[4] CHOWDHURY N M M K, BOUTABA R. Network virtualization: state of the art and research challenges[J]. IEEE Communications Magazine, 2009, 47(7):20-26.

[5] CHOWDHURY N M M K, BOUTABA R. A survey of network virtualization[J]. Computer Networks, 2010, 54(5): 862-876.

[6] FISCHER A, BOTERO J F, TILL B M, et al. Virtual network embedding: a survey[J]. IEEE Communications Surveys & Tutorials, 2013, 15(4):1888-1906.

[7] 余濤, 畢軍, 吳建平. 未來互聯網虛擬化研究[J]. 計算機研究與發展, 2015, 52(9):2069-2082.

YU T, BI J, WU J P, et al. Research on the virtualization of future internet[J]. Journal of Computer Research and Development, 2015, 52(9): 2069-2082.

[8] RISTENPART T, TROMER E, SHACHAM H, et al. Hey, you, get off of my cloud: exploring information leakage in third-party compute clouds[C]//ACM Conference on Computer and Communications Security, CCS 2009, Chicago, Illinois, USA, November. 2009: 199-212.

[9] GILLANI F, AL-SHAER E, LO S, et al. Agile virtualized infrastructure to proactively defend against cybe attacks[C]// 2015 IEEE Conference on Computer Communications. 2015:729-737.

[10] 張玉清, 王曉菲, 劉雪峰, 等. 云計算環境安全綜述[J]. 軟件學報, 2016, 27(6):1328-1348.

ZHANGY Y Q, WANG X F, LIU X F, et al. Survey on cloud computing security[J]. Journal of Software, 2016, 27(6): 1328- 1348.

[11] WU Z, XU Z, WANG H. Whispers in the Hyper-space: high-speed covert channel attacks in the cloud[C]//USENIX Security symposium. 2012: 159-173.

[12] IRAZOQUI G, EISENBARTH T, SUNAR B. S$A: a shared cache attack that works across cores and defies VM sandboxing-and its application to AES[C]//IEEE Symposium on Security & Privacy. 2015:591-604.

[13] ZHANG Y, LI M, BAI K, et al. Incentive compatible moving target defense against vm-colocation attacks in clouds[C]//IFIP International Information Security Conference. 2012: 388-399.

[14] LI P, GAO D, REITER M K. Stopwatch: a cloud architecture for timing channel mitigation[J]. ACM Transactions on Information and System Security (TISSEC), 2014, 17(2): 1-28.

[15] ZHANG Y, REITER M K. Düppel: retrofitting commodity operating systems to mitigate cache side channels in the cloud[C]//ACM Sigsac Conference on Computer & Communications Security. 2013: 827-838.

[16] PATTUK E, KANTARCIOGLU M, LIN Z, et al. Preventing cryptographic key leakage in cloud virtual machines[C]//The 23rd USENIX Security Symposium (USENIX Security 14). 2014: 703-718.

[17] GILLANI F, AL-SHAER E, LO S, et al. Agile virtualized infrastructure to proactively defend against cyber attacks[C]//Computer Communications. 2015:729-737.

[18] WANG Y, CHAU P, CHEN F. A framework for security-aware virtual network embedding[C]//2015 24th International Conference on Computer Communication and Networks (ICCCN). 2015: 1-7.

[19] HAN Y, ALPCAN T, CHAN J, et al. Security games for virtual machine allocation in cloud computing[C]//International Conference on Decision and Game Theory for Security. 2013:99-118.

[20] MOON S J, SEKAR V, REITER M K. Nomad: mitigating arbitrary cloud side channels via provider-assisted migration[C]//The 22nd ACM SIGSAC Conference on Computer and Communications Security. 2015: 1595-1606.

[21] LIU F, YAROM Y, GE Q, et al. Last-level cache side-channel attacks are practical[C]// 2015 IEEE Symposium on Security and Privacy (SP). 2015: 605-622.

[22] SUZAKI K, IIJIMA K, YAGI T, et al. Memory deduplication as a threat to the guest OS[C]//The Fourth European Workshop on System Security. 2011: 1-6.

[23] OWENS R, WANG W. Non-interactive OS fingerprinting through memory de-duplication technique in virtual machines[C]// 2011 IEEE 30th International Performance Computing and Communications Conference (IPCCC). 2011: 1-8.

Research on dynamic migration of critical virtual machines for multi-tenancy

ZHAO Shuo1, JI Xin-sheng1, CHENG Guo-zhen1, MAO Yu-xing2

(1. National Digital Switching System Engineering and Technological Research Center, Zhengzhou 450002,China; 2. Command Information System Institute, PLA University of Science and Technology, Nanjing 210007, China)

A dynamic migration method of critical virtual machines for multi-tenancy was proposed. Firstly, the tenants can set ratio of critical virtual machines according to tenant's security requirements, then the dynamic migration frequency of virtual machines were maximized by the coexistence time constraints between virtual machines, finally the migration cost was minimized as an object function for the virtual machines migrated to further reduce the migration cost. Simulation experiments demonstrate that the proposed approach can reduce the impact on the performance of network services and the cost of virtual machines migration, and is more suitable for large-scale network scenarios under the premise of effective defense side-channel attacks.

side-channel attacks, critical virtual machines, dynamic migration, migration algorithm, migration cost

s: The Foundation for Innovative Research Groups of the National Natural Science Foundation of China (No.61521003), The Emerging Direction Nurturing Foundation in Information Engineering University(No.2016610708), The National Key R&D Program of China (No.2016YFB0800100, No.2016YFB0800101), The Science and Technology Research Project of Henan Province (No.172102210615), The National Science Foundation for Distinguished Young Scholars of China (No.61602509)

TP302

A

10.11959/j.issn.2096-109x.2017.00191

趙碩（1993-），男，河南安陽人，國家數字交換系統工程技術中心碩士生，主要研究方向為虛擬網安全、軟件定義網絡。

季新生（1968-），男，江蘇南通人，國家數字交換系統工程技術中心教授、博士生導師，主要研究方向為網絡空間安全、擬態安全。

程國振（1986-），男，山東定陶人，國家數字交換系統工程技術中心助理研究員，主要研究方向為網絡空間安全、軟件定義網絡。

毛宇星（1989-），男，河北唐山人，解放軍理工大學博士生，主要研究方向為網絡空間安全、軟件定義網絡。

2017-06-25；

2017-08-03。通信作者：趙碩，zshuo2016@126.com

國家自然科學基金創新研究群體基金資助項目（No.61521003）；信息工程大學新興方向培育基金資助項目（No.2016610708）；國家重點研發計劃項目（No.2016YFB0800100, No.2016YFB0800101）；河南省科技攻關計劃項目（No.172102210615）；國家自然科學基金資助項目（No.61602509）