网络虚拟终端

网络虚拟终端（共7篇）

网络虚拟终端 篇1

1 引言

随着通信技术的高速发展, 无线泛在网络 (WirelessUbiquitous Networking) 的应用越来越受到业内人士的关注。无线泛在网络是物联网、电信网、无线局域网、专网等多种网络的融合, 各种网络中终端设备之间的通信对无线泛在网络提出了新的要求, 虚拟终端技术因此应运而生。

虚拟终端技术是指在无线泛在网络环境下, 通过通信协议将不同网络中的各种终端设备进行融合, 形成一个虚拟的超级终端, 为用户提供更加便利的服务。系统的架构、通信协议及机制是虚拟终端需要解决的关键技术。

2 无线泛在网络下虚拟终端技术存在的问题

2.1 系统架构方式不完善

系统架构是指无线泛在网络下不同网络之间或者是网络语终端之间的连接关系。对系统终端进行合理架构, 能够实现不同网络中的终端设备功能互补, 达到资源的最大整合, 为用户提供更优质的服务。目前虚拟终端采用的架构一般有基于中间服务器的、基于网关互联的、以及基于第三方平台的三种, 三种架构方式各有优点, 但都存在不足之处, 如表1所示。

基于中间服务器的系统架构是指在虚拟终端物理层和应用层之间建立中间服务器, 完成应用层与虚拟终端之间的通信。这种架构的缺点是:中间服务器一旦遭到破坏或者黑客攻击, 系统立马会瘫痪, 虚拟终端之间的数据传输就会出现问题。

基于网关互联网的系统架构是指无线泛在网络下的各个不同网络通过网关连接在一起, 终端之间通过各自的网络归属实现通信。这种架构的缺点是:各个终端的数据发送和接收都要经过网关, 数据量大的时候容易造成数据的堵塞, 情况严重的时候甚至会导致系统的瘫痪。

基于第三方平台的系统架构是指利用第三方平台进行信息处理, 同时也负责终端设备之间的管理, 用户不需要直接操作终端设备, 而是在网上通过登录账号的方式完成服务要求。这种架构的缺点是:用户的安全性较低, 因为用户的注册登录资料和传输数据都是通过互联网完成的, 容易受到攻击而导致资料的泄密。

2.2 通信协议和机制有待进一步完善

无线泛在网络下, 不同网络中的终端设备之间要实现通信, 通信协议和机制是至关重要的。目前, 通信协议和机制采用最多的是蓝牙标准, 除此之外其他短距离无线技术也被用于虚拟终端系统中, 例如Zigbee等。协议之间的不关联导致数据传输的效率不高, 新的标准的建立迫在眉睫, 成为无线泛在网络发展的瓶颈。

2.3 资源策略有待优化

虚拟终端的目的是要实现不同网络之间各种终端的架构, 终端的不固定性导致了资源策略的重要性。目前资源优化策略一般采用动态频谱分配、联合资源管理、以及博弈论算法等。

动态频谱分配是根据不同的网络的时刻不同, 对频谱利用情况的差异性进行分析, 对空闲频谱进行动态分配。联合资源策略是指在用户在发起呼叫或进行通信时, 联合各种无线资源, 采用多输入决策算法来分配接入网络。博弈论算法是采用数学建模的方式, 给出最优化输出的方法。

这三种方法以各自不同的方式, 从不同的侧面实现了资源策略的优化。而虚拟终端系统旨在多种网络资源的整合协同, 因此以上三种方法都有一定的局限性。

3 无线泛在网络下虚拟终端技术解决方案

3.1 分层协同方式的系统逻辑架构

虚拟终端系统架构是实现网络互联和设备终端通信的必备条件, 因此, 构建合理的虚拟终端系统架构是至关重要的。由于无线泛在网络环境下的虚拟终端系统是面向用户层、业务层、网络层和终端层, 因此可以采用分层协同的方式来构建虚拟终端系统架构。

3.1.1 用户层

用户层的作用是虚拟终端系统根据用户提出的业务要求, 做出最优策略, 给用户提供最佳服务。用户的性质不一样, 决定了虚拟服务终端系统提供的服务也不一样, 虚拟服务终端系统根据单用户的喜好, 为用户提供最优质的服务, 对于多用户而言, 则还要考虑安全性和费用等问题。用户的需求也给虚拟终端系统提出了要求, 需求一般分为显现需求和潜在需求, 用户直接主动提出的业务需求称为显现需求, 对于用户的潜在需求是虚拟终端系统对用户的业务请求进行分析, 给用户推送可能需要的服务, 用户可以选择接受, 也可以选择拒绝。

3.1.2 业务层

业务层位于用户层和网络层之间, 处理业务的感知和实现, 具体包括环境的感知、信息的存储、信息的融合、决策分析等。环境感知由环境感知服务器完成, 虚拟终端系统通过收集数据、分析用户的环境, 服务于业务层的决策。

3.1.3 网络层

网络层包含环境感知、网络的安全、用户注册登录、资源的管理等。网络层的环境感知有别于业务层, 主要是收集当前网络的信息。资源管理包括用户环境的感知、场景切换、数据的分配传输等。

3.1.4 终端层

终端层包含环境感知、设备感知、设备资源的管理等。终端层的环境感知与业务层、网络层的环境感知一起为用户层提供数据来源, 供用户层决策。设备资源管理是虚拟终端设备根据需求, 对资源进行分配和管理。

3.2 虚拟终端系统设备蓝牙感知机制

为了给用户提供最佳服务, 虚拟终端之间的相互感知、数据通信是十分重要的, 因此, 设备感知也是虚拟终端系统不可或缺的。蓝牙技术虽然在数据传输速度、组网算法、以及组网方式存在一定的局限性, 但是如果能在现有基础上进行改进, 也能满足虚拟终端系统的需求。

3.2.1 设备连接延时进行优化

采用退避算法在一定程度上能够减小设备感知、连接产生的延时。最常见的退避算法包含指数退避算法、多项式退避算法、以及线性退避算法, 退避算法通过随机向后延时的策略来减小延时。

3.2.2 设备组网算法改进

目前蓝牙 针对组网 的算法有Bluetrees、BFS等算法, 这些算法各有千秋, 但存在可靠性不高、不稳定等问题。基于此, 可以采用一种改进的BTCP算法, 有效地解决以上问题。

3.2.3 动态拓扑的设备感知策略

无线泛在网络下, 各个终端设备与所属网络进行通信, 期间可能由于设备的跨网移动等原因造成数据的不稳定。因此, 采用动态拓扑的方式解决此类问题。从终端设备的进入、到设备的离开, 通过建立节点的形式建立散射网。

3.3 业务多流并发的资源优化

无线泛在网络中存在的不同网络类型, 各种网络的带宽等也各不一样, 为了满足用户的业务需求, 需要进行网络融合、终端通信协作。通常的做法是将用户业务分解成若干个子任务流、通过不同的网络进行传送, 然后在不同的终端获取信息后在某一个终端进行数据的整合, 因此设计合理的业务分流策略是至关重要的。

3.3.1 建立多流并发的优化模型。

因为虚拟终端处于无线泛在网络的不同网络环境中, 不同网络的覆盖范围可能出现重叠, 因此在核心网设置服务器, 对用户业务需求进行分流, 然后将分流后的子任务流接入不同的网络, 每个网络中都设有资源分配器和资源计数器, 具备信息分配能力。

3.3.2 构建联合优化模型 。

无线泛在网络中不一样的网络的负载承受能力不一样, 在业务进行多流并发分配时, 需要根据终端的情况进行合理的调用, 既要满足用户业务的需求, 又要满足终端的数量限制, 建立联合优化模型。

3.3.3 优化分配策略 。

模型建立后, 对模型进行求解优化时, 将模型分解成业务分流和功率分配两个问题。首先固定功率, 对优化模型进行简化后再求解业务分流, 然后选择最佳的功率分配方案, 最后得到最优的分配策略。

4 结束语

终端技术是无线泛在网络中一项很有前景意义的技术, 随着无线泛在网络的普及, 终端技术越来越受到人们的关注, 虚拟终端技术在无线泛在网络中的应用也越来越广泛, 其关键技术有待业内人士进行更深入的研究。

参考文献

[1]Goutam Chakraborty, Kshirasagar Naik, Debasish Chakraborty, Norio Shiratori, David Wei.Analysis of the Bluetooth device discovery protocol[J].Wireless Networks.2010 (2) .

[2]赵远林.无线泛在网络下虚拟终端系统若干关键技术研究[D].南京邮电大学.2013.

[3]周皓.泛在环境下虚拟终端系统的组织机制研究与实现[D].南京邮电大学.2012.

[4]郭少勇, 芮兰兰, 邱雪松, 孟洛明.面向业务的多终端动态协同构造机制[J].电子与信息学报.2012 (07) .

[5]何方.无线泛在环境下的接入网选择和切换方法研究[D].西安电子科技大学.2012.

[6]魏文文.群移动场景下的移动性模型的研究[D].南京邮电大学.2013.

[7]李一山.异构无线网络环境中网络选择与资源分配方法研究[D].北京邮电大学.2011.

可移动的虚拟桌面:无线云终端 篇2

在威睿(VMWare)针对x86的机器实现了操作系统的虚拟化后,因“一个物理机可同时运行多个操作系统”,机房里的服务器使用率大为提升。然而在终端PC前的用户,是否也可以取得虚机?于是有关虚拟桌面的想法应运而生。这个想法涉及机房里的多个虚机如何经过适度的管理将PC虚机的桌面实现在用户终端,因而是整个基础设施的架构,称为虚拟桌面基础设施VDI(Virtual Desktop Infrastructure)。在云计算红火的今天,一个很合理的问题是:云里的资源如何让用户使用?VDI就是从“端”操作“云”资源的手段之一:“端”透过适当的通信协议和足够的带宽来实现机房里“云”的资源使用。通信协议包括远程桌面协议RDP(传输桌面),以及SPICE协议(传输桌面和视频)。

以上所述VDI,通常只在PC及固网里实现。然而,在中国,手机、平板电脑和上网本(以下统称移动终端)的未来增长比PC快得多,是否VDI的虚拟桌面想法也可以透过3G移动网实现在移动终端上?在本研究报告中,我们把移动的VDI称为虚拟移动基础设施VMI(Virtual Mobile Infrastructure)。当然,VMI也是“端”使用“云”资源的手段之一。我们研究如何将Android和WinMobile 的手机操作系统桌面,传输到移动终端。

VMI与两方面的操作系统有关:(1) 服务器上的虚机操作系统。与VDI不同的是,手机的操作系统并不像PC机那样,被Windows的用户占了95%以上。当前较为流行的手机操作系统有:Android、Symbian、WinMobile和iPhone。 另外Win7、Android和Chrome的上网本也被看好。本研究仅包含两个代表性的手机操作系统Android、WinMobile6.0和PC的操作系统;(2) 移动终端上的操作系统。如果在机房里运行手机虚机及其应用,那么用户的移动终端即使品牌不同,只要安装适当的远程桌面协议客户端,都能接收到同一手机操作系统的桌面,甚至PC的桌面(当然PC的屏幕太大,有适配手机屏幕的问题,但使用手指滚动屏幕的技术能缓解这一问题)。这样“跨移动终端平台”的VMI产品优势也许能为移动电信、销售机构、甚至学校所接受,因为这些机构的用户的移动终端(尤其是手机)的品牌很难统一。此外,手机应用开发商也因此不必做跨平台的开发。

1 VMI的需求

以上只是略述VMI的背景,但其详细的需求如下:

手机虚机的制作 如果要得到手机虚机的屏幕,首先当然必须在机房里的x86服务器上创建手机虚机。这有两种情况:一是有的手机操作系统能够直接运行在x86的平台上,譬如谷歌的Android;另一种情况则是(大部分的)手机操作系统只能在ARM的芯片上运行,因而ARM指令必须要经过翻译才能在x86 的服务器上运行。所以基本上,这是两个不同的管理程序(Hypervisors)。

手机虚机的管理 类似于VDI的管理,用户必先通过连接代理取得虚机的IP地址和端口号,然后才能进行桌面的传输。在取得虚机时,VMI的管理器必然有适宜的机制,使得手机虚机对某个用户可以是静态永不变的,或动态地按照某种规律选取的。管理员必须能够透过管理界面,为用户创建、克隆、启动、停止、删除虚机。(停止虚机是一般手机操作系统并不具备的功能。)同时要兼顾更有效率的管理和启动虚机,因为手机虚机并不像PC虚机的镜像那么大,所以载入时间较快。

远程移动桌面协议 常见的远程桌面协议有VNC、RDP以及SPICE(以下统称移动终端协议MTP)。通过MTP,可以完成移动终端与虚机之间的“互动”:即虚机屏幕传到移动终端,而键盘和鼠标的动作则从移动终端传到虚机。必须选取三种协议之一或创建新的协议来完成互动。无论使用何种协议方法,移动终端协议有其服务器端和客户端。移动终端协议的服务器可以运行在Hypervisor之上(如SPICE和VNC)或虚机内部(如RDP)。至于移动终端协议的客户端,是运行在移动终端的操作系统上。由于手机品牌甚多,凡是较为通俗的智能手机或上网本的协议客户端,都必须支持。

无缝桌面 “无缝”是指客户端在连接虚机后,接收到的第一个桌面是客户选定的某应用的全屏桌面。如果没有选定的应用,默认的桌面就是操作系统桌面。

PC桌面传输到手机以及PC应用点播 移动终端如手机或上网本,不仅可以与手机虚机互动,还可以与PC虚机互动, 或与运行在虚机上的应用互动。

内网连接的扩容(Scalability of local-net VMI) 当大量的用户有桌面要求,系统在虚机能支持的虚机数量上以及用户响应、用户体验上必须保证没有问题。

外网3G连接扩容(Scalability of wide-area VMI) 机房里服务器的虚机桌面,利用3G载体的传输与移动终端互动。经由外网进入内网,通常有一个类似路由的接入过程。即使扩容测试已可在内网处理大批量用户的问题,但从外网的移动终端经由移动电信的3G移动网关、骨干网、一直到通过防火墙、接入内网到机房服务器的过程,如有瓶颈,必须消除,以支撑大数量的并发。

2VMI管理软件以及QVisor平台的研制过程

2.1 国内外Hypervisor技术调研

早期Hypervisor的研究 因为VMI的主要舞台是数据中心,而为了将ARM OS运行在全是x86核的数据中心里,有必要引用仿真器QEMU。较早的x86虚拟化研究包括:2000年华盛顿大学的Denali使用微内核技术的研究项目[2], 威睿的全虚拟化,Xen的半虚拟化[18],微软Hyper-V的半虚拟化[21,22],此外还有IBM的预虚拟化[4]以及红帽的Qumranet[11,15,19]KVM方法。自从2006以来,已有一些在ARM核上运行的虚机研究。例如伊利诺大学的研究就集中在ARM硬件上的Hypervisor[7,8,9,10],而不是用AMR的仿真器。Xen 3.3使用了V2E方法[20]:除了一个很薄的域0和其它客户域之外,在一个迷你OS上运行仿真器QEMU。这个QEMU仅是为了VM运行时需要进行一些特殊的应用例如安全检测,启发了我们的想法:将全部的客户OS都运行在QEMU上。

嵌入式Xen 这个方法起初是将Xen的源码移植到ARM指令。其次将此嵌入式Xen的硬件驱动虚拟化。有一些大学的研究是属于这方面的:文献[3]就是把 Xen 1.0 代码移植为ARM 指令,但MMU方面的工作并未完成。文献[5,6]移植了一个Choices Hypervisor到ARM芯片上并将ARM指令扩充以便在QEMU仿真器内使用类似英特尔的 VT技术 [17]。

基于QEMU的优化移动Hypervisor 文献[12,13]为多种芯片(SPARC、 ARM等)做了仿真工作,运行在Linux微内核 L4[14]上。他们做了下列优化: (1) 功能级别的指令块处理; (2) 用自己的内存管理方法,取代QEMU 软件 MMU;(3)L4 微内核是一个代码行数很少的内核,性能极佳。文献[12,13]的优化方法散布在三个层面:(1) 微内核 L4; (2) QEMU;(3) 客户OS。比起嵌入式Xen方法集中在一个Hypervisor内, 该方法似乎更为有效。但由于每个客户OS都需要将一个仿真器QEMU载入内存,消耗掉不少内存,于是能支持的虚机个数比起嵌入式Xen就少很多。如果QEMU 可被共享,那就更佳。不过,共享QEMU是Xen 3.3的V2E用在PC虚机上的方法,只不过Xen 3.3用了自己的Xen 任务调度器和 MMU, 而文献[12,13]的方法则是用了L4的改进的任务调度器和MMU。此外,文献[12,13]的方法还欠缺了一个服务器来管理虚机,以方便测试,并需要提供API与诸如VDI或VMI的应用相接。

至今国内外尚未有任何类似VMI的产品,主要是因为手机操作系统的虚拟化技术,大多数公司(例如澳大利亚的Open Kernel Lab、被RedBend收购的Virtualogic、以及威睿)将之用在客户端,而不是服务器。我们参考上述的研究,根据自己的创见,提出了在服务器上建立一个移动的Hypervisor的想法,称之为QVisor。至于多客户分派手机虚机,建立对话期,控管虚机池的机制,则是参考VDI的管理软件而得的设计。

2.2 移动虚拟化VMI软件的原理

移动虚拟化要建立的系统是基于一个事实:手机虚机能运行在x86服务器上。既然大部分的手机虚机仅能在ARM芯片上运行,手机虚机必须要先在ARM→x86的仿真器上运行,而该仿真器又能在x86的服务器上运行。

图1显示仿真器和x86的主机操作系统之间还有一个Hypervisor层。Hypervisor的功能是启动仿真器,优化内存的使用,并与虚机管理器对接,传达手机虚机的启动、克隆、结束、性能回报等指令。手机虚机和PC虚机最大的不同处在于它本身通常没有“结束”这一功能,必须另外设定;而且手机操作系统也欠缺硬盘功能,但可以通过闪存卡驱动接入。我们的解决方案将Hypervisor称为QVisor平台,集合了上述功能。

虚机管理器不止是通过应用接口传递VMI管理软件的指令和回应,也调节各虚机之间的资源使用情况。此外,虚机管理器可以单独运行成为软件服务器,不一定要和运行手机虚机的x86 主机共存。这是因为虚机管理器不但可以管多台主机上的虚机,还能处理主机集群的问题。我们的解决方案将虚机管理器称为QServer。

图1也显示透过软件交换机,不单移动网上的手机和上网本可透过和VMI的应用服务器接入QVisor平台,任何固网上的PC、瘦终端、感应器或离线VDI的终端也可以取得手机虚机(例如Android)的桌面。此外,手机和上网本也可以接入VDI的应用服务器。也就是说,这些移动终端也可使用PC虚机的资源。

VMI应用服务器上运行的是VMI的管理软件。有两个重要的功能,一是连接代理,其次是虚机池的管理。连接代理是在接到用户的接入请求后,完成身份验证、创建Session、并向虚机池管理器请求分派手机虚机。当得到虚机之后,把虚机网址、端口号传给用户。这样用户的远程传输协议(RDP、 SPICE、 VNC等)客户端就可直接与协议的服务器传送手机屏幕。连接代理能使用“无缝屏幕”的技术,让用户收到的第一个屏幕,就是订阅的虚机应用屏(第一个屏也可以设置为操作系统桌面)。这是考虑到如果合作对象是移动电信公司,其用户可以订阅该公司提供的不同“应用套餐”。虚机池管理器负责按照虚机的模板制作手机虚机,并按池的策略预先克隆足够的虚机,以应付大规模的手机用户请求。以上的功能与VDI的管理软件大致相同,不同的是手机虚机的启动要比PC快得多,简化了池中预留虚机的延迟考虑。我们的解决方案将VMI应用服务器称为TranVMI。

2.3 完成移动虚拟化的初步研究开发

移动虚拟化的初步研究开发,经历了三个阶段。

首先,我们按照TranVMI的设计,开发出手机从(1) 威睿的ESX平台,或(2) VMI基础平台QVisor接收到“无缝PC屏幕或手机屏幕”的技术。

其次,在为优化虚机内存使用情形下,我们开发出类似TranVDI的虚机管理器QServer(运软公司的VDI产品),成为VMI的QServer。因而虚拟机得以被更好的管理,譬如虚机上的代理可经由QServer传达心跳和虚机性能的信息,这样有利于调适。

最后,我们分别对微软和谷歌的手机操作系统进行了改良,将WinMobile成功运行在QVisor上。另外,我们也成功地将谷歌x86版的Android操作系统直接运行在x86 的服务器上,并使用VDI的QServer经过TranVMI与手机相连,但此方法效果不如QVisor。

2.4 完成跨手机平台的应用管理

以下为完成跨手机平台的应用管理的几个实施案例:

(1) TranVMI管理软件 + Android,直接运行在x86平台

TranVMI后台为Android x86版在Dell服务器上运行,我们使用了将Linux KVM改良的TranVMM Hypervisor,并经过TranVDI的QServer来管理。前端为WinMobile手机或上网本(已完成测试,见第3节的内网扩容测试结果)。

(2) TranVMI管理软件 + Android,运行在QVisor平台

在QVisor平台上运行,并经过TranVMI的QServer来管理虚机。前端为Android手机、iPhone手机或iPad上网本(与联通进行合作)。

(3) TranVMI管理软件 + WinMobile,运行在QVisor平台

TranVMI具备无缝传屏技术和应用管理的实施,后台为WinMobile虚机。TranVMI也连接后台为PC虚机在TVM 4.0平台上运行,并经过TVM 4.0的VM Manager。未来计划将前端扩展到:Android手机、iPhone手机、WinMobile手机、Nokia手机、其他主流Windows上网本或iPad上网本。

2.5 基于智能传屏技术开发手机虚拟化服务器

(1) SPICE协议

SPICE协议服务集成(虽然在手机上尚未完成移植SPICE,但第5节的VDI SPICE测试结果仍具有参考价值),例如:传虚机屏能力;传视频能力。

(2) 其它智能传屏协议

未来从修改VNC协议到建立运软自己的智能传屏协议,例如:虚机屏幕及视频传输;大规模并行会话和(应用+OS)镜像的双向同步,为客户端虚拟化作准备。

2.6 在移动运营商示范应用

首先测试TranVMI的手机或上网本,经过联通的3G上网卡,使用联通的移动3G网络在大规模扩容环境中的实际成果(部分为模拟客户端, 且中间经过RAS的外、内网地址翻译,结果见3.2节的VMI无线测试结果)。

未来与联通的合作还应包含兼容TMN标准的OSS体系,为用户供应自我服务的Web体系,和为系统管理员供应的集中式系统管理Web系统,在物理设备层面、网络层面以及其中运营的业务层面来保证企业级云计算基础设施的生产、供应、监视、部署和运营。

3VMI内网扩容测试、VMI 3G无线测试及VDI/SPICE参考测试

3.1 VMI内网扩容测试

(1) 测试指标

VMI扩容测试的技术指标为:

● 主机容量 一台物理机上运行至少100个手机虚机;

● 主机集群量 至少4台主机在集群里;

● 稳定性 主机至少不间断运行一星期。

(2) 性能测试场景

TranVMI的测试是400个用户访问400台Android虚机,后台有4个物理服务器(非集群)的情况。测试时必须使用运软模拟多VMI用户的测试工具,其中50个用户是实施在10个测试用Windows虚拟机上(每个虚机运行5个用户,可见Android屏幕),其余350个用户是借助测试工具来模拟(可在管理界面看见350个Android虚机被连接,但由于测试环境的限制,这些Android虚机的屏幕不可见)。连续运行一星期。

(3) 功能测试场景

VMI的功能包含:(1) QVisor基础平台的功能(目前没有曝露的界面可测); (2) TranVMI管理软件的功能:除了模板、虚机、虚机池的管理界面可供测试外,还具有“无缝屏幕”的功能,让用户收到的第一个屏幕,就是订阅的虚机应用屏(当然第一个屏也可以设置为操作系统桌面)。譬如中国联通的用户,可以订阅电信公司提供的不同“应用套餐”。另外,支持将PC的应用屏幕传到手机上。针对本项目大规模的扩容测试,无缝屏幕和应用套餐暂时不用。所有可见的屏幕都是Android操作系统桌面屏幕。

(4) 测试结果

首先,400个用户的性能测试完全符合上述指标。运行一星期,VMI系统也相当稳定(有一周的稳定测试日志可供查询)。其次,我们发现比较PC虚机在同样32GB内存Dell服务器上运行的数目,VMI可以运行大约4～8倍数目的手机虚机。如果手机虚机没有重型应用,这样的一台Dell服务器可以运行大约150个Android虚机。至于用户请求的响应时间,测试结果如表1所示。

表1第一行是测试客户向TranVMI发400个虚机请求,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、错误百分比。这个测试做了两次,共800个请求。由此可知,在800个请求中,大部分的用户在3到4秒中就看到Android的第一屏,90%的用户在5秒内就看到,有的用户立即看到,只有极少数等了9秒才看到。

表1第二行是测试客户向TranVMI发400个登录通知,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共800个通知。由此可知,大部分的登录所需时间不到1秒,90%的通知在2秒内完成,最慢不超过3秒。

表1第三行是测试客户向TranVMI发400个断开虚机指令,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共800个断开指令。由此可知,用户停用虚机的指令,是立即见效的。

功能测试与性能测试经过了上海市计算机软件评测重点实验室验证[23]。VMI产品经此认证,75项功能100%通过,符合国家标准GB/T16260.2-2006《软件工程 产品质量 第2部分:外部度量 》,和国家标准GB/T17544-1998《信息技术 软件包 质量要求和测试》(相当于国际标准ISO9126)。

3.2 VMI无线3G测试

(1) 测试场景

单台上网本运行单VNC客户端/单个虚机测试无网络地址翻译。

经由上网本上所插的3G上网卡,通过运软外网开口,连接TranVMI,取得固定(也就是把单个虚机的IP固定成为外网地址)Android虚机屏显现在上网本上。

多台上网本每台运行多VNC客户端并发测试。

安装RAS(remote access server)以实现内、外网地址翻译。RAS必须安装在物理机上,有数个高速网卡。该物理服务器运行在高速通讯环境的机房。

修改TranVMI使能从RAS取得内网Android虚机地址。(见图2:VMI与3G网络的测试环境)

单台上网本运行两个VNC客户端,利用WCDMA华为/联通上网卡(下行7.2Mbps,上行5.76Mbps),通过RAS/TranVMI分别取得Android屏。

三台上网本每台运行10个VNC客户端并发,通过RAS/TranVMI分别取得共30个虚机的Android屏。

(2) 测试结果

表2第一行是测试客户向TranVMI发30个虚机请求,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个请求。由此可知,在60个请求中,大部分的用户在11到12秒中就看到Android的第一屏,90%的用户在23.4秒以内必然看到,有的用户立即看到,只有极少数等了23.5秒以后才看到。有一个请求发生错误。

表2第二行是测试客户向TranVMI发30个登录通知,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个通知。由此可知,大部分的登录所需时间不到1秒,90%的通知在5秒内完成,最慢不超过12秒。

表2第三行是测试客户向TranVMI发30个断开虚机指令,其所得的响应时间(以毫秒计)的平均值、中间值、90%值、最大值、最小值、吞吐量、使用带宽。这个测试做了两次,共60个断开指令。由此可知,用户停用虚机的指令,平均花了1.7秒,最慢的花了11秒。

3.3 VDI SPICE内网视频参考测试

虽然我们并没有用手机虚机测试SPICE的传输协议,但以下的VDI测试,应该理解为图1的VDI第三方产品使用Windows PC虚机运行影音风暴,经SPICE将电影传输给上网本的移动终端。因此也可为参考。

(1) 测试场景

● 使用SPICE远程连接5-20台虚机同时做视频电影rmvb文件操作:虚机分辨率为1024×768;暴风影音打开rmvb文件(HDTVrip.624X352,166M);全屏观看该电影30分钟左右;

● 千兆网络下,主机有3个千兆网卡,终端百兆网卡。

监控主机上bond(即Linux三个网卡的绑定组合,与Bridge类似但能负载均衡)的输出流量。

(2) 测试结果

表3显示,当PC虚机数量达到15台同时播放该视频时,主机的CPU占用率已达到90%以上,且终端视频播放已有些延迟,认为当前已达到极限。

根据上两趋势图(图3和图4)看到IO 等待的百分率(iowait%)较低,而网卡输出流量也未达到峰值,可确定当前CPU能力为性能瓶颈。

3.4 VDI SPICE 3G音频参考测试

测试设置情况与图2类似,但是在3G网络环境下使用SPICE远程协议连接虚机做音频带宽统计。远程连接多台虚机(播放音频)场景下,根据情况的网络流量数据信息,为估算未来客户环境中不同终端数、不同的虚机使用方式下的网络带宽作参考。

(1) 测试环境

TVM host使用Dell R710, 配置Xeon E5520(2X4Core)CPU, 32 GB Memory, 3 TB SATA Disk,4 NIC(1 000 M)。配置虚机的虚拟网卡桥接在两块块物理网卡eth2、eth3上,eth0、eth1都绑(bond)在一起提供给SPICE连接。

3G 网络环境,终端是Windows的上网本或笔记本,使用WCDMA华为/联通3G上网卡拨号连接。

(2) 测试场景

● 使用Spice远程连接1-3台虚机同时做流媒体MP3文件操作:虚机分辨率为800×600;Windows Media Player最小化播放MP3;MP3播放一次;

● 监控Host上bond的输出流量。

(3) 测试结果

听取MP3文件时声音流畅,没有断续现象。流量统计如表4所示。

3.5 3G iphone切换手机虚机的测试

另外,我们测试了联通iPhone 3G手机在3G网络下,可以流畅地切换Android和WinMobile的虚机桌面。由于这个研究显示了VMI QVisor的能力,我们制作了可以下载的全程录影。

4 结 论

测试总结果显示,VMI可以是一个承受大批量用户(至少400人)的产品。

由于手机虚机不占太大空间,一台标准32G内存的硬件服务器可以运行大约4～5倍数量的PC/Windows虚机。这是Android 的一大优势,尤其它渐为大众所喜爱。虽然WinMobile也能达到同样的效果,大众的目光似乎更转向了WinPhone7。无论如何,手机应用能借助VMI的技术,在不同品牌的智能手机上运行,对某些企业是相当需要的。

有关SPICE的性能,一般来说,在3G移动办公的情况下,比思杰(Citrix)的HDX协议效果好,譬如声音的效果,不像Citrix在某些情况下有断续听不清的现象。当然,以目前3G的带宽来说,这两个协议,SPICE和HDX,都无法有流畅的视频效果。

由于上网本、平板电脑等新型移动终端的出现,VMI已不再限于使用手机作为移动终端。Windows的PC桌面和Android的手机桌面都可以呈现在这些新移动终端上。也就是说,VMI和VDI之间的界限变得模糊了。

5 未来研究

5.1 尚待完成的工作

下列的工作尚待完成。(1) QVisor的稳定性还需大力提升;(2) 使用SPICE在手机/上网本的客户端,目前尚未达成;(3)iPhone/iPad作为客户端的键盘/鼠标的驱动还未完成;(4)除了Android和WinMobile以外,尚需虚拟化更多的手机操作系统(如Symbian、iPhone)此项难度较度。

5.2 客户端虚拟化

客户端虚拟化CSV(Client-Side Virtualization)又称离线VDI(offline VDI)。未来企业对员工的移动设备管理,包括花费、策略调整、安全等,依然存在很大的问题。同时由于通信传输因地域接收的限制,员工可能不满足于VMI的屏幕传送。这时,CSV将手机OS镜像同步到本地就非常有吸引力。用户使用笔记本或上网本当作电子书包/电子公务包,配合串流技术将应用融合在操作系统镜像中,然后用户的移动终端与机房服务器做镜像同步。同时支持PC Hypervisor层级的安全保护(比操作系统环ring<3层级更深),可以使用户(办公人员和学生)不易被黑客侵袭,或对用户上网及安装应用实施限制。此外也支持移动存储,可插入第三方电脑运行。

5.3 动态移动基础设施

动态移动基础设施DMI(Dynamic Mobile Infrastructure)与CSV类似,但移动终端必须要用到微内核级别的Hypervisor,与CSV的PC Hypervisor不同,能运行在较低CPU能力的移动终端上。

5.4 物联网

VMI的想法可以脱离桌面,朝物联网(M2M)的方向来发展。也就是说,终端可以是传感器,而服务器端则使用手机虚机来运算,具有虚机随需启动、镜像小启动快、虚机间充分隔离、节省资源和能耗、仍然拥有服务器强大计算能力和存储能力等优势,这是传感器在当地无法达到、而一般的非虚拟化平台也无法企及的。当然,新的传感协议必须建立,能在下述传输对象之间平滑转移桌面、视频和传感信息。如果使用SIP协议内嵌传感协议,还可以达到单虚机支撑多传感器的目的。

基于零终端的虚拟桌面云应用研究 篇3

在运营商里, 各类电脑终端被广泛应用于办公、维护、业务办理、网优、客服等方面。经过十多年的发展, 企业的终端使用量已经用以万计。使用量的迅速增加, 使传统终端在使用、维护、管理、安全、成本等方面的许多问题, 给企业带来了巨大挑战。传统PC桌面使用方式存在如下几个问题:

(1) 管理十分困难:分散管理模式, 不单浪费人力物力, 而且无法达到预期效果。

(2) 使用成本很高:传统PC是易损设备, 生命周期短, 购置成本高, 维修成本高。

(3) 存在安全隐患:无法集中控制硬件设备的使用, 容易导致企业遭受外来病毒;数据分散存储在终端, 极易造成企业信息泄露;一旦硬件损害, 数据很难找回;同时, 无法对设备使用情况及日常工作进行有效审计。

(4) 影响工作效率:PC维修长, 降低员工生产效率;无法约束员工行为, 不但影响客户体验, 还会影响企业形象, 如营业厅。

(5) 企业环境污染:传统PC功耗高, 噪音大, 不符合集团公司倡导的绿色环保理念。

随着IT技术的不断发展, 特别是虚拟化和云计算技术的日新月异。“桌面云”解决方案的推出为终端集中化、标准化管理的思路提供了强有力的技术支持。

为了有效解决问题, 结合企业相关网络、系统现状, 一种统一的趋势是, 运营商借助桌面虚拟化技术, 实现企业终端管理的标准化、集中化, 降低信息安全风险, 提高终端运维效率, 减少终端购置和维护成本, 减少资源消耗, 推进了“桌面云平台”的建设。

1零终端桌面云的实现方案

在历年终端选型的基础上, 桌面云平台总体采用零终端/瘦终端+终端虚拟化平台的技术支撑方式。桌面云平台在后台创建虚拟使用环境, 每个员工工作需要使用的操作系统和各种软件将集中安装在桌面云平台上。员工将通过远程控制的方式进行使用瘦终端/零终端将键盘和鼠标操作的控制信息通过专用协议传输至桌面云平台, 桌面云平台将处理过程和结果通过网络实时传递到瘦终端/零终端上展现。同时, 各种数据和信息将集中保存在桌面云平台上。通过将桌面操作系统、应用程序和用户数据封装到相互隔离的层次, 桌面云允许IT支撑人员独立地更改、更新和部署每个组件, 从而获得更高的业务灵活性并缩短响应时间。最终获得的访问模型将更加灵活, 能够提高安全性、降低运营成本和简化桌面管理, 其分离模型如图1所示。

该方案主要分终端设备、桌面云软件、桌面云硬件。分别简要介绍如下:

(1) 终端设备。

桌面云工程采用了全新概念的终端设备, 零终端。零终端具有其他终端设备无法比拟的先进性, 可靠性, 稳定性和人性化设计。零终端、瘦终端与传统PC的对比如图2所示。

零终端本身无CPU, 无内存, 无操作系统, 无硬盘, 无风扇等易损设备, 其可靠性非常高, 非常适合桌面云项目, 也是真正实现了云的概念;零终端的外观以及其无需外挂设备、多媒体播放效果佳等特性能更好地提升企业形象。由于零终端较瘦终端稍贵且网络要求较高, 因此, 一期项目受限于项目经费限制, 选择在领导岗使用零终端, 其他岗位采用瘦终端。从而, 最终选择了零终端+瘦终端结合的方式实施桌面云。

(2) 桌面云软件。

桌面云工程使用VMWare公司的VMware v Spheree虚拟化软件对硬件平台进行虚拟化, 通过VMware v Center实现桌面云平台的资源管理实现HA、负载均衡、虚拟桌面动态迁移等功能。通过VMware View Mangaer及Fujitsu Zero Client Manager对虚拟桌面进行连接和管理。

虚拟化软件系统配置SQL Server 2008数据库, 安装在管理服务器上, 用于整个系统的资源管理、用户管理、日志数据、性能数据存储。利用现有病毒防护软件, 对桌面云进行统一部署。开发桌面云日志审计接口, 连接4A和安全管控平台。

(3) 桌面云硬件。

桌面云硬件主要有HP X86刀片服务器及Fujitsu的ETERNUS高端磁盘阵列组成。

下面, 结合桌面云一期方案, 来说明具体的实施场景。办公场景:

运营商的某办公楼办公类人员的办公终端需求, 办公桌面配置数量为900个, 900个办公桌面分为3组, 每组300个办公桌面, 配置7块刀片服务器, 每块刀片配置50个办公桌面, 预留1块刀片的处理能力作为冗余。办公桌面共配置21块刀片服务器, 其中3块刀片的处理能力作为冗余。

员工使用零终端/瘦终端, 通过DCN的办公VPN或CMNet的VPN接口访问桌面云平台, 登陆到办公桌面, 办公桌面通过DCN的办公VPN访问各办公系统。

生产场景:

为满足物联网基地、集团客户响应中心、业务支撑中心生产维护需求, 运营商启动零终端虚拟桌面云工程。其中物联网基地50个生产桌面, 配置2块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。集团客户响应中心100个生产桌面, 配置3块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。业务支撑中心200个生产桌面, 配置5块刀片服务器, 每块刀片配置50个生产桌面, 预留1块刀片的处理能力作为冗余。

集团客户响应中心、业务支撑中心在3号楼办公, 员工使用生产桌面时与办公桌面共用瘦终端/零终端, 通过DCN的办公VPN或CMNet的VPN接口访问桌面云平台, 通过不同的帐号登录到生产桌面或办公桌面, 同一台终端同一时间只能登录一个桌面。集团客户响应中心生产桌面通过DCN的网管VPN访问集团客户响应中心各系统, 业务支撑中心生产桌面通过DCN的业务VPN访问业务支撑中心各系统。

物联网基地在茶园办公, 不属于本期工程办公场景的覆盖范围, 员工使用瘦终端/零终端通过DCN的业务VPN或CMNet的VPN接口访问桌面云平台, 登录到生产桌面, 生产桌面通过DCN的业务VPN访问物联网基地各系统。

业务场景:

为满足某地市主城、周边经济开发区自营营业厅的业务终端需求, 业务桌面配置数量为350个, 配置8块刀片服务器, 每块刀片配置50个生产桌面, 预留1-2块刀片的处理能力作为冗余。

员工使用瘦终端/零终端, 通过DCN的业务VPN或CMNet的VPN接口访问桌面云平台, 登陆到业务桌面, 业务桌面通过DCN的业务VPN访问各业务系统。

2结语

桌面云计划的实施, 使终端桌面得到标准化、集中化、自动化的管理和控制, 极大地降低企业成本, 增强企业终端管控能力, 降低企业风险, 改善企业工作环境舒适度并员工工作效率, 提升企业形象。该项目在我省终端管理工作中, 获得了良好的使用和一致的认可, 效果显著, 系统具备较强的可移植性, 下一步将从两个方面开展工作。一方面, 继续对现有系统的性能进行改善与优化, 全面提升系统的稳定性、容错性和可持续使用性能;另一方面, 面向全省所有地市分公司进行推广, 结合地市分公司的实际特征, 对系统进行个性化配置, 以满足区域化需求。

摘要：在移动互联网时代, 随着终端虚拟化、云存储等新型技术的兴起, 传统的终端应用与管理模式, 存在管理十分困难、使用成本很高、存在安全隐患、影响工作效率、企业环境污染等不足, 无论是在方便性还是在性价比方面, 都难以满足新兴技术发展的需求。在这样的背景下, 桌面云平台应运而生。文章着眼于当前企业的终端管理现状和不断加重的终端使用/迭代更换需求, 对企业的零终端虚拟桌面云应用情况展开研究。

关键词：零终端,桌面云,虚拟化,瘦客户端

参考文献

[1]王小平, 张成志, 赵昀飞.虚拟化技术在企业的应用[J].电脑知识与技术, 2010 (28)

[2]石家亮.基于虚拟化技术的数据中心解决方案[J].电脑知识与技术, 2010 (21)

网络虚拟终端 篇4

深度感知用户体验

11月15日, Red Bend软件公司推出了可以进行移动软件分析的vSense Mobile产品, 作为其为服务提供商推出的移动软件管理解决方案套件的附加解决方案。这款产品能够通过对消费者基于Android平台的智能终端的掌控, 为电信运营商和设备制造商提供有关设备性能、应用行为和用户喜好的分析。

据了解, vSense Moblie是一种端到端解决方案, 包括客户端安装软件和提供给运营商使用的后台系统。Red Bend全球市场执行副总裁Lori Sylvia表示, 这款软件分析类产品的研发历时两年, 能够帮助运营商实时了解智能终端的操作运行是如何影响用户体验, 以及用户的使用趋势。

对于设备制造商而言, 他们能与运营商合作使用这款产品。设备制造商可通过运营商收集和提供的用户使用报告, 对自身产品做出调整或更新。

实现终端虚拟化

在采访中, Lori Sylvia还向记者演示了内置Red Bend移动虚拟化成果的终端样机。该公司在去年并购了VirtualLogix公司, 并在全球不断推广移动虚拟化的终端应用。利用移动虚拟技术, 智能终端厂商不但能大幅降低制造成本, 还能实现两部手机合二为一的高端需求。目前, Red Bend的移动虚拟化技术已在智能终端上实现, 不仅能应用于手机, 甚至还能在汽车上使用。

对于企业员工而言, Lori Sylvia表示, “我们这样做能够方便企业及其员工用户, 他们不用再带两部手机了”。企业员工只需要购买内嵌Red Bend软件的终端产品, 由其公司内部的IT技术人员为其终端开通一个安全企业域, 再利用Red Bend在线更新功能, 在终端上安装这个企业域, 该员工就可以在一个终端上同时使用两个操作系统了。这两个操作系统可以互不干扰地运行, 将工作和生活分开, 而且这两个操作系统可以不是同一个平台。此外, 企业还可以结合vSense Mobile产品使用, 监督在企业域上该用户的软件和应用使用情况。

据悉, 支持Red Bend移动虚拟化功能的智能终端将于2012年上市。其合作对象主要包括运营商、芯片厂商, 而应用目标群则以企业用户为主。

网络虚拟终端 篇5

一、业务终端管理现状

多年的信息化建设, 使基层央行实现了业务电子化、办公自动化。各种类型的计算机作为必要组成部件, 已经变得不可或缺。服务于业务的终端计算机数量也随业务的发展呈线性增长, 信息系统的硬件基数越来越大, 持有和维护成本逐年增加;同时整个信息系统的风险点也在增加, 安全防护工作变得更加复杂。

(一) 业务终端计算机情况复杂, 维护难度大

按照人民银行信息安全管理制度和相关管理要求, 所有业务入网终端计算机均要做好统一的安全配置、安装统一的安全管理软件。多年前的信息化建设没有统一的设计, 不同部门的软件资产对业务终端的配置和环境要求不一样;多批次购置的业务计算机涉及多种品牌, 多种型号。这些特点使业务终端在软件和硬件层面都变得复杂、难以控制。将新购置的个人电脑安装、配置成为可用、符合入网条件的业务终端会占用基层央行科技人员大量的工作时间和精力, 而将这些入网的终端计算机进一步配置成符合特定业务的用机更是费神费力。

(二) 业务软件对系统软件依赖性大

经过多年的积累, 人民银行系统业务软件过度依赖微软Windows XP和IE 6等系统软件的支持, 这类业务软件数量众多, 重要性不言而喻。近年来计算机软硬件技术发展迅速, 新购置的硬件架构已由以前的32位升至现在的64位, 与Windows XP彻底无法兼容。微软对Windows XP的服务停止也宣布Windows XP的商业生命寿终正寝。虽然人民银行与奇虎360合作, 在业务终端上引入了360盾甲来延缓这一进程, 但是业务终端被Windows 7等更高版本的系统软件所代替也是不可避免。这就造成寄生于IE 6浏览器的业务软件不经重构便无法利用新购置的PC计算机正常开展业务。为此科技人员不得不开动脑筋, 手动升级Windows 7, 利用微软提供的虚拟技术, 模拟出符合特定业务系统要求的虚拟化Windows XP系统, 但这却降低了业务员的操作体验。

(三) 信息系统安全风险大

业务终端作为基层央行信息系统的重要组成部分, 也是信息安全管理中最薄弱的环节。由于基层央行业务人员安全意识淡薄, 计算机安全知识不足, 但业务开展中又有与外部发生数据交换的客观需求, 这为病毒和木马的传播提供了可乘之机, 很容易导致业务系统不正常工作, 出现死机甚至系统崩溃。中毒的业务计算机往往会以指数级的速度蔓延到整个业务网络, 极大地降低了整个信息系统的安全性。

二、桌面虚拟化技术

桌面虚拟化技术是在物理服务器上安装虚拟主机, 由虚拟主机模拟出来的各种硬件资源供虚拟出来的操作系统运行所用, 虚拟桌面的存储和执行 (包括操作系统、应用程序和用户数据) 都集中在服务器上。桌面虚拟化技术是一种用终端设备完成输入和展示的服务器处理结果的新技术, 通过展现虚拟化技术为最终用户提供人机交互界面。终端用户通过瘦客户端, 或者类似终端设备利用远程协议在局域网或远程访问, 获得与传统PC机一样的操作体验。

桌面虚拟化技术常用的实现模式包括客户机虚拟化、基于服务器的虚拟化和基于云计算的虚拟化。基于客户机虚拟化模式, 利用传统的个人电脑或笔记本电脑虚拟出来的操作系统、应用程序和用户配置, 整个虚拟机的信息以磁盘文件的形式存放在物理机的本地硬盘等存储设备上。如VMware公司的ACE (Assured Computing Environment) 产品, 用于解决复杂台式机环境下的部署、维护和控制问题。

基于服务器的桌面虚拟化模式的客户端通过RDP, ICA等网络协议连接到代理服务器, 代理服务器中有专门的软件负责平衡服务器资源和客户端之间的协作关系, 认证和授权Active Directory虚拟机的生成。这种模式下, 每个远程接入服务器的连接都可以获得一个独立的虚拟机, 包括操作系统、应用程序和用户设置。客户端本地可以没有存储设备, 不存储数据文件, 恶意代码难以存活, 因此可以确保业务应用的数据安全。外部端口均由管理员授权用户使用, 有效地管理和控制了客户端与服务端的数据交换行为, 杜绝了未授权的数据交换行为, 保证数据的有效安全控制。

基于云计算的桌面虚拟化模式与服务器模式类似, 主要差别体现在它们的管理方式上, 提供云计算的供应商能够提供桌面虚拟化应用。

三、桌面虚拟化技术应用前景分析

基层人民银行中心机房都是按照国家C级机房标准建造, 省级数据中心是按照B级标准建造, 拥有百兆级的内部网络, 机房物理环境良好, 服务器和存储设备均能为桌面虚拟化提供良好的硬件支持。

(一) 终端计算机管理更有序

通过桌面虚拟化技术, 实现了操作系统和业务应用的统一发布, 让业务终端计算机的管理更加有序。利用桌面虚拟化技术可以虚拟出完全独立于宿主机物理硬件和软件的虚拟机, 使得基层央行科技人员可以摆脱不同批次、不同品牌、不同型号的计算机硬件的困境, 在测试成功后将它们保存为模板, 可以随时建立一个同样配置的虚拟机, 降低了日常维护的难度, 提高了效率和应急处理能力, 让整个单位的业务终端管理趋于集中化、标准化。通过对不同部门业务的梳理和分析, 可以建立更加符合业务需要的操作系统和应用软件, 配置更具个性的业务系统运行环境和策略, 形成可以复制和迁移的虚拟机文件, 对终端计算机进行分组管理, 增加终端管理的灵活性, 变被动管理为主动管理。

(二) 简化IT运维

桌面虚拟化技术比现有的终端技术更容易部署。用户桌面所用的操作系统和应用程序都在服务器统一的硬件平台安装和执行, 客户端只保留完成显示和通信功能的硬件。科技人员无须对终端的软硬件逐一进行维护, 而是将分散在众多客户端上的操作集中在服务器上统一处理发布, 大大降低了运维工作量。业务终端的安全防护措施和策略可以在桌面虚拟机服务器端集中设置, 如通过对服务器的防病毒软件的控制, 保障所有接入业务终端免遭病毒侵害。分组设置多种安全策略, 提高桌面虚拟终端的安全性, 如针对业务终端设置一致的非存储类USB设备控制策略, 严格控制内外网的数据交换, 确保数据安全。根据终端用户组特点, 限制桌面终端用户权限, 避免内部用户的越权操作。用户业务应用系统的安装、升级均可在服务器上集中部署, 统一交付, 升级失败也可用已备份的虚拟机文件快速恢复至升级前状态, 有效提高业务终端的可用性。

(三) 有效降低信息系统的总拥有成本

桌面虚拟化技术的应用可减少硬件投资成本, 如果业务客户端采用支持桌面虚拟化的瘦客户端, 终端购置成本可减少一半, 采用逐步淘汰、替换的策略, 整个单位硬件购置成本会逐年下降。桌面虚拟化技术可降低业务终端的运行成本, 如瘦客户端的耗电量不到PC计算机的六分之一, 采用桌面虚拟化技术后, 整个信息系统的耗电量将显著下降。桌面虚拟化技术减少基层央行的IT运维成本, IT运维人员可以将主要精力放在虚拟服务的维护和配置上, 只要终端用户的简单重启, 多数问题便可解决, 整体的运维成本明显下降。桌面虚拟化技术的应用使基层央行信息系统的总拥有成本下降, 落实国家节能减排号召, 带动基层央行IT投资的下降, 有利于发展绿色IT。FTT

参考文献

[1]周炬, 马国胜.虚拟化技术在金融业的应用及安全分析[J].中国金融电脑, 2013 (3) :51-57.

网络虚拟终端 篇6

随着国家电网公司桌面终端管理系统和安全移动存储介质管理系统在各网省公司的推广,各单位计算机终端安全得到显著加强。其中,移动存储介质可以设置保密区,对重要文件进行加密存储,但该软件只能在移动存储介质上使用,不能在本地硬盘上使用。为此,自主研究、开发了一款基于Windows XP系统的计算机终端虚拟硬盘加密系统。该系统可以在本地磁盘上虚拟出一块存储空间作为保密区,在保密区的文件进行3DES加密存储,确保重要信息的安全,防止信息泄密事件的发生(见图1)。

1 实现原理

虚拟硬盘加密系统采用filedisk提供的驱动技术作为底层驱动,以文件为存储体,提供一个驱动,让所有加载出来的硬盘存放的数据都保存在虚拟硬盘映象文件中,用户对这个虚拟加密硬盘的任何操作都象操作正常的硬盘一样。

如图2所示,操作系统I/O管理器在接收到应用层传下来的对虚拟加密硬盘的操作请求后,就生成一个与该操作对应的输入输出请求包(I/O Request Packets,IRP),并将该IRP传给文件系统驱动进行处理,处理完后就将该IRP传递给虚拟加密硬盘驱动,在该驱动中对该IRP进行相应的处理:当该IRP是读写IRP或者是操作虚拟加密硬盘映象文件的IRP请求时,将调用以Zw开头的函数来调用WIN32子系统中相应的例程,从而利用文件系统提供的功能进行相应的处理。当文件系统对由ZW开头函数引发的请求IRP处理完后,就将其沿路径(4)传到下一个驱动,并一直沿图中显示的实线方向处理下去,直到最后实现对物理设备的操作。此时的功能处理程序是硬盘的功能处理程序,因为映象文件是存储在实际的物理硬盘上的。

2 软件架构

2.1 硬盘驱动例程

第1个是驱动程序主入口点:初始化例程DriverEntry(见图3)。当系统装入设备驱动时,它把驱动程序的映像映射到虚拟内存中,重定位内存参考,并将生成一个常驻内存的如上描述的驱动程序对象,并对其中的域进行初始化,最后调用驱动程序的主入口点进行一些初始化工作。负责调用IoCreateDevice函数创建虚拟磁盘设备对象,调用ReadFile、WriteFile和DeviceIoControl等API函数向驱动程序发出请求,以控制对虚拟磁盘设备的访问。

第2个是驱动程序的清除例程(Driver Unload):Virtual Disk Unload。它的作用是释放DriverEntry例程在全局初始化过程中申请的任何资源。在虚拟加密硬盘驱动中该例程的作用就是删除在DriverEntry中创建的设备对象和设备扩展时申请的资源,并且结束为每个设备对象创建的系统线程。

第3个是处理打开和关闭句柄请求的例程:Virtual Disk Create Close。由于虚拟加密硬盘驱动在该系统中是最底层驱动,因此这里直接调用函数Io Complete Request完成相应的IRP并返回STATUS_SUCCESS即可。

第4个是处理读写设备请求的例程:VirtualDiskReadWrite。该例程是处理要求对虚拟加密硬盘进行读写的请求的。如果该虚拟加密硬盘对象的映象文件还未被打开,则无法读写相应数据,就直接返回设备中无介质的操作失败信息;如果该请求是读请求并且读的长度为零,由于不需要任何附加操作,因此只需直接返回请求成功完成的信息;否则因为需要对存储在实际硬盘上的映象文件进行读写(需要相对较长时间),因此只是简单的将该IRP设置为pending状态,并将该IRP放到由驱动程序自己管理的IRP链表中,以等待该设备的系统线程对它们进行具体的处理,并将用来激活该系统线程的同步事件设置为信号态。

第5个是处理I/O控制请求的例程:VirtualDiskDeviceControl。该例程是用来处理发给虚拟加密硬盘设备的控制操作或询问请求的。由于对虚拟加密硬盘的任何操作都最终变成对映象文件的操作,因此在对具体请求进行处理之前要检查该设备对应的映象文件是否打开,如果未打开,就检查该操作请求是否为要求打开该映象文件的请求;如果两者皆为否,那么该例程将直接返回设备中无介质的操作失败信息。

2.2 虚拟加密硬盘系统中密钥的生成与比对

如图4所示,当创建虚拟加密硬盘时,将用户提供的口令作为密钥,使用DES算法对自己进行2次加密,并将得到的数据保存在映象文件中特定的位置,以便在加载该虚拟加密硬盘时提供口令认证和解密出用来加密内容的密钥。当加载虚拟加密硬盘时,首先将口令作为密钥,使用DES算法对自己进行一次加密,而得到的数据可能是正确的用来加密数据内容的密钥,是否是正确的就要看用该数据(图4中的密文1)作为密钥使用DES算法对自己进行加密后得到数据与之前保存在映象文件中的数据(图4中的密文2)进行比较的结果,如果相同,则表明口令认证通过且密钥是正确的,否则口令认证失败且密钥是错误的。

3 结语

正是由于虚拟硬盘的存储基于文件,所以它拥有创建灵活、删除简单、随时加载随时卸载的特性,用户甚至可以对虚拟加密硬盘的映象文件进行复制、移动等操作。更重要的是,虚拟加密硬盘系统为用户提供口令认证和加密存储的安全保障,没有口令,即使虚拟加密硬盘的映象文件给别人偷去了也无法获取当中数据。而且加密不依赖系统安装信息,重新安装系统后,使用虚拟加密硬盘系统同样能够正常使用其创建的虚拟加密硬盘,不会丢失任何数据。用户同样可以选择以只读方式加载虚拟加密硬盘,防止其感染病毒。

参考文献

[1]ONEY W.Programming The Microsoft Windows Driver Model[M].Redmond:Microsoft Press,1999.

[2]CANT C.Writing Windows WDM Device Drivers[M].CMP Books,1999.

[3]NEBBETT G.Windows NT/2000Native API Reference[M].Sams,2000.

[4]BAKER A.Windows NT Device Driver Book:A Guide for Programmers[M].New Jersey:Prentice Hall,1996.

[5]彭涛.Windows2000中虚拟加密硬盘系统的研究[D].武汉:武汉大学,2006.

[6]周振喜,陈晓峰,张国煊.Windows2000/XP下WDM设备驱动程序的开发[J].计算机与现代化,2004(2):104-106.ZHOU Zhen-xi,CHEN Xiao-feng,ZHANG Guo-xuan.Development of WDM Device Driver in Windows2000/XP[J].Computerand Modernization,2004(2):104-106.

[7]王峰博,崔慧娟.WDM设备驱动程序的研究及实现[J].计算机应用,2003,23(6):98-100.WANG Feng-bo,CUI Hui-juan.Reserch and Implementation of WDM Device Driver[J].Coputer Applications,2003,23(6):98-100.

网络虚拟终端 篇7

随着计算机技术在教育系统中的迅猛发展, 各种新的网络应用也层出不穷, 如:网络多媒体教学、在线学习、视频点播等, 使校园网资源的利用得以最大化。网络规模的急剧膨胀, 网络用户的快速增长, 关键性应用的普及和深入, 校园网是实现现代教育与教育思想全面整合的有效载体, 在学校的信息化建设中扮演着至关重要的角色。

2 校园网目前存在的问题

校园网是学校重要的现代化基础设施, 应为学校的师生提供先进、可靠、安全、快捷的计算机网络环境。当前存在着以下急待解决的问题:

2.1 因操作不当频繁对系统及软件造成的损害

校园网网络庞大, 学生们常会出现删除系统文件等很多误操作的问题, 重新安装所有客户端的操作系统是项巨大的工程, 虽然目前学校也采取了措施来解决这个问题, 如还原卡或者还原软件, 但这种办法并不能降低数据中心人员的工作量以及维护成本。

2.2 系统安全维护及软件更新复杂

在庞大的校园网内, 更新操作系统的补丁、安装和升级防病毒软件等, 通常需要网络管理人员手动安装和更新。另外, 在规模庞大的网络中统一安装和更新软件也同样困难, 传统的终端管理软件进行软件统一分发的时候对网络影响极大且成功率不可保证, 如何解决以上问题成为越来越紧迫的问题。

2.3 大量的P2P应用, 抢占着校园网络有限的带宽资源

当前很多流行的互联网应用都是采用P2P技术, 如B T、Em ule、迅雷下载等, 占用了校园网大量的带宽资源, 造成网络带宽的利用率分配不均衡, 导致网络的拥塞。校园网网络出口由于受到带宽和P2P应用的影响, 会出现严重超负荷现象, 如不对强占出口带宽的网络应用给予一定的限制, 将严重影响正常的网上办公教学。

2.4 存在大量的网络不安全因素, 如ARP攻击、登录不良网站等

现今的校园网中泛滥的A R P攻击, 各种网络黑客的侵害, 给整个校园网都带来很大的危害。如何防范非法入侵, 如何木马病毒, 如何解决网络和系统中的安全漏洞, 这些都是各个学校面临的紧迫问题。

3 传统终端管理技术的局限性

3.1 杀毒软件

尽管杀毒软件的病毒库经常升级, 可是查杀效果却比新病毒的诞生及传播速度慢上一拍, 可见杀毒软件技术存在严重的滞后性。而且仍然面临软件自身被随意卸载, 无法有效遏制蠕虫病毒传播等问题。

3.2 还原卡

还原卡安装非常麻烦, 需要逐一安装;还原卡和还原软件存在安全隐患, 机器狗等病毒可以穿透;还原卡无法解决PC终端中学生任意存储数据资料, 开放的硬盘分区可能在感染病毒后大量传播导致系统瘫痪的问题。

3.3 桌面管理技术

桌面管理系统缺乏可视化管理平台, 网络中病毒、木马屡杀不绝, 在终端PC磁盘损坏导致重要数据丢失, 大规模部署、进行安全升级和数据备份方面难统一操作, 很难满足终端PC个性化的需求。

现有的终端管理技术都只解决了终端问题的一部分, 但由于各软件之间无法100%的应用兼容, 系统不能随时可用、随身桌面、任意设备访问等终端管理问题, 始终是信息化建设中最大的风险因素。

4 虚拟终端管理系统的优势

虚拟终端管理系统是一套基于VOI (V irtual OS Infrastructure) 架构的桌面虚拟化产品, 将桌面和数据集中在数据中心虚拟化服务器上来实现对终端PC桌面的统一管理和交付, 管理数千台PC等同于管理一台PC桌面。部署之后, 终端PC遇到任何木马病毒只需重启系统就能够自动恢复到安全状态, 还能够实现对应用程序、软件补丁、策略配置的实时分发和数据集中管理。它能够在离线环境下正常运行, 并保证PC桌面系统快速符合等保、分保等国家规范对终端管理的细粒度配置要求。同时, 它的部署完全不需要改变原来的网络结构和PC硬件, 更不会影响原有用户应用, 能够在短时间内平滑升级。

基于虚拟操作系统架构 (VOI) 的终端虚拟化解决方案, 就是将桌面、数据和应用都集中于后台虚拟化服务器端, 前台终端与后台计算相分离, 应用和计算完全由后台虚拟机执行, 通过桌面池管理和虚拟机模板功能, 管理员可以在后台集中进行统一的IT运维管理, 如快速部署大量桌面和应用, 批量升级补丁和应用, 统一部署安全策略, 统一进行数据备份。同时, 大大降低了对网络和服务器的依赖性, 即使网络中断或服务器宕机终端也可继续使用, 终端应用数据也不会因网络或服务端故障而丢失。

“VOI”虚拟终端管理系统分为客户端和策略管理中心两个部分, 该系统以桌面虚拟化技术为底层核心, 前台终端与后台计算相分离, 应用和计算完全由后台虚拟机执行, 前台与后台之间的通信是加密的, 且只传输指令和显示图片, 没有实际业务数据传输。桌面虚拟化依赖于服务器虚拟化, 在数据中心的服务器上进行服务器虚拟化, 生成大量的独立的桌面操作系统 (虚拟机或者虚拟桌面) , 同时根据专有的虚拟桌面协议发送给终端设备。

5 结语

虚拟终端管理系统基于桌面虚拟化技术有效解决了传统终端管理系统存在的底层稳定性问题, 并将流量控制、外设控制、上网行为记录、A R P攻击防护等终端管理功能进行融合。管理员通过数据中心进行操作系统、应用程序和管理策略的统一交付, 可以轻松管理网络内所有终端PC, 保障校园网稳定可靠的运行。

摘要：本文首先对校园网存在的问题进行了比较全面的分析, 然后提出了传统终端管理技术解决上述问题存在的局限性, 最后引出了VOI虚拟终端管理系统, 通过集中在数据中心的操作系统镜像来实现对终端PC桌面的统一管理和交付, 轻松管理网络内所有终端PC, 保障校园网稳定可靠的运行。

关键词：校园网,传统终端,虚拟终端

参考文献

[1]张荣高.高校计算机机房虚拟桌面的应用与研究[J].电脑知识与技术.2013.

[2]沈军, 孙吉刚.马明琮.虚拟化在数字校园中的应用[J].科技致富向导.2010.