[发明专利]一种基于Xen安全计算机显示优化的方法

说明书

技术领域

本发明属于虚拟化技术应用领域，特别是涉及Xen安全计算机的显示模块优化的领域。

技术背景

随着计算机和网络技术的飞速发展与广泛应用，全球信息化程度不断提高，信息安全问题日益受到各领域的关注。由于我国信息技术起步较晚，软硬件水平落后于国际，并且暂无绝对的技术知识产权优势，因此大力发展和研究自主的安全计算机产品是现阶段计算机终端发展的主要任务。

虚拟化技术的发展正迅速改变着信息技术的面貌，并从根本上改变着传统的计算方式。利用虚拟化，可以在一台物理机上运行多个虚拟机，在充分利用硬件环境的前提下，构建一个多系统资源共享并有效隔离的计算环境。虚拟化技术的优势在于复用硬件平台、拓展硬件平台并且可以使硬件平台透明化，除此之外虚拟化技术可以提供高安全级的系统隔离，拥有先天的安全性能。

基于以上的时代和技术背景促使了安全计算机与虚拟化技术的联姻，通过硬件技术的支持结合虚拟化技术实现多个虚拟操作系统间有效隔离和资源共享。

虽然安全计算机提供了有效隔离和安全可控的操作环境，但是基于虚拟化的安全计算机通常面临硬件共享下的运行效能问题。提高虚拟操作系统的用户体验和操作性能是安全计算机要解决的主要问题，也是其在桌面应用面临的最大障碍。

虚拟显示环境效果不理想主要存在以下三个原因：设备实现复杂、通信机制开销大、外部图形库的性能瓶颈。

虚拟显示设备的实现考虑到接口的完整物理特性及虚拟显卡的设备规范，这样的好处可以保证显示设备的通用性及无须改动的显示设备驱动程序；但是因此而产生的负面效果却是设备实现机制的复杂和执行效率的低下。

基于设备接口完全模拟的显示设备的驱动不需要任何改动，而显示驱动与虚拟显示设备之间的通信开销却因为这样的实现方式而变得难于控制。在客户系统中驱动程序试图访问硬件设备完成显示工作的过程，CPU环境在VMX root和VMX non-root模式间频繁切换，这样则会导致CPU时间的浪费。

X-window在提供Linux友好而便捷的操作环境的同时也直接影响操作系统性能和运行效能。在系统空闲时，X-window的守护进程依然占用较多的系统资源。而虚拟客户系统的全部显示都是基于X-window桌面操作环境，这样的实现方式将所有的显示性能都转嫁到X-window图形绘制的效率，而这也是直接导致客户系统显示效果不佳的性能瓶颈。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于Xen安全计算机显示优化的方法。

为实现上述发明目的，采用的技术方案如下：

一种基于Xen安全计算机显示优化的方法，包括宿主系统的简化后端、客户系统的定制前端驱动、以及前后端之间的通信优化；所述宿主系统的简化后端，包括实现PCI设备接口，以及引入Frame Buffer的支持，通过对Frame Buffer的读写直接将帧缓存图像绘制于屏幕上；所述客户系统的定制前端驱动，包括直接获取后端设备提供的内存I/O及端口I/O资源，并通过系统GDI显示接口实现基于Frame Buffer的显示环境；所述前后端之间的通信优化，首先后端设备在宿主系统中注册指定I/O端口，前端驱动访问这些I/O将直接引发后端实现的回调函数而完成前后端同步的交互；其次后端还提供一块与前端驱动交互的内存空间，并将此内存空间映射至客户系统的内存空间，通过共享内存的方式实现交互。

本发明针对现有Xen安全计算机显示模块的不足。提出了在不增加额外硬件开销的前提下，采用前后端分离的方式，取代设备接口完全模拟的方式来实现Xen虚拟显示设备，以提高显示环境效果的优化方案。

本发明的技术方案具体可归纳为：简化后端实现机制、定制前端驱动、改善通信方式。

所述简化后端实现机制，即在虚拟显示设备的设计上，对虚拟显示设备的后端采用尽可能简单和直接的实现方法。后端显示设备的实现主要集中以下两方面内容：仅实现必要的PCI设备接口、引入Frame Buffer的支持。

所述定制前端驱动，即改进方案通过前后端分离设备模拟方式来替代完全的设备接口模拟。因此在客户系统中需要定制虚拟显示设备的前端驱动，该定制的前端驱动将替代原生的设备驱动。定制的前端驱动，直接获取后端设备提供的内存I/O(MMIO)及端口I/O资源，并通过系统GDI显示接口同样实现基于Frame Buffer的显示环境。