CN102004886B - 一种基于操作系统虚拟化原理的数据防泄漏方法 - Google Patents

一种基于操作系统虚拟化原理的数据防泄漏方法 Download PDF

Info

Publication number
CN102004886B
CN102004886B CN2010105440777A CN201010544077A CN102004886B CN 102004886 B CN102004886 B CN 102004886B CN 2010105440777 A CN2010105440777 A CN 2010105440777A CN 201010544077 A CN201010544077 A CN 201010544077A CN 102004886 B CN102004886 B CN 102004886B
Authority
CN
China
Prior art keywords
virtual
data
operating system
file
separation layer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2010105440777A
Other languages
English (en)
Other versions
CN102004886A (zh
Inventor
聂伟国
金亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Anzong Information Science & Technology Co Ltd
Original Assignee
Shanghai Anzong Information Science & Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Anzong Information Science & Technology Co Ltd filed Critical Shanghai Anzong Information Science & Technology Co Ltd
Priority to CN2010105440777A priority Critical patent/CN102004886B/zh
Publication of CN102004886A publication Critical patent/CN102004886A/zh
Application granted granted Critical
Publication of CN102004886B publication Critical patent/CN102004886B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

一种计算机应用技术领域的基于操作系统虚拟化原理的数据防泄漏方法。本发明基于操作系统虚拟化原理,在计算机的宿主操作系统中增加虚拟隔离层和虚拟存储区;以虚拟隔离层及虚拟存储区为基础、结合虚拟桌面技术构建一到多个虚拟隔离环境;每个虚拟隔离环境中所储存的、包括文件和注册表在内的数据资源,均受到完善地隔离保护,能够确保环境中产生的数据不被泄漏到环境之外,从而防止主动或被动的数据泄露行为;本发明利用操作系统虚拟化原理的先天优势,极大地提高了数据防泄漏系统的运行效率;降低了应用数据防泄漏方案的难度;提高了数据防泄漏系统的易用性和工作效率。

Description

一种基于操作系统虚拟化原理的数据防泄漏方法
技术领域
本发明涉及的是一种计算机应用技术领域的方法,特别是一种基于操作系统虚拟化原理的数据防泄漏方法
背景技术
随着信息化在我国的蓬勃发展,电子化数据的应用日益广泛,在极大地提高了生产工作效率的同时,电子化数据也日益成为各行各业乃至普通大众的重要资产。电子化数据的保密性、完整性和可用性逐渐关系到国家的安全、企业的核心竞争力、个人的隐私。因此,数据安全问题——即数据的防泄露、防丢失、防滥用的问题,已经成为信息安全领域中的热点问题,越来越受到大家的关注。在数据安全的各个分支领域中,数据防泄漏又具有尤其重要的地位。根据国家信息安全测评认证中心的调查结果表明:在众多的攻击行为和事件中,信息泄漏事件是最主要的安全事件之一。为了解决数据防泄漏问题,信息安全业内先后提出了多种技术方案,试图从不同的角度来解决数据防泄漏问题。目前主流的防泄漏技术可以分为控制类、加密类及过滤类三大类技术,这些技术的出发点是在数据的存储和流转环节中实施保护措施,但从这些技术的应用现状来看,这些技术虽然能够解决一些典型的数据泄漏问题,但因为不能在数据的整个生命周期中对数据实施保护,所以其应用效果并不理想。伴随着虚拟化技术的逐步普及,一种较新的思路是基于虚拟化原理实现数据防泄漏解决方案,由于虚拟化技术从实现原理上就具备资源隔离的特性,所以能够确保电子化数据被局限在某一存储区域内,从而防止主动或被动的数据泄露行为的发生
经对现有技术的文献检索发现,武汉大学的王丽娜等在2009年09月02日公开了名为《基于虚拟机的数据防泄漏系统及其方法》的专利申请(申请号:200910061564,申请日2009年04月10日,公开日2009年09月02日)。该文中虽然提出了一种基于虚拟机实现数据防泄漏系统的方法,但由于该方法中所采用的虚拟机是基于硬件抽象层虚拟化原理来构建数据隔离环境的,因此在实际应用中存在一些问题。首先,基于硬件抽象层虚拟化原理实现的虚拟机,在工作时必须在内存中运行完整的客户操作系统实例,并且需要模拟包括CPU及内存在内的多种硬件设备,而这些行为本身需要占用大量的系统资源,因此会导致该方法在真实使用场景下的效能损耗极大;其次,由于虚拟机软件的使用具备一定的复杂性,要求使用者必须具备一定的计算机系统知识,甚至需要对客户虚拟机上的操作系统及应用软件环境进行全面的配置,所以增大了应用该系统的难度;最后,在真实使用环境下,使用者经常需要在虚拟机提供的隔离环境内引用一些宿主机上原有的文件或者需要使用宿主机上的现有程序。但是限于虚拟机软件的实现机制,使用者无法在虚拟机上的隔离环境中直接读取宿主计算机上的数据文件,除非进行数据导入或者重新安装软件等操作,这就进一步降低了系统的易用性和工作效率。
发明内容
本发明针对现有技术的不足,提供一种基于操作系统虚拟化原理的数据防泄漏方法。与基于硬件抽象层虚拟化原理实现的虚拟机相比,操作系统虚拟化技术将虚拟隔离层实现在操作系统之上,其构建的虚拟环境之间共享同一个操作系统内核,因此可以直接使用操作系统提供的硬件资源,无须虚拟CPU、内存等硬件设备,这就将虚拟环境本身对系统资源的消耗降到了最低,从而极大地提高了系统的运行效率;同时,基于操作系统虚拟化原理实现出的虚拟环境具备与宿主操作系统完全相同的使用模式,仅是在系统中增加了一个新的用户桌面,使用者无须学习就可快速的使用虚拟环境,降低了应用数据防泄漏方案的难度;另外,基于操作系统虚拟化原理,可以实现宿主计算机上的资源到隔离环境内的透明单向传输,实现在隔离环境内自动映射宿主机上的应用程序,减少了用户的操作环节,进一步提高了系统的易用性和工作效率。
 本发明是通过以下技术方案实现的。为了解决数据防泄漏问题,首先需要建立虚拟隔离环境,该虚拟隔离环境由虚拟桌面、虚拟文件、虚拟注册表资源组成。其中虚拟桌面作为与使用者进行交互的界面,提供与宿主操作系统中的原生桌面完全一致的操作方式。虚拟文件和虚拟注册表则作为虚拟数据资源,由嵌入到操作系统内核中的虚拟隔离层进行维护。当使用者进入以虚拟桌面标识的虚拟隔离环境时,内核中的虚拟隔离层自动将虚拟文件和虚拟注册表这些数据资源暴露给使用者;而当使用者离开虚拟隔离环境时,内核中的虚拟隔离层则屏蔽系统中的其他程序访问虚拟数据资源的行为。虚拟数据的存取功能以虚拟磁盘的形式提供,由虚拟磁盘驱动程序进行管理。数据在存入虚拟存储区时,以加密存储的形式保存到计算机物理硬盘上的特殊区域中。由于采用了加密存储的方式,在未进入虚拟隔离环境前,任何用户和程序均无法访问到其中的数据。
所述的嵌入在操作系统内核中的虚拟隔离层,是实现数据隔离方法的核心。虚拟隔离层的实现机制是对操作系统内核中的SSDT(系统服务描述表)进行控制,对其中用于文件访问和注册表访问的关键例程进行钩子处理(Hook),从而截获所有的文件、注册表访问操作。在此基础上,虚拟隔离层就可以根据发起数据访问请求的进程的身份,实施相应的数据隔离防护措施。对于在虚拟隔离环境外启动的进程,虚拟隔离层可以发现及阻止该进程访问虚拟存储区域的行为,从而避免数据被非法程序窃取,造成数据泄露。而对于在虚拟隔离环境中启动的进程,虚拟隔离层可以根据该进程标识(PID)判断出该进程所属的虚拟隔离环境,并将进程的数据访问行为——包括各种试图将数据存储到非法存储区域中的数据泄露行为,重定向到虚拟存储区域中,从而避免数据被主动泄露。虚拟隔离层对于文件访问的隔离操作仅影响文件的物理存储位置,而不改变文件的逻辑存储位置,因此使用者和应用程序都无须关心底层的存储细节,能够与未应用虚拟隔离防护措施时的使用方式保持一致,无须作任何更改。另外,虚拟隔离层对虚拟隔离环境中的进程提供数据单向传输功能,使该进程能够自由访问宿主操作系统中的数据文件,从而实现在虚拟隔离环境中,透明地使用宿主操作系统中的应用程序和数据的功能。
所述的虚拟隔离层及虚拟环境的工作流程具体如下:
(1)系统启动过程中,加载用于实现虚拟隔离层功能的驱动程序;
(2)系统启动完成后,在系统中建立独立于系统原生桌面的虚拟桌面;
(3)虚拟隔离层记录虚拟桌面程序的进程标识符,以及由使用者在虚拟桌面中启动的所有子、孙进程的进程标识符;
(4)虚拟隔离层拦截系统中所有进程的数据访问请求——包括文件访问和注册表访问,并根据发起请求的进程的进程标识符实施不同的数据隔离防护措施。如果是虚拟隔离环境中的进程则跳转至(5),否则跳转至(6);
(5)当进程执行写入操作时,虚拟隔离层将写入操作的物理写入位置重定向到虚拟存储区域中,同时保持逻辑存储位置不变,因此进程无须关心底层存储细节。当进程执行读取操作时,虚拟隔离层判断要读取的文件是否存储在虚拟存储区中,如是则读取虚拟存储区中的文件,否则由虚拟隔离层通过数据单向传输的方式直接将宿主操作系统中存储的文件映射到虚拟隔离环境中,供进程读取;
(6)虚拟隔离层判断进程的数据访问行为是否是在尝试访问虚拟存储区内部的文件,如是则拒绝该请求,并告知进程,该进程试图访问的文件不存在。
所述的数据单向传输的工作流程具体如下:
(1)由虚拟隔离层判断发起数据访问请求的进程是否是虚拟隔离环境内的进程,如是则对该进程提供数据单向传输的功能;
(2)对于需要提供数据单向传输功能的进程,判断该进程数据访问请求是读取还是写入,如是读取则跳转到(3),否则跳转到(4);
(3)判断进程要读取的数据文件是否在虚拟隔离环境中存在,如存在则直接读取虚拟隔离环境中的数据文件;如果不存在,进一步判断数据文件在宿主操作系统中是否存在,如依然不存在,则告知进程读取失败;如在宿主操作系统中存在该文件,则允许进程直接访问宿主操作系统中的数据文件;
(4)判断进程要写入的数据文件是否在虚拟隔离环境中存在,如存在,则直接打开虚拟隔离环境中的数据文件供该进程写入;如不存在,则进一步判断数据文件在宿主操作系统中是否存在,如依然不存在,则直接在虚拟存储区内创建一个新的数据文件供该进程写入;如在宿主操作系统中存在该文件,则首先将该数据文件复制到虚拟隔离环境中,然后打开位于虚拟存储区内的新数据文件供该进程写入。
本发明在基于虚拟化原理实现的数据防泄漏技术中,取得了显著的进步,并使得基于虚拟化原理实现的数据防泄漏技术具备了更高的易用性和更广阔的使用前景。本发明的突出特点是采用操作系统虚拟化技术实现资源隔离,使得虚拟隔离环境的搭建更加轻量级,极大地提高了系统运行效率,同时也使多个虚拟隔离环境的并行运行成为了现实。通过采用虚拟桌面机制作为用户操作接口,能够有效地提高系统的易用性,降低了使用者应用数据防泄漏系统的难度。同时,该方法能通过数据单向传输机制,将宿主机上的数据或程序映射到虚拟隔离环境中使用,进一步提高了易用性和工作效率。
附图说明:
 图1是本发明方法的虚拟隔离环境的组成示意图;
图2是本发明方法的数据隔离机制原理图。
实施方式
 结合本发明内容,提供以下实施例:在一台物理主机上,安装虚拟化数据防泄漏软件,并由软件建立一到多个虚拟隔离环境,从而使计算机具备两个以上的用户桌面环境。为了便于介绍,以下主要介绍具备两个桌面环境的系统情况。如图1所示,两个用户桌面中,一个用户桌面(桌面A)是物理主机的操作系统所提供的原生桌面,另一个用户桌面(桌面B)是由数据防泄漏软件所提供的虚拟桌面。在原生桌面中操作的文件和注册表信息都是与宿主操作系统相关的真实数据,而虚拟桌面中所操作的文件和注册表都是由虚拟隔离环境提供的、存储在物理硬盘上的虚拟存储区域中的虚拟数据。在数据防泄漏软件建立虚拟隔离环境时,会将需要实施防泄漏保护的敏感数据全部转移到虚拟存储区域中,并清除环境A下的敏感数据。虚拟存储区的使用方式,是以映射虚拟磁盘的形式实现的,如图2 所示,在本实施例中,虚拟存储区通过虚拟磁盘驱动程序,被映射为Z盘。在用户随后使用计算机的过程中,计算机首先在启动时加载虚拟隔离层驱动程序,该驱动程序将接管操作系统中的所有文件和注册表操作。在计算机启动完成后,用户将首先进入桌面A。进入桌面A后,用户可以对非敏感的数据进行各种操作。而当用户需要操作敏感数据时,由于敏感数据都保存在虚拟存储区中,因此用户必须在通过正确的身份验证后,激活虚拟桌面B,然后在桌面B中启动必要的应用程序来处理敏感数据。如图2所示,用户在桌面A中启动了用于处理非敏感数据的程序a,在桌面B中启动了用于处理敏感数据的程序b。当用户在桌面B中试图通过程序b将敏感数据写入“C:\涉密数据.txt”时,虚拟隔离层截获到该操作并判断出b的进程身份,随后将这些与涉密数据相关的访问行为进行重定向处理,将其物理存储路径修改为虚拟存储区中的“Z:\C\涉密数据.txt”,然后再将该请求传递给文件系统驱动。经过该处理后,b认为自己已经成功将数据写入到“C:\涉密数据.txt”中,并且也确实能够在日后需要使用时,通过路径“C:\涉密数据.txt”查看到自己写入的数据。但实际上,该数据并没有被存储到C:,而是存储到虚拟存储区Z:中。而当用户试图在桌面A中,通过进程a查看自己刚才建立的“C:\涉密数据.txt”文件时,虚拟隔离层会根据a的进程身份,将该访问请求直接传递给文件系统驱动。这样a所打开的将是一个全新的、位于C:上的文件,而不是之前由b写入的“Z:\C\涉密数据.txt”,从而使得a访问涉密数据的行为失败,达到数据防泄漏的效果。如果a试图直接以路径“Z:\C\涉密数据.txt”访问涉密数据,虚拟隔离层驱动也会根据进程身份判断出这是一个非法请求,随后拒绝该请求并告知a该文件不存在。
从上面的例子可知,基于操作系统虚拟化原理的数据防泄漏方法能够对数据进行有效地隔离保护,能够在用户或恶意程序试图进行数据泄漏行为时对其进行控制,防止泄密行为的发生。同时,由于仅在系统中引入了虚拟桌面程序和虚拟隔离层驱动程序,无需运行客户操作系统,从而极大地提高了系统效率。

Claims (1)

1.一种基于操作系统虚拟化原理的数据防泄漏方法,其特征在于:基于操作系统虚拟化原理,在计算机的宿主操作系统中增加虚拟隔离层和虚拟存储区,以虚拟隔离层及虚拟存储区为基础、结合虚拟桌面技术构建虚拟隔离环境;通过对系统中的所有进程实施数据隔离防护措施,将敏感数据保存在虚拟隔离环境之中,达到拒绝非法的数据泄露行为、避免发生主动或被动的数据泄漏的目的;在虚拟隔离环境中能够直接访问宿主操作系统中的数据,而在宿主操作系统中的原生桌面环境下无法访问虚拟隔离环境中的数据,能够实现宿主操作系统到虚拟隔离环境的数据单向传输
所述的虚拟隔离环境,由虚拟桌面、虚拟文件、虚拟注册表资源组成,其中虚拟桌面作为与使用者进行交互的界面,提供与宿主操作系统中的原生桌面完全一致的操作方式,虚拟文件和虚拟注册表作为虚拟数据资源,由嵌入到操作系统内核中的虚拟隔离层进行维护,当使用者进入以虚拟桌面标识的虚拟隔离环境时,内核中的虚拟隔离层自动将虚拟文件和虚拟注册表这些数据资源暴露给使用者;而当使用者离开虚拟隔离环境时,内核中的虚拟隔离层则屏蔽系统中的其他程序访问虚拟数据资源的行为;
所述的虚拟隔离层,由内核态驱动程序提供,该驱动程序在计算机启动后,加载到宿主操作系统的内核中运行,对操作系统内核中的系统服务描述表进行控制,对其中用于文件访问和注册表访问的关键例程进行钩子处理,从而截获所有的文件、注册表访问操作,在此基础上,虚拟隔离层根据发起数据访问请求的进程的身份,实施数据隔离防护措施;
所述的虚拟存储区,由内核态驱动程序提供,以虚拟磁盘的形式提供数据存取功能,数据在存入虚拟存储区时,以加密存储的形式保存到计算机物理硬盘上的特殊区域中,确保在未进入虚拟隔离环境前,任何用户和程序均无法访问到其中的数据;
所述的虚拟桌面,由一个单独的进程实现,虚拟桌面作为与使用者进行交互的界面,提供与宿主操作系统中的原生桌面完全一致的操作方式;
所述的数据隔离防护措施,具体如下:
(1)由虚拟隔离层驱动程序记录虚拟桌面程序的进程标识符,以及由使用者在虚拟桌面中启动的所有子、孙进程的进程标识符;
(2)虚拟隔离层拦截系统中所有进程的数据访问请求——包括文件访问和注册表访问,并根据发起请求的进程的进程标识符执行不同的隔离策略,如果是虚拟隔离环境中的进程则跳转至(3),否则跳转至(4);
(3)当进程执行写入操作时,虚拟隔离层将写入操作的物理写入位置重定向到虚拟存储区域中,同时保持逻辑存储位置不变,因此进程无须关心底层存储细节,当进程执行读取操作时,虚拟隔离层判断要读取的文件是否存储在虚拟存储区中,如是则读取虚拟存储区中的文件,否则由虚拟隔离层通过数据单向传输的方式直接将宿主操作系统中存储的文件映射到虚拟隔离环境中,供进程读取;
(4)虚拟隔离层判断进程是否尝试访问虚拟存储区内部的文件,如是则拒绝该请求,并告知进程,该进程试图访问的文件不存在;
所述的数据单向传输,具体如下:
①由虚拟隔离层判断发起数据访问请求的进程是否是虚拟隔离环境内的进程,如是则对该进程提供数据单向传输的功能;
②对于需要提供数据单向传输功能的进程,判断该进程的数据访问请求是读取还是写入,如是读取则跳转到③,否则跳转到④;
③判断进程要读取的数据文件是否在虚拟隔离环境中存在,如存在则直接读取虚拟隔离环境中的数据文件;如果不存在,进一步判断数据文件在宿主操作系统中是否存在,如依然不存在,则告知进程读取失败;如在宿主操作系统中存在该文件,则允许进程直接访问宿主操作系统中的数据文件;
④判断进程要写入的数据文件是否在虚拟隔离环境中存在,如存在,则直接打开虚拟隔离环境中的数据文件供该进程写入;如不存在,则进一步判断数据文件在宿主操作系统中是否存在,如依然不存在,则直接在虚拟存储区内创建一个新的数据文件供该进程写入;如在宿主操作系统中存在该文件,则首先将该数据文件复制到虚拟隔离环境中,然后打开位于虚拟存储区内的新数据文件供该进程写入。
CN2010105440777A 2010-11-15 2010-11-15 一种基于操作系统虚拟化原理的数据防泄漏方法 Expired - Fee Related CN102004886B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2010105440777A CN102004886B (zh) 2010-11-15 2010-11-15 一种基于操作系统虚拟化原理的数据防泄漏方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2010105440777A CN102004886B (zh) 2010-11-15 2010-11-15 一种基于操作系统虚拟化原理的数据防泄漏方法

Publications (2)

Publication Number Publication Date
CN102004886A CN102004886A (zh) 2011-04-06
CN102004886B true CN102004886B (zh) 2012-07-25

Family

ID=43812241

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2010105440777A Expired - Fee Related CN102004886B (zh) 2010-11-15 2010-11-15 一种基于操作系统虚拟化原理的数据防泄漏方法

Country Status (1)

Country Link
CN (1) CN102004886B (zh)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102592102B (zh) * 2011-12-31 2014-09-17 深信服网络科技(深圳)有限公司 一种终端防泄密控制方法及终端
CN102609299B (zh) * 2012-01-13 2015-03-11 深圳市深信服电子科技有限公司 虚拟化系统及其创建方法、装置
CN102662741B (zh) 2012-04-05 2014-04-02 华为技术有限公司 虚拟桌面的实现方法、装置和系统
CN102685136A (zh) * 2012-05-18 2012-09-19 深信服网络科技(深圳)有限公司 一种多网络环境隔离方法及终端
CN102821094B (zh) * 2012-07-09 2016-05-04 深圳市深信服电子科技有限公司 虚拟桌面中的数据安全处理方法及系统
CN103870761B (zh) * 2012-12-11 2017-12-26 深信服科技股份有限公司 基于本地虚拟环境的防泄密方法及装置
CN103971051A (zh) 2013-01-28 2014-08-06 腾讯科技(深圳)有限公司 一种文件隔离方法、装置和系统
CN103729599A (zh) * 2013-10-31 2014-04-16 深圳酷派技术有限公司 数据调用的处理方法及装置
CN104573422A (zh) * 2015-01-08 2015-04-29 浪潮软件股份有限公司 一种基于虚拟机的应用进程运行方法及装置
CN106295386B (zh) * 2015-06-02 2021-04-27 阿里巴巴集团控股有限公司 数据文件的保护方法、装置及终端设备
CN105278876B (zh) * 2015-09-23 2018-12-14 华为技术有限公司 一种固态硬盘的数据擦除方法及装置
CN105447406B (zh) * 2015-11-10 2018-10-19 华为技术有限公司 一种用于访问存储空间的方法与装置
US9398087B1 (en) * 2015-11-29 2016-07-19 International Business Machines Corporation Secure deployment of an application across deployment locations
CN105550582B (zh) * 2015-12-11 2018-08-14 福建联迪商用设备有限公司 访问虚拟磁盘的方法及系统
CN106951775A (zh) * 2016-01-06 2017-07-14 梁洪亮 一种基于操作系统内核虚拟化技术的安全保障系统
CN105786521B (zh) * 2016-03-18 2020-05-19 山东华软金盾软件股份有限公司 一种文件外发保护方法和装置
CN106127073B (zh) * 2016-06-21 2023-05-05 浙江集研信息科技有限公司 一种用户操作信息的保护方法
CN106886714A (zh) * 2017-01-09 2017-06-23 山东华软金盾软件股份有限公司 一种桌面文件隔离方法
CN109522744A (zh) * 2018-11-06 2019-03-26 北京指掌易科技有限公司 一种Android系统文件数据隔离保护方法
CN110390209A (zh) * 2019-07-25 2019-10-29 中国工商银行股份有限公司 生产数据访问方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231683A (zh) * 2006-12-12 2008-07-30 Secunet安全网络股份公司 用于计算机系统的安全数据处理方法
CN101520833A (zh) * 2009-04-10 2009-09-02 武汉大学 基于虚拟机的数据防泄漏系统及其方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009512939A (ja) * 2005-10-21 2009-03-26 ヴァー2アス インコーポレイテッド 複数のオペレーティングシステムのインスタンスが単一のマシン資源を安全に共有することを可能とする、オペレーティングシステムの仮想化、を有するコンピュータセキュリティ方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231683A (zh) * 2006-12-12 2008-07-30 Secunet安全网络股份公司 用于计算机系统的安全数据处理方法
CN101520833A (zh) * 2009-04-10 2009-09-02 武汉大学 基于虚拟机的数据防泄漏系统及其方法

Also Published As

Publication number Publication date
CN102004886A (zh) 2011-04-06

Similar Documents

Publication Publication Date Title
CN102004886B (zh) 一种基于操作系统虚拟化原理的数据防泄漏方法
US9729579B1 (en) Systems and methods for increasing security on computing systems that launch application containers
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
Li et al. Secure virtual machine execution under an untrusted management OS
Sgandurra et al. Evolution of attacks, threat models, and solutions for virtualized systems
Li et al. A trusted virtual machine in an untrusted management environment
JP6484255B2 (ja) 信頼実行環境を含むホストのアテステーション
US9628279B2 (en) Protecting application secrets from operating system attacks
US8839239B2 (en) Protection of virtual machines executing on a host device
US9407664B1 (en) Systems and methods for enforcing enterprise data access control policies in cloud computing environments
US8782351B2 (en) Protecting memory of a virtual guest
Li et al. Mycloud: supporting user-configured privacy protection in cloud computing
WO2013054528A1 (en) Protecting memory of a virtual guest
US10372628B2 (en) Cross-domain security in cryptographically partitioned cloud
US20100146267A1 (en) Systems and methods for providing secure platform services
KR101323858B1 (ko) 가상화 시스템에서 메모리 접근을 제어하는 장치 및 방법
WO2015070560A1 (zh) 基于多核处理器的密钥保护方法及系统
US20090240953A1 (en) On-disk software image encryption
CA2915068C (en) Systems and methods for directing application updates
CN101373441A (zh) 一种基于固件的虚拟化平台系统
Onarlioglu et al. Privexec: Private execution as an operating system service
Baig et al. CloudFlow: Cloud-wide policy enforcement using fast VM introspection
KR20120061249A (ko) 하이퍼바이저를 활용한 사용자 어플리케이션 메모리 보호방법
US9300691B1 (en) Systems and methods for enforcing secure network segmentation for sensitive workloads
WO2017213643A1 (en) Executing services in containers

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C17 Cessation of patent right
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120725

Termination date: 20131115