CN102667803B - 用于根据所分配的权限信息运行虚拟机的方法和设备 - Google Patents
用于根据所分配的权限信息运行虚拟机的方法和设备 Download PDFInfo
- Publication number
- CN102667803B CN102667803B CN201080060159.2A CN201080060159A CN102667803B CN 102667803 B CN102667803 B CN 102667803B CN 201080060159 A CN201080060159 A CN 201080060159A CN 102667803 B CN102667803 B CN 102667803B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- authority information
- authority
- running
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 230000004224 protection Effects 0.000 abstract description 12
- 230000005012 migration Effects 0.000 abstract description 6
- 238000013508 migration Methods 0.000 abstract description 6
- 230000006870 function Effects 0.000 description 14
- 238000005516 engineering process Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 4
- 238000004088 simulation Methods 0.000 description 4
- 230000008901 benefit Effects 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
Abstract
虚拟机在使用分布式计算机基础设施的情况下使用,以尽可能灵活地将计算负荷分布到各个计算机上。在此存在通过按照规则的或管理性的预先规定而鲁棒地实现对于使用虚拟机的期望限制的需求。本发明提供一种方法,利用该方法在借助数字权限管理和加密进行虚拟机的迁移、存储或运行时实现对该虚拟机的保护。为此向超级监视器或虚拟机监视器以及虚拟机扩展相应的功能。
Description
技术领域
本发明涉及允许有效地建立权限以运行虚拟机的方法以及设备。此外,本发明涉及用于保护虚拟机免遭未经授权的运行的方法。
背景技术
云计算提供基于新的商业模型提供服务的可能性。云计算服务在此可以在不同的层面上提供:
-基础设施:潜在的客户租用纯计算性能来实现其自己的服务。云计算为此使用或者集中位于一个地点或者也可以互连以提供灵活的服务的计算中心。
-平台:客户获得对平台的访问,该平台一方面包含用于提供服务的基础设施并且另一方面包含可用于产生服务的特定软件(中间件)。
-软件:客户获得对完整的、基于web来提供期望服务的应用的访问。
对所有方式都有共同的要求:所基于的基础设施应当可以根据调用而提供。在此,所提供的基础设施应当可以被尽可能灵活地处理,从而非常快速地扩展计算性能并且服务的分布可以动态地与计算机匹配。针对于此的可能性提供虚拟化的技术,借助该技术可以在计算机上通过所谓的超级监视器(Hypervisor)来实施完全独立的所谓虚拟机。现代的虚拟化解决方案可以用相应的硬件支持来对任意的操作系统、运行时间环境和应用进行虚拟化。运行的虚拟机可以随时存储在所谓的映像中并且在任意的其它计算机上用超级监视器再度反射进来并在那里继续实施。这被称为虚拟机的“迁移”。该技术过程的优点是,通过在一个服务器上实施多个虚拟机,服务器能更好地满负荷。另一个优点是,可以对各个虚拟机的提高或减少的要求进行灵活的反应。从而例如可以将具有提高的资源需求的虚拟机暂时转移到更强大的服务器上并在那里继续实施。
由于云计算供应商的基础设施的全球分布,虚拟机可以全世界范围地迁移。但是在此要注意法规要求的影响,例如在一些国家中禁止引入特定技术。此外有问题的是,云计算基础设施的用户位于被其它国家禁运的国家中。在这样的情况下,这样的客户的虚拟机仅允许在少数国家中实施或只能带有特定限制地实施。
此外,在虚拟机或者在运行时间迁移或者还为了存储在硬盘上以用于稍后的实施而迁移的情况下,要保证数据的安全性,以阻止对虚拟机的未经授权访问。
其它要求可以针对不同的客户期望而产生。云计算基础设施的潜在用户可能希望仍进一步限制用于提供服务的参与各方的范围。云计算服务的其它客户又希望确保特定的虚拟机在其云计算基础设施的专用主机上运行。
发明内容
因此,本发明的任务是说明一种用于存储、迁移和/或用于运行虚拟机的方法,利用该方法通过权限所有人建立可预先规定的权限并且阻止未经授权的访问。
根据本发明,在用于通过控制实体来保护虚拟机的方法中实施以下步骤:
-产生该虚拟机的副本,
-用秘密密钥对复制的虚拟机进行加密,
-提供至少一个包括所述秘密密钥和使用权限的权限信息,
-将所述权限信息分配给加密的虚拟机,
其中将加密的虚拟机以及所分配的权限信息可调用地存储起来,
以及可以根据可预先规定的使用权限对虚拟机进行解密和运行。
通过本发明的方法,保护虚拟机的映像(副本)不受未经授权的访问,而与该映像在哪里以及如何存储或传输无关。尤其是还实现防止对在基础设施运营商那里存储的映像进行离线分析的保护,因为所保护的映像以加密形式存在。
权限信息可以针对虚拟机的至少一部分来定义访问信息或访问权限。例如可以使例如借助IP地址和/或IP范围设定的特定的计算单元仅对虚拟机的各个部分获得权限。这些权限例如还可以是虚拟机与云计算基础设施中的专用计算机的结合。在此,特定的虚拟机只允许在特定的、已设定的计算机上实施或者只允许在满足特定标准(例如国家,对计算机池的所属性)的计算机上实施。但是,这些权限也可以涉及只允许实施特定虚拟机的计算机。因此,在此对于计算机来说受限的是,其允许实施哪些特定虚拟机或虚拟机必须满足哪些标准(例如仅仅分配给特定用户的虚拟机)才允许该计算机实施该虚拟机。权限信息描述了特定的活动方针对所提供的虚拟机具有哪些使用权限或使用限制。
针对通过主机的实施的使用限制例如涉及:
-外部控制的功能
-虚拟机的拥有者已定义的权限,例如实施国家、基础设施所属于的供应商、公司策略预先规定等等,
-通过云计算供应商对实施环境的限制,例如用于分离客户。
-只有具有特定服务水平协议的客户(优质客户)才有权得到的功能。
权限信息可以与虚拟机一起和/或与虚拟机分开地提供。
此外可以由第一服务器提供权限信息而由第二服务器提供虚拟机。
如果为了实施虚拟机还需要其它单元,则权限信息同样可以指定这些其它单元。
根据本发明,在一种通过控制实体根据权限信息来运行虚拟机的方法中实施以下步骤:
-请求分配给虚拟机的至少一个权限信息,
-从至少一个所请求的权限信息中确定用于运行虚拟机的使用权限,以及
-在确定用于运行虚拟机的使用权限时从至少一个所请求的权限信息中确定密钥,
-利用所确定的密钥对虚拟机进行解密并且在所确定的使用权限的范围内运行解密的虚拟机。
通过虚拟机可以执行模拟、仿真、虚拟化和/或其至少一部分。例如,虚拟机部分通过仿真以及部分通过虚拟化来执行。在此,主系统(也称为客系统)的物理硬件单元被模拟。例如,该主系统包括根据交换数据载体起读取设备作用的物理硬件单元。可以在虚拟机中根据模拟来模仿例如CD读取设备的物理硬件单元。在此,虚拟机提供物理CD读取设备的至少一部分功能。虚拟机由此可以是一定数量的控制指令,这些控制指令提供一个物理硬件单元或多个相互作用的物理硬件单元。由此根据至少一个所提供的权限信息产生的虚拟机因此是根据所提供的规范的主系统反映。
对物理硬件单元的模拟尤其是在该物理硬件单元处于运行中并且该运行不能中断的情况下是有利的。如果该物理硬件单元例如提供服务,则可以对该物理硬件单元进行模拟,并且在使用所模拟的虚拟硬件单元的情况下可以确定对该物理硬件单元的要求参数。由此所提供的服务可以在不中断物理硬件单元的情况下提供。尤其是可以基于软件来执行硬件单元的模拟。为此可以在不修改物理计算机系统的情况下系统地以及可重现地改变运行参数记录。
所述模拟也可以促成仿真或虚拟化。在此,仿真可以包括通过虚拟硬件单元来部分提供功能,其中没有提供的功能可以由物理硬件单元提供。在此,虚拟化可以包括通过虚拟硬件单元提供功能。所模拟的硬件单元虚拟地存在并且例如通过软件部件和/或通过库来描述和/或模拟。物理硬件单元物理地、即物质地存在。
仿真可以包括通过虚拟硬件单元部分提供功能,其中未提供的功能可由物理硬件单元提供。例如,在仿真时可以通过虚拟硬件单元对硬盘的第一数据组实施读取访问,并且通过物理硬件单元对硬盘的第二数据组进行写入访问。
虚拟化在此描述通过虚拟硬件单元来完整地提供功能。例如,在对物理硬盘的虚拟化情况下通过虚拟硬盘实施物理硬盘的功能,例如数据组的读取和写入。在此,虚拟硬盘是通过仿真或虚拟化提供物理硬盘的功能的虚拟硬件单元。例如存储容量的虚拟硬件单元的运行参数在此可以在使用物理硬盘的情况下提供。
由此,将物理计算机系统模拟为虚拟计算机系统,其中虚拟计算机系统又可以由多个虚拟硬件单元组成。
因此,通过权限信息可以更精细地以及关于多个特性地描述对虚拟机的访问和使用权限。
在根据本发明的方法的另一实施方式中,依据权限信息产生针对虚拟机的策略。这所具有的优点是,可以重新使用已经建立的用于使用虚拟机的方法。
在根据本发明的方法的另一实施方式中,依据所产生的策略来配置、描述和/或实施虚拟机。这所具有的优点是,该策略既可以在虚拟机的运行时间又可以在虚拟机的产生时间应用。
本发明的其它有利设计是从属权利要求以及下面描述的实施例的主题。下面参照附图借助示例性实施详细阐述本发明。
附图说明
图1示出使用超级监视器来运行虚拟机的本发明方法的第一系统架构的框图,
图2示出使用虚拟机监视器来运行虚拟机的本发明方法的第二系统架构的框图。
具体实施方式
在虚拟化的情况下在虚拟机中实施客-运行系统(Gast-Betriebssystem)。虚拟机是实施为软件的虚拟计算机。但是虚拟机在主机、也就是物理存在的计算机上实施。在物理计算机上可以同时运行多个虚拟机。
超级监视器或虚拟机监视器(VMM)是为虚拟机提供环境的虚拟化软件。该虚拟化软件可以区分为类型1和类型2。类型1在无其它软件的情况下直接在硬件上运行。类型2安装在经过充分训练的操作系统上。
在类型1中,平台提供虚拟化解决方案作为自己的层或作为主操作系统。客系统在自己的容器中运行。类型1超级监视器一般消耗少量资源,但是必须自己拥有用于所有硬件的驱动器。
在类型2中,虚拟化软件在标准操作系统上运行,在该标准操作系统中又可以运行客操作系统。并行地还可以在主机上运行原生应用程序。类型2超级监视器使用它所运行于的操作系统的设备驱动器。
虚拟机迁移使得虚拟机可以从一个物理主机移动到另一个物理主机。在此,主要是虚拟机的存储器反映(映像)从一个主机发送到另一个主机。该迁移也可以在正在进行的运行中发生。
本发明的一个方面是,在虚拟机的迁移时或在该虚拟机被存储在映像中时借助数字权限管理装置实现该虚拟机的保护。为此超级监视器或虚拟机监视器以及虚拟机被扩展相应的功能。
权限管理装置的示例例如是企业权限管理(ERM)。这例如与文档的存储地点无关地实现了对所述文档的访问保护。受保护的文档可以由经过授权的使用者仅相应于其为此有效的访问权限打开和处理,而与所述文档存储在什么存储装置上或所述文档被发送给哪个计算单元无关。未给予访问权限的未经授权的局外人不能用该文档的例如被电子发送的副本来获得信息。
在常规的方法中,文档的加密根据至少一种加密算法进行。文档的发行者在其释放该文档之前对该文档加密并且在权限信息中附加地定义特殊用户或小组对该文档的内容的权限。被加密的文件可以与该权限信息一起发送到ERM服务器。此外,权限信息可以具有被用于对所述文档加密的密钥。由于该密钥同样表示秘密信息,因此可以用ERM服务器的公共密钥对权限信息加密,并且发行者可以对权限信息进行数字签名。
除了表示权限管理装置的中心部分的ERM服务器之外,还存在安装在每一个访问机上的ERM客户机,所述访问机希望读取受访问保护的文档。在此,ERM客户机可以进行与ERM服务器的通信,以确定密钥和存在的文档的权限。ERM客户机可以将所读取的权限转发给为遵守所述权限而设置的另外的读取单元。该文档的解密可以由ERM客户机进行,该ERM客户机此外在稍后的时刻实施可能需要的重新的加密。所述密钥可以通过ERM客户机借助加密技术对其它读取单元保持秘密。为此,在常规的方法中使用加密技术或隐藏技术,如所谓的代码混淆。
根据本发明,现在超级监视器或虚拟机监视器包括能够从服务器请求被分配给虚拟机的映像的权限信息并对此进行分析的客户机作为附加功能。超级监视器或虚拟机监视器也可以例如在虚拟机的迁移或存储之前定义分配给该虚拟机的权限。此外,超级监视器或虚拟机监视器可以产生相应的权限信息并且存储在服务器上。通过这种方式,虚拟机的映像受到保护,以依据预先规定的权限相应限制虚拟机的容许的实施环境。
这些限制可以是虚拟机与在云计算基础设施中的专用计算机的结合。在此,特定的虚拟机只允许在特定的所设定的计算机上实施或者只允许在满足特定标准(例如国家,对计算机池的所属性)的计算机上实施。但是,这些限制也可以涉及只允许实施特定虚拟机的计算机。因此,在此对于计算机来说限制其允许实施哪些特定的虚拟机或者虚拟机必须满足哪些标准该计算机才允许实施该虚拟机(例如只有被分配给特定用户的虚拟机)。
图1示意性示出第一计算机系统R,其在用于保护和/或用于运行虚拟机的本发明方法的实施方式中可以用作虚拟化的主系统。该主系统具有很多硬件部件HW,例如网络适配器NIC和硬盘HD。在主计算机R上采用构成为类型1的超级监视器的主操作系统H-OS。超级监视器包括ERM客户机并且管理两个权限对象RO1和RO2,这两个权限对象分别定义用于实施虚拟机的使用权限。这些权限对象直接与各自的虚拟机结合。
在主操作系统H-OS上运行两个ERM所保护的虚拟机VM1和VM2。通过超级监视器分别提供具有虚拟网络适配器VNIC1,VNIC2和虚拟硬盘VHD1,VHD2的虚拟硬件V-HW1,V-HW2。在虚拟机中分别运行客操作系统G-OS1和G-OS2。此外在各自虚拟机的用户模式G1-UL,G2-UL中运行应用程序AP。
通过网络适配器NIC,计算机与网络连接,通过该网络例如可以接触ERM服务器。
图2示出第二计算机系统R,其在用于保护和/或用于运行虚拟机的本发明方法的实施方式中可以用作虚拟化的主系统。该主系统具有很多硬件部件HW,例如网络适配器NIC和硬盘HD。在主计算机R上采用主操作系统H-OS。在此可以提供也称为用户国家的用户模式H-UL,在该用户模式中实施应用程序AP。在该图2中,采用很多实施程序,这些实施程序分别称为AP。因此,应用程序AP可以分别是不同的应用程序AP。
此外在主计算机R上实施类型2的虚拟机监视器VMM,其提供虚拟的实施环境。虚拟机监视器VMM包括ERM客户机并且管理两个分别定义用于实施虚拟机的使用权限的权限对象RO1。权限对象RO1,RO2直接与各自的虚拟机结合。
此外,对两个ERM保护的虚拟机VM1和VM2进行实施。通过虚拟机监视器VMM分别提供具有虚拟网络适配器VNIC1,VNIC2和虚拟硬盘VHD1,VHD2的虚拟硬件V-HW1,V-HW2。在虚拟机VM中分别运行客操作系统G-OS1,G-OS2。在各自虚拟机VM的用户模式G1-UL,G2-UL中实施多个应用程序AP。
此外,计算机R通过网络适配器NIC与网络连接,使得可以响应权限服务器。
在根据本发明的用于运行虚拟机的方法的实施方式中,在第一或第二计算机系统R上在虚拟机于各自的计算机系统上启动之前通过超级监视器的ERM客户机检验VM映像的使用条件。依据该结果保证或拒绝VM的实施。
为此,通过为此包括ERM客户机的功能的超级监视器执行以下步骤:
-接收用于启动特定VM的信号
-加载待启动的VM的ERM保护的VM映像
-相对于权限服务器(ERM服务器)进行验证
-从权限服务器(ERM服务器)请求分配给待启动的VM的权限信息
-确定用于启动该VM的权限
-在否定情况下:中止(VM的实施被拒绝)
-在肯定情况下:从权限信息中确定密钥;取消ERM保护的VM映像的ERM保护(即借助所确定的密钥对VM映像进行解密);实施经解密的VM映像。
在根据本发明的用于保护虚拟机的方法的实施方式中,在第一或第二计算机系统R上在虚拟机迁移或存储虚拟机的映像时通过超级监视器执行以下步骤:
-接收用于结束特定VM的实施的信号
-结束VM实施
-产生(不受保护的)经过修改的VM映像(该VM映像一般而言不同于原始的VM映像,该原始的VM映像在上面已经加载,因为VM已经被实施并且从而其状态已改变,例如改变后的数据)。替换的,在此产生包含运行时间数据并且与实际的VM影像结合的第二映像。这使得一般地在任意时刻分配VM映像,使得在运行时间迁移时还只需要传输运行时数据。
-将ERM保护应用于(不受保护的)经过修改的VM映像并且产生经过修改的ERM保护的VM映像。为此用密钥对经过修改的VM映像进行加密,以获得ERM保护的经过修改的VM映像。为此有利地使用上面用于解密的密钥。替换的,可以使用新的密钥,例如(伪)随机生成的密钥,然后将该新的密钥传输到ERM服务器。
-迁移ERM保护的VM映像,或存储ERM保护的VM映像。
虚拟机的受保护映像的权限在ERM服务器上例如通过管理员来管理。
所描述的方法步骤可以迭代地和/或按照其它顺序实施。
通过所建议的解决方案可以在基础设施供应商中灵活地控制虚拟机的实施。由此可以鲁棒地实现按照规则的或通过管理性的预先规定而期望的限制。这涉及虚拟机的一般实施、虚拟机的映像在数据存储器上的存储以及还涉及迁移到另一计算机。通过所应用的措施,对于运营商和对于使用者来说存在控制和影响虚拟机的实施环境的可能性。
Claims (8)
1.用于保护虚拟机的方法,其中在所述虚拟机位于计算机系统上时通过控制实体实施以下步骤:
-产生虚拟机的副本,
-用秘密密钥对复制的虚拟机进行加密,
-提供至少一个包括所述秘密密钥、使用限制和使用权限的权限信息,
-将所述权限信息分配给加密的虚拟机,
其中将加密的虚拟机以及所分配的权限信息可调用地并且防止未经授权的访问地存储起来,
以及能够根据可预先规定的使用权限对虚拟机进行解密和运行。
2.根据权利要求1的方法,其中至少一个所提供的权限信息具有使用限制、对访问权限的提示、和/或时间戳。
3.根据权利要求2的方法,其中所述访问权限是计算机系统的访问权限。
4.根据权利要求1至3之一的方法,其中借助服务器存储和/或提供权限信息。
5.根据权限信息来运行根据权利要求1至4之一的方法加密的虚拟机的方法,其中通过控制实体实施以下步骤:
-请求分配给虚拟机的至少一个权限信息,
-从至少一个所请求的权限信息中确定用于运行虚拟机的使用权限,以及
-在确定用于运行虚拟机的使用权限时从至少一个所请求的权限信息中确定密钥,
-利用所确定的密钥对虚拟机进行解密并且在所确定的使用权限的范围内运行解密的虚拟机。
6.根据权利要求5的方法,其中依据权限信息产生针对虚拟机的策略。
7.根据权利要求6的方法,其中依据所产生的策略来配置、运行和/或实施虚拟机。
8.用于根据权限信息来运行根据权利要求1至4之一的方法加密的虚拟机的设备,具有实施以下步骤的控制装置:
-请求分配给虚拟机的至少一个权限信息,
-从至少一个所请求的权限信息中确定用于运行虚拟机的使用权限,以及
-在确定用于运行虚拟机的使用权限时从至少一个所请求的权限信息中确定密钥,
-利用所确定的密钥对虚拟机进行解密并且在所确定的使用权限的范围内运行解密的虚拟机。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102009060686.6 | 2009-12-29 | ||
DE102009060686A DE102009060686A1 (de) | 2009-12-29 | 2009-12-29 | Verfahren und Vorrichtung zum Betreiben einer virtuellen Maschine gemäß einer zugeordneten Rechteinformation |
PCT/EP2010/068142 WO2011080013A1 (de) | 2009-12-29 | 2010-11-24 | Verfahren und vorrichtung zum betreiben einer virtuellen maschine gemäss einer zugeordneten rechteinformation |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102667803A CN102667803A (zh) | 2012-09-12 |
CN102667803B true CN102667803B (zh) | 2016-07-06 |
Family
ID=43567733
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201080060159.2A Expired - Fee Related CN102667803B (zh) | 2009-12-29 | 2010-11-24 | 用于根据所分配的权限信息运行虚拟机的方法和设备 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20120324239A1 (zh) |
EP (1) | EP2488986B1 (zh) |
CN (1) | CN102667803B (zh) |
DE (1) | DE102009060686A1 (zh) |
WO (1) | WO2011080013A1 (zh) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9600332B2 (en) * | 2009-04-28 | 2017-03-21 | Cisco Technology, Inc. | Server load balancing based on virtual utilization, physical utilization, and feedback |
US8825550B2 (en) * | 2012-08-23 | 2014-09-02 | Amazon Technologies, Inc. | Scaling a virtual machine instance |
CN103488937B (zh) | 2013-09-16 | 2017-02-22 | 华为技术有限公司 | 一种度量方法、电子设备及度量系统 |
US9652276B2 (en) | 2014-09-17 | 2017-05-16 | International Business Machines Corporation | Hypervisor and virtual machine protection |
US10509733B2 (en) | 2017-03-24 | 2019-12-17 | Red Hat, Inc. | Kernel same-page merging for encrypted memory |
US10209917B2 (en) | 2017-04-20 | 2019-02-19 | Red Hat, Inc. | Physical memory migration for secure encrypted virtual machines |
US10379764B2 (en) | 2017-05-11 | 2019-08-13 | Red Hat, Inc. | Virtual machine page movement for encrypted memory |
US10771439B2 (en) * | 2017-06-28 | 2020-09-08 | Microsoft Technology Licensing, Llc | Shielded networks for virtual machines |
US11354420B2 (en) | 2017-07-21 | 2022-06-07 | Red Hat, Inc. | Re-duplication of de-duplicated encrypted memory |
CN109165080A (zh) * | 2018-08-10 | 2019-01-08 | 云宏信息科技股份有限公司 | 虚拟机在线迁移过程内存数据的保护方法、装置及物理机 |
US11614956B2 (en) | 2019-12-06 | 2023-03-28 | Red Hat, Inc. | Multicast live migration for encrypted virtual machines |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070250833A1 (en) * | 2006-04-14 | 2007-10-25 | Microsoft Corporation | Managing virtual machines with system-wide policies |
CN101339589A (zh) * | 2008-08-14 | 2009-01-07 | 普华优科(北京)科技有限公司 | 一种利用虚拟机技术实现信息安全的方法 |
US20090249329A1 (en) * | 2008-03-25 | 2009-10-01 | Sambit Kumar Dash | Limited service life through virtualized service images |
US20090282266A1 (en) * | 2008-05-08 | 2009-11-12 | Microsoft Corporation | Corralling Virtual Machines With Encryption Keys |
CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑系统有限公司 | 一种基于虚拟系统的数据存储设备加密方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8370819B2 (en) * | 2005-03-25 | 2013-02-05 | Microsoft Corporation | Mechanism to store information describing a virtual machine in a virtual disk image |
US8949826B2 (en) * | 2006-10-17 | 2015-02-03 | Managelq, Inc. | Control and management of virtual systems |
US8125986B2 (en) * | 2007-01-19 | 2012-02-28 | International Business Machines Corporation | Method for enabling secure usage of computers using a mechanism lockdown |
US8966082B2 (en) * | 2009-02-10 | 2015-02-24 | Novell, Inc. | Virtual machine address management |
-
2009
- 2009-12-29 DE DE102009060686A patent/DE102009060686A1/de not_active Withdrawn
-
2010
- 2010-11-24 EP EP10784774.1A patent/EP2488986B1/de not_active Not-in-force
- 2010-11-24 CN CN201080060159.2A patent/CN102667803B/zh not_active Expired - Fee Related
- 2010-11-24 US US13/519,991 patent/US20120324239A1/en not_active Abandoned
- 2010-11-24 WO PCT/EP2010/068142 patent/WO2011080013A1/de active Application Filing
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070250833A1 (en) * | 2006-04-14 | 2007-10-25 | Microsoft Corporation | Managing virtual machines with system-wide policies |
US20090249329A1 (en) * | 2008-03-25 | 2009-10-01 | Sambit Kumar Dash | Limited service life through virtualized service images |
US20090282266A1 (en) * | 2008-05-08 | 2009-11-12 | Microsoft Corporation | Corralling Virtual Machines With Encryption Keys |
CN101339589A (zh) * | 2008-08-14 | 2009-01-07 | 普华优科(北京)科技有限公司 | 一种利用虚拟机技术实现信息安全的方法 |
CN101587524A (zh) * | 2009-06-23 | 2009-11-25 | 上海北大方正科技电脑系统有限公司 | 一种基于虚拟系统的数据存储设备加密方法 |
Also Published As
Publication number | Publication date |
---|---|
US20120324239A1 (en) | 2012-12-20 |
CN102667803A (zh) | 2012-09-12 |
WO2011080013A1 (de) | 2011-07-07 |
DE102009060686A1 (de) | 2011-06-30 |
EP2488986B1 (de) | 2018-03-28 |
EP2488986A1 (de) | 2012-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102667803B (zh) | 用于根据所分配的权限信息运行虚拟机的方法和设备 | |
US11100253B2 (en) | Enforcing restrictions related to a virtualized computer environment | |
US9483662B2 (en) | Method and apparatus for remotely provisioning software-based security coprocessors | |
TWI526931B (zh) | 用於虛擬機器之繼承產品啟動 | |
CN102495750B (zh) | 用于部署虚拟桌面的方法和系统 | |
AU2020234675B2 (en) | Binding secure keys of secure guests to a hardware security module | |
CN102208001B (zh) | 硬件支持的虚拟化密码服务 | |
CN105184154B (zh) | 一种在虚拟化环境中提供密码运算服务的系统和方法 | |
US20120284702A1 (en) | Binding applications to device capabilities | |
CN102667791B (zh) | 用于根据提供的权限信息访问控制数据的方法和装置 | |
EP3935536B1 (en) | Secure execution guest owner controls for secure interface control | |
JP2023511834A (ja) | セキュア・ゲストへのセキュリティ・モジュールのセキュア・オブジェクトのバインディング | |
US11829495B2 (en) | Confidential data provided to a secure guest via metadata | |
CN105324774A (zh) | 许可程序的装置、程序交易装置及其许可程序的方法 | |
US12105805B2 (en) | Binding secure keys of secure guests to a hardware security module |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160706 Termination date: 20191124 |