CN102811239B - 一种虚拟机系统及其安全控制方法 - Google Patents
一种虚拟机系统及其安全控制方法 Download PDFInfo
- Publication number
- CN102811239B CN102811239B CN201110148997.1A CN201110148997A CN102811239B CN 102811239 B CN102811239 B CN 102811239B CN 201110148997 A CN201110148997 A CN 201110148997A CN 102811239 B CN102811239 B CN 102811239B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- monitor
- sent
- authentication result
- guest
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Abstract
本发明公开了一种虚拟机系统,包括:管理虚拟机,用于认证客户虚拟机,并将认证结果发送到虚拟机监控器;虚拟机监控器,用于将客户虚拟机发来的访问请求转发给管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发来的认证结果转发至安全虚拟机;按照访问权限访问物理资源并向客户虚拟机返回访问结果;客户虚拟机,用于将访问请求和认证结果发送给虚拟机监控器;安全虚拟机,用于颁发客户虚拟机的访问权限给虚拟机监控器;本发明同时还公开了一种虚拟机系统的安全控制方法。通过本发明的方案,既可以降低虚拟机监控器的工作负载,又能灵活控制客户虚拟机的访问权限,有效地控制客户虚拟机对物理资源的访问。
Description
技术领域
本发明涉及云计算的虚拟化技术,尤其涉及一种虚拟机系统及其安全控制方法。
背景技术
云计算带给商业领域一个提供和消费信息技术(IT)服务的新时代。云计算强化了协作、敏捷、扩展性、可用性,以及通过优化的、更有效率的计算来降低成本的潜能。更具体的说,云计算描述了由“资源池”化的计算、网络、信息和存储等组成的服务、应用、信息和基础设施等的使用。这些组件可以迅速策划、置备、部署和退役,并且可以迅速扩充或缩减,提供按需的、效用计算类似的分配和消费模式。
美国国家标准技术研究院(NIST,National Institute of StandardsandTechnology)给云计算定义了五个关键特征,即按需自服务、宽带接入、虚拟化的“资源池”、快速弹性架构、可测量的服务。多租户作为云计算的本质特征,也是云计算的重要因素。
云计算系统之所以能够自动控制优化某种服务的资源使用,是因为利用了经过某种程度抽象的测量能力。在云计算中,虚拟化技术是将资源抽象的重要选择技术之一。
在虚拟机化技术中,根据虚拟的实体不同,可以分为不同类型的虚拟化。其中,系统虚拟化技术是被广泛认识的一种虚拟化技术。
系统虚拟化的核心思想是虚拟化软件在一台物理机上虚拟出一台或多台虚拟机。虚拟机运行在一个隔离环境中,是具有完整硬件功能的逻辑计算机系统,包括客户操作系统和其中的应用程序。在虚拟机系统中,多个操作系统可以互不影响地在同一台物理机上同时运行,复用物理资源。
在X86服务器中,使用虚拟机技术可以提高服务器的利用率。虚拟机系统已经得到大规模的商用。
尽管虚拟化技术得到迅猛发展,但是虚拟机系统的安全技术却严重滞后。在虚拟机上运行各种服务,并保障系统安全,要比在单一计算机上复杂的多。虚拟机系统的安全威胁很多,例如虚拟机之间攻击、资源占用以及逃逸威胁等。因此,在使用虚拟机带来应用和管理便利的同时,应该更加重视解决虚拟安全问题,研究虚拟机安全机制。
发明内容
有鉴于此,本发明的主要目的在于提供一种虚拟机系统及其安全控制方法,既能实现控制客户虚拟机对物理资源的访问,又能防止虚拟机之间的攻击、资源占用以及逃逸威胁等安全威胁。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供的一种虚拟机系统,该系统包括:管理虚拟机、虚拟机监控器、客户虚拟机、安全虚拟机;其中,
所述管理虚拟机,用于认证客户虚拟机,并将认证结果发送到虚拟机监控器;
所述虚拟机监控器,用于将客户虚拟机发来的访问请求转发给管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发送的认证结果转发给安全虚拟机;按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果;
所述客户虚拟机,用于将访问请求和认证结果发送给虚拟机监控器;
所述安全虚拟机,用于颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器。
上述方案中,所述虚拟机监控器包括:安全代理和虚拟机监控器内核;其中,
所述安全代理,用于将客户虚拟机发来的访问请求转发至管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发来的认证结果转发至安全虚拟机;
所述虚拟机监控器内核,用于按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果。
上述方案中,所述管理虚拟机包括:认证模块和数据库;其中,
所述认证模块,用于根据客户虚拟机的访问请求在数据库中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器;在查找不到时,所述认证模块将认证失败的认证结果发送到虚拟机监控器;
所述数据库,用于存储客户虚拟机信息。
上述方案中,所述安全虚拟机包括:安全引擎模块和安全策略模块;其中
所述安全策略模块,用于预先存储与认证结果中内容对应的安全策略;
所述安全引擎模块,用于根据认证结果查找相应的安全策略,对所述认证结果对应的客户虚拟机分配访问权限,并将所述访问权限发送给虚拟机监控器。
上述方案中,所述访问请求包括:客户虚拟机标识(ID)和资源编号。
上述方案中,所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识。
本发明提供的一种虚拟机系统的安全控制方法,在虚拟机系统中设置管理虚拟机和安全虚拟机,该方法还包括:
客户虚拟机发送访问请求给虚拟机监控器;
虚拟机监控器将访问请求转发给管理虚拟机;
管理虚拟机认证客户虚拟机,并将认证结果发送到虚拟机监控器;
虚拟机监控器将所述认证结果转发给客户虚拟机;
客户虚拟机发送认证结果给虚拟机监控器;
虚拟机监控器将客户虚拟机发来的认证结果转发至安全虚拟机;
安全虚拟机颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
虚拟机监控器按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果。
上述方案中,所述管理虚拟机认证客户虚拟机,并将认证结果发送到虚拟机监控器,为:管理虚拟机根据客户虚拟机的访问请求在数据库中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器;在查找不到时,将认证失败的认证结果发送到虚拟机监控器。
上述方案中,所述访问请求包括:客户虚拟机ID和资源编号。
上述方案中,所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识。
本发明提供了一种虚拟机系统及其安全控制方法,该虚拟机系统包括:管理虚拟机,用于对客户虚拟机进行认证,并将认证结果发送到虚拟机监控器;虚拟机监控器,用于将客户虚拟机发来的访问请求转发至管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发来的认证结果转发至安全虚拟机;按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果;客户虚拟机,用于将访问请求和认证结果发送给虚拟机监控器;安全虚拟机,用于根据认证结果和安全策略,颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;如此,既可以在不降低虚拟机监控器的安全性的情况下降低虚拟机监控器的工作负载,又能灵活控制客户虚拟机的访问权限,有效地控制客户虚拟机对物理资源的访问,防止虚拟机系统中的虚拟机之间的攻击、资源占用以及逃逸威胁等安全威胁。
附图说明
图1为本发明实现一种虚拟机系统的结构示意图;
图2为本发明实现一种虚拟机系统的安全控制方法的流程示意图;
图3为本发明实施例一实现虚拟机系统的安全控制方法的流程示意图;
图4为本发明实施例二实现虚拟机系统的安全控制方法的流程示意图。
具体实施方式
本发明的基本思想是:虚拟机系统包括:管理虚拟机,用于对客户虚拟机进行认证,并将认证结果发送到虚拟机监控器;虚拟机监控器,用于将客户虚拟机发来的访问请求转发至管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发来的认证结果转发至安全虚拟机;按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果;客户虚拟机,用于将访问请求发送给虚拟机监控器;在收到虚拟机监控器发来的认证结果后,将认证结果发送给虚拟机监控器;安全虚拟机,用于根据认证结果和安全策略,颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器。
下面通过附图及具体实施例对本发明做进一步的详细说明。
本发明实现一种虚拟机系统,如图1所示,该系统包括:管理虚拟机11、虚拟机监控器12、客户虚拟机13、安全虚拟机14;其中,
所述管理虚拟机11,用于对客户虚拟机13进行认证,并将认证结果发送到虚拟机监控器12;
所述虚拟机监控器12,用于将客户虚拟机13发来的访问请求转发给管理虚拟机11;将管理虚拟机11发来的认证结果转发给客户虚拟机13;将客户虚拟机13发来的认证结果转发至安全虚拟机14;按照安全虚拟机14发来的访问权限访问物理资源,并向客户虚拟机13返回访问结果;
所述客户虚拟机13,用于将访问请求发送给虚拟机监控器12;在收到虚拟机监控器12发来的认证结果后,将认证结果发回给虚拟机监控器12;
所述安全虚拟机14,用于根据认证结果和安全策略,颁发客户虚拟机13的访问权限,并将访问权限发送给虚拟机监控器12。
所述客户虚拟机13,进一步用于在收到虚拟机监控器12发来的认证结果后,保存认证结果,以备下次请求访问资源时使用。
所述虚拟机监控器12包括:安全代理121和虚拟机监控器内核122;其中,
所述安全代理121,用于将客户虚拟机13发来的访问请求转发至管理虚拟机11;将管理虚拟机11发来的认证结果转发给客户虚拟机13;将客户虚拟机13发来的认证结果转发至安全虚拟机14;
所述虚拟机监控器内核122,用于按照安全虚拟机14发来的访问权限访问物理资源,并向客户虚拟机13返回访问结果;
所述管理虚拟机11包括:认证模块111和数据库112;其中,
所述认证模块111,用于根据客户虚拟机13的访问请求在数据库112中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器12;在查找不到时,将认证失败的认证结果发送到虚拟机监控器12;
所述访问请求包括:客户虚拟机标识(ID)和资源编号等;
所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识等;这里所述认证结果标识在认证通过时为认证通过标识,在认证失败时为认证失败标识;
所述认证结果进一步包括条件约束,所述条件约束可以是时间,即表示在所述时间内认证结果有效;
所述数据库112,用于存储客户虚拟机信息,例如客户虚拟机ID等。
所述安全虚拟机14包括:安全引擎模块141和安全策略模块142;其中
所述安全策略模块141,用于预先存储与认证结果中内容对应的安全策略;所述安全策略包括:认证失败时禁止访问、认证通过时允许访问、认证通过时访问次数限制和认证通过时访问时间限制等;
所述安全引擎模块142,用于根据认证结果查找相应的安全策略,对所述认证结果对应的客户虚拟机13分配访问权限,并将所述访问权限发送给虚拟机监控器12。
所述物理资源包括:CPU资源、内存资源、网络资源和存储资源等。
基于上述系统,本发明还提供一种虚拟机系统的安全控制方法,在虚拟机系统中设置管理虚拟机和安全虚拟机,如图2所示,该方法包括以下几个步骤:
步骤101:客户虚拟机向虚拟机监控器发送访问请求;
本步骤中,所述访问请求包括:客户虚拟机标识ID和资源编号等。
步骤102:虚拟机监控器捕获所述访问请求,并转发至管理虚拟机;
步骤103:管理虚拟机认证客户虚拟机,并将认证结果发送到虚拟机监控器;
具体的,管理虚拟机根据客户虚拟机的访问请求在数据库中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器;在查找不到时,将认证失败的认证结果发送到虚拟机监控器;
所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识等;这里所述认证结果标识在认证通过时为认证通过标识,在认证失败时为认证失败标识;
所述认证结果进一步包括条件约束,所述条件约束可以是时间,即表示在所述时间内认证结果有效;
所述数据库存储客户虚拟机信息,例如客户虚拟机ID等。
步骤104:虚拟机监控器将认证结果转发给客户虚拟机;
步骤105:客户虚拟机将认证结果保存并发回给虚拟机监控器;
步骤106:虚拟机监控器捕获所述认证结果,并将所述认证结果转发至安全虚拟机;
步骤107:安全虚拟机根据认证结果和安全策略,颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
具体的,安全虚拟机根据认证结果查找相应的安全策略,对所述认证结果对应的客户虚拟机分配访问权限,并将所述访问权限发送给虚拟机监控器。
本步骤进一步包括:预先根据认证结果包括的内容存储对应的安全策略;所述安全策略包括:认证失败时禁止访问、认证通过时允许访问、认证通过时访问次数限制和认证通过时访问时间限制等;
步骤108:虚拟机监控器获取访问权限后,访问物理资源;
所述物理资源包括:CPU资源、内存资源、网络资源和存储资源等。
步骤109:虚拟机监控器获取访问结果;
步骤110:虚拟机监控器将访问结果发回客户虚拟机。
下面结合具体实施例详细说明本发明的方法的实现过程和原理。
实施例一
本实施例中,在虚拟机系统中设置管理虚拟机和安全虚拟机,实现虚拟机系统的安全控制方法,如图3所示,该方法包括以下几个步骤:
步骤201:客户虚拟机向虚拟机监控器发送访问请求R1;
本步骤中,所述R1包括:客户虚拟机标识ID(IDv)和资源编号(Nv)等。
步骤202:虚拟机监控器的安全代理捕获R1,并转发至管理虚拟机;
步骤203:管理虚拟机认证客户虚拟机,并将认证结果(token1)发送到虚拟机监控器;
所述token1包括:IDv、Nv、认证结果标识(Av)和时间(Tv)等;这里所述Av在认证通过时为认证通过标识,在认证失败时为认证失败标识;所述Tv表示只要在时间Tv的范围内,客户虚拟机可以多次使用token1。
步骤204:虚拟机监控器的安全代理将token1转发至安全虚拟机;
步骤205:安全虚拟机根据token1和安全策略,颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
具体的,安全虚拟机根据token1查找相应的安全策略,在查找到的安全策略描述的访问权限为V时,将携带访问权限V的token2发送给虚拟机监控器,所述token2可以包含IDv、Nv、V,即token2={IDv,Nv,V}。
步骤206:虚拟机监控器获取访问权限后,访问物理资源;
所述物理资源包括:CPU资源、内存资源、网络资源和存储资源等。
步骤207:虚拟机监控器获取访问结果(Resultv);
步骤208:虚拟机监控器将Resultv发回客户虚拟机。
实施例二
本实施例中,在虚拟机系统中设置管理虚拟机和安全虚拟机,虚拟机监控器保存认证结果,实现虚拟机系统的安全控制方法,如图4所示,该方法包括以下几个步骤:
步骤301:客户虚拟机向虚拟机监控器发送访问请求R1;
本步骤中,所述R1包括:客户虚拟机标识ID(IDv)和资源编号(Nv)等。
步骤302:虚拟机监控器的安全代理捕获R1,并转发至管理虚拟机;
步骤303:管理虚拟机认证客户虚拟机,并将认证结果(token1)发送到虚拟机监控器;
所述token1包括:IDv、Nv、认证结果标识(Av)和时间(Tv)等;这里所述Av为认证通过时的认证通过标识;所述Tv表示只要在时间Tv的范围内,客户虚拟机可以多次使用token1。
步骤304:虚拟机监控器的安全代理保存token1,并建立记录表,在Tv的范围内token1有效,向客户虚拟机发送认证通过消息(S);
步骤305:客户虚拟机收到S后,再次发送R1给虚拟机监控器;
步骤306:虚拟机监控器的安全代理捕获R1,确定保存的token1在Tv范围内,将token1转发至安全虚拟机;
步骤307:安全虚拟机根据token1和安全策略,颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
具体的,安全虚拟机根据token1查找相应的安全策略,在查找到的安全策略描述的访问权限为V时,将携带访问权限V的token2发送给虚拟机监控器,所述token2可以包含IDv、Nv、V,即token2={IDv,Nv,V}。
步骤308:虚拟机监控器获取访问权限后,访问物理资源;
所述物理资源包括:CPU资源、内存资源、网络资源和存储资源等。
步骤309:虚拟机监控器获取访问结果(Resultv);
步骤310:虚拟机监控器将Resultv发回客户虚拟机。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (8)
1.一种虚拟机系统,其特征在于,该系统包括:管理虚拟机、虚拟机监控器、客户虚拟机、安全虚拟机;其中,
所述管理虚拟机,用于认证客户虚拟机,并将认证结果发送到虚拟机监控器;
所述虚拟机监控器,用于将客户虚拟机发来的访问请求转发给管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发送的认证结果转发给安全虚拟机;按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果;
所述客户虚拟机,用于将访问请求和认证结果发送给虚拟机监控器;
所述安全虚拟机,用于颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
所述管理虚拟机包括:认证模块和数据库;其中,
所述认证模块,用于根据客户虚拟机的访问请求在数据库中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器;在查找不到时,所述认证模块将认证失败的认证结果发送到虚拟机监控器;
所述数据库,用于存储客户虚拟机信息。
2.根据权利要求1所述的虚拟机系统,其特征在于,所述虚拟机监控器包括:安全代理和虚拟机监控器内核;其中,
所述安全代理,用于将客户虚拟机发来的访问请求转发至管理虚拟机;将管理虚拟机发来的认证结果转发给客户虚拟机;将客户虚拟机发来的认证结果转发至安全虚拟机;
所述虚拟机监控器内核,用于按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果。
3.根据权利要求1所述的虚拟机系统,其特征在于,所述安全虚拟机包括:安全引擎模块和安全策略模块;其中,
所述安全策略模块,用于预先存储与认证结果中内容对应的安全策略;
所述安全引擎模块,用于根据认证结果查找相应的安全策略,对所述认证结果对应的客户虚拟机分配访问权限,并将所述访问权限发送给虚拟机监控器。
4.根据权利要求1所述的虚拟机系统,其特征在于,所述访问请求包括:客户虚拟机标识(ID)和资源编号。
5.根据权利要求1所述的虚拟机系统,其特征在于,所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识。
6.一种虚拟机系统的安全控制方法,其特征在于,在虚拟机系统中设置管理虚拟机和安全虚拟机,该方法还包括:
客户虚拟机发送访问请求给虚拟机监控器;
虚拟机监控器将访问请求转发给管理虚拟机;
管理虚拟机认证客户虚拟机,并将认证结果发送到虚拟机监控器;
虚拟机监控器将所述认证结果转发给客户虚拟机;
客户虚拟机发送认证结果给虚拟机监控器;
虚拟机监控器将客户虚拟机发来的认证结果转发至安全虚拟机;
安全虚拟机颁发客户虚拟机的访问权限,并将访问权限发送给虚拟机监控器;
虚拟机监控器按照安全虚拟机发来的访问权限访问物理资源,并向客户虚拟机返回访问结果;
其中,所述管理虚拟机认证客户虚拟机,并将认证结果发送到虚拟机监控器,为:管理虚拟机根据客户虚拟机的访问请求在数据库中查找对应的客户虚拟机信息,在查找到时,将认证通过的认证结果发送到虚拟机监控器;在查找不到时,将认证失败的认证结果发送到虚拟机监控器。
7.根据权利要求6所述的安全控制方法,其特征在于,所述访问请求包括:客户虚拟机ID和资源编号。
8.根据权利要求6所述的安全控制方法,其特征在于,所述认证结果包括:客户虚拟机ID、资源编号和认证结果标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110148997.1A CN102811239B (zh) | 2011-06-03 | 2011-06-03 | 一种虚拟机系统及其安全控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201110148997.1A CN102811239B (zh) | 2011-06-03 | 2011-06-03 | 一种虚拟机系统及其安全控制方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102811239A CN102811239A (zh) | 2012-12-05 |
CN102811239B true CN102811239B (zh) | 2017-09-12 |
Family
ID=47234814
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201110148997.1A Active CN102811239B (zh) | 2011-06-03 | 2011-06-03 | 一种虚拟机系统及其安全控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102811239B (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103458003B (zh) * | 2013-08-15 | 2016-11-16 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
CN104519026B (zh) * | 2013-09-30 | 2018-11-30 | 中国电信股份有限公司 | 虚拟机的安全接入控制实现方法和系统 |
CN104717269A (zh) * | 2013-12-17 | 2015-06-17 | 北京合众思壮科技股份有限公司 | 用于位置服务的云公共平台计算机资源监控和调度方法 |
CN104901923B (zh) | 2014-03-04 | 2018-12-25 | 新华三技术有限公司 | 一种虚拟机访问装置和方法 |
CN103870749B (zh) * | 2014-03-20 | 2017-11-07 | 中国科学院信息工程研究所 | 一种实现虚拟机系统的安全监控系统及方法 |
CN105162788B (zh) * | 2015-09-17 | 2019-07-26 | 深信服科技股份有限公司 | 网络权限的控制系统及方法 |
CN105303102A (zh) * | 2015-11-03 | 2016-02-03 | 浪潮电子信息产业股份有限公司 | 一种虚拟机的安全访问方法及虚拟机系统 |
CN105512553A (zh) * | 2015-11-26 | 2016-04-20 | 上海君是信息科技有限公司 | 一种预防虚拟机逃逸攻击的访问控制方法 |
CN105511940B (zh) * | 2015-11-30 | 2019-02-01 | 云宏信息科技股份有限公司 | 一种Xen虚拟化中授权虚拟机访问Xenstore的方法及系统 |
CN106845215B (zh) * | 2016-12-30 | 2020-04-14 | 北京瑞星网安技术股份有限公司 | 基于虚拟化环境下的安全防护方法及装置 |
CN107623676B (zh) * | 2017-07-31 | 2021-01-08 | 苏州浪潮智能科技有限公司 | 一种无代理杀毒虚拟机的授权方法及装置 |
CN108762874A (zh) * | 2018-05-30 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种虚拟化系统资源展示方法、装置及系统 |
CN109324873A (zh) * | 2018-09-21 | 2019-02-12 | 郑州云海信息技术有限公司 | 虚拟化安全管理方法、运行内核驱动的设备及存储介质 |
CN109358949A (zh) * | 2018-10-18 | 2019-02-19 | 郑州云海信息技术有限公司 | 一种虚拟机系统安全受控装置 |
US11347529B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Inject interrupts and exceptions into secure virtual machine |
US11308215B2 (en) | 2019-03-08 | 2022-04-19 | International Business Machines Corporation | Secure interface control high-level instruction interception for interruption enablement |
US10956188B2 (en) | 2019-03-08 | 2021-03-23 | International Business Machines Corporation | Transparent interpretation of guest instructions in secure virtual machine environment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070204078A1 (en) * | 2006-02-09 | 2007-08-30 | Intertrust Technologies Corporation | Digital rights management engine systems and methods |
-
2011
- 2011-06-03 CN CN201110148997.1A patent/CN102811239B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1953391A (zh) * | 2005-10-20 | 2007-04-25 | 联想(北京)有限公司 | 计算机管理系统以及计算机管理方法 |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
Also Published As
Publication number | Publication date |
---|---|
CN102811239A (zh) | 2012-12-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102811239B (zh) | 一种虚拟机系统及其安全控制方法 | |
CN102651775B (zh) | 基于云计算的多租户共享对象管理的方法、设备及系统 | |
CN104704472B (zh) | 防止侧信道攻击的系统、方法和装置 | |
CN105184154B (zh) | 一种在虚拟化环境中提供密码运算服务的系统和方法 | |
CN102707985A (zh) | 一种虚拟机系统的访问控制方法和系统 | |
EP3382537B1 (en) | Verifying that usage of virtual network function (vnf) by a plurality of compute nodes comply with allowed usage rights | |
US20090276774A1 (en) | Access control for virtual machines in an information system | |
CN104506487B (zh) | 云环境下隐私策略的可信执行方法 | |
US9934310B2 (en) | Determining repeat website users via browser uniqueness tracking | |
CN113645229B (zh) | 一种基于可信确认的认证系统及方法 | |
Sifah et al. | Chain-based big data access control infrastructure | |
CN103984536B (zh) | 一种云计算平台中的 i/o 请求计数系统及其方法 | |
Sehgal et al. | Cloud computing with security | |
CN109726004A (zh) | 一种数据处理方法及装置 | |
CA3088147A1 (en) | Data isolation in distributed hash chains | |
US9246688B1 (en) | Dataset licensing | |
CN105303102A (zh) | 一种虚拟机的安全访问方法及虚拟机系统 | |
CN108027856A (zh) | 使用可信平台模块来建立攻击信息的实时指示器 | |
Yu et al. | A trusted architecture for virtual machines on cloud servers with trusted platform module and certificate authority | |
CN105677693B (zh) | 一种访问数据库的方法及装置 | |
US11856002B2 (en) | Security broker with consumer proxying for tee-protected services | |
US20230030816A1 (en) | Security broker for consumers of tee-protected services | |
Xiang et al. | A method of docker container forensics based on api | |
Kumar et al. | Improving security issues and security attacks in cloud computing | |
Zhao et al. | CloudCoT: a blockchain-based cloud service dependency attestation framework |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |