CN105184147A - 云计算平台中的用户安全管理方法 - Google Patents
云计算平台中的用户安全管理方法 Download PDFInfo
- Publication number
- CN105184147A CN105184147A CN201510567472.XA CN201510567472A CN105184147A CN 105184147 A CN105184147 A CN 105184147A CN 201510567472 A CN201510567472 A CN 201510567472A CN 105184147 A CN105184147 A CN 105184147A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- user
- management
- access
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种云计算平台中的用户安全管理方法,该方法包括:在规则库中,通过创建多个管理接口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离。本发明提出了一种云计算平台中的用户安全管理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
Description
技术领域
本发明涉及云计算,特别涉及一种云计算平台中的用户安全管理方法。
背景技术
由于云计算的灵活、低成本特点,越来越多的传统服务被部署到云平台。然而,云计算给人们带来便利的同时,也面临着较大的安全挑战,甚至已经影响到云计算的快速发展。一方面在多用户共享计算资源的模式下,用户的资源可能受到来自其他恶意用户的威胁;另一方面用户担心自己的资源遭到云平台内部管理的威胁。现有技术均在认为整个虚拟机监视器为可信的情况下完成,而实际上虚拟机监视器自身也可能成为被攻击的目标。虚拟机监视器同时提供了虚拟机之间的内存共享方法,这可能被恶意虚拟机利用,也可能导致缺少经验的管理者或者用户因为错误配置造成违反安全规则的共享,或恶意获取的用户隐私。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种云计算平台中的用户安全管理方法,包括:
在规则库中,通过创建多个管理接口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离。
优选地,所述创建多个管理接口,进一步包括:
在管理域增加系统管理接口、安全管理接口和日志管理接口;其中,所述系统管理用于管理虚拟资源,完成创建、分配虚拟机资源的操作;所述安全管理用于完成授权和虚拟机安全访问规则配置,将由原来的管理域移动到专用的可信环境虚拟机中;所述日志管理用于从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,提供查询接口并防止日志被篡改;
所述基于用户域的角色分组对多个用户进行逻辑隔离,进一步包括:
所述访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问规则库的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据;
所述虚拟机中包括监控代理,在创建虚拟机时安装在虚拟机的驱动中,用于监控虚拟机中的模块加载并获取内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作;基于虚拟机监视器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则;
利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
定义管理者和用户的角色,分配基于安全标签的权限,所述访问规则定义了域间的访问规则,对用户域实施基于用户角色的管理,同时提供基于用户域的分组隔离规则,将具有相同用户标签的虚拟机划分到同一个域中进行系统和安全管理,具体包括:
1)当管理域或者用户域请求访问其他域时,所述安全控制模块拦截这些请求,对请求的主体、客体和操作类型进行分析;
2)所述安全控制模块将这些请求传递给执行模块,由执行模块根据访问规则库返回判定结果;
3)执行模块将允许/拒绝的判定结果返回到所述安全控制模块;
4)根据判定结果,如果是允许,则所述安全控制模块允许主体对客体的访问,否则不允许本次访问请求。
本发明相比现有技术,具有以下优点:
本发明提出了一种云计算平台中的用户安全管理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
附图说明
图1是根据本发明实施例的云计算平台中的用户安全管理方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种云计算平台中的用户安全管理方法。图1是根据本发明实施例的云计算平台中的用户安全管理方法流程图。
本发明基于云平台的虚拟机系统提供基于用户分组的隔离和可信环境虚拟机,以便进行云平台的管理和恶意软件监测,对云平台中的物理主机实施基于规则库的访问,防止恶意管理者从管理域威胁用户虚拟机的隐私数据,防止病毒和恶意代码从一个用户扩散到其他用户,缓解用户隐私与平台提供者之间的安全规则冲突。
1)为了减轻用户对虚拟机隐私信息遭泄露,本发明首先消除现有平台管理者的权限,阻止管理者通过技术手段访问用户虚拟机的内部数据,限制其对用户虚拟机的操作。通过基于规则库的访问规则对原来的管理模式进行分解,提供3个新的管理接口:系统管理、安全管理和日志管理。
2)通过对用户添加访问规则库,实现基于用户角色分组的逻辑隔离,防止病毒和恶意代码扩散到其他用户。
3)本发明创建一个特殊的可信环境虚拟机,将授权、访问规则配置、信任度证明和监控等功能从管理域移动到可信环境虚拟机。避免管理域对安全功能的干扰。
限制管理者的特权操作是本发明的虚拟机系统的关键点之一。另外,还需要在管理域创建多个管理角色,从而实现对云平台中的权限分离管理模式,为管理平台提供安全增强的管理接口。本发明通过在管理域增加系统、安全和日志管理接口,实现对管理域管理权限的分离。其中,系统管理主要被设计用于管理虚拟资源,完成创建、分配虚拟机资源等操作;安全管理用于完成授权和虚拟机安全访问规则配置,由原来的管理域移动到专用的可信环境虚拟机中;日志管理从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,不仅提供类似的查询接口还能防止日志被篡改。
多用户模式下,需要根据不同用户的应用场景,提供满足不同安全规则、逻辑隔离、运行监督的安全服务。为了简化安全管理,本发明基于用户域构建逻辑隔离方法,安全管理者不再监控单个的虚拟机和虚拟资源,而是基于用户角色管理整个用户域的作业。本发明的隔离规则基于每个用户,通过使用唯一的用户域安全标签,可以标记所有用户的虚拟机和用户域相关的资源。仲裁监视器的主要作用是仲裁,根据访问规则库的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,从而实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。
在本发明架构中,虚拟机中的监控代理不获取用户的隐私数据,且满足访问规则库的安全规则,在创建虚拟机时经用户和提供者双方同意后安装在虚拟机的驱动中。代理的主要作用是监控虚拟机中的模块加载并获取内部视图,通过多视图对比的方法监视虚拟机内部是否有存在恶意软件。需要修复时,管理者可以在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作发生。基于虚拟机监视器对上层虚拟机的操作拦截,可信环境虚拟机中可以部署其他诸如虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则。
本发明将控制管理域的权限的功能放到虚拟机监视器中实现。本发明利用了虚拟机监视器中提供的安全控制模块。该模块提供通用的访问机制和灵活的安全hook函数接口,在虚拟机监视器启动后运行。在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射等相关操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作。对于关键安全控制模块和虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量。
在本发明的权限控制规则中,管理域中的管理者被禁止对用户域发起安全相关操作,并且不允许任何管理者拥有创建管理账户的权限。如果是其他管理用户,则按照角色控制和访问列表规则对管理用户实施强制访问。系统管理利用原有的系统管理软件完成用户域的资源分配相关操作,但不能查看已分配给用户域的内存页信息。安全管理提供云用户授权其他用户访问自己共享内存的权限,并且可通过位于可信环境虚拟机的工具配置规则库中的访问规则。日志管理通过修改虚拟机监视器中的事件hook,添加日志和查询接口来实现,并且访问权限受到规则库中的安全规则保护,这样就实现了权限分离的管理模式。
本发明的执行模块中,角色控制是一个基于角色的模块,用于定义管理者和用户的角色,分配基于安全标签的权限,并规定系统、安全和日志管理角色的权限分离。访问列表规则中定义了域间的访问规则,以便于对用户域实施基于用户角色的管理,同时提供基于用户域的分组隔离规则,将具有相同用户标签的虚拟机划分到同一个域中进行系统和安全管理。本发明对权限的访问流程主要分为4步:
1)当管理域或者用户域请求访问其他域时,虚拟机安全控制模块拦截这些请求,对请求的主体、客体和操作类型进行分析;
2)虚拟机安全控制模块将这些请求传递给执行模块,由执行模块根据访问规则库返回判定结果;
3)执行模块将允许/拒绝的判定结果返回到虚拟机安全控制模块;
4)根据判定结果,如果是允许则虚拟机安全控制模块允许主体对客体的访问,否则,不允许本次访问请求。
虚拟机监视器的设计实现了对虚拟资源(如:局域网、磁盘、内存或者CPU)的隔离,可以对虚拟机之间的信息流实施访问。本发明改进现有的虚拟资源隔离方法,一方面利用安全控制模块的仲裁对管理者的权限进行限制和分割,实现权限分离的管理模式。另一方面对不同用户分组对应的虚拟机和资源进行标记,使每个用户自己对应的虚拟机和资源具有唯一的ID和相同的类型,这些标记由虚拟机监视器统一管理。安全控制模块使用这些标记与访问规则库进行匹配,如果主体和客体具有相同的类型,且满足访问规则,则允许通信或者共享资源。
在用户域内部,本发明利用内存地址空间切换和CPU的禁止执行标志位,在虚拟机监视器层提供一种轻量级的内存隔离方法,当模块执行时保护客户机内核堆栈,使扩展的内核模块在其自己的地址空间执行,而地址空间的切换操作则受到虚拟机监视器的监控,可以在虚拟机监视器层检查是否虚拟机中有破坏内核完整性的操作,并隔离不可信模块的执行环境。
考虑到用户的隐私保护,除了在规则库中添加基于用户角色分组的访问规则,还需要为特定用户的隐私保护提供安全规则的支持。因此,在本发明的虚拟机系统的执行模块中,还通过访问列表实现一系列用户定制的安全规则,可以指定用户的哪些数据不能被其他虚拟机甚至管理域访问。
在本发明的虚拟机系统中,将安全管理和服务功能移植到专用的可信环境虚拟机中。通过修改虚拟机监视器源码实现了添加可信环境虚拟机这个新的虚拟机类型,并提供可信环境虚拟机配置虚拟机监视器中安全规则的权限,同时禁止其他域的虚拟机修改虚拟机监视器中的安全规则,对内存、文件系统的隔离可以限制其他虚拟机对可信环境虚拟机的访问。
使用虚拟可信平台模块技术,在现有可信链的基础上,通过为虚拟机提供虚拟可信平台模块作为可信环境虚拟机的可信根,将信任链从底层物理可信平台模块传递到可信环境虚拟机内部,从而实现对可信环境虚拟机内部完整性度量。利用部署后提供的信任度证明结果,使平台提供者和用户可将证明结果作为相互信任的依据。
目前的可信环境虚拟机安全服务功能中,除了平台信任度证明功能外,还提供了基于交叉视图对比的恶意软件监测和处理功能。以下以监测功能为例,说明安全功能从管理域移植到可信环境虚拟机后的系统架构实现。
可信环境虚拟机的监测模块主要由控制单元、监测单元和恶意软件处理单元构成。
1)控制单元:控制单元位于可信环境虚拟机的应用层,利用虚拟机监视器提供的函数库与虚拟机监视器以及用户域进行交互。其功能主要包括:显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件。这里,安全链表的作用是存储用户虚拟机的模块信息,位于虚拟机监视器层的安全链表具有更高的可信度,可以防止用户虚拟机层的模块视图信息被破坏。
2)监测单元:监测单元部署于虚拟机监视器层中,包括隐藏代码监测和隐私信息监测。隐藏代码监测虚拟机中存在的隐藏代码;隐私信息监测单元监测恶意软件对系统内核隐私信息的篡改,并在监测到被攻击时及时予以恢复。
3)恶意软件处理单元:恶意软件处理单元部署于用户域的内核空间,作为一个功能单元嵌入到本发明的虚拟机系统中的监视代理,实现与控制单元进行交互,接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。
综上所述,本发明提出了一种云计算平台中的用户安全管理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (2)
1.一种云计算平台中的用户安全管理方法,其特征在于,包括:
在规则库中通过创建多个管理接口对管理模式进行分解,并基于用户域的角色分组对多个用户进行逻辑隔离。
2.根据权利要求1所述的方法,其特征在于,所述创建多个管理接口,进一步包括:
在管理域增加系统管理接口、安全管理接口和日志管理接口;其中,所述系统管理用于管理虚拟资源,完成创建、分配虚拟机资源的操作;所述安全管理用于完成授权和虚拟机安全访问规则配置,将由原来的管理域移动到专用的可信环境虚拟机中;所述日志管理用于从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,提供查询接口并防止日志被篡改;
所述基于用户域的角色分组对多个用户进行逻辑隔离,进一步包括:
所述访问规则基于每个用户,通过使用唯一的用户域安全标签,标记所有用户的虚拟机和用户域相关的资源,利用仲裁监视器根据访问规则库的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,以实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据;
所述虚拟机中包括监控代理,在创建虚拟机时安装在虚拟机的驱动中,用于监控虚拟机中的模块加载并获取内部视图,通过多视图对比监视虚拟机内部是否有存在恶意软件,当需要修复时,由管理者在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作;基于虚拟机监视器对上层虚拟机的操作拦截,在可信环境虚拟机中部署虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则;
利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
定义管理者和用户的角色,分配基于安全标签的权限,所述访问规则定义了域间的访问规则,对用户域实施基于用户角色的管理,同时提供基于用户域的分组隔离规则,将具有相同用户标签的虚拟机划分到同一个域中进行系统和安全管理,具体包括:
1)当管理域或者用户域请求访问其他域时,所述安全控制模块拦截这些请求,对请求的主体、客体和操作类型进行分析;
2)所述安全控制模块将这些请求传递给执行模块,由执行模块根据访问规则库返回判定结果;
3)执行模块将允许/拒绝的判定结果返回到所述安全控制模块;
4)根据判定结果,如果是允许,则所述安全控制模块允许主体对客体的访问,否则不允许本次访问请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510567472.XA CN105184147B (zh) | 2015-09-08 | 2015-09-08 | 云计算平台中的用户安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510567472.XA CN105184147B (zh) | 2015-09-08 | 2015-09-08 | 云计算平台中的用户安全管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105184147A true CN105184147A (zh) | 2015-12-23 |
| CN105184147B CN105184147B (zh) | 2017-11-24 |
Family
ID=54906221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510567472.XA Expired - Fee Related CN105184147B (zh) | 2015-09-08 | 2015-09-08 | 云计算平台中的用户安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105184147B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105912892A (zh) * | 2016-04-08 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护方法及其架构 |
| CN105915535A (zh) * | 2016-05-24 | 2016-08-31 | 北京朋创天地科技有限公司 | 一种基于用户身份的虚拟化资源访问控制方法 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN106230830A (zh) * | 2016-08-03 | 2016-12-14 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟资源访问控制方法及装置 |
| CN108229191A (zh) * | 2018-01-03 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种虚拟机的文件保护方法与装置 |
| CN110291524A (zh) * | 2017-02-13 | 2019-09-27 | 微软技术许可有限责任公司 | 隐私控制操作模式 |
| CN111191279A (zh) * | 2019-12-21 | 2020-05-22 | 河南中原云信信息技术有限公司 | 面向数据共享服务的大数据安全运行空间实现方法及系统 |
| CN111352737A (zh) * | 2020-02-28 | 2020-06-30 | 网思科技股份有限公司 | 一种基于资源池的容器云计算服务平台 |
| WO2020183278A1 (en) * | 2019-03-08 | 2020-09-17 | International Business Machines Corporation | Transparent interpretation of guest instructions in secure virtual machine environment |
| CN112104638A (zh) * | 2020-09-10 | 2020-12-18 | 安徽盛世华科电子科技有限公司 | 一种网络设备安全管理方法 |
| CN113407941A (zh) * | 2021-06-23 | 2021-09-17 | 航天科工智能运筹与信息安全研究院(武汉)有限公司 | 一种边缘云节点与终端用户安全管理方法 |
| US11308215B2 (en) | 2019-03-08 | 2022-04-19 | International Business Machines Corporation | Secure interface control high-level instruction interception for interruption enablement |
| US11347529B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Inject interrupts and exceptions into secure virtual machine |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090089879A1 (en) * | 2007-09-28 | 2009-04-02 | Microsoft Corporation | Securing anti-virus software with virtualization |
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
| CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
| CN103310152A (zh) * | 2013-04-19 | 2013-09-18 | 哈尔滨工业大学深圳研究生院 | 基于系统虚拟化技术的内核态Rootkit检测方法 |
| CN103368973A (zh) * | 2013-07-25 | 2013-10-23 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统安全体系 |
| US20130347131A1 (en) * | 2012-06-26 | 2013-12-26 | Lynuxworks, Inc. | Systems and Methods Involving Features of Hardware Virtualization Such as Separation Kernel Hypervisors, Hypervisors, Hypervisor Guest Context, Hypervisor Contest, Rootkit Detection/Prevention, and/or Other Features |
| CN103902885A (zh) * | 2014-03-04 | 2014-07-02 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
| CN103902884A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 虚拟机数据保护系统和方法 |
-
2015
- 2015-09-08 CN CN201510567472.XA patent/CN105184147B/zh not_active Expired - Fee Related
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090089879A1 (en) * | 2007-09-28 | 2009-04-02 | Microsoft Corporation | Securing anti-virus software with virtualization |
| CN102307185A (zh) * | 2011-06-27 | 2012-01-04 | 北京大学 | 适用于存储云内的数据隔离方法 |
| US20130347131A1 (en) * | 2012-06-26 | 2013-12-26 | Lynuxworks, Inc. | Systems and Methods Involving Features of Hardware Virtualization Such as Separation Kernel Hypervisors, Hypervisors, Hypervisor Guest Context, Hypervisor Contest, Rootkit Detection/Prevention, and/or Other Features |
| CN103902884A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 虚拟机数据保护系统和方法 |
| CN103310152A (zh) * | 2013-04-19 | 2013-09-18 | 哈尔滨工业大学深圳研究生院 | 基于系统虚拟化技术的内核态Rootkit检测方法 |
| CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
| CN103368973A (zh) * | 2013-07-25 | 2013-10-23 | 浪潮(北京)电子信息产业有限公司 | 一种云操作系统安全体系 |
| CN103902885A (zh) * | 2014-03-04 | 2014-07-02 | 重庆邮电大学 | 面向多安全等级虚拟桌面系统虚拟机安全隔离系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘婷婷: ""面向云计算的数据安全保护关键技术研究"", 《中国博士学位论文全文数据库信息科技辑》 * |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105912892A (zh) * | 2016-04-08 | 2016-08-31 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护方法及其架构 |
| CN105912892B (zh) * | 2016-04-08 | 2018-09-04 | 浪潮电子信息产业股份有限公司 | 一种基于云计算的进程保护系统及其方法 |
| CN105975328A (zh) * | 2016-04-29 | 2016-09-28 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN105975328B (zh) * | 2016-04-29 | 2019-10-08 | 上海交通大学 | 基于安全虚拟机的日志文件安全审计系统及方法 |
| CN105915535A (zh) * | 2016-05-24 | 2016-08-31 | 北京朋创天地科技有限公司 | 一种基于用户身份的虚拟化资源访问控制方法 |
| CN106230830A (zh) * | 2016-08-03 | 2016-12-14 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟资源访问控制方法及装置 |
| CN110291524A (zh) * | 2017-02-13 | 2019-09-27 | 微软技术许可有限责任公司 | 隐私控制操作模式 |
| US11790109B2 (en) | 2017-02-13 | 2023-10-17 | Microsoft Technology Licensing, Llc | Privacy control operation modes |
| CN108229191A (zh) * | 2018-01-03 | 2018-06-29 | 江苏神州信源系统工程有限公司 | 一种虚拟机的文件保护方法与装置 |
| US10956188B2 (en) | 2019-03-08 | 2021-03-23 | International Business Machines Corporation | Transparent interpretation of guest instructions in secure virtual machine environment |
| WO2020183278A1 (en) * | 2019-03-08 | 2020-09-17 | International Business Machines Corporation | Transparent interpretation of guest instructions in secure virtual machine environment |
| GB2595428A (en) * | 2019-03-08 | 2021-11-24 | Ibm | Transparent interpretation of guest instructions in secure virtual machine environment |
| GB2595428B (en) * | 2019-03-08 | 2022-04-13 | Ibm | Transparent interpretation of guest instructions in secure virtual machine environment |
| US11308215B2 (en) | 2019-03-08 | 2022-04-19 | International Business Machines Corporation | Secure interface control high-level instruction interception for interruption enablement |
| US11347529B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Inject interrupts and exceptions into secure virtual machine |
| CN111191279A (zh) * | 2019-12-21 | 2020-05-22 | 河南中原云信信息技术有限公司 | 面向数据共享服务的大数据安全运行空间实现方法及系统 |
| CN111352737A (zh) * | 2020-02-28 | 2020-06-30 | 网思科技股份有限公司 | 一种基于资源池的容器云计算服务平台 |
| CN112104638A (zh) * | 2020-09-10 | 2020-12-18 | 安徽盛世华科电子科技有限公司 | 一种网络设备安全管理方法 |
| CN113407941A (zh) * | 2021-06-23 | 2021-09-17 | 航天科工智能运筹与信息安全研究院(武汉)有限公司 | 一种边缘云节点与终端用户安全管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105184147B (zh) | 2017-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105184147A (zh) | 云计算平台中的用户安全管理方法 | |
| CN105184164A (zh) | 一种数据处理方法 | |
| Ibrahim et al. | Emerging security challenges of cloud virtual infrastructure | |
| CA3006003C (en) | Dual memory introspection for securing multiple network endpoints | |
| Chelladhurai et al. | Securing docker containers from denial of service (dos) attacks | |
| Sabahi | Virtualization-level security in cloud computing | |
| RU2679721C2 (ru) | Аттестация хоста, содержащего доверительную среду исполнения | |
| Luo et al. | Virtualization security for cloud computing service | |
| US20160314299A1 (en) | Mobile Device with Improved Security | |
| US11714895B2 (en) | Secure runtime systems and methods | |
| US11190359B2 (en) | Device and system for accessing a distributed ledger | |
| Jayalatchumy et al. | Preserving privacy through data control in a cloud computing architecture using discretion algorithm | |
| Duncan et al. | Cloud cyber security: finding an effective approach with unikernels | |
| Park et al. | SecureDom: secure mobile-sensitive information protection with domain separation | |
| Burtsev et al. | Capnet: security and least authority in a capability-enabled cloud | |
| CN113407941A (zh) | 一种边缘云节点与终端用户安全管理方法 | |
| Youssef et al. | Secure Software Defined Networks Controller Storage using Intel Software Guard Extensions | |
| US10615968B1 (en) | Shuffling cryptographic keys stored in clouds of a multi-cloud environment | |
| Zhang et al. | Towards comprehensive protection for openflow controllers | |
| Turhan et al. | The Trust Model For Multi-tenant 5G Telecom Systems Running Virtualized Multi-component Services | |
| Alakbarov et al. | Security and privacy issues in mobile cloud computing | |
| Aggarwal et al. | Security approaches for mobile multi-agent system | |
| Raj et al. | Security Management of a Software-Defined Cloud Center | |
| Ibrahim et al. | ity Challenges of Cloud Virtual Infrastructure | |
| Kim et al. | Remote-Launch: Borrowing Secure TCB for Constructing Trustworthy Computing Platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190614 Address after: 210000 Tianyuan East Road 1009, Jiangning District, Nanjing, Jiangsu Province (Jiangning Science Park) Patentee after: Nanjing Garlin System Engineering Technology Co.,Ltd. Address before: 610000 West Section 399 Fucheng Avenue, Chengdu High-tech Development Zone, Sichuan Province, 7 Blocks 3-1208 Patentee before: CHENGDU BOYNN TECHNOLOGY CO.,LTD. |
|
| TR01 | Transfer of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20171124 Termination date: 20210908 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |