CN105184164B - 一种数据处理方法 - Google Patents
一种数据处理方法 Download PDFInfo
- Publication number
- CN105184164B CN105184164B CN201510566655.XA CN201510566655A CN105184164B CN 105184164 B CN105184164 B CN 105184164B CN 201510566655 A CN201510566655 A CN 201510566655A CN 105184164 B CN105184164 B CN 105184164B
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- user
- module
- malware
- monitoring
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
本发明提供了一种数据处理方法,该方法包括:在基于云平台的虚拟机系统中建立可信环境虚拟机,将安全管理操作移动到所述可信环境虚拟机,并通过所述可信环境虚拟机对恶意软件进行监测。本发明提出了一种数据处理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
Description
技术领域
本发明涉及云计算,特别涉及一种数据处理方法。
背景技术
由于云计算的灵活、低成本特点,越来越多的传统服务被部署到云平台。然而,云计算给人们带来便利的同时,也面临着较大的安全挑战,甚至已经影响到云计算的快速发展。一方面在多用户共享计算资源的模式下,用户的资源可能受到来自其他恶意用户的威胁;另一方面用户担心自己的资源遭到云平台内部管理的威胁。现有技术均在认为整个虚拟机监视器为可信的情况下完成,而实际上虚拟机监视器自身也可能成为被攻击的目标。虚拟机监视器同时提供了虚拟机之间的内存共享方法,这可能被恶意虚拟机利用,也可能导致缺少经验的管理者或者用户因为错误配置造成违反安全规则的共享,或恶意获取的用户隐私。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种数据处理方法,包括:
在基于云平台的虚拟机系统中建立可信环境虚拟机,将安全管理操作移动到所述可信环境虚拟机,并通过所述可信环境虚拟机对恶意软件进行监测。
优选地,所述将安全管理操作移动到所述可信环境虚拟机,进一步包括:
通过修改虚拟机监视器源码添加可信环境虚拟机,并配置虚拟机监视器中安全规则的权限,同时禁止其他域的虚拟机修改虚拟机监视器中的安全规则,利用对内存、文件系统的隔离来限制其他虚拟机对可信环境虚拟机的访问;通过为虚拟机提供虚拟可信平台模块作为可信环境虚拟机的可信根,将信任链从底层物理可信平台模块传递到可信环境虚拟机内部,从而对可信环境虚拟机内部进行完整性度量;利用部署后提供的信任度证明结果,使平台提供者和用户将该证明结果作为相互信任的依据;
所述通过所述可信环境虚拟机对恶意软件进行监测,进一步包括:可信环境虚拟机的监测模块基于交叉视图对比的恶意软件监测和处理,所述可信环境虚拟机的监测模块包括控制单元、监测单元和恶意软件处理单元;所述控制单元位于可信环境虚拟机的应用层,利用虚拟机监视器提供的函数库与虚拟机监视器以及用户域进行交互,显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件,所述安全链表用于存储用户虚拟机的模块信息,位于虚拟机监视器层的安全链表具有更高的可信度,防止用户虚拟机层的模块视图信息被破坏;所述监测单元部署于虚拟机监视器层中,包括隐藏代码监测和隐私信息监测;隐藏代码监测包括监测虚拟机中存在的隐藏代码;隐私信息监测用于监测恶意软件对系统内核隐私信息的篡改,并在监测到被攻击时进行恢复,所述恶意软件处理单元部署于用户域的内核空间,与控制单元进行交互,接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。
优选地,所述方法还包括:
将控制管理域的权限的功能放到虚拟机监视器中实现;利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
对不同用户分组对应的虚拟机和资源进行标记,使每个用户自己对应的虚拟机和资源具有唯一的ID和相同的类型,这些标记由虚拟机监视器统一管理,安全控制模块使用这些标记与访问规则库进行匹配,如果主体和客体具有相同的类型,且满足访问规则,则允许通信或者共享资源;
在用户域内部,利用内存地址空间切换和CPU的禁止执行标志位,当模块执行时保护客户机内核堆栈,使扩展的内核模块在其自己的地址空间执行,而地址空间的切换操作则受到虚拟机监视器的监控,在虚拟机监视器层检查是否虚拟机中有破坏内核完整性的操作,并隔离不可信模块的执行环境;通过访问列表实现用户定制的安全规则,指定用户的哪些数据不能被其他虚拟机甚至管理域访问。
本发明相比现有技术,具有以下优点:
本发明提出了一种数据处理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
附图说明
图1是根据本发明实施例的数据处理方法的流程图。
具体实施方式
下文与图示本发明原理的附图一起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种数据处理方法。图1是根据本发明实施例的数据处理方法流程图。
本发明基于云平台的虚拟机系统提供基于用户分组的隔离和可信环境虚拟机,以便进行云平台的管理和恶意软件监测,对云平台中的物理主机实施基于规则库的访问,防止恶意管理者从管理域威胁用户虚拟机的隐私数据,防止病毒和恶意代码从一个用户扩散到其他用户,缓解用户隐私与平台提供者之间的安全规则冲突。
1)为了减轻用户对虚拟机隐私信息遭泄露,本发明首先消除现有平台管理者的权限,阻止管理者通过技术手段访问用户虚拟机的内部数据,限制其对用户虚拟机的操作。通过基于规则库的访问规则对原来的管理模式进行分解,提供3个新的管理接口:系统管理、安全管理和日志管理。
2)通过对用户添加访问规则库,实现基于用户角色分组的逻辑隔离,防止病毒和恶意代码扩散到其他用户。
3)本发明创建一个特殊的可信环境虚拟机,将授权、访问规则配置、信任度证明和监控等功能从管理域移动到可信环境虚拟机。避免管理域对安全功能的干扰。
限制管理者的特权操作是本发明的虚拟机系统的关键点之一。另外,还需要在管理域创建多个管理角色,从而实现对云平台中的权限分离管理模式,为管理平台提供安全增强的管理接口。本发明通过在管理域增加系统、安全和日志管理接口,实现对管理域管理权限的分离。其中,系统管理主要被设计用于管理虚拟资源,完成创建、分配虚拟机资源等操作;安全管理用于完成授权和虚拟机安全访问规则配置,由原来的管理域移动到专用的可信环境虚拟机中;日志管理从虚拟机监视器层记录上层虚拟机的运行状态,包括执行操作的用户名、目标服务器ID、动作状态、是否授权、虚拟机操作系统错误代码等,不仅提供类似的查询接口还能防止日志被篡改。
多用户模式下,需要根据不同用户的应用场景,提供满足不同安全规则、逻辑隔离、运行监督的安全服务。为了简化安全管理,本发明基于用户域构建逻辑隔离方法,安全管理者不再监控单个的虚拟机和虚拟资源,而是基于用户角色管理整个用户域的作业。本发明的隔离规则基于每个用户,通过使用唯一的用户域安全标签,可以标记所有用户的虚拟机和用户域相关的资源。仲裁监视器的主要作用是仲裁,根据访问规则库的用户隔离规则,监控虚拟机之间的资源共享和虚拟机之间的通信,从而实现基于用户域的逻辑隔离,并限制管理者查看用户域的隐私数据。
在本发明架构中,虚拟机中的监控代理不获取用户的隐私数据,且满足访问规则库的安全规则,在创建虚拟机时经用户和提供者双方同意后安装在虚拟机的驱动中。代理的主要作用是监控虚拟机中的模块加载并获取内部视图,通过多视图对比的方法监视虚拟机内部是否有存在恶意软件。需要修复时,管理者可以在可信环境虚拟机中向虚拟机发送操作指令,防止虚拟机内部发生攻击其他用户的动作发生。基于虚拟机监视器对上层虚拟机的操作拦截,可信环境虚拟机中可以部署其他诸如虚拟机内核完整性监视模块,可信环境虚拟机中的安全组件和监视代理对虚拟机内部资源的访问均符合规则库中的访问规则。
本发明将控制管理域的权限的功能放到虚拟机监视器中实现。本发明利用了虚拟机监视器中提供的安全控制模块。该模块提供通用的访问机制和灵活的安全hook函数接口,在虚拟机监视器启动后运行。在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射等相关操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作。对于关键安全控制模块和虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量。
在本发明的权限控制规则中,管理域中的管理者被禁止对用户域发起安全相关操作,并且不允许任何管理者拥有创建管理账户的权限。如果是其他管理用户,则按照角色控制和访问列表规则对管理用户实施强制访问。系统管理利用原有的系统管理软件完成用户域的资源分配相关操作,但不能查看已分配给用户域的内存页信息。安全管理提供云用户授权其他用户访问自己共享内存的权限,并且可通过位于可信环境虚拟机的工具配置规则库中的访问规则。日志管理通过修改虚拟机监视器中的事件hook,添加日志和查询接口来实现,并且访问权限受到规则库中的安全规则保护,这样就实现了权限分离的管理模式。
本发明的执行模块中,角色控制是一个基于角色的模块,用于定义管理者和用户的角色,分配基于安全标签的权限,并规定系统、安全和日志管理角色的权限分离。访问列表规则中定义了域间的访问规则,以便于对用户域实施基于用户角色的管理,同时提供基于用户域的分组隔离规则,将具有相同用户标签的虚拟机划分到同一个域中进行系统和安全管理。本发明对权限的访问流程主要分为4步:
1)当管理域或者用户域请求访问其他域时,虚拟机安全控制模块拦截这些请求,对请求的主体、客体和操作类型进行分析;
2)虚拟机安全控制模块将这些请求传递给执行模块,由执行模块根据访问规则库返回判定结果;
3)执行模块将允许/拒绝的判定结果返回到虚拟机安全控制模块;
4)根据判定结果,如果是允许则虚拟机安全控制模块允许主体对客体的访问,否则,不允许本次访问请求。
虚拟机监视器的设计实现了对虚拟资源(如:局域网、磁盘、内存或者CPU)的隔离,可以对虚拟机之间的信息流实施访问。本发明改进现有的虚拟资源隔离方法,一方面利用安全控制模块的仲裁对管理者的权限进行限制和分割,实现权限分离的管理模式。另一方面对不同用户分组对应的虚拟机和资源进行标记,使每个用户自己对应的虚拟机和资源具有唯一的ID和相同的类型,这些标记由虚拟机监视器统一管理。安全控制模块使用这些标记与访问规则库进行匹配,如果主体和客体具有相同的类型,且满足访问规则,则允许通信或者共享资源。
在用户域内部,本发明利用内存地址空间切换和CPU的禁止执行标志位,在虚拟机监视器层提供一种轻量级的内存隔离方法,当模块执行时保护客户机内核堆栈,使扩展的内核模块在其自己的地址空间执行,而地址空间的切换操作则受到虚拟机监视器的监控,可以在虚拟机监视器层检查是否虚拟机中有破坏内核完整性的操作,并隔离不可信模块的执行环境。
考虑到用户的隐私保护,除了在规则库中添加基于用户角色分组的访问规则,还需要为特定用户的隐私保护提供安全规则的支持。因此,在本发明的虚拟机系统的执行模块中,还通过访问列表实现一系列用户定制的安全规则,可以指定用户的哪些数据不能被其他虚拟机甚至管理域访问。
在本发明的虚拟机系统中,将安全管理和服务功能移植到专用的可信环境虚拟机中。通过修改虚拟机监视器源码实现了添加可信环境虚拟机这个新的虚拟机类型,并提供可信环境虚拟机配置虚拟机监视器中安全规则的权限,同时禁止其他域的虚拟机修改虚拟机监视器中的安全规则,对内存、文件系统的隔离可以限制其他虚拟机对可信环境虚拟机的访问。
使用虚拟可信平台模块技术,在现有可信链的基础上,通过为虚拟机提供虚拟可信平台模块作为可信环境虚拟机的可信根,将信任链从底层物理可信平台模块传递到可信环境虚拟机内部,从而实现对可信环境虚拟机内部完整性度量。利用部署后提供的信任度证明结果,使平台提供者和用户可将证明结果作为相互信任的依据。
目前的可信环境虚拟机安全服务功能中,除了平台信任度证明功能外,还提供了基于交叉视图对比的恶意软件监测和处理功能。以下以监测功能为例,说明安全功能从管理域移植到可信环境虚拟机后的系统架构实现。
可信环境虚拟机的监测模块主要由控制单元、监测单元和恶意软件处理单元构成。
1)控制单元:控制单元位于可信环境虚拟机的应用层,利用虚拟机监视器提供的函数库与虚拟机监视器以及用户域进行交互。其功能主要包括:显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件。这里,安全链表的作用是存储用户虚拟机的模块信息,位于虚拟机监视器层的安全链表具有更高的可信度,可以防止用户虚拟机层的模块视图信息被破坏。
2)监测单元:监测单元部署于虚拟机监视器层中,包括隐藏代码监测和隐私信息监测。隐藏代码监测虚拟机中存在的隐藏代码;隐私信息监测单元监测恶意软件对系统内核隐私信息的篡改,并在监测到被攻击时及时予以恢复。
3)恶意软件处理单元:恶意软件处理单元部署于用户域的内核空间,作为一个功能单元嵌入到本发明的虚拟机系统中的监视代理,实现与控制单元进行交互,接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。
综上所述,本发明提出了一种数据处理方法,将安全服务从管理域中分离,防止云平台管理者篡改或窃取用户隐私,灵活控制和管理用户间的资源共享。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (2)
1.一种数据处理方法,其特征在于,包括:
在基于云平台的虚拟机系统中建立可信环境虚拟机,将安全管理操作移动到所述可信环境虚拟机,并通过所述可信环境虚拟机对恶意软件进行监测;
所述将安全管理操作移动到所述可信环境虚拟机,进一步包括:
通过修改虚拟机监视器源码添加可信环境虚拟机,并配置虚拟机监视器中安全规则的权限,同时禁止其他域的虚拟机修改虚拟机监视器中的安全规则,利用对内存、文件系统的隔离来限制其他虚拟机对可信环境虚拟机的访问;通过为虚拟机提供虚拟可信平台模块作为可信环境虚拟机的可信根,将信任链从底层物理可信平台模块传递到可信环境虚拟机内部,从而对可信环境虚拟机内部进行完整性度量;利用部署后提供的信任度证明结果,使平台提供者和用户将该证明结果作为相互信任的依据;
所述通过所述可信环境虚拟机对恶意软件进行监测,进一步包括:可信环境虚拟机的监测模块基于交叉视图对比的恶意软件监测和处理,所述可信环境虚拟机的监测模块包括控制单元、监测单元和恶意软件处理单元;所述控制单元位于可信环境虚拟机的应用层,利用虚拟机监视器提供的函数库与虚拟机监视器以及用户域进行交互,显示各个用户域的安全链表、显示当前各个用户域所受恶意软件攻击情况、向恶意软件处理单元发送指令处理对应的恶意软件,所述安全链表用于存储用户虚拟机的模块信息,位于虚拟机监视器层的安全链表具有更高的可信度,防止用户虚拟机层的模块视图信息被破坏;所述监测单元部署于虚拟机监视器层中,包括隐藏代码监测和隐私信息监测;隐藏代码监测包括监测虚拟机中存在的隐藏代码;隐私信息监测用于监测恶意软件对系统内核隐私信息的篡改,并在监测到被攻击时进行恢复,所述恶意软件处理单元部署于用户域的内核空间,与控制单元进行交互,接收控制单元的命令对监测到的恶意软件提供信息恢复与模块卸载。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
将控制管理域的权限的功能放到虚拟机监视器中实现;利用虚拟机监视器中的安全控制模块提供通用的访问机制和安全hook函数接口,在虚拟机监视器启动后运行,在安全控制模块中添加hook函数后,当域间发生事件通道、授权表、内存映射操作时,安全控制模块拦截这些调用并解析调用参数,从中获取主体、客体和操作属性,访问执行模块进行判定,只有符合规则库中的访问规则才能执行操作,对于虚拟机监视器自身的防护,则利用基于可信平台模块的完整性度量机制进行完整性度量;
对不同用户分组对应的虚拟机和资源进行标记,使每个用户自己对应的虚拟机和资源具有唯一的ID和相同的类型,这些标记由虚拟机监视器统一管理,安全控制模块使用这些标记与访问规则库进行匹配,如果主体和客体具有相同的类型,且满足访问规则,则允许通信或者共享资源;
在用户域内部,利用内存地址空间切换和CPU的禁止执行标志位,当模块执行时保护客户机内核堆栈,使扩展的内核模块在其自己的地址空间执行,而地址空间的切换操作则受到虚拟机监视器的监控,在虚拟机监视器层检查是否虚拟机中有破坏内核完整性的操作,并隔离不可信模块的执行环境;通过访问列表实现用户定制的安全规则,指定用户的哪些数据不能被其他虚拟机甚至管理域访问。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510566655.XA CN105184164B (zh) | 2015-09-08 | 2015-09-08 | 一种数据处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510566655.XA CN105184164B (zh) | 2015-09-08 | 2015-09-08 | 一种数据处理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105184164A CN105184164A (zh) | 2015-12-23 |
CN105184164B true CN105184164B (zh) | 2017-11-24 |
Family
ID=54906238
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510566655.XA Active CN105184164B (zh) | 2015-09-08 | 2015-09-08 | 一种数据处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105184164B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106230830A (zh) * | 2016-08-03 | 2016-12-14 | 浪潮(北京)电子信息产业有限公司 | 一种虚拟资源访问控制方法及装置 |
US10885219B2 (en) | 2017-02-13 | 2021-01-05 | Microsoft Technology Licensing, Llc | Privacy control operation modes |
US10136290B2 (en) * | 2017-04-14 | 2018-11-20 | Microsoft Technology Licensing, Llc | Signal sharing between trusted groups of devices |
CN107463638A (zh) * | 2017-07-18 | 2017-12-12 | 北京北信源软件股份有限公司 | 离线虚拟机间文件共享方法和设备 |
US11308215B2 (en) | 2019-03-08 | 2022-04-19 | International Business Machines Corporation | Secure interface control high-level instruction interception for interruption enablement |
US11347529B2 (en) | 2019-03-08 | 2022-05-31 | International Business Machines Corporation | Inject interrupts and exceptions into secure virtual machine |
US10956188B2 (en) * | 2019-03-08 | 2021-03-23 | International Business Machines Corporation | Transparent interpretation of guest instructions in secure virtual machine environment |
CN110109731B (zh) * | 2019-04-19 | 2021-02-09 | 苏州浪潮智能科技有限公司 | 一种云环境下虚拟可信根的管理方法与系统 |
CN111966458A (zh) * | 2020-08-10 | 2020-11-20 | 国网四川省电力公司信息通信公司 | 一种虚拟云桌面的安全管理方法 |
CN113407941A (zh) * | 2021-06-23 | 2021-09-17 | 航天科工智能运筹与信息安全研究院(武汉)有限公司 | 一种边缘云节点与终端用户安全管理方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN102855450A (zh) * | 2011-06-28 | 2013-01-02 | 上海网技信息技术有限公司 | 用于对虚拟计算环境进行隔离保护的方法及系统 |
CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
WO2014079009A1 (zh) * | 2012-11-22 | 2014-05-30 | 华为技术有限公司 | 虚拟机的管理控制方法及装置、系统 |
CN103841198A (zh) * | 2014-03-07 | 2014-06-04 | 中南大学 | 一种净室云计算数据处理方法及系统 |
CN103902884A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 虚拟机数据保护系统和方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8799997B2 (en) * | 2011-04-18 | 2014-08-05 | Bank Of America Corporation | Secure network cloud architecture |
-
2015
- 2015-09-08 CN CN201510566655.XA patent/CN105184164B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101957900A (zh) * | 2010-10-26 | 2011-01-26 | 中国航天科工集团第二研究院七○六所 | 一种可信虚拟机平台 |
CN102682229A (zh) * | 2011-03-11 | 2012-09-19 | 北京市国路安信息技术有限公司 | 一种基于虚拟化技术的恶意代码行为检测方法 |
CN102855450A (zh) * | 2011-06-28 | 2013-01-02 | 上海网技信息技术有限公司 | 用于对虚拟计算环境进行隔离保护的方法及系统 |
CN102930213A (zh) * | 2012-10-25 | 2013-02-13 | 中国航天科工集团第二研究院七〇六所 | 基于虚拟机的安全监控系统和安全监控方法 |
WO2014079009A1 (zh) * | 2012-11-22 | 2014-05-30 | 华为技术有限公司 | 虚拟机的管理控制方法及装置、系统 |
CN103902884A (zh) * | 2012-12-28 | 2014-07-02 | 中国电信股份有限公司 | 虚拟机数据保护系统和方法 |
CN103841198A (zh) * | 2014-03-07 | 2014-06-04 | 中南大学 | 一种净室云计算数据处理方法及系统 |
Non-Patent Citations (1)
Title |
---|
"云计算环境下可信虚拟机管理模型";周振吉等;《通信学报》;20141130;第35卷(第Z2期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN105184164A (zh) | 2015-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105184147B (zh) | 云计算平台中的用户安全管理方法 | |
CN105184164B (zh) | 一种数据处理方法 | |
US10614216B2 (en) | Paravirtualized security threat protection of a computer-driven system with networked devices | |
RU2679721C2 (ru) | Аттестация хоста, содержащего доверительную среду исполнения | |
Chelladhurai et al. | Securing docker containers from denial of service (dos) attacks | |
US20210173919A1 (en) | Systems and methods for controlling privileged operations | |
US8839239B2 (en) | Protection of virtual machines executing on a host device | |
US9552497B2 (en) | System and method for preventing data loss using virtual machine wrapped applications | |
CN110348204B (zh) | 一种代码保护系统、认证方法、装置、芯片及电子设备 | |
US10192067B2 (en) | Self-described security model for resource access | |
US20020194496A1 (en) | Multiple trusted computing environments | |
CN113498589B (zh) | 托管机密管理传输系统和方法 | |
JP2022539969A (ja) | プロセスコンテナのコンテキストからセキュアメモリエンクレーブを使用すること | |
CN104335549A (zh) | 安全数据处理 | |
EP3999966A1 (en) | Secure runtime systems and methods | |
Park et al. | SecureDom: secure mobile-sensitive information protection with domain separation | |
Burtsev et al. | Capnet: security and least authority in a capability-enabled cloud | |
CN113407941A (zh) | 一种边缘云节点与终端用户安全管理方法 | |
Kamp et al. | Building Systems to Be Shared, Securely: Want to securely partition VMs? One option is to put’em in Jail. | |
Lacoste et al. | Trusted execution environments for telecoms: Strengths, weaknesses, opportunities, and threats | |
CN107169375A (zh) | 系统数据安全增强方法 | |
Kumar et al. | Ensuring security for virtualization in cloud services | |
Aggarwal et al. | Security approaches for mobile multi-agent system | |
He | Role security access control of the distributed object systems | |
Chhikara et al. | Analyzing security solutions in cloud computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190510 Address after: 510700, 1203, 1080 Huangpu East Road, Huangpu District, Guangzhou City, Guangdong Province Patentee after: Guangzhou if feather minister Polytron Technologies Inc Address before: 610000 West Section 399 Fucheng Avenue, Chengdu High-tech Development Zone, Sichuan Province, 7 Blocks 3-1208 Patentee before: Chengdu Boyuan Technology Co., Ltd. |
|
TR01 | Transfer of patent right |