CN105389522A - 一种虚拟机安全管理系统及计算机终端 - Google Patents
一种虚拟机安全管理系统及计算机终端 Download PDFInfo
- Publication number
- CN105389522A CN105389522A CN201510981774.1A CN201510981774A CN105389522A CN 105389522 A CN105389522 A CN 105389522A CN 201510981774 A CN201510981774 A CN 201510981774A CN 105389522 A CN105389522 A CN 105389522A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- unit
- operating unit
- operating
- management system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
- G06F12/1466—Key-lock mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/15—Use in a specific computing environment
- G06F2212/151—Emulated environment, e.g. virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Abstract
本发明公开了一种虚拟机安全管理系统及计算机终端,属于操作系统技术领域;系统包括一第一操作单元以及一第二操作单元,第一操作单元连接第二操作单元,第一操作单元用于对一虚拟机进行操作,第二操作单元用于对一宿主操作系统进行操作;第二操作单元还用于创建和删除虚拟机,还包括:第一存储单元,为虚拟机的虚拟机磁盘,并保存有关联于虚拟机的系统数据;存储改写单元,用于在第二操作单元创建虚拟机前或者删除虚拟机后,以一预设字符填充第一存储单元的存储空间。上述技术方案的有益效果是:保证虚拟机的每种操作状态下的安全防护,避免隐私数据被非法复制和随意篡改。
Description
技术领域
本发明涉及操作系统技术领域,尤其涉及一种虚拟机安全管理系统及计算机终端。
背景技术
现有的虚拟机映像通常以磁盘文件的形式被保存在外部存储设备中,因此尽管虚拟机在运行过程中会收到宿主操作系统的文件访问权限的保护而无法被普通用户随意存取,但是当外部存储设备被挂载到其他操作系统中时,其中的虚拟机映像文件的存取访问就不会再受到原先的宿主系统的限制,而能够被任意用户访问,从而使得其中租户的隐私数据存在泄漏的危险。
发明内容
根据现有技术中存在的上述问题,现提供一种虚拟机安全管理系统及计算机终端的技术方案,旨在于虚拟机的全生命周期中保证每种操作状态下的安全防护,避免虚拟机中的隐私数据被非法复制和随意篡改。
上述技术方案具体包括:
一种虚拟机安全管理系统,包括一第一操作单元以及一第二操作单元,所述第一操作单元连接所述第二操作单元,所述第一操作单元用于对一虚拟机进行操作,所述第二操作单元用于对一宿主操作系统进行操作;其中:
所述第二操作单元还用于创建和删除所述虚拟机;
所述虚拟机安全管理系统中还包括:
第一存储单元,连接所述第一操作单元,所述第一存储单元为所述虚拟机的虚拟机磁盘,并保存有关联于所述虚拟机的系统数据;
存储改写单元,分别连接所述第二操作单元和所述第一存储单元,用于在所述第二操作单元创建所述虚拟机前或者删除所述虚拟机后,以一预设字符填充所述第一存储单元的存储空间。
优选的,该虚拟机安全管理系统,其中,所述预设字符为0。
优选的,该虚拟机安全管理系统,其中,还包括:
第二存储单元,连接所述第一操作单元,用于保存关联于所述虚拟机的映像文件;
安全控制单元,分别连接所述第一操作单元和所述第二存储单元,用于控制所述第一操作单元对所述映像文件的访问权限。
优选的,该虚拟机安全管理系统,其中,所述安全控制单元包括:
第一标记模块,用于对具有所述访问权限的关联于所述第一操作单元的管理进程打上预设的第一标记;
第二标记模块,用于对能够被访问的所述映像文件打上预设的第二标记;
权限管理模块,用于判断所述管理进程上是否存在所述第一标记,以及所述映像文件上是否存在所述第二标记,并根据判断结果:
在所述管理进程上存在所述第一标记,且所述映像文件上存在所述第二标记时,允许所述第一操作单元对所述映像文件进行访问操作。
优选的,该虚拟机安全管理系统,其中,所述第一操作单元用于操作多个所述虚拟机;
所述虚拟机安全管理系统中还包括:
分类单元,用于对不同的所述虚拟机进行分类,并输出分类结果;
操作控制单元,分别连接所述分类单元和所述第一操作单元,用于根据所述分类结果,允许所述第一操作单元在属于同一类别的多个所述虚拟机之间进行交互操作。
优选的,该虚拟机安全管理系统,其中,还包括:
第二存储单元,连接所述第一操作单元,用于保存关联于所述虚拟机的映像文件;
密码保存单元,用于保存于所述第二操作单元创建所述虚拟机时外部输入的密码;
加密单元,分别连接所述第一操作单元、所述密码保存单元和所述第二存储单元,用于在每次所述第一操作单元启动所述虚拟机时,采用所述密码生成相应的动态密钥,并采用所述动态密钥对所述第二存储单元中保存的所述映像文件进行加密;
密码输入单元,连接所述第一操作单元,供所述第一操作单元输入所述密码;
操作限制单元,分别连接所述密码输入单元、所述第二存储单元、所述密码保存单元以及所述第一操作单元,用于被输入的所述密码正确时,允许所述第一操作单元对关联于被加密的所述映像文件的所述虚拟机进行操作。
优选的,该虚拟机安全管理系统,其中,所述动态密钥保存于系统内存中。
一种计算机终端,其中,包括上述的虚拟机安全管理系统。
上述技术方案的有益效果是:提供一种虚拟机安全管理系统,能够在虚拟机的全生命周期中保证每种操作状态下的安全防护,避免虚拟机中的隐私数据被非法复制和随意篡改。
附图说明
图1是本发明的较佳的实施例中,一种虚拟机安全管理系统的结构示意图;
图2是本发明的较佳的实施例中,于图1的基础上,安全控制单元的具体结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明的较佳的实施例中,根据现有技术中存在的上述问题,现提供一种虚拟机安全管理系统。所谓虚拟机,实际可以包括装载在外部存储设备(例如U盘等移动存储介质)中的虚拟机映像文件、虚拟机操作系统以及其他用于搭建虚拟化环境的软硬件设备。因此,本发明技术方案所要保护的实际为对虚拟化环境进行的安全管理方法,而安全管理方法最主要地依托于虚拟机操作系统执行,或者直接于虚拟机映像文件上执行。
本发明的较佳的实施例中,下文中所述的虚拟机安全管理方法,可以应用于虚拟机的全生命周期中进行各个环节的安全管理,包括虚拟机在被创建时、在运行过程中、在维护过程中、其映像文件被读取时以及被删除时的各个环节均处于本发明技术方案的安全管理范围内。当然,本发明技术方案中同样可以将不同环节的安全管理方法单独作为一种技术应用。具体方案在下文中会详述。
则如图1所示,该虚拟机安全管理系统中包括一第一操作单元1以及一第二操作单元2,上述第一操作单元1连接第二操作单元2,第一操作单元1用于对一虚拟机进行操作,第二操作单元用于对一宿主操作系统进行操作2。
上述第二操作单元2还用于创建和删除虚拟机。
则本发明的较佳的实施例中,仍然如图1所示,上述虚拟机安全管理系统中还包括:
第一存储单元3,连接第一操作单元1,上述第一存储单元3为虚拟机的虚拟机磁盘,并保存有关联于虚拟机的系统数据;
存储改写单元4,分别连接第二操作单元2和第一存储单元3,用于在第二操作单元2创建虚拟机前或者删除虚拟机后,以一预设字符填充第一存储单元3的存储空间。
在一个具体实施例中,首先设置一装载有宿主系统的计算机终端,以及一外部存储设备,该外部存储设备中设置有虚拟机的映像文件。上述外部存储设备可以为上文中所述的存储单元3,上述第一操作单元1和第二操作单元2均包括在上述计算机终端内。换言之,依照虚拟机的一般操作方式,在外部存储设备中保存有该虚拟机的映像文件,并在需要运行虚拟机时,根据该映像文件将虚拟机预先加载到计算机终端的系统内存中。因此计算机终端既可以运行其中装载的宿主系统(采用第二操作单元2),也可以运行预先加载到系统内存中的虚拟机(采用第一操作单元1)。同时,计算机终端还可以创建和删除虚拟机(采用第二操作单元2)。而上文中所述的第一存储单元3,其可以作为虚拟机的虚拟机磁盘,用于保存关联于该虚拟机的系统数据,例如该虚拟机的租户的隐私数据等。
因此在该实施例中,于上述虚拟机安全管理系统中设置一存储改写单元4,用于在上述第二操作单元2创建虚拟机之前,或者在该第二操作单元2删除虚拟机之后,采用预设字符填充上述第一存储单元3中的存储空间。
具体地,该实施例中,上述第二操作单元2在创建虚拟机之前,通常会对虚拟机分配虚拟机磁盘,此时,上述存储改写单元4需要将相应的存储单元3中的存储空间填充满预设的字符,即将相应的虚拟机磁盘内的内容全部写入预设字符的方式来实现磁盘释放清零。
同样地,该实施例中,上述第二操作单元2在删除虚拟机之后,上述存储改写单元4同样需要通过上述方式来实现磁盘释放清零。
综上所述,上述具体实施例中,在虚拟机磁盘分配前以及释放后,采用存储改写单元4以预设字符填充满上述第一存储单元3的存储空间,即将相应的虚拟机磁盘做磁盘释放清零处理,从而防止租户的隐私数据被泄漏出去。
本发明的较佳的实施例中,上述预设字符为0。
具体地,本发明的较佳的实施例中,上述存储改写单元4采用将上述第一存储单元3内的存储空间全部写入“0”数据的方式实现相应的虚拟机磁盘的磁盘释放清零处理。
本发明的较佳的实施例中,仍然如图1所示,上述虚拟机安全管理系统中还包括:
第二存储单元5,连接第一操作单元1,用于保存关联于虚拟机的映像文件;
安全控制单元6,分别连接第一操作单元1和第二存储单元5,用于控制第一操作单元1对映像文件的访问权限。
则具体地,本发明的较佳的实施例中,如图2所示,上述安全控制单元6具体包括:
第一标记模块61,用于对具有访问权限的关联于第一操作单元的管理进程打上预设的第一标记;
第二标记模块62,用于对能够被访问的映像文件打上预设的第二标记;
权限管理模块63,用于判断管理进程上是否存在第一标记,以及映像文件上是否存在第二标记,并根据判断结果:
在管理进程上存在第一标记,且映像文件上存在第二标记时,允许第一操作单元对映像文件进行访问操作。
本发明的较佳的实施例中,除了在创建和删除虚拟机时将其分配的磁盘空间释放清零的方式之外,还可以通过基于类型增强的强制访问控制策略实现虚拟机运行过程中的安全防护。具体可以为:采用第一标记模块61为虚拟机的映像文件打上一预设的第一标记(例如为svirt_img_t的安全标签),并且采用第二标记模块62为虚拟机的管理进程打上预设的第二标记。进一步地,所谓第二标记,实际为设定了一个安全域(例如以svirt_t表示),被打上第二标记的管理进程均位于该安全域中。因此,判断某个管理进程是否被打上第二标记,即可以转化成判断该管理进程是否位于上述被定义的安全域中。
则本发明的较佳的实施例中,上述安全策略中,最终能够保证只有被打上预设的第二标记(例如位于被定义的安全域中)的虚拟机的管理进程才能访问被打上预设的第一标记的映像文件。若处于Linux系统下,则上述安全策略可以通过SELinux框架结合TE安全模型构建形成。
本发明的其他实施例中,在Linux环境下,上述安全策略还可以选择通过SELinux框架结合TE安全模型构建形成的其他安全策略,在此不再赘述。
本发明的较佳的实施例中,上述第一操作单元1可以用于操作多个虚拟机;
则仍然如图1所示,上述虚拟机安全管理系统中还包括:
分类单元7,用于对不同的虚拟机进行分类,并输出分类结果;
操作控制单元8,分别连接分类单元7和第一操作单元1,用于根据分类结果,允许第一操作单元在属于同一类别的多个虚拟机之间进行交互操作。
具体地,本发明的较佳的实施例中,上文中所述的安全防护策略,实际为了避免不同类别的虚拟机之间互相访问的问题,能够用来进行虚拟机之间的隔离,这种隔离可以防止某一个用户通过其虚拟机恶意访问和攻击其他用户的虚拟机或者主机的宿主系统的进程或者资源。
本发明的一个较佳的实施例中,在Linux操作环境下,上文中所述的对不同类别的虚拟机进行分类访问的安全防护策略可以通过启动SELinux安全策略中的MCS(MultiCategorySecurity,多类别防护)保护模型进行,该保护模型赋予每个虚拟机一个独立的类别,并禁止不同类别的虚拟机之间的互相访问,从而为每个虚拟机的客户都隔离出一个独立的操作空间。
本发明的较佳的实施例中,仍然如图1所示,上述虚拟机安全管理系统中还包括:
密码保存单元9,用于保存于第二操作单元2创建虚拟机时外部输入的密码;
加密单元10,分别连接第一操作单元2、密码保存单元9和第二存储单元5,用于在每次第一操作单元1启动虚拟机时,采用密码生成相应的动态密钥,并采用动态密钥对第二存储单元5中保存的映像文件进行加密;
密码输入单元11,连接第一操作单元2,供第一操作单元2输入密码;
操作限制单元12,分别连接密码输入单元11、第二存储单元5、密码保存单元9以及第一操作单元1,用于被输入的密码正确时,允许第一操作单元1对关联于被加密的映像文件的虚拟机进行操作。
具体地,本发明的较佳的实施例中,对虚拟机可以采用动态密钥的安全防护措施进行防护,具体包括:
首先于虚拟机被创建时,获取外部输入的密码并保存在上述密码保存单元9中。
随后采用上述加密单元10,于每次虚拟机被启动的同时,根据上述密码生成动态密钥,随后采用该动态密钥对上述映像文件进行加密。
随后,采用一个密码输入单元11接收上述第一操作单元1输入的密码。换言之,使用者若需要通过第一操作单元对已经被创建的虚拟机进行操作,则需要事先输入密码(于每次启动虚拟机之前),该密码可以为使用者手动输入。密码接收完毕后,采用一操作限制单元12判断该密码输入是否正确(即与被保存的密码进行比较),并根据判断结果确定是否需要对该第一操作单元1进行操作限制:只允许在被输入的密码正确的情况下,第一操作单元1能够对关联于被加密的映像文件的虚拟机进行操作;反之,第一操作单元1不具有对该虚拟机进行操作的权限。
本发明的较佳的实施例中,无论加密还是解密过程中,上述密钥始终被保存在系统内存中,即每次启动虚拟机后,上述加密单元10都会根据预先保存在密码保存单元9内的密码生成一个动态的密钥,并把该密钥保存在系统内存中。以后无论是根据该动态密钥对映像文件进行加密,还是需要对该映像文件进行解密(存在访问请求时),该动态密钥均保持在系统内存中。
综上所述,本发明技术方案中,基于虚拟机的全生命周期,提供了多种安全防护措施,具体包括:
1)在虚拟机被创建之前或者被删除之后,采用预设字符填充相应虚拟机磁盘的方式将虚拟机磁盘的存储空间释放清零,从而保证租户的隐私数据不被泄漏;
2)通过设置强制访问控制策略,例如通过双向标记的方式控制管理进程操作虚拟机以及访问虚拟机映像文件的过程;
3)通过对不同的虚拟机进行分类的方式,保证了不同类别的虚拟机之间不能互相访问,避免某个客户恶意攻击其他客户的虚拟机或者宿主系统的问题;
4)采用动态密钥对映像文件加解密的方式,进一步保证虚拟机映像文件不被恶意访问和篡改。
本发明的一个较佳的实施例中,采用上述技术方案,于虚拟机的全生命周期中进行安全防护的方式包括:
1)创建:在分配虚拟机磁盘时,通过向相应的虚拟机磁盘全部写入“0”数据来实现磁盘内容的释放清零,防止磁盘被植入恶意代码;
2)运行:采用动态分类的方式将不同的虚拟机划分为不同的类别,不同的类别之间不能互相访问,防止某个客户恶意攻击其他客户的虚拟机或者宿主系统;
3)停止:通过一系列类型增加的强制访问策略(例如上文中所述的双向标记的安全防护策略)禁止一般程序对虚拟机映像文件的访问,使得虚拟机映像文件称为宿主系统的操作环境下的静态文件;
4)维护:采用使用者自主输入密码并进行密钥加密的方式使得虚拟机映像文件称为离线的外部存储设备中的静态文件,防止其他恶意客户的离线访问;
5)销毁:在虚拟机被删除后,同样向相应的虚拟机磁盘内全部写入“0”数据的方式执行磁盘内容的释放清零操作,防止在虚拟机被删除后,其中的系统数据被泄漏。
本发明的较佳的实施例中,还提供一种计算机终端,其中包括上文中所述的虚拟机安全管理系统。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (8)
1.一种虚拟机安全管理系统,包括一第一操作单元以及一第二操作单元,所述第一操作单元连接所述第二操作单元,所述第一操作单元用于对一虚拟机进行操作,所述第二操作单元用于对一宿主操作系统进行操作;其特征在于:
所述第二操作单元还用于创建和删除所述虚拟机;
所述虚拟机安全管理系统中还包括:
第一存储单元,连接所述第一操作单元,所述第一存储单元为所述虚拟机的虚拟机磁盘,并保存有关联于所述虚拟机的系统数据;
存储改写单元,分别连接所述第二操作单元和所述第一存储单元,用于在所述第二操作单元创建所述虚拟机前或者删除所述虚拟机后,以一预设字符填充所述第一存储单元的存储空间。
2.如权利要求1所述的虚拟机安全管理系统,其特征在于,所述预设字符为0。
3.如权利要求1所述的虚拟机安全管理系统,其特征在于,还包括:
第二存储单元,连接所述第一操作单元,用于保存关联于所述虚拟机的映像文件;
安全控制单元,分别连接所述第一操作单元和所述第二存储单元,用于控制所述第一操作单元对所述映像文件的访问权限。
4.如权利要求3所述的虚拟机安全管理系统,其特征在于,所述安全控制单元包括:
第一标记模块,用于对具有所述访问权限的关联于所述第一操作单元的管理进程打上预设的第一标记;
第二标记模块,用于对能够被访问的所述映像文件打上预设的第二标记;
权限管理模块,用于判断所述管理进程上是否存在所述第一标记,以及所述映像文件上是否存在所述第二标记,并根据判断结果:
在所述管理进程上存在所述第一标记,且所述映像文件上存在所述第二标记时,允许所述第一操作单元对所述映像文件进行访问操作。
5.如权利要求1所述的虚拟机安全管理系统,其特征在于,所述第一操作单元用于操作多个所述虚拟机;
所述虚拟机安全管理系统中还包括:
分类单元,用于对不同的所述虚拟机进行分类,并输出分类结果;
操作控制单元,分别连接所述分类单元和所述第一操作单元,用于根据所述分类结果,允许所述第一操作单元在属于同一类别的多个所述虚拟机之间进行交互操作。
6.如权利要求1所述的虚拟机安全管理系统,其特征在于,还包括:
第二存储单元,连接所述第一操作单元,用于保存关联于所述虚拟机的映像文件;
密码保存单元,用于保存于所述第二操作单元创建所述虚拟机时外部输入的密码;
加密单元,分别连接所述第一操作单元、所述密码保存单元和所述第二存储单元,用于在每次所述第一操作单元启动所述虚拟机时,采用所述密码生成相应的动态密钥,并采用所述动态密钥对所述第二存储单元中保存的所述映像文件进行加密;
密码输入单元,连接所述第一操作单元,供所述第一操作单元输入所述密码;
操作限制单元,分别连接所述密码输入单元、所述第二存储单元、所述密码保存单元以及所述第一操作单元,用于被输入的所述密码正确时,允许所述第一操作单元对关联于被加密的所述映像文件的所述虚拟机进行操作。
7.如权利要求6所述的虚拟机安全管理系统,其特征在于,所述动态密钥保存于系统内存中。
8.一种计算机终端,其特征在于,包括如权利要求1-7所述的虚拟机安全管理系统。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510981774.1A CN105389522B (zh) | 2015-12-23 | 2015-12-23 | 一种虚拟机安全管理系统及计算机终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510981774.1A CN105389522B (zh) | 2015-12-23 | 2015-12-23 | 一种虚拟机安全管理系统及计算机终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105389522A true CN105389522A (zh) | 2016-03-09 |
CN105389522B CN105389522B (zh) | 2022-03-04 |
Family
ID=55421798
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510981774.1A Active CN105389522B (zh) | 2015-12-23 | 2015-12-23 | 一种虚拟机安全管理系统及计算机终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105389522B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1463440A (zh) * | 2001-05-25 | 2003-12-24 | 松下电器产业株式会社 | 信息信号编辑装置,信息信号编辑方法,以及信息信号编辑程序 |
WO2007149671A2 (en) * | 2006-06-23 | 2007-12-27 | Sentillion, Inc. | Remote network access via virtual machine |
CN101419535A (zh) * | 2008-11-19 | 2009-04-29 | 北京航空航天大学 | 虚拟机的分布式虚拟磁盘系统 |
CN101655798A (zh) * | 2008-08-18 | 2010-02-24 | 联想(北京)有限公司 | 一种计算机和虚拟机环境中应用程序部署和运行的方法 |
US20100169948A1 (en) * | 2008-12-31 | 2010-07-01 | Hytrust, Inc. | Intelligent security control system for virtualized ecosystems |
US20100242099A1 (en) * | 2002-04-05 | 2010-09-23 | Tsao Sheng Tai Ted | Method and apparatus of UI design for web-based computer user working environment |
CN102185928A (zh) * | 2011-06-01 | 2011-09-14 | 广州杰赛科技股份有限公司 | 一种在云计算系统创建虚拟机的方法及云计算系统 |
CN102662872A (zh) * | 2012-03-29 | 2012-09-12 | 山东超越数控电子有限公司 | 一种基于可信密码模块的用户虚拟磁盘镜像文件保护方法 |
CN102932413A (zh) * | 2012-09-26 | 2013-02-13 | 华为软件技术有限公司 | 一种计算资源分配方法、云管理平台节点和计算资源集群 |
CN102981929A (zh) * | 2012-11-05 | 2013-03-20 | 曙光云计算技术有限公司 | 磁盘镜像的管理方法和系统 |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN103457974A (zh) * | 2012-06-01 | 2013-12-18 | 中兴通讯股份有限公司 | 虚拟机镜像的安全控制方法和装置 |
CN103514222A (zh) * | 2012-06-29 | 2014-01-15 | 无锡江南计算技术研究所 | 虚拟机映像的存储方法、管理方法、存储管理装置及系统 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
CN104737150A (zh) * | 2012-10-23 | 2015-06-24 | 阿沃森特亨茨维尔公司 | 使用在万维网浏览器中运行的HTML5KVM/vMEDIA客户端访问盘镜像文件的系统和方法 |
-
2015
- 2015-12-23 CN CN201510981774.1A patent/CN105389522B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1463440A (zh) * | 2001-05-25 | 2003-12-24 | 松下电器产业株式会社 | 信息信号编辑装置,信息信号编辑方法,以及信息信号编辑程序 |
US20100242099A1 (en) * | 2002-04-05 | 2010-09-23 | Tsao Sheng Tai Ted | Method and apparatus of UI design for web-based computer user working environment |
WO2007149671A2 (en) * | 2006-06-23 | 2007-12-27 | Sentillion, Inc. | Remote network access via virtual machine |
CN101655798A (zh) * | 2008-08-18 | 2010-02-24 | 联想(北京)有限公司 | 一种计算机和虚拟机环境中应用程序部署和运行的方法 |
CN101419535A (zh) * | 2008-11-19 | 2009-04-29 | 北京航空航天大学 | 虚拟机的分布式虚拟磁盘系统 |
US20100169948A1 (en) * | 2008-12-31 | 2010-07-01 | Hytrust, Inc. | Intelligent security control system for virtualized ecosystems |
CN102185928A (zh) * | 2011-06-01 | 2011-09-14 | 广州杰赛科技股份有限公司 | 一种在云计算系统创建虚拟机的方法及云计算系统 |
CN102662872A (zh) * | 2012-03-29 | 2012-09-12 | 山东超越数控电子有限公司 | 一种基于可信密码模块的用户虚拟磁盘镜像文件保护方法 |
CN103457974A (zh) * | 2012-06-01 | 2013-12-18 | 中兴通讯股份有限公司 | 虚拟机镜像的安全控制方法和装置 |
CN103514222A (zh) * | 2012-06-29 | 2014-01-15 | 无锡江南计算技术研究所 | 虚拟机映像的存储方法、管理方法、存储管理装置及系统 |
CN102932413A (zh) * | 2012-09-26 | 2013-02-13 | 华为软件技术有限公司 | 一种计算资源分配方法、云管理平台节点和计算资源集群 |
CN104737150A (zh) * | 2012-10-23 | 2015-06-24 | 阿沃森特亨茨维尔公司 | 使用在万维网浏览器中运行的HTML5KVM/vMEDIA客户端访问盘镜像文件的系统和方法 |
CN102981929A (zh) * | 2012-11-05 | 2013-03-20 | 曙光云计算技术有限公司 | 磁盘镜像的管理方法和系统 |
CN103441986A (zh) * | 2013-07-29 | 2013-12-11 | 中国航天科工集团第二研究院七〇六所 | 一种瘦客户端模式的数据资源安全管控方法 |
CN103516728A (zh) * | 2013-10-14 | 2014-01-15 | 武汉大学 | 一种防止云平台虚拟机非法启动的镜像加解密方法 |
Non-Patent Citations (5)
Title |
---|
ADMIN: "SELinux+_SVIRT 项目", 《WWW.SELINUXPLUS.COM/?CAT=3》 * |
FEDORA: "Secure Virtualization Using SELinux (sVirt)", 《HTTPS://WWW.LINUX.COM/NEWS/SECURE-VIRTUALIZATION-USING-SELINUX-SVIRT/》 * |
吕秋云: "云计算联盟资源调度方法研究", 《HTTPS://D.WANFANGDATA.COM.CN/THESIS/Y2504077》 * |
尚颖丹 等: "虚拟机映像存储系统中面向文件级重复数据删除的稀疏索引技术", 《第十九届全国网络与数据通信学术会议》 * |
陈林 等: "IaaS环境下虚拟机运行时VIF策略动态加载机制", 《四川大学学报(工程科学版)》 * |
Also Published As
Publication number | Publication date |
---|---|
CN105389522B (zh) | 2022-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110892691B (zh) | 安全执行平台群集 | |
US9047468B2 (en) | Migration of full-disk encrypted virtualized storage between blade servers | |
US7210043B2 (en) | Trusted computer system | |
CN102945355B (zh) | 基于扇区映射的快速数据加密策略遵从 | |
CN104885093B (zh) | 基于加密的数据访问管理 | |
CN102624699B (zh) | 一种保护数据的方法和系统 | |
CN102208001B (zh) | 硬件支持的虚拟化密码服务 | |
CN100592313C (zh) | 一种电子文档防泄密系统及实现方法 | |
CN102855452B (zh) | 基于加密组块的快速数据加密策略遵从 | |
CN109923548A (zh) | 通过监管进程访问加密数据实现数据保护的方法、系统及计算机程序产品 | |
US20140380057A1 (en) | Method, Server, Host, and System for Protecting Data Security | |
EP3306509B1 (en) | Vtpm-based method and system for virtual machine security and protection | |
CN104903910A (zh) | 控制移动装置对安全数据的访问 | |
CN104380652A (zh) | 用于nfc使能设备的多发行商安全元件分区架构 | |
US11489660B2 (en) | Re-encrypting data on a hash chain | |
CN101827101A (zh) | 基于可信隔离运行环境的信息资产保护方法 | |
CN104618096A (zh) | 保护密钥授权数据的方法、设备和tpm密钥管理中心 | |
CN104335548A (zh) | 安全数据处理 | |
CN105528553A (zh) | 一种数据安全共享的方法、装置和终端 | |
CN106682521B (zh) | 基于驱动层的文件透明加解密系统及方法 | |
CN106845261A (zh) | 一种销毁ssd硬盘数据的方法及装置 | |
CN101751536A (zh) | 增加文件头的文件透明加密方法 | |
Aissaoui et al. | Survey on data remanence in Cloud Computing environment | |
US20230050944A1 (en) | Container with encrypted software packages | |
CN105389522A (zh) | 一种虚拟机安全管理系统及计算机终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |