CN107179936A - 一种基于特权分离的虚拟化隔离方法 - Google Patents

一种基于特权分离的虚拟化隔离方法 Download PDF

Info

Publication number
CN107179936A
CN107179936A CN201610139695.0A CN201610139695A CN107179936A CN 107179936 A CN107179936 A CN 107179936A CN 201610139695 A CN201610139695 A CN 201610139695A CN 107179936 A CN107179936 A CN 107179936A
Authority
CN
China
Prior art keywords
virtual machine
domainu
domain
domains
data storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610139695.0A
Other languages
English (en)
Inventor
王辰
雷璟
焦栋
徐心毅
敖乃翔
郭静
姜雅文
李志鹏
张纬栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Electronics Technology Group Corp CETC
Electronic Science Research Institute of CTEC
Original Assignee
China Electronics Technology Group Corp CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Electronics Technology Group Corp CETC filed Critical China Electronics Technology Group Corp CETC
Priority to CN201610139695.0A priority Critical patent/CN107179936A/zh
Publication of CN107179936A publication Critical patent/CN107179936A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种基于特权分离的虚拟化隔离方法,该方法包括:针对任一虚拟机DomainU,在所述虚拟机DomainU中构建最上层虚拟域,最上层虚拟域包括:虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域;当所述虚拟机DomainU进行数据存储时,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,所述虚拟机DomainU管理域对所述存储数据进行加密处理,将加密后的所述存储数据传输给独立设备驱动域,独立设备驱动域将加密后的所述存储数据传输给外设的硬件存储设备进行存储。该方法克服现有技术中系统虚拟机中虚拟机Domain0权限过大,提高了虚拟机DomainU与硬件设备进行数据交换时数据安全交换保护能力。

Description

一种基于特权分离的虚拟化隔离方法
技术领域
本发明涉及信息安全技术领域,尤其涉及一种基于特权分离的虚拟化隔离方法。
背景技术
现有的Xen类型的系统虚拟机包括:一个虚拟机Domain0和多个虚拟机DomainU。虚拟机Domain0提供系统虚拟机的管理服务,具有直接访问硬件设备和管理其他虚拟机DomainU的特权。虚拟机DomainU不能直接访问硬件资源。Xen类型的系统虚拟机中,设备驱动在虚拟机Domain0中,通过虚拟机Domain0中的设备驱动来完成硬件设备的访问。当虚拟机DomainU与硬件设备进行数据交换时,数据经过虚拟机Domain0中的设备驱动进行传输,但由于设备驱动中含有的漏洞比较多,数据可能被非法用户获取,不能保障数据安全交换。
发明内容
本发明要解决的技术问题是,提供一种基于特权分离的虚拟化隔离方法,克服现有技术中系统虚拟机中Domain0权限过大,虚拟机DomainU与硬件设备进行数据交换时,不能保障数据安全交换。
本发明采用的技术方案是,所述基于特权分离的虚拟化隔离方法,一个Xen类型的系统虚拟机包括:一个虚拟机Domain0和多个虚拟机DomainU,所述虚拟机Domain0提供对所述系统虚拟机的管理服务;
该方法包括:
步骤一,针对任一虚拟机DomainU,在所述虚拟机DomainU中构建最上层虚拟域,最上层虚拟域包括:虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域;
步骤二,当所述虚拟机DomainU进行数据存储时,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,所述虚拟机DomainU管理域对所述存储数据进行加密处理,将加密后的所述存储数据传输给独立设备驱动域,独立设备驱动域将加密后的所述存储数据传输给外设的硬件存储设备进行存储。
进一步的,所述虚拟机DomainU管理域包括:虚拟机DomainU管理域内核和所述虚拟机DomainU应用域对应的安全服务。
进一步的,所述虚拟机DomainU管理域内核包括:所述系统虚拟机中的微型操作系统;
所述虚拟机DomainU管理域的功能模块由系统虚拟机中的虚拟机Domain0通过Linux系统内核构建;通过对Linux系统内核进行裁剪及重新配置编译,对虚拟机DomainU管理域的功能模块进行替换或删减;
虚拟机DomainU管理域的功能模块包括:文件操作模块、块设备前端驱动模块、块设备后端驱动模块、数据加密模块、接口模块和密钥模块。
进一步的,所述独立设备驱动域的确定过程,包括:通过将系统虚拟机中的独立设备驱动域从虚拟机Domain0中分离出来,放入虚拟机DomainU的最上层虚拟域中。
进一步的,所述加密处理的过程包括:由虚拟机DomainU管理域中的数据加密模块采用128位AES算法对所述存储数据进行加密运算。
进一步的,在步骤二中,所述将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,具体包括:
虚拟机DomainU管理域加载所述块设备前端驱动模块,通过所述块设备前端驱动模块绑定虚拟机DomainU应用域,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域。
进一步的,在步骤二中,将加密后的所述存储数据传输给独立设备驱动域,具体包括:
虚拟机DomainU管理域加载所述块设备后端驱动模块,通过所述块设备后端驱动模块绑定独立设备驱动域,将虚拟机DomainU管理域中所述加密后的存储数据传输给所述外部的独立设备驱动域。
采用上述技术方案,本发明至少具有下列优点:
本发明所述基于特权分离的虚拟化隔离方法,通过对Xen类型的系统虚拟机中虚拟机Domain0的特权进行分离,将漏洞较多的设备驱动独立出来,形成独立驱动域实现虚拟机DomainU与硬件设备之间数据的安全交换,并构建虚拟机DomainU管理域,通过虚拟机DomainU管理域对数据进行加密,克服现有技术中系统虚拟机中虚拟机Domain0权限过大,提高了虚拟机DomainU与硬件设备进行数据交换时数据安全交换保护能力。
附图说明
图1为本发明第一实施例的基于特权分离的虚拟化隔离方法流程图;
图2为本发明第二实施例的基于特权分离的虚拟化隔离方法虚拟机DomainU最上层虚拟域构成示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种基于特权分离的虚拟化隔离方法,如图1所示,包括以下具体步骤:
步骤S101,针对任一虚拟机DomainU,在虚拟机DomainU中构建最上层虚拟域。
具体的,步骤S101,包括:
如图2,最上层虚拟域由虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域组成。
独立设备驱动域通过将系统虚拟机Xen中的IDD(Isolated Driver Domainain,独立驱动域)从虚拟机Domain0中分离出来构成。
虚拟机DomainU管理域由虚拟机DomainU管理域内核和虚拟机DomainU应用域对应的安全服务组成。
其中虚拟机DomainU管理域内核由系统虚拟机Xen中Mini OS(MiniOperation System,微型操作系统)构成。
虚拟机DomainU管理域的功能以模块形式存在,由系统虚拟机Xen中的虚拟机Domain0通过Linux系统内核构建,并通过对Linux系统内核裁剪及重新配置编译对虚拟机DomainU管理域功能模块进行的替换或删减,以保证虚拟机DomainU管理域内核的性能及稳定性。
虚拟机DomainU管理域功能模块包括文件操作模块、块设备前端驱动模块、块设备后端驱动模块、数据加密模块、接口模块、密钥模块等功能模块。
步骤S102,当虚拟机DomainU进行数据存储时,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,对存储数据进行加密处理,然后再将加密后的存储数据传输给独立设备驱动域,独立设备驱动域将加密后的存储数据传输给外设的硬件存储设备进行存储。
具体的,步骤S102,包括:
步骤A1,在启动虚拟机DomainU时,加载虚拟机DomainU管理域内核镜像,虚拟机DomainU管理域内核镜像以文件形式存储在文件操作模块中;
步骤A2,在虚拟机DomainU管理域中加载块设备前端驱动模块、块设备后端驱动模块,块设备前端驱动模块绑定虚拟机DomainU应用域,块设备后端驱动模块绑定独立设备驱动域;
步骤A3,将虚拟机DomainU应用域中的存储数据通过块设备前端驱动模块传输给虚拟机DomainU管理域;
步骤A4,在虚拟机DomainU管理域中加载数据加密模块,数据加密模块通过加密软件dm_crypt API(Application Programming Interface,应用程序编程接口)实现128位AES(Advanced Encryption Standard,高级加密标准)算法对存储数据进行加密运算;
步骤A5,在虚拟机DomainU管理域中加载密钥模块,通过密钥模块的密封功能实现对称密钥的安全存储,并利用对称密钥完成存储数据加密;
步骤A6,将虚拟机DomainU管理域中加密后的存储数据通过块设备后端驱动模块传输到独立设备驱动域;
步骤A7,独立设备驱动域将加密后的存储数据传输给外设的硬件存储设备进行存储。
本发明第二实施例,本实施例是在上述实施例的基础上,以基于特权分离的虚拟化隔离方法为例,结合附图2介绍一个本发明的应用实例。
步骤S201,针对任一虚拟机DomainU,在虚拟机DomainU中构建最上层虚拟域。
具体的,步骤S201,包括:
最上层虚拟域由虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域组成。
独立设备驱动域通过将系统虚拟机Xen中的IDD(Isolated Driver Domainain,独立驱动域)从虚拟机Domain0中分离出来构成。
虚拟机DomainU管理域由虚拟机DomainU管理域内核和虚拟机DomainU应用域对应的安全服务组成。
其中虚拟机DomainU管理域内核由系统虚拟机Xen中Mini OS(MiniOperation System,微型操作系统)构成。
虚拟机DomainU管理域的功能以模块形式存在,由系统虚拟机Xen中的虚拟机Domain0通过Linux系统内核构建,并通过对Linux系统内核裁剪及重新配置编译对虚拟机DomainU管理域功能模块进行的替换或删减,以保证虚拟机DomainU管理域内核的性能及稳定性。
虚拟机DomainU管理域功能模块包括文件操作模块、块设备前端驱动模块、块设备后端驱动模块、数据加密模块、接口模块、密钥模块等功能模块。
步骤S202,当虚拟机DomainU进行数据存储时,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,对存储数据进行加密处理,然后再将加密后的存储数据传输给独立设备驱动域,独立设备驱动域将加密后的存储数据传输给外设的硬件存储设备进行存储。
具体的,步骤S202,包括:
步骤B1,在启动虚拟机DomainU时,加载虚拟机DomainU管理域内核镜像,虚拟机DomainU管理域内核镜像以文件形式存储在文件操作模块中;
步骤B2,在虚拟机DomainU管理域中加载块设备前端驱动模块、块设备后端驱动模块,块设备前端驱动模块绑定虚拟机DomainU应用域,块设备后端驱动模块绑定独立设备驱动域;
步骤B3,将虚拟机DomainU应用域中的存储数据通过块设备前端驱动模块传输给虚拟机DomainU管理域;
步骤B4,在虚拟机DomainU管理域中加载数据加密模块,数据加密模块通过加密软件dm_crypt API(Application Programming Interface,应用程序编程接口)实现128位AES(Advanced Encryption Standard,高级加密标准)算法对存储数据进行加密运算;
步骤B5,在虚拟机DomainU管理域中加载密钥模块,通过密钥模块的密封功能实现对称密钥的安全存储,并利用对称密钥完成存储数据加密;
步骤B6,将虚拟机DomainU管理域中加密后的存储数据通过块设备后端驱动模块传输到独立设备驱动域;
步骤B7,独立设备驱动域将加密后的存储数据传输给外设的硬件存储设备进行存储。
例如:虚拟机DomainU进行数据存储的具体流程如下:
步骤C1,在启动虚拟机DomainU时,加载虚拟机DomainU管理域内核镜像,虚拟机DomainU管理域内核镜像以文件形式存储在文件操作模块中;
步骤C2,在虚拟机DomainU管理域中加载块设备前端驱动模块、块设备后端驱动模块,块设备前端驱动模块绑定虚拟机DomainU应用域,块设备后端驱动模块绑定独立设备驱动域;
步骤C3,在虚拟机DomainU管理域中,加载块设备前端驱动模块与块设备后端驱动模块,并对块设备前端驱动模块与块设备后端驱动模块进行初始化,建立块设备前端驱动与块设备后端驱动的通道;
例如:
加载前端驱动模块:/drivers/xen/blkfront;
加载后端驱动模块:/drivers/xen/blkback;
调用函数static_int_init blkif_init(void)进行块设备后端的初始化;
调用函数blkfront_probe进行块设备前端的初始化;
调用函数talk_to_backend建立块设备前端驱动与块设备后端驱动的通道;
步骤C3,虚拟机DomainU应用域中的存储数据通过块设备前端驱动模块传输给虚拟机DomainU管理域;
步骤C4,在虚拟机DomainU管理域中,加载数据加密模块;
具体的,步骤C4,包括:
步骤D1,加载加密软件dm-crypt;
例如:通过命令#modprobe dm-crypt加载加密软件dm-crypt。
步骤D2,创建一个虚拟磁盘映像,作为对独立设备驱动域的回传设备。
例如:通过命令#dd if=/dev/zero of=/crypt.img bs=1M count=128创建一个128M的虚拟映像磁盘crypt.img;
通过命令#losetup/dev/loop1/crypt.img将crypt.img与虚拟块设备/dev/loop1绑定在一起。
步骤C5,将加密软件dm_crypt的回传设备与块设备的前后端驱动I/O环队列绑定;
步骤C6,加密软件dm_crypt通过128位AES(Advanced Encryption Standard,高级加密标准)算法对存储数据进行加密运算;
步骤C7,在虚拟机DomainU管理域中加载密钥模块,利用密钥模块的密封功能实现对称密钥的安全存储,并利用对称密钥对存数数据加密;
步骤C8,将虚拟机DomainU管理域中加密后的存储数据通过块设备后端驱动模块传送到独立设备驱动域;
步骤C9,独立设备驱动域将加密后的存储数据传输给外设的硬件存储设备进行存储。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。

Claims (7)

1.一种基于特权分离的虚拟化隔离方法,一个Xen类型的系统虚拟机包括:一个虚拟机Domain0和多个虚拟机DomainU,所述虚拟机Domain0提供对所述系统虚拟机的管理服务;
其特征在于,包括:
步骤一,针对任一虚拟机DomainU,在所述虚拟机DomainU中构建最上层虚拟域,最上层虚拟域包括:虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域;
步骤二,当所述虚拟机DomainU进行数据存储时,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,所述虚拟机DomainU管理域对所述存储数据进行加密处理,将加密后的所述存储数据传输给独立设备驱动域,独立设备驱动域将加密后的所述存储数据传输给外设的硬件存储设备进行存储。
2.根据权利要求1所述的基于特权分离的虚拟化隔离方法,其特征在于,所述虚拟机DomainU管理域包括:虚拟机DomainU管理域内核和所述虚拟机DomainU应用域对应的安全服务。
3.根据权利要求2所述的基于特权分离的虚拟化隔离方法,其特征在于,所述虚拟机DomainU管理域内核包括:所述系统虚拟机中的微型操作系统;
所述虚拟机DomainU管理域的功能模块由系统虚拟机中的虚拟机Domain0通过Linux系统内核构建;通过对Linux系统内核进行裁剪及重新配置编译,对虚拟机DomainU管理域的功能模块进行替换或删减;
虚拟机DomainU管理域的功能模块包括:文件操作模块、块设备前端驱动模块、块设备后端驱动模块、数据加密模块、接口模块和密钥模块。
4.根据权利要求1所述的基于特权分离的虚拟化隔离方法,其特征在于,所述独立设备驱动域的确定过程,包括:通过将系统虚拟机中的独立设备驱动域从虚拟机Domain0中分离出来,放入虚拟机DomainU的最上层虚拟域中。
5.根据权利要求3所述的基于特权分离的虚拟化隔离方法,其特征在于,所述加密处理的过程包括:由虚拟机DomainU管理域中的数据加密模块采用128位AES算法对所述存储数据进行加密运算。
6.根据权利要求3所述的基于特权分离的虚拟化隔离方法,其特征在于,在步骤二中,所述将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域,具体包括:
虚拟机DomainU管理域加载所述块设备前端驱动模块,通过所述块设备前端驱动模块绑定虚拟机DomainU应用域,将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域。
7.根据权利要求3所述的基于特权分离的虚拟化隔离方法,其特征在于,在步骤二中,将加密后的所述存储数据传输给独立设备驱动域,具体包括:
虚拟机DomainU管理域加载所述块设备后端驱动模块,通过所述块设备后端驱动模块绑定独立设备驱动域,将虚拟机DomainU管理域中所述加密后的存储数据传输给所述外设的独立设备驱动域。
CN201610139695.0A 2016-03-11 2016-03-11 一种基于特权分离的虚拟化隔离方法 Pending CN107179936A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610139695.0A CN107179936A (zh) 2016-03-11 2016-03-11 一种基于特权分离的虚拟化隔离方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610139695.0A CN107179936A (zh) 2016-03-11 2016-03-11 一种基于特权分离的虚拟化隔离方法

Publications (1)

Publication Number Publication Date
CN107179936A true CN107179936A (zh) 2017-09-19

Family

ID=59830794

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610139695.0A Pending CN107179936A (zh) 2016-03-11 2016-03-11 一种基于特权分离的虚拟化隔离方法

Country Status (1)

Country Link
CN (1) CN107179936A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108664772A (zh) * 2018-04-27 2018-10-16 北京可信华泰信息技术有限公司 一种保证系统安全性的方法
CN109639424A (zh) * 2018-12-25 2019-04-16 山东超越数控电子股份有限公司 一种基于不同密钥的虚拟机镜像加密方法及装置
CN111581621A (zh) * 2020-05-07 2020-08-25 中芯集成电路(宁波)有限公司 数据安全处理方法、装置、系统及存储介质
CN115987566A (zh) * 2022-12-01 2023-04-18 贵州电网有限责任公司 一种基于新能源电力系统服务器隔离架构

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350044A (zh) * 2008-09-02 2009-01-21 中国科学院软件研究所 一种虚拟环境信任构建方法
CN101599022A (zh) * 2009-07-07 2009-12-09 武汉大学 用于虚拟机系统的可信计算基裁剪方法
CN102289620A (zh) * 2011-08-12 2011-12-21 华南理工大学 一种基于Xen安全计算机可信设备虚拟化系统及方法
CN102426557A (zh) * 2011-10-27 2012-04-25 中国科学院计算技术研究所 虚拟化环境中 pci 设备的分离访问方法及其系统
CN103136059A (zh) * 2011-11-24 2013-06-05 中兴通讯股份有限公司 一种内存区间相互隔离的程序之间的通讯方法及处理单元
CN105389199A (zh) * 2015-10-21 2016-03-09 同济大学 一种基于Xen的FPGA加速器虚拟化平台及应用

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101350044A (zh) * 2008-09-02 2009-01-21 中国科学院软件研究所 一种虚拟环境信任构建方法
CN101599022A (zh) * 2009-07-07 2009-12-09 武汉大学 用于虚拟机系统的可信计算基裁剪方法
CN102289620A (zh) * 2011-08-12 2011-12-21 华南理工大学 一种基于Xen安全计算机可信设备虚拟化系统及方法
CN102426557A (zh) * 2011-10-27 2012-04-25 中国科学院计算技术研究所 虚拟化环境中 pci 设备的分离访问方法及其系统
CN103136059A (zh) * 2011-11-24 2013-06-05 中兴通讯股份有限公司 一种内存区间相互隔离的程序之间的通讯方法及处理单元
CN105389199A (zh) * 2015-10-21 2016-03-09 同济大学 一种基于Xen的FPGA加速器虚拟化平台及应用

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
禹聪 等: "一种基于互信的特权分离虚拟机安全模型研究", 《计算机应用研究》 *
禹聪: "一种基于特权分离和时间锁的虚拟机隔离机制研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108664772A (zh) * 2018-04-27 2018-10-16 北京可信华泰信息技术有限公司 一种保证系统安全性的方法
CN109639424A (zh) * 2018-12-25 2019-04-16 山东超越数控电子股份有限公司 一种基于不同密钥的虚拟机镜像加密方法及装置
CN109639424B (zh) * 2018-12-25 2022-06-17 超越科技股份有限公司 一种基于不同密钥的虚拟机镜像加密方法及装置
CN111581621A (zh) * 2020-05-07 2020-08-25 中芯集成电路(宁波)有限公司 数据安全处理方法、装置、系统及存储介质
CN115987566A (zh) * 2022-12-01 2023-04-18 贵州电网有限责任公司 一种基于新能源电力系统服务器隔离架构

Similar Documents

Publication Publication Date Title
CN108418817B (zh) 一种加密方法及装置
CN103069428B (zh) 不可信云基础设施中的安全虚拟机引导
US11018871B2 (en) Key protection for computing platform
US9509501B2 (en) Storage encryption
US8694781B1 (en) Techniques for providing hardware security module operability
US11038852B2 (en) Method and system for preventing data leakage from trusted network to untrusted network
US9792427B2 (en) Trusted execution within a distributed computing system
CN107179936A (zh) 一种基于特权分离的虚拟化隔离方法
US8266448B2 (en) Apparatus, system, method, and computer program product for generating and securing a program capable of being executed utilizing a processor to decrypt content
CN101997834B (zh) 支持高性能安全协议的装置
WO2018125432A1 (en) Provisioning keys for virtual machine secure enclaves
CN102667803B (zh) 用于根据所分配的权限信息运行虚拟机的方法和设备
CN104008330B (zh) 基于文件集中存储及隔离技术的数据防泄漏系统及其方法
US8627069B2 (en) System and method for securing a computer comprising a microkernel
CN103534976A (zh) 数据安全的保护方法、服务器、主机及系统
CN109672519B (zh) 一种密码装置及其数据加解密方法
CN110086609A (zh) 数据安全备份和安全恢复的方法及电子设备
CN107533471A (zh) 通过禁用不必要的功能改进虚拟化应用性能
CN113383330A (zh) 安全容器的创建和执行
CN104756132A (zh) 虚拟化硬件单调计数器
WO2020073712A1 (zh) 一种移动终端中共享安全应用的方法及移动终端
WO2021152383A1 (en) Binding secure objects of security module to secure guest
CN107533615A (zh) 用于利用安全飞地来强化数据加密的技术
CN108491724A (zh) 一种基于硬件的计算机接口加密装置及方法
CN114238185A (zh) 直接存储访问及命令数据传输方法、装置及相关设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20170919