CN107203722A - 一种虚拟化数据隔离交换方法及装置 - Google Patents
一种虚拟化数据隔离交换方法及装置 Download PDFInfo
- Publication number
- CN107203722A CN107203722A CN201610148416.7A CN201610148416A CN107203722A CN 107203722 A CN107203722 A CN 107203722A CN 201610148416 A CN201610148416 A CN 201610148416A CN 107203722 A CN107203722 A CN 107203722A
- Authority
- CN
- China
- Prior art keywords
- data
- communication handshake
- virtual machine
- access control
- shared drive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种虚拟化数据隔离交换方法及装置,该方法包括将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。本发明防止网络攻防试验中的各种恶意代码、病毒和用户的误操作对被保护的存储服务器数据区造成破坏,提高网络靶场虚拟化数据隔离保护的能力,实现网络靶场攻防试验数据的安全交换。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种虚拟化数据隔离交换方法及装置。
背景技术
网络靶场是开展国家关键信息基础设施攻防对抗和网络空间安全产品研制试验的重要场所,是国家网络空间安全体系建设的一个重要环节。网络靶场需要能够支持并行开展多个不同类型、不同密级的试验项目,同时还应保障试验人员可安全的运行各种恶意软件和工具。在靶场试验环境下需保证攻防试验数据的隔离和安全交换。
网络靶场虚拟化数据交换依托于虚拟化可信计算技术,在虚拟化操作系统启动之前,vTPM(virtual trusted platform module,虚拟可信平台模块)会自动校验存储服务器数据区,校验通过后vTPM才把校验存储服务器数据区控制权交给CPU,虚拟化操作系统运行。虚拟化操作系统运行之前,存储服务器数据区一直由vTPM来保护。在操作系统开始运行之后,vTPM不会再对存储服务器数据区进行保护,网络攻防试验中的各种恶意代码、病毒和用户的误操作可能会对被保护的存储服务器数据区造成破坏。
发明内容
本发明要解决的技术问题是,提供一种虚拟化数据隔离交换方法,提高虚拟机不同安全域用户数据交换隔离保护的能力。
本发明采用的技术方案是虚拟化数据隔离交换方法,包括:
步骤一,将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;
步骤二,当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
进一步的,步骤二,具体包括:
当不同安全域用户之间通信交换数据的写操作请求发生在系统数据区时,阻止写操作请求;
当不同安全域用户之间通信交换数据的写操作请求发生在用户数据区时,根据通信交换数据的安全等级执行相应的读写操作。
进一步的,所述根据通信交换数据的安全等级执行相应的读写操作,具体包括:
当第一安全域用户向虚拟机服务管理域Domain0获取虚拟机存储服务器的用户数据区共享内存,并将通信时需要交换的通信交换数据及其安全等级标记写入所述共享内存时,HOOK模块截获第一安全域用户在所述共享内存中的写入操作,以获取所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符,并将所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符存放在访问控制模块中;
访问控制模块将通知事件经事件通道通知给第二安全域用户;
所述通知事件用于通知第二安全域用户准备读取所述共享内存中的通信交换数据;
当第二安全域用户在收到通知事件后,向所述访问控制模块获取所述通信交换数据对应的共享内存描述符,并基于所述通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求时,HOOK模块截获所述读操作请求,并将所述读操作请求包含的操作信息提交给访问控制模块;
访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求。
进一步的,所述操作信息包括:用户OS-ID、通信交换数据的安全等级标记、通信交换数据对应的共享内存描述符以及读操作。
进一步的,所述访问控制策略,包括:允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型;
所述访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求,具体包括:
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略相匹配,则执行读操作;
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略不相匹配,则拒绝执行读操作,并记录告警日志。
本发明还提供一种虚拟化数据隔离交换装置,包括:
虚拟机存储服务器分配模块,用于将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;
数据隔离保护模块,用于当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
进一步的,所述数据隔离保护模块,具体用于:
当不同安全域用户之间通信交换数据的写操作请求发生在系统数据区时,阻止写操作请求;
当不同安全域用户之间通信交换数据的写操作请求发生在用户数据区时,根据通信交换数据的安全等级执行相应的读写操作。
进一步的,所述数据隔离保护模块,具体用于:
当第一安全域用户向虚拟机服务管理域Domain0获取虚拟机存储服务器的用户数据区共享内存,并将通信时需要交换的通信交换数据及其安全等级标记写入所述共享内存时,HOOK模块截获第一安全域用户在所述共享内存中的写入操作,以获取所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符,并将所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符存放在访问控制模块中;
访问控制模块将通知事件经事件通道通知给第二安全域用户;
所述通知事件用于通知第二安全域用户准备读取所述共享内存中的通信交换数据;
当第二安全域用户在收到通知事件后,向所述访问控制模块获取所述通信交换数据对应的共享内存描述符,并基于所述通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求时,HOOK模块截获所述读操作请求,并将所述读操作请求包含的操作信息提交给访问控制模块;
访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求。
进一步的,所述操作信息包括:用户OS-ID、通信交换数据的安全等级标记、通信交换数据对应的共享内存描述符以及读操作。
进一步的,所述访问控制策略,包括:允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型;
所述访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求,具体包括:
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略相匹配,则执行读操作;
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略不匹配,则拒绝执行读操作,并记录告警日志。
采用上述技术方案,本发明至少具有下列优点:
本发明所述虚拟化数据隔离交换方法及装置,克服现有技术在虚拟机中不同安全域用户交换数据时,各种恶意代码、病毒和用户的误操作对被保护的存储服务器数据区造成破坏,通过虚拟化数据隔离提高网络靶场虚拟化数据隔离保护的能力,实现网络靶场攻防试验数据的安全交换;克服了现有技术在虚拟机中不同安全域用户通信过程中的通信交换数据拷贝时间过长的缺陷,通过服务管理域Domain0提供的共享内存,实现了高速无协议通信数据交换。
附图说明
图1为本发明第一实施例的虚拟化数据隔离交换方法流程图;
图2为本发明第二实施例的虚拟化数据隔离交换装置组成结构示意图;
图3为本发明第三实施例的实际虚拟化数据隔离交换装置组成示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,一种虚拟化数据隔离交换方法,如图1所示,包括以下具体步骤:
步骤S101,将虚拟机存储服务器中的数据区分为系统数据区和用户数据区。
步骤S102,当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
具体的,步骤S102,包括:
当不同安全域用户之间通信交换数据写操作请求发生在系统数据区时,磁盘读写操作守护进程阻止写操作请求,同时返回错误值给磁盘读写操作守护进程,以防止系统数据区的数据被篡改,从而提供虚拟化数据隔离保护;
当不同安全域用户之间通信交换数据写操作请求发生在用户数据区时,磁盘读写操作守护进程根据通信交换数据安全等级执行交换数据的读写操作。
本发明第二实施例,与第一实施例对应,本实施例介绍一种虚拟化数据隔离交换装置,如图2所示,包括以下组成部分:
虚拟机存储服务器分配模块10:用于将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;
数据隔离保护模块20:用于当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护
具体的,数据数隔离保护模块20用于:
当不同安全域用户之间通信交换数据写操作请求发生在系统数据区时,磁盘读写操作守护进程阻止写操作请求,同时返回错误值给磁盘读写操作守护进程,以防止系统数据区的数据被篡改,从而提供虚拟化数据隔离保护;
当不同安全域用户之间通信交换数据写操作请求发生在用户数据区时,磁盘读写操作守护进程根据通信交换数据安全等级执行交换数据的读写操作。
本发明第三实施例,本实施例是在第一实施例的基础上,以虚拟化数据隔离交换方法为例,结合附图3介绍一个本发明的应用实例。
步骤一,将虚拟机存储服务器中的数据区分为系统数据区和用户数据区。
步骤二,当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
具体的,步骤二中通过磁盘读写操作守护进程进行虚拟化数据隔离保护,包括:
当不同安全域用户之间通信时,通信交换数据写操作请求发生在系统数据区时,磁盘读写操作守护进程阻止写操作请求,同时返回错误值给磁盘读写操作守护进程,以防止系统数据区的数据被篡改,从而提供虚拟化数据隔离保护;
克服现有技术在虚拟机中不同安全域用户交换数据时,各种恶意代码、病毒和用户的误操作可能会对被保护的存储服务器系统数据区造成破坏,通过虚拟化数据隔离提高网络靶场虚拟化数据隔离保护的能力,实现网络靶场攻防试验数据的安全交换;
当不同安全域用户之间通信时,通信交换数据读写操作请求发生在用户数据区时,磁盘读写操作守护进程根据通信交换数据安全等级执行交换数据的读写操作。
例如,如图3,当安全域L1用户OS1需要与安全域L2用户OS2通信时,通信交换数据读写操作请求发生在用户数据区时,磁盘读写操作守护进程根据通信交换数据安全等级执行交换数据的读写操作,具体的,包括:
1)当安全域L1用户OS1需要与安全域L2用户OS2通信时,安全域L1用户OS1首先获取虚拟机服务管理域Domain0的用户数据区共享内存,并将需要交换的通信交换数据及其安全等级写入共享内存。
2)系统虚拟机(Xen)中的HOOK模块通过超级调用拦截的方式截获获取虚拟机服务管理域Domain0的共享内存及将需要交换的信息及信息安全等级写入共享内存的操作,以获取通信交换数据的安全等级标记与通信交换数据所使用的共享内存描述符,并将通信交换数据的信息安全等级标记与信息所使用的共享内存描述符存放在系统虚拟机(Xen)内部的访问控制模块(ACM)中。
所述共享内存描述符为Grant索引。
3)访问控制模块(ACM)将事件E1经事件通道通知安全域L2用户OS2。
所述事件E1用于通知安全域L2准备读取所述共享内存中的通信交换数据。
4)安全域L2用户OS2在得到事件E1通知后,安全域L2用户OS2向访问控制模块获取所述通信交换数据对应的共享内存描述符,并基于通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求。
5)读操作请求通过超级调用的方式提交给系统虚拟机(Xen),进一步系统虚拟机(Xen)中的HOOK模块截获读操作请求。
6)HOOK模块将读操作请求包含的操作信息提交给访问控制模块(ACM)。
操作信息包括:用户OS-ID、通信交换数据的安全等级标记、信交换数据对应的共享内存描述符以及读操作。
7)访问控制模块(ACM)模块根据虚拟机服务管理域Domain0中的策略配置软件所配置的访问控制策略对读操作进行判断;
具体的,访问控制模块(ACM)模块对读操作的判断包括:
访问控制策略,包括:允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型;
若操作信息与虚拟机服务管理域Domain0中的访问控制策略相匹配,则执行读操作;
若操作信息与虚拟机服务管理域Domain0中的访问控制策略不匹配,则拒绝执行读操作,并记录告警日志。
克服了现有技术在虚拟机中不同安全域用户通信过程中的通信交换数据拷贝时间过长的缺陷,通过服务管理域Domain0提供的共享内存,实现了高速无协议通信数据交换。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
Claims (10)
1.一种虚拟化数据隔离交换方法,其特征在于,包括:
步骤一,将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;
步骤二,当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
2.根据权利要求1所述的虚拟化数据隔离交换方法,其特征在于,步骤二,具体包括:
当不同安全域用户之间通信交换数据的写操作请求发生在系统数据区时,阻止写操作请求;
当不同安全域用户之间通信交换数据的写操作请求发生在用户数据区时,根据通信交换数据的安全等级执行相应的读写操作。
3.根据权利要求2所述的虚拟化数据隔离交换方法,其特征在于,所述根据通信交换数据的安全等级执行相应的读写操作,具体包括:
当第一安全域用户向虚拟机服务管理域Domain0获取虚拟机存储服务器的用户数据区共享内存,并将通信时需要交换的通信交换数据及其安全等级标记写入所述共享内存时,HOOK模块截获第一安全域用户在所述共享内存中的写入操作,以获取所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符,并将所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符存放在访问控制模块中;
访问控制模块将通知事件经事件通道通知给第二安全域用户;
所述通知事件用于通知第二安全域用户准备读取所述共享内存中的通信交换数据;
当第二安全域用户在收到通知事件后,向所述访问控制模块获取所述通信交换数据对应的共享内存描述符,并基于所述通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求时,HOOK模块截获所述读操作请求,并将所述读操作请求包含的操作信息提交给访问控制模块;
访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求。
4.根据权利要求3所述的虚拟化数据隔离交换方法,其特征在于,所述操作信息包括:用户OS-ID、通信交换数据的安全等级标记、通信交换数据对应的共享内存描述符以及读操作。
5.根据权利要求4所述的虚拟化数据隔离交换方法,其特征在于,
所述访问控制策略,包括:允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型;
所述访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求,具体包括:
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略相匹配,则执行读操作;
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略不相匹配,则拒绝执行读操作,并记录告警日志。
6.一种虚拟化数据隔离交换装置,其特征在于,包括:
虚拟机存储服务器分配模块,用于将虚拟机存储服务器中的数据区分为系统数据区和用户数据区;
数据隔离保护模块,用于当不同安全域用户之间通信时,根据通信交换数据所位于虚拟机存储服务器的不同数据区,对通信交换数据进行隔离保护。
7.根据权利要求6所述的虚拟化数据隔离交换装置,其特征在于,所述数据隔离保护模块,具体用于:
当不同安全域用户之间通信交换数据的写操作请求发生在系统数据区时,阻止写操作请求;
当不同安全域用户之间通信交换数据的写操作请求发生在用户数据区时,根据通信交换数据的安全等级执行相应的读写操作。
8.根据权利要求7所述的虚拟化数据隔离交换装置,其特征在于,所述数据隔离保护模块,具体用于:
当第一安全域用户向虚拟机服务管理域Domain0获取虚拟机存储服务器的用户数据区共享内存,并将通信时需要交换的通信交换数据及其安全等级标记写入所述共享内存时,HOOK模块截获第一安全域用户在所述共享内存中的写入操作,以获取所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符,并将所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符存放在访问控制模块中;
访问控制模块将通知事件经事件通道通知给第二安全域用户;
所述通知事件用于通知第二安全域用户准备读取所述共享内存中的通信交换数据;
当第二安全域用户在收到通知事件后,向所述访问控制模块获取所述通信交换数据对应的共享内存描述符,并基于所述通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求时,HOOK模块截获所述读操作请求,并将所述读操作请求包含的操作信息提交给访问控制模块;
访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求。
9.根据权利要求8所述的虚拟化数据隔离交换装置,其特征在于,所述操作信息包括:用户OS-ID、通信交换数据的安全等级标记、通信交换数据对应的共享内存描述符以及读操作。
10.根据权利要求8所述的虚拟化数据隔离交换装置,其特征在于,
所述访问控制策略,包括:允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型;
所述访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求,具体包括:
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略相匹配,则执行读操作;
若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略不匹配,则拒绝执行读操作,并记录告警日志。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610148416.7A CN107203722B (zh) | 2016-03-16 | 2016-03-16 | 一种虚拟化数据隔离交换方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610148416.7A CN107203722B (zh) | 2016-03-16 | 2016-03-16 | 一种虚拟化数据隔离交换方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107203722A true CN107203722A (zh) | 2017-09-26 |
CN107203722B CN107203722B (zh) | 2020-01-14 |
Family
ID=59904161
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610148416.7A Active CN107203722B (zh) | 2016-03-16 | 2016-03-16 | 一种虚拟化数据隔离交换方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107203722B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110401661A (zh) * | 2019-07-29 | 2019-11-01 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统的网络安全靶场系统 |
CN113544646A (zh) * | 2019-03-08 | 2021-10-22 | 国际商业机器公司 | 安全存储隔离 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030005297A1 (en) * | 2001-06-29 | 2003-01-02 | International Business Machines Corporation | Method and system to integrate existing user and group definitions in a database server with heterogeneous application servers |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN102200925A (zh) * | 2010-03-22 | 2011-09-28 | 联想(北京)有限公司 | 应用虚拟域数据访问的方法、虚拟机管理器及计算机 |
CN103997502A (zh) * | 2014-06-05 | 2014-08-20 | 浪潮电子信息产业股份有限公司 | 一种基于云计算数据中心安全增强模型的设计方法 |
CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
CN104660578A (zh) * | 2014-04-22 | 2015-05-27 | 董唯元 | 一种实现数据安全存储及数据访问控制的系统及其方法 |
-
2016
- 2016-03-16 CN CN201610148416.7A patent/CN107203722B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030005297A1 (en) * | 2001-06-29 | 2003-01-02 | International Business Machines Corporation | Method and system to integrate existing user and group definitions in a database server with heterogeneous application servers |
CN101452397A (zh) * | 2008-11-27 | 2009-06-10 | 上海交通大学 | 虚拟化环境中的强制访问控制方法及装置 |
CN102200925A (zh) * | 2010-03-22 | 2011-09-28 | 联想(北京)有限公司 | 应用虚拟域数据访问的方法、虚拟机管理器及计算机 |
CN104660578A (zh) * | 2014-04-22 | 2015-05-27 | 董唯元 | 一种实现数据安全存储及数据访问控制的系统及其方法 |
CN103997502A (zh) * | 2014-06-05 | 2014-08-20 | 浪潮电子信息产业股份有限公司 | 一种基于云计算数据中心安全增强模型的设计方法 |
CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
Non-Patent Citations (1)
Title |
---|
赵波 等: "可信PDA 计算平台系统结构与安全机制", 《计算机学报》 * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113544646A (zh) * | 2019-03-08 | 2021-10-22 | 国际商业机器公司 | 安全存储隔离 |
CN113544646B (zh) * | 2019-03-08 | 2024-01-23 | 国际商业机器公司 | 安全存储隔离 |
CN110401661A (zh) * | 2019-07-29 | 2019-11-01 | 云南电网有限责任公司电力科学研究院 | 一种电力监控系统的网络安全靶场系统 |
Also Published As
Publication number | Publication date |
---|---|
CN107203722B (zh) | 2020-01-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11740926B2 (en) | Techniques for securing virtual machines by analyzing data for cyber threats | |
CN106462438B (zh) | 包含受信执行环境的主机的证明 | |
CN103620613B (zh) | 用于基于虚拟机监视器的反恶意软件安全的系统和方法 | |
CN105022954B (zh) | 飞腾cpu上三态操作系统安全内核服务动态运行方法 | |
Coker et al. | Principles of remote attestation | |
US20220050905A1 (en) | Secure computing system | |
CN104461678B (zh) | 一种在虚拟化环境中提供密码服务的方法和系统 | |
Feldman et al. | Security analysis of the Diebold AccuVote-TS voting machine | |
CN101523401B (zh) | 用户秘密在计算平台上的安全使用 | |
CN101520831B (zh) | 安全终端系统及终端安全方法 | |
US20120324236A1 (en) | Trusted Snapshot Generation | |
US20080052539A1 (en) | Inline storage protection and key devices | |
CN107454958A (zh) | 使用多个嵌套页表隔离客户机代码和数据 | |
CN103455756B (zh) | 一种基于可信计算的进程控制方法 | |
GB2376764A (en) | A trusted computing environment with an integrity metric for both host and guest operating systems | |
WO2012057632A2 (en) | Secure computer system | |
CN112433822A (zh) | 基于三权分立的跨域网络终端虚拟机的实现方法 | |
CN103984536A (zh) | 一种云计算平台中的 i/o 请求计数系统及其方法 | |
US20050216466A1 (en) | Method and system for acquiring resource usage log and computer product | |
CN109101322A (zh) | 基于配对标签及迁移监听的虚拟化安全计算方法及系统 | |
CN107203722A (zh) | 一种虚拟化数据隔离交换方法及装置 | |
CN104731892A (zh) | 一种集中式文件服务系统的拟态防篡改方法 | |
CN109951527B (zh) | 面向虚拟化系统的hypervisor完整性检测方法 | |
CN110362998A (zh) | 一种检测KVM虚拟化平台上Windows恶意程序的方法和系统 | |
CN106775923B (zh) | 处理器协助的内核地址空间细粒度管理方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |