CN107623676A - 一种无代理杀毒虚拟机的授权方法及装置 - Google Patents
一种无代理杀毒虚拟机的授权方法及装置 Download PDFInfo
- Publication number
- CN107623676A CN107623676A CN201710641802.4A CN201710641802A CN107623676A CN 107623676 A CN107623676 A CN 107623676A CN 201710641802 A CN201710641802 A CN 201710641802A CN 107623676 A CN107623676 A CN 107623676A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- agency
- antivirus
- virtual
- public key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002155 anti-virotic effect Effects 0.000 title claims abstract description 133
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000013475 authorization Methods 0.000 title claims abstract description 28
- 239000011800 void material Substances 0.000 claims description 9
- 241000700605 Viruses Species 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 5
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000003860 storage Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Abstract
本申请实施例公开了一种无代理杀毒虚拟机的授权方法及装置,所述方法包括:接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;根据所述资源访问权限申请消息生成相匹配的公钥和私钥;通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。在本申请实施例中,通过虚拟化底层对无代理杀毒虚拟机权限进行配置,只有通过授权的无代理杀毒虚拟机才可以访问其它虚拟机的硬盘和/或内存资源,以提高系统的安全性。
Description
技术领域
本申请涉及杀毒技术领域,特别是涉及一种无代理杀毒虚拟机的授权方法及装置。
背景技术
随着虚拟化技术的发展,云计算服务越来越成熟,逐渐被用户接收。但用户在应用云计算服务时,对云计算的安全性存在一定的质疑。例如,国外许多云计算数据中心都遭受过病毒的攻击,这些安全事件容易引发云计算信任危机,也反映出云计算本身在安全防护方面存在一定的缺陷。
现有的杀毒防护方式主要分为两类:一类是常规的有代理杀毒,例如用户的个人电脑中常用的瑞星、360等杀毒软件,用户将杀毒软件安装到个人电脑中,安全防护更新等问题由用户自己解决;另一种是无代理杀毒,在虚拟化环境中,用户不需要安装任何杀毒软件,由专用的无代理杀毒虚拟机负责系统中所有虚拟机的安全防护工作,所以无代理杀毒逐渐成为虚拟化环境下的杀毒趋势。
但是,在虚拟化环境下,无代理杀毒虚拟机的权限非常大,能够访问其他所有虚拟机的硬盘和内存空间,一旦无代理杀毒虚拟机出现漏洞,所有的虚拟机都可能被误删或者访问异常。
发明内容
本申请实施例中提供了一种无代理杀毒虚拟机的授权方法及装置,以解决现有技术中一旦无代理杀毒虚拟机出现漏洞,所有的虚拟机都可能被误删或者访问异常的问题。
第一方面,本申请实施例提供了一种无代理杀毒虚拟机的授权方法,应用于虚拟化底层,所述方法包括:接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;根据所述资源访问权限申请消息生成相匹配的公钥和私钥;通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
可选地,所述资源访问请求消息中还包括所述目标虚拟机的标识信息,所述方法还包括:若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
可选地,若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源,具体包括:若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
可选地,还包括:接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息;将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
可选地,所述方法还包括:接收虚拟化管理平台发送的新建虚拟机消息;新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
可选地,所述特征信息包括安全性等级和工作类型。
第二方面,本申请实施例提供了一种无代理杀毒虚拟机的授权方法,应用于无代理杀毒虚拟机,所述方法包括:通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息;接收所述虚拟化底层通过虚拟化管理平台发送的公钥,所述虚拟化底层保存与所述公钥相匹配的私钥;向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥和目标虚拟机的标识信息;若所述公钥与所述私钥相匹配,则访问目标虚拟机的资源。
第三方面,本申请实施例提供了一种无代理杀毒虚拟机的授权装置,其特征在于,应用于虚拟化底层,所述装置包括:第一接收模块,用于接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;密钥生成模块,用于根据所述资源访问权限申请消息生成相匹配的公钥和私钥;发送模块,用于通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;第二接收模块,用于接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;第一匹配验证模块,用于若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
可选地,所述资源访问请求消息中还包括所述目标虚拟机的标识信息,所述装置还包括:第二匹配验证模块,用于若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
可选地,所述第一匹配验证模块,具体包括:若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
可选地,所述装置还包括:第三接收模块,用于接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息;分组调整模块,用于将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
可选地,所述装置还包括:第四接收模块,用于接收虚拟化管理平台发送的新建虚拟机消息;虚拟机部署模块,用于新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
可选地,所述特征信息包括安全性等级和工作类型。
第四方面,本申请实施例提供了一种无代理杀毒虚拟机的授权装置,应用于无代理杀毒虚拟机,所述装置包括:第一发送模块,用于通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息;接收模块,用于接收所述虚拟化底层通过虚拟化管理平台发送的公钥,所述虚拟化底层保存与所述公钥相匹配的私钥;第二发送模块,用于向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥和目标虚拟机的标识信息;执行模块,用于若所述公钥与所述私钥相匹配,则访问目标虚拟机的资源。
在本申请实施例中,通过虚拟化底层对无代理杀毒虚拟机权限进行配置,只有通过授权的无代理杀毒虚拟机才可以访问其它虚拟机的硬盘和/或内存资源,以提高系统的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种系统场景示意图;
图2为本申请实施例提供的一种无代理杀毒虚拟机的授权方法流程示意图;
图3为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图;
图4为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图;
图5为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图;
图6为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图;
图7为本申请实施例提供的一种无代理杀毒虚拟机的授权装置结构示意图;
图8为本申请实施例提供的另一种无代理杀毒虚拟机的授权装置结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
图1为本申请实施例提供的一种系统场景示意图,在图1中示出了虚拟化底层、虚拟化管理平台和虚拟机(VM1、VM2和VM3)。其中,虚拟化管理平台面向用户,用户可以通过虚拟化管理平台在虚拟化底层上部署虚拟机,并对虚拟机进行维护和管理。
为了实现无代理杀毒,可以通过虚拟化管理平台部署无代理杀毒虚拟机,由无代理杀毒虚拟机负责整个系统中虚拟机的安全防护工作。例如,虚拟机VM1为无代理杀毒虚拟机,则由虚拟机VM1负责虚拟机VM1、VM2和VM3的安全防护工作。为了对整个系统的虚拟机进行安全防护,VM1除了需要访问自己的硬盘和/或内存资源以外,还需要访问VM2和VM3的硬盘和/或内存资源,使得VM1的权限非常大,一旦VM1出现漏洞,所有的虚拟机都可能被误删或者访问异常。
针对上述问题,本申请实施例提供了一种无代理杀毒虚拟机的授权方法,只有通过授权的无代理杀毒虚拟机才可以访问其它虚拟机的硬盘和/或内存资源,以提高系统的安全性。
图2为本申请实施例提供的一种无代理杀毒虚拟机的授权方法流程示意图,如图2所示,其主要包括以下步骤。
步骤S201:无代理杀毒虚拟机通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息。
用户在通过虚拟化管理平台部署无代理杀毒虚拟机后,需要为无代理杀毒虚拟机申请一定的资源访问权限。其中,该资源访问权限可以包括读写其它虚拟机的硬盘和/或内存资源的权限。
步骤S202:虚拟化底层根据所述资源访问权限申请消息生成相匹配的公钥和私钥。
虚拟化底层在接收到资源访问权限申请消息后,采用非对称加密算法生成相匹配的公钥和私钥。其中,公钥相当于授予无代理杀毒虚拟机的资源访问权限,公钥用于分配给无代理杀毒虚拟机;私钥用于对公钥进行验证,保存在虚拟化底层。
步骤S203:虚拟化底层通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥。
具体地,虚拟化管理平台获取到公钥后,将该公钥提供给无代理杀毒虚拟机,并要求无代理杀毒虚拟机保存该公钥。
步骤S204:所述无代理杀毒虚拟机向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥。
当需要访问其它虚拟机的硬盘和/或内存资源时,无代理杀毒虚拟机将该公钥提供给虚拟化底层,以进行验证。
步骤S205:若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
虚拟化底层通过其保存的私钥对该公钥进行验证,若验证通过,说明无代理杀毒虚拟机具有访问其它虚拟机的资源的权限,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源;否则,拒绝所述无代理杀毒虚拟机访问目标虚拟机的资源。
在本申请实施例中,通过虚拟化底层对无代理杀毒虚拟机权限进行配置,只有通过授权的无代理杀毒虚拟机才可以访问其它虚拟机的硬盘和/或内存资源,以提高系统的安全性。
图3为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图,如图3所示,其在图2所示方法的基础上,还包括以下步骤。
步骤S301:判断目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息是否相匹配。
本申请实施例,资源访问请求消息中包括目标虚拟机的标识信息,其用于指示无代理杀毒虚拟机请求访问哪台虚拟机的资源。
可理解,在实际工作过程中,无代理杀毒虚拟机既可能访问其自身的硬盘和/或内存资源,也可能访问其它虚拟机的硬盘和/或内存资源。无代理杀毒虚拟机在访问其自身的硬盘和/或内存资源时,进行密钥验证显然是没有必要的,而且会增加系统的数据处理量。因此,本申请实施例在进行密钥验证之前,首先判断无代理杀毒虚拟机是要访问其自身的资源还是要访问其它虚拟机的资源。
步骤S302:若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
如果所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,说明无代理杀毒虚拟机将要访问其自身的资源,则直接允许无代理杀毒虚拟机访问;否则,继续上述步骤S205进行密钥验证。
图4为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图,如图4所示,图2中的步骤S205具体包括以下步骤。
步骤S401:判断所述公钥与所述私钥是否相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机。
在一种可能的实施例中,为了对无代理杀毒虚拟机的访问权限进一步控制,对系统内的所有虚拟机进行分组划分,只允许某一无代理杀毒虚拟机访问特定分组的虚拟机的资源。
步骤S402:若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
例如,某一虚拟机系统内包括8台虚拟机,分别为VM1、VM2、VM3、VM4、VM5、VM6、VM7、VM8,将VM1、VM2和VM3划分为第一虚拟机组,VM4、VM5和VM6划分为第二虚拟机组,其中VM7和VM8为无代理杀毒虚拟机。虚拟化底层为无代理杀毒虚拟机分配的公钥中包含虚拟机组信息,在本申请实施例中以无代理杀毒虚拟机VM7对应第一虚拟机组,无代理杀毒虚拟机VM8对应第二虚拟机组为例进行说明。
假如无代理杀毒虚拟机VM7请求访问虚拟机VM1的资源,虚拟化底层确定无代理杀毒虚拟机VM7提供的公钥对应的虚拟机组中包括虚拟机VM1,则允许无代理杀毒虚拟机VM7请求访问虚拟机VM1的资源。相反,若无代理杀毒虚拟机VM7请求访问虚拟机VM4的资源,虚拟化底层确定无代理杀毒虚拟机VM7提供的公钥对应的虚拟机组中不包括虚拟机VM4,则拒绝无代理杀毒虚拟机VM7请求访问虚拟机VM4的资源。
其中,虚拟机组可以依据虚拟机的安全性等级或工作类型进行划分,通过设置多台无代理杀毒虚拟机对应不同的虚拟机组。当然,本领域技术人员也可以根据实际需求通过其他维度进行划分,本申请实施例对此不做限制。
图5为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图,如图5所示,其在图4所示方法的基础上,还包括以下步骤。
步骤S501:虚拟化底层接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息。
在实际应用场景中,为了适应虚拟机业务变更或安全级别的调整,用户可以通过虚拟化管理平台对虚拟机的分组进行相应调整。其中,待变更虚拟机的标识信息用于使虚拟化底层确定待变更的虚拟机;目标虚拟机组用于使虚拟化底层确定将待并更虚拟机调整至哪个虚拟机组。
步骤S502:虚拟化底层将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
例如,虚拟机VM1位于第一虚拟机组,根据业务变更或安全级别的需求,用户需要将虚拟机VM1调整至第二虚拟机组。用户可以通过虚拟化管理平台向虚拟化底层发送虚拟机分组变更消息,该消息中包括虚拟机VM1的标识信息和第二虚拟机组的标识信息,虚拟化底层接收到该消息后,将虚拟机VM1由第一虚拟机组调整至第二虚拟机组。
采用本申请实施例所提供的技术方案,可以实现虚拟机分组的动态调整,间接调整无代理杀毒虚拟机的访问权限。
图6为本申请实施例提供的另一种无代理杀毒虚拟机的授权方法流程示意图,如图6所示,其在图4所示方法的基础上,还包括以下步骤。
步骤S601:虚拟化底层接收虚拟化管理平台发送的新建虚拟机消息。
随着业务的扩展,当系统中的虚拟机数量不能满足现有业务的需求时,用户可以通过虚拟化管理平台新建虚拟机。具体地,虚拟化管理平台向虚拟化底层发送新建虚拟机消息。
步骤S602:虚拟化底层新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
在新建虚拟机后,为了建立新建虚拟机和无代理杀毒虚拟机的对应关系,可以根据新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
例如,虚拟化底层在接收到新建虚拟机消息后,新建虚拟机VM9,根据该新建虚拟机的特征信息将虚拟机VM9划分至第一虚拟机组,则无代理杀毒虚拟机VM7具有访问虚拟机VM9的权限。其中,该特征信息可以为虚拟机的用途、安全等级和工作类型等,该特征信息与虚拟机组的划分方式相匹配。
基于上述方法实施例,本申请还提供了一种装置实施例。图7为本申请实施例提供的一种无代理杀毒虚拟机的授权装置结构示意图,该装置应用于虚拟化底层,其包括第一接收模块、密钥生成模块、发送模块、第二接收模块和第一匹配验证模块。
其中,第一接收模块,用于接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;密钥生成模块,用于根据所述资源访问权限申请消息生成相匹配的公钥和私钥;发送模块,用于通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;第二接收模块,用于接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;第一匹配验证模块,用于若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
在一种可选实施例中,所述资源访问请求消息中还包括所述目标虚拟机的标识信息,所述装置还包括:第二匹配验证模块,用于若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
在一种可选实施例中,所述第一匹配验证模块,具体包括:若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
在一种可选实施例中,所述装置还包括:第三接收模块,用于接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息;分组调整模块,用于将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
在一种可选实施例中,所述装置还包括:第四接收模块,用于接收虚拟化管理平台发送的新建虚拟机消息;虚拟机部署模块,用于新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
在一种可选实施例中,所述特征信息包括安全性等级和工作类型。
图8为本申请实施例提供的另一种无代理杀毒虚拟机的授权装置结构示意图,该装置应用于无代理杀毒虚拟机,所述装置包括:第一发送模块,用于通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息;接收模块,用于接收所述虚拟化底层通过虚拟化管理平台发送的公钥,所述虚拟化底层保存与所述公钥相匹配的私钥;第二发送模块,用于向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥和目标虚拟机的标识信息;执行模块,用于若所述公钥与所述私钥相匹配,则访问目标虚拟机的资源。
在本申请实施例中,通过虚拟化底层对无代理杀毒虚拟机权限进行配置,只有通过授权的无代理杀毒虚拟机才可以访问其它虚拟机的硬盘和/或内存资源,以提高系统的安全性。
具体实现中,本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
以上所述的本申请实施方式并不构成对本申请保护范围的限定。
Claims (14)
1.一种无代理杀毒虚拟机的授权方法,其特征在于,应用于虚拟化底层,所述方法包括:
接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;
根据所述资源访问权限申请消息生成相匹配的公钥和私钥;
通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;
接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;
若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
2.根据权利要求1所述的方法,其特征在于,所述资源访问请求消息中还包括所述目标虚拟机的标识信息,所述方法还包括:
若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
3.根据权利要求1所述的方法,其特征在于,若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源,具体包括:
若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
4.根据权利要求3所述的方法,其特征在于,还包括:
接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息;
将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
5.根据权利要求3所述的方法,其特征在于,还包括:
接收虚拟化管理平台发送的新建虚拟机消息;
新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
6.根据权利要求5所述的方法,其特征在于,所述特征信息包括安全性等级和工作类型。
7.一种无代理杀毒虚拟机的授权方法,其特征在于,应用于无代理杀毒虚拟机,所述方法包括:
通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息;
接收所述虚拟化底层通过虚拟化管理平台发送的公钥,所述虚拟化底层保存与所述公钥相匹配的私钥;
向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥和目标虚拟机的标识信息;
若所述公钥与所述私钥相匹配,则访问目标虚拟机的资源。
8.一种无代理杀毒虚拟机的授权装置,其特征在于,应用于虚拟化底层,所述装置包括:
第一接收模块,用于接收无代理杀毒虚拟机通过虚拟化管理平台发送的资源访问权限申请消息;
密钥生成模块,用于根据所述资源访问权限申请消息生成相匹配的公钥和私钥;
发送模块,用于通过虚拟化管理平台向所述无代理杀毒虚拟机发送所述公钥;
第二接收模块,用于接收所述无代理杀毒虚拟机发送的资源访问请求消息,所述资源访问请求消息中包括所述公钥;
第一匹配验证模块,用于若所述公钥与所述私钥相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
9.根据权利要求8所述的装置,其特征在于,所述资源访问请求消息中还包括所述目标虚拟机的标识信息,所述装置还包括:
第二匹配验证模块,用于若所述目标虚拟机的标识信息与所述无代理杀毒虚拟机的标识信息相匹配,则允许所述无代理杀毒虚拟机访问目标虚拟机的资源。
10.根据权利要求8所述的装置,其特征在于,所述第一匹配验证模块,具体包括:
若所述公钥与所述私钥相匹配,且所述公钥对应的虚拟机组中包括所述目标虚拟机,则允许所述无代理杀毒虚拟机访问所述目标虚拟机的资源。
11.根据权利要求10所述的装置,其特征在于,还包括:
第三接收模块,用于接收虚拟化管理平台发送的虚拟机分组更新消息,所述虚拟机分组更新消息中包括待更新虚拟机的标识信息和目标虚拟机组的标识信息;
分组调整模块,用于将所述待更新虚拟机由原虚拟机组调整至目标虚拟机组。
12.根据权利要求10所述的装置,其特征在于,还包括:
第四接收模块,用于接收虚拟化管理平台发送的新建虚拟机消息;
虚拟机部署模块,用于新建虚拟机,并根据所述新建虚拟机的特征信息,将所述新建虚拟机划分至相应的虚拟机组。
13.根据权利要求12所述的装置,其特征在于,所述特征信息包括安全性等级和工作类型。
14.一种无代理杀毒虚拟机的授权装置,其特征在于,应用于无代理杀毒虚拟机,所述装置包括:
第一发送模块,用于通过虚拟化管理平台向虚拟化底层发送资源访问权限申请消息;
接收模块,用于接收所述虚拟化底层通过虚拟化管理平台发送的公钥,所述虚拟化底层保存与所述公钥相匹配的私钥;
第二发送模块,用于向虚拟化底层发送资源访问请求消息,所述资源访问请求消息中包括所述公钥和目标虚拟机的标识信息;
执行模块,用于若所述公钥与所述私钥相匹配,则访问目标虚拟机的资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710641802.4A CN107623676B (zh) | 2017-07-31 | 2017-07-31 | 一种无代理杀毒虚拟机的授权方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710641802.4A CN107623676B (zh) | 2017-07-31 | 2017-07-31 | 一种无代理杀毒虚拟机的授权方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107623676A true CN107623676A (zh) | 2018-01-23 |
| CN107623676B CN107623676B (zh) | 2021-01-08 |
Family
ID=61088221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710641802.4A Active CN107623676B (zh) | 2017-07-31 | 2017-07-31 | 一种无代理杀毒虚拟机的授权方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107623676B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110197062A (zh) * | 2019-05-29 | 2019-09-03 | 轲飞(北京)环保科技有限公司 | 一种虚拟机动态访问控制方法及控制系统 |
| CN111190700A (zh) * | 2019-12-31 | 2020-05-22 | 北京同舟医联网络科技有限公司 | 一种针对虚拟化设备的跨域安全访问与资源控制方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102811239A (zh) * | 2011-06-03 | 2012-12-05 | 中兴通讯股份有限公司 | 一种虚拟机系统及其安全控制方法 |
| CN103023920A (zh) * | 2012-12-27 | 2013-04-03 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
| CN105262590A (zh) * | 2015-09-07 | 2016-01-20 | 北京三未信安科技发展有限公司 | 一种虚拟化环境下的密钥安全隔离方法及系统 |
| CN106775950A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种虚拟机远程访问方法和装置 |
| CN106845216A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境的查杀方法及装置 |
-
2017
- 2017-07-31 CN CN201710641802.4A patent/CN107623676B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102811239A (zh) * | 2011-06-03 | 2012-12-05 | 中兴通讯股份有限公司 | 一种虚拟机系统及其安全控制方法 |
| CN103023920A (zh) * | 2012-12-27 | 2013-04-03 | 华为技术有限公司 | 虚拟机安全保护方法及装置 |
| CN105262590A (zh) * | 2015-09-07 | 2016-01-20 | 北京三未信安科技发展有限公司 | 一种虚拟化环境下的密钥安全隔离方法及系统 |
| CN106775950A (zh) * | 2016-12-29 | 2017-05-31 | 郑州云海信息技术有限公司 | 一种虚拟机远程访问方法和装置 |
| CN106845216A (zh) * | 2016-12-30 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境的查杀方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110197062A (zh) * | 2019-05-29 | 2019-09-03 | 轲飞(北京)环保科技有限公司 | 一种虚拟机动态访问控制方法及控制系统 |
| CN111190700A (zh) * | 2019-12-31 | 2020-05-22 | 北京同舟医联网络科技有限公司 | 一种针对虚拟化设备的跨域安全访问与资源控制方法 |
| CN111190700B (zh) * | 2019-12-31 | 2023-08-29 | 北京安盛联合科技有限公司 | 针对虚拟化设备的跨域安全访问与资源控制方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107623676B (zh) | 2021-01-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11100216B2 (en) | Method and apparatus for applying application context security controls for software containers | |
| US10382195B2 (en) | Validating using an offload device security component | |
| CN109254831B (zh) | 基于云管理平台的虚拟机网络安全管理方法 | |
| US9626512B1 (en) | Validating using an offload device security component | |
| US8997096B1 (en) | Scalable and secure high-level storage access for cloud computing platforms | |
| WO2017028513A1 (zh) | 一种部署安全访问控制策略的方法及装置 | |
| JP2018513505A (ja) | システム層間でデータオペレーション機能を分割する方法 | |
| CN108885665A (zh) | 用于解密虚拟化环境中的网络流量的系统和方法 | |
| US10243739B1 (en) | Validating using an offload device security component | |
| TWI744797B (zh) | 用於將安全客體之安全金鑰繫結至硬體安全模組之電腦實施方法、系統及電腦程式產品 | |
| US11741221B2 (en) | Using a trusted execution environment to enable network booting | |
| US20220103349A1 (en) | Resource sharing for trusted execution environments | |
| US11327782B2 (en) | Supporting migration of virtual machines containing enclaves | |
| CN109379347A (zh) | 一种安全防护方法及设备 | |
| JP7461694B2 (ja) | ページのインポート/エクスポートのためのプログラム割り込み | |
| CN103581183B (zh) | 一种虚拟化安全隔离方法与装置 | |
| TW202036309A (zh) | 安全介面控制安全儲存硬體標記 | |
| US20220171883A1 (en) | Efficient launching of trusted execution environments | |
| US10250595B2 (en) | Embedded trusted network security perimeter in computing systems based on ARM processors | |
| WO2023273647A1 (zh) | 虚拟化可信平台模块实现方法、安全处理器及存储介质 | |
| CN107623676A (zh) | 一种无代理杀毒虚拟机的授权方法及装置 | |
| US20190364047A1 (en) | Methods to restrict network file access in guest virtual machines using in-guest agents | |
| CN106844012A (zh) | 一种非共享存储动态迁移虚拟机的方法及系统 | |
| US20190124001A1 (en) | Network systems and architecture for scaling access networks with network access controller | |
| CN106612280A (zh) | 一种终端设备虚拟化管理的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20201204 Address after: 215100 No. 1 Guanpu Road, Guoxiang Street, Wuzhong Economic Development Zone, Suzhou City, Jiangsu Province Applicant after: SUZHOU LANGCHAO INTELLIGENT TECHNOLOGY Co.,Ltd. Address before: 450000 Henan province Zheng Dong New District of Zhengzhou City Xinyi Road No. 278 16 floor room 1601 Applicant before: ZHENGZHOU YUNHAI INFORMATION TECHNOLOGY Co.,Ltd. |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |