CN109324873A - 虚拟化安全管理方法、运行内核驱动的设备及存储介质 - Google Patents

虚拟化安全管理方法、运行内核驱动的设备及存储介质 Download PDF

Info

Publication number
CN109324873A
CN109324873A CN201811108226.8A CN201811108226A CN109324873A CN 109324873 A CN109324873 A CN 109324873A CN 201811108226 A CN201811108226 A CN 201811108226A CN 109324873 A CN109324873 A CN 109324873A
Authority
CN
China
Prior art keywords
access
kernel
driven
resource
strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811108226.8A
Other languages
English (en)
Inventor
吕琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201811108226.8A priority Critical patent/CN109324873A/zh
Publication of CN109324873A publication Critical patent/CN109324873A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种虚拟化安全管理方法,包括:内核驱动接收进程的访问请求;内核驱动获取进程的访问权限和/或请求类型;内核驱动根据访问权限和/或请求类型,向进程分配访问策略;内核驱动根据访问策略,从宿主机处获取访问资源;内核驱动将访问资源发送给进程;本申请实施例还提供一种设备及存储介质;本申请所提供的实施例在虚拟机和宿主机之间设置内核驱动作为信号传递中介,虚拟机作为宿主机中的访问进程,内核模块识别该进程的访问权限和访问类型,进行强制访问控制以及系统调用的挂钩,从而针对性地向进程分配访问策略;防止虚拟机逃逸造成的攻击宿主机,攻击虚拟化软件或通过宿主机攻击其他虚拟机的问题,保障了虚拟化系统的安全。

Description

虚拟化安全管理方法、运行内核驱动的设备及存储介质
技术领域
本发明涉及虚拟化技术领域,具体涉及一种虚拟化安全管理方法、运行内核驱动的设备及存储介质。
背景技术
云计算能够提供强大服务的原因之一要归功于虚拟化技术(Virtualization)的发展。虚拟化技术为云计算提供高资源利用率、低能耗、动态资源调度等等优点。在虚拟化技术中,每个虚拟机(virtual machine,VM)作为一个进程运行在宿主机之上,宿主机统一对虚拟机进行资源的调度和管理。宿主机以及虚拟化软件的安全稳定运行是云计算能够提供强大服务的基础。所以必须要保证宿主机以及其上虚拟化软件的安全。
宿主机操作系统直接运行在服务器硬件之上,作为一个操作系统,它就有着普通操作系统具有的安全问题,虚拟化软件作为一个软件同样具有普通软件的安全问题。但是作为云计算的基础,它承担了更大的责任,并面临更多的安全威胁。虚拟机之间看似隔离,实际上他是宿主机上不同的进程,所以虚拟机之间,虚拟机与宿主机之间都存在着一定的安全风险。最主要的安全风险即虚拟机逃逸。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机或者宿主机操作系统的目的。由于技术的潜在缺陷,这种攻击的可能性很大。虚拟机逃逸后的主要威胁如下:
1)、攻击宿主机。虚拟机在逃逸后可能会对宿主机系统进行破坏,如植入病毒影响系统运行,植入rootkit完全控制系统等;
2)、攻击虚拟化软件。虚拟机逃逸后可能会对虚拟化软件进行破坏,如关闭虚拟化软件,修改和删除虚拟化软件相关文件等。
3)、攻击其他虚拟机。虚拟机逃逸后可能会攻击其他的虚拟机。如直接操作其他虚拟机的文件,关闭虚拟机,窃取虚拟机内部信息,或者控制其他虚拟机作为矿机等等。
因此,虚拟机和管理系统的安全性能还有待提升,进而保障整个虚拟化系统的安全。
发明内容
本发明实施例提供一种虚拟化安全管理方法、运行内核驱动的设备及存储介质,能够在虚拟化系统运行的过程中,通过设置内核驱动,在虚拟机和宿主机信息交互的过程中担任信息传递的中介,对交互信息进行安全控制,从而控制虚拟机逃逸带来的威胁,保障虚拟化系统的安全。
有鉴于此,本申请第一方面提供一种虚拟化安全管理方法,该方法包括:内核驱动接收进程的访问请求;其中,该进程可以是虚拟机;该内核驱动获取该进程的访问权限和/或请求类型;其中,该访问权限可以是预设的访问权限与进程的对应关系列表,也可以是在该进程和所访问资源之间分配的标签;该请求类型可以是请求访问CPUID调用接口,也可以是请求访问宿主机的ioctl系统调用;该内核驱动根据该访问权限和/或该请求类型,向该进程分配访问策略;其中,该访问策略可以是拒绝访问、允许部分访问或完全开放访问;该内核驱动根据该访问策略,从宿主机处获取访问资源;该内核驱动将该访问资源发送给该进程。由以上第一方面可见,在虚拟机和宿主机之间设置内核驱动,作为信号传递的中介,从而使得内核驱动实现虚拟机对宿主机访问的强制访问控制,虚拟机本质上是宿主机上的一个进程,其中,对进程访问权限进行控制,可以防止虚拟机逃逸后攻击宿主机和虚拟化软件,对进程访问的请求类型进行控制,可以防止虚拟机逃逸后通过宿主机攻击其他虚拟机。
结合以上第一方面,在第一种可能的实现方式中,该内核驱动根据该访问策略,向该进程分配访问资源,之前还包括:该内核驱动劫持该宿主机的操作系统的系统调用;其中,该内核驱动可以是linux系统中的动态可加载内核模块(loadable kernel module,LKM),通过LKM实现对操作系统中系统调用的劫持;该内核驱动根据该访问策略,向该进程分配访问资源,包括:该内核驱动根据该访问策略,向该进程分配通过劫持该系统调用得到的访问资源。由以上第一种可能的实现方式可见,内核驱动在虚拟机和宿主机之间充当中介,是通过劫持宿主机的方式来实现的,劫持实现后,内核驱动与宿主机进行信号交互,通过访问策略将相关的资源分配给虚拟机,从而虚拟机和宿主机之间不进行直接的信号传递,保障了虚拟化系统的安全。
结合上述第一方面第一种可能的实现方式,在第二种可能的实现方式中,该内核驱动接收进程的访问请求,之前还包括:内核驱动为进程分配访问权限,生成权限列表,该权限列表为访问进程与访问权限的对应关系列表;其中,该对应关系列表可以是白名单,该白名单中记录了哪些进程具有访问的权限;对应的,该内核驱动获取进程的访问权限和/或请求类型,包括:该内核驱动根据该权限列表获取该进程的访问权限;该对应关系列表也可以是进程与访问权限一一对应的关系列表,该关系列表记录了每个进程对应的不同级别的访问权限;对应的,该内核驱动根据该访问权限和/或该请求类型,向进程分配访问策略,包括:当该内核驱动在该权限列表中获取不到该进程时,向该进程分配的访问策略为拒绝访问;其中,该找不到该进程可以是在白名单中没有找到该进程;当该内核驱动在该权限列表中获取到该进程只有部分权限时,该内核驱动对该进程中无权限的操作进行拦截,向该进程分配的访问权限为部分访问;其中,该部分权限可以是该进程在对应关系列表中对应的访问权限仅有部分访问的级别;当该内核驱动在该权限列表中获取到该进程为完全开放权限时,向该进程分配的访问策略为完全访问;该完全访问权限可以是该进程在白名单中;对应的,该内核驱动根据该访问策略,向该进程分配访问资源,包括:当该进程被分配访问策略为拒绝访问时,该内核驱动不向该进程分配访问资源;当该进程被分配访问策略为部分访问时,该内核驱动仅向该进程中有权限的操作分配访问资源;当该进程被分配访问策略为完全访问时,该内核驱动向该进程分配所有访问资源。由以上第二种可能的实现方式可见,访问权限可以是在访问进程中预设好的,当内核模块读取该访问进程时,内核模块根据权限列表获取到该访问进程的权限,从而根据访问权限向访问进程分配访问策略,使得访问进程按照该访问策略获取到访问资源,虚拟机对宿主机的访问实质上是一个访问进程,通过此种方式,控制每个虚拟机对宿主机的访问。
结合上述第一方面第一种可能的实现方式,在第三种可能的实现方式中,该内核驱动接收进程的访问请求,之前还包括:内核驱动为所有进程和资源分配标签,其中,一个进程与其有权限访问的资源具有相同的标签;其中,该标签可以是ID信息;该内核驱动获取该进程的访问权限和/或请求类型,包括:该内核驱动获取该进程的第一标签;该内核驱动根据该访问权限和/或该请求类型,向该进程分配访问策略,包括:该内核驱动获取标签为第二标签的资源,该内核驱动比对该第二标签与该第一标签,向该进程分配访问策略;其中,该第二标签的数量可以是一个,也可以是多个;当该第二标签与该第一标签相同时,该内核驱动向该进程分配的访问策略为允许访问;当该第二标签与该第一标签不同时,该内核驱动向该进程分配的访问策略为拒绝访问;该内核驱动根据该访问策略,向该进程分配访问资源,包括:当该进程被分配访问策略为允许时,该内核驱动仅向该进程分配标签为第二标签的资源;当该进程被分配访问策略为拒绝时,该内核驱动不向该进程分配资源。由以上第三种可能的实现方式可见,通过给进程和资源分配标签的方式,使得进程获取访问资源的权限,虚拟机是宿主机上的一个进程,虚拟机只能访问与自身标签相同的资源,当虚拟机发生逃逸时,由于标签不同,该逃逸虚拟机无法访问其他资源,从而能够对该逃逸虚拟机起到隔离作用,防止虚拟机逃逸后攻击其他的虚拟机。
结合上述第一方面第一种可能的实现方式,在第四种可能的实现方式中,该内核驱动获取该进程的访问权限和/或请求类型,包括:该内核驱动获取该进程的请求类型为通过CPUID调用接口获取资源;该内核驱动根据该访问权限和/或该请求类型,向该进程分配访问策略,包括:该内核驱动根据该CPUID调用接口,向该进程分配访问策略为隐藏虚拟化软件的类型;该内核驱动根据该访问策略,向该进程分配访问资源,包括:该内核驱动通过CPUID调用接口接收该宿主机中的资源;该内核驱动隐藏该资源的软件类型,生成隐藏类型的资源;其中,该内核驱动也可以为该资源分配错误的软件类型,生成错误类型的资源;该内核驱动将该隐藏类型的资源发送给该进程;其中,也可以是该内核驱动将错误类型的资源发送给进程。由以上第四种可能的实现方式可见,虚拟化软件会提供CPUID指令的调用接口,提供给虚拟机来获取虚拟化软件的类型;各种检测工具也都是使用这个接口来获取底层虚拟化软件类型;通过内核驱动来挂钩CPUID调用接口,宿主机发送虚拟化软件的类型时,由内核驱动来接收该虚拟化软件的类型,之后内核驱动向宿主机发送反馈消息,内核驱动对该虚拟化软件的类型进行处理,该处理可以是隐藏该虚拟化软件的类型,也可以是修改虚拟化软件的类型,修改包括替换、增加或删除;之后将经过处理的软件类型发送给虚拟机,从而使得虚拟机不知道虚拟化软件的类型,就会增大利用漏洞来逃逸的难度。
本申请第二方面提供一种运行内核驱动的电子设备,该设备具有实现上述第一方面或第一方面任意一种可能实现方式的方法的功能。该功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
本申请第三方面提供一种运行内核驱动的电子设备,包括:处理器和存储器;该存储器用于存储计算机执行指令,当该智能设备运行时,该处理器执行该存储器存储的该计算机执行指令,以使该设备执行如上述第一方面或第一方面任意一种可能实现方式的方法。
本申请第四方面提供一种计算机可读存储介质,包括指令,当该指令在计算机设备上运行时,使得该计算机设备执行如上述第一方面或第一方面任意一种可能实现方式的方法。
从以上技术方案可以看出,本申请实施例具有以下优点:
本发明实施例中,提供了一种虚拟化安全管理方法、运行内核驱动的设备及存储介质,通过在虚拟机和宿主机之间设置内核驱动,起到了安全控制的作用;虚拟机作为一个访问进程,在访问宿主机的过程中,内核驱动对该访问进程的权限进行识别,该访问权限可以是预先在内核驱动中设置好的,具体实施方式可以是白名单,也可以是为每个访问进程打上标签;根据访问权限的不同,内核驱动模块向访问进程分配不同的访问策略,之后内核驱动根据访问策略从宿主机处获取资源供访问进程进行访问,从而使得虚拟机无法与宿主机发生直接的信息交互,不能对宿主机进行非法篡改,保障了宿主机不被虚拟机攻击,同时,内核驱动还对不同的系统调用进行控制,防止虚拟机逃逸后通过宿主机攻击虚拟化软件或其他虚拟机;从而以内核驱动为中介,在虚拟机和宿主机信号交互的过程中,通过访问进程权限控制和系统调用控制两方面的手段保障了虚拟化系统的安全。
附图说明
图1a为本申请实施例中虚拟化系统的拓扑图;
图1b为本申请实施例中虚拟化系统的另一种拓扑图;
图2为本申请实施例中虚拟化安全管理方法的一实施例示意图;
图3为本申请实施例中的虚拟化安全管理方法的另一实施例示意图;
图4为本申请实施例中的虚拟化安全管理方法的另一实施例示意图;
图5为本申请实施例中的虚拟化安全管理方法的另一实施例示意图;
图6为本申请实施例中的虚拟化安全管理方法的另一实施例示意图;
图7为本申请实施例中的虚拟化安全管理方法的另一实施例示意图;
图8为本申请实施例中运行内核驱动的电子设备的示意图;
图9为本申请实施例中运行内核驱动的电子设备的装置示意图。
具体实施方式
本发明实施例提供一种虚拟化安全管理方法、运行内核驱动的设备及存储介质,能够通过运行了内核驱动作为虚拟机和宿主机之间的信号传递的中介,实现虚拟机的强制访问控制和挂钩宿主机的系统调用,从而避免虚拟机逃逸带来的风险,实现了虚拟化系统的安全。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
如图1a所示虚拟化(Virtualization):是一种资源管理技术,是将计算机的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源。在虚拟化技术中,每个虚拟机作为一个进程运行在宿主机之上,宿主机统一对虚拟机进行资源的调度和管理。其中,虚拟机指的是运行在虚拟化平台上,使用虚拟化技术虚拟出来的操作系统;宿主机指的是运行在物理硬件上,提供虚拟管理功能的操作系统。虚拟机的使用为用户带来了便利,同时,宿主机操作系统直接运行在服务器硬件之上,作为一个操作系统,它就有着普通操作系统具有的安全问题,虚拟化软件作为一个软件同样具有普通软件的安全问题。所以虚拟机之间,虚拟机与宿主机之间都存在着一定的安全风险。最主要的安全风险即虚拟机逃逸。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击或控制虚拟机或者宿主机操作系统的目的。由于技术的潜在缺陷,这种攻击的可能性很大,一旦发生虚拟机逃逸,将可能进一步地发生虚拟机攻击宿主机、虚拟机攻击虚拟化软件或虚拟机攻击其他虚拟机的安全威胁。
如图1b所示,为了解决上述问题本发明的实施例提供一种虚拟化安全管理方法,通过引入内核驱动,作为虚拟机和宿主机直接的信息交互中介,实现虚拟机对宿主机的强制访问,同时内核驱动对宿主机系统调用的挂钩,为便于理解,下面对本申请实施例中的具体流程进行描述,请参阅图2,本申请实施例中虚拟化安全管理方法的一个实施例包括。
201、内核驱动接收进程的访问请求。
本实施例中,虚拟机作为一个进程,向宿主机提出访问请求,该请求由内核驱动接收。
202、内核驱动获取进程的访问权限和/或请求类型。
本实施例中,分为三种情况,即内核驱动获取该进程的访问权限、内核驱动获取该进程的请求类型或内核驱动获取该进程的访问权限和请求类型,三种情况对应三种不同的控制方式。
203、内核驱动根据访问权限和/或请求类型,向进程分配访问策略。
本实施例中,首先,不同进程的访问权限和请求类型不同;其次,针对不同的情况,内核驱动仅获取该访问权限,或者内核驱动仅获取该请求类型,或者内核驱动获取该访问权限和该请求类型;因此,根据不同情况,内核驱动向进程分配不同的访问策略,供进程进行访问。
204、内核驱动根据访问策略,从宿主机处获取访问资源。
本实施例中,该进程所获得的访问进程,是通过内核驱动从宿主机中获取到的,内核驱动根据访问策略,从内核驱动中获取相应的访问资源并分配给该进程,从而实现强制访问控制。
205、内核驱动将访问资源发送给进程。
本实施例中,内核驱动在宿主机和虚拟机之间担任信号传递的中介,虚拟机作为一个进程,内核驱动接收进程的访问请求,并获取该访问请求的访问权限和/或请求类型,以该访问权限和/或该请求类型为依据,向该进程分配访问策略,之后该内核驱动根据该访问策略,从宿主机获取资源发送给虚拟机实现访问,在此过程中,虚拟机与宿主机之间的通讯全部通过内核驱动实现,内核驱动得以对虚拟机的安全情况进行监控,防止非法进程修改宿主机的内容,防止逃逸后的虚拟机攻击宿主机,防止逃逸后的虚拟机通过宿主机攻击其他虚拟机。
需要说明的是,本发明实施例中涉及到的进程,可以是虚拟机,也可以是用户对宿主机发起的操作进程,或者是其他进程,本实施例不对进程的具体类型进行限定。
需要进一步说明的是,上述内核驱动从宿主机中获取资源,是通过劫持该宿主机中各操作系统的系统调用来实现的,为便于理解,下面对本此种情况的具体流程进行描述,请参阅图3。
301、内核驱动接收进程的访问请求。
本实施例中,此步骤与步骤201相同,此处不再赘述。
302、内核驱动获取进程的访问权限和/或请求类型。
本实施例中,此步骤与步骤202相同,此处不再赘述。
303、内核驱动劫持宿主机的的操作系统系统调用。
本实施例中,内核驱动通过劫持宿主机的系统调用,来获得对宿主机的访问权限,由于内核驱动是在用户的监控下对宿主机的系统调用进行劫持,因此能够保证劫持操作的安全。
304、内核驱动根据访问权限和/或请求类型,向进程分配访问策略。
本实施例中,此步骤与步骤203相同,此处不再赘述。
305、内核驱动根据访问策略,从宿主机处获取访问资源。
本实施例中,内核驱动根据劫持系统调用的方式从宿主机中得到访问资源。
306、内核驱动将访问资源发送给进程。
本实施例中,内核驱动在虚拟机和宿主机之间充当信号传递的中介,其中,内核驱动获取宿主机信号的方式,是通过劫持宿主机的操作系统中的系统调用实现的,内核驱动通过劫持的行为,使得宿主机只能够与内核驱动进行通讯,防止虚拟机绕过内核驱动访问宿主机的情况。
需要说明的是,上述情况中,内核驱动获取进程的访问权限和/或请求类型的情况分为三种,即内核驱动仅获取进程的访问权限,内核驱动仅获取进程的请求类型,以及内核驱动获取进程的访问权限和请求类型,以下就这三种情况分别进行说明、
一、内核驱动仅获取进程的访问权限。
内核驱动获取进程的访问权限,根据访问权限的不同从宿主机处获取资源,之后内核驱动将该资源发送给进程,实现进程对宿主机的访问,在此过程中,由于进程对宿主机的访问经过内核驱动的强制访问控制,因此保证了虚拟化系统的安全性。按照访问权限类型的不同,又可以细分为:为进程预设访问权限,和在进程和对应资源上分配标签两种情况,以下分别进行说明。
1、为进程预设访问权限。
在内核驱动中预先设置好每个进程与访问权限的对应关系,当内核驱动接收到一个进程的访问请求时,根据该对应关系,即可获取到该进程的访问权限。为便于理解,下面对本此种情况的具体流程进行描述,请参阅图4。
401、在内核驱动中为进程分配访问权限,生成权限列表。
本实施例中,该权限列表为访问进程与访问权限的对应关系列表,该权限列表可以是用户根据实际使用情况手动设置的。
402、内核驱动接收进程的访问请求。
本实施例中,此步骤与步骤201相同,此处不再赘述。
403、内核驱动根据权限列表获取到的进程的访问权限,生成访问策略。
本实施例中,权限列表中记录有每一进程与其访问权限的对应关系,因此对于该进程的访问请求,内核驱动根据预设的权限列表即可获取该进程的访问权限。
404、内核驱动根据访问策略,从宿主机处获取访问资源。
本实施例中,内核驱动根据上述步骤得到的访问策略从宿主机处获取访问资源。
405、内核驱动向进程发送访问资源。
本实施例中,本实施例中,内核驱动中内置有访问权限对应的访问策略,例如访问权限为拒绝访问时,访问策略为内核驱动不从宿主机获取资源;访问权限为限制访问时,访问策略为内核驱动根据限制访问的情况从宿主机中获取部分资源并发送给该进程;访问权限为允许访问时,访问策略为内核驱动从宿主机中获取全部资源并发送给该进程。
405、内核驱动根据访问策略,向进程分配访问资源。
本实施例中,内核驱动根据上述步骤获取到的访问策略,向宿主机获取相应资源并发送给该进程,实现该进程对宿主机资源的访问。
2、在进程和对应资源上分配标签。
进程和资源的标签一一对应,每个虚拟机都是宿主机上的一个进程,如果实现了虚拟机逃逸,那么就相当于在宿主机上启动了一个进程,而且这个进程就是虚拟化软件的一个进程。每个虚拟机对应的进程的名称、用户基本是相同的。可以使用强制访问控制功能解决无关进程访问虚拟机资源的问题,但是无法控制虚拟化程序修改虚拟机资源。可以为每个虚拟机使用不同的用户启动,这样确实能在一定程度上解决虚拟机逃逸后破坏其他虚拟机资源的问题,但是这无疑很大程度上增加了操作难度和资源的使用率。因此提供一种方法,将进程和资源打上标签,只有进程和资源的标签相同,进程才有权限操作文件。为便于理解,下面对本此种情况的具体流程进行描述,请参阅图5。
501、内核驱动为所有进程和资源分配标签。
本实施例中,在内核驱动为进程个资源分配标签的过程中,一个进程与其有权限访问的资源具有相同的标签。
502、内核驱动接收进程的访问请求。
本实施例中,此步骤与步骤201相同,此处不再赘述。
503、内核驱动获取进程的第一标签。
本实施例中,该第一标签是内核驱动在该进程中预先分配好的标签,在该进程发起访问请求时,内核驱动对该第一标签进行获取。
504、内核驱动获取宿主机中资源的第二标签。
本实施例中,该第二标签是内核驱动预先分配好的。
505、内核驱动比对第二标签与第一标签,向进程分配访问策略。
本实施例中,当该第二标签与该第一标签相同时,该内核驱动向该进程分配的访问策略为允许访问;当所述第二标签与所述第一标签不同时,所述内核驱动向所述进程分配的访问策略为拒绝访问。
506、内核驱动根据访问策略,从宿主机获取访问资源。
本实施例中,通过比对第一标签与第二标签,若二者相同,则内核驱动从宿主机中获取该第二标签所对应的资源。
507、内核驱动向进程分配访问资源。
本实施例中,当进程被分配访问策略为允许访问时,内核驱动仅向进程分配标签为第二标签的资源;当进程被分配访问策略为拒绝访问时,内核驱动不向进程分配资源。
本实施例中,内核驱动为进程和资源动态分配一个唯一的标签,进程只能访问带有相同标签的资源。同样进程所产生的新进程或者文件也会自动带上这个唯一标签。所以即便虚拟机实现了逃逸,此时运行虚拟机的进程已经打上了与资源对应的标签,则这个进程就只能操作这个虚拟机的资源,无权访问其他的虚拟机资源。因此这个逃逸的虚拟机既无法操作其他虚拟机资源来窃取或者破坏其他虚拟机,也无法破坏宿主机和虚拟化软件。
上述介绍了内核驱动仅获取进程的访问权限的两种方式,通过上述两种方式,实现了内核驱动控制下虚拟机对宿主机的强制访问控制,虚拟机以内核驱动为中介对宿主机进行访问,虚拟机的行为受到内核驱动的控制,从而提升了虚拟化系统的安全等级。
二、内核驱动仅获取进程的请求类型。
根据进程请求类型的不同,进程需要访问不同的系统调用,此时,内核驱动需要挂钩该系统调用,防止逃逸后的虚拟机通过系统调用入侵宿主机,影响虚拟化系统的安全。其中,在本发明所提供的实施例中,最主要保护的系统调用有两种,分别是CPUID调用接口和宿主机上的ioctl系统调用,其中,CPUID调用接口是虚拟机获取底层虚拟化软件类型的接口,ioctl系统调用是实现虚拟机与宿主机内核实现交互的接口,保护这两个系统调用对保障虚拟化系统安全有重大意义,以下分别就CPUID调用接口和宿主机上的ioctl系统调用两种情况分别说明如下。
1、内核驱动劫持CPUID调用接口。
虚拟化软件会提供CPUID指令的调用接口,提供给虚拟机来获取虚拟化软件的类型。各种检测工具也都是使用这个接口来获取底层虚拟化软件类型。所以我们通过挂钩CPUID指令的处理程序,当虚拟机调用获取CPUID的指令时,我们对返回结果中的内容进行修改或者直接隐藏。不知道虚拟化软件的类型,就会增大利用漏洞来逃逸的难度。为便于理解,下面对本此种情况的具体流程进行描述,请参阅图6,本实施例具体包括以下步骤。
601、内核驱动接收进程的访问请求。
本实施例中,本步骤与步骤201相同,此处不再赘述。
602、内核驱动获取进程的请求类型为通过CPUID调用接口获取资源。
本实施例中,该CPUID调用接口用于供虚拟机和检测工具获取虚拟化软件的软件类型。
603、内核驱动根据CPUID调用接口,向进程分配访问策略为隐藏虚拟化软件的类型。
本实施例中,如果虚拟机知道了虚拟化软件的类型,一旦虚拟机发生逃逸,会很容易根据该虚拟化软件的类型对虚拟化系统进行针对性的攻击,因此,内核驱动制定访问策略为因此虚拟化类型,有利于保障虚拟化系统的安全。
604、内核驱动通过CPUID调用接口获取宿主机中的资源。
本实施例中,内核驱动通过劫持CPUID调用接口的方式,实现挂钩CPUID调用接口,并接收宿主机中发来的资源及虚拟化软件的类型。
605、内核驱动向宿主机发送接收到资源的消息。
本实施例中,内核驱动向宿主机发送收到资源的消息,宿主机并不知道发送该消息的主体,判定为虚拟机发来的消息,宿主机判定消息发送成功,从而结束本次信息的交互。
606、内核驱动隐藏资源的软件类型,生成隐藏类型的资源。
本实施例中,该隐藏资源的软件类型有两种方式,一种是将该资源的软件类型数据设置为空值,另一种是将该资源的软件类型替换为其他软件类型。
607、内核驱动将隐藏类型的资源发送给进程。
本实施例中,进程接收到内核驱动发来的隐藏类型的资源,实现进程对宿主机中资源的访问,同时,用于进程不知道所访问资源的软件类型,无法针对性地对宿主机进行攻击,保证了虚拟化系统的安全。
本实施例中,通过内核驱动挂钩CPUID指令的处理程序,当虚拟机作为进程调用获取CPUID的指令时,会向内核驱动发出调用CPUID调用接口的请求,内核驱动获取宿主机的资源后,对返回结果中的内容进行修改或者直接隐藏;虚拟机所接收到的资源中不知道虚拟化软件的类型,就会增大利用漏洞来逃逸的难度。
2、内核驱动劫持宿主机上ioctl系统调用。
虚拟机作为宿主机上的一个进程,是通过宿主机上ioctl系统调用来与宿主机的内核实现交互的。如果虚拟机利用漏洞实现了虚拟机逃逸,那么他就有可能修改宿主机的ioctl系统调用,来获取其他虚拟机的信息,或者干扰其他虚拟机运行。所以需要提前保护这个系统调用不被挂钩篡改。为便于理解,一些的本中实施方式的具体步骤做详细说明,请参阅图7,本实施例具体包括以下步骤。
701、内核驱动接收进程的访问请求。
本实施例中,本步骤与步骤201相同,此处不再赘述。
702、内核驱动获取进程的请求类型为通过ioctl系统调用获取资源。
本实施例中,虚拟机作为宿主机上的一个进程,是通过宿主机上ioctl系统调用来与宿主机的内核实现交互的。
703、内核驱动根据ioctl系统调用,向进程分配访问策略为拒绝访问。
本实施例中,由于ioctl系统调用为重要的系统调用,将其锁死不被虚拟机访问,能够提升虚拟化系统的安全性,因此对于进程访问ioctl系统调用的请求一律分配拒绝访问的访问策略。
704、内核驱动向进程发送拒绝访问的消息。
本实施例中,内核驱动对进程的访问进行控制,使得当进程请求访问ioctl系统调用时,内核驱动直接返回拒绝访问的消息。
本实施例中,内核驱动作为虚拟机与宿主机之间信息交互的中介,对虚拟机的请求类型起到了把控的作用,ioctl系统调用作为关键的系统调用,对于保障虚拟化系统安全有重大意义,当内核驱动接收到虚拟机的访问请求为访问ioctl系统调用时,向虚拟机发送拒绝访问的消息,从而实现对ioctl系统调用的访问锁定,保障ioctl系统调用的安全。
上述主要从内核驱动与虚拟机和宿主机之间交互的角度对本申请实施例提供的方案进行了介绍。可以理解的是,上述运行内核驱动的电子设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的模块及算法步骤,本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
从硬件结构上来描述,上述虚拟化安全管理方法可以由一个实体设备实现,也可以由多个实体设备共同实现,还可以是一个实体设备内的一个逻辑功能模块,本申请实施例对此不作具体限定。
例如,上述虚拟化安全管理方法可以通过图8中的电子设备来实现。图8为本申请实施例提供的电子设备的硬件结构示意图。该电子设备包括至少一个处理器801,通信线路802,存储器803以及至少一个通信接口804。
处理器801可以是一个通用中央处理器(central processing unit,CPU),微处理器,特定应用集成电路(application-specific integrated circuit,服务器IC),或一个或多个用于控制本申请方案程序执行的集成电路。
通信线路802可包括一通路,在上述组件之间传送信息。
通信接口804,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(wireless local areanetworks,WLAN)等。
存储器803可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(electricallyer服务器able programmable read-only memory,EEPROM)、只读光盘(compact discread-only memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过通信线路802与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器803用于存储执行本申请方案的计算机执行指令,并由处理器801来控制执行。处理器801用于执行存储器803中存储的计算机执行指令,从而实现本申请上述实施例提供的日志查询的方法。
可选的,本申请实施例中的计算机执行指令也可以称之为应用程序代码,本申请实施例对此不作具体限定。
在具体实现中,作为一种实施例,处理器801可以包括一个或多个CPU,例如图8中的CPU0和CPU1。
在具体实现中,作为一种实施例,电子设备可以包括多个处理器,例如图8中的处理器801和处理器807。这些处理器中的每一个可以是一个单核(single-CPU)处理器,也可以是一个多核(multi-CPU)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
在具体实现中,作为一种实施例,电子设备还可以包括输出设备805和输入设备806。输出设备805和处理器801通信,可以以多种方式来显示信息。例如,输出设备805可以是液晶显示器(liquid crystal display,LCD),发光二级管(light emitting diode,LED)显示设备,阴极射线管(cathode ray tube,CRT)显示设备,或投影仪(projector)等。输入设备806和处理器801通信,可以以多种方式接收用户的输入。例如,输入设备806可以是鼠标、键盘、触摸屏设备或传感设备等。
上述的电子设备可以是一个通用设备或者是一个专用设备。在具体实现中,电子设备可以是台式机、便携式电脑、网络服务器、掌上电脑(personal digital assistant,PDA)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图8中类似结构的设备。本申请实施例不限定电子设备的类型。
本申请实施例可以根据上述方法示例对智能设备和运行日志数据库的电子设备进行功能单元的划分,例如,可以对应各个功能划分各个功能单元,也可以将两个或两个以上的功能集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。需要说明的是,本申请实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
比如,以采用集成的方式划分各个功能单元的情况下,图9示出了一种运行内核驱动的电子设备的示意图。
如图9所示,本申请实施例提供的运行内核驱动的电子设备,包括:
接收单元901,用于接收进程的访问请求;
获取单元902,用于获取所述接收单元901接收到的所述进程的访问权限和/或请求类型;
策略分配单元903,用于根据所述获取单元902获取到的所述访问权限和/或所述请求类型,向所述进程分配访问策略;
资源分配单元904,用于根据所述策略分配单元903分配的所述访问策略,向所述进程分配访问资源;
其中,所述访问资源是所述内核驱动设备从宿主机中调取的。
可选地,所述设备还包括劫持单元,用于劫持所述宿主机的系统调用;
对应地,所述资源分配单元904,用于根据所述访问策略,向所述进程分配通过所述劫持单元劫持所述系统调用得到的访问资源。
可选地,所述设备还包括权限分配单元905,用于为进程分配访问权限,生成权限列表,所述权限列表为访问进程与访问权限的对应关系列表;
对应地,所述获取单元902,用于根据所述权限列表获取所述接收单元901接收到的所述进程的访问权限;
对应地,所述策略分配单元903,用于:当所述获取单元902在所述权限列表中获取不到所述进程时,向所述进程分配的访问策略为拒绝访问;当所述获取单元902在所述权限列表中获取到所述进程只有部分权限时,所述内核驱动对所述进程中无权限的操作进行拦截,向所述进程分配的访问权限为部分访问;当所述获取单元902在所述权限列表中获取到所述进程为完全开放权限时,向所述进程分配的访问策略为完全访问;
对应地,所述资源分配单元904,用于:当所述进程被分配访问策略为拒绝访问时,不向所述进程分配访问资源;当所述进程被分配访问策略为部分访问时,仅向所述进程中有权限的操作分配访问资源;当所述进程被分配访问策略为完全访问时,向所述进程分配所有访问资源。
可选地,该设备还包括标签分配单元906,用于为所有进程和资源分配标签,其中,一个进程与其有权限访问的资源具有相同的标签;
对应地,所述获取单元902,用于获取所述进程的第一标签;
对应地,策略分配单元903,用于获取标签为第二标签的资源;之后根据所述第二标签与所述第一标签向所述进程分配访问策略;其中,当所述第二标签与所述第一标签相同时,所述内核驱动向所述进程分配的访问策略为允许访问;当所述第二标签与所述第一标签不同时,所述内核驱动向所述进程分配的访问策略为拒绝访问;
对应地,资源分配单元904,用于当所述进程被分配访问策略为允许访问时,所述内核驱动仅向所述进程分配标签为第二标签的资源;当所述进程被分配访问策略为拒绝访问时,所述内核驱动不向所述进程分配资源。
可选地,获取单元902,还用于获取所述进程的请求类型为通过CPUID调用接口获取资源;
对应地,策略分配单元903,用于根据所述CPUID调用接口,向所述进程分配访问策略为隐藏虚拟化软件的类型;
对应地,资源分配单元904,用于通过CPUID调用接口接收所述宿主机中的资源;所述内核驱动隐藏所述资源的软件类型,生成隐藏类型的资源;所述内核驱动将所述隐藏类型的资源发送给所述进程。
可选地,获取单元902,用于获取所述进程的请求类型为通过ioctl系统调用获取资源;
对应地,策略分配单元903,用于根据所述ioctl系统调用,向所述进程分配访问策略为拒绝访问;
对应地,资源分配单元904,用于向所述进程发送拒绝访问的消息。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行该计算机程序指令时,全部或部分地产生按照本发明实施例该的流程或功能。该计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。该计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,该计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。该计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。该可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的虚拟化安全管理方法、运行内核驱动的设备及存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种虚拟化安全管理方法,其特征在于,包括:
内核驱动接收进程的访问请求;
所述内核驱动获取所述进程的访问权限和/或请求类型;
所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略;
所述内核驱动根据所述访问策略,从宿主机处获取访问资源;
所述内核驱动将所述访问资源发送给所述进程。
2.根据权利要求1所述的方法,其特征在于,所述内核驱动根据所述访问策略,向所述进程分配访问资源,之前还包括:
所述内核驱动劫持所述宿主机的操作系统的系统调用;
所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:
所述内核驱动根据所述访问策略,向所述进程分配通过劫持所述系统调用得到的访问资源。
3.根据权利要求2所述的方法,其特征在于,所述内核驱动接收进程的访问请求,之前还包括:
在内核驱动中为进程分配访问权限,生成权限列表,所述权限列表为访问进程与访问权限的对应关系列表;
所述内核驱动获取所述进程的访问权限和/或请求类型,包括:
所述内核驱动根据所述权限列表获取所述进程的访问权限;
所述内核驱动根据所述访问权限和/或所述请求类型,向进程分配访问策略,包括:
当所述内核驱动在所述权限列表中获取不到所述进程时,向所述进程分配的访问策略为拒绝访问;
当所述内核驱动在所述权限列表中获取到所述进程只有部分权限时,所述内核驱动对所述进程中无权限的操作进行拦截,向所述进程分配的访问权限为部分访问;
当所述内核驱动在所述权限列表中获取到所述进程为完全开放权限时,向所述进程分配的访问策略为完全访问;
所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:
当所述进程被分配访问策略为拒绝访问时,所述内核驱动不向所述进程分配访问资源;
当所述进程被分配访问策略为部分访问时,所述内核驱动仅向所述进程中有权限的操作分配访问资源;
当所述进程被分配访问策略为完全访问时,所述内核驱动向所述进程分配所有访问资源。
4.根据权利要求2所述的方法,其特征在于,所述内核驱动接收进程的访问请求,之前还包括:
内核驱动为所有进程和资源分配标签,其中,一个进程与其有权限访问的资源具有相同的标签;
所述内核驱动获取所述进程的访问权限和/或请求类型,包括:
所述内核驱动获取所述进程的第一标签;
所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略,包括:
所述内核驱动获取标签为第二标签的资源;
所述内核驱动比对所述第二标签与所述第一标签,向所述进程分配访问策略;
其中,当所述第二标签与所述第一标签相同时,所述内核驱动向所述进程分配的访问策略为允许访问;
当所述第二标签与所述第一标签不同时,所述内核驱动向所述进程分配的访问策略为拒绝访问;
所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:
当所述进程被分配访问策略为允许访问时,所述内核驱动仅向所述进程分配标签为第二标签的资源;
当所述进程被分配访问策略为拒绝访问时,所述内核驱动不向所述进程分配资源。
5.根据权利要求2所述的方法,其特征在于,
所述内核驱动获取所述进程的访问权限和/或请求类型,包括:
所述内核驱动获取所述进程的请求类型为通过CPUID调用接口获取资源;
所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略,包括:
所述内核驱动根据所述CPUID调用接口,向所述进程分配访问策略为隐藏虚拟化软件的类型;
所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:
所述内核驱动通过CPUID调用接口接收所述宿主机中的资源;
所述内核驱动隐藏所述资源的软件类型,生成隐藏类型的资源;
所述内核驱动将所述隐藏类型的资源发送给所述进程。
6.一种运行内核驱动的电子设备,其特征在于,包括:
接收单元,用于接收进程的访问请求;
获取单元,用于获取所述接收单元接收到的所述进程的访问权限和/或请求类型;
策略分配单元,用于根据所述获取单元获取到的所述访问权限和/或所述请求类型,向所述进程分配访问策略;
资源分配单元,用于根据所述策略分配单元分配的所述访问策略,从宿主机处获取访问资源,并将所述访问资源发送给所述进程;
其中,所述访问资源是所述内核驱动设备从宿主机中调取的。
7.根据权利要求6所述的设备,其特征在于,所述设备还包括劫持单元,用于劫持所述宿主机的系统调用;
所述资源分配单元,用于根据所述访问策略,向所述进程分配通过所述劫持单元劫持所述系统调用得到的访问资源。
8.根据权利要求7所述的设备,其特征在于,所述设备还包括权限分配单元,用于为进程分配访问权限,生成权限列表,所述权限列表为访问进程与访问权限的对应关系列表;
所述获取单元,用于根据所述权限列表获取所述接收单元接收到的所述进程的访问权限;
所述策略分配单元,用于:
当所述获取单元在所述权限列表中获取不到所述进程时,向所述进程分配的访问策略为拒绝访问;
当所述获取单元在所述权限列表中获取到所述进程只有部分权限时,所述内核驱动对所述进程中无权限的操作进行拦截,向所述进程分配的访问权限为部分访问;
当所述获取单元在所述权限列表中获取到所述进程为完全开放权限时,向所述进程分配的访问策略为完全访问;
所述资源分配单元,用于:
当所述进程被分配访问策略为拒绝访问时,不向所述进程分配访问资源;
当所述进程被分配访问策略为部分访问时,仅向所述进程中有权限的操作分配访问资源;
当所述进程被分配访问策略为完全访问时,向所述进程分配所有访问资源。
9.一种运行内核驱动的电子设备,其特征在于,所述设备包括:交互装置、输入/输出(I/O)接口、处理器和存储器,所述存储器中存储有程序指令;
所述交互装置用于获取用户输入的操作指令;
所述处理器用于执行存储器中存储的程序指令,执行如权利要求1-5任一所述的方法。
10.一种计算机可读存储介质,包括指令,其特征在于,当所述指令在计算机设备上运行时,使得所述计算机设备执行如权利要求1-5中任一项所述的方法。
CN201811108226.8A 2018-09-21 2018-09-21 虚拟化安全管理方法、运行内核驱动的设备及存储介质 Pending CN109324873A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811108226.8A CN109324873A (zh) 2018-09-21 2018-09-21 虚拟化安全管理方法、运行内核驱动的设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811108226.8A CN109324873A (zh) 2018-09-21 2018-09-21 虚拟化安全管理方法、运行内核驱动的设备及存储介质

Publications (1)

Publication Number Publication Date
CN109324873A true CN109324873A (zh) 2019-02-12

Family

ID=65265779

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811108226.8A Pending CN109324873A (zh) 2018-09-21 2018-09-21 虚拟化安全管理方法、运行内核驱动的设备及存储介质

Country Status (1)

Country Link
CN (1) CN109324873A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111209088A (zh) * 2020-01-21 2020-05-29 湖南麒麟信安科技有限公司 一种无代理的虚拟机外设封控方法、系统及介质
CN113254924A (zh) * 2020-02-13 2021-08-13 斑马智行网络(香港)有限公司 数据处理方法、资源访问方法、装置和设备
CN114124683A (zh) * 2021-09-26 2022-03-01 奇安信科技集团股份有限公司 网卡配置方法、装置、电子设备及存储介质
CN114499945A (zh) * 2021-12-22 2022-05-13 天翼云科技有限公司 一种虚拟机的入侵检测方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102707985A (zh) * 2011-03-28 2012-10-03 中兴通讯股份有限公司 一种虚拟机系统的访问控制方法和系统
CN102811239A (zh) * 2011-06-03 2012-12-05 中兴通讯股份有限公司 一种虚拟机系统及其安全控制方法
CN103593225A (zh) * 2013-10-30 2014-02-19 浙江大学 移动虚拟化场景中多Android系统复用Binder IPC机制的方法
CN104318171A (zh) * 2014-10-09 2015-01-28 中国科学院信息工程研究所 基于权限标签的Android隐私数据保护方法及系统
CN105631321A (zh) * 2015-12-24 2016-06-01 北京奇虎科技有限公司 一种虚拟机进程信息的检测方法及装置
CN106156621A (zh) * 2016-06-30 2016-11-23 北京奇虎科技有限公司 一种检测虚拟机逃逸的方法及装置
CN107038369A (zh) * 2017-03-21 2017-08-11 深圳市金立通信设备有限公司 一种资源访问控制的方法及终端
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102707985A (zh) * 2011-03-28 2012-10-03 中兴通讯股份有限公司 一种虚拟机系统的访问控制方法和系统
CN102811239A (zh) * 2011-06-03 2012-12-05 中兴通讯股份有限公司 一种虚拟机系统及其安全控制方法
CN103593225A (zh) * 2013-10-30 2014-02-19 浙江大学 移动虚拟化场景中多Android系统复用Binder IPC机制的方法
CN104318171A (zh) * 2014-10-09 2015-01-28 中国科学院信息工程研究所 基于权限标签的Android隐私数据保护方法及系统
CN105631321A (zh) * 2015-12-24 2016-06-01 北京奇虎科技有限公司 一种虚拟机进程信息的检测方法及装置
CN106156621A (zh) * 2016-06-30 2016-11-23 北京奇虎科技有限公司 一种检测虚拟机逃逸的方法及装置
CN107038369A (zh) * 2017-03-21 2017-08-11 深圳市金立通信设备有限公司 一种资源访问控制的方法及终端
CN107682333A (zh) * 2017-09-30 2018-02-09 北京奇虎科技有限公司 基于云计算环境的虚拟化安全防御系统及方法

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111209088A (zh) * 2020-01-21 2020-05-29 湖南麒麟信安科技有限公司 一种无代理的虚拟机外设封控方法、系统及介质
CN111209088B (zh) * 2020-01-21 2023-08-29 湖南麒麟信安科技股份有限公司 一种无代理的虚拟机外设封控方法、系统及介质
CN113254924A (zh) * 2020-02-13 2021-08-13 斑马智行网络(香港)有限公司 数据处理方法、资源访问方法、装置和设备
CN114124683A (zh) * 2021-09-26 2022-03-01 奇安信科技集团股份有限公司 网卡配置方法、装置、电子设备及存储介质
CN114124683B (zh) * 2021-09-26 2024-03-08 奇安信科技集团股份有限公司 网卡配置方法、装置、电子设备及存储介质
CN114499945A (zh) * 2021-12-22 2022-05-13 天翼云科技有限公司 一种虚拟机的入侵检测方法及装置
CN114499945B (zh) * 2021-12-22 2023-08-04 天翼云科技有限公司 一种虚拟机的入侵检测方法及装置

Similar Documents

Publication Publication Date Title
CN109918916B (zh) 一种双体系可信计算系统及方法
US10361998B2 (en) Secure gateway communication systems and methods
US10630643B2 (en) Dual memory introspection for securing multiple network endpoints
CN103858113B (zh) 用于保护虚拟客户的内存的方法、装置和系统
CN109324873A (zh) 虚拟化安全管理方法、运行内核驱动的设备及存储介质
CN104662552B (zh) 安全的盘访问控制
EP3997600B1 (en) Using secure memory enclaves from the context of process containers
CN102262557B (zh) 通过总线架构构建虚拟机监控器的方法及性能服务框架
JP2020528609A (ja) データ処理における侵入検知および侵入軽減
US20090276774A1 (en) Access control for virtual machines in an information system
CN103870749B (zh) 一种实现虚拟机系统的安全监控系统及方法
CN105184147B (zh) 云计算平台中的用户安全管理方法
US20220342997A1 (en) Assessing latent security risks in kubernetes cluster
US9275238B2 (en) Method and apparatus for data security reading
WO2015074512A1 (zh) 一种访问物理资源的方法和装置
CN100454278C (zh) 计算机系统及其i/o端口访问控制方法
US9203700B2 (en) Monitoring client information in a shared environment
US10411957B2 (en) Method and device for integrating multiple virtual desktop architectures
US9330266B2 (en) Safe data storage method and device
CN104471584A (zh) 对受保护数据集进行基于网络的管理
CN109101322A (zh) 基于配对标签及迁移监听的虚拟化安全计算方法及系统
US20230297406A1 (en) Confidential computing using multi-instancing of parallel processors
KR101173911B1 (ko) 가상 머신 사이에 스위칭 방식의 선택을 이용한 망 분리 시스템
Feng et al. MobiGyges: A mobile hidden volume for preventing data loss, improving storage utilization, and avoiding device reboot
US20210373950A1 (en) Cloud resource audit system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20190212