CN110990120B - 虚拟机监视器分区间通信方法及装置、存储介质和终端 - Google Patents

虚拟机监视器分区间通信方法及装置、存储介质和终端 Download PDF

Info

Publication number
CN110990120B
CN110990120B CN201911188208.XA CN201911188208A CN110990120B CN 110990120 B CN110990120 B CN 110990120B CN 201911188208 A CN201911188208 A CN 201911188208A CN 110990120 B CN110990120 B CN 110990120B
Authority
CN
China
Prior art keywords
communication
partition
preset value
security
virtual machine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911188208.XA
Other languages
English (en)
Other versions
CN110990120A (zh
Inventor
朱元
姜维
陆科
吴志红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tongji University
Original Assignee
Tongji University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tongji University filed Critical Tongji University
Priority to CN201911188208.XA priority Critical patent/CN110990120B/zh
Publication of CN110990120A publication Critical patent/CN110990120A/zh
Application granted granted Critical
Publication of CN110990120B publication Critical patent/CN110990120B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种虚拟机监视器分区间通信方法及装置、存储介质和终端,其中方法包括通信发起分区通过权项管理器将通信请求发送给通信接收分区;通信接收分区接收到通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到权项管理器的第一寄存器中;权项管理器根据通信请求加载本地日志文件中通信接收分区对应的安全预设值,并将其存储到权项管理器的第二寄存器中;判断第一寄存器中的预设值和第二寄存器中的安全预设值是否相同。本发明通过将分区间的通信安全管理转换为对共享内存的访问权限管理,实现将各个分区的通信进行解耦,并通过对保存的安全预设值进行加密,以确保信息安全。

Description

虚拟机监视器分区间通信方法及装置、存储介质和终端
技术领域
本发明涉及嵌入式虚拟机监视平台技术领域,尤其涉及一种虚拟机监视器分区间通信方法及装置、存储介质和终端。
背景技术
Hypervisor也叫虚拟机监视器(Virtual Machine Monitor),是一种运行在物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享一套基础物理硬件,以协调访问服务器上的所有物理设备和虚拟机,可以看作是虚拟环境中的"元"操作系统。Hypervisor是所有虚拟化技术的核心,当服务器启动并执行Hypervisor时,它会给每一台虚拟机分配适量的内存、CPU、网络和磁盘,并加载所有虚拟机的客户操作系统。
目前嵌入式hypervisor技术在汽车电子领域的应用日渐盛行,但其同时带来了虚拟化技术相关的信息安全挑战。由于虚拟机监视器调控的各个分区之间可进行通信,因此一旦其中一个分区被恶意入侵,其它分区也很容易被恶意软件恶意入侵;同理一旦其中一个分区的信息被泄露,其它分区的信息也就很容易被泄露,因此存在相应的安全问题。
发明内容
本发明所要解决的技术问题是现有嵌入式虚拟机监视器存在虚拟化技术相关的信息安全问题,具体一旦虚拟机监视器所调控的一个分区被恶意入侵或泄露信息,那么其它分区也很容易被恶意软件恶意入侵或被泄露信息,给用户带来信息安全困扰。
为了解决上述技术问题,本发明提供了一种虚拟机监视器分区间通信方法,包括:
通信发起分区通过权限管理器将通信请求发送给通信接受分区;
所述通信接受分区接收到所述通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到所述权限管理器的第一寄存器中;
所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中;
判断所述第一寄存器中的预设值和所述第二寄存器中的安全预设值是否相同,若相同则赋予所述通信发起分区对于通信用共享内存的写权限,赋予所述通信接受分区对于通信用共享内存的读权限,否则将所述通信请求记录到所述本地日志文件中。
优选地,通信发起分区通过权限管理器将通信请求发送给通信接受分区步骤之前还包括:
当所述虚拟机监视器调控的所有分区均处于初始状态时,所述虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到所述本地日志文件中。
优选地,当所述虚拟机监视器调控的所有分区均处于初始状态时,所述虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到所述本地日志文件中步骤和通信发起分区通过权限管理器将通信请求发送给通信接受分区步骤之间还包括;
对所述本地日志文件中的所有所述安全预设值进行加密。
优选地,所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中步骤包括:
所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的加密后的安全预设值;
对所述通信接受分区对应的加密后的安全预设值进行解密,得到所述通信接受分区对应的安全预设值,并将所述通信接受分区对应的安全预设值存储到所述权限管理器的第二寄存器中。
优选地,对所述安全预设值进行加密和解密过程均是通过TPM安全芯片实现。
优选地,所述预设运算为哈希运算。
优选地,所述通信请求包括:通信发起分区的地址信息、通信接受分区的地址信息、通信内容的大小以及通信用共享内存的地址信息。
为了解决上述技术问题,本发明提供了一种虚拟机监视器分区间通信装置,包括依次连接的通信请求发送模块、预设值运算存储模块、安全预设值存储模块以及比对模块;
所述通信请求发送模块,用于通信发起分区通过权限管理器将通信请求发送给通信接受分区;
所述预设值运算存储模块,用于所述通信接受分区接收到所述通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到所述权限管理器的第一寄存器中;
所述安全预设值存储模块,用于所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中;
所述比对模块,用于判断所述第一寄存器中的预设值和所述第二寄存器中的安全预设值是否相同,若相同则赋予所述通信发起分区对于通信用共享内存的写权限,赋予所述通信接受分区对于通信用共享内存的读权限,否则将所述通信请求记录到所述本地日志文件中。
为了解决上述技术问题,本发明提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现虚拟机监视器分区间通信方法。
为了解决上述技术问题,本发明提供了一种终端,包括:处理器以及存储器,所述存储器与所述处理器之间通信连接;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述终端执行虚拟机监视器分区间通信方法。
与现有技术相比,上述方案中的一个或多个实施例可以具有如下优点或有益效果:
应用本发明实施例提供的虚拟机监视器分区间通信方法,通过将分区间的通信安全管理转换为对共享内存的访问权限管理,且将权限管理器设置于虚拟机监视器中,实现将各个分区的通信进行解耦,降低某一分区被恶意入侵后,恶意软件通过分区间通信向其它分区扩散的风险。同时还通过对保存的安全预设值进行加密,实现与通信相关分区的隔离,确保了信息安全。并通过将保存加密的安全预设值与通信接受分区的预设值进行比较,判断通信接受分区与初始状态相比是否处于可信安全状态,进而确保分区之间的通信安全。
本发明的其它特征和优点将在随后的说明书中阐述,并且部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明的进一步理解,并且构成说明书的一部分,与本发明的实施例共同用于解释本发明,并不构成对本发明的限制。在附图中:
图1示出了本发明实施例一虚拟机监视器分区间通信方法的流程示意图;
图2出了本发明实施例一虚拟机监视器分区间通信方法的具象模块化示意图;
图3示出了本发明实施例二虚拟机监视器分区间通信装置的结构示意图;
图4示出了本发明实施例四终端的结构示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
Hypervisor是所有虚拟化技术的核心,也可称为叫虚拟机监视器。其是一种运行在物理服务器和操作系统之间的中间软件层,主要用于协调访问服务器上的所有物理设备和虚拟机。现有嵌入式hypervisor技术在汽车电子领域的应用日渐盛行,但其仍然存在虚拟化技术相关的信息安全挑战。具体由于虚拟机监视器调控的各个分区之间可进行通信,因此一旦其中一个分区被恶意入侵,其它分区也很容易被恶意软件恶意入侵;同理一旦其中一个分区的信息被泄露,其它分区的信息也就很容易被泄露,因此存在相应的安全问题
实施例一
为解决现有技术中存在的技术问题,本发明实施例提供了一种虚拟机监视器分区间通信方法。
图1示出了本发明实施例一虚拟机监视器分区间通信方法的流程示意图;图2出了本发明实施例一虚拟机监视器分区间通信方法的具象模块化示意图;参考图1和图2所示,本发明实施例虚拟机监视器分区间通信方法包括如下步骤。
步骤S101,当虚拟机监视器调控的所有分区均处于初始状态时,虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到本地日志文件中。
具体地,虚拟接监视器通常可以调控多个分区,为了实现分区之间的通信,本实施例需先对虚拟机监视器调控的所有分区的初始状态进行记录,以作为通信连接时判断通信接受分区是否处于无安全风险状态的判断依据。具体方式包括:首先确定虚拟机监视器调控的所有分区均处于初始状态,当所有分区处于初始状态时即表示经过用户配置或预设固定方式配置,所有分区均处于无安全风险状态。虚拟机监视器调控的所有分区分别通过分区完整性度量器对自身系统关键节点配置文件进行预设运算,以得到对应的预设值,并将所有运算得到的预设值保存到本地日志文件中。优选地,预设运算为哈希运算;对应预设值为哈希值。通过对分区自身的系统关键节点配置文件进行哈希运算,将复杂的系统关键节点配置文件转化为唯一且简化的哈希值,以便于后续进行通信连接时进行所处状态的对比。
步骤S102,对本地日志文件中的所有安全预设值进行加密。
具体地,为了进一步确保本实施例通信方法实施过程的信息安全,本地日志保存好所有安全预设值后还需对所有安全预设值分别进行加密处理,以确保即使某一分区的预设值被泄露出去,外界也无法对其进行解密应用。需要说明的是,所有加密后的安全预设值仍然保存于本地日志文件中,对本地日志文件中的所有安全预设值进行加密过程可包括:将所有安全预设值发送给加密芯片,并接受加密芯片处理后所有加密后的安全预设值。优选地,加密芯片为TPM安全芯片,即对预设值进行加密的过程是通过TPM安全芯片实现的。其中IPM安全芯片具体良好的自治特性,其并不依赖于主体硬件的处理器、BIOS或操作系统进行工作。
步骤S103,通信发起分区通过权项管理器将通信请求发送给通信接受分区。
具体地,当某一分区需要与另外的分区建立通信时,即设定发出通信请求的分区为通信发起分区,接受通信请求的分区为通信接受分区。想要实现与通信接受分区的通信,首先通信发起分区要将通信请求发送给虚拟机监视器中的权项管理器;其中,通信请求包括通信发起分区的地址信息、通信接受分区的地址信息、通信内容的大小以及通信用共享内存的地址信息。权项管理器根据通信请求中的通信接受分区的地址信息将通信请求转发给通信接受分区。
步骤S104,通信接受分区接收到通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到权项管理器的第一寄存器中。
具体地,通信接受分区接收到通信请求后,通过对应的分区完整性度量器将自身系统关键节点配置文件进行哈希运算,得到通信接受分区当前状况下对应的哈希值,并将运算得到的哈希值发送给权项管理器,权项管理器将收到的通信接受分区当前状况下对应的哈希值保存到第一寄存器中。
步骤S105,权项管理器根据通信请求加载本地日志文件中通信接受分区对应的安全预设值,并将其存储到权项管理器的第二寄存器中。
具体地,将通信接受分区当前状况下对应的哈希值保存到第一寄存器中后,权项管理器根据通信请求中通信接受分区的地址信息从本地日志文件中加载通信接受分区对应的加密后的安全预设值,即通信接受分区在初始状态下运算得到的哈希值。并将通信接受分区对应的加密后的安全预设值进行解密,得到通信接受分区初始状态下对应的安全预设值,并将通信接受分区对应的安全预设值存储到权项管理器的第二寄存器中。需要说明的是,解密过程也是通过TPM安全芯片实现的,具体对加密后的安全预设值进行解密的过程可包括:将加密后的安全预设值发送给TPM安全芯片,并接受TPM安全芯片解密后的安全预设值。
步骤S106,判断第一寄存器中的预设值和第二寄存器中的安全预设值是否相同,若相同则转到步骤S107,否则转到步骤S108。
具体地,判断第一寄存器中存储的哈希值和第二寄存器中存储的安全哈希值是否相同,即判断通信接受分区当前状态与初始状态是否相同,进一步即判断通信接受分区是否处于无安全风险状态,若相同则表示通信接受分区当前处于无安全风险状态,即没被篡改或入侵,可与通信发起分区建立通信,并转步骤S107;否则则表示通信接受分区处于不可信状态,不能与通信发起分区建立通信,并转步骤S108。
步骤S107,赋予通信发起分区相对于通信用共享内存的写权限,同时赋予通信接受分区相对于通信用共享内存的读权限。
具体使得通信发起分区可对通信用共享内存进行写入的操作,通信接受分区可对通信用共享内存进行读取的操作。进一步通信发起分区和通信接受分区之间通过方式为:通信发起分区将预设通信内容写入通信用共享内存中,通信接受分区在通信用共享内存中对应读取预设通信内容,以达到通信的目的。其中通信发起分区写入的预设通信内容大小是基于通信请求中的通信内容的大小设置的,同时通信接受分区读取通信内容的大小也是基于通信请求中的通信内容的大小设置的,以确保通信发起分区与通信接受分区的正常通信。
步骤S108,将通信请求记录到本地日志文件中,以便于后续接收到相同通信请求后可直接反馈通信结果。
本发明实施例提供的虚拟机监视器分区间通信方法,通过将分区间的通信安全管理转换为对共享内存的访问权限管理,且将权限管理器设置于虚拟机监视器中,实现将各个分区的通信进行解耦,降低某一分区被恶意入侵后,恶意软件通过分区间通信向其它分区扩散的风险。同时还通过对保存的安全预设值进行加密,实现与通信相关分区的隔离,确保了信息安全。并通过将保存加密的安全预设值与通信接受分区的预设值进行比较,判断通信接受分区与初始状态相比是否处于可信安全状态,进而确保分区之间的通信安全。
实施例二
为解决现有技术中存在的技术问题,本发明实施例提供了一种虚拟机监视器分区间通信装置。
图3示出了本发明实施例二虚拟机监视器分区间通信装置的结构示意图;参考图3所示,本发明实施例虚拟机监视器分区间通信装置包括依次连接的通信请求发送模块、预设值运算存储模块、安全预设值存储模块以及比对模块。
通信请求发送模块用于通信发起分区通过权项管理器将通信请求发送给通信接收分区;
预设值运算存储模块用于通信接收分区接收到通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到权项管理器的第一寄存器中;
安全预设值存储模块用于权项管理器根据通信请求加载本地日志文件中通信接收分区对应的安全预设值,并将其存储到权项管理器的第二寄存器中;
比对模块用于判断第一寄存器中的预设值和第二寄存器中的安全预设值是否相同,若相同则赋予通信发起分区对于通信用共享内存的写权限,赋予通信接收分区对于通信用共享内存的读权限,否则将通信请求记录到本地日志文件中。
本发明实施例提供的虚拟机监视器分区间通信装置,通过将分区间的通信安全管理转换为对共享内存的访问权限管理,且将权限管理器设置于虚拟机监视器中,实现将各个分区的通信进行解耦,降低某一分区被恶意入侵后,恶意软件通过分区间通信向其它分区扩散的风险。同时还通过对保存的安全预设值进行加密,实现与通信相关分区的隔离,确保了信息安全。并通过将保存加密的安全预设值与通信接受分区的预设值进行比较,判断通信接受分区与初始状态相比是否处于可信安全状态,进而确保分区之间的通信安全。
实施例三
为解决现有技术中存在的上述技术问题,本发明实施例还提供了一种存储介质,其存储有计算机程序,该计算机程序被处理器执行时可实现实施例一中虚拟机监视器分区间通信方法中的所有步骤。
虚拟机监视器分区间通信方法的具体步骤以及应用本发明实施例提供的可读存储介质获取的有益效果均与实施例一相同,在此不在对其进行赘述。
需要说明的是:存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
实施例四
为解决现有技术中存在的上述技术问题,本发明实施例还提供了一种终端。
图4示出了本发明实施例四终端的结构示意图,参照图4,本实施例终端包括相互连接的处理器及存储器;存储器用于存储计算机程序,处理器用于执行存储器存储的计算机程序,以使终端执行时可实现实施例一中虚拟机监视器分区间通信方法中的所有步骤。
虚拟机监视器分区间通信方法的具体步骤以及应用本发明实施例提供的终端获取的有益效果均与实施例一相同,在此不在对其进行赘述。
需要说明的是,存储器可能包含随机存取存储器(Random Access Memory,简称RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。同理处理器也可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital SignalProcessing,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)、现场可编程门阵列(Field Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
虽然本发明所公开的实施方式如上,但所述的内容只是为了便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属技术领域内的技术人员,在不脱离本发明所公开的精神和范围的前提下,可以在实施的形式上及细节上作任何的修改与变化,但本发明的保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (9)

1.一种虚拟机监视器分区间通信方法,包括:
当所述虚拟机监视器调控的所有分区均处于初始状态时,所述虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到所述本地日志文件中;
通信发起分区通过权限管理器将通信请求发送给通信接受分区;
所述通信接受分区接收到所述通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到所述权限管理器的第一寄存器中;
所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中;
判断所述第一寄存器中的预设值和所述第二寄存器中的安全预设值是否相同,若相同则赋予所述通信发起分区对于通信用共享内存的写权限,赋予所述通信接受分区对于通信用共享内存的读权限,否则将所述通信请求记录到所述本地日志文件中。
2.根据权利要求1所述的通信方法,其特征在于,当所述虚拟机监视器调控的所有分区均处于初始状态时,所述虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到所述本地日志文件中步骤和通信发起分区通过权限管理器将通信请求发送给通信接受分区步骤之间还包括;
对所述本地日志文件中的所有所述安全预设值进行加密。
3.根据权利要求2所述的通信方法,其特征在于,所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中步骤包括:
所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的加密后的安全预设值;
对所述通信接受分区对应的加密后的安全预设值进行解密,得到所述通信接受分区对应的安全预设值,并将所述通信接受分区对应的安全预设值存储到所述权限管理器的第二寄存器中。
4.根据权利要求3所述的通信方法,其特征在于,对所述安全预设值进行加密和解密过程均是通过TPM安全芯片实现。
5.根据权利要求1所述的通信方法,其特征在于,所述预设运算为哈希运算。
6.根据权利要求1所述的通信方法,其特征在于,所述通信请求包括:通信发起分区的地址信息、通信接受分区的地址信息、通信内容的大小以及通信用共享内存的地址信息。
7.一种虚拟机监视器分区间通信装置,其特征在于,包括依次连接的通信请求发送模块、预设值运算存储模块、安全预设值存储模块以及比对模块;
所述通信请求发送模块,用于当所述虚拟机监视器调控的所有分区均处于初始状态时,所述虚拟机监视器调控的所有分区分别对自身系统关键节点配置文件进行预设运算,并将运算得到的所有安全预设值保存到所述本地日志文件中,通信发起分区通过权限管理器将通信请求发送给通信接受分区;
所述预设值运算存储模块,用于所述通信接受分区接收到所述通信请求后,对自身系统关键节点配置文件进行预设运算,并将运算得到的预设值发送到所述权限管理器的第一寄存器中;
所述安全预设值存储模块,用于所述权限管理器根据所述通信请求加载本地日志文件中所述通信接受分区对应的安全预设值,并将其存储到所述权限管理器的第二寄存器中;
所述比对模块,用于判断所述第一寄存器中的预设值和所述第二寄存器中的安全预设值是否相同,若相同则赋予所述通信发起分区对于通信用共享内存的写权限,赋予所述通信接受分区对于通信用共享内存的读权限,否则将所述通信请求记录到所述本地日志文件中。
8.一种存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1至6中任一项虚拟机监视器分区间通信方法。
9.一种终端,其特征在于,包括:处理器以及存储器,所述存储器与所述处理器之间通信连接;
所述存储器用于存储计算机程序,所述处理器用于执行所述存储器存储的计算机程序,以使所述终端执行如权利要求1至6中任一项虚拟机监视器分区间通信方法。
CN201911188208.XA 2019-11-28 2019-11-28 虚拟机监视器分区间通信方法及装置、存储介质和终端 Active CN110990120B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911188208.XA CN110990120B (zh) 2019-11-28 2019-11-28 虚拟机监视器分区间通信方法及装置、存储介质和终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911188208.XA CN110990120B (zh) 2019-11-28 2019-11-28 虚拟机监视器分区间通信方法及装置、存储介质和终端

Publications (2)

Publication Number Publication Date
CN110990120A CN110990120A (zh) 2020-04-10
CN110990120B true CN110990120B (zh) 2023-08-29

Family

ID=70087750

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911188208.XA Active CN110990120B (zh) 2019-11-28 2019-11-28 虚拟机监视器分区间通信方法及装置、存储介质和终端

Country Status (1)

Country Link
CN (1) CN110990120B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747036A (zh) * 2013-12-23 2014-04-23 中国航天科工集团第二研究院七〇六所 一种桌面虚拟化环境下的可信安全增强方法
CN105912953A (zh) * 2016-05-11 2016-08-31 北京北信源软件股份有限公司 一种基于可信启动的虚拟机数据保护方法
CN109725983A (zh) * 2018-11-22 2019-05-07 海光信息技术有限公司 一种数据交换方法、装置、相关设备及系统
CN110351264A (zh) * 2019-07-01 2019-10-18 电子科技大学 多安全等级分区间通信的实现方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9229970B2 (en) * 2009-12-07 2016-01-05 International Business Machines Corporation Methods to minimize communication in a cluster database system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103747036A (zh) * 2013-12-23 2014-04-23 中国航天科工集团第二研究院七〇六所 一种桌面虚拟化环境下的可信安全增强方法
CN105912953A (zh) * 2016-05-11 2016-08-31 北京北信源软件股份有限公司 一种基于可信启动的虚拟机数据保护方法
CN109725983A (zh) * 2018-11-22 2019-05-07 海光信息技术有限公司 一种数据交换方法、装置、相关设备及系统
CN110351264A (zh) * 2019-07-01 2019-10-18 电子科技大学 多安全等级分区间通信的实现方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
周霆.基于权限控制的分区操作系统安全数据通信方法.《信息通信》.2017,第2-3节. *

Also Published As

Publication number Publication date
CN110990120A (zh) 2020-04-10

Similar Documents

Publication Publication Date Title
CN109858265B (zh) 一种加密方法、装置及相关设备
US9317316B2 (en) Host virtual machine assisting booting of a fully-encrypted user virtual machine on a cloud environment
EP3120291B1 (en) Rapid data protection for storage devices
US9426147B2 (en) Protected device management
EP2913956B1 (en) Management control method and device for virtual machines
US8788763B2 (en) Protecting memory of a virtual guest
KR100737628B1 (ko) 고정형 토큰 및 이동형 토큰 모두를 이용한 어테스테이션
US8782351B2 (en) Protecting memory of a virtual guest
US8332604B2 (en) Methods to securely bind an encryption key to a storage device
US20070300069A1 (en) Associating a multi-context trusted platform module with distributed platforms
US20090276774A1 (en) Access control for virtual machines in an information system
TW201617957A (zh) 鑑別變數之管理技術
JP2013528872A (ja) マルチ・テナント・クラウドにおける顧客仮想計算機の保護
EP2862119B1 (en) Network based management of protected data sets
US20230129610A1 (en) Multiple physical request interfaces for security processors
US20210132975A1 (en) Automated host attestation for secure run-time environments
WO2023133862A1 (zh) 数据处理方法及系统
US8972745B2 (en) Secure data handling in a computer system
CN111859379B (zh) 保护数据模型的处理方法和装置
CN110990120B (zh) 虚拟机监视器分区间通信方法及装置、存储介质和终端
CN116126463A (zh) 内存访问方法、配置方法、计算机系统及相关器件
CN112416526B (zh) 一种直接存储访问方法、装置及相关设备
CN112363800A (zh) 一种网卡的内存访问方法、安全处理器、网卡及电子设备
US20240095338A1 (en) Isolated runtime environments for securing secrets used to access remote resources from compute instances
CN114329574B (zh) 基于域管平台的加密分区访问控制方法、系统及计算设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant