CN114978589B - 一种轻量级云操作系统及其构建方法 - Google Patents

一种轻量级云操作系统及其构建方法 Download PDF

Info

Publication number
CN114978589B
CN114978589B CN202210387630.3A CN202210387630A CN114978589B CN 114978589 B CN114978589 B CN 114978589B CN 202210387630 A CN202210387630 A CN 202210387630A CN 114978589 B CN114978589 B CN 114978589B
Authority
CN
China
Prior art keywords
service
domain
application
domains
operating system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210387630.3A
Other languages
English (en)
Other versions
CN114978589A (zh
Inventor
贾晓启
凌雨卿
张伟娟
白璐
台建玮
周启航
陈家赟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN202210387630.3A priority Critical patent/CN114978589B/zh
Publication of CN114978589A publication Critical patent/CN114978589A/zh
Application granted granted Critical
Publication of CN114978589B publication Critical patent/CN114978589B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种轻量级云操作系统及其构建方法。该轻量级云操作系统包含服务域和应用域,其构建步骤包括:构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。本发明提出的轻量级云操作系统能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。

Description

一种轻量级云操作系统及其构建方法
技术领域
本发明属于系统安全技术领域,涉及一种操作系统内核安全隔离的方法,特别涉及基于轻量级虚拟化的操作系统内核分解方法。
背景技术
近年来,基于容器的PaaS(Platform as a Service,平台即服务)技术得到开发,并迅速部署在各个云数据中心。容器(如Docker)是轻量级的虚拟化技术,可以用来提供应用程序的开发、运维环境。与虚拟机(VM)不同,虚拟机依靠hypervisor和虚拟机管理层(VMM)来模拟物理设备,而容器则利用内核提供的功能(如cgroup,namespace等)实现容器间隔离。容器易于部署、便于移植的特性,使其成为了PaaS的重要组成部分。
尽管容器的优点很多,但它的安全性显然不如VM。首先,容器的隔离性较弱,如果某个容器中的应用程序被劫持,将给其他容器或者PaaS宿主机操作系统内核带来威胁。例如,攻击者在Docker容器中可以获取整个系统的信息(如模块、内存使用情况等),这些信息可以进一步用来实施危害性更大的攻击。其次,如果PaaS云宿主机内核模块被破坏,则云平台上所有的容器都会受到威胁,甚至导致整个云平台的崩溃。
增强基于容器的PaaS云的安全性可以从以下两个方面考虑:1)隔离应用程序来减少对保密性和完整性的损害。目前的研究,多是利用操作系统的弱隔离,受到限制很多。VM可以提供强隔离,但开销很大。2)将操作系统内核单独隔离开,以限制攻击者对云平台基础架构的破坏。微内核和多服务操作系统通过将不必要的内核功能移出内核模块来分解单片操作系统,还有研究者将驱动服务或其他服务隔离到单独的域中,以提高安全性。但上述两种方案,都没有在基于容器的PaaS云上解决前述的安全性问题。因此,有必要提出一种安全的轻量级云操作系统,作为PaaS云的解决方案。
发明内容
针对PaaS云平台上由容器隔离性较弱带来的安全问题,本发明提供一种基于轻量级虚拟化内核分解方法的云操作系统。根据操作系统内核功能对操作系统进行分解,并将不同内核功能放在不同的域中隔离,租户的应用程序运行在各自特有的应用域中,形成隔离。
本发明采用的技术方案如下:
一种安全的轻量级云操作系统构建方法,该轻量级云操作系统包含服务域和应用域,其构建步骤包括:
构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;
将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;
在底层虚拟机管理程序(VMM)之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。
进一步地,将VM内核进行精简,只保留基本组件,包括内存管理、调度、进程管理、IPC(Inter-Process Communication,进程间通信)、与服务域的通信模块等,其他系统服务交由服务域处理,从而构成一个应用域。
进一步地,应用域的内核精简是通过拦截应用程序发出的功能请求,并将其分派给相应的服务域处理,这部分主要是通过对系统调用的拦截和分发实现的。这一过程对上层应用程序是透明的。向服务域转发的系统调用请求称为跨域系统调用,在处理跨域系统调用时,使用了一对一的服务模型。将应用域中发出跨域系统调用请求的进程(或线程组)称为请求进程,在服务域中处理这些请求的线程则称为服务线程,一对一模型即一个请求进程对应一个为它处理请求的服务线程。
进一步地,服务域接收应用域发过来的请求,并进行相关处理。服务域有服务线程管理模块,该模块负责为请求进程创建和维护服务线程,可以为传入的应用域请求找到合适的服务线程。服务线程完成应用域请求进程在该服务域的相关操作,并将结果返回给请求进程。
进一步地,前端为应用域中的通信模块,后端为服务域中的通信模块,应用域和服务域之间的通信通过共享内存来实现,每一个服务域与应用域之间共享两组页面:一组在前端和后端之间;另一组位于每一对请求进程和服务线程之间,其他请求进程或服务线程都无法访问。
本发明还提供一种采用上述方法构建的轻量级云操作系统,其包含上述应用域和服务域。
本发明的有益效果:
1.本发明有效的隔离不同虚拟机中的应用程序,在一定程度上抵御跨租户攻击(如,信息窃取或其他任意租户的控制流劫持)。
2.本发明可以保障在某个服务域发生故障或受到损害时,其他服务域和未与该服务域交互的应用域不受影响。
3.本发明在提供有效隔离的同时,运行时性能可以接近Docker容器。
4.本发明保留了实时迁移功能,用以实现云环境中的负载平衡,便于维护。在部署了本发明架构的物理机器之间,应用域可以自由迁移。
综上,本发明提出的基于轻量级虚拟化的操作系统内核分解方法,能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。
附图说明
图1是本发明的云操作系统架构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,可以理解的是,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例基于Linux内核和Xen虚拟机管理程序,构建轻量级云操作系统的步骤如下:
1)构建一个拥有精简内核的虚拟机作为应用程序的运行域,即应用域;内核中保留满足操作系统基本运行要求的系统调用函数,并对其他服务的系统调用函数进行包装,进行拦截和分发;
2)在应用域中加入负责通信的前端模块;
3)依据Linux系统提供的服务,划分了网络服务、存储服务、设备驱动等几个服务域。每个服务域运行在一个虚拟机环境中,保留了支持系统运行的基本部件和相应服务的系统调用函数;
4)在每个服务域中加入负责通信的后端模块;
5)以上服务域和应用域都运行在Xen虚拟环境中,整体构成云操作系统。
本实施例构建的轻量级云操作系统如图1所示,其中的部分实现细节在下面做进一步说明:
应用域的实现中,为了提高效率,只有在请求进程发出系统调用请求后,相应的服务线程才会被创建,并在请求进程退出后,杀死该服务线程。在任务结构体中,设立了一个标志位,用于标记服务线程创建情况,非零则表示已经创建了服务线程。
向服务域转发的系统调用请求称为跨域系统调用,在处理跨域系统调用时,使用了一对一的服务模型。将应用域中发出跨域系统调用请求的进程(或线程组)称为请求进程,在服务域中处理这些请求的线程则称为服务线程,一对一模型即一个请求进程对应一个为它处理请求的服务线程。
进一步说明,跨域系统调用分为同步和异步两种。同步情况下,请求进程发出系统调用时,会陷入内核态,系统调用派送到相应服务域,然后请求进程被阻塞,等待服务域的响应。异步情况下,请求进程将请求和相关数据都发送到服务域之后立即返回,所有系统调用请求将存储在共享页面上,并等待相应服务域顺序处理。
服务域中的服务线程管理模块负责所有服务线程的创建、销毁和唤醒。每个服务域维护一个全局链表,全局链表中每个节点是一个代表服务线程的数据结构。数据结构中包含以下数据:应用域的ID、请求进程的pid(进程标识符)、指向服务线程结构体的指针、指向与请求进程共享的内存的指针。以上信息可以辅助系统迅速为传入的系统调用请求找到合适的服务线程。线程的创建由内核函数完成。
前端为应用域中的通信模块,后端为服务域中的通信模块。每一对服务域与应用域之间共享两组页面,一组在前端和后端之间,遵循Xen传统的通信模式;另一组位于每一对请求进程和服务线程之间,其他请求进程或服务线程都无法访问。
进一步,前后端之间的通信设计如下:
本实施例使用Xen的环形I/O缓冲区进行同步系统调用的请求/响应的发送/接收;用单向环形队列进行异步系统调用的请求/响应的发送/接收。本实施例利用了Xen的事件通道和中断机制作为域间通信机制。
请求进程与服务线程之间的通信设计如下:
请求进程第一次向某个服务域发送请求时,创建其相应的服务线程。它首先请求几个内存页面,并授予服务域访问的权限。然后,服务线程映射共存内存页,记录内存的基地址。这些共享的页面分为两个部分:环形请求队列和数据缓冲区。请求队列是FIFO队列,由请求进程写入,服务线程读取。请求的格式与前后端之间的I/O环形队列中传输的请求相同,所有系统调用请求,不论是同步还是异步请求,都会放入队列中,等待服务线程处理。
以上公开的本发明的具体实施例,其目的在于帮助理解本发明的内容并据以实施,本领域的普通技术人员可以理解,在不脱离本发明的精神和范围内,各种替换、变化和修改都是可能的。本发明不应局限于本说明书的实施例所公开的内容,本发明的保护范围以权利要求书界定的范围为准。

Claims (4)

1.一种轻量级云操作系统构建方法,其特征在于,包括以下步骤:
构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;
将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;
在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统;
其中,应用域的内核精简是通过拦截应用程序发出的功能请求,并将其分派给相应的服务域处理来实现;向服务域转发的系统调用请求称为跨域系统调用,在处理跨域系统调用时使用一对一的服务模型,将应用域中发出跨域系统调用请求的进程称为请求进程,在服务域中处理这些请求的线程则称为服务线程,一个请求进程对应一个为它处理请求的服务线程;
其中,服务域接收应用域发过来的请求,通过服务域的服务线程管理模块,为请求进程创建和维护服务线程,服务线程完成应用域的请求进程在该服务域的相关操作,并将结果返回给请求进程;
其中,所述服务线程管理模块负责所有服务线程的创建、销毁和唤醒;每个服务域维护一个全局链表,全局链表中每个节点是一个代表服务线程的数据结构,数据结构中包含以下数据:应用域的ID、请求进程的pid、指向服务线程结构体的指针、指向与请求进程共享的内存的指针;
其中,在所述应用域中加入负责通信的前端模块,在每个所述服务域中加入负责通信的后端模块;所述应用域和所述服务域之间的通信通过共享内存来实现,每一个服务域与应用域之间共享两组页面:一组在前端模块和后端模块之间;另一组位于每一对请求进程和服务线程之间,其他请求进程或服务线程都无法访问。
2.根据权利要求1所述的轻量级云操作系统构建方法,其特征在于,所述构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域,包括:将VM内核进行精简,只保留基本组件,包括内存管理、调度、进程管理、IPC、与服务域的通信模块,其他系统服务交由服务域处理,从而构成一个应用域。
3.根据权利要求1所述的轻量级云操作系统构建方法,其特征在于,所述跨域系统调用分为同步和异步两种;同步情况下,请求进程发出系统调用时会陷入内核态,系统调用派送到相应服务域,然后请求进程被阻塞,等待服务域的响应;异步情况下,请求进程将请求和相关数据都发送到服务域之后立即返回,所有系统调用请求存储在共享页面上,并等待相应服务域顺序处理。
4.一种采用权利要求1~3中任一权利要求所述方法构建的轻量级云操作系统。
CN202210387630.3A 2022-04-13 2022-04-13 一种轻量级云操作系统及其构建方法 Active CN114978589B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210387630.3A CN114978589B (zh) 2022-04-13 2022-04-13 一种轻量级云操作系统及其构建方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210387630.3A CN114978589B (zh) 2022-04-13 2022-04-13 一种轻量级云操作系统及其构建方法

Publications (2)

Publication Number Publication Date
CN114978589A CN114978589A (zh) 2022-08-30
CN114978589B true CN114978589B (zh) 2023-08-08

Family

ID=82977135

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210387630.3A Active CN114978589B (zh) 2022-04-13 2022-04-13 一种轻量级云操作系统及其构建方法

Country Status (1)

Country Link
CN (1) CN114978589B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101876954A (zh) * 2009-12-23 2010-11-03 中国科学院计算技术研究所 一种虚拟机控制系统及其工作方法
CN102609638A (zh) * 2011-12-22 2012-07-25 中国航天科工集团第二研究院七〇六所 基于UEFI运行时服务的Xen虚拟机架构及其实现方法
CN102681899A (zh) * 2011-03-14 2012-09-19 金剑 云计算服务平台的虚拟计算资源动态管理系统
CN103118100A (zh) * 2013-01-25 2013-05-22 武汉大学 一种提高虚拟机应用的可用性的保障方法及系统
CN103139221A (zh) * 2013-03-07 2013-06-05 中国科学院软件研究所 一种可信虚拟平台及其构建方法、平台之间数据迁移方法
CN104915151A (zh) * 2015-06-02 2015-09-16 杭州电子科技大学 多虚拟机系统中一种主动共享的内存超量分配方法
CN106339257A (zh) * 2015-07-10 2017-01-18 中标软件有限公司 使客户机操作系统轻量化的方法及系统和虚拟化操作系统
CN110321698A (zh) * 2019-05-22 2019-10-11 北京瀚海思创科技有限公司 一种用于在云环境中保护业务安全的系统及方法
CN110704159A (zh) * 2019-09-25 2020-01-17 江苏医健大数据保护与开发有限公司 一种基于OpenStack的一体化云操作系统

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101876954A (zh) * 2009-12-23 2010-11-03 中国科学院计算技术研究所 一种虚拟机控制系统及其工作方法
CN102681899A (zh) * 2011-03-14 2012-09-19 金剑 云计算服务平台的虚拟计算资源动态管理系统
CN102609638A (zh) * 2011-12-22 2012-07-25 中国航天科工集团第二研究院七〇六所 基于UEFI运行时服务的Xen虚拟机架构及其实现方法
CN103118100A (zh) * 2013-01-25 2013-05-22 武汉大学 一种提高虚拟机应用的可用性的保障方法及系统
CN103139221A (zh) * 2013-03-07 2013-06-05 中国科学院软件研究所 一种可信虚拟平台及其构建方法、平台之间数据迁移方法
CN104915151A (zh) * 2015-06-02 2015-09-16 杭州电子科技大学 多虚拟机系统中一种主动共享的内存超量分配方法
CN106339257A (zh) * 2015-07-10 2017-01-18 中标软件有限公司 使客户机操作系统轻量化的方法及系统和虚拟化操作系统
CN110321698A (zh) * 2019-05-22 2019-10-11 北京瀚海思创科技有限公司 一种用于在云环境中保护业务安全的系统及方法
CN110704159A (zh) * 2019-09-25 2020-01-17 江苏医健大数据保护与开发有限公司 一种基于OpenStack的一体化云操作系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
一种面向多租户的Linux容器集群组网方法;朱瑜坚,马俊明,安博,曹东刚;《计算机科学》;20180915;第46-51页 *

Also Published As

Publication number Publication date
CN114978589A (zh) 2022-08-30

Similar Documents

Publication Publication Date Title
CN101859263B (zh) 一种支持在线迁移的虚拟机间快速通信方法
EP2831732B1 (en) System and method for supporting live migration of virtual machines in an infiniband network
CN100399273C (zh) 一种虚拟机系统及其硬件配置方法
US9397954B2 (en) System and method for supporting live migration of virtual machines in an infiniband network
JP5275407B2 (ja) 複数の仮想マシンで共有されるネットワークインターフェースのための方法
US9619279B2 (en) Operating systems sharing supervisor address space with same virtual to physical mapping for supervisor address space using same translation formula with different translation tree
CN101430674B (zh) 一种分布式虚拟机监控器内连通信方法
CN102609298B (zh) 基于硬件队列扩展的网卡虚拟化系统及其方法
CN107707622B (zh) 一种访问桌面云虚拟机的方法、装置及桌面云控制器
US20080189432A1 (en) Method and system for vm migration in an infiniband network
US20240054006A1 (en) Virtualization processing system, method and apparatus, and device
CN106844007A (zh) 一种基于空间复用的虚拟化方法与系统
CN102521015B (zh) 嵌入式平台下的设备虚拟化方法
US9268593B2 (en) Computer-readable recording medium, virtual machine control method and information processing apparatus
US20220156103A1 (en) Securing virtual machines in computer systems
CN101488113B (zh) 一种设备驱动域的实现方法、系统及装置
CN106339257A (zh) 使客户机操作系统轻量化的方法及系统和虚拟化操作系统
CN114978589B (zh) 一种轻量级云操作系统及其构建方法
CN114816665A (zh) 混合编排系统及超融合架构下虚拟机容器资源混合编排方法
CN114237813A (zh) 基于arm架构的微内核io虚拟化方法及系统
CN102622245A (zh) 一种sun4v架构下的虚拟机自动启动控制方法
CN112433824A (zh) 一种密码设备的虚拟化实现架构
Guo et al. A cooperative model virtual-machine monitor based on multi-core platform
CN115981795B (zh) 一种在安卓设备上通过容器实现系统隔离的方法
CN113626148B (zh) 一种基于混合虚拟化的终端虚拟机生成系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant