[发明专利]一种基于轻量虚拟机监控器的计算机安全输入系统与方法

说明书

技术领域

本发明属于计算机安全领域，具体涉及一种基于轻量虚拟机监控器的计算机安全输入系统与方法。

背景技术

随着计算机技术的飞速发展，计算机已经成为人们社交和进行经济活动的主要平台。然而自从计算机问世以来，计算机安全问题就一直伴随着计算机的发展而存在。在利益的驱使下，利用计算机输入的安全漏洞获取他人的私密信息是计算机安全面临的严峻挑战。造成这种情况的一个重要原因是，传统的计算机安全输入的方法与系统依赖于操作系统作为可信基，对输入信息的处理在操作系统的监控下完成，而操作系统的代码庞大，漏洞多，输入输出系统的安全性得不到保证。

CN101075188A公开了基于虚拟机的安全输入方法，在该方法中，当应用程序需要安全的输入时，直接调用虚拟机提供的安全输入接口，并把自身的输入缓冲区的地址和长度作为参数传入，虚拟机监视器把收到的键盘输入信息转换为键值后直接放入应用程序的输入缓冲区，避免了其它应用通过各种过滤驱动和键盘钩子获得用户的输入，提高了用户输入的安全性。

CN101136045A公开一种虚拟机系统，包括硬件设备、客户操作系统、服务操作系统以及虚拟机监视器，其特征在于，服务操作系统包括：键盘驱动模块，用于在接收到键盘中断后采集原始的键盘输入；以及输入加密模块，用于根据键盘驱动模块采集的原始的键盘输入，获得对应的加密后的键盘输入；客户操作系统包括：键盘驱动模块，用于获取输入加密模块加密后的键盘输入；以及解密模块，用于对键盘驱动模块获取的加密后的键盘输入进行解密，获得原始的键盘输入。

CN102195940A公开种基于虚拟机技术安全输入和提交数据的方法和系统。该系统由虚拟机监视器（ＶＭＭ）、用户输入管理程序、用户操作系统、用户操作系统中的客户端软件、服务端组成，实现了安全输入和提交数据；虚拟机监视器（ＶＭＭ）负责控制用户操作系统对物理硬件的访问，并使其无法访问特定硬件资源，只允许所述用户输入管理程序使用所述的特定硬件资源；用户输入管理程序负责为用户操作系统中的客户端软件提供用户数据输入服务、用户数据加密服务等服务；用户操作系统中的客户端软件负责与为用户输入管理程序提供上述功能的接口，并将经过加密的用户数据提交至服务端；服务端负责直接使用上述加密的用户数据或对其进行解密后使用。

CN102103671A公开了用于执行安全环境起始指令的系统和方法，描述了在微处理器系统内启动安全操作的方法和装置。在一个实施方案中，一个启动逻辑处理器通过停止其它逻辑处理器的执行，然后把起始和安全虚拟机监控软件载入存储器，来启动该过程。启动处理器然后把起始软件载入安全存储器进行验证和执行。起始软件然后在安全系统操作之前验证和记录安全虚拟机监控软件。

CN101436966 A公开一种虚拟机环境下的网络监控与分析系统，其特征在于：它包括位于主机操作系统内的网络数据多路复用模块和轻量级虚拟机管理器模块，位于主机操作系统之上的虚拟机控制模块和服务虚拟机模块，以及位于主机操作系统和服务虚拟机内的I/O访问路径优化模块。

US2006294518 A1披露了具有轻量级虚拟机管理器的虚拟机主机(Virtual machine(VM)host has lightweight virtual machine manager(LVMM)which is capable of exposing devices to primary VM and identifies primary VM as VM that utilizes more resources on VM host than other VMs on VM host)。

计算机虚拟化技术的发展为解决计算机输入的安全问题提供了新的途径，虚拟机架构隔离了软件与硬件、应用软件与底层系统之间的直接依赖关系。相比于操作系统，虚拟机监控器代码量小、漏洞少。虚拟机监控器能提供比操作系统更强的安全隔离，并具有能模拟特殊硬件设备等优点。同时，在虚拟化架构中，虚拟机监控器位于操作系统下层，拥有比Ring 0更高的特权级，可以监控操作系统的行为。

基于虚拟化技术的优点，本发明提出的一种基于轻量虚拟机监控器的计算机安全输入系统与方法，能更好的保护计算机输入的安全。

发明内容

针对现有计算机安全输入系统与方法中存在的诸多问题，本发明提供了一种基于轻量虚拟机监控器的计算机安全输入系统与方法，本方法通过动态地加载轻量虚拟机监控器透明地监控操作系统的行为来完成输入信息，不需要对计算机操作系统和应用程序做任何修改。