[发明专利]一种虚拟机监控器信任域分割方法有效
| 申请号: | 201510054416.6 | 申请日: | 2015-02-03 |
| 公开(公告)号: | CN104598842B | 公开(公告)日: | 2018-05-01 |
| 发明(设计)人: | 龙恺;冷冰;王强;陈剑锋 | 申请(专利权)人: | 中国电子科技集团公司第三十研究所 |
| 主分类号: | G06F21/74 | 分类号: | G06F21/74;G06F9/455 |
| 代理公司: | 成都九鼎天元知识产权代理有限公司51214 | 代理人: | 邓世燕 |
| 地址: | 610000 *** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种虚拟机监控器信任域分割方法,按照事先功能的不同,将原有的控制虚拟机划分为九个服务虚拟机,每一个服务虚拟机都包含一个单一用途的控制逻辑,并将这个控制逻辑从原来的控制虚拟机中删除。每个服务虚拟机仅拥有完成本身功能的权限,限制每个组件以所需的最小权限接入Hypervisor,这使得风险明确化。本发明的积极效果是在发生攻击事件后能有效的进行漏洞定位,从而进行补救,解决了原有的攻破一个组件就能获取全系统的控制权的问题,提高虚拟机的安全性。 | ||
| 搜索关键词: | 一种 虚拟机 监控器 信任 分割 方法 | ||
【主权项】:
一种虚拟机监控器信任域分割方法,其特征在于:按照控制虚拟机的功能将其分解成九个服务虚拟机,每个服务虚拟机包含一个单一用途的控制逻辑并执行单一的功能,其中:1)一号服务虚拟机负责控制PCI总线和管理外部设备中断寻路;2)二号服务虚拟机用于初始化各服务虚拟机,与其他新建的服务虚拟机同时启动,并在启动后被销毁;3)三号服务虚拟机仅根据六号服务虚拟机为各客户虚拟机建立的信任列表工作;4)XenStore组件拆分为两个独立的服务虚拟机四号服务虚拟机和五号服务虚拟机,其中:四号服务虚拟机包含事务逻辑和连接管理代码,在每一次响应完成后进行重置;五号服务虚拟机包含实际的存储内容,保持长期活动状态;5)六号服务虚拟机能够在正在运行的系统上创建新的客户虚拟机,具有高级权限,负责为每个新创建的客户虚拟机建立内存访问白名单;6)七号服务虚拟机和八号服务虚拟机分别为各个客户虚拟机建立从硬件网络、存储设备到虚拟设备的映射,对外围设备具有直接访问权限,并依靠现有驱动支持Linux硬件接口;七号服务虚拟机和八号服务虚拟机分别直接对一个网络或存储控制器进行虚拟化,并提供相关驱动程序和后端虚拟化驱动;7)九号服务虚拟机对采用非开源操作系统的客户虚拟机进行仿真。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国电子科技集团公司第三十研究所,未经中国电子科技集团公司第三十研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201510054416.6/,转载请声明来源钻瓜专利网。
