[发明专利]一种Xen虚拟机可信域间网络连接的控制方法有效
| 申请号: | 201110173241.2 | 申请日: | 2011-06-25 |
| 公开(公告)号: | CN102223377A | 公开(公告)日: | 2011-10-19 |
| 发明(设计)人: | 刘发贵;张浩;周海燕 | 申请(专利权)人: | 华南理工大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 广州粤高专利商标代理有限公司 44102 | 代理人: | 何淑珍 |
| 地址: | 510640 广*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 xen 虚拟机 可信 网络 连接 控制 方法 | ||
1.一种Xen虚拟机可信域间网络连接的控制方法,其特征在于通过在后端宿主系统中设置信息度量模块,在前端虚拟域中设置可信信息采集模块,以及设置基于I/O端口的通信信道为后端宿主系统和前端虚拟域的域间网络连接进行信息传递,并确定后端宿主系统作为域间网络连接的可信方,前端虚拟域通过通信信道向后端宿主系统提出网络访问请求以及相应的可信信息,后端宿主系统通过验证该可信信息,做出是否允许前端虚拟域访问访问的决策。
2.根据权利要求1所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于所述信息度量模块包括策略执行模块、网络访问授权模块、TNC服务器模块和完整性信息验证模块,所述可信信息采集模块包括网络访问请求模块、TNC客户端模块以及完整性信息收集模块;
所述策略执行模块将前端虚拟域的网络访问请求转发给网络访问授权模块进行相应的身份认证工作,以控制前端虚拟域对网络的访问;
所述网络访问授权模块对前端虚拟域进行身份认证;
所述TNC服务器模块对前端虚拟域进行平台信息验证;
所述完整性信息验证模块对前端虚拟域的完整性信息进行验证;
所述网络访问请求模块向后端宿主系统发送网络访问请求以及发送相应的身份认证信息;
所述TNC客户端模块收集前端虚拟域的平台验证信息;
所述完整性信息收集模块收集前端虚拟域的完整性信息。
3.根据权利要求1或2所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于所述后端宿主系统使用Netfilter程序模块来处理最终的网络连接决策。
4.根据权利要求3所述的Xen虚拟机可信域间网络连接的控制方法,其特征在于具体操作如下:
设定第一前端虚拟域Dom1要访问第二前端虚拟域Dom2所在的虚拟网络,则首先Dom1向后端宿主系统提出网络访问请求,后端宿主系统的信息度量模块根据具体虚拟网络的配置要求对Dom1提出安全可信信息的请求,Dom1根据该安全可信信息请求收集具体的安全可信信息并反馈给信息度量模块,后端宿主系统对这些安全可信信息进行度量,如果通过度量,则由策略执行模块启动Netfilter程序允许Dom1访问Dom2所在网络,否则拒绝访问。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于华南理工大学,未经华南理工大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201110173241.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:基于低成本多路并行高速率的A/D采样电路板
- 下一篇:交流发电机可控整流桥
