[发明专利]一种提升云计算操作系统安全性的方法在审
| 申请号: | 201510509372.1 | 申请日: | 2015-08-18 |
| 公开(公告)号: | CN105184158A | 公开(公告)日: | 2015-12-23 |
| 发明(设计)人: | 王智民 | 申请(专利权)人: | 北京汉柏科技有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;G06F21/53 |
| 代理公司: | 北京中政联科专利代理事务所(普通合伙) 11489 | 代理人: | 柴智敏 |
| 地址: | 100085 北京市海*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 提升 计算 操作系统 安全性 方法 | ||
2.根据权利要求1所述的方法,其特征在于,所述对该操作系统中预先设定必要的外部访问接口进行重新封装的步骤包括:
封装操作系统中设置和控制全局性参数的系统调用指令;
封装虚拟机中设置内存和创建虚拟处理器的虚机操作指令;
封装虚拟机中控制虚拟处理器中寄存器的读写、中断、事件管理和内存管理的虚拟CPU操作指令;
所述虚拟CPU操作指令包括控制寄存器的指令、控制中断和事件管理的指令和控制内存管理的指令。
3.根据权利要求2所述的方法,其特征在于,所述系统调用指令包括:
创建虚拟机;查询当前虚拟机的外部接口版本;获得索引列表;检查扩展支持情况;运行虚拟机和用户态空间所共享内存区域容量。
4.根据权利要求2所述的方法,其特征在于,所述虚机操作指令包括:
为虚拟机创建虚拟处理器;根据结构体信息,运行虚拟机;创建虚拟可编程中断控制器,并将随后创建的虚拟处理器都关联到此可编程中断控制器;对虚拟可编程中断控制器发送中断信号;读取可编程中断控制器的中断标志信息;写入可编程中断控制器的中断标志信息;返回脏内存页的位图。
5.根据权利要求2所述的方法,其特征在于,虚拟CPU操作指令中控制寄存器的指令包括:
获取通用寄存器信息;设置通用寄存器信息;获取特殊寄存器信息;设置特殊寄存器信息;获取MSR寄存器信息;设置MSR寄存器信息;获取浮点寄存器信息;设置浮点寄存器信息;获取虚拟处理器的xsave寄存器信息;设置虚拟处理器的xsave寄存器信息;获取虚拟处理器的xcr寄存器信息;设置虚拟处理器的xcr寄存器信息。
6.根据权利要求2所述的方法,其特征在于,虚拟CPU操作指令中控制中断和事件管理的指令包括:
在虚拟处理器上产生中断;设置某个虚拟处理器的中断信号屏蔽掩码;获取虚拟处理器中被挂起待延时处理的事件;设置虚拟处理器的事件。
7.根据权利要求2所述的方法,其特征在于,虚拟CPU操作指令中控制内存管理的指令包括:
将虚拟处理器的物理地址翻译成HPA;修改虚拟处理器的内存区域;初始化TSS内存区域;创建EPT页表。
8.根据权利要求1-7任一项所述的方法,其特征在于,在步骤S2之后,还包括步骤S3:对操作系统与外部程序的信息交互通道进行监控,若发现除了有效外部访问接口之外还有其他信息交互通道,则阻断该信息交互通道,并发出告警提示。
9.根据权利要求8所述的方法,其特征在于,所述对操作系统与外部程序的信息交互通道进行监控的步骤,包括:
对操作系统与外部程序的交互信息进行筛选和甄别,根据预设的信息交互情况将交互信息判定为正常通信、可疑通信和危险通信;
若判定结果为正常通信,则按照正常通信状态处理;
若判定结果为可疑通信,则发出可疑信息告警提示;
若判定结果为危险通信,则阻断该信息的信息交互通道,并发出危险信息告警提示。
10.根据权利要求8所述的方法,其特征在于,
所述操作系统包括宿主操作系统和客户操作系统;
所述对操作系统与外部程序的信息交互通道进行监控的步骤中,包括对宿主操作系统与外部程序的信息交互通道进行监控,以及对客户操作系统与外部程序的信息交互通道进行监控。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京汉柏科技有限公司,未经北京汉柏科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510509372.1/1.html,转载请声明来源钻瓜专利网。
