[发明专利]一种虚拟机内存隔离方法的可配置研究

说明书

技术领域

本发明涉及一种计算机信息技术领域，特别涉及到一种虚拟机内存隔离方法的可配置研究。

背景技术

随着信息技术的不断发展，网络技术被人们所采用，现有的内存配置不能对信息进行安全隔离，特别是普通域内存，内存是一个主机的核心部件，它的运行直接关系到整个电脑系统的操作，内存的安全性也全部运用在虚拟机的安全性能上，现有的网络科学技术中，总是有很多不法分子窃取主机内容的信息，导致人们的利益收到损害，虚拟机内存隔离方法对内存虚拟机有着至关重要的意义。

发明内容

本发明的目的是提供一种可配置的虚拟机内存隔离方法，其主要步骤如下：

1、一种虚拟机内存隔离方法的可配置研究，主要根据虚拟化软件安全模块Flask安全框架已有的Type Enforcement模型，将子机标记为特殊的安全标签，结合当前的FLASK安全策略中钩子函数实现扩展Flask关于特殊安全标签的策略，保证DomU的正常创建和运行。

2、一种虚拟机内存隔离方法的可配置研究，主要根据重新生成Flask策略文件，当在开启Xen Hypervisor时，文件会被加载质虚拟化软件内核，虚拟化软件的安全模块会对Xen平台上的虚拟主机进行控制、授权表、内存控制的相关操作进行安全性检测的，当符合要求的才能被执行操作。

3、一种虚拟机内存隔离方法的可配置研究，主要根据在通过 onclick写在html里面的事件中利用Libxc库通过特权驱动privcmd调用Hypercall，尝试读取DomU的运行内存信息。在假设Xen Hypervisor为可信的前提下，Hypervisor之外的任何域无权访问和获取其他域系统内存私有空间信息。

4、一种虚拟机内存隔离方法的可配置研究，主要针对DomU内存信息读取操作，从而达到DomU和Dom0内存安全隔离的目的。

5、根据权利要求1所述的可配置的虚拟机内存隔离方法，其特征在于：Flask安全框架由策略强制服务器和安全服务器组成。

6、根据权利要求1、2所述的可配置的虚拟机内存隔离方法，其特征在于：Flask安全框架中应用TE（ 类型加强）模型，在Security Context中用Type安全属性来统一标识主体和客体，用RABC模型来给User和Domain直接提供一个额外的抽象层。

本发明的有益效果为：本发明设计合理，此方法一方面保证普通域内存信息 的可靠性和秘密性；另一方面，增强普通 域内存信息管理的可维护性；同时该方法对Xen平台正常内存访问活动性能的影响较小。