[发明专利]一种面向Xen的虚拟机内存共享的安全隔离方法在审
| 申请号: | 201410840353.2 | 申请日: | 2014-12-30 |
| 公开(公告)号: | CN104573553A | 公开(公告)日: | 2015-04-29 |
| 发明(设计)人: | 刘刚;王润高;张继业;王斌 | 申请(专利权)人: | 中国航天科工集团第二研究院七O六所;北京航天爱威电子技术有限公司 |
| 主分类号: | G06F21/62 | 分类号: | G06F21/62;G06F21/74 |
| 代理公司: | 北京思海天达知识产权代理有限公司 11203 | 代理人: | 张慧 |
| 地址: | 100854*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种面向Xen的虚拟机内存共享的安全隔离方法,属于虚拟化安全技术领域,具体涉及增强Xen虚拟机内存共享的安全性领域。本发明针对虚拟机开源软件Xen。通过对Xen现有内存共享机制进行分析,在不影响Xen其他功能正常使用的前提下,基于Xen安全框架XSM,对Xen现有的内存共享访问控制机制进行扩展并添加强制访问控制模块,在进行内存共享时,需要对内存共享权限进行检查,只有满足特定的访问控制规则的内存共享操作才进行授权,以此达到对虚拟机内存共享进行安全监控的目的。 | ||
| 搜索关键词: | 一种 面向 xen 虚拟机 内存 共享 安全 隔离 方法 | ||
【主权项】:
一种面向Xen的虚拟机内存共享的安全隔离方法,其特征在于包括如下步骤:步骤1:授权表操作的截获;步骤1.1:在虚拟机内存共享代码的关键路径上添加钩子函数,当发生内存表共享请求时,会调用Xen超级系统调用,然后调用授权表操作函数进行处理,获取对授权表操作的相关信息;步骤1.2:对Xen原有的内存映射的执行次序进行改进,使其在内存映射执行过程中添加强制访问控制过程,当虚拟域发起创建授权表操作请求项GR请求发送给虚拟机监视器时,需要进行审核,只有审核通过后虚拟机监视器才进行内存映射,同时当虚拟域访问结束时,只有审核通过后虚拟域才可以收回GR,当虚拟域发出授权表映射请求时,需要对虚拟域访问请求进行操作合法性验证,验证通过后方才允许执行;步骤2:扩展访问控制机制;对XEN安全模块框架中的访问控制机制进行扩展,新增四元组<DomainId,GroupId,IntegrityLevel,SensitivityLevel>,不在同一组内的域间禁止内存表共享授权,依据强制访问控制原理,对域进行主客体敏感性和完整性标记,并设立主体访问控制的两个关键规则不向上读和不向下写,当主体敏感度级别大于或等于客体敏感度级别时才可以进行读操作;当主体完整度级别小于或等于客体完整性级别时才可以进行写操作。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国航天科工集团第二研究院七O六所;北京航天爱威电子技术有限公司;,未经中国航天科工集团第二研究院七O六所;北京航天爱威电子技术有限公司;许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201410840353.2/,转载请声明来源钻瓜专利网。
- 上一篇:SATA硬盘写保护方法和系统
- 下一篇:一种文件处理的方法及移动终端
