CN111966458A - 一种虚拟云桌面的安全管理方法 - Google Patents
一种虚拟云桌面的安全管理方法 Download PDFInfo
- Publication number
- CN111966458A CN111966458A CN202010796665.3A CN202010796665A CN111966458A CN 111966458 A CN111966458 A CN 111966458A CN 202010796665 A CN202010796665 A CN 202010796665A CN 111966458 A CN111966458 A CN 111966458A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- virtual
- security
- isolation
- security management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45562—Creating, deleting, cloning virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种虚拟云桌面的安全管理方法,包括以下安全管理方法中的一种或多种;虚拟机管理器安全管理:获取虚拟桌面管理服务器中预设种类的监控和审计日志信息,并根据监控和审计日志信息生成防篡改审计信息;虚拟机安全隔离:分别对虚拟机、存储设备和网络进行安全隔离;虚拟机残余数据保护:分别对虚拟机内存和虚拟机磁盘的残余数据进行清除;虚拟机安全通信管理:对虚拟化平台系统的各子系统之间的数据传输进行加密;虚拟机抗拒绝服务攻击:为每个虚拟机分配一个独立的虚拟交换机,每个虚拟机交换机绑定一个物理网络端口。本发明提高了虚拟云桌面的安全性能。
Description
技术领域
本发明涉及一种虚拟云桌面的安全管理方法。
背景技术
在计算机应用领域中,桌面PC是最普遍也是最重要的办公设备。在实际运转中,越来越暴露出其安全和管理上的弊端,主要表现为:1)安全边界难以防护;2)数据泄漏难以防范;3)安全漏洞层出不穷;4)总体拥有成本高;5)资源利用效率低。
发明内容
本发明的目的在于克服现有技术的不足,提供一种虚拟云桌面的安全管理方法。
本发明的目的是通过以下技术方案来实现的:一种虚拟云桌面的安全管理方法,包括虚拟机管理器安全管理、虚拟机安全隔离、虚拟机残余数据保护、虚拟机安全通信管理和虚拟机抗拒绝服务攻击中的一种或多种;
虚拟机管理器安全管理:获取虚拟桌面管理服务器中预设种类的监控和审计日志信息,并根据监控和审计日志信息生成防篡改审计信息;
虚拟机安全隔离:分别对虚拟机、存储设备和网络进行安全隔离;
虚拟机残余数据保护:分别对虚拟机内存和虚拟机磁盘的残余数据进行清除;
虚拟机安全通信管理:对虚拟化平台系统的各子系统之间的数据传输进行加密;
虚拟机抗拒绝服务攻击:为每个虚拟机分配一个独立的虚拟交换机,每个虚拟机交换机绑定一个物理网络端口。
优选的,所述虚拟机管理器安全管理包括:
读取强制访问控制的日志文件后抽取强制访问控制越权信息;
读取系统用户登录日志文件形成审计日志;
调用虚拟机监视器的接口获取运行监控数据;
调用虚拟机监视器的接口获取其版本和特征值信息,然后生成防篡改审计信息。
优选的,所述虚拟机安全隔离包括:
虚拟机运行隔离:对于在同一物理主机上创建的多个虚拟机,分别为每个虚拟机分配独立的物理资源;
虚拟机CPU隔离:虚拟化平台系统使虚拟机操作系统运行在CPU的Ring1上,其虚拟处理器指令的执行和上下文切换由虚拟化平台系统进行统一调度;
虚拟机内存隔离;虚拟化平台系统设置为只使用内存独占模式;
虚拟机网络隔离:对同一物理主机上不同虚拟机间进行网络隔离;
虚拟机存储隔离:虚拟机设置为只能访问分配给该虚拟机的存储空间,一个虚拟机磁盘同一时刻只能被一个虚拟机挂载。
优选的,所述虚拟机残余数据保护包括:
内存残余数据清除:在一个虚拟机停止或者迁移后,且其内存空间被释放或再分配给其它虚拟机前,对该虚拟机的内存空间进行复位清除;
磁盘残余数据清除:在一个虚拟机被删除后,在该虚拟机的磁盘存储空间被释放或再分配给其它虚拟机前,对该虚拟机的磁盘存储空间进行写零清除。
优选的,虚拟云桌面的安全管理方法还包括虚拟机安全迁移管理:
宿主服务器注册到虚拟化平台系统时,虚拟化平台系统根据该宿主服务器的信息调用认证体系由根证书生成该宿主服务器的设备签名数字证书,并将设备签名数字证书发送给该宿主服务器;
在虚拟机迁移操作时,产生迁移操作的源服务器发起连接请求,在源服务器与目标服务器间建立加密连接通道;
目标服务器在接收到源服务器发来的连接请求后,对源服务器的设备签名数字证书进行校验:若校验通过,则源服务器使用加密连接通道执行虚拟机迁移操作;若校验未通过,则目标服务器拒绝该连接请求,中断虚拟机迁移操作。
优选的,虚拟云桌面的安全管理方法还包括虚拟机防逃逸监控:利用强制访问控制和多类别安全进行虚拟机防逃逸和虚拟机逃逸监控。
本发明的有益效果是:
(1)本发明提供了虚拟机管理器安全管理、虚拟机安全隔离、虚拟机残余数据保护、虚拟机安全通信管理和虚拟机抗拒绝服务攻击等多种安全管理方法,提高了虚拟云桌面的安全性能;
(2)本发明中每个虚拟机都能获得相对独立的物理资源,某个虚拟机崩溃后不影响虚拟机管理器及其他虚拟机;
(3)本发明中虚拟化平台系统使虚拟机操作系统运行在CPU的Ring1上,其虚拟处理器指令的执行和上下文切换由虚拟化平台系统进行统一调度,从而有效的防止了虚拟机直接执行CPU特权指令,保证了不同虚拟机之间的虚拟处理器指令和处理性能隔离;
(4)本发明提供了对虚拟机内存、存储剩余信息保护功能,在新启动的虚拟机中无法检测到有用信息,有效的保障了用户的剩余信息安全;
(5)本发明中为每个虚拟机分配一个独立的虚拟交换机,每个虚拟机交换机绑定一个物理网络端口,这样就可以沿用现有物理网络环境中的硬件防火墙等安全防护机制对虚拟机网络数据进行监控,避免抗拒绝服务攻击的发生。
附图说明
图1为虚拟云桌面的安全管理方法的组成示意图;
图2为虚拟机管理器安全管理示意图;
图3为虚拟机安全隔离逻辑示意图;
图4为虚拟机网络隔离示意图;
图5为内存剩余信息消除过程示意图;
图6为磁盘剩余信息消除过程示意图;
图7为虚拟机抗拒绝服务攻击示意图;
图8为虚拟机迁移示意图。
具体实施方式
下面将结合实施例,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
参阅图1-8,本发明提供一种虚拟云桌面的安全管理方法:
如图1所示,一种虚拟云桌面的安全管理方法,包括虚拟机管理器安全管理、虚拟机安全隔离、虚拟机残余数据保护、虚拟机安全通信管理和虚拟机抗拒绝服务攻击中的一种或多种。
所述虚拟机管理器安全管理包括:获取虚拟桌面管理服务器中预设种类的监控和审计日志信息,并根据监控和审计日志信息生成防篡改审计信息。如图2所示,每个宿主服务器需要安装VSIP的Agent程序,Agent程序定时获取多种监控和审计日志信息发送给VSIP主控服务器,主控服务器将数据保存到数据库。
具体的,所述虚拟机管理器安全管理包括:
读取强制访问控制(MAC)的日志文件后抽取强制访问控制越权信息;
读取系统用户登录日志文件形成审计日志;
调用虚拟机监视器(Hypervisor)的接口获取运行监控数据(运行监控数据包括CPU信息、内存信息等);
调用虚拟机监视器的接口获取其版本和特征值信息,然后生成防篡改审计信息。
所述虚拟机安全隔离包括:分别对虚拟机、存储设备和网络进行安全隔离,包括虚拟机运行隔离、虚拟机CPU隔离、虚拟机内存隔离、虚拟机网络隔离和虚拟机存储隔离。虚拟机安全隔离逻辑示意图如图3所示。
虚拟机运行隔离:对于在同一物理主机上创建的多个虚拟机,分别为每个虚拟机分配独立的物理资源,使得某个虚拟机崩溃后不影响虚拟机管理器及其他虚拟机。
虚拟机CPU隔离:虚拟化平台系统使虚拟机操作系统运行在CPU的Ring1上,其虚拟处理器(vCPU)指令的执行和上下文切换由虚拟化平台系统进行统一调度,从而有效的防止了虚拟机直接执行CPU特权指令,保证了不同虚拟机之间的虚拟处理器指令和处理性能隔离。
在X86架构中,为了更好的支持虚拟化和保护虚拟化环境中指令的运行,CPU提供了指令的4个不同特权级别,术语称为Ring,优先级从高到低依次为Ring0(用于运行操作系统内核)、Ring1(用于操作系统服务)、Ring2(用于操作系统服务)、Ring3(用于应用程序)。
虚拟机内存隔离;虚拟化平台系统设置为只使用内存独占模式,实现不同虚拟机之间的内存隔离,当物理主机的内存空间都被分配完后,不能够再新建虚拟机。
虚拟机网络隔离:对同一物理主机上不同虚拟机间进行网络隔离,使得虚拟机不能收到目的地址不是自己的非广播报文,非广播报文包括ICMP、TCP、UDP等协议的非广播报文。虚拟机网络隔离示意图如图4所示。
虚拟机存储隔离:虚拟机设置为只能访问分配给该虚拟机的存储空间,一个虚拟机磁盘同一时刻只能被一个虚拟机挂载。
所述虚拟机残余数据保护包括:分别对虚拟机内存和虚拟机磁盘的残余数据进行清除。
内存残余数据清除:在一个虚拟机停止或者迁移后,且其内存空间被释放或再分配给其它虚拟机前,对该虚拟机的内存空间进行复位清除,如将内存清空或写入随机的无关信息。
现有技术中应用系统在使用完内存中信息后,不会对其使用过的内存进行清理,这些存储着信息的内存在程序退出后,仍然存储在内存中,如果攻击者对内存进行扫描就会得到存储在其中的信息。在云计算环境下内存的动态分配对安全是个极大威胁,许多高等级的攻击极有可能利用剩余信息通过极其复杂的技术来获得其它用户的敏感信息,针对内存剩余信息引起的安全威胁,在虚拟化平台系统中,用户关闭虚拟机或迁移虚拟机后,将对相应虚拟机内存资源进行回收,对释放的内存做写“0”处理,从而保障在新启动的虚拟机中无法检测到有用信息。内存剩余信息消除过程示意图如图5所示。
磁盘残余数据清除:在一个虚拟机被删除后,在该虚拟机的磁盘存储空间被释放或再分配给其它虚拟机前,对该虚拟机的磁盘存储空间进行写零清除。
如图6所示,删除虚拟机时,系统将首先确认虚拟磁盘对应的物理磁盘卷信息,并针对该虚拟机涉及到的每块磁盘先后进行按位随机数据写入与按位全“0”以及按位全“1”数据写入操作,通过随机数据与全“0”和全“1”数据的至少七轮强制操作,完成虚拟机磁盘的“清除”操作,实现对虚拟机磁盘剩余数据的保护。在完成磁盘剩余信息保护性“清除”销毁后,系统才删除虚拟机磁盘,并完成虚拟机对象数据删除。其他用户被分配使用该块存储空间时,将获得一块“清空”的安全磁盘卷,无法通过技术手段获取任何“剩余信息”,有效的保障了用户的剩余信息安全。
虚拟机安全通信管理:对虚拟化平台系统的各子系统之间的数据传输进行加密。
虚拟机抗拒绝服务攻击:为每个虚拟机分配一个独立的虚拟交换机,每个虚拟机交换机绑定一个物理网络端口,使得所有进入虚拟机和从虚拟机中发出的网络数据包都需要经过物理交换机进行数据交换,同一台宿主服务器上的虚拟机之间无需通过虚拟交换机进行内部数据交换,这样就可以沿用现有物理网络环境中的硬件防火墙等安全防护机制对虚拟机网络数据进行监控,避免抗拒绝服务攻击的发生,如图7所示。此外,虚拟化平台系统还可以限制指定虚拟机的上、下行网络流量,对流量异常的虚拟机也可以告警提醒管理员注意是否存在拒绝服务攻击。
在一些实施例中,虚拟云桌面的安全管理方法还包括虚拟机安全迁移管理。
虚拟机安全迁移管理包括:
宿主服务器注册到虚拟化平台系统时,虚拟化平台系统根据该宿主服务器的信息调用认证体系由根证书生成该宿主服务器的设备签名数字证书,并将设备签名数字证书(公私钥)发送给该宿主服务器;例如,虚拟化平台系统由现有PKI/CA认证体系为宿主服务器颁发设备签名数字证书,设备签名数字证书的模板中必须包括的项目有“设备的计算机名和设备的安全级别”;
在虚拟机迁移操作时,产生迁移操作的源服务器发起连接请求,在源服务器与目标服务器间建立加密连接通道;
如图8所示,目标服务器在接收到源服务器发来的连接请求后,对源服务器的设备签名数字证书进行校验:若校验通过,则源服务器使用加密连接通道执行虚拟机迁移操作;若校验未通过,则目标服务器拒绝该连接请求,中断虚拟机迁移操作。在整个迁移过程中,虚拟机迁移数据均由加密通道传输。
在一些实施例中,虚拟云桌面的安全管理方法还包括虚拟机防逃逸监控:利用强制访问控制(MAC)和多类别安全(MCS)进行虚拟机防逃逸和虚拟机逃逸监控。其中,强制访问控制对传统的访问控制列表(ACL)进行了安全增强,在强制访问控制模式下,会为每一个对象添加一个安全上下文标记,使得进程除了具备传统的访问控制列表权限外,还必须获得强制访问控制策略的授权,才能对系统资源进行访问;多类别安全是对强制访问控制的一个功能增强,多类别安全在强制访问控的安全上下文标记的基础上,扩展了敏感级别标记和一个数据分类标记,用于更细粒度的实现强制访问控策略。
虚拟化平台系统在分配虚拟机资源时,分别为虚拟机进程、虚拟机所拥有的内存空间、磁盘镜像、网络设备等资源分配一个随机的强制访问控制和多类别安全标记,在强制访问控制系统的约束下,虚拟机仅能访问自身虚拟化所使用到的内存空间、磁盘镜像、网络设备等资源和外设,无法跳出限制且对其他资源不具有任何权限,同时,其他虚拟机也被强制限制在虚拟机本身中,有效控制了虚拟机的逃逸。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (6)
1.一种虚拟云桌面的安全管理方法,其特征在于,包括虚拟机管理器安全管理、虚拟机安全隔离、虚拟机残余数据保护、虚拟机安全通信管理和虚拟机抗拒绝服务攻击中的一种或多种;
虚拟机管理器安全管理:获取虚拟桌面管理服务器中预设种类的监控和审计日志信息,并根据监控和审计日志信息生成防篡改审计信息;
虚拟机安全隔离:分别对虚拟机、存储设备和网络进行安全隔离;
虚拟机残余数据保护:分别对虚拟机内存和虚拟机磁盘的残余数据进行清除;
虚拟机安全通信管理:对虚拟化平台系统的各子系统之间的数据传输进行加密;
虚拟机抗拒绝服务攻击:为每个虚拟机分配一个独立的虚拟交换机,每个虚拟机交换机绑定一个物理网络端口。
2.根据权利要求1所述的一种虚拟云桌面的安全管理方法,其特征在于,所述虚拟机管理器安全管理包括:
读取强制访问控制的日志文件后抽取强制访问控制越权信息;
读取系统用户登录日志文件形成审计日志;
调用虚拟机监视器的接口获取运行监控数据;
调用虚拟机监视器的接口获取其版本和特征值信息,然后生成防篡改审计信息。
3.根据权利要求1所述的一种虚拟云桌面的安全管理方法,其特征在于,所述虚拟机安全隔离包括:
虚拟机运行隔离:对于在同一物理主机上创建的多个虚拟机,分别为每个虚拟机分配独立的物理资源;
虚拟机CPU隔离:虚拟化平台系统使虚拟机操作系统运行在CPU的Ring1上,其虚拟处理器指令的执行和上下文切换由虚拟化平台系统进行统一调度;
虚拟机内存隔离;虚拟化平台系统设置为只使用内存独占模式;
虚拟机网络隔离:对同一物理主机上不同虚拟机间进行网络隔离;
虚拟机存储隔离:虚拟机设置为只能访问分配给该虚拟机的存储空间,一个虚拟机磁盘同一时刻只能被一个虚拟机挂载。
4.根据权利要求1所述的一种虚拟云桌面的安全管理方法,其特征在于,所述虚拟机残余数据保护包括:
内存残余数据清除:在一个虚拟机停止或者迁移后,且其内存空间被释放或再分配给其它虚拟机前,对该虚拟机的内存空间进行复位清除;
磁盘残余数据清除:在一个虚拟机被删除后,在该虚拟机的磁盘存储空间被释放或再分配给其它虚拟机前,对该虚拟机的磁盘存储空间进行写零清除。
5.根据权利要求1所述的一种虚拟云桌面的安全管理方法,其特征在于,虚拟云桌面的安全管理方法还包括虚拟机安全迁移管理:
宿主服务器注册到虚拟化平台系统时,虚拟化平台系统根据该宿主服务器的信息调用认证体系由根证书生成该宿主服务器的设备签名数字证书,并将设备签名数字证书发送给该宿主服务器;
在虚拟机迁移操作时,产生迁移操作的源服务器发起连接请求,在源服务器与目标服务器间建立加密连接通道;
目标服务器在接收到源服务器发来的连接请求后,对源服务器的设备签名数字证书进行校验:若校验通过,则源服务器使用加密连接通道执行虚拟机迁移操作;若校验未通过,则目标服务器拒绝该连接请求,中断虚拟机迁移操作。
6.根据权利要求1所述的一种虚拟云桌面的安全管理方法,其特征在于,虚拟云桌面的安全管理方法还包括虚拟机防逃逸监控:利用强制访问控制和多类别安全进行虚拟机防逃逸和虚拟机逃逸监控。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010796665.3A CN111966458A (zh) | 2020-08-10 | 2020-08-10 | 一种虚拟云桌面的安全管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010796665.3A CN111966458A (zh) | 2020-08-10 | 2020-08-10 | 一种虚拟云桌面的安全管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111966458A true CN111966458A (zh) | 2020-11-20 |
Family
ID=73364210
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010796665.3A Pending CN111966458A (zh) | 2020-08-10 | 2020-08-10 | 一种虚拟云桌面的安全管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111966458A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117708826A (zh) * | 2023-11-15 | 2024-03-15 | 深圳市聚迅科技有限公司 | 一种云桌面数字化运维管理系统 |
| CN117909023A (zh) * | 2023-12-19 | 2024-04-19 | 曙光云计算集团股份有限公司 | 云平台部署方法、装置、计算机设备和存储介质 |
Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102726007A (zh) * | 2009-04-01 | 2012-10-10 | Nicira网络公司 | 用于实现和管理虚拟交换机的方法和装置 |
| CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
| CN105184164A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 一种数据处理方法 |
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
| CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
| CN105487916A (zh) * | 2015-11-24 | 2016-04-13 | 上海君是信息科技有限公司 | 一种桌面云环境下的虚拟机安全加固方法 |
| CN106610863A (zh) * | 2015-10-21 | 2017-05-03 | 华为技术有限公司 | 虚拟机可信迁移方法及装置 |
| CN107169347A (zh) * | 2017-05-08 | 2017-09-15 | 中国科学院信息工程研究所 | 一种增强arm平台虚拟机自省安全的方法及装置 |
| CN108388793A (zh) * | 2018-01-09 | 2018-08-10 | 南瑞集团有限公司 | 一种基于主动防御的虚拟机逃逸防护方法 |
| CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
| CN109472136A (zh) * | 2018-10-26 | 2019-03-15 | 山东钢铁集团日照有限公司 | 基于深度防护的虚拟化云桌面安全访问方法 |
| CN109818908A (zh) * | 2017-11-21 | 2019-05-28 | 国网江西省电力有限公司信息通信分公司 | 一种云和虚拟环境下的安全控制方法 |
| CN110138855A (zh) * | 2019-05-13 | 2019-08-16 | 武汉数字化设计与制造创新中心有限公司 | 研发资源云平台及资源共享方法 |
| CN111190694A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏平台的虚拟化安全加固方法及装置 |
| CN111399988A (zh) * | 2020-04-08 | 2020-07-10 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
-
2020
- 2020-08-10 CN CN202010796665.3A patent/CN111966458A/zh active Pending
Patent Citations (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102726007A (zh) * | 2009-04-01 | 2012-10-10 | Nicira网络公司 | 用于实现和管理虚拟交换机的方法和装置 |
| CN103281306A (zh) * | 2013-05-03 | 2013-09-04 | 四川省电力公司信息通信公司 | 云数据中心虚拟化基础架构平台 |
| CN105184164A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 一种数据处理方法 |
| CN106610863A (zh) * | 2015-10-21 | 2017-05-03 | 华为技术有限公司 | 虚拟机可信迁移方法及装置 |
| CN105224867A (zh) * | 2015-10-27 | 2016-01-06 | 成都卫士通信息产业股份有限公司 | 一种基于虚拟化环境下的主机安全加固方法 |
| CN105487916A (zh) * | 2015-11-24 | 2016-04-13 | 上海君是信息科技有限公司 | 一种桌面云环境下的虚拟机安全加固方法 |
| CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
| CN107169347A (zh) * | 2017-05-08 | 2017-09-15 | 中国科学院信息工程研究所 | 一种增强arm平台虚拟机自省安全的方法及装置 |
| CN109818908A (zh) * | 2017-11-21 | 2019-05-28 | 国网江西省电力有限公司信息通信分公司 | 一种云和虚拟环境下的安全控制方法 |
| CN108388793A (zh) * | 2018-01-09 | 2018-08-10 | 南瑞集团有限公司 | 一种基于主动防御的虚拟机逃逸防护方法 |
| CN108809935A (zh) * | 2018-04-20 | 2018-11-13 | 国网江西省电力有限公司信息通信分公司 | 一种云环境或虚拟环境下的安全访问控制方法和装置 |
| CN109472136A (zh) * | 2018-10-26 | 2019-03-15 | 山东钢铁集团日照有限公司 | 基于深度防护的虚拟化云桌面安全访问方法 |
| CN110138855A (zh) * | 2019-05-13 | 2019-08-16 | 武汉数字化设计与制造创新中心有限公司 | 研发资源云平台及资源共享方法 |
| CN111190694A (zh) * | 2019-12-27 | 2020-05-22 | 山东乾云启创信息科技股份有限公司 | 一种基于鲲鹏平台的虚拟化安全加固方法及装置 |
| CN111399988A (zh) * | 2020-04-08 | 2020-07-10 | 公安部第三研究所 | 一种云平台的内存安全检测系统及方法 |
Non-Patent Citations (4)
| Title |
|---|
| 周小芬;阳春福;沈宏杰;吴琪;: "硬件资源池身份识别关键技术", 电力信息与通信技术, no. 01, 15 January 2017 (2017-01-15), pages 56 - 59 * |
| 张剑等: "《信息安全技术》", vol. 2, 31 May 2015, 电子科技大学出版社, pages: 407 * |
| 邹娟平: "《基于物联网技术的现代物流管理研究》", vol. 1, 31 October 2019, 中国海洋大学出版社, pages: 39 * |
| 黄风华等: "云计算技术与应用", vol. 1, 31 March 2020, 东北林业大学出版社, pages: 54 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117708826A (zh) * | 2023-11-15 | 2024-03-15 | 深圳市聚迅科技有限公司 | 一种云桌面数字化运维管理系统 |
| CN117909023A (zh) * | 2023-12-19 | 2024-04-19 | 曙光云计算集团股份有限公司 | 云平台部署方法、装置、计算机设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10528726B1 (en) | Microvisor-based malware detection appliance architecture | |
| RU2714607C2 (ru) | Двукратная самодиагностика памяти для защиты множества сетевых конечных точек | |
| Pearce et al. | Virtualization: Issues, security threats, and solutions | |
| US9424430B2 (en) | Method and system for defending security application in a user's computer | |
| JP5736090B2 (ja) | 仮想ゲストのメモリ保護の方法、システムおよびコンピュータプログラム | |
| US8910238B2 (en) | Hypervisor-based enterprise endpoint protection | |
| US8220029B2 (en) | Method and system for enforcing trusted computing policies in a hypervisor security module architecture | |
| US8782351B2 (en) | Protecting memory of a virtual guest | |
| Li et al. | Mycloud: supporting user-configured privacy protection in cloud computing | |
| US20170250963A1 (en) | Secure Migration of Virtual Machines from Source to Target and Transfer of VM Descriptor and Keys Between Physical Servers | |
| US20160191550A1 (en) | Microvisor-based malware detection endpoint architecture | |
| EP3287932B1 (en) | Data protection method and device | |
| Almutairy et al. | A taxonomy of virtualization security issues in cloud computing environments | |
| Brooks et al. | Security vulnerability analysis in virtualized computing environments | |
| US20230289204A1 (en) | Zero Trust Endpoint Device | |
| Varadharajan et al. | Counteracting security attacks in virtual machines in the cloud using property based attestation | |
| Denz et al. | A survey on securing the virtual cloud | |
| US20230110049A1 (en) | Limiting the security impact of compromised endpoint computing devices in a distributed malware detection system | |
| Price | The paradox of security in virtual environments | |
| Sun et al. | SPLM: security protection of live virtual machine migration in cloud computing | |
| Chandramouli et al. | Security assurance requirements for linux application container deployments | |
| Kurmus et al. | A comparison of secure multi-tenancy architectures for filesystem storage clouds | |
| CN111966458A (zh) | 一种虚拟云桌面的安全管理方法 | |
| Upadhyay et al. | Secure live migration of VM's in Cloud Computing: A survey | |
| CN108241801A (zh) | 处理系统调用的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20201120 |