| 发明名称 | 一种虚拟机监控器信任域分割方法 | ||
| 摘要 | 本发明公开了一种虚拟机监控器信任域分割方法,按照事先功能的不同,将原有的控制虚拟机划分为九个服务虚拟机,每一个服务虚拟机都包含一个单一用途的控制逻辑,并将这个控制逻辑从原来的控制虚拟机中删除。每个服务虚拟机仅拥有完成本身功能的权限,限制每个组件以所需的最小权限接入Hypervisor,这使得风险明确化。本发明的积极效果是:在发生攻击事件后能有效的进行漏洞定位,从而进行补救,解决了原有的攻破一个组件就能获取全系统的控制权的问题,提高虚拟机的安全性。 | ||
| 申请公布号 | CN104598842A | 申请公布日期 | 2015.05.06 |
| 申请号 | CN201510054416.6 | 申请日期 | 2015.02.03 |
| 申请人 | 中国电子科技集团公司第三十研究所 | 发明人 | 龙恺;冷冰;王强;陈剑锋 |
| 分类号 | G06F21/74(2013.01)I;G06F9/455(2006.01)I | 主分类号 | G06F21/74(2013.01)I |
| 代理机构 | 成都九鼎天元知识产权代理有限公司 51214 | 代理人 | 邓世燕 |
| 主权项 | 一种虚拟机监控器信任域分割方法,其特征在于:按照控制虚拟机的功能将其分解成九个服务虚拟机,每个服务虚拟机包含一个单一用途的控制逻辑并执行单一的功能,其中:1)一号服务虚拟机负责控制PCI总线和管理外部设备中断寻路;2)二号服务虚拟机用于初始化各服务虚拟机,与其他新建的服务虚拟机同时启动,并在启动后被销毁;3)三号服务虚拟机仅根据六号服务虚拟机为各虚拟机建立的信任列表工作;4)XenStore组件拆分为两个独立的服务虚拟机四号服务虚拟机和五号服务虚拟机,其中:四号服务虚拟机包含事务逻辑和连接管理代码,在每一次响应完成后进行重置;五号服务虚拟机包含实际的存储内容,保持长期活动状态;5)六号服务虚拟机能够在正在运行的系统上创建新的虚拟机,具有高级权限,负责为每个新创建的虚拟机建立内存访问白名单; 6)七号服务虚拟机和八号服务虚拟机分别为各个虚拟机建立从硬件网络、存储设备到虚拟设备的映射,对外围设备具有直接访问权限,并依靠现有驱动支持Linux硬件接口;七号服务虚拟机和八号服务虚拟机分别直接对一个网络或存储控制器进行虚拟化,并提供相关驱动程序和后端虚拟化驱动; 7)九号服务虚拟机对采用非开源操作系统的客户虚拟机进行仿真。 | ||
| 地址 | 610000 四川省成都市高新区创业路6号 | ||