公开(公告)号：CN109858288B

公开(公告)日：2021-04-13

申请号：CN201811600201.X

申请日：2018-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  刘文清 ,  张坤

IPC: G06F21/78 ,  G06F21/74 ,  G06F9/455

Abstract: 本发明实施例提供一种实现虚拟机安全隔离的方法与装置，其中所述方法包括：采用同层地址空间隔离机制，在虚拟化层创建一个安全隔离的执行环境；利用所述安全隔离的执行环境，采用内存动态标记与跟踪策略，将目标虚拟机的内存隔离于非可信的虚拟化执行坏境，并实现所述目标虚拟机与其余虚拟机之间的相互隔离；利用VMCS、扩展页表结构体隐藏和虚拟机退出重定向策略，在所述安全隔离的执行环境中，监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。本发明实施例采用同层地址空间隔离机制，在非可信虚拟化执行环境中对虚拟机进行高强度的内存隔离，能够有效保证系统性能开销，全面地对虚拟机内存进行隔离，提高系统的安全性。

公开(公告)号：CN109858288A

公开(公告)日：2019-06-07

申请号：CN201811600201.X

申请日：2018-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 涂碧波 ,  刘文清 ,  张坤

IPC: G06F21/78 ,  G06F21/74 ,  G06F9/455

Abstract: 本发明实施例提供一种实现虚拟机安全隔离的方法与装置，其中所述方法包括：采用同层地址空间隔离机制，在虚拟化层创建一个安全隔离的执行环境；利用所述安全隔离的执行环境，采用内存动态标记与跟踪策略，将目标虚拟机的内存隔离于非可信的虚拟化执行坏境，并实现所述目标虚拟机与其余虚拟机之间的相互隔离；利用VMCS、扩展页表结构体隐藏和虚拟机退出重定向策略，在所述安全隔离的执行环境中，监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。本发明实施例采用同层地址空间隔离机制，在非可信虚拟化执行环境中对虚拟机进行高强度的内存隔离，能够有效保证系统性能开销，全面地对虚拟机内存进行隔离，提高系统的安全性。