-
公开(公告)号:CN112905300A
公开(公告)日:2021-06-04
申请号:CN202110239800.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种虚拟机的可信启动方法及系统,包括:宿主机启动过程中,通过服务器内置安全芯片对宿主机系统进行安全度量,确保宿主机系统的可信;在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动,并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件,生成度量值;所述度量值经至虚拟机监视器,传递给服务器内置安全芯片;依据所述度量值及服务器内置安全芯片中度量基准值,判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题,结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中,确保度量基准值的存储安全性,使用虚拟UEFI对虚拟机核心文件做度量,精简了可信启动流程。
-
公开(公告)号:CN113127148B
公开(公告)日:2024-04-09
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN112291066A
公开(公告)日:2021-01-29
申请号:CN202011181333.0
申请日:2020-10-29
Applicant: 中国科学院信息工程研究所
IPC: H04L9/32 , H04L29/06 , H04W12/069
Abstract: 本申请实施例中提供了一种数据发送方法、接收方法、终端设备及电子设备,在发送数据时,首先封装生成IP数据包,然后基于预共享密钥以及所述IP数据包中的业务数据段运算生成第一认证码,以使接收到所述IP数据包的接收端基于所述第一认证码对所述IP数据包进行认证;再将所述第一认证码插入所述IP数据包,生成并发送IP报文;从而在预设群体用户范围内,通过设置相同的预共享密钥,实现信息安全认证,因此,本申请实施例技术方案具有提高信息传播安全性的技术效果。
-
公开(公告)号:CN106845245B
公开(公告)日:2019-11-26
申请号:CN201611191813.9
申请日:2016-12-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于Xen虚拟化平台的漏洞热修复方法。该方法通过特权域Dom0修复Xen平台漏洞,无需重启机器和暂停平台上虚拟机的运行,实现了基于Xen的虚拟化平台漏洞热修复功能;该方法通过特权域Dom0完成补丁的插入和应用,保证了补丁的可控性和安全性;该方法中新增的Xen超级调用操作,用来实现Xen与Dom0间通信,在补丁插入前和插入后分别设置标志位,不包含补丁的增删改查操作,避免了恶意攻击者利用虚拟机申请超级调用的方式破坏Xen内核函数。本发明能够准确地修复虚拟化平台漏洞,无需重启机器,保证了虚拟化平台上虚拟机的正常运行,且利用Dom0进行修复更加安全。
-
公开(公告)号:CN106850732B
公开(公告)日:2019-08-23
申请号:CN201611078449.5
申请日:2016-11-29
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种面向PaaS云环境的高同驻概率实例部署方法。该方法包括:1)在PaaS云上创建或选定至少一个目标实例;2)在目标实例创建之后的一定的时间间隔(较短的时间间隔)内,快速启动和目标实例相同应用类型的实例(称作检测实例);3)在检测实例启动之后进行同驻检测,找出和目标实例同驻的检测实例。本发明能有效提高检测实例和目标实例达到同驻的概率,缩短达到同驻的时间,节约成本。
-
Patent Agency Ranking
公开(公告)号:CN106844002A
公开(公告)日:2017-06-13
申请号:CN201611201662.0
申请日:2016-12-23
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于虚拟化技术的云平台客户机系统可用性提升方法。该方法包括:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据可疑进程与其它进程的行为交互形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报则杀死可疑进程及与其存在依赖关系的进程;若为虚报则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。本发明能够在安全防护工具发生误报时确保客户机持续不断地运行,不用进行回滚、暂停、重启等操作,并维护客户机系统应有的状态。
-
公开(公告)号:CN112883369B
公开(公告)日:2024-08-20
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN112134777B
公开(公告)日:2022-02-01
申请号:CN202010942922.X
申请日:2020-09-09
Applicant: 中国科学院信息工程研究所
IPC: H04L12/46
Abstract: 本申请实施例中提供了一种可信IPSec模组与VPN隧道构建方法。采用本申请中的方案,将终端设备中的IPSec模组设置为包括运行于REE驱动环境的REE功能组,及运行于TEE驱动环境的TEE功能组;所述REE功能组包括IPSec协议封装解析模组及TCP/IP协议栈,所述TEE功能组包括IPSec核心模块;同时还设置有分别与所述IPSec协议封装解析模组、所述IPSec核心模块连接的存储模块。在构建VPN隧道时,利用TEE驱动环境的硬件隔离、系统隔离等功能,将关键数据和处理过程置于TEE驱动环境中处理;同时,将通用的IPSec协议封装解析处理过程,以及对TCP/IP协议栈的数据调取处理过程置于REE驱动环境中处理,实现一方面减轻TEE系统负载,另一方面确保关键数据信息的安全稳定,保障通信安全及提高通信效率的技术效果。
-
公开(公告)号:CN112883369A
公开(公告)日:2021-06-01
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN111949362A
公开(公告)日:2020-11-17
申请号:CN201910398055.5
申请日:2019-05-14
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明提出一种基于虚拟化技术的主机信息采集方法,包括以下步骤:在int80/sysenter指令执行结束后与下一条指令执行之前设置捕获点,捕获客户机中发起行为的进程相关信息;对捕获的发起行为的进程相关信息进行语义重构,将底层信息翻译为操作系统级的语义信息;当获取可疑进程的ID或出现某一进程与受控进程存在依赖关系时,对该进程进行备份处理;根据捕获到的行为类型形成进程间的依赖关系,并对进程行为进行相应控制。本发明方法设置监控点位于虚拟机监控器中,无需在用户虚拟机中部署监控代理,同时,虚拟机内部的操作无法更改监控层代码,保证了透明性与安全性。
-
-
-
-
-
-
-
-
-
Search Results
30
records
(took 0.034 seconds)
