-
公开(公告)号:CN112883369B
公开(公告)日:2024-08-20
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN112883369A
公开(公告)日:2021-06-01
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
公开(公告)号:CN113127148B
公开(公告)日:2024-04-09
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
公开(公告)号:CN114978589A
公开(公告)日:2022-08-30
申请号:CN202210387630.3
申请日:2022-04-13
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06F9/455 , H04L67/10 , H04L67/133 , H04L67/63
Abstract: 本发明涉及一种轻量级云操作系统及其构建方法。该轻量级云操作系统包含服务域和应用域,其构建步骤包括:构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。本发明提出的轻量级云操作系统能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。
-
公开(公告)号:CN113051563B
公开(公告)日:2024-10-01
申请号:CN202110214223.8
申请日:2021-02-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种跨容器软件运行检测方法及系统,属于系统安全技术领域,根据目标容器构建一个同镜像源的攻击容器;选取将要监控的目标软件,获取目标软件的监控地址和版本号并存入配置文件中,将该目标软件及其配置文件复制到攻击容器中;测试目标容器和攻击容器所在服务器的性能,获取读取内存和读取缓存的时间,确定区分读取内存和读取缓存的阈值η;将目标软件的监控地址对应的内存行从所有级别的缓存中清除,等待一段时间后运行该目标软件,记录重新加载到内存行的时间T,若T>η,则判为从内存中读取,在上述等待时间内目标软件没有读取该内存行;若T
-
Patent Agency Ranking
公开(公告)号:CN114978589B
公开(公告)日:2023-08-08
申请号:CN202210387630.3
申请日:2022-04-13
Applicant: 中国科学院信息工程研究所
IPC: H04L9/40 , G06F9/455 , H04L67/10 , H04L67/133 , H04L67/63
Abstract: 本发明涉及一种轻量级云操作系统及其构建方法。该轻量级云操作系统包含服务域和应用域,其构建步骤包括:构建拥有精简内核的虚拟机作为应用程序的运行域,即应用域;将操作系统功能按照服务进行分类,得到多个服务域,每个服务域中只保留与所提供服务相关的内核部分、与其他域的通信模块和服务域运行所需的基本系统功能;在底层虚拟机管理程序之上建立一组服务域,每个租户创建其特定的应用域,所有应用域共享所述一组服务域,形成云操作系统。本发明提出的轻量级云操作系统能够较好地隔离不同用户的应用程序,同时保有较好的性能、可用性和可移植性。
-
公开(公告)号:CN112882799A
公开(公告)日:2021-06-01
申请号:CN202110239790.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移系统,涉及虚拟化安全领域,该系统包括内置安全芯片、服务器操作系统、虚拟机管理器,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN112860380A
公开(公告)日:2021-05-28
申请号:CN202110240840.5
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移方法,涉及虚拟化安全领域,在源服务器的虚拟机管理器中设置虚拟度量设备模块,对虚拟机内存进行读取和度量,将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中,再加密传输给目的服务器的内置安全芯片中;当刷新脏页至设定阈值以下时,使源服务器的虚拟机进入挂起状态,然后加密传输虚拟机的剩余内存信息;目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,并根据恢复情况执行对应操作。本发明可以防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN115543501A
公开(公告)日:2022-12-30
申请号:CN202211116106.9
申请日:2022-09-14
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提出一种可信桌面虚拟化系统,包括桌面虚拟化宿主机、桌面虚拟化管理器、虚拟桌面透传协议组件、虚拟桌面终端设备;桌面虚拟化宿主机包含内置安全设备卡,可确保主机内存中操作系统、桌面虚拟化功能安全可信;桌面虚拟化管理器通过虚拟可信启动组件、虚拟桌面度量设备组件、虚拟桌面可信迁移组件等确保安全可信;虚拟桌面透传协议组件提供从虚拟桌面到虚拟桌面终端设备的可信传输隧道,确保虚拟桌面实时数据在传输过程中的机密性和完整性;虚拟桌面终端设备包含内置安全硬件模块,对终端系统内存中操作系统或虚拟桌面客户端的相关重要对象进行主动动态度量,确保安全可信。本发明能够提升桌面虚拟化系统在生命周期各个环节中的安全可信。
-
公开(公告)号:CN113127148A
公开(公告)日:2021-07-16
申请号:CN202110256748.8
申请日:2021-03-09
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种虚拟化环境主动动态度量方法和系统。本发明在传统针对物理主机的主动动态度量机制上进行扩展和延伸,基于内置安全芯片可信根,在物理主机上增加对虚拟化层的安全度量,在虚拟化层添加虚拟度量设备,实现对虚拟机的安全度量,从而构建了一条由内置安全芯片至虚拟机的可信链,实现主动可信度量机制向虚拟化环境的延伸。本发明提出的基于内置安全芯片的虚拟化环境主动动态度量方法,将物理主机和虚拟机两个层面的主动度量设备相结合,能够及时监控系统的各个层面,确保物理主机和虚拟机操作作系统内核的完整性,完成主动动态度量向虚拟化层的延伸,保证虚拟化环境的可用性。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.021 seconds)
