-
公开(公告)号:CN112905300B
公开(公告)日:2025-02-25
申请号:CN202110239800.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种虚拟机的可信启动方法及系统,包括:宿主机启动过程中,通过服务器内置安全芯片对宿主机系统进行安全度量,确保宿主机系统的可信;在宿主机中用虚拟统一可扩展固件接口引导虚拟机启动,并依据虚拟统一可扩展固件接口读取的虚拟机镜像内的虚拟机核心文件,生成度量值;所述度量值经至虚拟机监视器,传递给服务器内置安全芯片;依据所述度量值及服务器内置安全芯片中度量基准值,判定是否启动所述虚拟机。本发明解决了虚拟机内核被篡改、启动过程安全性保证难等问题,结合内置安全芯片将虚拟机核心文件的度量基准值存入内置安全芯片中,确保度量基准值的存储安全性,使用虚拟UEFI对虚拟机核心文件做度量,精简了可信启动流程。
-
公开(公告)号:CN112434306B
公开(公告)日:2024-04-16
申请号:CN202011440052.2
申请日:2020-12-11
Applicant: 中国科学院信息工程研究所
IPC: G06F21/57
Abstract: 本申请实施例中提供了一种可信度量方法,装置,系统,电子设备及存储介质,该方法包括:获取切换指令,切换所述移动终端的运行环境为可信执行环境;获取所述丰富执行环境的内存状态的完整性状态值;对所述丰富执行环境的内存状态进行度量得到当前值;在所述完整性状态值与所述当前值不一致时,进行告警。切入可信执行环境,在所述可信执行环境中对丰富执行环境的内存状态进行度量,保证度量的有效性,内存的完整性和安全性,从而有效保障了移动终端的系统和数据安全。
-
公开(公告)号:CN111638936B
公开(公告)日:2023-03-10
申请号:CN202010299302.9
申请日:2020-04-16
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于内置安全体系结构的虚拟机静态度量方法和装置。该方法包括:在物理主机启动过程中,安全独立设备对宿主机系统和虚拟化软件进行安全度量,确保宿主机系统和虚拟化软件的可信;宿主机系统和虚拟化软件确定需要度量的虚拟机核心文件;解析虚拟机镜像文件,提取出需要度量的虚拟机核心文件内容,对其进行安全度量,生成度量值;如果判断虚拟机为初次启动,将度量值作为基准值存入到安全独立设备中,并启动虚拟机;如果判断为非初次启动,将度量值和安全独立设备中的基准值进行校验,校验失败则取消虚拟机的启动,校验成功则启动虚拟机。本发明能够实现虚拟机静态度量机制向虚拟机的延伸,增强虚拟机的安全性。
-
公开(公告)号:CN112882799A
公开(公告)日:2021-06-01
申请号:CN202110239790.9
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移系统,涉及虚拟化安全领域,该系统包括内置安全芯片、服务器操作系统、虚拟机管理器,该虚拟机管理器包括虚拟BIOS、虚拟度量设备和可信迁移模块,虚拟BIOS用于对虚拟机核心文件进行静态度量,虚拟度量设备用于对虚拟机内存进行动态度量,将静态度量和动态度量共同得到的虚拟机可信信息存放在源服务器的内置安全芯片中;可信迁移模块用于提取虚拟机的可信信息并借助内置安全芯片进行加密传输。本发你能够实现对虚拟机进行可信迁移,防止虚拟机迁移过程中遭遇的恶意攻击。
-
公开(公告)号:CN112860380A
公开(公告)日:2021-05-28
申请号:CN202110240840.5
申请日:2021-03-04
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开一种基于内置安全芯片的虚拟机可信迁移方法,涉及虚拟化安全领域,在源服务器的虚拟机管理器中设置虚拟度量设备模块,对虚拟机内存进行读取和度量,将度量得到的虚拟机可信信息存储在该源服务器的内置安全芯片中,再加密传输给目的服务器的内置安全芯片中;当刷新脏页至设定阈值以下时,使源服务器的虚拟机进入挂起状态,然后加密传输虚拟机的剩余内存信息;目的服务器根据虚拟度量设备的内存信息对虚拟度量设备内存进行恢复,并根据恢复情况执行对应操作。本发明可以防止虚拟机迁移过程中遭遇的恶意攻击。
-
Patent Agency Ranking
公开(公告)号:CN106844002B
公开(公告)日:2019-12-31
申请号:CN201611201662.0
申请日:2016-12-23
Applicant: 中国科学院信息工程研究所
IPC: G06F9/455
Abstract: 本发明涉及一种基于虚拟化技术的云平台客户机系统可用性提升方法。该方法包括:1)在虚拟化监控层对客户机的可疑进程的行为进行捕获;2)根据可疑进程与其它进程的行为交互形成进程间的依赖关系;3)在虚拟化监控层控制客户机的可疑进程及与其存在依赖关系的进程的行为,同时保证这些进程在客户机中继续运行,并且可疑进程的行为对客户机不产生影响;4)当误报被发现时,若为漏报则杀死可疑进程及与其存在依赖关系的进程;若为虚报则释放受控制的可疑进程及与其存在依赖关系的进程,使其继续正常运行。本发明能够在安全防护工具发生误报时确保客户机持续不断地运行,不用进行回滚、暂停、重启等操作,并维护客户机系统应有的状态。
-
公开(公告)号:CN107622199B
公开(公告)日:2019-12-17
申请号:CN201710859852.X
申请日:2017-09-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种云环境中Flush‑Reload缓存侧信道攻击防御方法和装置。该方法包括:1)选取要保护的安全敏感模块;2)防护进程和目标进程共用CPU缓存;3)防护进程和目标进程共享安全敏感模块的内存;4)当目标进程运行安全敏感模块时,防护进程以一定策略混淆共享的该安全敏感模块的内存,对缓存状态进行干扰,从而防御Flush‑Reload缓存侧信道攻击。本发明主要通过不断在Flush‑Reload攻击所利用的高速缓存信道引入噪声来干扰攻击实例,能够有效地保护用户隐私信息。
-
公开(公告)号:CN107239696A
公开(公告)日:2017-10-10
申请号:CN201710233167.6
申请日:2017-04-11
Applicant: 中国科学院信息工程研究所
CPC classification number: G06F21/53 , G06F21/577
Abstract: 本发明涉及一种针对虚拟化超级调用函数的漏洞热修复方法。该方法包括:1)根据Xen系统的e820表计算Xen物理内存起始地址;2)根据计算出的Xen物理内存起始地址及Xen内存分布,计算超级调用表的虚拟地址所映射到的物理地址;3)通过特权域Domain0获取补丁机器码,并将补丁写入内存,记录补丁函数的物理地址;4)根据待修复的超级调用处理函数对应的超级调用号,计算待修复的超级调用处理函数在超级调用表中对应的物理地址;5)通过特权域Domain0更新超级调用表,从而实现对超级调用处理函数的漏洞热修复。本发明能够准确地修复虚拟化平台漏洞,无需重启机器,保证了虚拟化平台上虚拟机的正常运行。
-
公开(公告)号:CN106845245A
公开(公告)日:2017-06-13
申请号:CN201611191813.9
申请日:2016-12-21
Applicant: 中国科学院信息工程研究所
Abstract: 本发明涉及一种基于Xen虚拟化平台的漏洞热修复方法。该方法通过特权域Dom0修复Xen平台漏洞,无需重启机器和暂停平台上虚拟机的运行,实现了基于Xen的虚拟化平台漏洞热修复功能;该方法通过特权域Dom0完成补丁的插入和应用,保证了补丁的可控性和安全性;该方法中新增的Xen超级调用操作,用来实现Xen与Dom0间通信,在补丁插入前和插入后分别设置标志位,不包含补丁的增删改查操作,避免了恶意攻击者利用虚拟机申请超级调用的方式破坏Xen内核函数。本发明能够准确地修复虚拟化平台漏洞,无需重启机器,保证了虚拟化平台上虚拟机的正常运行,且利用Dom0进行修复更加安全。
-
公开(公告)号:CN112883369B
公开(公告)日:2024-08-20
申请号:CN202110319502.0
申请日:2021-03-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种可信虚拟化系统,其特征在于,包括宿主机和运行于该宿主机上的虚拟机管理器;所述虚拟机管理器为宿主机上的每一虚拟机分配一虚拟BIOS、一虚拟度量设备和一虚拟机可信迁移模块;其中,所述虚拟BIOS,用于在虚拟机启动过程中对虚拟机镜像中设定的虚拟机核心文件执行度量;所述虚拟度量设备,用于在虚拟机运行过程中对虚拟机系统内存中的设定重要对象进行主动的动态度量,并将度量结果存储到内置安全芯片上;所述虚拟机可信迁移模块,用于在虚拟机迁移过程中将源虚拟机的虚拟度量设备度量信息传输至目标虚拟机的虚拟度量设备中,保证迁移前后的可信启动信息和可信度量信息的一致性以及迁移前后可信度量操作的连续性。
-
-
-
-
-
-
-
-
-
Search Results
33
records
(took 0.041 seconds)
