一种基于特权分离的虚拟化隔离方法技术

本发明专利技术提出了一种基于特权分离的虚拟化隔离方法,该方法包括：针对任一虚拟机DomainU，在所述虚拟机DomainU中构建最上层虚拟域，最上层虚拟域包括：虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域；当所述虚拟机DomainU进行数据存储时，将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域，所述虚拟机DomainU管理域对所述存储数据进行加密处理，将加密后的所述存储数据传输给独立设备驱动域，独立设备驱动域将加密后的所述存储数据传输给外设的硬件存储设备进行存储。该方法克服现有技术中系统虚拟机中虚拟机Domain0权限过大，提高了虚拟机DomainU与硬件设备进行数据交换时数据安全交换保护能力。

A virtualization isolation method based on privilege separation

The present invention provides a method for the separation of privilege based on virtual isolation, the method includes: for any virtual machine DomainU, construct the top virtual domain at the virtual machine DomainU, the top virtual domain include: virtual machine, virtual machine management domain DomainU DomainU application domain and domain independent device driver; when the the virtual machine DomainU for data storage, the virtual machine of DomainU application in the domain of the storage data transmission to the DomainU virtual machine management domain, the DomainU virtual machine management domain of the stored data is encrypted, the encrypted data storage for independent device driver domain, the domain independent device driver the encrypted data transmission storage to storage hardware peripherals for storage. The method overcomes the excessive privileges of the virtual machine Domain0 in the system virtual machine in the prior art, and improves the data exchange protection capability of the virtual machine DomainU and the hardware equipment for data exchange.

【技术实现步骤摘要】
一种基于特权分离的虚拟化隔离方法
本专利技术涉及信息安全
，尤其涉及一种基于特权分离的虚拟化隔离方法。
技术介绍
现有的Xen类型的系统虚拟机包括：一个虚拟机Domain0和多个虚拟机DomainU。虚拟机Domain0提供系统虚拟机的管理服务，具有直接访问硬件设备和管理其他虚拟机DomainU的特权。虚拟机DomainU不能直接访问硬件资源。Xen类型的系统虚拟机中，设备驱动在虚拟机Domain0中，通过虚拟机Domain0中的设备驱动来完成硬件设备的访问。当虚拟机DomainU与硬件设备进行数据交换时，数据经过虚拟机Domain0中的设备驱动进行传输，但由于设备驱动中含有的漏洞比较多，数据可能被非法用户获取，不能保障数据安全交换。
技术实现思路
本专利技术要解决的技术问题是，提供一种基于特权分离的虚拟化隔离方法，克服现有技术中系统虚拟机中Domain0权限过大，虚拟机DomainU与硬件设备进行数据交换时，不能保障数据安全交换。本专利技术采用的技术方案是，所述基于特权分离的虚拟化隔离方法，一个Xen类型的系统虚拟机包括：一个虚拟机Domain0和多个虚拟机DomainU，所述虚本文档来自技高网...

【技术保护点】
一种基于特权分离的虚拟化隔离方法，一个Xen类型的系统虚拟机包括：一个虚拟机Domain0和多个虚拟机DomainU，所述虚拟机Domain0提供对所述系统虚拟机的管理服务；其特征在于，包括：步骤一，针对任一虚拟机DomainU，在所述虚拟机DomainU中构建最上层虚拟域，最上层虚拟域包括：虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域；步骤二，当所述虚拟机DomainU进行数据存储时，将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域，所述虚拟机DomainU管理域对所述存储数据进行加密处理，将加密后的所述存储数据传输给独立设备驱动域，独立设备...

【技术特征摘要】
1.一种基于特权分离的虚拟化隔离方法，一个Xen类型的系统虚拟机包括：一个虚拟机Domain0和多个虚拟机DomainU，所述虚拟机Domain0提供对所述系统虚拟机的管理服务；其特征在于，包括：步骤一，针对任一虚拟机DomainU，在所述虚拟机DomainU中构建最上层虚拟域，最上层虚拟域包括：虚拟机DomainU管理域、虚拟机DomainU应用域和独立设备驱动域；步骤二，当所述虚拟机DomainU进行数据存储时，将虚拟机DomainU应用域中的存储数据传输给虚拟机DomainU管理域，所述虚拟机DomainU管理域对所述存储数据进行加密处理，将加密后的所述存储数据传输给独立设备驱动域，独立设备驱动域将加密后的所述存储数据传输给外设的硬件存储设备进行存储。2.根据权利要求1所述的基于特权分离的虚拟化隔离方法，其特征在于，所述虚拟机DomainU管理域包括：虚拟机DomainU管理域内核和所述虚拟机DomainU应用域对应的安全服务。3.根据权利要求2所述的基于特权分离的虚拟化隔离方法，其特征在于，所述虚拟机DomainU管理域内核包括：所述系统虚拟机中的微型操作系统；所述虚拟机DomainU管理域的功能模块由系统虚拟机中的虚拟机Domain0通过Linux系统内核构建；通过对Linux系统内核进行裁剪及重新配置编译，对虚拟机DomainU管理域的功能模块进行替换或删减；...

【专利技术属性】
技术研发人员：王辰，雷璟，焦栋，徐心毅，敖乃翔，郭静，姜雅文，李志鹏，张纬栋，
申请(专利权)人：中国电子科技集团公司电子科学研究院，
类型：发明
国别省市：北京,11