【技术实现步骤摘要】
虚拟化安全管理方法、运行内核驱动的设备及存储介质
本专利技术涉及虚拟化
,具体涉及一种虚拟化安全管理方法、运行内核驱动的设备及存储介质。
技术介绍
云计算能够提供强大服务的原因之一要归功于虚拟化技术(Virtualization)的发展。虚拟化技术为云计算提供高资源利用率、低能耗、动态资源调度等等优点。在虚拟化技术中,每个虚拟机(virtualmachine,VM)作为一个进程运行在宿主机之上,宿主机统一对虚拟机进行资源的调度和管理。宿主机以及虚拟化软件的安全稳定运行是云计算能够提供强大服务的基础。所以必须要保证宿主机以及其上虚拟化软件的安全。宿主机操作系统直接运行在服务器硬件之上,作为一个操作系统,它就有着普通操作系统具有的安全问题,虚拟化软件作为一个软件同样具有普通软件的安全问题。但是作为云计算的基础,它承担了更大的责任,并面临更多的安全威胁。虚拟机之间看似隔离,实际上他是宿主机上不同的进程,所以虚拟机之间,虚拟机与宿主机之间都存在着一定的安全风险。最主要的安全风险即虚拟机逃逸。虚拟机逃逸是指利用虚拟机软件或者虚拟机中运行的软件的漏洞进行攻击,以达到攻击...
【技术保护点】
1.一种虚拟化安全管理方法,其特征在于,包括:内核驱动接收进程的访问请求;所述内核驱动获取所述进程的访问权限和/或请求类型;所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略;所述内核驱动根据所述访问策略,从宿主机处获取访问资源;所述内核驱动将所述访问资源发送给所述进程。
【技术特征摘要】
1.一种虚拟化安全管理方法,其特征在于,包括:内核驱动接收进程的访问请求;所述内核驱动获取所述进程的访问权限和/或请求类型;所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略;所述内核驱动根据所述访问策略,从宿主机处获取访问资源;所述内核驱动将所述访问资源发送给所述进程。2.根据权利要求1所述的方法,其特征在于,所述内核驱动根据所述访问策略,向所述进程分配访问资源,之前还包括:所述内核驱动劫持所述宿主机的操作系统的系统调用;所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:所述内核驱动根据所述访问策略,向所述进程分配通过劫持所述系统调用得到的访问资源。3.根据权利要求2所述的方法,其特征在于,所述内核驱动接收进程的访问请求,之前还包括:在内核驱动中为进程分配访问权限,生成权限列表,所述权限列表为访问进程与访问权限的对应关系列表;所述内核驱动获取所述进程的访问权限和/或请求类型,包括:所述内核驱动根据所述权限列表获取所述进程的访问权限;所述内核驱动根据所述访问权限和/或所述请求类型,向进程分配访问策略,包括:当所述内核驱动在所述权限列表中获取不到所述进程时,向所述进程分配的访问策略为拒绝访问;当所述内核驱动在所述权限列表中获取到所述进程只有部分权限时,所述内核驱动对所述进程中无权限的操作进行拦截,向所述进程分配的访问权限为部分访问;当所述内核驱动在所述权限列表中获取到所述进程为完全开放权限时,向所述进程分配的访问策略为完全访问;所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:当所述进程被分配访问策略为拒绝访问时,所述内核驱动不向所述进程分配访问资源;当所述进程被分配访问策略为部分访问时,所述内核驱动仅向所述进程中有权限的操作分配访问资源;当所述进程被分配访问策略为完全访问时,所述内核驱动向所述进程分配所有访问资源。4.根据权利要求2所述的方法,其特征在于,所述内核驱动接收进程的访问请求,之前还包括:内核驱动为所有进程和资源分配标签,其中,一个进程与其有权限访问的资源具有相同的标签;所述内核驱动获取所述进程的访问权限和/或请求类型,包括:所述内核驱动获取所述进程的第一标签;所述内核驱动根据所述访问权限和/或所述请求类型,向所述进程分配访问策略,包括:所述内核驱动获取标签为第二标签的资源;所述内核驱动比对所述第二标签与所述第一标签,向所述进程分配访问策略;其中,当所述第二标签与所述第一标签相同时,所述内核驱动向所述进程分配的访问策略为允许访问;当所述第二标签与所述第一标签不同时,所述内核驱动向所述进程分配的访问策略为拒绝访问;所述内核驱动根据所述访问策略,向所述进程分配访问资源,包括:当所述进程被分配访问策略为允许访问时,所述内核驱动仅向所述进程分配标签为第二标签的资源;当所述进程被分配访问策略为拒绝访问时,所述内核驱动不向...
【专利技术属性】
技术研发人员:吕琦,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。