【技术实现步骤摘要】
基于Hypervisor的安全防护方法、系统及存储介质
[0001]本专利技术涉及Hypervisor虚拟化技术,特别涉及一种基于Hypervisor的安全防护方法、系统及存储介质。
技术介绍
[0002]Hypervisor叫做虚拟机监视器(Virtual Machine Monitor),是一种运行其他操作系统的操作系统。Hypervisor运行在物理硬件和操作系统之间的中间层操作系统,可允许多个操作系统和应用共享一套基础物理硬件,运行在Hypervisor之上的操作系统称之为客户机操作系统(Guest OS)。
[0003]现有的安全系统方案把硬件资源划分为两个世界,即安全世界(non
‑
secure world)和安全世界(secure world);其中,用户所使用的操作系统运行在非安全世界,而对非安全世界监控的系统运行在安全世界。虽然这些监控系统拥有高权限,可以动态地检查系统的内核完整性,也可以代替内核来管理非安全世界的内存。但是,由于安全系统和被非安全系统分处于不同的世界,world ...
【技术保护点】
【技术特征摘要】
1.一种基于Hypervisor的安全防护方法,其特点在于,包括:监测各个客户机在运行时是否有操作触发安全策略;若有操作触发所述安全策略后,则进入Hypervisor;其中,所述安全策略由Hypervisor进行配置;检测到有操作进入Hypervisor执行后,启动Hypervisor上构建的安全子系统,并对所述操作进行安全检查,以判断所述操作是否会对非安全系统构成威胁;若构成威胁,则拦截所述操作,并生成日志;否则,将所述操作中经过所述安全子系统处理的操作或非所述安全策略的操作通过Hypervisor传递给相应的客户机。2.如权利要求1所述的基于Hypervisor的安全防护方法,其特点在于,启动Hypervisor上构建的安全子系统后,包括:判断安全子系统中的安全应用是否为安全调用;若为安全调用,利用所述安全应用对所述操作进行安全检查,判断所述操作是否会对非安全系统构成威胁;若为非安全调用,则拦截所述操作,并生成日志。3.如权利要求2所述的基于Hypervisor的安全防护方法,其特点在于,若检测到有操作进入Hypervisor执行后,Hypervisor上构建的安全子系统未启动,则检查所述安全子系统代码的完整性;若代码完整,则重新启动,通知Hypervisor所述安全子系统的启动状态;否则,通知Hypervisor所述安全子系统的代码不完整或启动失败。4.如权利要求1所述的基于Hypervisor的安全防护方法,其特点在于,所述安全策略被配置包括:非安全系统对其寄存器,cache和内存相应操作的拦截策略;而且,所述安全策略被配置为非安全系统不可访问。5.如权利要求1~4任一项所述的基于Hypervisor的安全防护方法,其特点在于,所述安全子系统包括:操作系统微内核、安全执行环境以及安全应用。6.一种基于Hypervisor的安全防护系统,其特征在于,包括:构...
【专利技术属性】
技术研发人员:杨志飞,陈绪戈,邓华利,蔡远,
申请(专利权)人:中瓴智行成都科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。