-
公开(公告)号:CN118051926A
公开(公告)日:2024-05-17
申请号:CN202410132210.X
申请日:2024-01-30
Applicant: 中国科学院信息工程研究所
IPC: G06F21/60 , G06F9/50 , G06F9/455 , G06F1/3203
Abstract: 本发明提供一种基于软件定义的服务器基础设施管理方法和装置,属于服务器基础设施管理技术领域,方法包括:为物理基础设施和/或虚拟基础设施中构建预设类型的键值对数据结构;根据键值对数据结构获取物理基础设施的运行状态信息和/或虚拟基础设施的运行状态信息;根据物理基础设施的运行状态信息和/或虚拟基础设施的运行状态信息,确定物理基础设施的管理策略和/或虚拟基础设施的管理策略以完成管理。本发明通过软件定义的思想,将物理基础设施和/或虚拟基础设施抽象为键值对数据结构,根据键值对数据结构确定物理基础设施和/或虚拟基础设施抽象对应的管理策略,实现了对物理基础设施和/或虚拟基础设施的管理和重构。
-
公开(公告)号:CN112667998B
公开(公告)日:2024-03-01
申请号:CN202011442927.2
申请日:2020-12-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种容器镜像仓库的安全访问方法及系统,包括结合一用户当前的defaultDomain参数与officialRepoName参数,解析该用户发起的pull/push命令后的参数,查找目标镜像仓库,确定镜像名和标签;目标镜像仓库依据该用户的信息,确定用户的pull/push权限,进行镜像验签或签名。本发明取消匿名用户,任何docker用户需先登录目标仓库才可进行镜像访问,在系统中设置系统管理员、安全管理员和审计管理员三种管理员,满足了更高的安全需求。
-
公开(公告)号:CN109597675B
公开(公告)日:2020-12-22
申请号:CN201811250923.7
申请日:2018-10-25
Applicant: 中国科学院信息工程研究所
Abstract: 本发明实施例提供一种虚拟机恶意软件行为检测方法及系统,所述方法包括:基于目标虚拟机所在宿主机的虚拟机监视器与所述目标虚拟机进行交互,利用虚拟机自省方法获取所述目标虚拟机的内部状态信息;根据内存取证框架中的软件基础结构知识库对所述内部状态信息进行重构,获取所述内部状态信息的高级数据结构;根据所述高级数据结构,对所述目标虚拟机中的恶意软件行为进行检测。本发明实施例使得对恶意软件行为的检测更加精确、全面,可以对异常行为有针对性地处理,保证目标虚拟机的安全性,大大减少对虚拟机性能的影响,在无感知的前提下实现对恶意软件行为的检测。
-
公开(公告)号:CN109858288A
公开(公告)日:2019-06-07
申请号:CN201811600201.X
申请日:2018-12-26
Applicant: 中国科学院信息工程研究所
Abstract: 本发明实施例提供一种实现虚拟机安全隔离的方法与装置,其中所述方法包括:采用同层地址空间隔离机制,在虚拟化层创建一个安全隔离的执行环境;利用所述安全隔离的执行环境,采用内存动态标记与跟踪策略,将目标虚拟机的内存隔离于非可信的虚拟化执行坏境,并实现所述目标虚拟机与其余虚拟机之间的相互隔离;利用VMCS、扩展页表结构体隐藏和虚拟机退出重定向策略,在所述安全隔离的执行环境中,监控所述目标虚拟机的上下文切换和所述目标虚拟机的地址映射。本发明实施例采用同层地址空间隔离机制,在非可信虚拟化执行环境中对虚拟机进行高强度的内存隔离,能够有效保证系统性能开销,全面地对虚拟机内存进行隔离,提高系统的安全性。
-
公开(公告)号:CN104007993B
公开(公告)日:2017-05-10
申请号:CN201410258526.X
申请日:2014-06-11
Applicant: 中国科学院信息工程研究所
IPC: G06F9/445
Abstract: 一种Linux系统内存敏感数据的清除方法和装置;方法包括:当进程调用close系统调用关闭文件时,或当因进程退出而调用exit_files关闭未关闭的文件时,通过struct file定位到相应的struct address_space,如果判断所要关闭的文件对应的inode结构有脏页有则调用vfs_fsync函数只将该文件中的脏页回写到磁盘中;遍历所定位到的地址空间结构中的基数树,将基数树中的所有页面全部删除、清零后释放到空闲区;在每个进程中构造读写链表,记录对设备文件读或写数据时在设备缓存中的起始地址address和数据长度length;在read或write系统调用退出时,通过遍历所述读写链表,对每个节点将从address开始,到address加length为止的地址空间中的数据清零。
-
Patent Agency Ranking
公开(公告)号:CN104007993A
公开(公告)日:2014-08-27
申请号:CN201410258526.X
申请日:2014-06-11
Applicant: 中国科学院信息工程研究所
IPC: G06F9/445
Abstract: 一种Linux系统内存敏感数据的清除方法和装置;方法包括:当进程调用close系统调用关闭文件时,或当因进程退出而调用exit_files关闭未关闭的文件时,通过struct file定位到相应的struct address_space,如果判断所要关闭的文件对应的inode结构有脏页有则调用vfs_fsync函数只将该文件中的脏页回写到磁盘中;遍历所定位到的地址空间结构中的基数树,将基数树中的所有页面全部删除、清零后释放到空闲区;在每个进程中构造读写链表,记录对设备文件读或写数据时在设备缓存中的起始地址address和数据长度length;在read或write系统调用退出时,通过遍历所述读写链表,对每个节点将从address开始,到address加length为止的地址空间中的数据清零。
-
公开(公告)号:CN117892361A
公开(公告)日:2024-04-16
申请号:CN202311714896.5
申请日:2023-12-13
Applicant: 中国科学院信息工程研究所
Abstract: 本申请提供一种容器运行时安全控制方法及装置,涉及容器安全技术领域。所述方法包括:基于目标容器安全钩子与初始容器配置文件,确定目标容器配置文件;所述目标容器安全钩子包含一种或多种容器安全验证机制;所述初始容器配置文件包括运行容器时所需的配置信息;基于容器运行参数与所述目标容器配置文件,进行容器运行时安全控制。本申请提供的容器运行时安全控制方法及装置,可以实现一种通用的容器安全架构。
-
公开(公告)号:CN113315805A
公开(公告)日:2021-08-27
申请号:CN202110379713.3
申请日:2021-04-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种云基础设施可信设备的群组验证方法和系统,该方法包括:获取目标客户端的平台配置寄存器PCR信息和度量日志,目标客户端上设置有多台虚拟机;通过目标客户端在注册时的白名单验证所述设备启动阶段的PCR值是否正确,并通过所述IMA度量日志验证所述操作系统运行阶段的PCR值是否正确,并通过所述虚拟机度量日志验证所述虚拟机运行阶段的PCR值是否正确;如果所述设备启动阶段的PCR值、所述操作系统运行阶段的PCR值和所述虚拟机运行阶段的PCR值均正确,则判定所述目标客户端可信。本发明可以使用户安全使用云平台服务,保护用户隐私,大幅提升虚拟机验证的效率。
-
公开(公告)号:CN113157386A
公开(公告)日:2021-07-23
申请号:CN202110236121.6
申请日:2021-03-03
Applicant: 中国科学院信息工程研究所
Abstract: 本发明提供一种从物理机到虚拟机的信任链构建方法及系统,该方法包括:进行物理机和虚拟机监控器的可信度量处理;在云平台对虚拟机进行启动和关闭操作时,度量并保存所述虚拟机的状态信息;获取所述虚拟机的状态信息;如果启动所述虚拟机,则度量虚拟机镜像,与基准值进行比较;根据比较结果得到所述虚拟机的可信结果;如果关闭所述虚拟机,则更新虚拟机可信度量基准值。本发明可以保证云平台计算环境的安全可信。
-
公开(公告)号:CN112667998A
公开(公告)日:2021-04-16
申请号:CN202011442927.2
申请日:2020-12-08
Applicant: 中国科学院信息工程研究所
Abstract: 本发明公开了一种容器镜像仓库的安全访问方法及系统,包括结合一用户当前的defaultDomain参数与officialRepoName参数,解析该用户发起的pull/push命令后的参数,查找目标镜像仓库,确定镜像名和标签;目标镜像仓库依据该用户的信息,确定用户的pull/push权限,进行镜像验签或签名。本发明取消匿名用户,任何docker用户需先登录目标仓库才可进行镜像访问,在系统中设置系统管理员、安全管理员和审计管理员三种管理员,满足了更高的安全需求。
-
-
-
-
-
-
-
-
-
Search Results
32
records
(took 0.03 seconds)
