公开(公告)号：CN101452397B

公开(公告)日：2012-08-22

申请号：CN200810203451.X

申请日：2008-11-27

Applicant: 上海交通大学

Inventor： 翁楚良 ,  王观海 ,  骆源 ,  李明禄

IPC: G06F9/455

Abstract: 一种计算机应用技术领域的虚拟化环境中的强制访问控制方法及装置，本发明方法在虚拟化环境中指定一个虚拟机作为具有安全管理权限的可信虚拟机，可信虚拟机使用(安全密级、安全范畴)作为敏感标签标识单个虚拟机的安全级别，建立访问矩阵设置每个虚拟机对其他虚拟机的访问类型集合；当某个虚拟机主体以某种类型访问某个虚拟机客体的，根据主客体双方的敏感标签和访问矩阵中主体对客体的访问类型集合判定这次访问是否允许。本发明装置包括访问控制初始化模块、虚拟机状态监视模块、访问判定模块、安全管理协助模块和可信虚拟机中的虚拟机安全信息管理模块。本发明可以在多级安全的虚拟化环境中有效的控制虚拟机之间的通信和资源共享。

公开(公告)号：CN101452397A

公开(公告)日：2009-06-10

申请号：CN200810203451.X

申请日：2008-11-27

Applicant: 上海交通大学

Inventor： 翁楚良 ,  王观海 ,  骆源 ,  李明禄

IPC: G06F9/455

Abstract: 一种计算机应用技术领域的虚拟化环境中的强制访问控制方法及装置，本发明方法在虚拟化环境中指定一个虚拟机作为具有安全管理权限的可信虚拟机，可信虚拟机使用(安全密级、安全范畴)作为敏感标签标识单个虚拟机的安全级别，建立访问矩阵设置每个虚拟机对其他虚拟机的访问类型集合；当某个虚拟机主体以某种类型访问某个虚拟机客体的，根据主客体双方的敏感标签和访问矩阵中主体对客体的访问类型集合判定这次访问是否允许。本发明装置包括访问控制初始化模块、虚拟机状态监视模块、访问判定模块、安全管理协助模块和可信虚拟机中的虚拟机安全信息管理模块。本发明可以在多级安全的虚拟化环境中有效的控制虚拟机之间的通信和资源共享。