← 返回列表
基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统
申请人信息
- 申请人:南京航空航天大学
- 申请人地址:210000 江苏省南京市秦淮区御道街29号
- 发明人: 南京航空航天大学
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统 |
| 专利类型 | 发明申请 |
| 申请号 | CN202311720961.5 |
| 申请日 | 2023/12/14 |
| 公告号 | CN117714149A |
| 公开日 | 2024/3/15 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 南京航空航天大学 |
| 发明人 | 吴强; 王祥彬; 王然 |
| 地址 | 江苏省南京市秦淮区御道街29号 |
摘要文本
本发明提供了一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法及系统,其中方法包括:基于云环境业务类型划分信任域,并建立信任域结构体和信任域管理线程;租户发起虚拟机或容器创建请求,Hypervisor对其进行身份认证并为租户的虚拟机或容器分配信任域;在信任域内,信任域管理线程根据放置策略组合为虚拟机或容器选择计算节点,Hypervisor维护相应数据信息;在信任域间,不同租户的虚拟机或容器发起相互通信,由Hypervisor进行身份认证并对其通信信道进行加解密防护。本发明在信任域内采用较优的放置策略组合降低同驻风险概率,在信任域间增加身份认证和加密机制减少同驻攻击横向传播风险。 来源:马 克 团 队
专利主权项内容
1.一种基于信任域划分和Hypervisor硬件卸载的同驻攻击防御方法,其特征在于,包括以下步骤:步骤S1:对Hypervisor进行硬件卸载,软件层保留轻量级Hypervisor代理;基于云环境业务类型将云中计算节点划分信任域,为Hypervisor单独创建特殊信任域;Hypervisor为每个信任域建立信任域结构体和信任域管理线程;步骤S2:当租户发起虚拟机或容器创建请求时,Hypervisor对其进行身份认证,并为租户的虚拟机或容器分配或创建信任域;步骤S3:在信任域内,信任域管理线程根据放置策略对虚拟机或容器进行放置或选择计算节点,信任域管理线程维护租户表信息,Hypervisor维护信任域表信息;步骤S4:在信任域间,不同租户的虚拟机或容器发起相互通信或向Hypervisor申请资源时,由Hypervisor进行身份认证并对其通信信道进行加解密防护。 来自:马 克 团 队