CN105871939A - 网络环境下虚拟机安全隔离*** - Google Patents
网络环境下虚拟机安全隔离*** Download PDFInfo
- Publication number
- CN105871939A CN105871939A CN201610479366.0A CN201610479366A CN105871939A CN 105871939 A CN105871939 A CN 105871939A CN 201610479366 A CN201610479366 A CN 201610479366A CN 105871939 A CN105871939 A CN 105871939A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- module
- key
- computer
- isolation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种网络环境下虚拟机安全隔离***,包括:(1)在互联网联入真实电脑之前,接入虚拟机和防火墙,对流经它的网络通信进行扫描;(2)将防火墙与虚拟机连接,虚拟机通过数据拷贝***与真实电脑连接;(3)在虚拟机上安装一台虚假裸奔电脑,在虚假裸奔电脑上设置虚拟机安全隔离方案,从而使得入侵者难以辨识真实信息。还提供一种虚拟机安全隔离***,包括秘钥管理子***和隔离子***。
Description
技术领域
本发明涉及计算机安全领域,特别是计算机在网络环境下的安全保障。
背景技术
现在科技发展迅猛,银行,计算机,手机,游戏密码与我们息息相关,同样有一些不法计算机高手已经开始进行灰色地带,从事非法活动。在移动互联网时代,用户个人信息的价值空前凸显,“大数据”所能带来的商业价值将引领一场巨大变革,盗取个人计算机机密信息,用户资料。网络上的DDOS攻击,病毒传播,钓鱼网页,色情暴力反动各种信息。目前,采用技术很多,一是用硬件隔离危险,二是安装杀毒软件,三是,将两台电脑分开,一台使用上网功能,另一台则是断网状态,四是,限制上网时间地点,五是采用小众***例如LINUX,苹果等等,有些是有效果的,但是更多的还是要连入互联网,就会给黑客机会。从技术角度说,只要连入互联网就没有安全的时候。提供一个安全的网络环境是必不可少的条件。
发明内容
因此本发明的目的在于针对以上不足进行补充,提供一种安全合理可靠的网络环境,能够满足用户使用网络安心放心。
本发明解决方案是利用能上网的电脑组建一个虚拟的电脑环境,并可以完成反黑客入侵行为,可以进行数据分析,使用,并安全完成任何指令任务,并且保证该电脑不受到任何病毒,黑客入侵。
本发明的有益效果为:该操作简单,成本低,适用于大范围的推广,能够保证该计算机的安全使用。
本发明具体解决方案是提供一种网络环境下虚拟机安全隔离***,包括:
(1)在互联网联入真实电脑之前,接入虚拟机和防火墙,对流经它的网络通信进行扫描;
(2)将防火墙与虚拟机连接,虚拟机通过数据拷贝***与真实电脑连接;
(3)在虚拟机上安装一台虚假裸奔电脑,在虚假裸奔电脑上设置虚拟机安全隔离方案,从而使得入侵者难以辨识真实信息。
优选的,其中防火墙为网络防火墙,用于对流经它的网络通信进行扫描,或关闭不使用的端口,或禁止特定端口的流出通信,封锁特洛伊木马,或禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
本发明的具体方案还在于提供一种虚拟机安全隔离***,包括:两个子***,即秘钥管理子***和隔离子***。
优选的,秘钥管理子***包括秘钥协商模块和秘钥管理模块,秘钥协商模块负责与秘钥管理服务器请求秘钥,秘钥管理模块位于秘钥管理服务器中,负责管理分发秘钥。
优选的,隔离子***主要含有:块设备隔离模块、内存隔离模块和桌面协议隔离模块。块设备隔离模块完成对块设备请求的有选择性透明加密,内存隔离模块通过扩展ACM框架完成对桌面安全检查控制,桌面协议隔离模块通过对输入输出的加密使得桌面协议变得更安全。
优选的,块设备包括硬盘,CDROM,软盘。
根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
附图说明
后文将参照附图以示例性而非限制性的方式详细描述本发明的一些具体实施例。附图中相同的附图标记标示了相同或类似的部件或部分。本领域技术人员应该理解,这些附图未必是按比例绘制的。本发明的目标及特征考虑到如下结合附图的描述将更加明显,附图中:
附图1为根据本发明实施例的网络环境下虚拟机安全隔离方法流程图。
附图2为根据本发明实施例的网络环境下虚拟机的***模块视图。
具体实施方式
现在参考附图,根据本发明将给出细节的描述。
根据附图1,一种网络环境下虚拟机安全隔离***,包括:
(1)在互联网联入真实电脑之前,接入虚拟机和防火墙,其中防火墙为网络防火墙,对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行,防火墙还可以关闭不使用的端口,还能禁止特定端口的流出通信,封锁特洛伊木马。另外,防火墙可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信;
(2)将防火墙与虚拟机连接,虚拟机通过数据拷贝***与真实电脑连接;
(3)在虚拟机上安装一台虚假裸奔电脑,在虚假裸奔电脑上设置虚拟机安全隔离方案,从而使得入侵者难以辨识真实信息。
使用虚拟机进行网络环境下的隔离方法遵守三个原则,即尽量保证执行效率,尽量降低隔离操作对***执行效率的影响,另外,尽量使用已有***的特性,并且需要考虑实际网络环境应用的部署复杂性,尽量选择简单的方式。虚拟隔离***中使用一个秘钥管理服务器,负责管理每个虚拟机uuid对应的密钥,在某一台虚拟机启动时,秘钥协商管理服务通过Diffie-Hellman算法建立安全会话,会话建立后向秘钥管理服务器请求虚拟机对应的秘钥,请求后将秘钥传送给块设备和桌面协议通讯加密模块使用,桌面协议加密模块和桌面协议这两个模块均采用透明加密方式,上层虚拟机无法感知到加密模块的存在,内存隔离模块存在于Hypervisor中,在ACM模块基础上进行扩展,实现对虚拟机内存的跟踪以及ACM规则的自动生成,通过预钓鱼方式实现对桌面的安全控制。
根据附图2,整个***可以分为两个子***:秘钥管理子***和隔离子***。秘钥管理子***包括秘钥协商模块和秘钥管理模块,秘钥协商模块负责与秘钥管理服务器请求秘钥,秘钥管理模块位于秘钥管理服务器中,负责管理分发秘钥。隔离子***主要含有:块设备隔离模块、内存隔离模块和桌面协议隔离模块。块设备隔离模块完成对块设备请求的有选择性透明加密,内存隔离模块通过扩展ACM框架完成对桌面安全检查控制,桌面协议隔离模块通过对输入输出的加密使得桌面协议变得更安全。
虽然本发明已经参考特定的说明性实施例进行了描述,但是不会受到这些实施例的限定而仅仅受到附加权利要求的限定。本领域技术人员应当理解可以在不偏离本发明的保护范围和精神的情况下对本发明的实施例能够进行改动和修改。
Claims (6)
1.一种网络环境下虚拟机安全隔离***,其特征在于包括:
(1)在互联网联入真实电脑之前,接入虚拟机和防火墙,对流经它的网络通信进行扫描;
(2)将防火墙与虚拟机连接,虚拟机通过数据拷贝***与真实电脑连接;
(3)在虚拟机上安装一台虚假裸奔电脑,在虚假裸奔电脑上设置虚拟机安全隔离方案,从而使得入侵者难以辨识真实信息。
2.根据权利要求1所述的一种网络环境下虚拟机安全隔离***,其特征在于其中所述防火墙为网络防火墙,用于对流经它的网络通信进行扫描,或关闭不使用的端口,或禁止特定端口的流出通信,封锁特洛伊木马,或禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
3.一种用于权利要求1-2任意一个所述的虚拟机安全隔离***,其特征在于包括:两个子***,即秘钥管理子***和隔离子***。
4.根据权利要求3所述的虚拟机安全隔离***,其特征在于:其中所述秘钥管理子***包括秘钥协商模块和秘钥管理模块,秘钥协商模块负责与秘钥管理服务器请求秘钥,秘钥管理模块位于秘钥管理服务器中,负责管理分发秘钥。
5.根据权利要求3所述的虚拟机安全隔离***,其特征在于:所述隔离子***主要含有:块设备隔离模块、内存隔离模块和桌面协议隔离模块,所述块设备隔离模块完成对块设备请求的有选择性透明加密,所述内存隔离模块通过扩展ACM框架完成对桌面安全检查控制,所述桌面协议隔离模块通过对输入输出的加密使得桌面协议变得更安全。
6.根据权利要求5所述的虚拟机安全隔离***,其特征在于:所述块设备包括硬盘,CDROM,软盘。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610479366.0A CN105871939A (zh) | 2016-06-26 | 2016-06-26 | 网络环境下虚拟机安全隔离*** |
PCT/CN2016/095103 WO2018000537A1 (zh) | 2016-06-26 | 2016-08-14 | 网络环境下虚拟机安全隔离*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610479366.0A CN105871939A (zh) | 2016-06-26 | 2016-06-26 | 网络环境下虚拟机安全隔离*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105871939A true CN105871939A (zh) | 2016-08-17 |
Family
ID=56655579
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610479366.0A Pending CN105871939A (zh) | 2016-06-26 | 2016-06-26 | 网络环境下虚拟机安全隔离*** |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN105871939A (zh) |
WO (1) | WO2018000537A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110352587A (zh) * | 2017-03-07 | 2019-10-18 | Abb瑞士股份有限公司 | 自动通信网络***加固 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙*** |
CN101645873A (zh) * | 2008-08-07 | 2010-02-10 | 联想(北京)有限公司 | 一种计算机以及虚拟机环境中实现网络隔离的方法 |
CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离***及实现方法 |
CN101673215A (zh) * | 2008-09-09 | 2010-03-17 | 联想(北京)有限公司 | 一种计算机和虚拟环境中用户管理方法 |
CN201499183U (zh) * | 2009-09-14 | 2010-06-02 | 陈博东 | 一种虚拟网络分隔*** |
CN102523215A (zh) * | 2011-12-15 | 2012-06-27 | 北京海云捷迅科技有限公司 | 基于kvm虚拟化平台的虚拟机在线杀毒*** |
CN103414558A (zh) * | 2013-07-17 | 2013-11-27 | 电子科技大学 | 一种基于xen云平台的虚拟机块设备隔离方法 |
CN204334621U (zh) * | 2014-11-25 | 2015-05-13 | 甘肃省科学技术情报研究所 | 一种网络安全管理装置 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9767274B2 (en) * | 2011-11-22 | 2017-09-19 | Bromium, Inc. | Approaches for efficient physical to virtual disk conversion |
CN102567217B (zh) * | 2012-01-04 | 2014-12-24 | 北京航空航天大学 | 一种面向mips平台的内存虚拟化方法 |
CN104125192A (zh) * | 2013-04-23 | 2014-10-29 | 鸿富锦精密工业(深圳)有限公司 | 虚拟机安全保护***及方法 |
CN103577771B (zh) * | 2013-11-08 | 2016-09-07 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种基于磁盘加密的虚拟桌面数据防泄漏保护方法 |
-
2016
- 2016-06-26 CN CN201610479366.0A patent/CN105871939A/zh active Pending
- 2016-08-14 WO PCT/CN2016/095103 patent/WO2018000537A1/zh active Application Filing
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645873A (zh) * | 2008-08-07 | 2010-02-10 | 联想(北京)有限公司 | 一种计算机以及虚拟机环境中实现网络隔离的方法 |
CN101673215A (zh) * | 2008-09-09 | 2010-03-17 | 联想(北京)有限公司 | 一种计算机和虚拟环境中用户管理方法 |
CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙*** |
CN101668022A (zh) * | 2009-09-14 | 2010-03-10 | 陈博东 | 一种建立在虚拟机上的虚拟网络隔离***及实现方法 |
CN201499183U (zh) * | 2009-09-14 | 2010-06-02 | 陈博东 | 一种虚拟网络分隔*** |
CN102523215A (zh) * | 2011-12-15 | 2012-06-27 | 北京海云捷迅科技有限公司 | 基于kvm虚拟化平台的虚拟机在线杀毒*** |
CN103414558A (zh) * | 2013-07-17 | 2013-11-27 | 电子科技大学 | 一种基于xen云平台的虚拟机块设备隔离方法 |
CN204334621U (zh) * | 2014-11-25 | 2015-05-13 | 甘肃省科学技术情报研究所 | 一种网络安全管理装置 |
Non-Patent Citations (1)
Title |
---|
邵长庚: ""Xen云环境虚拟机安全隔离技术研究与实现"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110352587A (zh) * | 2017-03-07 | 2019-10-18 | Abb瑞士股份有限公司 | 自动通信网络***加固 |
CN110352587B (zh) * | 2017-03-07 | 2022-09-16 | Abb瑞士股份有限公司 | 自动通信网络***加固 |
Also Published As
Publication number | Publication date |
---|---|
WO2018000537A1 (zh) | 2018-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9680849B2 (en) | Rootkit detection by using hardware resources to detect inconsistencies in network traffic | |
CN104065651B (zh) | 一种面向云计算的信息流可信保障方法 | |
US20160099960A1 (en) | System and method for scanning hosts using an autonomous, self-destructing payload | |
US10095865B2 (en) | Detecting unauthorized remote administration using dependency rules | |
RU2584506C1 (ru) | Система и способ защиты операций с электронными деньгами | |
Laureano et al. | Protecting host-based intrusion detectors through virtual machines | |
US20110296164A1 (en) | System and method for providing secure network services | |
Maghrabi | The threats of data security over the Cloud as perceived by experts and university students | |
Goel et al. | Measures for Improving IoT Security | |
Ibrahim | A Review on the Mechanism Mitigating and Eliminating Internet Crimes using Modern Technologies: Mitigating Internet crimes using modern technologies | |
Khandelwal et al. | An insight into the security issues and their solutions for android phones | |
Uyyala | Multilevel Authentication System Using Hierarchical Intrusion Detection Architecture For Online Banking | |
CN105871939A (zh) | 网络环境下虚拟机安全隔离*** | |
Jiang | Computer security vulnerabilities and preventive measures | |
Yadlapati et al. | Security Management Approaches Over the Cloud | |
Rahaman et al. | Keylogger Threat to the Android Mobile Banking Applications | |
Jawad et al. | Intelligent Cybersecurity Threat Management in Modern Information Technologies Systems | |
Singh et al. | Managing Cyber Security | |
Singh et al. | A hybrid model for cyberspace security | |
Qurashi | Securing Hypervisors in Cloud Computing Environments against Malware Injection | |
Pandey | Security attacks in cloud computing | |
Ramakic et al. | Data protection in microcomputer systems and networks | |
JP2024009256A (ja) | 認証要素ファイル、サーバ、漏洩検知方法、及びプログラム | |
Song et al. | Android Data-Clone Attack via Operating System Customization | |
Yu | On the Usage and Vulnerabilities of API Systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160817 |