CN115474197A - 访问虚拟电子设备的方法及装置、电子设备、存储介质 - Google Patents
访问虚拟电子设备的方法及装置、电子设备、存储介质 Download PDFInfo
- Publication number
- CN115474197A CN115474197A CN202110565758.XA CN202110565758A CN115474197A CN 115474197 A CN115474197 A CN 115474197A CN 202110565758 A CN202110565758 A CN 202110565758A CN 115474197 A CN115474197 A CN 115474197A
- Authority
- CN
- China
- Prior art keywords
- preset
- virtual electronic
- value
- electronic device
- electronic equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 270
- 238000013507 mapping Methods 0.000 claims description 97
- 230000015654 memory Effects 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 description 13
- 238000004364 calculation method Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请实施例提供一种访问虚拟电子设备的方法,该虚拟电子设备部署于服务器中,该方法包括:接收客户端针对目标虚拟电子设备的访问请求;所述访问请求,用于调用所述目标虚拟电子设备的第一进程;对所述第一进程进行编码处理,得到第一编码值;获取所述目标虚拟电子设备的预设编码值;若所述第一编码值与所述预设编码值不同,则将所述第一进程替换为与所述预设编码值相对应的预设进程,并基于所述预设进程访问所述虚拟电子设备。本申请实施例同时还提供一种访问虚拟电子设备的装置、设备、存储介质。
Description
技术领域
本申请涉及网络技术领域,尤其涉及一种访问虚拟电子设备的方法及装置、电子设备、存储介质。
背景技术
云手机是一个基于云计算和移动互联网的智能手机云平台。该云平台能够为智能手机用户提供多元化、全方位的虚拟手机功能和服务,全面支持各种手机应用的展示、下载和管理服务。一般而言,智能手机用户通过客户端正常访问云手机功能的条件是客户端对云手机的虚拟化进程(主要包括外设映射、虚拟机代理等进程)的正常调用。但在实际使用时,这些虚拟化进程往往会遭受木马和病毒的恶意攻击。因此,需要对这些虚拟化进程进行保护,以保证客户端能够正常访问云手机功能。
现有技术在客户端连接云手机的虚拟化进程时,主要通过安全防火墙的方式来阻止客户端通过不正常的网络访问云手机,进而运行超出原本安全控制之内的指令;并通过安全加密通道的方式采用非明文传输的方式来保护传输指令信息的不被篡改。其不足之处在于,安全防火墙无法判断虚拟化进程是否被篡改,进而无法阻止已经被污染的虚拟化进程运行受控之外的指令;安全加密通道的方式无法阻止云手机中已经被污染的虚拟化进程对保护端口的攻击,造成云手机脱离管控之外,并造成信息安全或数据安全隐患。
发明内容
有鉴于此,本申请实施例提供了一种访问虚拟电子设备的方法及装置、设备、存储介质。
本申请实施例提供一种访问虚拟电子设备的方法,该方法包括:
接收客户端针对目标虚拟电子设备的访问请求;所述访问请求,用于调用所述目标虚拟电子设备的第一进程;
对所述第一进程进行编码处理,得到第一编码值;
获取所述目标虚拟电子设备的预设编码值;
若所述第一编码值与所述预设编码值不同,则将所述第一进程替换为与所述预设编码值相对应的预设进程,并基于所述预设进程访问所述虚拟电子设备。
在上述实施例的基础上,本申请实施例还提供一种访问虚拟电子设备的装置,该装置包括:接收模块、编码模块、获取模块和替换模块,其中,
所述接收模块,用于接收客户端针对目标虚拟电子设备的访问请求;所述访问请求,用于调用所述目标虚拟电子设备的第一进程;
所述编码模块,用于对所述第一进程进行编码处理,得到第一编码值;
所述获取模块,用于获取所述目标虚拟电子设备的预设编码值;
所述替换模块,用于若所述第一编码值与所述预设编码值不同,则将所述第一进程替换为与所述预设编码值相对应的预设进程,并基于所述预设进程访问所述虚拟电子设备。
在上述实施例的基础上,本申请实施例还提供一种电子设备,该电子设备包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行上述实施例中所述方法的步骤。
在上述实施例的基础上,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行实现上述实施例中所述方法的步骤。
本申请实施例所提供的访问虚拟电子设备的方法,通过接收客户端针对目标虚拟电子设备的访问请求;该访问请求,用于调用目标虚拟电子设备的第一进程;对第一进程进行编码处理,得到第一编码值;获取目标虚拟电子设备的预设编码值;若第一编码值与所述预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问虚拟电子设备。如此,通过建立预设进程与预设编码值之间的映射关系,判断实际进程是否被篡改,并在实际进程被篡改时基于预设进程对实际进程进行修正,保证了访问虚拟机时的安全性,克服了现有技术只能针对网络进行保护的缺陷。
附图说明
图1为相关技术访问虚拟电子设备的流程示意图;
图2为本申请实施例提供的一种访问虚拟电子设备的方法的流程示意图;
图3为本申请实施例提供的一种访问虚拟电子设备的方法中创建HashMap的流程示意图;
图4为本申请实施例提供的一种访问虚拟电子设备的方法中更新HashMap的流程示意图;
图5为本申请实施例提供的一种访问虚拟电子设备的方法中更新HashMap的另一流程示意图;
图6为本申请实施例提供的一种访问虚拟电子设备的方法中信号流动的流程示意图;
图7为本申请实施例提供的另一种访问虚拟电子设备的方法的流程示意图;
图8为本申请实施例提供的另一种访问虚拟电子设备的方法中定时任务的流程示意图;
图9为本申请实施例提供的一种访问虚拟电子设备的装置的结构示意图;
图10为本申请实施例提供的电子设备的实体示意图。
具体实施方式
为了能够更加详尽地了解本申请实施例的特点与技术内容,下面结合附图对本申请实施例的实现进行详细阐述,所附附图仅供参考说明之用,并非用来限定本申请实施例。
除非另有定义,本申请实施例所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本申请实施例中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、***、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。
另外,本申请实施例中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本申请实施例的使用场景是一个虚拟机池环境,该虚拟机池环境可以用于向用户提供虚拟机(虚拟化的手机)服务。虚拟机服务可以通过在虚拟机池环境中启动一个虚拟机,并通过增加能够被客户端调用的虚拟化关键进程实现。该虚拟化关键进程是虚拟机暴露给外部网络的进程信息,可以是外设映射、虚拟机代理进程,该进程作为连通外部网络与虚拟机的桥梁,起到至关重要的作用。
一般而言,进程是由一组可运行的内部程序以及监听的网络端口组成。用户在使用虚拟机服务时通过客户端对虚拟机的关键进程进行调用,而该被调用的关键进程根据访问请求确定虚拟机内部的运行调用指令,虚拟机通过执行运行调用指令实现访问虚拟机服务的目的,其具体实现流程如图1所示。
相关技术通常采用安全防火墙对整个访问过程进行保护,但由于安全防火墙无法判断关键进程是否被篡改,进而也就无法阻止已经被污染的关键进程运行受控之外的运行调用指令。
为了解决相关技术存在的上述问题,本申请实施例提供了一种访问虚拟电子设备的方法,如图2所示,该虚拟电子设备部署于服务器中,该方法可以包括以下步骤:
S201、接收客户端针对目标虚拟电子设备的访问请求;该访问请求,用于调用目标虚拟电子设备的第一进程。
这里,目标虚拟电子设备可以是用户期望访问的虚拟机。对应地,客户端针对目标虚拟电子设备的访问请求,可以是客户端期望访问虚拟机上的某个具体功能,例如在虚拟机上运行某个应用程序。具体地,该访问请求,用于调用目标虚拟电子设备的第一进程。用户通过向期望访问的虚拟机发送访问请求,虚拟机根据访问请求,调用目标虚拟电子设备的第一进程生成并执行与访问请求相对应的运行调用指令,从而达到访问虚拟机服务的目的。
需要说明的是,不同的虚拟机对应有通用唯一识别码(Universally UniqueIdentifier,UUID),客户端通过确定访问请求中的UUID,来确定具体向哪一个虚拟机发送访问请求。访问请求可以是请求代码,目标虚拟电子设备的第一进程对请求代码进行解析,确定用户期望执行的功能,然后生成并执行针对该访问请求相对应的运行调用指令,从而达到访问虚拟机的目的。
进一步,第一进程可以是虚拟机实际调用的进程。由于在使用过程中,虚拟机实际调用的进程可能受到攻击而被篡改,导致虚拟机实际调用的进程与用户期望调用的预设进程不同。因此,需要判断第一进程是否为与虚拟机相对应的预设进程,以保证客户端能够根据需要访问虚拟机。
S202、对第一进程进行编码处理,得到第一编码值。
这里,为了判断第一进程是否为与虚拟机相对应的预设进程,进而保证客户端能够根据需要访问虚拟机,需要对第一进程进行编码处理。对第一进程进行编码处理可以是对第一进程进行散列计算,得到相应的散列值作为第一编码值。具体地,为了保证访问请求实际调用的进程为与虚拟机相对应的预设进程,通过判断对第一进程进行编码处理后得到的第一编码值,与预设编码值是否相同来实现。这里,对第一进程进行散列计算的作用是保证传送前后的文件的完整性,检验文件在传输过程中是否出现错误,更重要的是可以确定文件在传输过程中是否被恶意篡改。
需要说明的是,对第一进程进行编码处理,可以采用用于确定文件在传输过程中是否被恶意篡改的任何其他方法,例如判断MD5码、特征提取等方法。
S203、获取目标虚拟电子设备的预设编码值。
这里,由于编码值与进程之间存在对应关系,如果进程被篡改,那么根据进程确定的编码值也将发生变化。相反,如果编码值与预设编码值不同,则说明文件在传输过程中被篡改。如此,通过判断编码值与预设编码值是否相同,可以确定进程是否被篡改,进而在进程被篡改时进行修正,通过预设编码值对应的预设进程进行替换,保证虚拟机运行的安全性。
S204、若第一编码值与预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问虚拟电子设备。
这里,在确定第一编码值与预设编码值不同以后,可以确定虚拟电子设备实际调用的进程已经被篡改。因此,需要对被篡改的进程进行修正。具体地,首先通过预设编码值确定预设进程,然后将被篡改的第一进程进行替换修正,并基于修正后的预设进程访问虚拟电子设备。
由此可见,本申请实施例所提供的访问虚拟电子设备的方法,通过接收客户端针对目标虚拟电子设备的访问请求;该访问请求,用于调用目标虚拟电子设备的第一进程;对第一进程进行编码处理,得到第一编码值;获取目标虚拟电子设备的预设编码值;若第一编码值与预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问虚拟电子设备。如此,通过建立预设进程与预设编码值之间的映射关系,判断实际进程是否被篡改,并在实际进程被篡改时基于预设进程对实际进程进行修正,保证了访问虚拟机时的安全性,克服了现有技术只能针对网络进行保护的缺陷。
基于上述实施例,S203中获取目标虚拟电子设备的预设编码值,可以通过以下步骤实现:
S2031、获取映射关系表;该映射关系表用于表征虚拟电子设备的预设进程和预设编码值之间的映射关系;
S2032、从映射关系表中获取目标虚拟电子设备对应的预设编码值。
这里,虚拟机中预先存储有用于表征虚拟电子设备的预设进程和预设编码值之间的映射关系的映射关系表。该映射关系表可以是在通过虚拟化资源创建虚拟机时,对虚拟化关键进程进行散列计算后得到的散列值、虚拟化关键进程对应的监听端口信息与该虚拟机的UUID信息之间的映射关系。将上述各值分别作为哈希映射(HashMap)的键值对,存储在虚拟化资源的服务器中。在具体使用时,通过查找服务器中存储的HashMap的键值对,来确定预设编码值。
需要说明的是,映射关系表中存储有部署于服务器中的所有虚拟电子设备映射关系。每个UUID唯一对应一个预设进程、一个散列值和一个监听端口信息。UUID确定以后,预设进程、散列值和监听端口信息也就确定。在确定了映射关系表后,可以根据期望访问的UUID从映射关系表中获取目标虚拟电子设备对应的预设编码值。
基于上述实施例,在S2031中获取映射关系表之前,还可以包括以下步骤:
S2031a、对部署于服务器中的多个虚拟电子设备的多个预设进程分别进行编码处理,得到多个预设编码值;多个预设编码值与多个预设进程一一对应;
S2031b、确定多个预设进程与多个预设编码值之间的映射关系,得到多个映射关系;
S2031d、对多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的映射关系表。
这里,在获取映射关系表之前,需要在通过虚拟化资源创建虚拟机时,对部署于虚拟化资源服务器中的所有虚拟机对应的虚拟化关键进程进行散列计算,得到多个散列值。然后将得到的多个散列值与多个虚拟化关键进程对应的监听端口信息,以及虚拟机的UUID进行绑定,确定多个预设进程与多个预设编码值之间的映射关系,得到多个映射关系。接着将多个映射关系分别作为HashMap的键值对,存储在虚拟化资源的服务器中。此外,为了使得保存在服务器中的HashMap固化且可信,需要对保存的HashMap键值对进行防篡改加密。具体地,防篡改加密可以通过向国家授时中心申请可信时间戳的方法实现,其具体实现流程如图3所示。
基于上述实施例,在S2031d中对多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的映射关系表之前,还包括:
S2031c、对多个映射关系进行更新处理,得到更新后的多个映射关系;更新处理包括:变更和/或删除多个映射关系中的至少一个映射关系。
具体地,当虚拟机的虚拟化关键进程发生变化时,需要对根据虚拟化关键进程确定的多个映射关系进行更新处理,得到更新后的多个映射关系。这里,同样对更新后的虚拟化关键进程进行散列计算,并将散列计算的散列值、监听端口信息更新至服务器中存储的HashMap中该虚拟机的键值对信息。然后通过更新后的HashMap向国家授时中心申请可信时间戳,实现防篡改加密,其具体实现流程如图4所示。
进一步,当该虚拟机不再使用,需要进行回收时,删除服务器中存储的HashMap中该虚拟机对应的键值对信息。同时将更新后的HashMap向国家授时中心申请可信时间戳,实现防篡改加密,其具体实现过程如图5所示。
基于上述实施例,S2032中从映射关系表中获取目标虚拟电子设备的预设编码值,可以通过以下步骤实现:
S2032a、获取映射关系表的当前时间戳信息;
S2032b、若加密时间戳信息和当前时间戳信息相同,则在从映射关系表中获取预设编码值。
具体地,从映射关系表中获取目标虚拟电子设备的预设编码值可以首先获取映射关系表的当前时间戳信息。然后将当前时间戳信息与加密时间戳信息进行对比,如果相同,则从映射关系表中获取预设编码值。
需要说明的是,上述比对时间戳信息可以通过对存储的HashMap向国家授时中心通过校验可信时间戳的方法进行验证,如果返回结果为可信不一致,则说明HashMap已发生了篡改,丢弃该HashMap并重新进行上述生成映射关系表的步骤。
基于上述实施例,该方法还可以包括以下步骤:
S205、若第一编码值与预设编码值相同,则将第一进程作为预设进程,并基于预设进程访问虚拟电子设备。
这里,在确定第一编码值与预设编码值相同以后,可以确定虚拟电子设备实际调用的进程未被篡改,第一进程与预设进程相同,因此,可以将第一进程作为预设进程,并基于预设进程访问虚拟电子设备。
基于上述实施例,S205中基于预设进程访问虚拟电子设备,可以通过以下步骤实现:
S2051、获取第一进程的第一端口信息和预设进程的预设端口信息;
S2052、若第一端口信息与预设端口信息相同,则允许客户端基于预设进程访问虚拟电子设备;
S2053、若第一端口信息与预设端口信息不同,则拒绝客户端基于预设进程访问虚拟电子设备。
这里,在确定进程正确的前提下,还需进一步判断进程指向的监听端口信息是否被篡改。具体地,首先获取第一进程的第一端口信息和预设进程的预设端口信息。由于在通过虚拟化资源创建虚拟机时,已经将得到的多个散列值与多个虚拟化关键进程对应的监听端口信息,以及虚拟机的UUID进行绑定。这样,根据进程就可以直接确定出进程对应的监听端口信息,将根据第一进程确定的第一端口信息和根据预设进程确定的预设端口信息进行比较,可以确定出端口是否被篡改。若第一端口信息与预设端口信息相同,则说明端口信息未被篡改。此时,允许客户端基于预设进程访问虚拟电子设备。若第一端口信息与预设端口信息不同,则说明端口信息已经被篡改。此时,拒绝客户端基于预设进程访问虚拟电子设备,其具体实现流程如图6所示。
由此可见,本申请实施例所提供的访问虚拟电子设备的方法,通过接收客户端针对目标虚拟电子设备的访问请求;该访问请求,用于调用目标虚拟电子设备的第一进程;对第一进程进行编码处理,得到第一编码值;获取目标虚拟电子设备的预设编码值;若第一编码值与预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问虚拟电子设备。如此,通过建立预设进程与预设编码值之间的映射关系,判断实际进程是否被篡改,并在实际进程被篡改时基于预设进程对实际进程进行修正,保证了访问虚拟机时的安全性,克服了现有技术只能针对网络进行保护的缺陷。同时,提供了一种主动保护机制,增加了被动保护机制之外的安全风险解决办法,比较容易在后期根据需要扩展需要增加新的保护对象。
本申请在上述实施例的基础上,还提供了一种访问虚拟电子设备的方法,如图7所示,该方法包括:
S701、对部署于服务器中的多个虚拟电子设备的多个预设进程分别进行编码处理,得到多个预设编码值;多个预设编码值与多个预设进程一一对应;
S702、确定多个预设进程与多个预设编码值之间的映射关系,得到多个映射关系;
这里,首先需要在通过虚拟化资源创建虚拟机时,对部署于虚拟化资源服务器中的所有虚拟机对应的虚拟化关键进程进行散列计算,得到多个散列值。然后将得到的多个散列值与多个虚拟化关键进程对应的监听端口信息,以及虚拟机的UUID进行绑定,确定出多个预设进程与多个预设编码值之间的映射关系,得到多个映射关系。接着将多个映射关系分别作为(哈希映射)HashMap的键值对,存储在虚拟化资源的服务器中。
S703、对多个映射关系进行更新处理,得到更新后的多个映射关系;
S704、对多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的映射关系表;
具体地,当对虚拟机的虚拟化关键进程发生变化时,需要对根据虚拟化关键进程确定的多个映射关系进行更新处理,得到更新后的多个映射关系。这里,同样对更新后的虚拟化关键进程进行散列计算,并将散列计算的散列值、监听端口信息更新至服务器中存储的HashMap中该虚拟机的键值对信息。然后通过更新后的HashMap向国家授时中心申请可信时间戳,实现防篡改加密。
进一步,当该虚拟机不再使用,需要进行回收时,删除服务器中存储的HashMap中该虚拟机对应的键值对信息。然后通过更新后的HashMap向国家授时中心申请可信时间戳,实现防篡改加密。
此外,为了使得保存在服务器中的Hashmap固化且可信,需要对保存的键值对进行防篡改加密。具体地,防篡改加密可以通过向国家授时中心申请可信时间戳的方法实现。
S705、获取映射关系表的当前时间戳信息;
S706、若加密时间戳信息和当前时间戳信息相同,则在从映射关系表中获取预设编码值。
具体地,从映射关系表中获取目标虚拟电子设备的预设编码值可以首先获取映射关系表的当前时间戳信息。然后将当前时间戳信息与加密时间戳信息进行对比,如果相同,则从映射关系表中获取预设编码值。
需要说明的是,上述比对时间戳信息可以通过对存储的HashMap向国家授时中心通过校验可信时间戳的方法进行验证,如果返回结果为可信不一致,则说明HashMap已发生了篡改,丢弃该HashMap并重新进行上述生成映射关系表的步骤。如果返回结果为可信一致,则说明服务器中存储的HashMap是真实有效的。
S707、创建定时任务,遍历映射关系表,判断映射关系表中存储的预设编码值与获取的编码值是否相同,若不同,则将定时任务获取的进程替换为与预设编码值相对应的预设进程;判断映射关系表中存储的预设端口信息与获取的端口信息是否相同,若不同,则将定时任务获取的端口信息替换为与预设端口信息。
这里,在确定服务器中存储的HashMap是真实有效的以后。逐个获取所有UUID的键值对,在获取虚拟机的UUID后,将虚拟机的虚拟化关键进程进行散列计算得到散列值,并获取实际监听端口信息,将获取的信息与服务器中存储的HashMap进行比对,如果发现比对值不相同,则将虚拟机中的该虚拟化关键进程进行替换;如果比对值相同,但与存储的监听端口信息不同,则将该进程的监听端口重新变更为存储的监听端口。完成上述操作后,通过下一个UUID进行遍历,直到完成本次任务,其具体实现流程如图8所示。
通过建立定时任务,可以对HashMap中存储的信息进行自检,及时判断HashMap是否被篡改。通过监测虚拟机的关键进程是否被篡改以及端口号是否变更的方式来对虚拟机的访问安全施加主动保护。
由此可见,本申请实施例所提供的访问虚拟电子设备的方法,通过接收客户端针对目标虚拟电子设备的访问请求;该访问请求,用于调用目标虚拟电子设备的第一进程;对第一进程进行编码处理,得到第一编码值;获取目标虚拟电子设备的预设编码值;若第一编码值与预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问虚拟电子设备。如此,通过建立预设进程与预设编码值之间的映射关系,判断实际进程是否被篡改,并在实际进程被篡改时基于预设进程对实际进程进行修正,保证了访问虚拟机时的安全性,克服了现有技术只能针对网络进行保护的缺陷。同时,提供了一种主动保护机制,增加了被动保护机制之外的安全风险解决办法,比较容易在后期根据需要扩展需要增加新的保护对象。
本申请在上述实施例的基础上,还提供了一种访问虚拟电子设备的装置90,如图9所示,该装置90可以包括:接收模块91、编码模块92、获取模块93和替换模块94,其中,
接收模块91,用于接收客户端针对目标虚拟电子设备的访问请求;访问请求,用于调用目标虚拟电子设备的第一进程;
编码模块92,用于对第一进程进行编码处理,得到第一编码值;
获取模块93,用于获取目标虚拟电子设备的预设编码值;
替换模块94,用于若第一编码值与预设编码值不同,则将第一进程替换为与预设编码值相对应的预设进程,并基于预设进程访问所述虚拟电子设备。
基于上述实施例,获取模块93可以包括:第一获取模块934和第二获取模块935;
第一获取模块934,用于获取映射关系表;映射关系表用于表征虚拟电子设备的预设进程和预设编码值之间的映射关系;
第二获取模块935,用于从映射关系表中获取目标虚拟电子设备对应的预设编码值。
基于上述实施例,该装置90还可以包括:确定模块931和加密模块933;
确定模块931,用于在获取映射关系表之前,对部署于服务器中的多个虚拟电子设备的多个预设进程分别进行编码处理,得到多个预设编码值;多个预设编码值与多个预设进程一一对应;并确定多个预设进程与多个预设编码值之间的映射关系,得到多个映射关系;
加密模块933,用于对多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的映射关系表。
基于上述实施例,该装置90还可以包括:更新模块932;
更新模块932,用于在对多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的映射关系表之前,对多个映射关系进行更新处理,得到更新后的多个映射关系;更新处理包括:变更和/或删除多个映射关系中的至少一个映射关系。
基于上述实施例,第二获取模块935,具体用于获取映射关系表的当前时间戳信息;若加密时间戳信息和当前时间戳信息相同,则从映射关系表中获取预设编码值。
基于上述实施例,该装置90还可以包括:访问模块95;
访问模块95,用于若第一编码值与预设编码值相同,则将第一进程作为预设进程,并基于预设进程访问虚拟电子设备。
基于上述实施例,访问模块95,具体用于,获取第一进程的第一端口信息和预设进程的预设端口信息;若第一端口信息与预设端口信息相同,则允许客户端基于所述预设进程访问虚拟电子设备;若第一端口信息与预设端口信息不同,则拒绝客户端基于预设进程访问虚拟电子设备。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
本申请在上述实施例的基础上,还提供了一种电子设备,对应于一种访问虚拟电子设备的方法;图10为本申请实施例的电子设备的硬件组成结构示意图,如图10所示,电子设备包括处理器101,以及存储有计算机程序的存储器102。
其中,处理器101配置为运行所述计算机程序时,执行前述图2对应的实施例中的方法步骤。
当然,实际应用时,如图10所示,该电子设备中的各个组件通过总线***103耦合在一起。可理解,总线***103用于实现这些组件之间的连接通信。总线***103除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图10将各种总线都标为总线***103。
可以理解,本实施例中的存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(Read OnlyMemory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(Random AccessMemory,RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static Random Access Memory,SRAM)、同步静态随机存取存储器(Synchronous Static Random Access Memory,SSRAM)、动态随机存取存储器(DynamicRandom Access Memory,DRAM)、同步动态随机存取存储器(Synchronous Dynamic RandomAccess Memory,SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSynchronous Dynamic Random Access Memory,DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced Synchronous Dynamic Random Access Memory,ESDRAM)、同步连接动态随机存取存储器(SyncLink Dynamic Random Access Memory,SLDRAM)、直接内存总线随机存取存储器(Direct Rambus Random Access Memory,DRRAM)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成前述方法的步骤。
本申请实施例还提供了一种计算机存储介质,具体为计算机可读存储介质。其上存储有计算机指令,作为第一种实施方式,在计算机存储介质位于终端时,该计算机指令被处理器执行时实现本申请实施例上述数据处理方法中的任意步骤。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以至少两个单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是:本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种访问虚拟电子设备的方法,所述虚拟电子设备部署于服务器中,其特征在于,所述方法包括:
接收客户端针对目标虚拟电子设备的访问请求;所述访问请求,用于调用所述目标虚拟电子设备的第一进程;
对所述第一进程进行编码处理,得到第一编码值;
获取所述目标虚拟电子设备的预设编码值;
若所述第一编码值与所述预设编码值不同,则将所述第一进程替换为与所述预设编码值相对应的预设进程,并基于所述预设进程访问所述虚拟电子设备。
2.根据权利要求1所述的方法,其特征在于,所述获取所述目标虚拟电子设备的预设编码值,包括:
获取映射关系表;所述映射关系表用于表征虚拟电子设备的预设进程和预设编码值之间的映射关系;
从所述映射关系表中获取所述目标虚拟电子设备对应的所述预设编码值。
3.根据权利要求2所述的方法,其特征在于,在获取映射关系表之前,还包括:
对部署于所述服务器中的多个虚拟电子设备的多个预设进程分别进行编码处理,得到多个预设编码值;所述多个预设编码值与所述多个预设进程一一对应;
确定所述多个预设进程与所述多个预设编码值之间的映射关系,得到多个映射关系;
对所述多个映射关系进行时间戳加密处理,得到包含加密时间戳信息的所述映射关系表。
4.根据权利要求3所述的方法,其特征在于,在对所述多个映射关系进行时间戳加密处理,得到包含所述加密时间戳信息的所述映射关系表之前,还包括:
对所述多个映射关系进行更新处理,得到更新后的所述多个映射关系;所述更新处理包括:变更和/或删除所述多个映射关系中的至少一个映射关系。
5.根据权利要求3所述的方法,其特征在于,所述从所述映射关系表中获取所述目标虚拟电子设备对应的所述预设编码值,包括:
获取所述映射关系表的当前时间戳信息;
若所述加密时间戳信息和所述当前时间戳信息相同,则从所述映射关系表中获取所述预设编码值。
6.根据权利要求1-5中任一项所述的方法,其特征在于,所述方法还包括:
若所述第一编码值与所述预设编码值相同,则将所述第一进程作为所述预设进程,并基于所述预设进程访问所述虚拟电子设备。
7.根据权利要求6所述的方法,其特征在于,所述基于所述预设进程访问所述虚拟电子设备,包括:
获取所述第一进程的第一端口信息和所述预设进程的预设端口信息;
若所述第一端口信息与所述预设端口信息相同,则允许所述客户端基于所述预设进程访问所述虚拟电子设备;
若所述第一端口信息与所述预设端口信息不同,则拒绝所述客户端基于所述预设进程访问所述虚拟电子设备。
8.一种访问虚拟电子设备的装置,其特征在于,包括:接收模块、编码模块、获取模块和替换模块,其中,
所述接收模块,用于接收客户端针对目标虚拟电子设备的访问请求;所述访问请求,用于调用所述目标虚拟电子设备的第一进程;
所述编码模块,用于对所述第一进程进行编码处理,得到第一编码值;
所述获取模块,用于获取所述目标虚拟电子设备的预设编码值;
所述替换模块,用于若所述第一编码值与所述预设编码值不同,则将所述第一进程替换为与所述预设编码值相对应的预设进程,并基于所述预设进程访问所述虚拟电子设备。
9.一种电子设备,其特征在于,所述电子设备包括处理器和用于存储能够在处理器上运行的计算机程序的存储器;
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至7中任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行实现权利要求1至7中任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110565758.XA CN115474197A (zh) | 2021-05-24 | 2021-05-24 | 访问虚拟电子设备的方法及装置、电子设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110565758.XA CN115474197A (zh) | 2021-05-24 | 2021-05-24 | 访问虚拟电子设备的方法及装置、电子设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115474197A true CN115474197A (zh) | 2022-12-13 |
Family
ID=84364446
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110565758.XA Pending CN115474197A (zh) | 2021-05-24 | 2021-05-24 | 访问虚拟电子设备的方法及装置、电子设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115474197A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7428540B1 (en) * | 2000-03-03 | 2008-09-23 | Intel Corporation | Network storage system |
| CN104346582A (zh) * | 2014-11-05 | 2015-02-11 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防止镜像被篡改的方法 |
| CN105978908A (zh) * | 2016-07-08 | 2016-09-28 | 北京奇虎科技有限公司 | 一种非实时信息网站安全保护方法和装置 |
| CN108881117A (zh) * | 2017-05-12 | 2018-11-23 | 上海诺基亚贝尔股份有限公司 | 接入网中部署虚拟现实服务的方法、设备及计算机可读介质 |
| KR20210040333A (ko) * | 2020-06-29 | 2021-04-13 | 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. | 요청 처리 방법,장치,기기, 컴퓨터 저장매체 및 컴퓨터 프로그램 |
-
2021
- 2021-05-24 CN CN202110565758.XA patent/CN115474197A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7428540B1 (en) * | 2000-03-03 | 2008-09-23 | Intel Corporation | Network storage system |
| CN104346582A (zh) * | 2014-11-05 | 2015-02-11 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防止镜像被篡改的方法 |
| CN105978908A (zh) * | 2016-07-08 | 2016-09-28 | 北京奇虎科技有限公司 | 一种非实时信息网站安全保护方法和装置 |
| CN108881117A (zh) * | 2017-05-12 | 2018-11-23 | 上海诺基亚贝尔股份有限公司 | 接入网中部署虚拟现实服务的方法、设备及计算机可读介质 |
| KR20210040333A (ko) * | 2020-06-29 | 2021-04-13 | 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. | 요청 처리 방법,장치,기기, 컴퓨터 저장매체 및 컴퓨터 프로그램 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107111715B (zh) | 将可信执行环境用于代码和数据的安全性 | |
| KR101700552B1 (ko) | 보안 운영 체제 환경으로의 콘텍스트 기반 전환 | |
| US10083129B2 (en) | Code loading hardening by hypervisor page table switching | |
| AU2018201934B2 (en) | Network based management of protected data sets | |
| CN104461683B (zh) | 一种虚拟机非法配置的校验方法、装置及*** | |
| CN112257086B (zh) | 一种用户隐私数据保护方法及电子设备 | |
| CN112434306A (zh) | 可信度量方法,装置,***,电子设备及存储介质 | |
| US11886350B2 (en) | System memory context determination for integrity monitoring and related techniques | |
| US20070234330A1 (en) | Prevention of executable code modification | |
| CN115248919A (zh) | 一种函数接口的调用方法、装置、电子设备及存储介质 | |
| EP3737129B1 (en) | Management method for offline management instruction and terminal | |
| JP4526383B2 (ja) | 実行可能なコードを格納するタンパーエビデントな取り外し可能な媒体 | |
| CN107562514B (zh) | 一种物理内存访问控制与隔离方法 | |
| CN113010897B (zh) | 云计算安全管理方法及其*** | |
| US10606813B2 (en) | Systems and methods for securely managing program execution | |
| US9398019B2 (en) | Verifying caller authorization using secret data embedded in code | |
| CN108985096B (zh) | 一种Android SQLite数据库安全增强、安全操作方法以及装置 | |
| CN113849859A (zh) | Linux内核的修改方法、终端设备和存储介质 | |
| CN111400771A (zh) | 目标分区的校验方法及装置、存储介质、计算机设备 | |
| CN109117625B (zh) | Ai软件***安全状态的确定方法及装置 | |
| CN115474197A (zh) | 访问虚拟电子设备的方法及装置、电子设备、存储介质 | |
| CN108449753B (zh) | 一种手机设备读取可信计算环境中的数据的方法 | |
| CN109167785B (zh) | 一种虚拟可信根的调用方法和业务服务器 | |
| EP2581853B1 (en) | Method and apparatus for secure web widget runtime system | |
| CN113515779A (zh) | 文件的完整性校验方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |