本發(fā)明屬于計(jì)算機(jī)安全領(lǐng)域，涉及一種基于磁盤虛擬化和鏡像智能管理的虛擬機(jī)存儲(chǔ)隔離技術(shù)，同時(shí)支持windows、linux等虛擬機(jī)操作系統(tǒng)，提供鏡像文件的智能管理、虛擬機(jī)動(dòng)態(tài)創(chuàng)建、管理、終止等方法，并能夠保證虛擬機(jī)處于不同磁盤空間，從而實(shí)現(xiàn)存儲(chǔ)的有效隔離，能夠廣泛應(yīng)用于虛擬化安全的領(lǐng)域。

背景技術(shù)：

現(xiàn)今，虛擬機(jī)技術(shù)根據(jù)應(yīng)用和與直接機(jī)器的相關(guān)性可以分為兩個(gè)方向，即系統(tǒng)虛擬機(jī)（systemvirtualmachine）和程序虛擬機(jī)(processvirtualmachine)。隨著虛擬化技術(shù)得到越來(lái)越廣泛的應(yīng)用，相應(yīng)地，虛擬機(jī)的安全也變得越來(lái)越重要。虛擬機(jī)作為一種虛擬化的操作系統(tǒng)，與物理機(jī)操作系統(tǒng)有較大的不同，運(yùn)行機(jī)制要求更高，安全漏洞也更多。尤其是當(dāng)一臺(tái)物理機(jī)上有多個(gè)虛擬機(jī)時(shí)，每個(gè)虛擬機(jī)使用的資源必須可靠有效地隔離，顯得異常重要。

常見的虛擬機(jī)運(yùn)行機(jī)制存在如下問(wèn)題：

（1）虛擬機(jī)使用的宿主機(jī)磁盤空間容易產(chǎn)生重疊，這樣會(huì)導(dǎo)致虛擬機(jī)在運(yùn)行過(guò)程中，使用同一塊區(qū)域，產(chǎn)生文件讀寫錯(cuò)誤。

（2）一個(gè)虛擬機(jī)未通過(guò)授權(quán)就訪問(wèn)另一個(gè)虛擬機(jī)的資源。

（3）虛擬機(jī)的文件沒(méi)有身份驗(yàn)證，宿主機(jī)可以通過(guò)共享能使用虛擬機(jī)的文件。

（4）一個(gè)虛擬機(jī)通過(guò)惡意程序，然后經(jīng)過(guò)宿主機(jī)在訪問(wèn)另一個(gè)虛擬機(jī)。

（5）虛擬機(jī)的鏡像文件不能實(shí)現(xiàn)智能管理。

從以上的問(wèn)題分析中，我們可以認(rèn)識(shí)到虛擬機(jī)的運(yùn)行如果沒(méi)有相應(yīng)的隔離措施，就會(huì)產(chǎn)生很大的安全漏洞和隱患，因此，如果能有一種方法實(shí)現(xiàn)對(duì)虛擬機(jī)的有效管理，實(shí)現(xiàn)存儲(chǔ)的安全隔離，就能大大提高虛擬機(jī)使用的可靠性和健壯性。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提出一種新的虛擬機(jī)隔離技術(shù)，用以保護(hù)虛擬機(jī)運(yùn)行過(guò)程中存儲(chǔ)資源的有效隔離，從而提高虛擬機(jī)的安全性和可靠性。

本發(fā)明提出的虛擬機(jī)存儲(chǔ)隔離技術(shù)包括：每個(gè)虛擬機(jī)位于不同的磁盤區(qū)域或空間；訪問(wèn)虛擬機(jī)資源需要經(jīng)過(guò)身份認(rèn)證，不可以隨意讀寫虛擬機(jī)文件；虛擬機(jī)和宿主機(jī)之間有嚴(yán)格的權(quán)限級(jí)別，不能隨意進(jìn)行文件共享；虛擬機(jī)不能通過(guò)宿主機(jī)再訪問(wèn)另一個(gè)虛擬機(jī)。本文采用的安全虛擬化隔離系統(tǒng)（safevirtualizationisolationsystem，svis）由五個(gè)核心組件構(gòu)成：svis虛擬機(jī)監(jiān)視器（svisvmm）、基于卷快照的虛擬機(jī)簡(jiǎn)單磁盤、操作系統(tǒng)動(dòng)態(tài)遷移管理器、修改跟蹤管理器和隱式操作系統(tǒng)信息重構(gòu)組件。

根據(jù)本發(fā)明的上述方法，可以解決以下問(wèn)題：

1支持虛擬機(jī)位于不同的磁盤區(qū)域或空間，保證虛擬機(jī)資源的不重疊；

2訪問(wèn)虛擬機(jī)資源需要經(jīng)過(guò)身份認(rèn)證，加強(qiáng)虛擬機(jī)資源的保護(hù)性；

3虛擬機(jī)和宿主機(jī)之間以及虛擬機(jī)和虛擬機(jī)之間有嚴(yán)格的區(qū)別，互相之間不可以隨意通信和訪問(wèn)。

4能對(duì)生成虛擬機(jī)的鏡像文件進(jìn)行智能管理，保證鏡像文件能映射在經(jīng)過(guò)虛擬化后的不同磁盤上。

本發(fā)明方法的操作步驟如下：

1）準(zhǔn)備三臺(tái)pc機(jī)，兩臺(tái)安裝centos操作系統(tǒng)，一臺(tái)安裝任意操作系統(tǒng)（只要有瀏覽器就行）；

2）根據(jù)需要制作虛擬機(jī)所需要運(yùn)行的鏡像文件，并同時(shí)創(chuàng)建引導(dǎo)文件和內(nèi)核文件；并將上述三個(gè)文件放到指定位置；

3）以一臺(tái)安裝centos系統(tǒng)作為節(jié)點(diǎn)服務(wù)器，部署相應(yīng)的文件系統(tǒng)，啟動(dòng)節(jié)點(diǎn)服務(wù)器ncserver；

4）以另一臺(tái)安裝centos系統(tǒng)作為管理服務(wù)器，部署相應(yīng)的文件系統(tǒng)，并啟動(dòng)管理服務(wù)器vmmanagerserver；

5）以管理員身份登錄本系統(tǒng)，依次選擇“鏡像管理”|“分發(fā)鏡像”，將鏡像文件分發(fā)到節(jié)點(diǎn)服務(wù)器上，并能實(shí)現(xiàn)智能化管理；

6）依次選擇“實(shí)例管理”|“創(chuàng)建實(shí)例”，選擇分發(fā)的鏡像文件、設(shè)置虛擬機(jī)ip地址及其它相關(guān)信息，就可以創(chuàng)建所需要的虛擬機(jī)；

7）通過(guò)點(diǎn)擊“鏡像管理”|“查看鏡像”可以查看分發(fā)的鏡像情況，通過(guò)點(diǎn)擊“實(shí)例管理”|“查看實(shí)例”可以查看正在運(yùn)行的虛擬機(jī)情況；

8）根據(jù)查看實(shí)例中顯示的ip地址信息和相關(guān)認(rèn)證信息，就可以有效地使用有效存儲(chǔ)隔離的虛擬機(jī)。

本發(fā)明的有益效果是：

本發(fā)明方法支持虛擬機(jī)存儲(chǔ)的有效隔離，保證每個(gè)虛擬機(jī)占用不同物理資源，并且虛擬機(jī)的訪問(wèn)和使用有嚴(yán)格的身份認(rèn)證機(jī)制，以強(qiáng)化虛擬機(jī)中文件的安全性和原子性。本發(fā)明的主要有益效果如下：

1）磁盤文件虛擬化：利用硬件虛擬化技術(shù)，對(duì)磁盤進(jìn)行虛擬化管理，保證每個(gè)磁盤經(jīng)過(guò)虛擬化后，能實(shí)現(xiàn)有效的物理隔離。

2）鏡像文件管理智能性：可以保證鏡像文件能夠被智能管理，并與虛擬化的磁盤產(chǎn)生邏輯對(duì)應(yīng)關(guān)系，即能使鏡像文件也實(shí)現(xiàn)有效的物理隔離。

3）多虛擬機(jī)穩(wěn)定性：保證每個(gè)虛擬機(jī)安全穩(wěn)定運(yùn)行，即使在一臺(tái)物理機(jī)上運(yùn)行多個(gè)虛擬機(jī)，也能有效運(yùn)行。

4）鏡像文件和虛擬機(jī)的協(xié)調(diào)運(yùn)行：能保證每個(gè)虛擬機(jī)運(yùn)行于一個(gè)鏡像文件上，也能保證多個(gè)虛擬機(jī)運(yùn)行于多個(gè)鏡像文件上，并且能協(xié)調(diào)運(yùn)行，互不干擾。

附圖說(shuō)明

圖1為本發(fā)明中提出的虛擬機(jī)工作原理；

圖2為本發(fā)明資源預(yù)留的流程圖；

圖3為本發(fā)明虛擬機(jī)存儲(chǔ)隔離的處理流程。

具體實(shí)施方法

以下結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步說(shuō)明。

虛擬機(jī)資源的動(dòng)態(tài)預(yù)留和調(diào)整是使用虛擬機(jī)的常見需求之一，本發(fā)明通過(guò)實(shí)現(xiàn)物理機(jī)和虛擬機(jī)的有效預(yù)留，可以動(dòng)態(tài)啟動(dòng)和關(guān)閉物理機(jī)，也可以動(dòng)態(tài)創(chuàng)建和銷毀虛擬機(jī)。虛擬機(jī)存儲(chǔ)的安全隔離涉及多方面的技術(shù)，包括虛擬機(jī)鏡像文件的制作、鏡像文件的管理、磁盤文件的管理、磁盤分區(qū)技術(shù)、用戶認(rèn)證機(jī)制、權(quán)限管理與分配等。

參見圖2，虛擬機(jī)資源的動(dòng)態(tài)預(yù)留和調(diào)整包括如下一些功能或技術(shù)，資源預(yù)留的管理與分配、預(yù)留權(quán)限的設(shè)置、預(yù)留信息的管理和配置、定時(shí)器的管理、物理機(jī)的電源管理等。

圖2具體具體流程為：

1）客戶遠(yuǎn)程申請(qǐng)?zhí)摂M機(jī)或物理機(jī)的預(yù)留；

2）系統(tǒng)根據(jù)用戶的權(quán)限和預(yù)留情況跳轉(zhuǎn)到物理機(jī)預(yù)留或虛擬機(jī)預(yù)留功能模塊；

3）如果是物理機(jī)預(yù)留，系統(tǒng)將用戶信息、預(yù)留物理機(jī)ip、預(yù)留時(shí)間等信息放入數(shù)據(jù)庫(kù)進(jìn)行保存；

4）定時(shí)器進(jìn)行事件處理，當(dāng)?shù)竭_(dá)預(yù)留結(jié)束時(shí)間的前10分鐘，啟動(dòng)物理機(jī)，當(dāng)?shù)竭_(dá)預(yù)留的開始時(shí)間時(shí)，鎖定或者關(guān)閉計(jì)算機(jī)；

5）如果是虛擬機(jī)預(yù)留，系統(tǒng)將用戶信息、預(yù)留的虛擬機(jī)硬盤大小、cpu、內(nèi)存等放入數(shù)據(jù)庫(kù)進(jìn)行保存；

6）定時(shí)器進(jìn)行事件處理，當(dāng)?shù)竭_(dá)預(yù)留開始時(shí)間的前30分鐘時(shí)，系統(tǒng)執(zhí)行虛擬機(jī)啟動(dòng)程序進(jìn)行啟動(dòng)，當(dāng)?shù)竭_(dá)預(yù)留結(jié)束時(shí)間，系統(tǒng)關(guān)閉或者終止虛擬機(jī)的運(yùn)行。

參見圖3，為本發(fā)明為虛擬機(jī)存儲(chǔ)安全隔離的執(zhí)行流程，主要包括制作鏡像、鏡像管理、磁盤管理、鏡像分發(fā)、創(chuàng)建實(shí)例、虛擬機(jī)隔離、虛擬機(jī)存儲(chǔ)安全隔離等步驟。

圖3具體流程為：

1）制作虛擬機(jī)所需要的鏡像文件，包括制作引導(dǎo)文件、內(nèi)核文件、以及利用操作系統(tǒng)打包并合成鏡像文件；

2）將鏡像文件納入數(shù)據(jù)庫(kù)和文件系統(tǒng)進(jìn)行管理，包括鏡像的動(dòng)態(tài)修改、鏡像中的安裝軟件和程序動(dòng)態(tài)增加或減少，鏡像文件的屬性調(diào)整，引導(dǎo)文件的配置和管理、內(nèi)核文件的調(diào)整和硬件的拔插管理；

3）對(duì)物理機(jī)的磁盤進(jìn)行管理，包括對(duì)磁盤進(jìn)行監(jiān)控、磁盤的動(dòng)態(tài)分區(qū)、磁盤之間通信的管理和配置等。

4）利用xen進(jìn)行半虛擬化或全虛擬化管理，并創(chuàng)建xen通道；

5）根據(jù)磁盤信息和xen通道創(chuàng)建虛擬機(jī)，并實(shí)現(xiàn)虛擬機(jī)的隔離，最后進(jìn)一步實(shí)現(xiàn)虛擬機(jī)存儲(chǔ)的安全隔離。

通過(guò)上面的具體實(shí)施方式的描述，本發(fā)明的內(nèi)容已經(jīng)非常詳細(xì)，本領(lǐng)域的技術(shù)人員都能根據(jù)所述內(nèi)容重現(xiàn)所述方法。當(dāng)然，本領(lǐng)域的技術(shù)人員可以在不脫離本發(fā)明的思想和方法范圍內(nèi)，對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型。這樣，倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)，則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。