一種虛擬加密卷與虛擬應用嵌套的虛擬化的方法與設備的制造方法
【專利摘要】一種虛擬加密卷與虛擬應用嵌套的虛擬化的方法及相應設備�,通過建立至少兩個虛擬化層次�����,分別為虛擬卷加密層以及虛擬應用層,來實現跨設備移動計算�,以及基于網絡的虛擬化工作空間。虛擬卷加密層通過創(chuàng)建一個虛擬卷�,經驗證密鑰后載入為虛擬磁盤并控制其訪問實現,運算不經過物理磁盤而是以通過該加密的虛擬卷����,應用層通過虛擬化應用環(huán)境并抽取程序所需的Library與注冊表重定向來實現,不包含虛擬機�、虛擬硬件、虛擬機內操作系統(tǒng)等����。其中,虛擬應用層位于虛擬卷加密層內��,是包含關系����。對于虛擬應用層的程序,為了獲得更快的速度效果�����,可以通過將內存或部分內存虛擬化出的磁盤作為緩存的辦法來加速����。
【專利說明】
一種虛擬加密卷與虛擬應用嵌套的虛擬化的方法與設備
技術領域
[0001]本發(fā)明屬于跨設備計算機制與安防虛擬化的技術領域�����,可用于保護設備與信息安全并實現應用程序的快速跨設備使用�����,保護移動設備的信息安全��,并能實現應用程序通過網絡服務化(Software as a service,簡寫SaaS)�����,以及虛擬化應用程序的權限控制��。
【背景技術】
[0002]移動設備與移動存儲設備在近年快速普及��,但是存在幾個嚴重的問題����,主要的分別有安全性的問題,速度慢的問題�����,以及跨設備實現云應用尤其是如何實現私有云的問題。
[0003]背景一�����、首先是安全性問題�����。
[0004]近年來���,隨著隨著信息技術的不斷發(fā)展����,各類計算機層出不窮��,計算機的應用領域也深入到了社會的各個層面��。根據美國康奈爾大學計算機科學系工程教授JohnHopcroft教授總結��,當前計算機領域存在兩個明顯的趨勢�����,分別是智能移動設備的大量使用,以及云計算的發(fā)展���。然而�,伴隨著這兩個趨勢����,用戶終端上也就凸顯出了相應的兩個問題,迫切需要可靠的解決方案�����。移動存儲設備���,尤其是移動硬盤與U盤,由于其價格便宜��、攜帶使用方便得到了廣泛的應用���。內網中機密數據以電子文檔的形式存儲在電腦上�,在方便了內部人員對信息的獲取�����、共享和傳播的同時,也存在重要信息通過內部途徑泄密的風險����。
[0005]移動存儲介質的使用者也經常忽視對移動設備的查殺毒工作,這也會給移動存儲介質的安全也造成一定程度的影響���。在實際的使用中����,移動存儲介質不可避免地會感染一些外在的計算機病毒�,如果不能及時有效地查殺病毒,輕易將染毒文件在單位內計算機打開����,就很容易將病毒傳播到單位內部網中,影響到單位內計算機的應用操作��。
[0006]為了對抗泄密和感染病毒����,對移動存儲介質來說,電子文件的安全保護目前主要采用內核加密�、身份認證、訪問控制和安全審計等技術來實現:
1.加密技術����,保證只有擁有密鑰的人員才能對文件進行操作��。一些制造商為了提高產品的技術含量����,開發(fā)出具有指紋識別��、加密分區(qū)等安全措施的移動存儲設備��,如果不慎丟失�,一般人可能無法直接獲取其中數據,但對專業(yè)人員來說�,這些數據安全措施是容易被攻破的。隨著密碼破解技術的發(fā)展�����,不論是運用Word���、WPS等自帶的密碼功能設置密碼,還是利用加密軟件對文件��、文件夾甚至全盤進行加密����,都有可能對密碼進行破解��,只是時間長短的問題�。
[0007]加密技術的兩個基本元素是加密算法和加密密鑰��。加密按照發(fā)送方/接收方的加密密鑰/解密密鑰是否相同可以將加密技術分為對稱加密和非對稱加密��。對稱加密也稱為私鑰加密��,它是指發(fā)送方�����、接收方采用相同的密鑰對數據進行加密����、解密。對稱加密的安全性取決于密鑰的安全性���,只要密鑰是安全的那么即使對手知道了密文和加密算法在沒有密鑰的情況下也不可能獲得明文�。值得注意的是加密方式的安全性判別有兩個標準��,通常可以認為只要破解密鑰所花費的時間超過了加密信息本身的有效期或者破解密文所花費的成本超過了密文本身的價值�����,那么可以認為該加密算法就是安全的�����。
[0008]2.訪問控制���。一般需要和身份認證相結合��,訪問控制機制的基本思想是對文件和管理人員賦予相應的權限���,只有具備對文件操作的權限才能對文件進行操作。訪問控制技術是信息安全技術中不可或缺的一環(huán)��,訪問控制技術的基本思想是根據用戶所擁有的權限來控制用戶對資源的訪問�。訪問控制技術大體上可以分為扁平化結構和層次化結構,扁平化結構的特點是用戶權限和資源直接關聯����,層次化結構的特點是用戶權限和資源之間并不直接禍合。
[0009]3.安全審計���。只有對電子文件的操作過程進行記錄才能保證在電子文件泄漏事件發(fā)生后對責任人進行處理��,從而降低泄漏事故發(fā)生的概率����。但是�����,移動存儲設備的管理方面缺乏有效的管理監(jiān)督機制和保密機制�。
[0010]但是,這些移動設備的安全防護既會帶來更高的成本����,也會給移動設備方便的使用特性帶來麻煩。
[0011]這些安全性問題���,同時也阻撓了移動設備上應用與運算的發(fā)展����。許多情景下�,迫切需要移動的程序運算與工作展開,但是由于嚴重的安全問題��,而不得不作罷。一個典型的案例就是Windows to Go在許多商業(yè)公司被禁止�����。
[0012]背景二��、速度慢的問題��。
[0013]此處的速度慢主要指的是移動設備承載虛擬化工作后速度慢的問題�����。移動設備本身速度都不快����,與計算機的連接接口的速度也一般。而虛擬化會造成速度的進一步減慢�,不可避免地給用戶體驗帶來很大的影響。
[0014]比如�����,微軟的Windows 8企業(yè)版具有Windows to Go的功能���,允許企業(yè)級用戶創(chuàng)建基于USB的系統(tǒng)��,但是對設備速度的要求非常高�����,使得其實現成本其實很高����。
[0015]而且傳統(tǒng)的虛擬機對于宿主計算機的性能有較高的需求����,以致在一些老舊電腦上不足以啟動運行。因為傳統(tǒng)的虛擬機都需要占用至少一顆CPU��,一部分獨占內存��,來虛擬出一臺完整的計算機�,并需要在其中安裝完整的操作系統(tǒng),再在其上安裝操作程序����,這樣很耗硬件資源,很慢��!
并且運行應用程序前啟動虛擬機時需要進行一個很長的虛擬機開機時間����,等待很久�。
[0016]而且每一個應用程序運行的時候使用的是虛擬機的硬件設備����,而對于一個擬在雙核2G內存的較高配置上運行的虛擬機,其硬件設置一般也不宜高于宿主計算機的一半即單核IG內存(否則宿主計算機會陷入卡頓)����,那么可以設想,在這樣低劣性能的虛擬機上��,能夠運行什么程序���?這些程序又會是什么速度����?
這就是傳統(tǒng)虛擬機僅僅用于工控調試的原因��。
[0017]背景三�、跨設備實現云應用,尤其是如何實現私有云的問題����。
[0018]早在1997年���,南加州大學教授Ramnath K.Chellappa就提出了云計算的第一個學術定義,他認為“云”是一種計算模式����,計算的界限是由經濟合理性決定的,而不是由技術水平來決定��。
[0019]云計算是網格計算����、分布式計算�����、虛擬化��、并行計算����、效用計算、負載均衡�����、網絡存儲等傳統(tǒng)計算機技術和網絡技術發(fā)展融合的產物。云計算的目的是通過網絡把多個低成本的計算實體整合成一個具有強大“性價比”的計算機應用系統(tǒng)��,并借助SaaS�����、PaaS�、IaaS、MSP等先進的商業(yè)模式把這強大的計算能力分布到終端用戶手中���。這種特性經常被稱為像水電一樣使用IT基礎設施�����。
[0020]最先是云存儲���。蘋果iCloud, Google,亞馬遜 Cloud Drive, Windows LiveSkyDrive和Dropbox紛紛推出了大容量的存儲空間。雖然相比于目前動輒數T的本地存儲空間����,以及本地已經每秒數G的本地或USB傳輸速度,云存儲的區(qū)區(qū)數G的大小和以M每秒計算的網絡傳輸速度顯得還很不足�����,或者說這也可能是由于硬件存儲與傳輸接口的發(fā)展速度總是會快于網絡環(huán)境發(fā)展速度造成的必然結果,但是不可否認的是�����,云存儲在文件交互�����、故障維護上比用本地存儲方便很多���,所以是本地存儲的有效可靠的補充����。
[0021]云計算的第二個階段���,就進入了目前最新的話題之一,云應用的階段����。近年來較為知名的VMware,ChromeOS, VMforce等一系列云計算應用產品�����,均為云應用的發(fā)展做出了較大的貢獻。
[0022]但是目前云端應用的缺陷還是很明顯的�。舉例如下。
[0023]首先�����,極高的服務器資源需求與技術要求��,因此集中控制在少數大公司手里�。比如谷歌的ChromeBook等。一般的中小企業(yè)不具備實現能力����。這也使得云應用成本很高,目前不能普及�。
[0024]第二,依賴于LAN的高速�����。與局域網不同�����,一般的廣域的LAN的速度能夠支持在線播放、在線編輯文檔��、甚至在線小游戲����,但是無法進行更具實用性的工作與娛樂。網絡的速度無法支持在線玩大型的3D游戲或者進行Matlab工作程序運算�����。誠然網絡的速度會發(fā)展����,但是不可否認的是程序與游戲的復雜性與計算量增長的更快。
[0025]第三���,應用存在很大的局限性和兼容性?���,F在的Google ChromeBook像一個網絡化的DOS (DiskOperat1n System磁盤操作系統(tǒng))�����,它的啟動速度夠快����,但是局限太多,支持的東西太少�����。谷歌表示�����,“所有Chrome OS應用都采用Web技術”���。因此Chrome OS能夠支持的應用必須是可以基于Web運行的���。這也就是說用戶購買的實質上是一個瀏覽器。而微軟服務器的RemoteApp和Critex主導的遠程XenApp模式則存在很大的兼容性問題���。
[0026]第四����,用戶所有數據都存儲在網絡上���,安全性如何獲得有效的保障���,是一個很大的疑問�����。假設用戶可以相信Google能夠提供足夠安全的環(huán)境�,但一些不想置于網上的隱私應該怎么辦��。
[0027]第五�,不同用戶間如何實現安全隔離,對于低權限低信任的用戶又要如何進行權限控制�����。云中的應用種類多樣�����,如何保證各種應用之間的安全隔離����,同時能否及時阻止包括云內和云外的非法訪問,以保證各種異構應用的安全��。企業(yè)考慮部署云應用時���,安全問題常常是最常見的障礙�。根據IDC的調查�,90%的企業(yè)認為安全是部署云的最大障礙。云端模式必須首先能夠為用戶提供安全的服務���,這意味著�,應用所在平臺必須首先是一個安全的平臺���、放心的平臺�,用戶才會選擇將應用轉到云端中�����。
[0028]總之�����,云應用必須降低成本與技術門檻��,并解決安全隔離的問題���,否則一般中小公司與個人無法實現云服務����。
[0029]要降低成本,就必須改變計算模式����,否則服務方資源會限制服務的載荷。
[0030]要降低技術門檻��,就必須要能夠實現個人云�����。個人云計算是云計算在個人領域的延伸�����,是以Internet為中心的個人信息處理���,即通過Internet對個人的各種信息進行組織�、存儲���、分發(fā)和再加工����。與所有的“云”一樣��,個人云由服務器��、終端�����、應用程序和個人信息組成�����。個人云計算具有與一般云計算相同的特征�,例如共享、隨意訪問和可擴展�����。同時��,它也具有與一般云計算不一樣的特點����,這是由個人信息的特點決定的。個人信息是私有的��,對安全性要求較高。個人擁有大量的圖片����、視頻等多媒體信息,要求存儲量大并可以擴展�,而對計算能力要求不強。市場調研機構Gartner預測���,“個人云”在2014年將取代PC����,成為網民數字生活的核心���,真正進入應用驅動的時代�。
[0031]對以上三大背景問題的總結���,歸納為6個具體的目前存在與移動設備�����、計算虛擬化與云應用上的問題:
1.移動設備的數據安全問題���;
2.移動設備的應用部署問題�����;
3.傳統(tǒng)虛擬化占用硬件資源����;
4.傳統(tǒng)虛擬化啟動時間長����,運行速度慢���;
5.用戶之間缺乏安全隔離��,不同信任級別用戶需要權限控制分級���;
6.不同應用之間缺乏隔離,需要避免可能的對系統(tǒng)的操作與攻擊�����;
當然��,在具體的應用場合�,某個具體的市場上�,一般不會同時遇到上述全部問題�����,而是遇到其中某個問題成為重點頭疼問題���?��?墒牵@些問題實際上是結構性內稟缺陷�,如果有一種結構性的重建方案,能夠同時解決掉上面的問題�����,那么����,就構成一個普適通用的基本結構,可以廣泛應用于移動存儲設備���,便攜式計算與SaaS�。
【發(fā)明內容】
[0032]為了解決上述的安全防護和權限控制問題,并實現高性能高速度的�����、低成本的云應用設備����,本發(fā)明提出一種加密的帶客戶端的虛擬磁盤與虛擬應用層嵌套來實現計算虛擬化的方法,該方法建立虛擬卷加密層以及虛擬應用層��,將虛擬卷加密層直接存在于存儲設備上�����,將虛擬應用層存儲于虛擬卷加密層內�。見附圖1���。
[0033]為了便攜式和安全抗攻擊的需要�����,設備不直接使用物理磁盤�,而是通過虛擬磁盤��,將運算與應用程序都基于虛擬磁盤。通過客戶端控制所有流入流出該虛擬磁盤的I/O操作��。
[0034]虛擬卷加密層通過創(chuàng)建一個虛擬卷并控制其訪問實現����,系統(tǒng)訪問加密層時將卷文件映射成系統(tǒng)中的磁盤分區(qū)。
[0035]虛擬卷(虛擬磁盤)加密層采用客戶端并為不同用戶分配不同權限密鑰的方式�����,每個用戶有一個客戶端的帳號與密碼����,客戶端為不同用戶應用不同的密碼與權限,所述權限包括對不同文件的訪問權限�����、IP的綁定���、使用次數��、修改權限�����、拷貝權限�、使用截止日期等。
[0036]并且���,虛擬卷加密層針對不同的需求可以有多種模式�,針對高性能需求與一般的安全防護需求��,虛擬卷加密層采用單次認證模式���,當用戶訪問虛擬卷時驗證密鑰�����,通過后直接將卷文件映射成系統(tǒng)中的磁盤分區(qū),不再對每次讀寫認證��。針對高安全防護需求�,適當犧牲性能,虛擬卷加密層采用每次讀寫認證模式�����,當用戶從虛擬磁盤分區(qū)讀取數據文件時����,數據在經過虛擬磁盤驅動程序時進行解密操作����,將文件以明文形式提交給用戶����;當用戶寫入文件時虛擬磁盤驅動程序對數據進行加密后傳遞給設備驅動程序,最終數據以密文形式存儲在物理磁盤上的虛擬卷��。
[0037]除了不使用物理磁盤也不安裝操作系統(tǒng)�,設備的應用程序部署也基于一個虛擬應用層。不同于虛擬機的是��,這個虛擬應用層不虛擬硬件��,不虛擬系統(tǒng)�,應用虛擬采用的方式為通過虛擬化應用環(huán)境、重定向注冊表與庫文件的方法來跨設備運行應用程序�,此時,該虛擬應用層依賴于宿主系統(tǒng)或附加的系統(tǒng)層系統(tǒng)�,依賴于虛擬磁盤層認證解密后加載的虛擬磁盤作為載體,應用層存儲與虛擬卷內部��。
[0038]這種虛擬方式下是以應用為單位的����,應用內部的調用關系是自我包含的��。因此對于虛擬應用層的程序����,為了獲得更快的速度效果�����,可以很方便的利用部分內存虛擬化為磁盤進行緩存的辦法加速���。不同于一般的計算設備中的緩存�����,這里并不需要用戶習慣數據與使用頻率的積累����,由于應用已經被完全虛擬化����,運行時可以直接通過抽取該應用到內存ramdisk或到高速閃存的方式來進行直接快速緩存��。
[0039]所述方案實際上是一套技術方案,可以應用在各類場合�����。比如用的存儲設備可以是任何移動設備�����,也可以具有USB接口��,從而能夠與計算機以USB協(xié)議連接����,也可以具有無線網卡,從而能夠與計算機以無線協(xié)議連接��,如家庭網絡存儲等��。
[0040]有益效果與創(chuàng)造性
本發(fā)明方案的主要優(yōu)點在于低成本�����、低門檻地實現了一個性能好��、使用方便��、安全權限設置全面、高度隱私的虛擬化應用設備����。
[0041]低成本、高度便攜:不需要服務器�����。一個存儲設備經過所述方案處理即可實現�。
[0042]低門檻:不需要額外的技術設備。
[0043]性能好��、速度快:由于抽離出單獨的應用層���,進行緩存加速�����,可以較快地運行虛擬化后的應用���。
[0044]安全權限設置全面:由于應用層放置在虛擬卷加密層內,所有的權限控制都可以通過虛擬卷加密層實現�����。諸如為不同用戶應用不同的密碼與權限�,所述權限包括對不同文件的訪問權限、IP的綁定���、使用次數��、修改權限�����、拷貝權限����、使用截止日期等均可��。
[0045]使用方便:設備具備2種常用模式:一�、USB連接計算機,訪問加密層�,如需要再訪問應用層,適用于移動工作與有較高機密要求的工作�;二、通過網絡共享到其他計算機���,從HOST計算機的系統(tǒng)訪問加密層����,身份認證后依據所對應身份的權限再訪問應用層,適用于軟件服務化�,以及企業(yè)云等。
[0046]該發(fā)明的創(chuàng)造性:
該發(fā)明中運用到了幾項現有技術�����,但不是這些技術的簡單組合�,既在各層結構上有創(chuàng)造,也在現有技術的應用上有創(chuàng)造與修改�。結構上有嵌套組合,比如虛擬應用層在虛擬卷加密層內����,而虛擬卷加密層通過客戶端控制不給與直接訪問等。
[0047]本身在技術上也有變化與改動��,首先����,比如,虛擬應用層不是虛擬機技術的克隆�,而是重新設計的虛擬化結構,其沒有虛擬硬件,也沒有虛擬系統(tǒng)層���,而是用虛擬磁盤層做了替換,且這樣替換后虛擬應用的支持能力好��,比虛擬機更好����。速度也更快。首先���,不會預占CPU處理器等硬件配置與資源��,也不需要虛擬機的開機等待��,應用程序也可以享有完整的宿主計算機硬件配置�;其次�,由于抽離出單獨的應用層,方便進行緩存加速��,可以較快地運行虛擬化后的應用���。之前業(yè)界普遍認為虛擬機會減慢程序運行速度����,這種觀點也阻撓了移動應用設備的發(fā)展,在本發(fā)明中就客服了速度問題�����。
[0048]此外����,這種方案還意外地解決了程序的移植問題與基于網絡提供SaaS的問題。移植問題:在傳統(tǒng)的虛擬機技術中�,應用程序需要拷貝入虛擬機后安裝到虛擬機,與虛擬機存在依存關系��,很不易于移植���,而在本方案的虛擬應用層中就擺脫了這種依存關系����?;诰W絡提供SaaS的問題:即使在現今的高速網絡下,虛擬機仍然不可能通過網絡載入運行����,而本方案中的虛擬應用都是自我包含的���,用戶完全可以通過互聯網訪問虛擬卷加密層,通過網絡認證身份與密鑰����,客戶登錄客戶端,載入權限內的虛擬應用���。并且此種SaaS不損傷服務端的系統(tǒng),類似P2P分發(fā)應用程序�。
[0049]又比如,虛擬磁盤層不是原有的虛擬磁盤技術的克隆���,為了實現權限控制并同時讓虛擬應用自由運行����,也進行了重新設計�����,大大改進了安全控制能力和應用運行能力�。虛擬卷本身通過加密控制,比物理磁盤尤其是可移動磁盤有更好的安全性�����,且加載時在身份認證后并不解密而是只通過客戶端控制管理1/0,本身依然不能直接訪問�,客戶端通過密鑰核對身份后打開虛擬磁盤,但并不解密虛擬磁盤�,使用者必須通過客戶端進行所有的文件操作和應用啟動操作,而在該客戶端上設置I/o權限限制如給予不同用戶不同權限如不能復制�,不能刪除等,來實現權限控制�。
[0050]下面的【具體實施方式】中,將做出更詳細的闡述�。
【具體實施方式】
[0051]基于本發(fā)明所描述的方法可以創(chuàng)建各種形式的分層虛擬化設備,本處僅描述一個樣例����。硬件本身基于一個閃存磁盤,帶有USB接口和Wifi網卡�,能夠以USB或無線分享的方式連接到一般的計算機或移動設備。分層虛擬化實現方式為:在存儲分區(qū)中存放一個虛擬卷�,進行密鑰加密,在虛擬卷中安裝了虛擬應用層(或建立了虛擬化的程序運行環(huán)境并抽取應用程序所需的Library運行庫和注冊表)�。虛擬卷外則是普通的存儲空間。該虛擬卷文件夾外存放有身份驗證的客戶端�����,當用戶運行客戶端經過密鑰認證后,該虛擬卷會被載入為一個共享在網絡上的磁盤Y����,但不支持直接訪問,而是需要經由客戶端內的專門為該虛擬卷制作的資源管理器訪問��。在該客戶端內的資源管理器可以打開虛擬應用層��,以及虛擬化的應用程序的安裝與管理的控制面板程序�����,負責應用程序的安裝�、卸載���、管理����、目錄索引����、運行。這些虛擬化的應用程序只需從控制面板中點擊就可以直接運行���,因為其運行所需要的注冊表和環(huán)境文件和Library庫文件都已經一并存儲在虛擬卷中����,當程序運行調用時直接重定向到這些虛擬卷內的文件。
[0052]樣品設備還支持一個快速運行模式�����,可以由用戶選擇是否開啟��,實現方式為:啟動控制面板后�����,同時執(zhí)行內存虛擬化操作�,分割一部分內存作為虛擬磁盤Ramdisk。從控制面板點擊程序運行時�,由于程序已經被虛擬化處理了,包含了其運行所需的注冊表和環(huán)境文件和Library庫文件�����,所以可抽取到上述的內存虛擬磁盤中����。這一步載入會導致樣例設備上啟動應用程序比較慢���,但是載入到內存虛擬磁盤后運行速度會非常快�。
[0053]當樣例設備以USB連接計算機時,該計算機能夠訪問樣例設備的存儲分區(qū)�����,可以訪問虛擬卷加密層的客戶端程序�����,運行客戶端程序����,認證密碼�,獲得對應密鑰用戶的權限,并載入虛擬卷加密層為網絡磁盤Y�。該網絡磁盤Y是不允許資源管理器直接訪問的。用戶通過客戶端來訪問其中資源��,以及開啟應用層的控制面板程序�,從中查看程序列表,運行應用程序���。所有本地的操作系統(tǒng)能夠完成的工作都可以在樣例設備的分層模式下完成���,所不同的是��,所有對應用程序和工作空間的修改��,比如保存數據��、設置偏好����、安裝新程序等都在應用層完成��,而文件操作都在虛擬卷加密層完成����,在關機退出后在本機不留下痕跡。本模式主要適用于完成一些客戶服務工作��、移動工程師����、維修殺毒工作、商務機要操作以及攜帶工作空間等。
[0054]當樣例設備以加密的Wifi共享連接到附近的計算機時��,該計算機能夠在網絡設備中發(fā)現到樣例設備�����,呈現為一個網絡上的計算機文件夾��,進入該網絡文件夾���,可以訪問虛擬卷加密層的客戶端程序��,運行客戶端程序��,認證密碼��,獲得對應密鑰用戶的權限���,并載入虛擬卷加密層為網絡磁盤Y。該網絡磁盤Y是不允許資源管理器直接訪問的���。用戶通過客戶端來訪問其中資源,以及開啟應用層的控制面板程序����,從中查看程序列表���,運行應用程序。多個用戶能夠共同訪問使用�,并擁有不同的權限,比如有的用戶不能夠復制特定文件���,有的用戶不能看到特定程序�,有的用戶如訪問用戶有使用時長限制等�,很適合企業(yè)單位用于統(tǒng)一集中控制本單位的程序和文件。對于一個家庭用戶�,或者私人用戶,也能夠用于讓其所有設備在一個安全隔離和安全控制的環(huán)境下共同使用應用程序����、游戲等.以上兩個工作模式總結如附圖2所示。該模式可用于實現SaaS����。
【附圖說明】
[0055]
圖1.分層結構原理圖。
[0056]圖2.樣例設備的運行模式示意圖��。
【主權項】
1.一種采用虛擬磁盤與虛擬機嵌套來實現計算虛擬化的方法����,該方法建立至少兩個虛擬化層次���,分別為虛擬卷加密層以及虛擬應用層,其中虛擬卷加密層加載后在計算設備中生成虛擬磁盤�,應用層不通過虛擬機,不包含虛擬硬件與系統(tǒng)等����,而是通過虛擬化應用環(huán)境、重定向注冊表與庫文件的方法來跨設備運行應用程序�,并將虛擬應用層存儲于虛擬卷加密層內。2.—種權利要求1所描述的方法���,其特征在于��,虛擬卷加密層通過創(chuàng)建一個虛擬卷�,經驗證密鑰后載入為虛擬磁盤并控制其訪問實現���,并且該虛擬加密卷層只通過客戶端控制管理1/0����,客戶端通過密鑰核對身份后打開虛擬磁盤���,但并不解密虛擬磁盤���,使用者必須通過客戶端進行所有的文件操作和應用啟動操作,而在該客戶端上設置I/O權限限制如給予不同用戶不同權限實現權限控制��,系統(tǒng)訪問加密層時將虛擬卷文件映射成系統(tǒng)中的磁盤分區(qū)�,應用層通過虛擬機或虛擬化應用環(huán)境并抽取程序所需的Library運行庫和注冊表來實現,使得部署在應用層的程序可跨設備使用�����。3.—種權利要求1所描述的方法����,其特征在于,該方法另外還擴展兩個獨立的虛擬化層次���,分別為鏡像系統(tǒng)層以及緩存層�,其中鏡像系統(tǒng)層包含至少一個鏡像操作系統(tǒng)或USBOTG系統(tǒng)�,包含有系統(tǒng)內核環(huán)境,但不安裝到設備�����,而是直接存在存儲設備上,設置為可以通過USB啟動或網絡啟動等方式引導啟動���,在不使用宿主計算機系統(tǒng)時通過USB啟動或載入到內存虛擬的Ramdisk磁盤運行����,為虛擬卷加密層和虛擬應用層提供基本的系統(tǒng)內核環(huán)境����,緩存層抽取以應用為單位虛擬化的虛擬應用,將虛擬應用完整或部分地映射到宿主計算機的內存或高速外設中進行緩存��,有兩種緩存模式�����,其一利用部分內存虛擬化為磁盤進行緩存的辦法加速��,其二通過在外接存儲設備中或虛擬卷加密層所在的存儲設備中應用readyboost 實現�。4.一種權利要求1所描述的方法,其特征在于���,虛擬卷加密層采用單次認證模式�����,當用戶訪問虛擬卷時驗證密鑰��,通過后直接將卷文件映射成系統(tǒng)中的磁盤分區(qū)�,不再對每次讀寫認證�。5.一種權利要求1所描述的方法,其特征在于����,虛擬卷加密層采用每次讀寫認證模式,當用戶從虛擬磁盤分區(qū)讀取數據文件時�����,數據在經過虛擬磁盤驅動程序時進行解密操作����,將文件以明文形式提交給用戶;當用戶寫入文件時虛擬磁盤驅動程序對數據進行加密后傳遞給設備驅動程序���,最終數據以密文形式存儲在物理磁盤上的虛擬卷���。6.一種權利要求1所描述的方法,其特征在于��,虛擬卷加密層采用多用戶不同權限密鑰的方式,為不同用戶應用不同的密碼與權限���,所述權限包括對不同文件的訪問權限����、IP的綁定�����、使用次數�、修改權限、拷貝權限�、使用截止日期等。7.—種依據權利要求1所描述的方法制造的設備����,其特征在于,包含至少一個啟動分區(qū)(網絡啟動或CDROM或USB-HDD分區(qū)等)�,以及至少一個可寫入的存儲分區(qū)(可移動磁盤類型或者本地磁盤類型),啟動引導的分區(qū)能夠引導載入鏡像只讀的系統(tǒng)文件���,比如ISO鏡像文件���,運行時將鏡像系統(tǒng)載入內存運行�,而在存儲分區(qū)中分開存放一個或多個虛擬卷�,在虛擬卷中安裝程序虛擬機(或建立了虛擬化的程序運行環(huán)境并抽取應用程序所需的Library運行庫和注冊表)。8.—種依據權利要求1所描述的方法制造的設備���,其特征在于��,設備還預裝了基于Linux的系統(tǒng)維護環(huán)境,通過USB啟動或網絡啟動�。9.一種依據權利要求1所描述的方法制造的設備,其特征在于�����,設備具有USB接口���,與計算機以USB協(xié)議連接���,在與計算機以USB連接后,計算機用戶核對密鑰后打開設備的虛擬卷作為磁盤���,載入該虛擬磁盤�,通過客戶端模式管理文件及使用其中的虛擬化應用����。10.一種依據權利要求1所描述的方法制造的設備�,其特征在于�,設備具有無線網卡,與計算機以無線協(xié)議連接�����,在與計算機以無線連接后�����,計算機用戶核對密鑰后打開設備的虛擬卷作為磁盤�,載入該虛擬磁盤,通過客戶端模式管理文件及使用其中的虛擬化應用����。
【文檔編號】G06F21/62GK105844167SQ201510015855
【公開日】2016年8月10日
【申請日】2015年1月14日
【發(fā)明人】張維加
【申請人】張維加