CN106919439A - 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 - Google Patents
基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 Download PDFInfo
- Publication number
- CN106919439A CN106919439A CN201710146218.1A CN201710146218A CN106919439A CN 106919439 A CN106919439 A CN 106919439A CN 201710146218 A CN201710146218 A CN 201710146218A CN 106919439 A CN106919439 A CN 106919439A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- file
- management
- mirror image
- virtualization
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45545—Guest-host, i.e. hypervisor is an application program itself, e.g. VirtualBox
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/0604—Improving or facilitating administration, e.g. storage management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0622—Securing storage systems in relation to access
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0662—Virtualisation aspects
- G06F3/0667—Virtualisation aspects at data level, e.g. file, record or object virtualisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
- G06F3/0674—Disk device
- G06F3/0676—Magnetic disk device
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45575—Starting, stopping, suspending or resuming virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Human Computer Interaction (AREA)
- Storage Device Security (AREA)
Abstract
本发明属于计算机安全领域,涉及一种基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术,同时支持各种虚拟机操作系统,提供镜像文件的智能管理、虚拟机动态创建等方法,保证虚拟机处于不同磁盘空间,从而实现存储的有效隔离,能够广泛应用于虚拟化安全的领域。包括:每个虚拟机位于不同的磁盘区域或空间;访问虚拟机资源需要经过身份认证,不可以随意读写虚拟机文件;虚拟机和宿主机之间有严格的权限级别,不能随意进行文件共享;虚拟机不能通过宿主机再访问另一个虚拟机。本发明的安全虚拟化隔离系统由五个核心组件构成:虚拟机监视器、基于卷快照的虚拟机简单磁盘、操作系统动态迁移管理器、修改跟踪管理器和隐式操作系统信息重构组件。
Description
技术领域
本发明属于计算机安全领域,涉及一种基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术,同时支持Windows、Linux等虚拟机操作系统,提供镜像文件的智能管理、虚拟机动态创建、管理、终止等方法,并能够保证虚拟机处于不同磁盘空间,从而实现存储的有效隔离,能够广泛应用于虚拟化安全的领域。
背景技术
现今,虚拟机技术根据应用和与直接机器的相关性可以分为两个方向,即系统虚拟机(system virtual machine)和程序虚拟机(process virtual machine)。随着虚拟化技术得到越来越广泛的应用,相应地,虚拟机的安全也变得越来越重要。虚拟机作为一种虚拟化的操作系统,与物理机操作系统有较大的不同,运行机制要求更高,安全漏洞也更多。尤其是当一台物理机上有多个虚拟机时,每个虚拟机使用的资源必须可靠有效地隔离,显得异常重要。
常见的虚拟机运行机制存在如下问题:
(1)虚拟机使用的宿主机磁盘空间容易产生重叠,这样会导致虚拟机在运行过程中,使用同一块区域,产生文件读写错误。
(2)一个虚拟机未通过授权就访问另一个虚拟机的资源。
(3)虚拟机的文件没有身份验证,宿主机可以通过共享能使用虚拟机的文件。
(4)一个虚拟机通过恶意程序,然后经过宿主机在访问另一个虚拟机。
(5)虚拟机的镜像文件不能实现智能管理。
从以上的问题分析中,我们可以认识到虚拟机的运行如果没有相应的隔离措施,就会产生很大的安全漏洞和隐患,因此,如果能有一种方法实现对虚拟机的有效管理,实现存储的安全隔离,就能大大提高虚拟机使用的可靠性和健壮性。
发明内容
本发明提出一种新的虚拟机隔离技术,用以保护虚拟机运行过程中存储资源的有效隔离,从而提高虚拟机的安全性和可靠性。
本发明提出的虚拟机存储隔离技术包括:每个虚拟机位于不同的磁盘区域或空间;访问虚拟机资源需要经过身份认证,不可以随意读写虚拟机文件;虚拟机和宿主机之间有严格的权限级别,不能随意进行文件共享;虚拟机不能通过宿主机再访问另一个虚拟机。本文采用的安全虚拟化隔离系统(Safe Virtualization Isolation System,SVIS)由五个核心组件构成:SVIS虚拟机监视器(SVIS VMM)、基于卷快照的虚拟机简单磁盘、操作系统动态迁移管理器、修改跟踪管理器和隐式操作系统信息重构组件。
根据本发明的上述方法,可以解决以下问题:
1 支持虚拟机位于不同的磁盘区域或空间,保证虚拟机资源的不重叠;
2 访问虚拟机资源需要经过身份认证,加强虚拟机资源的保护性;
3 虚拟机和宿主机之间以及虚拟机和虚拟机之间有严格的区别,互相之间不可以随意通信和访问。
4 能对生成虚拟机的镜像文件进行智能管理,保证镜像文件能映射在经过虚拟化后的不同磁盘上。
本发明方法的操作步骤如下:
1)准备三台PC机,两台安装CentOS操作系统,一台安装任意操作系统(只要有浏览器就行);
2)根据需要制作虚拟机所需要运行的镜像文件,并同时创建引导文件和内核文件;并将上述三个文件放到指定位置;
3)以一台安装CentOS系统作为节点服务器,部署相应的文件系统,启动节点服务器NCServer;
4)以另一台安装CentOS系统作为管理服务器,部署相应的文件系统,并启动管理服务器VM Manager Server;
5)以管理员身份登录本系统,依次选择“镜像管理”|“分发镜像”,将镜像文件分发到节点服务器上,并能实现智能化管理;
6)依次选择“实例管理”|“创建实例”,选择分发的镜像文件、设置虚拟机IP地址及其它相关信息,就可以创建所需要的虚拟机;
7)通过点击“镜像管理”|“查看镜像”可以查看分发的镜像情况,通过点击“实例管理”|“查看实例”可以查看正在运行的虚拟机情况;
8)根据查看实例中显示的IP地址信息和相关认证信息,就可以有效地使用有效存储隔离的虚拟机。
本发明的有益效果是:
本发明方法支持虚拟机存储的有效隔离,保证每个虚拟机占用不同物理资源,并且虚拟机的访问和使用有严格的身份认证机制,以强化虚拟机中文件的安全性和原子性。本发明的主要有益效果如下:
1)磁盘文件虚拟化:利用硬件虚拟化技术,对磁盘进行虚拟化管理,保证每个磁盘经过虚拟化后,能实现有效的物理隔离。
2)镜像文件管理智能性:可以保证镜像文件能够被智能管理,并与虚拟化的磁盘产生逻辑对应关系,即能使镜像文件也实现有效的物理隔离。
3)多虚拟机稳定性:保证每个虚拟机安全稳定运行,即使在一台物理机上运行多个虚拟机,也能有效运行。
4)镜像文件和虚拟机的协调运行:能保证每个虚拟机运行于一个镜像文件上,也能保证多个虚拟机运行于多个镜像文件上,并且能协调运行,互不干扰。
附图说明
图1为本发明中提出的虚拟机工作原理;
图2为本发明资源预留的流程图;
图3为本发明虚拟机存储隔离的处理流程。
具体实施方法
以下结合附图对本发明作进一步说明。
虚拟机资源的动态预留和调整是使用虚拟机的常见需求之一,本发明通过实现物理机和虚拟机的有效预留,可以动态启动和关闭物理机,也可以动态创建和销毁虚拟机。虚拟机存储的安全隔离涉及多方面的技术,包括虚拟机镜像文件的制作、镜像文件的管理、磁盘文件的管理、磁盘分区技术、用户认证机制、权限管理与分配等。
参见图2,虚拟机资源的动态预留和调整包括如下一些功能或技术,资源预留的管理与分配、预留权限的设置、预留信息的管理和配置、定时器的管理、物理机的电源管理等。
图2具体具体流程为:
1)客户远程申请虚拟机或物理机的预留;
2)系统根据用户的权限和预留情况跳转到物理机预留或虚拟机预留功能模块;
3)如果是物理机预留,系统将用户信息、预留物理机IP、预留时间等信息放入数据库进行保存;
4)定时器进行事件处理,当到达预留结束时间的前10分钟,启动物理机,当到达预留的开始时间时,锁定或者关闭计算机;
5)如果是虚拟机预留,系统将用户信息、预留的虚拟机硬盘大小、CPU、内存等放入数据库进行保存;
6)定时器进行事件处理,当到达预留开始时间的前30分钟时,系统执行虚拟机启动程序进行启动,当到达预留结束时间,系统关闭或者终止虚拟机的运行。
参见图3,为本发明为虚拟机存储安全隔离的执行流程,主要包括制作镜像、镜像管理、磁盘管理、镜像分发、创建实例、虚拟机隔离、虚拟机存储安全隔离等步骤。
图3具体流程为:
1)制作虚拟机所需要的镜像文件,包括制作引导文件、内核文件、以及利用操作系统打包并合成镜像文件;
2)将镜像文件纳入数据库和文件系统进行管理,包括镜像的动态修改、镜像中的安装软件和程序动态增加或减少,镜像文件的属性调整,引导文件的配置和管理、内核文件的调整和硬件的拔插管理;
3)对物理机的磁盘进行管理,包括对磁盘进行监控、磁盘的动态分区、磁盘之间通信的管理和配置等。
4)利用Xen进行半虚拟化或全虚拟化管理,并创建Xen通道;
5)根据磁盘信息和Xen通道创建虚拟机,并实现虚拟机的隔离,最后进一步实现虚拟机存储的安全隔离。
通过上面的具体实施方式的描述,本发明的内容已经非常详细,本领域的技术人员都能根据所述内容重现所述方法。当然,本领域的技术人员可以在不脱离本发明的思想和方法范围内,对本发明进行各种改动和变型。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (2)
1.一种基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术,其特征在于,每个虚拟机位于不同的磁盘区域或空间;访问虚拟机资源需要经过身份认证,不可以随意读写虚拟机文件;虚拟机和宿主机之间有严格的权限级别,不能随意进行文件共享;虚拟机不能通过宿主机再访问另一个虚拟机;所述隔离技术由五个核心组件构成:SVIS虚拟机监视器、基于卷快照的虚拟机简单磁盘、操作系统动态迁移管理器、修改跟踪管理器和隐式操作系统信息重构组件。
2.根据权利要求1所述的虚拟机存储隔离技术,其特征在于,具体步骤如下:
1)准备三台PC机,两台安装CentOS操作系统,一台安装任意操作系统;
2)根据需要制作虚拟机所需要运行的镜像文件,并同时创建引导文件和内核文件;并将上述三个文件放到指定位置;
3)以一台安装CentOS系统作为节点服务器,部署相应的文件系统,启动节点服务器NCServer;
4)以另一台安装CentOS系统作为管理服务器,部署相应的文件系统,并启动管理服务器VM Manager Server;
5)以管理员身份登录本系统,依次选择“镜像管理”|“分发镜像”,将镜像文件分发到节点服务器上,并能实现智能化管理;
6)依次选择“实例管理”|“创建实例”,选择分发的镜像文件、设置虚拟机IP地址及其它相关信息,就可以创建所需要的虚拟机;
7)通过点击“镜像管理”|“查看镜像”可以查看分发的镜像情况,通过点击“实例管理”|“查看实例”可以查看正在运行的虚拟机情况;
8)根据查看实例中显示的IP地址信息和相关认证信息,就可以有效地使用有效存储隔离的虚拟机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710146218.1A CN106919439A (zh) | 2017-03-13 | 2017-03-13 | 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710146218.1A CN106919439A (zh) | 2017-03-13 | 2017-03-13 | 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106919439A true CN106919439A (zh) | 2017-07-04 |
Family
ID=59461482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710146218.1A Pending CN106919439A (zh) | 2017-03-13 | 2017-03-13 | 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106919439A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110866245A (zh) * | 2019-11-13 | 2020-03-06 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
| CN113094714A (zh) * | 2020-01-09 | 2021-07-09 | 奇安信科技集团股份有限公司 | 虚拟化平台存储隔离的检测方法及装置 |
| CN115065493A (zh) * | 2022-04-06 | 2022-09-16 | 电子科技大学中山学院 | 一种基于Spice协议的自主安全VDI模型及其优化方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271017A1 (en) * | 2007-04-30 | 2008-10-30 | Dan Herington | Managing Virtual Machines Using Shared Image |
| CN103810422A (zh) * | 2014-02-20 | 2014-05-21 | 东莞中国科学院云计算产业技术创新与育成中心 | 一种基于镜像智能管理的安全虚拟化隔离方法 |
-
2017
- 2017-03-13 CN CN201710146218.1A patent/CN106919439A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080271017A1 (en) * | 2007-04-30 | 2008-10-30 | Dan Herington | Managing Virtual Machines Using Shared Image |
| CN103810422A (zh) * | 2014-02-20 | 2014-05-21 | 东莞中国科学院云计算产业技术创新与育成中心 | 一种基于镜像智能管理的安全虚拟化隔离方法 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110866245A (zh) * | 2019-11-13 | 2020-03-06 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
| CN110866245B (zh) * | 2019-11-13 | 2023-11-07 | 哈尔滨工业大学 | 一种维护虚拟机文件安全的检测方法及检测系统 |
| CN113094714A (zh) * | 2020-01-09 | 2021-07-09 | 奇安信科技集团股份有限公司 | 虚拟化平台存储隔离的检测方法及装置 |
| CN113094714B (zh) * | 2020-01-09 | 2024-05-28 | 奇安信科技集团股份有限公司 | 虚拟化平台存储隔离的检测方法及装置 |
| CN115065493A (zh) * | 2022-04-06 | 2022-09-16 | 电子科技大学中山学院 | 一种基于Spice协议的自主安全VDI模型及其优化方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2557756C2 (ru) | Администрирование защищенными устройствами | |
| CN110414268B (zh) | 访问控制方法、装置、设备及存储介质 | |
| KR102347562B1 (ko) | 보안 제어 방법 및 컴퓨터 시스템 | |
| CN105022954B (zh) | 飞腾cpu上三态操作系统安全内核服务动态运行方法 | |
| US9323927B2 (en) | Apparatus and method for guaranteeing safe execution of shell command in embedded system | |
| CN110661831B (zh) | 一种基于可信第三方的大数据试验场安全初始化方法 | |
| MX2014007102A (es) | Facilitacion de interacciones de solicitud de servicio de sistema para aplicaciones protegidas por hardware. | |
| EP3416333B1 (en) | Seamless provision of secret token to cloud-based assets on demand | |
| US20160078244A1 (en) | Secured file system management | |
| CN106919439A (zh) | 基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术 | |
| CN105487916A (zh) | 一种桌面云环境下的虚拟机安全加固方法 | |
| US8887241B2 (en) | Virtual roles | |
| CN112395631B (zh) | 基于sgx技术的安全数据库系统、方法及介质 | |
| CN106911814A (zh) | 大规模数据分布式存储方法 | |
| CN107147649A (zh) | 基于云存储的数据优化调度方法 | |
| CN110569651A (zh) | 基于国产操作系统的文件透明加解密方法及系统 | |
| CN107135223A (zh) | 海量数据管理系统的数据持久化方法 | |
| CN110569650B (zh) | 基于国产操作系统的可移动存储设备权限管理方法及系统 | |
| Reantongcome et al. | Securing and trustworthy blockchain-based multi-tenant cloud computing | |
| CN109902497A (zh) | 一种面向大数据集群的访问权限管理方法及系统 | |
| WO2021188716A1 (en) | Systems and methods for protecting a folder from unauthorized file modification | |
| KR102430882B1 (ko) | 클라우드 환경 내 이벤트 스트림 방식의 컨테이너 워크로드 실행 제어 방법, 장치 및 컴퓨터-판독 가능 기록 매체 | |
| CN115186269A (zh) | 一种漏洞挖掘方法、装置、存储介质及电子设备 | |
| CN109284622A (zh) | 联系人信息处理方法、装置及存储介质 | |
| Xin et al. | Research of container security reinforcement multi-service APP deployment for new power system on substation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170704 |
|
| RJ01 | Rejection of invention patent application after publication |