CN107111561A - 在完全虚拟化系统监控资源的装置及方法 - Google Patents

在完全虚拟化系统监控资源的装置及方法 Download PDF

Info

Publication number
CN107111561A
CN107111561A CN201580069997.9A CN201580069997A CN107111561A CN 107111561 A CN107111561 A CN 107111561A CN 201580069997 A CN201580069997 A CN 201580069997A CN 107111561 A CN107111561 A CN 107111561A
Authority
CN
China
Prior art keywords
file
full
instruction
virtual machine
virtualization system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201580069997.9A
Other languages
English (en)
Inventor
郑会赞
李官宰
徐承贤
姜景太
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stock Co Water Mountain Int
Original Assignee
Stock Co Water Mountain Int
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stock Co Water Mountain Int filed Critical Stock Co Water Mountain Int
Publication of CN107111561A publication Critical patent/CN107111561A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/301Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is a virtual computing platform, e.g. logically partitioned systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/302Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is a software system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3051Monitoring arrangements for monitoring the configuration of the computing system or of the computing system component, e.g. monitoring the presence of processing resources, peripherals, I/O links, software programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1483Protection against unauthorised use of memory or access to memory by checking the subject access rights using an access-table, e.g. matrix or list
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/061Improving I/O performance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/0614Improving the reliability of storage systems
    • G06F3/0619Improving the reliability of storage systems in relation to data integrity, e.g. data losses, bit errors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0638Organizing or formatting or addressing of data
    • G06F3/0643Management of files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0662Virtualisation aspects
    • G06F3/0664Virtualisation aspects at device level, e.g. emulation of a storage device or system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/02Addressing or allocation; Relocation
    • G06F12/08Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
    • G06F12/10Address translation
    • G06F12/109Address translation for multiple virtual address spaces, e.g. segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45579I/O management, e.g. providing access to device drivers or storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45583Memory management, e.g. access or allocation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/865Monitoring of software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/10Providing a specific technical effect
    • G06F2212/1052Security improvement
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/25Using a specific main memory architecture
    • G06F2212/251Local memory within processor subsystem
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/65Details of virtual memory and virtual address translation
    • G06F2212/657Virtual address space management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Human Computer Interaction (AREA)
  • Quality & Reliability (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明涉及一种解析文件信息生成文件表,且分配内存时生成内存表,之后,在客户操作系统或应用程序发生指令,向虚拟机监控器请求指令的执行,则参照文件表和内存表,以进程单位确定执行与否的在完全虚拟化系统监控资源的装置及方法。

Description

在完全虚拟化系统监控资源的装置及方法
技术领域
本发明用于在完全虚拟化系统监控资源,用于确认按文件已设置的接近权限,监控向文件的接近,控制从虚拟机进程的文件单位的接近。
技术背景
“虚拟化”的字典意思被定义为“对不是实际存在或模糊的,假设当成实际存在的事实或个体”。
在本发明,虚拟化技术是“不受系统结构或硬件的影响,可安装、使用计算机操作系统的技术”。
虚拟化技术最早在1970年代是由IBM提出的技术,在当时被提议为解决主机的空间减少和费用问题。但是,最近不仅在费用减少的效果,而且提供互换性及柔韧性、安全性,虚拟化技术受到关注。主要适用领域为用于云计算的服务器虚拟化和台式机虚拟化、移动虚拟化等多种领域。
虚拟化根据体现方法被分类为多种,可分为大小完全虚拟化(FullVirtualization)和半虚拟化(Para Virtualization)。
完全虚拟化完整地虚拟化硬件,所以是无需修改核心的虚拟化技术。
相反,板半虚拟化是部分虚拟化硬件的方法,将客户(guest)操作系统核心,按照虚拟机监控器(VMM;Virtual machine monitor)要求的界面进行修改。
因安全性利用这些虚拟化技术的理由,是基于高隔离(Isolation)的虚拟化优点。虚拟化环境一般由虚拟机和管理此的虚拟机监控器(VMM;Virtual machine monitor)或管理程序(Hypervisor)构成,且各虚拟机以隔离的空间存在。特别地,在虚拟机发生威胁时,除了相应虚拟机,不影响其他虚拟机和虚拟机监控器。
但是,在虚拟化系统中,在现有的物理机使用的安全方案显示局限,且安全威胁的发生频率也大大增加。
在虚拟化系统,安全方案显示局限的代表性理由是因在一个虚拟化系统,可安装多个操作系统。
黑客利用安装在虚拟化系统的操作系统中的一个,从操作系统水准进行攻击接近数据时,具有难以防止此问题。
因此,需要可有效地监控并切断数据接近的技术。
发明内容
技术课题
本发明为了解决如上述现有技术的问题被导出,其目的是提供在完全虚拟化系统监控资源的装置及方法。
具体地,本发明的目的是提供在完全虚拟化系统中,确认按文件已设置的接近权限,监控向文件的接近,控制从虚拟机进程的文件单位的接近的装置及方法。
此外,本发明的目的是提供事先解析文件信息,生成按文件设置接近权限的文件表,在虚拟机进程水准发生文件输出入指令,则参照文件表判断能否接近文件,控制向文件接近的技术。
此外,本发明的目的是提供事先解析文件信息,生成按文件设置接近权限的文件表,分配内存时,生成包括被分配的内存领域和进程信息的内存表,在虚拟机进程水准发生指令,则参照文件表和内存表,控制指令的执行与否的技术。
技术方案
为了达到如上述的目的,根据本发明的一个实施例,在完全虚拟化系统监控资源的方法,其步骤包括:解析文件信息,生成文件表;在客户操作系统或应用程序发生文件输出入指令,则向虚拟机监控器请求所述文件输出入指令的执行;及通过所述文件表,确认所述文件输出入指令是否能接近要接近的文件。
在这种情况下,通过所述文件表,确认所述是否能接近的步骤可包括:通过仿真器将所述文件输出入指令,仿真为在所述虚拟机监控器能够被确认的形态。
在这种情况下,所述文件信息可以是文件路径(path)信息、块编号(blocknumber)及索引节点(i-node)信息中的至少一个。
在这种情况下,所述文件表可包括所述文件信息和分别向所述文件信息的接近权限。
一方面,在完全虚拟化系统监控资源的方法还可包括:确认结果所述输出入指令,能接近要接近的所述文件,则执行所述文件输出入指令。
此外,在完全虚拟化系统监控资源的方法还可包括:确认结果所述输出入指令,不能接近要接近的所述文件,则切断接近。
在这种情况下,所述切断接近的步骤,使将所述文件输出入指令要接近的所述文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或可告知保护领域的进行处理。
一方面,在完全虚拟化系统监控资源的方法还可包括:发生文件的附加、文件的删除、文件的变更及接近权限的变更中至少一个时,更新所述文件表。
根据本发明的其他一个实施例,在完全虚拟化系统监控资源的方法,其步骤包括:解析问价信息,生成文件表;分配内存时,生成内存表;在客户操作系统或应用程序发生指令,则向虚拟机监控器请求所述指令的执行;确认所述指令参照的内存领域,并在所述内存表确认在被确认内存领域分配的进程;及参照所述文件表,确认所述进程是否具有执行所述指令的权限。
在这种情况下,所述文件信息可以是所述文件的路径(path)、块编号(blocknumber)及索引节点(i-node)信息中的至少一个。
在这种情况下,所述文件表可包括所述文件信息、能接近的进程信息及接近权限。
在这种情况下,所述内存表可包括虚拟机信息、进程信息及分配在进程的内存领域。
一方面,在完全虚拟化系统监控资源的方法还可包括:所述进程具有能执行所述指令的权限,则执行所述指令。
此外,在完全虚拟化系统监控资源的方法还可包括:所述进程不具有能执行所述指令的权限,则切断接近。
在这种情况下,所述切断接近的步骤,将所述指令要接近的文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或可告知保护领域的进行处理。
此外,在完全虚拟化系统监控资源的方法还可包括:发生文件的附加、文件的删除、文件的变更、接近权限的变更及能接近文件的进程信息的变更中至少一个时,更新所述文件表。
此外,在完全虚拟化系统监控资源的方法还可包括:内存领域被分配、变更及回收时,更新所述内存表。
根据本发明的一个实施例,在完全虚拟化系统监控资源的装置,其包括:文件解析器,解析文件信息生成文件表;虚拟机进程,在客户操作系统或者应用程序发生文件输出入指令,则向虚拟机监控器请求所述文件输出入指令的执行;及虚拟机监控器,通过所述文件表,确认所述文件输出入指令是否能接近要接近的文件。
在这种情况下,所述虚拟机进程还包括仿真器,将所述文件输出入指令作为可在所述虚拟机监控器确认的形态,且所述虚拟机监控器通过所述仿真器,可将所述文件输出入指令,仿真为在所述虚拟机监控器可被确认的形态。
在这种情况下,所述文件信息可以是文件路径(path)信息、块编号(blocknumber)及索引节点(i-node)信息中的至少一个。
在这种情况下,所述文件表可包括所述文件信息和分别向所述文件信息的接近权限。
在这种情况下,确认结果所述输出入指令,能接近要接近的所述文件,则所述虚拟机监控器可执行所述文件输出入指令。
在这种情况下,所述输出入指令不能接近要接近的所述文件,则所述虚拟机监控器可切断接近。
在这种情况下,所述虚拟机监控器,使将所述文件输出入指令要接近的所述文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或可告知保护领域的进行处理。
在这种情况下,发生文件的附加、文件的删除、文件的变更及接近权限的变更中至少一个时,所述文件解析器可更新所述文件表。
根据本发明的其他一个实施例,在完全虚拟化系统监控资源的装置,其包括:文件解析器,解析文件信息生成文件表;虚拟机监控器,分配内存时,生成内存表;虚拟机进程,在客户操作系统或者应用程序发生指令,则向所述虚拟机监控器请求所述指令的执行,且所述虚拟机确认所述指令参照的内存领域,在所述内存表确认在被确认的内存领域分配的进程,并且参照所述文件表,确认所述进程是否具有执行所述指令的权限。
在这种情况下,所述文件信息可以是文件路径(path)信息、块编号(blocknumber)及索引节点(i-node)信息中的至少一个。
在这种情况下,所述文件表可包括所述文件信息、可接近进程信息及接近权限。
在这种情况下,所述内存表可包括进程信息及分配在进程的内存领域。
在这种情况下,所述进程具有可执行所述指令的权限,则所述虚拟机监控器可执行所述指令。
在这种情况下,所述进程不具有可执行所述指令的权限时,则所述虚拟机监控器可切断接近。
在这种情况下,所述虚拟机监控器,使将所述文件输出入指令要接近的所述文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或可告知保护领域的进行处理。
在这种情况下,发生文件的附加、文件的删除、文件的变更、接近权限的变更及能够接近文件进程信息的变更中至少一个时,所述文件解析器可更新所述文件表。
在这种情况下,内存领域被分配、变更及回收时,所述虚拟机监控器可更新所述内存表。
技术效果
本发明涉及解析文件信息生成文件表,在客户操作系统或应用程序发生文件输出入指令,向虚拟机监控器请求文件输出入指令的执行时,参照文件表确认文件输出入指令请求的文件路径的接近与否的技术,可监控并控制从虚拟机进程的文件单位的接近。
此外,本发明涉及解析文件信息生成文件表,分配内存时生成内存表,之后,在客户操作系统或应用程序发生指令,向虚拟机监控器请求指令的执行时,参照文件表和内存表,以进程单位确定执行与否的技术,在完全虚拟化系统可具有以进程单位监控并控制资源的效果。
附图说明
图1是示出根据本发明的一个实施例,监控磁盘资源的完全虚拟化系统的构成。
图2是示出根据本发明的一个实施例,在完全虚拟化系统用于管理磁盘资源,生成文件表的示例。
图3是示出根据本发明的一个实施例,在完全虚拟化系统监控磁盘资源过程的流程图。
图4是示出根据本发明的一个实施例,监控磁盘和内存资源的完全虚拟化系统的构成。
图5是示出根据本发明的一个实施例,在完全虚拟化系统用于管理磁盘资源,生成文件表的示例。
图6是示出根据本发明的一个实施例,在完全虚拟化系统用于管理内存资源,生成文件表的示例。
图7是示出根据图6的内存表分配的内存形态。
图8是示出根据本发明的一个实施例,在完全虚拟化系统监控磁盘和内存资源过程的流程图。
具体实施方式
除上述目的之外,本发明的其他目的及特征,通过对参照附图的实施例的说明,被明确地显现出来。
参照附图对本发明的优选实施例进行详细地说明。在说明本发明的过程中,有关公知构成或功能的具体说明,被判断为可模糊本发明的要点时,其详细地说明给予省略。
但是,本发明不限定或限制于实施例。在各图示出的相同参照符号显示相同的部件。
以下,参照图1至图8,详细地说明根据本发明的一个实施例,在完全虚拟化系统监控客户操作系统(Guest Operating System)资源的装置及方法。
图1是示出根据本发明的一个实施例,监控磁盘资源的完全虚拟化系统的构成。
参照图1,本发明的完全虚拟化系统(full virtualization system)包括虚拟机进程(Virtual Machine Process)110、120、文件解析器(File Parser)130、虚拟机监控器(VMM;Virtual Machine Monitor)140及磁盘(Disk)150。在这种情况下,虚拟机进程110可包括应用程序(application)112、客户操作系统(Guest Operating System)114及仿真器(QEMU;Quick EMUlator)116。
文件解析器130解析存储在磁盘150的文件信息,生成文件表。
在这种情况下,文件信息可以是文件的路径(path)信息、块编号(block number)及索引节点(i-node)信息中的一个。并且,文件表可由如图2的形态构成。
图2是示出根据本发明的一个实施例,在完全虚拟化系统用于管理磁盘资源,生成文件表的示例。
参照图2,文件表可包括文件信息和接近各个文件信息的权限。在图2示出文件信息为索引节点(i-node)的情况,因此,记载于图2的文件信息属于构成文件的块的识别信息。
具有图2的文件表时,在虚拟机进程执行的客户操作系统或应用程序,可确认对块#1-3构成的文件,可进行读(read)和写(write),且对块#7构成的文件,只可进行读(read),并且对块#9-11构成的文件切断接近,且对块#8、12-14构成的文件,可进行读(read)和写(write)。
在文件的附加、文件的删除、文件的变更及接近权限的变更中,发生至少一个时,文件解析器130可更新文件表。
一方面,文件解析器130可由另外的装置构成,可包括在各仿真器116,也可包括在虚拟机监控器140被构成。
客户操作系统114在发生文件输出入指令或从应用程序112接收文件输出入指令,则向虚拟机监控器140请求文件输出入指令的执行。
仿真器116可将文件输出入指令,仿真为以在虚拟机监控器140可确认的形态。
虚拟机监控器140通过文件表,确认文件输出入指令是否可接近要接近的文件。
更详细地进行说明,虚拟机监控器140从包括在虚拟机进程110的客户操作系统114接收文件输出入指令,则向仿真器116请求文件输出入指令的仿真。并且,虚拟机监控器140接收从仿真器116仿真的文件输出入指令,则在文件表确认对应于文件输出入指令要接近文件的接近权限。
通过文件表确认接近权限的结果,文件输出入指令可接近要接近的文件,则虚拟机监控器140执行文件输出入指令。并且,虚拟机监控器140将其结果提供给客户操作系统114。
通过文件表确认接近权限的结果,文件输出入指令不能接近要接近的所述文件,则虚拟机监控器140切断接近。
在这种情况下,作为切断的方法,虚拟机监控器140使将文件输出入指令要接近的文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或告知保护领域的进行处理,可切断接近。
以下,参照下图对上述如图1构成的根据本发明的方法进行说明。
图3是示出根据本发明的一个实施例,在完全虚拟化系统监控磁盘资源过程的流程图。
参照图3,在步骤310,完全虚拟化系统解析事先存储在磁盘的文件的文件信息,生成文件表。
并且,在步骤312,包括在完全虚拟化系统的虚拟机进程的应用程序或客户操作系统,发生文件输出入指令,则向虚拟机监控器请求文件输出入指令的执行。
并且,在步骤314,完全虚拟化系统的虚拟机监控器,请求接收文件输出入指令的执行,在步骤316,通过仿真器将文件输出入指令,仿真为在虚拟机监控器可确认的形态。
并且,在步骤318,完全虚拟化系统的虚拟机监控器,确认在文件表对应于文件输出入指令要接近的文件的接近权限,确认能否接近。
步骤318的确认结果,文件输出入指令可接近要接近的文件,在步骤320,虚拟机监控器执行文件输出入指令。
并且,在步骤322,文件解析器或者虚拟机监控器因文件输出入指令,发生文件的附加、文件的删除、文件的变更及接近权限的变更中至少一个时,更新文件表。
并且,在步骤324,虚拟机监控器将文件输出入指令的结果,提供给虚拟机进程的客户操作系统。
一方面,步骤318的确认结果,文件输出入指令不可接近要接近的文件,在步骤326,虚拟机监控器切断向相应文件的接近。
作为切断的方法,使将文件输出入指令要接近的文件,视为毁损扇区(badsector)进行处理,或都视为‘0’进行处理或告知保护领域的进行处理。
图4是示出根据本发明的一个实施例,监控磁盘和内存资源的完全虚拟化系统的构成。
参照图4,本发明的完全虚拟化系统(full virtualization system)包括虚拟机进程(Virtual Machine Process)410、420、文件解析器(File Parser)430、虚拟机监控器(VMM;Virtual Machine Monitor)440及磁盘(Disk)450。在这种情况下,虚拟机进程410可包括应用程序(application)412、客户操作系统(Guest Operating System)414及仿真器(QEMU;Quick EMUlator)416。
文件解析器430解析存储在磁盘450的文件信息,生成文件表。
在这种情况下,文件信息可以是文件的路径(path)信息、块编号(block number)及索引节点(i-node)信息中的一个。并且,文件表可由如图5的形态构成。
图5是示出根据本发明的一个实施例,在完全虚拟化系统用于管理磁盘资源,生成文件表的示例。
参照图5,文件表可包括虚拟机信息、进程信息及分配在进程的内存领域。在图5,进程信息是显示成为对象进程的信息,文件信息为示出索引节点(i-node)的情况,因此,记载于图5的文件信息属于构成文件的块的识别信息。
具有图5的文件表时,可确认所有进程对块#1-3构成的文件,可进行读(read)和写(write),且进程A和进程B对块#7构成的文件,只可进行读(read),并且所有进程对块#9-11构成的文件切断接近,且进程C对块#8、12-14构成的文件,可进行读(read)和写(write)。
发生文件的附加、文件的删除、文件的变更及接近权限的变更中至少一个时,文件解析器430可更新文件表。
一方面,文件解析器430可由另外的装置构成,可包括在各仿真器416,也可包括在虚拟机监控器440构成。
发生没有权限的指令或从应用程序412接收没有权限的指令时,客户操作系统414向虚拟机监控器440请求指令的执行。
即,客户操作系统414或者在操作系统执行的应用程序412,要执行没有权限的指令时,虚拟机监控器440代替执行。
仿真器416将指令仿真为在虚拟机监控器440可被确认的形态。
虚拟机监控器440需要接收指令的仿真时,可向仿真器416请求仿真。
执行在虚拟机进程执行的客户操作系统及应用程序时,虚拟机监控器440分配内存,并将分配的内存信息生成为内存表并进行管理。
图6是示出根据本发明的一个实施例,在完全虚拟化系统用于管理内存资源,生成文件表的示例。
参照图6,内存表可包括虚拟机信息、进程信息及分配在进程的内存领域。
图7是示出根据图6的内存表分配的内存形态。
参照图7,如图6的内存表,客户机进程A可确认内存的1~8被分配。
其中,可确认内存的1~2分配在进程A,且内存3分配在进程B,且内存的4~5分配在进程C,并且内存的6~8分配在客户操作系统。
虚拟机监控器440参照指令参照的内存领域、内存表及文件表,判断可否执行指令。
更详细地进行说明,虚拟机监控器440确认指令参照的内存领域,确认在内存表确认的分配在内存领域的进程,且通过文件表确认按进程可接近相应文件的权限,确认进程是否具有可执行指令的权限。
在虚拟机监控器440,确认指令参照的内存领域的方法如下。例如,指令为read指令时,可如下。
read(block#7,内存1)
上指令是将存储在磁盘的块7的内容,呼叫到1号内存领域的指令。
write(block#9,内存5)
上指令是将记载于5号内存领域的内容,存储在磁盘的块9的指令。
在上述的read指令,内存领域是1号内存领域,在上述的write领域,内存领域是5号内存领域。
通过图5的文件表和图6的内存表,确认能否执行以上read指令和write指令。
首先,通过内存表可确认分配在read指令的内存领域的1号内存领域的进程为虚拟机进程A的进程A。之后,通过文件表可确认read指令要读取文件的块#7对进程A具有read接近权限。
因此,图5的文件表和图6的内存表时,read(block#7,内存1)可被执行。
作为其他示例,通过内存表可确认分配在write指令的内存领域的5号内存领域的进程为虚拟机进程A的进程C。之后,通过文件表可确认由write指令被写的磁盘的块#9为对所有进程隐藏的信息。
因此,图5的文件表和图6的内存表时,可确认write(block#9,内存5)是不可执行的指令。
一方面,为了防止因没有参照内存的指令的文件修改,修改文件时只参照文件表,以文件表的接近权限也可确定文件的修改与否。
例如,指令是删除(delete),通过内存表无法判断进程时,事先没有判断进程情况下,确认设置在相应文件的接近权限,可判断指令的执行与否。
一方面,虚拟机监控器440对特定文件,具有read权限的进程引导特定文件,进程在内存上变更被内存引导的文件时,虚拟机监控器440通过文件表确认进程具有的,对相应文件的接近权限,可防止内存上的变更。
进程具有可执行指令的权限时,虚拟机监控器440执行指令。并且,虚拟机监控器440将其结果提供给客户操作系统414。
内存领域被分配、变更及回收时,虚拟机监控器440可更新内存表。内存领域被分配、变更及回收时,虚拟机监控器440可更新内存表。除此之外,根据操作系统的动作在内存领域发生变动时,虚拟机监控器440可更新内存表。
进程不具有可执行指令的权限时,虚拟机监控器440切断向文件的接近。
在这种情况下,作为切断的方法,虚拟机监控器440使将指令要接近的文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或告知保护领域的进行处理,可切断接近。
以下,参照下图对上述如图4构成的根据本发明的方法进行说明。
图8是示出根据本发明的一个实施例,在完全虚拟化系统监控磁盘和内存资源过程的流程图。
参照图8,在步骤810,完全虚拟化系统解析事先存储在磁盘的文件的文件信息,生成文件表。
在步骤812,在完全虚拟化系统的虚拟机监控器执行客户操作系统及应用程序时,分配内存,并将分配的内存信息生成为内存表。
在步骤814,在客户操作系统或应用程序发生指令时,在步骤816,向虚拟机监控器请求指令的执行。
在步骤818,虚拟机监控器确认指令参照的内存领域,确认在内存表确认的分配在内存领域的进程。
在步骤820,虚拟机监控器参照文件表,确认进程是否具有可执行指令的权限。
步骤820的确认结果,进程具有可执行指令的权限时时,在步骤822,虚拟机监控器执行指令。
并且,在步骤824,需要文件表和内存表的更新时,更新虚拟机监控器。
在步骤824,发生文件的附加、文件的删除、文件的变更、接近权限的变更及可接近进程信息的变更中至少一个时,虚拟机监控器更新文件表。此外,在步骤824,内存领域被分配、变更及回收时,虚拟机监控器可更新内存表。除此之外,根据操作系统的动作在内存领域发生变动时,虚拟机监控器可更新内存表。即,不是只在内存领域被分配或回收情况,或者存储在内存领域的内容变更的情况,更新内存表,而是在内存领域的位置变动的情况下,内存表也可被更新,因此,不仅在步骤824的始点,而且在任何时候也可执行内存表的更新。
在步骤826,虚拟机监控器440将其结果提供给虚拟机进程的客户操作系统。
步骤820的确认结果,进程不具有可执行指令的权限时,虚拟机监控器切断向文件的接近。
在这种情况下,作为切断的方法,虚拟机监控器使将指令要接近的文件,视为毁损扇区(bad sector)进行处理,或都视为‘0’进行处理或告知保护领域的进行处理,可切断接近。
根据本发明的一个实施例,在完全虚拟化系统监控客户操作系统资源的方法,可通过多种计算机手段以可实行的程序指令形态被记录在计算机可读媒体中。所述计算机可读媒体可包括独立的或结合的程序指令、数据文件、数据结构等。记录在所述媒体的程序指令可为了本发明被专门设计和创建,或为计算机软件技术人员熟知而应用。计算机可读媒体的例子包括:磁媒体(magnetic media),如硬盘、软盘和磁带;光学媒体(opticalmedia),如CD-ROM、DVD;磁光媒体(magneto-optical media),如光盘(floptical disk);和专门配置为存储和实行程序指令的硬件装置,如只读存储器(ROM)、随机存取存储器(RAM)等。程序指令的例子,既包括由编译器产生的机器代码,也包括使用解释程序并可通过计算机被实行的高级语言代码。为实行实施例的运作,所述硬件装置可被配置为以一个以上的软件模来运作,反之亦然。
如上所示,本发明虽然由如具体地构成要素等的特征事项和限定的实施例及附图进行了说明,但是,这些只是为了帮助更全面的理解本发明,本发明不限定于所述的实施例,且所属领域中具备通常知识的人均可以从此记载中进行各种修改和变形。
因此,本发明的思想不可局限于说明的实施例被定,且不仅后述的权利要求范围,而且具有与此权利要求范围均等或等价变更的所有,属于本发明思想的范围。

Claims (20)

1.一种在完全虚拟化系统监控资源的方法,其步骤包括:
解析文件信息,生成文件表;
在客户操作系统或应用程序发生文件输出入指令,则向虚拟机监控器请求所述文件输出入指令的执行;及
通过所述文件表,确认所述文件输出入指令是否能接近要接近的文件。
2.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其中,通过所述文件表,确认所述是否能接近的步骤包括:
通过仿真器将所述文件输出入指令,仿真为在所述虚拟机监控器能够被确认的形态。
3.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其中,所述文件信息是文件路径信息、块编号及索引节点信息中的至少一个。
4.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其中,所述文件表包括所述文件信息和分别向所述文件信息的接近权限。
5.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
确认结果所述输出入指令,能接近要接近的所述文件,则执行所述文件输出入指令。
6.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
确认结果所述输出入指令,不能接近要接近的所述文件,则切断接近。
7.根据权利要求6所述的在完全虚拟化系统监控资源的方法,其中,所述切断接近的步骤,使将所述文件输出入指令要接近的所述文件,视为毁损扇区进行处理,或都视为‘0’进行处理或告知保护领域的进行处理。
8.根据权利要求1所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
发生文件的附加、文件的删除、文件的变更及接近权限的变更中至少一个时,更新所述文件表。
9.一种在完全虚拟化系统监控资源的方法,其步骤包括:
解析问价信息,生成文件表;
分配内存时,生成内存表;
在客户操作系统或应用程序发生指令,则向虚拟机监控器请求所述指令的执行;
确认所述指令参照的内存领域,并在所述内存表确认在被确认内存领域分配的进程;及
参照所述文件表,确认所述进程是否具有执行所述指令的权限。
10.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其中,所述文件信息是所述文件的路径、块编号及索引节点信息中的至少一个。
11.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其中,所述文件表包括所述文件信息、能接近的进程信息及接近权限。
12.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其中,所述内存表包括虚拟机信息、进程信息及分配在进程的内存领域。
13.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
所述进程具有能执行所述指令的权限,则执行所述指令。
14.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
所述进程不具有能执行所述指令的权限,则切断接近。
15.根据权利要求14所述的在完全虚拟化系统监控资源的方法,其中,所述切断接近的步骤,将所述指令要接近的文件,视为毁损扇区进行处理,或都视为‘0’进行处理或告知保护领域的进行处理。
16.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
发生文件的附加、文件的删除、文件的变更、接近权限的变更及能接近文件的进程信息的变更中至少一个时,更新所述文件表。
17.根据权利要求9所述的在完全虚拟化系统监控资源的方法,其步骤还包括:
内存领域被分配、变更及回收时,更新所述内存表。
18.一种计算机可读存储媒体,记录用于执行权利要求1至17中任何一项所述方法的程序。
19.一种在完全虚拟化系统监控资源的装置,其包括:
文件解析器,解析文件信息生成文件表;
虚拟机进程,在客户操作系统或者应用程序发生文件输出入指令,则向虚拟机监控器请求所述文件输出入指令的执行;及
虚拟机监控器,通过所述文件表,确认所述文件输出入指令是否能接近要接近的文件。
20.一种在完全虚拟化系统监控资源的装置,其包括:
文件解析器,解析文件信息生成文件表;
虚拟机监控器,分配内存时,生成内存表;
虚拟机进程,在客户操作系统或者应用程序发生指令,则向所述虚拟机监控器请求所述指令的执行,且
所述虚拟机确认所述指令参照的内存领域,在所述内存表确认在被确认的内存领域分配的进程,并且
参照所述文件表,确认所述进程是否具有执行所述指令的权限。
CN201580069997.9A 2014-11-05 2015-11-05 在完全虚拟化系统监控资源的装置及方法 Pending CN107111561A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020140152869A KR101592782B1 (ko) 2014-11-05 2014-11-05 전가상화 시스템에서 자원을 감시하는 장치 및 방법
KR10-2014-0152869 2014-11-05
PCT/KR2015/011821 WO2016072760A1 (ko) 2014-11-05 2015-11-05 전가상화 시스템에서 자원을 감시하는 장치 및 방법

Publications (1)

Publication Number Publication Date
CN107111561A true CN107111561A (zh) 2017-08-29

Family

ID=55355194

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580069997.9A Pending CN107111561A (zh) 2014-11-05 2015-11-05 在完全虚拟化系统监控资源的装置及方法

Country Status (4)

Country Link
US (1) US10521259B2 (zh)
KR (1) KR101592782B1 (zh)
CN (1) CN107111561A (zh)
WO (1) WO2016072760A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110471764A (zh) * 2019-08-01 2019-11-19 郑州阿帕斯科技有限公司 一种内存清理的处理方法及装置

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11144363B1 (en) 2017-09-18 2021-10-12 Amazon Technologies, Inc. Workflow management system
US11108702B1 (en) * 2017-12-11 2021-08-31 Amazon Technologies, Inc. Customized command execution for a computing resource fleet
US11455398B2 (en) 2019-03-08 2022-09-27 International Business Machines Corporation Testing storage protection hardware in a secure virtual machine environment
US11068310B2 (en) * 2019-03-08 2021-07-20 International Business Machines Corporation Secure storage query and donation
US11283800B2 (en) 2019-03-08 2022-03-22 International Business Machines Corporation Secure interface control secure storage hardware tagging
US11182192B2 (en) 2019-03-08 2021-11-23 International Business Machines Corporation Controlling access to secure storage of a virtual machine
US11176054B2 (en) 2019-03-08 2021-11-16 International Business Machines Corporation Host virtual address space for secure interface control storage
CN113625968B (zh) * 2021-08-12 2024-03-01 网易(杭州)网络有限公司 文件权限的管理方法、装置、计算机设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101042681A (zh) * 2006-03-23 2007-09-26 联想(北京)有限公司 一种数据透明保护的安全读写系统和方法
US20080065667A1 (en) * 2006-09-11 2008-03-13 Hopkins Donald F Transaction oriented resilient file system
CN101174286A (zh) * 2006-10-31 2008-05-07 佛山市顺德区顺达电脑厂有限公司 以射频识别卷标管控计算机使用权限的方法
CN101520738A (zh) * 2008-02-27 2009-09-02 黄歆媚 基于设备访存管理技术的虚拟机系统及其设备访问方法
US20110179417A1 (en) * 2010-01-15 2011-07-21 Fujitsu Limited Virtual machine, virtual machine monitor and computer control method
US20130275701A1 (en) * 2012-04-17 2013-10-17 Arm Limited Management of data processing security in a secondary processor

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4677546A (en) * 1984-08-17 1987-06-30 Signetics Guarded regions for controlling memory access
JP2934709B2 (ja) * 1989-11-01 1999-08-16 カシオ計算機株式会社 ファイルセキュリティ管理装置
US5657445A (en) * 1996-01-26 1997-08-12 Dell Usa, L.P. Apparatus and method for limiting access to mass storage devices in a computer system
KR101396831B1 (ko) * 2007-03-30 2014-05-21 삼성전자주식회사 메모리 접근 제어 방법
KR101636878B1 (ko) * 2010-02-18 2016-07-06 삼성전자주식회사 가상화 환경에서의 데이터 처리 방법 및 드라이버
KR101072807B1 (ko) 2010-09-30 2011-10-14 한국과학기술원 가상 머신 모니터 시스템
KR101431912B1 (ko) * 2012-12-10 2014-09-23 포항공과대학교 산학협력단 다수의 클라우드 스토리지 서비스를 통합하는 가상 파일 시스템
US9405904B1 (en) * 2013-12-23 2016-08-02 Symantec Corporation Systems and methods for providing security for synchronized files

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101042681A (zh) * 2006-03-23 2007-09-26 联想(北京)有限公司 一种数据透明保护的安全读写系统和方法
US20080065667A1 (en) * 2006-09-11 2008-03-13 Hopkins Donald F Transaction oriented resilient file system
CN101174286A (zh) * 2006-10-31 2008-05-07 佛山市顺德区顺达电脑厂有限公司 以射频识别卷标管控计算机使用权限的方法
CN101520738A (zh) * 2008-02-27 2009-09-02 黄歆媚 基于设备访存管理技术的虚拟机系统及其设备访问方法
US20110179417A1 (en) * 2010-01-15 2011-07-21 Fujitsu Limited Virtual machine, virtual machine monitor and computer control method
US20130275701A1 (en) * 2012-04-17 2013-10-17 Arm Limited Management of data processing security in a secondary processor

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110471764A (zh) * 2019-08-01 2019-11-19 郑州阿帕斯科技有限公司 一种内存清理的处理方法及装置

Also Published As

Publication number Publication date
US10521259B2 (en) 2019-12-31
WO2016072760A1 (ko) 2016-05-12
US20180285138A1 (en) 2018-10-04
KR101592782B1 (ko) 2016-02-12

Similar Documents

Publication Publication Date Title
CN107111561A (zh) 在完全虚拟化系统监控资源的装置及方法
US10083022B2 (en) Applying update to snapshots of virtual machine
CN102339371B (zh) 一种检测恶意程序的方法、装置及虚拟机
CN103493028B (zh) 虚拟盘存储技术
CN105184166B (zh) 基于内核的安卓程序实时行为分析方法及系统
CN100568181C (zh) 基于处理器虚拟化技术的虚拟机系统及其实现方法
CN104238963B (zh) 一种数据存储方法、存储装置及存储系统
US20160019081A1 (en) Viewing a snapshot of a virtual machine
CN103370715A (zh) 用于保护虚拟计算环境的系统和方法
CN107977573A (zh) 安全的盘访问控制
CN104360892B (zh) 创建虚拟机的系统及方法
CN103034523A (zh) 用于虚拟设备的模型驱动的维护的方法和系统
CN105393255A (zh) 用于虚拟机中的恶意软件检测的过程评估
CN103810422A (zh) 一种基于镜像智能管理的安全虚拟化隔离方法
CN103858129A (zh) 用于在系统管理程序环境中进行内核rootkit保护的系统和方法
US11656891B2 (en) Copy-on-write for virtual machines with encrypted storage
JP2015501988A (ja) ユーザ間重複排除を可能にするためのストレージディスカウント
KR101709116B1 (ko) 가상 머신 부팅 장치 및 방법
CN107257959A (zh) 托管代码中的垃圾收集控制
CN107577925B (zh) 基于双重ARM指令虚拟的Android应用程序保护方法
CN105204973A (zh) 云平台下基于虚拟机技术的异常行为监测分析系统及方法
CN108804913B (zh) 应用程序的运行方法和装置
ATE354126T1 (de) Kontrollierte ausführung eines für eine virtuelle maschine vorgesehenen programms auf einem tragbaren datenträger
US9710308B1 (en) Workflow for migration planning of data storage systems
US9766834B2 (en) Live partition mobility using ordered memory migration

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170829

WD01 Invention patent application deemed withdrawn after publication