[发明专利]基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术

说明书

技术领域

本发明属于计算机安全领域，涉及一种基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术，同时支持Windows、Linux等虚拟机操作系统，提供镜像文件的智能管理、虚拟机动态创建、管理、终止等方法，并能够保证虚拟机处于不同磁盘空间，从而实现存储的有效隔离，能够广泛应用于虚拟化安全的领域。

背景技术

现今，虚拟机技术根据应用和与直接机器的相关性可以分为两个方向，即系统虚拟机（system virtual machine）和程序虚拟机(process virtual machine)。随着虚拟化技术得到越来越广泛的应用，相应地，虚拟机的安全也变得越来越重要。虚拟机作为一种虚拟化的操作系统，与物理机操作系统有较大的不同，运行机制要求更高，安全漏洞也更多。尤其是当一台物理机上有多个虚拟机时，每个虚拟机使用的资源必须可靠有效地隔离，显得异常重要。

常见的虚拟机运行机制存在如下问题：

（1）虚拟机使用的宿主机磁盘空间容易产生重叠，这样会导致虚拟机在运行过程中，使用同一块区域，产生文件读写错误。

（2）一个虚拟机未通过授权就访问另一个虚拟机的资源。

（3）虚拟机的文件没有身份验证，宿主机可以通过共享能使用虚拟机的文件。

（4）一个虚拟机通过恶意程序，然后经过宿主机在访问另一个虚拟机。

（5）虚拟机的镜像文件不能实现智能管理。

从以上的问题分析中，我们可以认识到虚拟机的运行如果没有相应的隔离措施，就会产生很大的安全漏洞和隐患，因此，如果能有一种方法实现对虚拟机的有效管理，实现存储的安全隔离，就能大大提高虚拟机使用的可靠性和健壮性。

发明内容

本发明提出一种新的虚拟机隔离技术，用以保护虚拟机运行过程中存储资源的有效隔离，从而提高虚拟机的安全性和可靠性。

本发明提出的虚拟机存储隔离技术包括：每个虚拟机位于不同的磁盘区域或空间；访问虚拟机资源需要经过身份认证，不可以随意读写虚拟机文件；虚拟机和宿主机之间有严格的权限级别，不能随意进行文件共享；虚拟机不能通过宿主机再访问另一个虚拟机。本文采用的安全虚拟化隔离系统（Safe Virtualization Isolation System，SVIS）由五个核心组件构成：SVIS虚拟机监视器（SVIS VMM）、基于卷快照的虚拟机简单磁盘、操作系统动态迁移管理器、修改跟踪管理器和隐式操作系统信息重构组件。

根据本发明的上述方法，可以解决以下问题：

1 支持虚拟机位于不同的磁盘区域或空间，保证虚拟机资源的不重叠；

2 访问虚拟机资源需要经过身份认证，加强虚拟机资源的保护性；

3 虚拟机和宿主机之间以及虚拟机和虚拟机之间有严格的区别，互相之间不可以随意通信和访问。

4 能对生成虚拟机的镜像文件进行智能管理，保证镜像文件能映射在经过虚拟化后的不同磁盘上。

本发明方法的操作步骤如下：

1）准备三台PC机，两台安装CentOS操作系统，一台安装任意操作系统（只要有浏览器就行）；

2）根据需要制作虚拟机所需要运行的镜像文件，并同时创建引导文件和内核文件；并将上述三个文件放到指定位置；

3）以一台安装CentOS系统作为节点服务器，部署相应的文件系统，启动节点服务器NC Server；

4）以另一台安装CentOS系统作为管理服务器，部署相应的文件系统，并启动管理服务器VM Manager Server；

5）以管理员身份登录本系统，依次选择“镜像管理”|“分发镜像”，将镜像文件分发到节点服务器上，并能实现智能化管理；

6）依次选择“实例管理”|“创建实例”，选择分发的镜像文件、设置虚拟机IP地址及其它相关信息，就可以创建所需要的虚拟机；

7）通过点击“镜像管理”|“查看镜像”可以查看分发的镜像情况，通过点击“实例管理”|“查看实例”可以查看正在运行的虚拟机情况；

8）根据查看实例中显示的IP地址信息和相关认证信息，就可以有效地使用有效存储隔离的虚拟机。

本发明的有益效果是：

本发明方法支持虚拟机存储的有效隔离，保证每个虚拟机占用不同物理资源，并且虚拟机的访问和使用有严格的身份认证机制，以强化虚拟机中文件的安全性和原子性。本发明的主要有益效果如下：

1）磁盘文件虚拟化：利用硬件虚拟化技术，对磁盘进行虚拟化管理，保证每个磁盘经过虚拟化后，能实现有效的物理隔离。