[发明专利]一种无代理的虚拟机外设封控方法、系统及介质

说明书

本发明公开了一种无代理的虚拟机外设封控方法、系统及介质，本发明虚拟机外设封控方法的实施步骤包括：虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。本发明能够实现虚拟机上的外设封控，不需要对虚拟机的操作系统做任何改动，也不需安装任何代理程序，依靠虚拟化服务器的虚拟机监视器、安全虚拟机及相关组件即可实现对虚拟机外设的安全防护，具有使用灵活、配置简单方便的优点。

技术领域

本发明涉及虚拟机技术，具体涉及一种无代理的虚拟机外设封控方法、系统及介质。

背景技术

随着云计算的普及，虚拟化技术开始得到了广泛的应用。虚拟化依赖软件来模拟硬件功能并创建虚拟计算机系统，即虚拟机。虚拟化是云计算的支撑技术。云计算与传统IT环境最大的区别在于其虚拟化的环境，也正是这一区别导致其安全问题有别于传统模式。

传统的对物理主机的外部设备进行封控，需要在每台物理主机上部署安全防护产品套件， 即所谓的“安全代理”，这种安全防护模式称为“有代理模式（Agent-based）”。但是在虚拟桌面环境下传统的防护手段面临新的挑战甚至失效。主要体现在：传统安全软件都是基于物理机开发的，而非专门为虚拟化环境定制设计，尤其是没有考虑针对虚拟化环境下的资源共享进行优化。因而每一台虚拟机都安装安全软件的部署模式，对物理宿主机的存储空间、内存资源占用较大，且部署成本较高，管理复杂，极大影响了虚拟桌面的使用效率。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种无代理的虚拟机外设封控方法、系统及介质，本发明能够实现虚拟机上的外设封控，不需要对虚拟机的操作系统做任何改动，也不需安装任何代理程序，依靠虚拟化服务器的虚拟机监视器、安全虚拟机及相关组件即可实现对虚拟机外设的安全防护，具有使用灵活、配置简单方便的优点。

为了解决上述技术问题，本发明采用的技术方案为：

一种无代理的虚拟机外设封控方法，实施步骤包括：

1）虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；

2）虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；

3）虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。

可选地，步骤3）中还包括根据用户的外设访问控制权限将每一个未启用的设备在虚拟机的虚拟桌面中设置为不可用状态并不进行重定向操作。

可选地，步骤3）中设置设备的读写权限具体是指：判断用户的外设访问控制权限中该设备是否可写，如果可写则设置设备的读写权限为允许读取和写入，否则设置设备的读写权限为允许读取和不能写入。

可选地，步骤2）虚拟桌面客户端向虚拟化服务器发送请求后，虚拟化服务器返回外设访问控制权限的步骤包括：

S1）虚拟化服务器通过虚拟机监视器中注册的探针检测虚拟桌面客户端发送的外设访问请求，当检测到虚拟桌面客户端发送的外设访问请求时跳转执行下一步；

S2）虚拟化服务器的虚拟机监视器截获外设访问请求并转发给安全虚拟机；

S3）虚拟化服务器的安全虚拟机获取对应的用户，并获取用户的外设封控策略；

S4）虚拟化服务器的安全虚拟机根据外设封控策略获取用户的外设访问控制权限；

S5）虚拟化服务器的安全虚拟机检测用户的虚拟机是否处于运行状态，如果处于运行状态则将用户的外设访问控制权限并返回给虚拟化服务器的虚拟机监视器；