基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术的制作方法

本发明属于计算机安全领域，涉及一种基于磁盘虚拟化和镜像智能管理的虚拟机存储隔离技术，同时支持windows、linux等虚拟机操作系统，提供镜像文件的智能管理、虚拟机动态创建、管理、终止等方法，并能够保证虚拟机处于不同磁盘空间，从而实现存储的有效隔离，能够广泛应用于虚拟化安全的领域。

背景技术：

现今，虚拟机技术根据应用和与直接机器的相关性可以分为两个方向，即系统虚拟机（systemvirtualmachine）和程序虚拟机(processvirtualmachine)。随着虚拟化技术得到越来越广泛的应用，相应地，虚拟机的安全也变得越来越重要。虚拟机作为一种虚拟化的操作系统，与物理机操作系统有较大的不同，运行机制要求更高，安全漏洞也更多。尤其是当一台物理机上有多个虚拟机时，每个虚拟机使用的资源必须可靠有效地隔离，显得异常重要。

常见的虚拟机运行机制存在如下问题：

（1）虚拟机使用的宿主机磁盘空间容易产生重叠，这样会导致虚拟机在运行过程中，使用同一块区域，产生文件读写错误。

（2）一个虚拟机未通过授权就访问另一个虚拟机的资源。

（3）虚拟机的文件没有身份验证，宿主机可以通过共享能使用虚拟机的文件。

（4）一个虚拟机通过恶意程序，然后经过宿主机在访问另一个虚拟机。

（5）虚拟机的镜像文件不能实现智能管理。

从以上的问题分析中，我们可以认识到虚拟机的运行如果没有相应的隔离措施，就会产生很大的安全漏洞和隐患，因此，如果能有一种方法实现对虚拟机的有效管理，实现存储的安全隔离，就能大大提高虚拟机使用的可靠性和健壮性。

技术实现要素：

本发明提出一种新的虚拟机隔离技术，用以保护虚拟机运行过程中存储资源的有效隔离，从而提高虚拟机的安全性和可靠性。

本发明提出的虚拟机存储隔离技术包括：每个虚拟机位于不同的磁盘区域或空间；访问虚拟机资源需要经过身份认证，不可以随意读写虚拟机文件；虚拟机和宿主机之间有严格的权限级别，不能随意进行文件共享；虚拟机不能通过宿主机再访问另一个虚拟机。本文采用的安全虚拟化隔离系统（safevirtualizationisolationsystem，svis）由五个核心组件构成：svis虚拟机监视器（svisvmm）、基于卷快照的虚拟机简单磁盘、操作系统动态迁移管理器、修改跟踪管理器和隐式操作系统信息重构组件。

根据本发明的上述方法，可以解决以下问题：

1支持虚拟机位于不同的磁盘区域或空间，保证虚拟机资源的不重叠；

2访问虚拟机资源需要经过身份认证，加强虚拟机资源的保护性；

3虚拟机和宿主机之间以及虚拟机和虚拟机之间有严格的区别，互相之间不可以随意通信和访问。

4能对生成虚拟机的镜像文件进行智能管理，保证镜像文件能映射在经过虚拟化后的不同磁盘上。

本发明方法的操作步骤如下：

1）准备三台pc机，两台安装centos操作系统，一台安装任意操作系统（只要有浏览器就行）；

2）根据需要制作虚拟机所需要运行的镜像文件，并同时创建引导文件和内核文件；并将上述三个文件放到指定位置；

3）以一台安装centos系统作为节点服务器，部署相应的文件系统，启动节点服务器ncserver；

4）以另一台安装centos系统作为管理服务器，部署相应的文件系统，并启动管理服务器vmmanagerserver；

5）以管理员身份登录本系统，依次选择“镜像管理”|“分发镜像”，将镜像文件分发到节点服务器上，并能实现智能化管理；

6）依次选择“实例管理”|“创建实例”，选择分发的镜像文件、设置虚拟机ip地址及其它相关信息，就可以创建所需要的虚拟机；

7）通过点击“镜像管理”|“查看镜像”可以查看分发的镜像情况，通过点击“实例管理”|“查看实例”可以查看正在运行的虚拟机情况；

8）根据查看实例中显示的ip地址信息和相关认证信息，就可以有效地使用有效存储隔离的虚拟机。

本发明的有益效果是：

本发明方法支持虚拟机存储的有效隔离，保证每个虚拟机占用不同物理资源，并且虚拟机的访问和使用有严格的身份认证机制，以强化虚拟机中文件的安全性和原子性。本发明的主要有益效果如下：

1）磁盘文件虚拟化：利用硬件虚拟化技术，对磁盘进行虚拟化管理，保证每个磁盘经过虚拟化后，能实现有效的物理隔离。

2）镜像文件管理智能性：可以保证镜像文件能够被智能管理，并与虚拟化的磁盘产生逻辑对应关系，即能使镜像文件也实现有效的物理隔离。

3）多虚拟机稳定性：保证每个虚拟机安全稳定运行，即使在一台物理机上运行多个虚拟机，也能有效运行。

4）镜像文件和虚拟机的协调运行：能保证每个虚拟机运行于一个镜像文件上，也能保证多个虚拟机运行于多个镜像文件上，并且能协调运行，互不干扰。

附图说明

图1为本发明中提出的虚拟机工作原理；

图2为本发明资源预留的流程图；

图3为本发明虚拟机存储隔离的处理流程。

具体实施方法

以下结合附图对本发明作进一步说明。

虚拟机资源的动态预留和调整是使用虚拟机的常见需求之一，本发明通过实现物理机和虚拟机的有效预留，可以动态启动和关闭物理机，也可以动态创建和销毁虚拟机。虚拟机存储的安全隔离涉及多方面的技术，包括虚拟机镜像文件的制作、镜像文件的管理、磁盘文件的管理、磁盘分区技术、用户认证机制、权限管理与分配等。

参见图2，虚拟机资源的动态预留和调整包括如下一些功能或技术，资源预留的管理与分配、预留权限的设置、预留信息的管理和配置、定时器的管理、物理机的电源管理等。

图2具体具体流程为：

1）客户远程申请虚拟机或物理机的预留；

2）系统根据用户的权限和预留情况跳转到物理机预留或虚拟机预留功能模块；

3）如果是物理机预留，系统将用户信息、预留物理机ip、预留时间等信息放入数据库进行保存；

4）定时器进行事件处理，当到达预留结束时间的前10分钟，启动物理机，当到达预留的开始时间时，锁定或者关闭计算机；

5）如果是虚拟机预留，系统将用户信息、预留的虚拟机硬盘大小、cpu、内存等放入数据库进行保存；

6）定时器进行事件处理，当到达预留开始时间的前30分钟时，系统执行虚拟机启动程序进行启动，当到达预留结束时间，系统关闭或者终止虚拟机的运行。

参见图3，为本发明为虚拟机存储安全隔离的执行流程，主要包括制作镜像、镜像管理、磁盘管理、镜像分发、创建实例、虚拟机隔离、虚拟机存储安全隔离等步骤。

图3具体流程为：

1）制作虚拟机所需要的镜像文件，包括制作引导文件、内核文件、以及利用操作系统打包并合成镜像文件；

2）将镜像文件纳入数据库和文件系统进行管理，包括镜像的动态修改、镜像中的安装软件和程序动态增加或减少，镜像文件的属性调整，引导文件的配置和管理、内核文件的调整和硬件的拔插管理；

3）对物理机的磁盘进行管理，包括对磁盘进行监控、磁盘的动态分区、磁盘之间通信的管理和配置等。

4）利用xen进行半虚拟化或全虚拟化管理，并创建xen通道；

5）根据磁盘信息和xen通道创建虚拟机，并实现虚拟机的隔离，最后进一步实现虚拟机存储的安全隔离。

通过上面的具体实施方式的描述，本发明的内容已经非常详细，本领域的技术人员都能根据所述内容重现所述方法。当然，本领域的技术人员可以在不脱离本发明的思想和方法范围内，对本发明进行各种改动和变型。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。