一种信任机的配置方法和系统的制作方法

专利名称：一种信任机的配置方法和系统的制作方法
技术领域：
本发明涉及计算机安全技术，特别是涉及一种信任机的配置方法和系统。
背景技术：
通常，用户可以使用计算机进行工作，如写文档、浏览网页、下载文件、传输文件 等，因此，可以将进行工作行为的计算机称为工作机。但是，网页可能被挂马，下载的文件也 可能有病毒，因此不能保证上述这些行为是安全的。
而在企业计算机安全的管理和维护中，需要指定一台计算机作为信任机，所述信 任机上的文件被认为是安全的。即若检测到某台计算机中的文件在信任机中同样存在，则 可以认为该文件是可信的。
正是由于信任机上的文件被认为是绝对安全的，因此信任机中的文件不可以随意 的修改或添加。因此，一旦一台计算机被指定为信任机之后，该计算机就不可以成为工作 机，而信任机主要的功能是作为文件安全与否的参照物，则作为信任机的这台计算机中的 大部分资源是没有被利用的，如工作功能不会被使用。因此计算机没有充分的发挥功能，造 成了计算机资源的浪费。发明内容
本发明实施例提供了一种信任机的配置方法和系统，以解决由于设置信任机而导 致计算机没有充分的发挥功能，造成了计算机资源的浪费的问题。
为了解决上述问题，本发明实施例公开了一种信任机的配置方法，包括
生成各终端的终端信息，并针对安装有可信虚拟机的终端，在所述终端信息中添 加所述可信虚拟机的虚拟机信息，其中，所述终端信息适于存储与终端有关的描述信息，所 述虚拟机信息适于标识安装于终端中的可信虚拟机，所述可信虚拟机是指不存在安全问题 的虚拟机；
接收各个终端发送的终端信息，并将所述终端信息保存于控制集合中；
随机从所述控制集合中获取一个终端信息，检测所述终端信息中是否存在虚拟机 信息；
若检测到所述终端信息中存在虚拟机信息，则配置所述可信虚拟机为信任机，其 中，所述信任机中配置的文件是安全的；
若检测到所述终端信息中不存在虚拟机信息，则重新从所述控制集合中获取一个 终端信息，继续执行检测操作。
本发明实施例中，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为可信虚 拟机中虚拟硬件的唯一标识。
本发明实施例中，配置所述可信虚拟机为信任机，包括采用虚拟机标识选择所述 终端中的可信虚拟机，并配置所述可信虚拟机为信任机。
本发明实施例中，所述在终端信息中添加所述可信虚拟机的虚拟机信息之前，还包括针对安装有虚拟机的终端，按照预设条件筛选出不存在安全问题的虚拟机；将所述 不存在安全问题的虚拟机配置为可信虚拟机。
本发明实施例中，所述预设条件为禁止或限制虚拟机中数据的变更，其中，所述数 据的变更包括以下至少一项软件安装和文件传输。
本发明实施例中，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端 的IP地址，配置所述可信虚拟机为信任机，包括通过终端的IP地址选择终端中所安装的 各个可信虚拟机；采用所述虚拟机标识唯一识别所述终端中的一个可信虚拟机，并配置所 述可信虚拟机为信任机。
本发明实施例中，所述的方法还包括通过终端的IP地址选择所述终端，并配置 所述终端为信任机。
相应的，本发明实施例还公开了一种信任机的配置系统，包括服务器和若干个终 端;
所述终端包括
生成模块，适于生成终端信息；其中，
针对安装有可信虚拟机的终端，还包括
添加模块，适于在所述终端信息中添加所述可信虚拟机的虚拟机信息，其中，所述 终端信息适于存储与终端有关的描述信息，所述虚拟机信息适于标识安装于终端中的可信 虚拟机，所述可信虚拟机是指不存在安全问题的虚拟机；
所述服务器包括
接收模块，适于接收各个终端发送的终端信息，并将所述终端信息保存于控制集 合中；
检测模块，适于随机获取从所述控制集合中一个终端信息，检测所述终端信息中 是否存在虚拟机信息；若是，则触发配置模块，若否，则返回检测模块，重新从所述控制集合 中获取一个终端信息以继续执行检测操作；
配置模块，适于配置所述可信虚拟机为信任机，其中，所述信任机中配置的文件是 安全的。
本发明实施例中，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为可信虚 拟机中虚拟硬件的唯一标识。
本发明实施例中，所述配置模块，包括第一配置子模块，适于采用虚拟机标识选 择所述终端中的可信虚拟机，并配置所述可信虚拟机为信任机。
本发明实施例中，针对安装有虚拟机的终端，所述终端还包括筛选模块，适于按 照预设条件筛选出不存在安全问题的虚拟机；配置模块，适于将所述不存在安全问题的虚 拟机配置为可信虚拟机。
本发明实施例中，所述预设条件为禁止或限制虚拟机中数据的变更，其中，所述数 据的变更包括以下至少一项软件安装和文件传输。
本发明实施例中，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端 的IP地址，所述配置模块，包括选择子模块，适于通过终端的IP地址选择终端中所安装的 各个可信虚拟机；第二配置子模块，适于采用所述虚拟机标识唯一识别所述终端中的一个 可信虚拟机，并配置所述可信虚拟机为信任机。
本发明实施例中还包括第三配置子模块，适于通过终端的IP地址选择所述终 端，并配置所述终端为信任机。
与现有技术相比，本发明包括以下优点
首先，由于虚拟机是在终端中运行的一个虚拟的、独立的计算机系统，与虚拟机相 关的文件、数据等都是独立于计算机的，因此若确定虚拟机不存在安全问题，则将该虚拟机 作为可信虚拟机，并可以将该可信虚拟机配置为信任机，而安装了该可信虚拟机的终端同 样可以作为工作机使用。因此，本发明可以若检测到终端发送的终端信息中存在虚拟机信 息，则可以将该终端中所安装的可信虚拟作为信任机。保证信任机安全的同时，又不会造成 计算机中资源的浪费。
其次，本发明虚拟机信息中包括虚拟机标识，所述虚拟机标识为虚拟机中虚拟硬 件的唯一标识。因此，可以通过所述虚拟机标识唯一选择所述终端中所安装的可信虚拟机， 并配置所述可信虚拟机为信任机。通过虚拟机标识可以快速的识别出可信虚拟机，进而快 速的完成信任机的配置。
再次，本发明需要通过预设条件对虚拟机进行筛选，将筛选出不存在安全问题的 虚拟机配置为可信虚拟机，则可以确保可信虚拟机的安全。进一步，预设条件为禁止或限制 虚拟机中数据的变更，从而使得虚拟机中不会随意变更数据，影响该虚拟机的安全，因此该 虚拟机可以为可信虚拟机，从而确保其配置为信任机后的绝对安全。
再次，若终端中安装有若干个可信虚拟机，则可以通过终端的IP地址选择终端中 所安装的各个可信虚拟机，进一步再配置上述可信虚拟机为信任机。同时终端由于安装了 多台可信虚拟机而使资源得到了充分的利用，可以不作为工作机使用而不浪费资源，因此 可以保证该终端中文件、数据的安全性和稳定性，进而可以通过IP地址选定该终端并配置 所述终端为信任机。


为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用 的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本 领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的 附图。
图1是本发明实施例所述一种信任机的配置方法流程图2是本发明可选实施例所述一种信任机的配置方法流程图3是本发明实施例所述一种信任机的配置系统结构图4是本发明可选实施例所述一种服务器中配置模块的结构图5是本发明可选实施例所述一种终端的结构图。
具体实施方式
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于 本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例，都属于本发明保护的范围。
在企业计算机安全的管理和维护中，需要指定一台计算机作为信任机，所述信任 机上的文件被认为是绝对安全的。即若检测到某台计算机中的文件在信任机中同样存在， 则可以认为该文件是可信的。
由于信任机上的文件被认为是绝对安全的，因此信任机中的文件不可以随意的修 改或添加。而由于计算机作为工作机使用时无法保证计算机中文件的安全，因此一旦一台 计算机被指定为信任机之后，该计算机就不可以成为工作机，而信任机主要的功能是作为 文件安全与否的参照物，则作为信任机的这台计算机中的大部分资源是没有被利用的，如 工作功能不会被使用。因此计算机没有充分的发挥功能，造成了计算机资源的浪费。
本发明提供一种信任机的配置方法，可以在计算机中配置虚拟机，然后设置虚拟 机为信任机，所述虚拟机在该计算机中处于隔离环境中，从而使得该计算机仍然可以执行 其他功能，而不影响虚拟的安全，因此计算机可以在设置作为信任机的虚拟机时，正常的执 行其他的功能，从而不会造成计算机中资源的浪费。
参照图1，给出了本发明实施例所述一种信任机的配置方法流程图。
步骤101，生成各终端的终端信息，并针对安装有可信虚拟机的终端，在终端信息 中添加所述可信虚拟机的虚拟机信息；
每个终端都会生成一个终端信息，其中，所述终端信息适于存储与终端有关的描 述信息，如包括终端名称、终端中配置的操作系统，终端的地址等描述信息。终端信息后续 会传输给服务器，使得服务器可以通过终端信息查找到相应的终端。
本发明预先在终端即计算机中设置虚拟机，所述虚拟机(VirtualMachine )指通过 软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。
通过虚拟机软件，可以在一台计算机上模拟出一台或多台虚拟的计算机即虚拟 机，这些虚拟机可以像真正的计算机那样进行工作，例如，可以在虚拟机中安装操作系统、 安装应用程序、访问网络资源等等。
在计算机上所述虚拟机可以看作是一个应用程序，但是对于在虚拟机中运行的应 用程序而言，所述虚拟机就是一台真正计算机。因此，在虚拟机中进行软件测试时，虚拟机 的操作系统可能一样会崩溃，但是，计算机上的操作系统却不会受到影响。并且，使用虚拟 机的“Undo”(恢复)功能，就可以马上恢复虚拟机到测试前的状态。
由上述内容可知，虚拟机是在终端中运行的一个虚拟的、独立的计算机系统,可以 如真正的计算机一样运行。计算机中安装虚拟机后，与虚拟机相关的文件、数据等都是独立 于计算机的，因此，在安装了虚拟机的计算机中修改文件不会影响到虚拟机，即终端中安装 虚拟机以后同样可以作为工作机使用，可以充分的利用资源。
因此，可以将终端中的虚拟机配置为信任机，而终端可以同时作为工作机来使用， 保证信任机安全的同时，又不会造成计算机中资源的浪费。
但是，由于虚拟机是运行在一个完全隔离环境中的完整计算机系统，因此若将虚 拟机当作工作机来使用，那么所述虚拟机中也可能是不安全，因此，若要将虚拟机作为信任 机就要首先保证该虚拟机是安全的，即要确定虚拟机不存在安全问题，将不存在安全问题 的虚拟机作为可信虚拟机。
因此，本发明实施例中，在生成终端信息时，若检测到终端中安装有可信虚拟机， 由于可信虚拟机可以作为信任机，因此可以获取在所述终端信息中添加所述可信虚拟机的虚拟机信息。所述虚拟机信息可以是一个普通标识，适于表示该终端中安装有可信虚拟机。 当然，虚拟机信息中也可以包括可信虚拟机的相关数据，例如虚拟机名称，操作系统等，适 于描述该可信虚拟机。
若要将可信虚拟机作为信任机，则终端可以将自己的终端信息发送给服务器。
步骤102，接收各个终端发送的终端信息，并将所述终端信息保存于控制集合中；
为了维护并保证系统中各个终端的安全，终端首先要将自己的终端信息发送至信 任机配置端，例如公司安全维护的服务器端。则可以在接收到终端发送的终端信息后，可以 将该终端信息保存于服务器的控制集合中，后续可以基于该终端信息进一步可以进行信任 机的配置操作。所述终端信息是描述终端的相关信息，可以包括终端名称、终端标识、终端 的IP地址等数据，当然，若终端中配置了可信虚拟机，则所述终端信息中还可以包括虚拟 机信息。
其中，所述控制集合是服务器进行配置时存储数据的一个集合，可以存储终端数 据，也可以存储其他的数据，例如安全检查记录等，本申请实施例对此不做限定。
本发明实施例中，将终端信息保存于控制集合中，服务器可以将所述控制集合与 操作平台进行关联，进而可以在操作平台上显示所述终端信息。从而使得本发明实施例中， 不但服务器可以依据终端信息配置信任机，用户也可以在操作平台中自主进行信任机的配 置。
步骤103，随机从所述控制集合中获取一个终端信息，检测所述终端信息中是否存 在虚拟机信息；
上述接收到各个终端的终端信息并保存到控制集合后，在配置信任机时，可以随 机从所述控制集合中获取一个终端信息，然后检测所述终端信息中是否存在虚拟机信息。
若是，即检测到所述终端信息中存在虚拟机信息，则后续执行步骤104，若否，即检 测到所述终端信息中不存在虚拟机信息，则重新执行步骤103，重新从所述控制集合中获取 一个终端信息，继续进行检测。
其中，所述虚拟机信息适于标识终端中所安装的虚拟机，例如，可以包括虚拟机名 称、虚拟机的操作系统等。
步骤104，配置所述终端中所安装的虚拟机为信任机；
其中，所述信任机中配置的文件是安全的，即若检测到某台计算机中的文件在信 任机中同样存在，则可以认为该文件是可信的。
因此，若检测到所述终端信息中存在虚拟机信息，由于虚拟机信息标识了安装于 终端中的可信虚拟机，即不存在安全问题的虚拟机，则可以将所述终端中所安装的虚拟机 配置为信任机。例如，在虚拟机的相关配置文件中添加所述虚拟机的信息，在安全维护中需 要虚拟机做文件安全性对比时，就可以查找到所述虚拟机，然后检测文件安全与否。
综上所述，由于虚拟机是在终端中运行的一个虚拟的、独立的计算机系统，与虚拟 机相关的文件、数据等都是独立于计算机的，因此若确定虚拟机不存在安全问题，则将该虚 拟机作为可信虚拟机，并可以将该可信虚拟机配置为信任机，而安装了该可信虚拟机的终 端同样可以作为工作机使用。因此，本发明可以若检测到终端发送的终端信息中存在虚拟 机信息，则可以将该终端中所安装的可信虚拟作为信任机。保证信任机安全的同时，又不会 造成计算机中资源的浪费。
可选的，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为虚拟机中虚拟硬 件的唯一标识。
虚拟机在安装时，虚拟机中虚拟硬件的编号会添加到注册表中，终端获取到所述 虚拟硬件的编号以后，可以直接将所述虚拟硬件的编号作为虚拟机标识，也可以通过一些 算法对所述虚拟硬件的编号进行计算，计算出相应的MID值，作为虚拟机标识，虚拟机中虚 拟硬件的唯一标识。
其中，所述MID (Mobile Internet Device,移动互联网设备)值是通过硬件的编 号计算出的唯一的特征值。
则终端在发送终端信息时，除了该终端本身的名称等信息外，若其中安装了可信 虚拟机，还可以将该可信虚拟机的虚拟机标识添加到虚拟机信息中，在将所述虚拟机信息 添加到终端信息中一起发送。
可选的，配置所述终端中所安装的可信虚拟机为信任机，包括
采用虚拟机标识选择所述终端中的可信虚拟机，并配置所述可信虚拟机为信任 机。
由于所述虚拟机标识是虚拟机中虚拟硬件的唯一标识，也即虚拟机标识为可信虚 拟机中虚拟硬件的唯一标识，因此一个虚拟机标识可以唯一表示一台可信虚拟机。因此，配 置信任机时，可以采用虚拟机标识唯一的选定所述终端中所安装的可信虚拟机，然后再配 置所述可信虚拟机为信任机。
实际处理中，可以在服务器端维护一份信任机配置文件，所述信任机配置文件中 可以包括信任机的名称、信任机的标识、信任机的操作系统、信任机的地址等数据。因此，检 测到终端中的可信虚拟机以后，就可以通过所述虚拟机标识唯一的选定一台可信虚拟机， 将所述可信虚拟机作为信任机以后，可以获取所述可信虚拟机的相关数据如该可信虚拟机 的名称、虚拟机标识、操作系统和地址等添加到所述信任机配置文件内的相应位置处，从而 完成信任机的配置。
上述可信虚拟机的相关数据可以预先配置于虚拟机信息中，随终端信息一起发 送，也可以在选定该可信虚拟机后另行获取，本发明对此不做限定。
当然，实际处理中一些终端只要符合作为信任机的条件，同样可以配置为信任机， 本发明对此不做限定。
所述计算机符合作为信任机的条件可以如所述计算机中的文件是安全的，或，所 述计算机未作为工作机等，以便能够保证信任机上的文件的绝对安全。
综上所述，本发明虚拟机信息中包括虚拟机标识，所述虚拟机标识为虚拟机中虚 拟硬件的唯一标识。因此，可以通过所述虚拟机标识唯一选择所述终端中的可信虚拟机，并 配置所述可信虚拟机为信任机。通过虚拟机标识可以快速的识别出可信虚拟机，进而快速 的完成信任机的配置。
可选的，所述在终端信息中添加所述可信虚拟机的虚拟机信息之前，还包括
针对安装有虚拟机的终端，按照预设条件筛选出不存在安全问题的虚拟机；将所 述不存在安全问题的虚拟机配置为可信虚拟机。
终端中可以安装虚拟机，但是在无法确认该虚拟机是否安全之前，不能将其配置 为信任机，因此针对安装有虚拟机的终端，首先要确定该虚拟机是否安全。
本发明中配置了预设条件，所述预设条件是衡量虚拟机是否安全的标准之一，则 可以通过该预设条件对虚拟机进行筛选，确定虚拟机是否存在安全问题。若所述虚拟机符 合预设条件，则其为不存在安全问题的虚拟机，后续可以配置其为可信虚拟机；若所述虚拟 机不符合预设条件，则其为存在安全问题的虚拟机，不能配置为可信虚拟机。
配置为可信虚拟机之后，后续就可以获取该可信虚拟机的相关数据，构成虚拟机 信息，添加到终端信息中发送给服务器，进行后续的信任机配置步骤。
可选的，所述预设条件为禁止或限制虚拟机中数据的变更，其中，所述数据的变更 包括以下至少一项软件安装和文件传输。
由于在计算机系统中随意的安装软件、传输文件等，会导致计算机系统中数据发 生变更，进而可能使计算机系统被病毒侵入，使得计算机系统变得不安全。
为了确保可信虚拟机的安全，将预设条件作为衡量虚拟机是否安全的一条标准， 来判定虚拟机是否安全，是否可以配置为虚拟机，则所述预设条件可以是禁止或限制虚拟 机中数据的变更。
终端中安装虚拟机以后，可以在虚拟机中安装经认定安全的企业软件、文件等，若 此后虚拟机中数据不进行变更，则虚拟机中的所有数据都是安全的，虚拟机中不存在安全 问题，可以配置为可信虚拟机。
终端中安装虚拟机以后，可以在虚拟机中安装经认定安全的企业软件、文件等，若 此后限制虚拟机中数据变更，例如，需要通过密码、序列号等安全标识的验证通过，才能进 行数据变更。由于安全标识是不能随意获取的，也即拥有安全标识即可认为是经过认定的， 可以确保数据的安全，在此种情况下即使变更数据也是安全的，被允许的。
数据的变更可以是指软件安装、文件传输等，其中文件传输可以指在虚拟机中通 过任何方式上传或下载文件，如通过USB、网络等。
综上所述，本发明需要通过预设条件对虚拟机进行筛选，将筛选出不存在安全问 题的虚拟机配置为可信虚拟机，则可以确保可信虚拟机的安全。进一步，预设条件为禁止或 限制虚拟机中数据的变更，从而使得虚拟机中不会随意变更数据，影响该虚拟机的安全，因 此该虚拟机可以为可信虚拟机，从而确保其配置为信任机后的绝对安全。
参照图2，给出了本发明可选实施例所述一种信任机的配置方法流程图。
可选的，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端的IP地 址。
实际处理中，由于企业中可能采用多种不同的操作系统，如WindowsXP、Win7和 Linux等，因此，为了在安全维护中保证各种操作系统的安全，针对每一个操作系统都可以 配置至少一台可信虚拟机。则可以配置多台可信虚拟机，而所述不同操作系统的可信虚拟 机可以安装于不同的终端中，也可以安装于同一个终端中。
上述步骤中，配置所述终端中的可信虚拟机为信任机，包括
步骤201，通过终端的IP地址选择终端中所安装的各个可信虚拟机；
若一个终端中安装了多个可信虚拟机，可以将该终端中所安装的所有可信虚拟机 都采用终端的网卡，则该终端中所安装的所有可信虚拟机就具有相同的IP地址。因此，若 将该终端中所安装的所有可信虚拟机都设置为信任机。即可以通过所述IP地址快速的选 定该终端中所安装的所有可信虚拟机。
当然，可信虚拟机也可以采用其本身的虚拟网卡设置IP地址，本发明对此不做限定。
其中，所述IP (Internet Protocol,网络之间互连的协议)地址是给每个连接在网络上的主机分配的一个32bit地址。
步骤202，采用所述虚拟机标识唯一识别所述终端中的一个可信虚拟机，并配置所述虚拟机为信任机。
上述通过IP地址选定终端中所安装的所有可信虚拟机后，由于信任机在配置时应当指定到具体的每一个可信虚拟机上，那么对于每一个可信虚拟机的配置，仍然需要通过虚拟机标识来唯一识别所述终端中的一个可信虚拟机。识别出终端中的一个可信虚拟机后，可以配置所述可信虚拟机为信任机。
可选的，通过终端的IP地址选择所述终端，并配置所述终端为信任机。
若一个终端中安装了多个可信虚拟机，则该终端的资源已经得到了比较充分的利用，即使不使用该终端作为工作机，也不会造成资源的浪费。
上述通过IP地址选定终端中所安装的所有虚拟机以后，同样可以通过所述IP地址选定该终端。由于该终端不作为工作机使用，因此可以保证该终端中文件、数据的安全性和稳定性，同时该终端由于安装了多台可信虚拟机而使资源得到了充分的利用。因此通过 IP地址选定该终端以后，可以配置所述终端为信任机。
实际处理中，终端信息中可以包括IP地址、终端名称、终端所在的工作组、终端的操作系统，终端中安装了虚拟机后终端信息中还可以包括虚拟机信息。所述虚拟机信息可以包括虚拟机名称、虚拟机的操作系统、虚拟机的IP地址和虚拟机标识等,其中,所述虚拟机的IP地址可以与所在终端的IP地址相同，也可以不同，即依据该虚拟机的虚拟网卡配置 IP地址。
那么通过上述终端信息就可以检测到终端中是否安装了虚拟机，安装了多少虚拟机，在进一步检测虚拟机是否为可信虚拟机。进而通过虚拟机信息可以了解到可信虚拟机的操作系统，可以唯一确定一个可信虚拟机。
除了上述自动的配置流程以外，本发明同样支持手动配置，手动配置与上述自动流程基本一致，此处不再赘述。
综上所述，若终端中安装有若干个可信虚拟机，则可以通过终端的IP地址选择终端中所安装的各个可信虚拟机，进一步再配置上述可信虚拟机为信任机。同时终端由于安装了多台可信虚拟机而使资源得到了充分的利用，可以不作为工作机使用而不浪费资源， 因此可以保证该终端中文件、数据的安全性和稳定性，进而可以通过IP地址选定该终端并配置所述终端为信任机。
参照图3，给出了本发明实施例所述一种信任机的配置系统结构图。
相应的，本发明还提供了一种信任机的配置系统，包括服务器I和若干个终端2， 分别为……2n，其中，η为正整数。假设终端中安装有可信虚拟机。
则终端2包括生成模块20，适于生成终端信息；
则针对安装有可信虚拟机的终端，还包括
添加模块23，适于在所述终端信息中添加所述可信虚拟机的虚拟机信息，其中，所述终端信息适于存储与终端有关的描述信息，所述虚拟机信息适于标识安装于终端中的可信虚拟机，所述可信虚拟机是指不存在安全问题的虚拟机；
所述服务器I包括接收模块11、检测模块12和配置模块13，其中
接收模块11，适于接收各个终端发送的终端信息，并将所述终端信息保存于控制 集合中；
检测模块12，适于随机从所述控制集合中获取一个终端信息，检测所述终端信息 中是否存在虚拟机信息；若是，则触发配置模块，若否，则返回检测模块，重新从所述控制集 合中获取一个终端信息以继续执行检测操作；
配置模块13，适于配置所述可信虚拟机为信任机，其中，所述信任机中配置的文件 是安全的。
可选的，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为可信虚拟机中虚 拟硬件的唯一标识。
参照图4，给出了本发明可选实施例所述一种服务器中配置模块的结构图。
可选的，所述配置模块13，包括
第一配置子模块131，适于采用虚拟机标识选择所述终端中的可信虚拟机，并配置 所述可信虚拟机为信任机。
参照图5，给出了本发明可选实施例所述一种终端的结构图。
可选的，针对安装有虚拟机的终端，还包括
筛选模块21，适于按照预设条件筛选出不存在安全问题的虚拟机；
配置模块22，适于将所述不存在安全问题的虚拟机配置为可信虚拟机。
可选的，所述预设条件为禁止或限制虚拟机中数据的变更，其中，所述数据的变更 包括以下至少一项软件安装和文件传输。
可选的，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端的IP地 址，
所述配置模块13，包括
选择子模块132，适于通过终端的IP地址选择终端中所安装的各个可信虚拟机；
第二配置子模块133，适于采用所述虚拟机标识唯一识别所述终端中的一个可信 虚拟机，并配置所述可信虚拟机为信任机。
第三配置子模块134，适于通过终端的IP地址选择所述终端，并配置所述终端为 Ih任机。
对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关 之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与 其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序 模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组 件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由 通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以 位于包括存储设备在内的本地和远程计算机存储介质中。
最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种信任机的配置方法和系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是适于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想， 在具体实施方式
及应用范围上均会有改变之处，综上所述，本说明 书内容不应理解为对本发明的限制。
权利要求
1.一种信任机的配置方法，包括生成各终端的终端信息，并针对安装有可信虚拟机的终端，在所述终端信息中添加所述可信虚拟机的虚拟机信息，其中，所述终端信息适于存储与终端有关的描述信息，所述虚拟机信息适于标识安装于终端中的可信虚拟机，所述可信虚拟机是指不存在安全问题的虚拟机；接收各个终端发送的终端信息，并将所述终端信息保存于控制集合中；随机从所述控制集合中获取一个终端信息，检测所述终端信息中是否存在虚拟机信若检测到所述终端信息中存在虚拟机信息，则配置所述可信虚拟机为信任机，其中，所述信任机中配置的文件是安全的；若检测到所述终端信息中不存在虚拟机信息，则重新从所述控制集合中获取一个终端信息，继续执行检测操作。
2.根据权利要求1所述的方法，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为可信虚拟机中虚拟硬件的唯一标识。
3.根据权利要求2所述的方法，配置所述可信虚拟机为信任机，包括采用虚拟机标识选择所述终端中的可信虚拟机，并配置所述可信虚拟机为信任机。
4.根据权利要求2所述的方法，所述在终端信息中添加所述可信虚拟机的虚拟机信息之前，还包括针对安装有虚拟机的终端，按照预设条件筛选出不存在安全问题的虚拟机；将所述不存在安全问题的虚拟机配置为可信虚拟机。
5.根据权利要求4所述的方法，所述预设条件为禁止或限制虚拟机中数据的变更，其中，所述数据的变更包括以下至少一项软件安装和文件传输。
6.根据权利要求2所述的方法，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端的IP地址，配置所述可信虚拟机为信任机，包括通过终端的IP地址选择终端中所安装的各个可信虚拟机；采用所述虚拟机标识唯一识别所述终端中的一个可信虚拟机，并配置所述可信虚拟机为信任机。
7.根据权利要求6所述的方法，其特征在于，还包括通过终端的IP地址选择所述终端，并配置所述终端为信任机。
8.一种信任机的配置系统，包括服务器和若干个终端；所述终端包括生成模块，适于生成终端信息；其中，针对安装有可信虚拟机的终端，还包括添加模块，适于在所述终端信息中添加所述可信虚拟机的虚拟机信息，其中，所述终端信息适于存储与终端有关的描述信息，所述虚拟机信息适于标识安装于终端中的可信虚拟机，所述可信虚拟机是指不存在安全问题的虚拟机；所述服务器包括接收模块，适于接收各个终端发送的终端信息，并将所述终端信息保存于控制集合检测模块，适于随机获取从所述控制集合中一个终端信息，检测所述终端信息中是否存在虚拟机信息；若是，则触发配置模块，若否，则返回检测模块，重新从所述控制集合中获取一个终端信息以继续执行检测操作；配置模块，适于配置所述可信虚拟机为信任机，其中，所述信任机中配置的文件是安全的。
9.根据权利要求8所述的系统，所述虚拟机信息中包括虚拟机标识，所述虚拟机标识为可信虚拟机中虚拟硬件的唯一标识。
10.根据权利要求9所述的系统，所述配置模块，包括第一配置子模块，适于采用虚拟机标识选择所述终端中的可信虚拟机，并配置所述可信虚拟机为信任机。
11.根据权利要求9所述的系统，针对安装有虚拟机的终端，所述终端还包括筛选模块，适于按照预设条件筛选出不存在安全问题的虚拟机；配置模块，适于将所述不存在安全问题的虚拟机配置为可信虚拟机。
12.根据权利要求11所述的系统，所述预设条件为禁止或限制虚拟机中数据的变更， 其中，所述数据的变更包括以下至少一项软件安装和文件传输。
13.根据权利要求9所述的系统，终端中安装有若干个可信虚拟机，所述终端信息中还包括终端的IP地址，所述配置模块，包括选择子模块，适于通过终端的IP地址选择终端中所安装的各个可信虚拟机；第二配置子模块，适于采用所述虚拟机标识唯一识别所述终端中的一个可信虚拟机， 并配置所述可信虚拟机为信任机。
14.根据权利要求13所述的装置，还包括第三配置子模块，适于通过终端的IP地址选择所述终端，并配置所述终端为信任机。
全文摘要
本发明实施例提供了一种信任机的配置方法和系统，以解决由于设置信任机而导致计算机没有充分的发挥功能，造成了计算机资源的浪费的问题。所述的方法包括生成各终端的终端信息，并针对安装有可信虚拟机的终端，在所述终端信息中添加所述可信虚拟机的虚拟机信息；接收各个终端发送的终端信息，并将所述终端信息保存于控制集合中；随机从所述控制集合中获取一个终端信息，检测所述终端信息中是否存在虚拟机信息；若检测到所述终端信息中存在虚拟机信息，则配置所述可信虚拟机为信任机；若检测到所述终端信息中不存在虚拟机信息，则重新从所述控制集合中获取一个终端信息，继续执行检测操作。
文档编号G06F9/455GK102999357SQ201210466678
公开日2013年3月27日 申请日期2012年11月16日 优先权日2012年11月16日
发明者邓振波, 张家柱, 温铭, 李宇 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司