专利名称:基于虚拟化技术的应用软件数据信息的处理方法和系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别是一种基于虚拟化技术的应用软件数据信息的处理方法和系统。
背景技术:
我国重要行业明文规定:不得安装和使用未经许可的应用软件和程序。虽然我国相关主管部门通常会对市场上的软件产品进行集中的测评,并发行检测证书,由于缺乏一套行之有效的应用软件收集、在线认证和安全分发方法和管理机制,用户安装软件的途径存在很大的随意性,不利于对软件产品的统一管理。传统的应用软件收集方式是针对某一具体操作系统,在该操作系统内安装监控代理,监测软件安装过程,从而完成软件的收集,故当需要应用软件支持多种操作系统时,需要针对每一种操作系统开发专门的监控代理,而且监控代理在安装过程中会给操作系统带来一定的开销,影响应用软件的收集性能。此外,传统的应用软件收集方式由于应用软件安装过程中需要重新启动操作系统,应用软件中的某个文件可能先于操作系统内的监控代理启动,导致监控代理无法完整收集到应用软件内的所含文件,故会影响到应用软件收集结果的准确性。而且由于传统的应用软件收集方式与操作系统紧密关联,当收集完一个应用软件后,如果需要再次收集其它应用软件,为了保证操作系统环境的纯净性,往往需要重新安装或恢复操作系统,这样费时费力,工作效率不高。此外,随着网络的发展,对云计算环境下的虚拟化技术的研究也越来越深入,在云计算环境下,采用虚拟化技术,将计算资源、存储资源和网络资源进行集中管理运维,应用软件的安装和部署也会在云计算中心进行,这就存在应用软件安全使用的问题。因此,基于虚拟化技术提供一套简单便捷的应用软件的数据信息的处理方法和系统,进而形成一套应用软件的数据信息存储库,不仅有利于云计算中心系统的安全性,也有利于加强应用软件产品的生命周期管理,方便用户安装部署应用软件产品,让用户使用应用软件心中有数、有据可查。
发明内容
本发明针对传统的应用软件收集方法不支持多种操作系统而且收集准确性差和工作效率低以及现有技术缺乏一套行之有效的应用软件收集、在线认证和安全分发方法和管理机制的问题,提供一种基于虚拟化技术的应用软件数据信息的处理方法,进行应用软件的数据信息的统一收集、入库和网络服务,还可以有效解决云计算环境下应用软件安全使用的问题。本发明还涉及一种基于虚拟化技术的应用软件数据信息的处理系统。本发明的技术方案如下:—种基于虚拟化技术的应用软件数据信息的处理方法,其特征在于,先在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中,然后从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。所述在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程为:在虚拟机管理层通过VMI技术对客户虚拟机上预安装的应用软件进行实时监控。所述应用软件的特征信息包括完整性计算得到的完整性值、完整性校验码、文件名和文件大小。所述应用软件的特征信息包括应用软件安装包的完整性值、完整性校验码、文件名和文件大小,还包括应用软件安装包所含文件的完整性值、完整性校验码、文件名和文件大小。通过杂数算法或哈希算法进行完整性计算,并以预安装过程中产生的文件作为度量对象校验其数据的完整性。所述为云计算环境下的计算节点提供网络服务包括在线认证服务和在线下载服务,所述在线认证服务基于SSL/TLS通信协议安全传输应用软件的特征信息。一种基于虚拟化技术的应用软件数据信息的处理系统,其特征在于,包括依次连接的监控和处理模块、数据信息存储库和网络服务模块;所述监控和处理模块位于虚拟机管理层,用于实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中;所述数据信息存储库接收并存储由监控和处理模块导入的应用软件的特征信息;所述网络服务模块从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。所述监控和处理模块通过VMI技术对客户虚拟机上预安装的应用软件进行实时监控。所述监控和处理模块得到的应用软件的特征信息包括完整性计算得到的完整性值、完整性校验码、文件名和文件大小。所述应用软件的特征信息包括应用软件安装包的完整性值、完整性校验码、文件名和文件大小,还包括应用软件安装包所含文件的完整性值、完整性校验码、文件名和文件大小。所述监控和处理模块通过杂数算法或哈希算法进行完整性计算,并以预安装过程中产生的文件作为度量对象校验其数据的完整性。所述网络服务模块包括在线认证服务模块和在线下载服务模块,所述在线认证服务模块基于SSL/TLS通信协议安全传输应用软件的特征信息进而为云计算环境下的计算节点提供在线认证服务,所述在线下载服务模块为云计算环境下的计算节点提供在线下载服务。本发明的技术效果如下:本发明涉及一种基于虚拟化技术的应用软件数据信息的处理方法,基于虚拟化技术,在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,即通过监控和收集应用软件的预安装过程中所产生的文件,并对每个文件进行完整性计算,再将经完整性计算和数据处理得到的应用软件的特征信息导入到数据信息存储库中,并对外提供云计算环境下的计算节点提供网络服务。本发明所述方法通过应用软件的统一收集、入库和网络服务,可以有效解决云计算环境下应用软件安全使用的问题,并且有利于加强应用软件产品的生命周期管理,方便用户安装部署应用软件产品,让用户使用应用软件心中有数、有据可查。此夕卜,本发明所述基于虚拟化技术的应用软件数据信息的处理方法,通过虚拟化技术,在虚拟机管理层进行应用软件的监控和收集,故可支持Windows、Linux、Android等多种操作系统,无需针对每一种操作系统开发专门的监控代理,避免了传统的应用软件收集方式仅针对某一具体操作系统所带来的问题;而且由于本发明在虚拟机管理层进行客户虚拟机(以下简称虚拟机)上的应用软件的监控、完整性计算和数据处理,与虚拟机操作系统是分离的,即使虚拟机由于应用软件需要重新启动,也不会影响到应用软件收集结果的准确性,避免了传统的应用软件收集方式由于应用软件安装过程中需要重新启动操作系统导致的收集准确性差的问题;本发明所述方法是在虚拟机操作系统外进行监控,对虚拟机操作系统的应用软件收集过程没有影响,也不会造成很大的系统开销,从而应用软件收集的性能更高,避免了传统的应用软件收集方式的收集性能低的问题;本发明是在虚拟机操作系统内部预安装应用软件,并在虚拟机操作系统外部进行应用软件的监控和数据收集,由于虚拟机拥有快照功能,所以可以迅速恢复虚拟机操作系统的应用软件安装前的原始状态,从而实现简单快捷的应用软件收集,并提高了应用软件的收集效率。本发明还涉及一种基于虚拟化技术的应用软件数据信息的处理系统,包括依次连接的监控和处理模块、数据信息存储库和网络服务模块,监控和处理模块位于虚拟机管理层,通过监控和处理模块实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,通过监控和检查,完成云计算环境下应用软件的收集,进而形成数据信息存储库,将应用软件的特征信息导入到数据信息存储库中,通过网络服务模块为云计算环境下的计算节点提供网络服务。本发明所述系统通过监控和处理模块、数据信息存储库和网络服务模块配合工作,进行应用软件的统一收集、入库和网络服务,形成一套行之有效的应用软件收集、在线服务和安全分发方法和处理机制,有利于对软件产品的统一管理,可以有效解决云计算环境下应用软件安全使用的问题,并消除了传统的应用软件收集方式的种种弊端,具有支持多种操作系统、应用软件的数据信息处理准确性高、应用软件的数据信息收集简单便捷以及收集性能高的优点。
图1是本发明基于虚拟化技术的应用软件数据信息的处理系统的结构示意图。图2是本发明基于虚拟化技术的应用软件数据信息的处理系统的优选结构示意图。图3是本发明基于虚拟化技术的应用软件数据信息的处理系统的工作流程图。图4是本发明基于虚拟化技术的应用软件数据信息的处理方法的流程图。
具体实施例方式下面结合附图对本发明进行说明。
本发明涉及一种基于虚拟化技术的应用软件数据信息的处理系统,其结构示意图如图1所示,包括依次连接的监控和处理模块、数据信息存储库和网络服务模块。其中监控和处理模块位于虚拟机管理层(即虚拟机hypervisor层),用于实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中;数据信息存储库接收并存储由监控和处理模块导入的应用软件的特征信息;网络服务模块从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。图2是本发明基于虚拟化技术的应用软件数据信息的处理系统的优选结构示意图,监控和处理模块位于虚拟机管理层,此时虚拟机管理层位于物理主机上并作为应用软件收集主机,故更具体地说是,监控和处理模块工作在应用软件收集主机hypervisor层,通过VMI (VirtualMachine Introspection,虚拟机内省)技术对客户虚拟机上的操作系统Guest OS,如Windows、Linux、Android等操作系统上预安装的应用软件进行实时监控,监控和收集应用软件安装过程中所产生的文件,将安装过程中产生的文件进行完整性计算,计算每个文件的完整性值,并将计算出来的完整性值、CRC32 (是一种检测文件的完整性的校验码,即完整性校验码)、文件名、文件大小等作为应用软件的特征信息,再将这些应用软件的特征信息导入到数据信息存储库中。这里所述的应用软件的特征信息包括应用软件安装包以及所含文件的特征信息,即应用软件的特征信息包括应用软件安装包的完整性值、完整性校验码、文件名和文件大小,还包括应用软件安装包所含文件的完整性值、完整性校验码、文件名和文件大小。监控和处理模块对预安装过程中产生的文件进行完整性计算的具体算法可以是杂数算法或者哈希算法,以保证完整性计算的速度和准确性,并通过杂数算法或哈希算法以预安装过程中产生的文件作为度量对象校验其数据的完整性。当然,可也以通过其它算法对预安装过程中产生的文件进行完整性计算。在图2所示示例中,基于虚拟化技术,在虚拟机Guest OS上预安装应用软件,预安装的应用软件为多个操作系统的应用软件,如客户虚拟机I的Windows XP操作系统预安装软件A,客户虚拟机2的Windows7操作系统预安装软件B,客户虚拟机3的Cent操作系统预安装软件C,客户虚拟机4的Ubuntu操作系统预安装软件D,客户虚拟机5的Android操作系统预安装软件E,由监控和处理模块通过VMI技术进行监控和检查,完成云计算环境下应用软件的收集,对预安装过程中产生的文件进行完整性计算和数据处理分别得到各应用软件的特征信息,再将各应用软件的特征信息导入到数据信息存储库中。数据信息存储库接收并存储由监控和处理模块导入的各应用软件的特征信息。网络服务模块包括在线认证服务模块和在线下载服务模块,其中,在线认证服务模块基于SSL/TLS通信协议安全传输应用软件的特征信息进而为云计算环境下的计算节点提供在线认证服务,从而为计算节点的应用软件鉴别提供决策服务;在线下载服务模块为云计算环境下的计算节点提供在线下载服务,方便用户安装和使用应用软件。本发明基于虚拟化技术的应用软件数据信息的处理系统的工作流程如图3所示。其工作流程可以划分为两个层面:客户虚拟机(以下简称虚拟机)层面和应用软件监控、收集、入库、网络服务层面。其中,虚拟机层面包括启动虚拟机、应用软件预安装、关闭虚拟机。应用软件监控、收集、入库、网络服务层面包括:监控和处理模块探测虚拟机运行状态,开启和关闭应用软件监控功能,收集应用软件的特征信息,入库存储至数据信息存储库以及由网络服务模块提供网络服务。本发明所述系统的具体工作流程如下:I)、应用软件收集主机启动。2)、监控和处理模块启动。监控和处理模块开始探测虚拟机运行状态,一旦发现虚拟机返回启动状况,则开始监控虚拟机操作系统内文件、进程的使用状况。3)、虚拟机启动。选择虚拟机镜像数据文件,启动虚拟机,虚拟机启动后,虚拟机监控器返回启动信息给监控和处理模块,监控和处理模块开启监控功能。4)、应用软件预安装与收集。在虚拟机上预安装应用软件,监控和处理模块通过VMI技术捕获应用软件安装过程中的文件,计算其完整性值、CRC32值、文件名和文件大小,通过完整性计算和数据处理得到应用软件的特征信息。应用软件预安装完成后,关闭虚拟机。将虚拟机关机信息返回给监控和处理模块,监控和处理模块停止监控功能。5)、监控和处理模块将得到的应用软件的特征信息一起导入到数据信息存储库中。6)、数据信息存储库接收并存储由监控和处理模块导入的应用软件的特征信息。7)、网络服务模块向数据信息存储库提出获取应用软件的特征信息请求,由数据信息存储库返回应用软件的特征信息给网络服务模块,进而为云计算环境下的计算节点提供如在线认证服务和在线下载服务等网络服务。本发明涉及一种基于虚拟化技术的应用软件数据信息的处理方法,其流程如图4所示,该方法基于虚拟化技术,先在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中,然后从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。基于安全云的思路,利用虚拟化技术,在虚拟机hypervisor层通过VMI技术监控Guest OS上的应用软件预安装过程,收集应用软件安装过程中产生的文件,并计算其完整性值,可通过杂数算法或哈希算法进行完整性计算,得到应用软件安装包文件、应用软件及所含文件的特征信息,该特征信息包括完整性计算得到的完整性值、完整性校验码CRC32、文件名和文件大小,再将该特征信息导入到数据信息存储库中,对外提供云计算环境下的集中在线认证服务和在线下载服务。其中,为云计算环境下的计算节点提供在线认证服务可以是从数据信息存储库中获取应用软件的特征信息,并基于SSL/TLS通信协议安全传输应用软件的特征信息。本发明提出的基于虚拟化技术的应用软件数据信息的处理方法,进行应用软件的数据信息的统一收集、入库和认证及下载等网络服务,可以有效解决云计算环境下应用软件安全使用的问题。应当指出,以上所述具体实施方式
可以使本领域的技术人员更全面地理解本发明创造,但不以任何方式限制本发明创造。因此,尽管本说明书参照附图和实施例对本发明创造已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明创造进行修改或者等同替换,总之,一切不脱离本发明创造的精神和范围的技术方案及其改进,其均应涵盖在本发明创造专利的保护范围当中。
权利要求
1.一种基于虚拟化技术的应用软件数据信息的处理方法,其特征在于,先在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中,然后从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。
2.根据权利要求1所述的处理方法,其特征在于,所述在虚拟机管理层实时监控客户虚拟机上的应用软件的预安装过程为:在虚拟机管理层通过VMI技术对客户虚拟机上预安装的应用软件进行实时监控。
3.根据权利要求1所述的处理方法,其特征在于,所述应用软件的特征信息包括完整性计算得到的完整性值、完整性校验码、文件名和文件大小。
4.根据权利要求3所述的处理方法,其特征在于,所述应用软件的特征信息包括应用软件安装包的完整性值、完整性校验码、文件名和文件大小,还包括应用软件安装包所含文件的完整性值、完整性校验码、文件名和文件大小。
5.根据权利要3或4所述的处理方法,其特征在于,通过杂数算法或哈希算法进行完整性计算,并以预安装过程中产生的文件作为度量对象校验其数据的完整性。
6.根据权利要I所述的处理方法,其特征在于,所述为云计算环境下的计算节点提供网络服务包括在线认证服务和在线下载服务,所述在线认证服务基于SSL/TLS通信协议安全传输应用软件的特征信息。
7.一种基于虚拟化技术的应用软件数据信息的处理系统,其特征在于,包括依次连接的监控和处理模块、数据信息存储库和网络服务模块; 所述监控和处理模块位于虚拟机管理层,用于实时监控客户虚拟机上的应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中; 所述数据信息存储库接收并存储由监控和处理模块导入的应用软件的特征信息; 所述网络服务模块从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。
8.根据权利要求7所述的处理系统,其特征在于,所述监控和处理模块通过VMI技术对客户虚拟机上预安装的应用软件进行实时监控。
9.根据权利要求7所述的处理系统,其特征在于,所述监控和处理模块得到的应用软件的特征信息包括完整性计算得到的完整性值、完整性校验码、文件名和文件大小。
10.根据权利要求9所述的处理系统,其特征在于,所述应用软件的特征信息包括应用软件安装包的完整性值、完整性校验码、文件名和文件大小,还包括应用软件安装包所含文件的完整性值、完整性校验码、文件名和文件大小。
11.根据权利要9或10所述的处理系统,其特征在于,所述监控和处理模块通过杂数算法或哈希算法进行完整性计算,并以预安装过程中产生的文件作为度量对象校验其数据的完整性。
12.根据权利要7所述的处理方法,其特征在于,所述网络服务模块包括在线认证服务模块和在线下载服务模块,所述在线认证服务模块基于SSL/TLS通信协议安全传输应用软件的特征信息进而为云计算环境下的计算节点提供在线认证服务,所述在线下载服务模块为云计算环境下的计算节点提供在线下载服务。
全文摘要
本发明涉及一种基于虚拟化技术的应用软件数据信息的处理方法和系统,该方法先在虚拟机管理层实时客户虚拟机上的监控应用软件的预安装过程,并将预安装过程中产生的文件进行完整性计算和数据处理得到应用软件的特征信息,再将所述应用软件的特征信息导入到数据信息存储库中,然后从数据信息存储库中获取应用软件的特征信息进而为云计算环境下的计算节点提供网络服务。本发明所述方法和系统能够进行应用软件的数据信息的统一收集、入库和网络服务,可以有效解决云计算环境下应用软件安全使用的问题。
文档编号G06F9/455GK103106100SQ20131004850
公开日2013年5月15日 申请日期2013年2月6日 优先权日2013年2月6日
发明者张大鹏, 张盼, 姚志强 申请人:中电长城网际系统应用有限公司