一种分层实现计算虚拟化的方法与设备的制作方法
【专利摘要】一种采用分层虚拟实现计算虚拟化的方法及相应设备,通过虚拟出三个独立的虚拟化层次,分别为移动系统层、虚拟卷加密层以及虚拟应用层,来实现跨设备移动计算,以及基于网络的虚拟化工作空间。移动系统层通过只读镜像系统实现,运行时载入到Ramdisk运行,虚拟卷加密层通过创建一个虚拟卷,经验证密钥后载入为虚拟磁盘并控制其访问实现,应用层通过虚拟机或虚拟化应用环境并抽取程序所需的Library与注册表来实现。其中,虚拟应用层位于虚拟卷加密层内,虚拟卷加密层与移动系统层则直接存在于存储设备上,两者分开存储,互不包含。对于虚拟应用层内的程序,为了获得更快的速度效果,可以通过将内存或部分内存虚拟化出的磁盘作为缓存的办法来加速。
【专利说明】一种分层实现计算虚拟化的方法与设备
【技术领域】
[0001]本发明属于移动计算设备安全机制与虚拟化的【技术领域】,可用于保护设备与信息安全并实现应用程序的快速跨设备使用,应用程序服务化(Software as a service,简写SaaS),以及虚拟化应用程序的权限控制。
【背景技术】
[0002]移动设备与移动存储设备在近年快速普及,但是存在几个严重的问题,主要的分别有安全性的问题,速度慢的问题,以及跨设备实现云应用尤其是如何实现私有云的问题。
[0003]背景一、首先是安全性问题。
[0004]近年来,随着随着信息技术的不断发展,各类计算机层出不穷,计算机的应用领域也深入到了社会的各个层面。根据美国康奈尔大学计算机科学系工程教授JohnHopc1ft教授总结,当前计算机领域存在两个明显的趋势,分别是智能移动设备的大量使用,以及云计算的发展。然而,伴随着这两个趋势,用户终端上也就凸显出了相应的两个问题,迫切需要可靠的解决方案。移动存储设备,尤其是移动硬盘与U盘,由于其价格便宜、携带使用方便得到了广泛的应用。内网中机密数据以电子文档的形式存储在电脑上,在方便了内部人员对信息的获取、共享和传播的同时,也存在重要信息通过内部途径泄密的风险。
[0005]移动存储介质的使用者也经常忽视对移动设备的查杀毒工作,这也会给移动存储介质的安全也造成一定程度的影响。在实际的使用中,移动存储介质不可避免地会感染一些外在的计算机病毒,如果不能及时有效地查杀病毒,轻易将染毒文件在单位内计算机打开,就很容易将病毒传播到单位内部网中,影响到单位内计算机的应用操作。
[0006]为了对抗泄密和感染病毒,对移动存储介质来说,电子文件的安全保护目前主要采用内核加密、身份认证、访问控制和安全审计等技术来实现:
1.加密技术,保证只有拥有密钥的人员才能对文件进行操作。一些制造商为了提高产品的技术含量,开发出具有指纹识别、加密分区等安全措施的移动存储设备,如果不慎丢失,一般人可能无法直接获取其中数据,但对专业人员来说,这些数据安全措施是容易被攻破的。随着密码破解技术的发展,不论是运用Word、WPS等自带的密码功能设置密码,还是利用加密软件对文件、文件夹甚至全盘进行加密,都有可能对密码进行破解,只是时间长短的问题。
[0007]加密技术的两个基本元素是加密算法和加密密钥。加密按照发送方/接收方的加密密钥/解密密钥是否相同可以将加密技术分为对称加密和非对称加密。对称加密也称为私钥加密,它是指发送方、接收方采用相同的密钥对数据进行加密、解密。对称加密的安全性取决于密钥的安全性,只要密钥是安全的那么即使对手知道了密文和加密算法在没有密钥的情况下也不可能获得明文。值得注意的是加密方式的安全性判别有两个标准,通常可以认为只要破解密钥所花费的时间超过了加密信息本身的有效期或者破解密文所花费的成本超过了密文本身的价值,那么可以认为该加密算法就是安全的。
[0008]2.访问控制。一般需要和身份认证相结合,访问控制机制的基本思想是对文件和管理人员赋予相应的权限,只有具备对文件操作的权限才能对文件进行操作。访问控制技术是信息安全技术中不可或缺的一环,访问控制技术的基本思想是根据用户所拥有的权限来控制用户对资源的访问。访问控制技术大体上可以分为扁平化结构和层次化结构,扁平化结构的特点是用户权限和资源直接关联,层次化结构的特点是用户权限和资源之间并不直接祸合。
[0009]3.安全审计。只有对电子文件的操作过程进行记录才能保证在电子文件泄漏事件发生后对责任人进行处理,从而降低泄漏事故发生的概率。但是,移动存储设备的管理方面缺乏有效的管理监督机制和保密机制。
[0010]但是,这些移动设备的安全防护既会带来更高的成本,也会给移动设备方便的使用特性带来麻烦。
[0011]背景二、速度慢的问题。
[0012]此处的速度慢主要指的是移动设备承载虚拟化工作后速度慢的问题。移动设备本身速度都不快,与计算机的连接接口的速度也一般。而虚拟化会造成速度的进一步减慢,不可避免地给用户体验带来很大的影响。
[0013]比如,微软的Windows 8企业版具有Windows to Go的功能,允许企业级用户创建基于USB的系统,但是对设备速度的要求非常高,使得其实现成本其实很高。
[0014]背景三、跨设备实现云应用,尤其是如何实现私有云的问题。
[0015]早在1997年,南加州大学教授Ramnath K.Chellappa就提出了云计算的第一个学术定义,他认为“云”是一种计算模式,计算的界限是由经济合理性决定的,而不是由技术水平来决定。
[0016]云计算是网格计算、分布式计算、虚拟化、并行计算、效用计算、负载均衡、网络存储等传统计算机技术和网络技术发展融合的产物。云计算的目的是通过网络把多个低成本的计算实体整合成一个具有强大“性价比”的计算机应用系统,并借助SaaS、PaaS、IaaS、MSP等先进的商业模式把这强大的计算能力分布到终端用户手中。这种特性经常被称为像水电一样使用IT基础设施。
[0017]最先是云存储。苹果iCloud, Google,亚马逊 Cloud Drive, Windows LiveSkyDrive和Dropbox纷纷推出了大容量的存储空间。虽然相比于目前动辄数T的本地存储空间,以及本地已经每秒数G的本地或USB传输速度,云存储的区区数G的大小和以M每秒计算的网络传输速度显得还很不足,或者说这也可能是由于硬件存储与传输接口的发展速度总是会快于网络环境发展速度造成的必然结果,但是不可否认的是,云存储在文件交互、故障维护上比用本地存储方便很多,所以是本地存储的有效可靠的补充。
[0018]云计算的第二个阶段,就进入了目前最新的话题之一,云应用的阶段。近年来较为知名的VMware, ChromeOS, VMforce等一系列云计算应用产品,均为云应用的发展做出了较大的贡献。
[0019]但是目前云端应用的缺陷还是很明显的。举例如下。
[0020]首先,极高的服务器资源需求与技术要求,因此集中控制在少数大公司手里。比如谷歌的Ch1meBook等。一般的中小企业不具备实现能力。这也使得云应用成本很高,目前不能普及。
[0021]第二,依赖于LAN的高速。与局域网不同,一般的广域的LAN的速度能够支持在线播放、在线编辑文档、甚至在线小游戏,但是无法进行更具实用性的工作与娱乐。网络的速度无法支持在线玩大型的3D游戏或者进行Matlab工作程序运算。诚然网络的速度会发展,但是不可否认的是程序与游戏的复杂性与计算量增长的更快。
[0022]第三,应用存在很大的局限性和兼容性。现在的Google ChromeBook像一个网络化的DOS (DiskOperat1n System磁盘操作系统),它的启动速度够快,但是局限太多,支持的东西太少。谷歌表示,“所有Chrome OS应用都采用Web技术”。因此Chrome OS能够支持的应用必须是可以基于Web运行的。这也就是说用户购买的实质上是一个浏览器。而微软服务器的RemoteApp和Critex主导的远程XenApp模式则存在很大的兼容性问题。
[0023]第四,用户所有数据都存储在网络上,安全性如何获得有效的保障,是一个很大的疑问。假设用户可以相信Google能够提供足够安全的环境,但一些不想置于网上的隐私应该怎么办。
[0024]第五,不同用户间如何实现安全隔离。云中的应用种类多样,如何保证各种应用之间的安全隔离,同时能否及时阻止包括云内和云外的非法访问,以保证各种异构应用的安全。企业考虑部署云应用时,安全问题常常是最常见的障碍。根据IDC的调查,90%的企业认为安全是部署云的最大障碍。云端模式必须首先能够为用户提供安全的服务,这意味着,应用所在平台必须首先是一个安全的平台、放心的平台,用户才会选择将应用转到云端中。
[0025]总之,云应用必须降低成本与技术门槛,并解决安全隔离的问题,否则一般中小公司与个人无法实现云服务。
[0026]要降低成本,就必须改变计算模式,否则服务方资源会限制服务的载荷。
[0027]要降低技术门槛,就必须要能够实现个人云。个人云计算是云计算在个人领域的延伸,是以Internet为中心的个人信息处理,即通过Internet对个人的各种信息进行组织、存储、分发和再加工。与所有的“云”一样,个人云由服务器、终端、应用程序和个人信息组成。个人云计算具有与一般云计算相同的特征,例如共享、随意访问和可扩展。同时,它也具有与一般云计算不一样的特点,这是由个人信息的特点决定的。个人信息是私有的,对安全性要求较高。个人拥有大量的图片、视频等多媒体信息,要求存储量大并可以扩展,而对计算能力要求不强。市场调研机构Gartner预测,“个人云”在2014年将取代PC,成为网民数字生活的核心,真正进入应用驱动的时代。
[0028]此外还要解决安全隔离的问题。
【发明内容】
[0029]为了解决上述的安全防护和权限控制问题,并实现高性能高速度的、低成本的云应用设备,本发明提出一种采用分层结构来实现计算虚拟化的方法,该方法建立三个独立的虚拟化层次,分别为单独的系统层、虚拟卷加密层以及虚拟应用层,将单独系统层直接存在于存储设备上,设置为可以通过USB启动或网络启动,将虚拟卷加密层也直接存在于存储设备上,但是与单独系统层分开存储,将虚拟应用层存储于虚拟卷加密层内。见附图1。
[0030]移动系统层通过只读镜像系统实现,运行时载入到Ramdisk运行,虚拟卷加密层通过创建一个虚拟卷并控制其访问实现,系统访问加密层时将卷文件映射成系统中的磁盘分区,应用层通过虚拟机或虚拟化应用环境并抽取程序所需的Library运行库和注册表来实现,使得部署在应用层的程序可跨系统使用。
[0031]对于虚拟应用层的程序,为了获得更快的速度效果,利用部分内存虚拟化为磁盘进行缓存的办法加速。
[0032]虚拟卷加密层采用多用户不同权限密钥的方式,为不同用户应用不同的密码与权限,所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等。并且,虚拟卷加密层针对不同的需求可以有多种模式,针对高性能需求与一般的安全防护需求,虚拟卷加密层采用单次认证模式,当用户访问虚拟卷时验证密钥,通过后直接将卷文件映射成系统中的磁盘分区,不再对每次读写认证。针对高安全防护需求,适当牺牲性能,虚拟卷加密层采用每次读写认证模式,当用户从虚拟磁盘分区读取数据文件时,数据在经过虚拟磁盘驱动程序时进行解密操作,将文件以明文形式提交给用户;当用户写入文件时虚拟磁盘驱动程序对数据进行加密后传递给设备驱动程序,最终数据以密文形式存储在物理磁盘上的虚拟卷。
[0033]所述方案中的存储设备可以是任何移动设备,也可以具有USB接口,从而能够与计算机以USB协议连接,也可以具有无线网卡,从而能够与计算机以无线协议连接。
[0034]有益效果
本发明方案的主要优点在于低成本、低门槛地实现了一个性能好、使用方便、安全权限设置全面、高度隐私的虚拟化应用设备。
[0035]低成本:不需要服务器。一个存储设备经过所述方案处理即可实现。
[0036]低门槛:不需要额外的技术设备。
[0037]性能好:由于抽离出单独的应用层,进行缓存加速,可以较快地运行虚拟化后的应用。
[0038]安全权限设置全面:由于应用层放置在虚拟卷加密层内,所有的权限控制都可以通过虚拟卷加密层实现。诸如为不同用户应用不同的密码与权限,所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等均可。
[0039]高度隐私:系统层是只读镜像,通过载入到内存运行,关机后没有痕迹,应用层在虚拟卷加密层中运行,所有运行痕迹都在虚拟卷加密层里,关闭退出后没有残余任何痕迹在主机。
[0040]使用方便:设备具备三种工作模式:一、直接访问系统层,适用于系统恢复、应急使用;二、访问系统层后,从系统层访问加密层,如需要再访问应用层,适用于移动工作与有较高机密要求的工作;三、不访问系统层,通过连接到其他计算机,比如通过网络共享到其他计算机,从HOST计算机的系统访问加密层,身份认证后依据所对应身份的权限再访问应用层,适用于软件服务化,以及企业云等。
【具体实施方式】
[0041]基于本发明所描述的方法可以创建各种形式的分层虚拟化设备,本处仅描述一个样例。硬件本身基于一个闪存磁盘,带有USB接口和Wifi网卡,能够以USB或无线分享的方式连接到一般的计算机或移动设备。分层虚拟化实现方式为:在闪存上通过量产工作划分成一个启动分区(USB-HDD分区),以及一个可写入的存储分区(一般的可移动磁盘类型),并在启动引导的分区中存储了镜像只读的系统文件,比如ISO镜像文件,运行时将该镜像系统载入内存Ramdisk运行,而在存储分区中分开存放一个虚拟卷,在虚拟卷中安装了程序虚拟机(或建立了虚拟化的程序运行环境并抽取应用程序所需的Library运行库和注册表)。虚拟卷外则是普通的存储空间。该虚拟卷文件夹外存放有身份验证的客户端,当用户运行客户端经过密钥认证后,该虚拟卷会被载入为一个共享在网络上的磁盘Y,但不支持直接访问,而是需要经由客户端内的专门为该虚拟卷制作的资源管理器访问。在该客户端内的资源管理器可以打开虚拟机程序,以及虚拟化的应用程序的安装与管理的控制面板程序,负责应用程序的安装、卸载、管理、目录索引、运行。这些虚拟化的应用程序只需从控制面板中点击就可以直接运行,因为其运行所需要的注册表和环境文件和Library库文件都已经一并存储在虚拟卷中,当程序运行调用时直接指向到这些虚拟卷内的文件。
[0042]样品设备还支持一个快速运行模式,可以由用户选择是否开启,实现方式为:启动控制面板后,同时执行内存虚拟化操作,分割一部分内存作为虚拟磁盘Ramdisk。从控制面板点击程序运行时,由于程序已经被虚拟化处理了,包含了其运行所需的注册表和环境文件和Library库文件,所以可抽取到上述的内存虚拟磁盘中。这一步载入会导致样例设备上启动应用程序比较慢,但是载入到内存虚拟磁盘后运行速度会非常快。
[0043]当样例设备以USB连接计算机时,该计算机能够通过USB引导载入样例设备中的镜像操作系统到Ramdisk中,当然这样这个系统层就是完全只读的,但是这并不影响我们的日常工作,因为虚拟卷文件层和应用层都已经分割出来了,镜像系统在内存中运行不但完全只读,不会感染病毒或者留下痕迹,而且内存速度快。通过该镜像系统访问样例设备的存储分区,可以访问虚拟卷加密层的客户端程序,运行客户端程序,认证密码,获得对应密钥用户的权限,并载入虚拟卷加密层为网络磁盘Y。该网络磁盘Y是不允许资源管理器直接访问的。用户通过客户端来访问其中资源,以及开启应用层的控制面板程序,从中查看程序列表,运行应用程序。所有本地的操作系统能够完成的工作都可以在样例设备的分层模式下完成,所不同的是,所有对应用程序和工作空间的修改,比如保存数据、设置偏好、安装新程序等都在应用层完成,而文件操作都在虚拟卷加密层完成,在关机退出后在本机不留下痕迹。当然,也可以直接用USB连接计算机后登录加密层后使用应用层。本模式主要适用于完成一些客户服务工作、移动工程师、维修杀毒工作、商务机要操作以及携带工作空间等,如附图2所示。
[0044]当样例设备以加密的Wifi共享连接到附近的计算机时,该计算机能够在网络设备中发现到样例设备,呈现为一个网络上的计算机文件夹,进入该网络文件夹,可以访问虚拟卷加密层的客户端程序,运行客户端程序,认证密码,获得对应密钥用户的权限,并载入虚拟卷加密层为网络磁盘Y。该网络磁盘Y是不允许资源管理器直接访问的。用户通过客户端来访问其中资源,以及开启应用层的控制面板程序,从中查看程序列表,运行应用程序。多个用户能够共同访问使用,并拥有不同的权限,比如有的用户不能够复制特定文件,有的用户不能看到特定程序,有的用户如访问用户有使用时长限制等,很适合企业单位用于统一集中控制本单位的程序和文件。对于一个家庭用户,或者私人用户,也能够用于让其所有设备在一个安全隔离和安全控制的环境下共同使用应用程序、游戏等,如附图3所示。
[0045]说明书【专利附图】
【附图说明】
图1.分层结构原理图。
[0046]图2.样例设备的模式一下虚拟化的程序运行示意图。
[0047]图3.样例设备的模式二下虚拟化的程序运行示意图。
【权利要求】
1.一种采用分层结构来实现计算虚拟化的方法,该方法建立三个独立的虚拟化层次,分别为单独的系统层、虚拟卷加密层以及虚拟应用层,其中单独系统层包含至少一个操作系统,虚拟卷加密层加载后在计算设备中生成虚拟磁盘,应用层通过虚拟机或虚拟化应用环境等方法来跨设备运行应用程序,三层的部署如下:将单独系统层直接存在于存储设备上,设置为可以通过USB启动或网络启动等方式引导启动,将虚拟卷加密层也直接存在于存储设备上,但是与单独系统层分开存储,将虚拟应用层存储于虚拟卷加密层内。
2.—种权利要求1所描述的方法,其特征在于,移动系统层通过只读镜像系统实现,运行时载入到Ramdisk运行,虚拟卷加密层通过创建一个虚拟卷,经验证密钥后载入为虚拟磁盘并控制其访问实现,系统访问加密层时将虚拟卷文件映射成系统中的磁盘分区,应用层通过虚拟机或虚拟化应用环境并抽取程序所需的Library运行库和注册表来实现,使得部署在应用层的程序可跨设备使用。
3.—种权利要求1所描述的方法,其特征在于,对于虚拟应用层的程序,为了获得更快的速度效果,利用部分内存虚拟化为磁盘进行缓存的办法加速。
4.一种权利要求1所描述的方法,其特征在于,虚拟卷加密层采用单次认证模式,当用户访问虚拟卷时验证密钥,通过后直接将卷文件映射成系统中的磁盘分区,不再对每次读写认证。
5.一种权利要求1所描述的方法,其特征在于,虚拟卷加密层采用每次读写认证模式,当用户从虚拟磁盘分区读取数据文件时,数据在经过虚拟磁盘驱动程序时进行解密操作,将文件以明文形式提交给用户;当用户写入文件时虚拟磁盘驱动程序对数据进行加密后传递给设备驱动程序,最终数据以密文形式存储在物理磁盘上的虚拟卷。
6.一种权利要求1所描述的方法,其特征在于,虚拟卷加密层采用多用户不同权限密钥的方式,为不同用户应用不同的密码与权限,所述权限包括对不同文件的访问权限、IP的绑定、使用次数、修改权限、拷贝权限、使用截止日期等。
7.一种依据权利要求1所描述的方法制造的设备,其特征在于,包含至少一个启动分区(网络启动或CDROM或USB-HDD分区等),以及至少一个可写入的存储分区(可移动磁盘类型或者本地磁盘类型),并在启动引导的分区中存储了镜像只读的系统文件,比如ISO镜像文件,运行时将该镜像系统载入内存运行,而在存储分区中分开存放一个或多个虚拟卷,在虚拟卷中安装程序虚拟机(或建立了虚拟化的程序运行环境并抽取应用程序所需的Library运行库和注册表)。
8.一种依据权利要求1所描述的方法制造的设备,其特征在于,设备具备三种工作模式:一、直接访问系统层;二、访问系统层后,从系统层访问加密层,如需要再访问应用层;三、不访问系统层,通过连接到其他计算机,从HOST计算机的系统访问加密层,如需要再访问应用层。
9.一种依据权利要求1所描述的方法制造的设备,其特征在于,所述存储设备具有USB接口,能够与计算机以USB协议连接。
10.一种依据权利要求1所描述的方法制造的设备,其特征在于,所述存储设备具有无线网卡,能够与计算机以无线协议连接。
【文档编号】G06F12/14GK104298472SQ201410533769
【公开日】2015年1月21日 申请日期:2014年10月12日 优先权日:2014年10月12日
【发明者】张维加 申请人:张维加