建立时,为虚拟机及虚拟机对应的虚拟资源配置对应的标识信息;计算节点接收虚拟机发送的虚拟资源访问请求消息,其中,虚拟资源访问请求消息中携带有虚拟机的标识信息及需访问的虚拟资源的标识信息;计算节点根据虚拟机的标识信息,及需访问的虚拟资源的标识信息,确定虚拟机是否具有访问虚拟资源的标识信息对应的虚拟资源的权限;在确定虚拟机具有访问虚拟资源的标识信息对应的虚拟资源的权限时,计算节点允许虚拟机访问虚拟资源的标识信息对应的虚拟资源;在确定虚拟机不具有访问虚拟资源的标识信息对应的虚拟资源的权限时,计算节点阻止虚拟机访问虚拟资源的标识信息对应的虚拟资源。这样,云计算控制节点在虚拟机创建时,为虚拟机及虚拟机对应的虚拟资源配置对应的标识信息后,计算节点在虚拟机需访问虚拟资源时,可以根据此虚拟机的标识信息及其需访问的虚拟资源的标识信息,确定此虚拟机是否有权限。在虚拟机有权限访问需访问的虚拟资源时,才允许此虚拟机访问。从而可以降低恶意用户访问其他用户的虚拟资源的情况发生的概率,实现对虚拟资源的保护,进而实现了云计算虚拟机化平台中虚拟资源的安全保护。
【附图说明】
[0020]为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为本发明实施例提供的一种虚拟机的安全访问方法的流程示意图;
[0022]图2为本发明实施例提供的另一种虚拟机的安全访问方法的流程示意图;
[0023]图3为本发明实施例提供的另一种虚拟机的安全访问方法的流程示意图;
[0024]图4为本发明实施例提供的一种虚拟机系统的结构示意图。
【具体实施方式】
[0025]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026]本发明实施例提供了一种虚拟机的安全访问方法,应用于虚拟机系统,虚拟机系统包括:计算节点,云计算控制节点,虚拟机。所述方法,如图1所示,包括:
[0027]步骤101、云计算控制节点在虚拟机建立时,为虚拟机及虚拟机对应的虚拟资源配置对应的标识信息。
[0028]具体的,在虚拟机创建时,云计算控制节点为了实现对虚拟资源的保护,需要对虚拟机及此虚拟机能够访问的虚拟资源配置对应的标识信息。
[0029]进一步的,不同虚拟机对应的标识信息是不同的。
[0030]进一步的,在虚拟机创建时,云计算控制节点可以根据虚拟机所需的资源,及其配置信息确定出此虚拟机对应的虚拟资源,进而可以为其虚拟机及此虚拟机能够访问的虚拟资源配置对应的标识信息。
[0031]进一步的,云计算控制节点为虚拟机及此虚拟机能够访问的虚拟资源配置相同的标识信息。
[0032]步骤102、计算节点接收虚拟机发送的虚拟资源访问请求消息。
[0033]其中,虚拟资源访问请求消息中携带有虚拟机的标识信息及需访问的虚拟资源的标识信息。
[0034]具体的,虚拟机在需要访问虚拟资源时,向计算节点发送虚拟资源访问请求消息。且此虚拟资源访问请求消息中携带有其自身的标识信息,即为虚拟机的标识信息及其需要访问的资源的标识信息。
[0035]进一步的,虚拟资源访问请求消息中也可以不携带需访问的虚拟资源的标识信息,此时需要携带能够标示出需访问的虚拟资源的其他信息,这样,便于计算节点根据此能够标示出需访问的虚拟资源的其他信息,确定出虚拟资源的标识信息。
[0036]步骤103、计算节点根据所述虚拟机的标识信息,及需访问的虚拟资源的标识信息,确定虚拟机是否具有访问所述虚拟资源的标识信息对应的虚拟资源的权限。
[0037]具体的,计算节点在接收到虚拟资源访问请求消息后,解析出其内携带的虚拟资源的标识信息及虚拟机的标识信息,将虚拟资源的标识信息与虚拟机的标识信息进行比对,进而可以根据比对结果确定虚拟机是否具有访问其需访问的虚拟资源的访问权限。
[0038]进一步的,若在步骤101中,云计算控制节点为虚拟机及此虚拟机能够访问的虚拟资源配置相同的标识信息时,计算节点可以将解析出的虚拟机的标识信息与虚拟资源的标识信息进行比对,检测虚拟机的标识信息与虚拟资源的标识信息是否一致,若一致,则可以确定虚拟机具有访问虚拟资源的标识信息对应的虚拟资源的访问权限。若不一致,则可以确定虚拟机不具有访问虚拟资源的标识信息对应的虚拟资源的访问权限。
[0039]需要说明的是,根据步骤103的确定结果不同,下面执行的步骤也不同。计算节点确定虚拟机具有访问虚拟资源的标识信息对应的虚拟资源的访问权限时,则执行步骤104a。计算节点确定虚拟机不具有访问虚拟资源的标识信息对应的虚拟资源的访问权限时,则执行步骤104b。
[0040]步骤104a、在确定虚拟机具有访问虚拟资源的标识信息对应的虚拟资源的权限时,计算节点允许虚拟机访问所述虚拟资源的标识信息对应的虚拟资源。
[0041]具体的,计算节点在确定出虚拟机具有访问虚拟资源的标识对应的虚拟资源的权限时,说明虚拟机是合法的,其并不是恶意用户控制的虚拟机,因此计算节点可以运行虚拟机访问所述虚拟资源的标识信息对应的虚拟资源,使虚拟机获取其所需的信息。
[0042]步骤104b、在确定虚拟机不具有访问虚拟资源的标识信息对应的虚拟资源的权限时,计算节点阻止虚拟机访问虚拟资源的标识信息对应的虚拟资源。
[0043]具体的,计算节点在确定出虚拟机不具有访问虚拟资源的标识信息对应的虚拟资源的权限时,说明虚拟机是不合法的,其可能是恶意用户控制的虚拟机,因此计算节点阻止虚拟机访问虚拟资源的标识信息对应的虚拟资源。即为,计算节点不对虚拟机此发送的虚拟资源访问请求消息进行响应。
[0044]这样,云计算控制节点在虚拟机创建时,为虚拟机及虚拟机对应的虚拟资源配置对应的标识信息后,计算节点在虚拟机需访问虚拟资源时,可以根据此虚拟机的标识信息及其需访问的虚拟资源的标识信息,确定此虚拟机是否有权限。在虚拟机有权限访问需访问的虚拟资源时,才允许此虚拟机访问。从而可以降低恶意用户访问其他用户的虚拟资源的情况发生的概率,实现对虚拟资源的保护,进而实现了云计算虚拟机化平台中虚拟资源的安全保护。
[0045]进一步的,在步骤101之前,如图2所示,还包括:
[0046]步骤105、云计算控制节点根据用户的利益信息,确定运行虚拟机的计算节点。
[0047]具体的,用户在虚拟机创建时,将用户的利益信息发送至云计算控制节点。其中,用户的利益信息是指用户提供的可能会与自己存在利益关系的其他用户的信息。此时,云计算控制节点可以根据获取的用户的利益信息,确定运行虚拟机的计算节点,以便运行此虚拟机的计算节点没有运行其他利益关系的用户的虚拟机。即为,云计算控制节点,根据用户的利益信息,在所有计算节点中,选取出没有运行与此用户有利益关系的用户的虚拟机的计算节点,将此计算节点作为上述