一种终端设备虚拟化管理的方法及系统与流程

本发明涉及虚拟化管理技术领域，特别涉及一种终端设备虚拟化管理的方法及系统。

背景技术：

目前，将分散存储于各个计算机中的电子文件，强制进行集中存储与管理技术，常见的共有两种，即无盘技术、桌面虚拟化技术。无盘技术：简言之，就是网络中的所有计算机都不安装硬盘，所有计算机全部通过网络服务器来启动，操作系统的文件、应用程序的文件与用户数据文件均集中存储在服务器中或服务器挂载的磁盘阵列中。桌面虚拟化技术：桌面虚拟化依赖于服务器虚拟化，在数据中心的服务器上进行服务器虚拟化，生成大量的独立的桌面操作系统，同时根据专有的桌面虚拟协议发送给终端设备；用户终端通过以太网登录到虚拟主机上，只需要记住用户名和密码及网关信息，即可随时随地通过网络访问自己的桌面系统。

无盘技术对基础网络设施与物理内存配置要求较高，运行稍大的应用软件时会出现卡机，且不能抵御局域网攻击；同时对于集中存储于服务器端的电子文件，没有任何管控措施。原因为无盘模式将操作系统与应用程序均集中存储于服务器或服务器挂载的磁盘阵列中，当客户端运行应用程序时，对文件的读写非常频繁，且数据量较大，而无盘模式对文件的操作均通过网络进行传输，因此对网络基础设施的性能与稳定性要求非常高；其次，为了保证客户盘的运行顺畅，服务器自动通过优化算法将常用的数据驻留到服务器内存中，因此对服务器的物理内存配置要求较高；另外，无盘模式下对于简单的IP冲突攻击都无法抵御。

桌面虚拟化技术对网络基础设施、服务器硬件配置要求较高，需要对原有IT架构做较大规模的改变，部署的初始投资会比较高。桌面虚拟化技术客户端采用虚拟桌面方式，运算均采用服务器的虚拟机资源，无法使用终端计算机的运算资源，导致其性能与传统PC相比，有较大差距。同时对于集中存储于服务器端的电子文件，都是明文存放，没有任何管控措施，存在集中泄密的风险。

技术实现要素：

根据本发明实施例提供的方案解决的技术问题是文件存储过程中的集中存储和存储方式的安全问题，以及文件在通过终端上其他设备和接口被泄露的安全隔离问题。

根据本发明实施例提供的一种终端设备虚拟化管理的方法，包括：

服务端为终端设备分配云存储空间，并将分配给终端设备的云存储空间作为终端设备的虚拟存储装置显示给终端设备；

终端设备的文件调用与处理模块对终端设备是否产生了将文件数据保存到虚拟存储装置的保存指令以及是否产生了从虚拟存储装置中打开文件数据的打开指令进行检测；

在所述文件调用与处理模块监测到终端设备已经产生了将文件数据保存到虚拟存储装置的保存指令时，将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存；

在所述文件调用与处理模块监测到终端设备已经产生了从虚拟存储装置中打开文件数据的打开指令时，经由网络从所述云存储空间调用所述文件数据。

优选地，所述文件调用与处理模块对与文件数据操作无关的中断事件进行监测，并在检测到所述中断事件时，将所述中断事件映射到本地操作系统，由所述本地操作系统启动相应的应用程序。

优选地，所述终端设备的I/O设备虚拟模块对I/O设备是否为开启状态进行检测，并在检测到所述I/O设备为开启状态时，则将所述I/O设备映射到本地操作系统，由所述本地操作系统对所述I/O设备进行处理操作。

优选地，所述终端设备将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存包括：

所述终端设备将待保存到虚拟存储装置的文件数据进行分割处理，得到多个文件数据块和一个文件控制块；

所述终端设备将所得到的多个文件数据块进行分组处理，得到多组文件数据块，同时将所得到的文件控制块与用户证书进行绑定处理；

所述终端设备将所得到的多组文件数据块和绑定后的文件控制块与用户证书经由网络发送到所述云存储空间中进行保存。

优选地，所述终端设备经由网络从所述云存储空间调用所述文件数据包括：

所述终端设备向所述服务端发送包含用户证书的调用请求；

所述服务端根据所述调用请求中的用户证书，从云存储空间查找与所述用户证书相对应的文件控制块；

所述服务端利用所查找到的文件控制块，从云存储空间获取多组文件数据块，并将所获取的多组文件数据块经由网络发送给所述终端设备。

根据本发明实施例提供的一种终端设备虚拟化管理的系统，包括：

服务端，用于为终端设备分配云存储空间，并将分配给终端设备的云存储空间作为终端设备的虚拟存储装置显示给终端设备；

终端设备，用于对是否产生了将文件数据保存到虚拟存储装置的保存指令以及是否产生了从虚拟存储装置中打开文件数据的打开指令进行检测，在监测到已经产生了将文件数据保存到虚拟存储装置的保存指令时，将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存，以及在监测到已经产生了从虚拟存储装置中打开文件数据的打开指令时，经由网络从所述云存储空间调用所述文件数据。

优选地，所述终端设备包括文件调用与处理模块，用于对与文件数据操作无关的中断事件进行监测，并在检测到所述中断事件时，将所述中断事件映射到本地操作系统，由所述本地操作系统启动相应的应用程序。

优选地，所述终端设备包括I/O设备虚拟模块，用于对I/O设备是否为开启状态进行检测，并在检测到所述I/O设备为开启状态时，则将所述I/O设备映射到本地操作系统，由所述本地操作系统对所述I/O设备进行处理操作。

优选地，所述终端设备包括存储模块，用于将待保存到虚拟存储装置的文件数据进行分割处理，得到多个文件数据块和一个文件控制块，以及将所得到的多个文件数据块进行分组处理，得到多组文件数据块，同时将所得到的文件控制块与用户证书进行绑定处理，并将所得到的多组文件数据块和绑定后的文件控制块与用户证书经由网络发送到所述云存储空间中进行保存。

优选地，所述服务端包括调用模块，用于通过接收终端设备发送的包含用户证书的调用请求，并根据所述调用请求中的用户证书，从云存储空间查找与所述用户证书相对应的文件控制块，以及利用所查找到的文件控制块，从云存储空间获取多组文件数据块，并将所获取的多组文件数据块经由网络发送给所述终端设备。

根据本发明实施例提供的方案，通过内核虚拟化的设备虚拟处理和控制管理使计算机的硬盘只能存储操作系统与应用软件，与用户文件操作完全隔离，即实现操作系统与应用软件在计算机本地运行，用户产生的电子文件，强制进行集中存储。该技术既能实现电子文件的集中存储与管控，同时对网络基础设施与硬件资源要求相对较低，同时，对电子文件全生命周期进行管控。

附图说明

图1是本发明实施例提供的一种终端设备虚拟化管理的方法流程图；

图2是本发明实施例提供的一种终端设备虚拟化管理的系统示意图；

图3是本发明实施例提供的终端设备虚拟调度服务技术示意图；

图4是本发明实施例提供的终端设备虚拟化处理示意图；

图5是本发明实施例提供的文件数据存储示意图；

图6是本发明实施例提供的文件数据调度示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行详细说明，应当理解，以下所说明的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

图1是本发明实施例提供的一种终端设备虚拟化管理的方法流程图，如图1所示，包括：

步骤S101：服务端为终端设备分配云存储空间，并将分配给终端设备的云存储空间作为终端设备的虚拟存储装置显示给终端设备；

步骤S102：终端设备的文件调用与处理模块对终端设备是否产生了将文件数据保存到虚拟存储装置的保存指令以及是否产生了从虚拟存储装置中打开文件数据的打开指令进行检测；

步骤S103：在所述文件调用与处理模块监测到终端设备已经产生了将文件数据保存到虚拟存储装置的保存指令时，将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存；

步骤S104：在所述文件调用与处理模块监测到终端设备已经产生了从虚拟存储装置中打开文件数据的打开指令时，经由网络从所述云存储空间调用所述文件数据。

其中，所述文件调用与处理模块对与文件数据操作无关的中断事件进行监测，并在检测到所述中断事件时，将所述中断事件映射到本地操作系统，由所述本地操作系统启动相应的应用程序。

其中，所述终端设备的I/O设备虚拟模块对I/O设备是否为开启状态进行检测，并在检测到所述I/O设备为开启状态时，则将所述I/O设备映射到本地操作系统，由所述本地操作系统对所述I/O设备进行处理操作。

其中，所述终端设备将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存包括：所述终端设备将待保存到虚拟存储装置的文件数据进行分割处理，得到多个文件数据块和一个文件控制块；所述终端设备将所得到的多个文件数据块进行分组处理，得到多组文件数据块，同时将所得到的文件控制块与用户证书进行绑定处理；所述终端设备将所得到的多组文件数据块和绑定后的文件控制块与用户证书经由网络发送到所述云存储空间中进行保存。

其中，所述终端设备经由网络从所述云存储空间调用所述文件数据包括：所述终端设备向所述服务端发送包含用户证书的调用请求；所述服务端根据所述调用请求中的用户证书，从云存储空间查找与所述用户证书相对应的文件控制块；所述服务端利用所查找到的文件控制块，从云存储空间获取多组文件数据块，并将所获取的多组文件数据块经由网络发送给所述终端设备。

图2是本发明实施例提供的一种终端设备虚拟化管理的系统示意图，如图2所示，包括：服务端201，用于为终端设备分配云存储空间，并将分配给终端设备的云存储空间作为终端设备的虚拟存储装置显示给终端设备；终端设备202，用于对是否产生了将文件数据保存到虚拟存储装置的保存指令以及是否产生了从虚拟存储装置中打开文件数据的打开指令进行检测，在监测到已经产生了将文件数据保存到虚拟存储装置的保存指令时，将待保存到虚拟存储装置的文件数据经由网络发送到所述云存储空间中进行保存，以及在监测到已经产生了从虚拟存储装置中打开文件数据的打开指令时，经由网络从所述云存储空间调用所述文件数据。

其中，所述终端设备202包括文件调用与处理模块，用于对与文件数据操作无关的中断事件进行监测，并在检测到所述中断事件时，将所述中断事件映射到本地操作系统，由所述本地操作系统启动相应的应用程序。

其中，所述终端设备202包括I/O设备虚拟模块，用于对I/O设备是否为开启状态进行检测，并在检测到所述I/O设备为开启状态时，则将所述I/O设备映射到本地操作系统，由所述本地操作系统对所述I/O设备进行处理操作。

其中，所述终端设备202包括存储模块，用于将待保存到虚拟存储装置的文件数据进行分割处理，得到多个文件数据块和一个文件控制块，以及将所得到的多个文件数据块进行分组处理，得到多组文件数据块，同时将所得到的文件控制块与用户证书进行绑定处理，并将所得到的多组文件数据块和绑定后的文件控制块与用户证书经由网络发送到所述云存储空间中进行保存。

其中，所述服务端201包括调用模块，用于通过接收终端设备发送的包含用户证书的调用请求，并根据所述调用请求中的用户证书，从云存储空间查找与所述用户证书相对应的文件控制块，以及利用所查找到的文件控制块，从云存储空间获取多组文件数据块，并将所获取的多组文件数据块经由网络发送给所述终端设备。

图3是本发明实施例提供的终端设备虚拟调度服务技术示意图，如图3所示，包括终端设备桌面、服务端以及终端设备操作系统(内核)。

其中，所述终端设备操作系统(内核)包括控制管理、安全认证、I/O设备虚拟、策略处理、文件调度与处理、存储虚拟、网络虚拟以及用户登录。所述服务端包括权限认证、策略管理以及云存储。

所述控制管理，区分操作系统和应用程序与用户文件存储和调用，明确什么应用是通过本地资源处理的，如系统支持和应用程序等；什么应用是对本地资源进行隔离的，只能通过文件集中存储的机制进行安全处理。

所述安全认证，对终端与网络服务的各种交互操作和设备互联，以及有权限的本地I/O操作，使用用户、密钥、令牌、证书等验证方式进行处理，防止对文件数据的各类操作出现安全隐患；同时，其中的日志处理程序将系统操作日志上传到服务端的日志管理系统，安全管理员通过服务端监控终端的非法操作和安全预警。

所述I/O设备虚拟，对操作系统的内核I/O设备进行虚拟化，根据策略要求确定哪些设备可以启用，那些设备关闭。只有启用的设备用户才能可视，只有通过权限认证才能使用。

所述策略处理，从服务端的策略管理获取本地策略并处理，以文件使用安全的角度来确定用户能够使用那些本地设备和运行那些应用。

所述文件调度与处理，在文件进行集中存储和调用时采用文件数据块进行处理。

主要工作原理，首先，对文件的输入/输出操作进行控制处理，主要通过虚拟化内核的I/O设备，根据策略处理，隔绝或关闭可能发生文件外泄的I/O设备，同时将所有的I/O设备中断捕获，所有对文件的操作交付给的文件数据块存储与调度程序，与文件操作无关的中断映射给操作系统，由操作系统使用本地资源进行计算、处理等操作，其次，文件数据块存储与调度程序通过映射在本地的网络存储设备和加载了专有网络传输协议的虚拟网络交付给服务端的存储管理，实现文件的集中存储。

所述存储虚拟，通过用户和令牌的双向验证，将云存储端的逻辑存储设备按策略分配的存储空间大小虚拟为本地存储设备，在用户的设备管理器中作为本地的存储设备显示给用户,同时作为用户应用程序产生的用户文件作存储操作的唯一可选存储介质,实现对用户透明和可视化，同时通过Hook技术接管操作系统内核的设备管理并虚拟化,控制设备启用的应用方式，从而实现本地存储设备的隔离，无论任何情况下，不仅对用户不可见，用户也不能直接操作本地设备，防止用户文件存储到本地存储设备。

所述网络虚拟，通过对网络虚拟，加载专有的网络通讯协议，保护文件传输过程的数据安全。

所述用户登录，对用户在终端的桌面登录操作进行处理，用户只有通过安全认证和服务端的用户与权限认证才能登录到终端的操作界面。

TVDS(Terminal Virtual Dispatch Service，终端设备虚拟调度服务)技术核心包含两个部分，即文件数据块存储和调度技术，终端内核虚拟化技术；

文件数据块调度技术，实现用户数据的集中存储(即云存储)，用户对文件的读写访问均通过虚拟层的文件调度与处理程序对相应的数据块操作，同时结合专用的块结构与块调度算法保证用户端文件操作的高效性及可靠性。

终端内核虚拟化技术，主要是通过设备虚拟化程序对操作系统启用的I/O设备进行虚拟化映射处理，通过策略处理程序按下发的策略进行处理，决定哪些设备的开启或关闭。通过中断的虚拟化控制系统接管底层操作系统的所有I/O操作，根据对应的请求服务类别，对文件存储进行阻断、拒绝、转向处理，对其他的请求映射给操作系统对应的处理和服务。

通过以上两种技术的结合，用户端对云存储端的所有文件操作全部呈现为本地化操作，文件提交后和调用前均被服务器接管。另外，该技术包含电子文件的细粒度访问控制、流转控制与审计、输出管控；同时，将电子文件与用户身份进行一一绑定，不仅其他用户，即使系统管理员也无法操作用户的电子文件；对于网络传输采用专用的网路协议，保证数据传输安全可靠。

图4是本发明实施例提供的终端设备虚拟化处理示意图，如图4所示，包括：

⑴启动虚拟层控制模块，用户操作登录界面，通过虚拟层安全认证程序，与服务端进行身份认证，通过后，用户才能打开或进入终端的操作系统桌面。

⑵从服务端的策略管理，获取用户的本地策略，交付给虚拟层的策略处理程序，确定用户对终端设备和系统的操作权限，有控制管理系统通过对应的程序执行。

⑶虚拟化核心系统的I/O设备，通过控制管理功能，管控终端系统产生的中断请求，接管所有对文件操作的I/O请求，防止文件通过未授权的终端设备泄露。

⑷通过安全认证对用户和令牌验证，验证通过后虚拟云端的存储设备为本地逻辑存储设备，实现本地化挂接，同时虚拟终端存储设备。

⑸对终端存储进行隔离处理，保证对用户文件的本地存储完全隔离。

⑹通过网络虚拟程序，对网络进行虚拟化处理，加载专有的网络传输协议，保证文件传输过程中的数据安全。

图5是本发明实施例提供的文件数据存储示意图，如图5所示，按照数据块方式将需要集中存储的终端用户文件进行处理，然后提交给服务端的存储管理系统，保证文件安全和高效率的存储到云存储端的存储设备。具体包括：

⑴根据安全级别、文件大小、文件类型、文件属性等因素，对文件进行数据块分割，同时建立文件控制块。

⑵对文件所有数据块进行加密处理，同时进行文件控制块与用户证书捆绑处理。

⑶采用调度算法对文件数据块进行处理，上传到云端进行存储。

也就是说，根据文件的大小和文件的密级、类型等相关属性对文件按照1024byte字节的整数倍的进行分割,生成文件数据块和文件控制块，文件控制块与用户和证书绑定，根据文件大小和传输的带宽等因素对文件数据块进行分组，对每一组文件数据块逐个进行加密，每组加密的文件数据块按数据片方式采用异步轮片方式进行并发传输，交付给服务端存储管理程序。

图6是本发明实施例提供的文件数据调度示意图，如图6所示，按特定的调度算法对文件数据块通过数据证书的验证和用户身份识别进行安全调用，采用分组的方式对数据块进行解密操作，采用集合方式进行文件聚合操作，最终提供给终端用户使用。

也就是说，对文件调用进行证书验证，通过对数据块进行分组异步调用，文件数据块进入终端系统的内存缓冲池，做内存处理映射，同时对每组数据块的进行解密处理，根据文件控制块对数据块的进行排序，数据块通过集合方式进行聚合，数据块连接成文件，交付给调用程序。

根据本发明实施例提供的方案，用户在文件存储和调用时只能选择虚拟的本地化的网络存储设备做为目的和源，没有其他的任何选择；系统在文件存储和调用的效率与本地硬盘存储无差别；用户在终端文件存储和调用时的操作方式和单机操作无差别；用户在终端执行的系统操作和应用程序与本地单机执行没有任何差别。总之，用户在使用终端内核虚拟化系统进行操作，就如同操作一台单机系统一样，没有感觉到自己进行任何的网络操作，轻轻松松地在终端完成了自己的工作。本发明还实现了电子文件强制性集中存储管理及访问控制，保证电子文件可用性、安全性、完整性和可审计性的效果。并且控制电子文件的共享边界及权限，严控电子文件输出、移动办公潜藏的安全风险，最终实现电子文件的集中存储、加密保护、授权使用、访问控制、全程审计的安全管控效果。

尽管上文对本发明进行了详细说明，但是本发明不限于此，本技术领域技术人员可以根据本发明的原理进行各种修改。因此，凡按照本发明原理所作的修改，都应当理解为落入本发明的保护范围。