專(zhuān)利名稱(chēng)：：一種基于Xen的安全的虛擬磁盤(pán)的訪問(wèn)控制方法
技術(shù)領(lǐng)域：
：本發(fā)明屬于信息安全的訪問(wèn)控制領(lǐng)域。
背景技術(shù)：
：Xen直接運(yùn)行在系統(tǒng)硬件之上，占據(jù)處理器特權(quán)級(jí)中的Ring0，各個(gè)虛擬客戶系統(tǒng)占據(jù)Ring1，應(yīng)用程序處于Ring3。Xen將許多工作剝離出來(lái)，自己本身只負(fù)責(zé)一些特權(quán)操作。被剝離出來(lái)的工作包括創(chuàng)建和管理虛擬機(jī)、管理真實(shí)硬件等，都是由一個(gè)特權(quán)域Domain0來(lái)完成，它是整個(gè)架構(gòu)的宿主系統(tǒng)。其他虛擬系統(tǒng)稱(chēng)為DomainU，它們的前端驅(qū)動(dòng)將操作請(qǐng)求傳給Domain0的后端驅(qū)動(dòng)，接著后端驅(qū)動(dòng)調(diào)用設(shè)備驅(qū)動(dòng)程序訪問(wèn)硬件完成實(shí)際的操作。虛擬磁盤(pán)的主要應(yīng)用領(lǐng)域分為兩類(lèi)第一是在本地電腦中虛擬出一個(gè)遠(yuǎn)程電腦的磁盤(pán)作為本地磁盤(pán)，實(shí)際上不存在于本機(jī)上，用于加大客戶機(jī)硬盤(pán)容量，達(dá)到通過(guò)網(wǎng)絡(luò)共享服務(wù)器磁盤(pán)節(jié)省硬盤(pán)容量的效果。目前的研究方向主要集中在提高系統(tǒng)的I/O性能和數(shù)據(jù)可用性上。還有一種虛擬磁盤(pán)是在內(nèi)存中劃分出一塊區(qū)域作為臨時(shí)磁盤(pán)使用，這樣做同樣是為了提高計(jì)算機(jī)的I/O性能?？梢?jiàn)當(dāng)前研究重點(diǎn)并不在如何保證數(shù)據(jù)的安全性上。前者依賴(lài)于網(wǎng)絡(luò)環(huán)境，存在著諸多如數(shù)據(jù)泄密和數(shù)據(jù)竊取等不安全因素。而虛擬機(jī)中的虛擬磁盤(pán)主要用于為虛擬客戶系統(tǒng)提供真實(shí)硬盤(pán)的體驗(yàn)，同時(shí)可以通過(guò)非網(wǎng)絡(luò)方式實(shí)現(xiàn)虛擬客戶系統(tǒng)之間的數(shù)據(jù)共享。與傳統(tǒng)的IDE設(shè)備相比，它具有可以實(shí)現(xiàn)控制讀寫(xiě)和動(dòng)態(tài)裝載的優(yōu)點(diǎn)；而與網(wǎng)絡(luò)設(shè)備相比，不受網(wǎng)絡(luò)帶寬的影響從而擁有更高的I/O讀寫(xiě)速度，同時(shí)減少數(shù)據(jù)的可傳播途徑從而擁有更高的安全性。盡管虛擬磁盤(pán)擁有以上優(yōu)勢(shì)，但仍有以下幾點(diǎn)不足由于是傳統(tǒng)IDE磁盤(pán)的純軟件模擬，它和IDE磁盤(pán)一樣具有無(wú)法控制讀寫(xiě)和動(dòng)態(tài)裝載的缺點(diǎn)；同時(shí)它還存在不安全的因素，如缺乏必要的數(shù)據(jù)檢驗(yàn)機(jī)制，導(dǎo)致共享數(shù)據(jù)的提供者可能錯(cuò)誤地共享了機(jī)密數(shù)據(jù)。
發(fā)明內(nèi)容針對(duì)前面技術(shù)背景中所述的虛擬磁盤(pán)在實(shí)現(xiàn)與應(yīng)用中存在的安全隱患，本發(fā)明研究了Xen虛擬機(jī)中虛擬磁盤(pán)的實(shí)現(xiàn)方式和I/O操作請(qǐng)求處理原理，設(shè)計(jì)并實(shí)現(xiàn)了一種基于Xen的安全的虛擬磁盤(pán)訪問(wèn)控制方法。為了實(shí)現(xiàn)發(fā)明目的，采用的技術(shù)方案如下一種基于Xen的安全的虛擬磁盤(pán)的訪問(wèn)控制系統(tǒng)包括虛擬磁盤(pán)控制系統(tǒng)，數(shù)據(jù)共享系統(tǒng)以及訪問(wèn)控制系統(tǒng)三個(gè)方面。虛擬客戶系統(tǒng)中存在多個(gè)虛擬磁盤(pán)設(shè)備，包括系統(tǒng)運(yùn)行所必須要的虛擬磁盤(pán)和其它用戶數(shù)據(jù)存儲(chǔ)和共享的磁盤(pán)等；對(duì)于虛擬客戶系統(tǒng)可見(jiàn)的磁盤(pán)存在于DomainO宿主系統(tǒng)中的磁盤(pán)鏡像文件。這樣，數(shù)據(jù)共享系統(tǒng)就通過(guò)共享虛擬磁盤(pán)來(lái)實(shí)現(xiàn)在各個(gè)虛擬客戶系統(tǒng)之間進(jìn)行數(shù)據(jù)共享。訪問(wèn)控制系統(tǒng)在宿主系統(tǒng)和虛擬客戶系統(tǒng)中都有部署，所述訪問(wèn)控制系統(tǒng)分別設(shè)置全虛擬化環(huán)境下的半虛擬驅(qū)動(dòng)于虛擬客戶系統(tǒng)與宿主系統(tǒng)中，所述半虛擬驅(qū)動(dòng)設(shè)置于虛擬客戶系統(tǒng)的稱(chēng)為前端驅(qū)動(dòng)，設(shè)置于宿主系統(tǒng)的稱(chēng)為后端驅(qū)動(dòng)，其中由虛擬客戶系統(tǒng)主動(dòng)向宿主系統(tǒng)發(fā)起對(duì)共享虛擬磁盤(pán)的訪問(wèn)控制操作的要求，虛擬磁盤(pán)控制系統(tǒng)在設(shè)備驅(qū)動(dòng)層添加控制模塊，實(shí)現(xiàn)對(duì)虛擬磁盤(pán)的可控操作。根據(jù)不同安全級(jí)別將限制不同I/O操作權(quán)限。同時(shí)，根據(jù)不同的I/O操作權(quán)限，動(dòng)態(tài)裝載臨時(shí)磁盤(pán)以替換存在隱患的磁盤(pán)，以實(shí)現(xiàn)安全的磁盤(pán)訪問(wèn)控制。上述通過(guò)共享虛擬磁盤(pán)來(lái)實(shí)現(xiàn)的數(shù)據(jù)共享的方法，比傳統(tǒng)的一些共享內(nèi)存方法具有更高的效率，比通過(guò)網(wǎng)絡(luò)方式實(shí)現(xiàn)的數(shù)據(jù)共享具有更高的安全性。本發(fā)明所述的虛擬磁盤(pán)的訪問(wèn)控制方法，實(shí)現(xiàn)了各個(gè)虛擬客戶系統(tǒng)之間通過(guò)共享虛擬磁盤(pán)來(lái)達(dá)到共享數(shù)據(jù)的目的。訪問(wèn)控制系統(tǒng)分別部署于宿主系統(tǒng)與虛擬客戶系統(tǒng)，虛擬客戶系統(tǒng)通過(guò)前端驅(qū)動(dòng)向宿主系統(tǒng)發(fā)起對(duì)共享磁盤(pán)的訪問(wèn)操作的請(qǐng)求，宿主系統(tǒng)通過(guò)后端驅(qū)動(dòng)接收虛擬客戶系統(tǒng)的操作請(qǐng)求，并把此請(qǐng)求交給虛擬磁盤(pán)控制系統(tǒng)進(jìn)行處理。所述的虛擬磁盤(pán)控制系統(tǒng)監(jiān)控各個(gè)虛擬客戶系統(tǒng)對(duì)虛擬磁盤(pán)的操作，為了防止虛擬客戶系統(tǒng)對(duì)類(lèi)似機(jī)密文件進(jìn)行操作的這一類(lèi)不安全行為的發(fā)生，虛擬磁盤(pán)控制系統(tǒng)將在設(shè)備驅(qū)動(dòng)層中添加控制模塊。另外，所述的虛擬磁盤(pán)控制模塊根據(jù)不同的安全級(jí)別劃分不同的I/O操作權(quán)限，根據(jù)這個(gè)I/O操作權(quán)限，動(dòng)態(tài)轉(zhuǎn)載臨時(shí)磁盤(pán)以替換存在安全隱患的磁盤(pán)，以實(shí)現(xiàn)安全磁盤(pán)的訪問(wèn)控制。基于以上的描述，可以總結(jié)出本發(fā)明的優(yōu)點(diǎn)如下一、本發(fā)明所述的虛擬磁盤(pán)訪問(wèn)控制方法不依賴(lài)于網(wǎng)絡(luò)上的任何方式，所以較之于通過(guò)網(wǎng)絡(luò)方式進(jìn)行數(shù)據(jù)共享，有更高的安全性。二、通過(guò)共享虛擬磁盤(pán)來(lái)實(shí)現(xiàn)數(shù)據(jù)共享，可是實(shí)現(xiàn)大數(shù)據(jù)的快速共享訪問(wèn)，具有更高的效率。三、通過(guò)虛擬磁盤(pán)訪問(wèn)控制系統(tǒng)在設(shè)備驅(qū)動(dòng)層添加控制模塊來(lái)實(shí)現(xiàn)磁盤(pán)的訪問(wèn)控制，安全可控性更強(qiáng)。四、通過(guò)動(dòng)態(tài)掛在磁盤(pán)來(lái)加強(qiáng)了虛擬磁盤(pán)訪問(wèn)控制的安全性。圖1為本發(fā)明虛擬磁盤(pán)的訪問(wèn)控制中安全的I/O操作的實(shí)現(xiàn)結(jié)構(gòu)圖；圖2為本發(fā)明虛擬磁盤(pán)的訪問(wèn)控制中不安全的I/O操作的實(shí)現(xiàn)結(jié)構(gòu)圖；圖3為本發(fā)明讀寫(xiě)控制中分析的Qemu-dm執(zhí)行I/O操作的過(guò)程圖；圖4為本發(fā)明動(dòng)態(tài)轉(zhuǎn)載中分析的虛擬磁盤(pán)信息具體實(shí)施例方式下面結(jié)合附圖對(duì)本發(fā)明的實(shí)現(xiàn)做進(jìn)一步的說(shuō)明。如圖1和圖2所示，本發(fā)明的總體結(jié)構(gòu)為虛擬客戶系統(tǒng)當(dāng)中存在多個(gè)虛擬磁盤(pán)設(shè)備，其中除了系統(tǒng)運(yùn)行所必須要的虛擬磁盤(pán)VD1，虛擬客戶系統(tǒng)中還存在有其它用戶數(shù)據(jù)存儲(chǔ)和共享的磁盤(pán)VDn等；而這些對(duì)于虛擬客戶系統(tǒng)可見(jiàn)的磁盤(pán)實(shí)際是存在于DomainO宿主系統(tǒng)中的磁盤(pán)鏡像文件VDl.img及VDn.img等。虛擬客戶系統(tǒng)中VDl磁盤(pán)的訪問(wèn)被視為安全操作，而當(dāng)用于數(shù)據(jù)存儲(chǔ)的磁盤(pán)VDn中保存有機(jī)密文件的時(shí)候，此時(shí)對(duì)該磁盤(pán)的任何讀寫(xiě)操作將視為不安全的。虛擬客戶系統(tǒng)中的I/O操作具體實(shí)現(xiàn)都是由Qemu-dm中的虛擬磁盤(pán)設(shè)備的相應(yīng)驅(qū)動(dòng)程序來(lái)實(shí)現(xiàn)。本發(fā)明考慮虛擬磁盤(pán)存在多種不同格式的驅(qū)動(dòng)，提出在設(shè)備驅(qū)動(dòng)層添加控制模塊，實(shí)現(xiàn)對(duì)虛擬磁盤(pán)的可控操作。根據(jù)不同安全級(jí)別將限制不同I/O操作權(quán)限。同時(shí)，根據(jù)不同的I/O操作權(quán)限，動(dòng)態(tài)裝載臨時(shí)磁盤(pán)以替換存在隱患的磁盤(pán)，以實(shí)現(xiàn)安全的磁盤(pán)訪問(wèn)控制。如圖3所示，本發(fā)明分析了在讀寫(xiě)控制中Qemu-dm執(zhí)行I/O操作的過(guò)程。在全虛擬客戶系統(tǒng)中，對(duì)磁盤(pán)的操作實(shí)際上是通過(guò)CPU的IN和OUT指令來(lái)完成的，指令中的地址就是IDE協(xié)議中規(guī)定的I/O映射地址。如果直接執(zhí)行虛擬客戶系統(tǒng)的這些I/O指令，將會(huì)操作到物理磁盤(pán)。所以Xen的Hypervisor借助CPU的硬件虛擬化技術(shù)捕獲了I/O指令，并將其封裝成一種I/O請(qǐng)求結(jié)構(gòu)buf_ioreq_t，然后放入緩存隊(duì)列buffered_i0_page中。在Qemu-dm的主循環(huán)函數(shù)main_loop()中，有一個(gè)handle_buffered_io()函數(shù)負(fù)責(zé)軟件模擬處理buffered_io_page隊(duì)列中緩存的I/O操作。該函數(shù)從buffered_io_page中依次取出I/O請(qǐng)求，然后往下逐層分發(fā)處理。最終，由CPU產(chǎn)生的I/O請(qǐng)求將會(huì)由CpU_ioreq_pio()來(lái)處理。若為虛擬磁盤(pán)的讀請(qǐng)求，則調(diào)用ioport_read；若為寫(xiě)請(qǐng)求，則調(diào)用ioport_Write。Qemu-dm中維護(hù)了兩個(gè)I/O操作表，ioport_read_table禾口ioport_write_table,來(lái)分別負(fù)責(zé)處理讀和寫(xiě)操作，表的元素是函數(shù)指針，而索引值則是I/O端口的地址。Cpu_i0req_PioO獲得一個(gè)I/O請(qǐng)求之后，根據(jù)其操作類(lèi)型和地址，可以獲得負(fù)責(zé)完成該I/O請(qǐng)求的處理函數(shù)。過(guò)程如錯(cuò)誤！未找到引用源。所示，與虛擬磁盤(pán)對(duì)應(yīng)的I/O請(qǐng)求處理函數(shù)為ide_ioport_write()禾口ide_ioport_read()。跟蹤虛擬IDE設(shè)備的初始化過(guò)程，可以發(fā)現(xiàn)idejnitjoport()函數(shù)向上述兩個(gè)I/O操作表中注冊(cè)了一系列函數(shù)，其中包括與虛擬磁盤(pán)讀寫(xiě)對(duì)應(yīng)的ide_i0p0rt_read()和ide_ioport_write()。進(jìn)一步跟蹤其代碼可以看到，這兩個(gè)函數(shù)分別調(diào)用了ide_sector_read()和ide_SeCt0r_Write()來(lái)完成具體扇區(qū)的讀寫(xiě)操作。所以，只需將檢查訪問(wèn)權(quán)限的代碼插入到這兩個(gè)函數(shù)中，就可以實(shí)現(xiàn)在每次處理虛擬客戶系統(tǒng)的I/O請(qǐng)求時(shí)對(duì)虛擬磁盤(pán)的動(dòng)態(tài)讀寫(xiě)控制。如圖4所示，為實(shí)現(xiàn)動(dòng)態(tài)裝載，本發(fā)明在分析虛擬磁盤(pán)信息基礎(chǔ)上，提出對(duì)于存在安全隱患的磁盤(pán)，需要撤銷(xiāo)其任何操作權(quán)限并將此磁盤(pán)卸載，提供一塊備用磁盤(pán)替換被卸載的磁盤(pán)，給用戶保存臨時(shí)文件。在每個(gè)qemu-dm守護(hù)進(jìn)程中，都維護(hù)了一個(gè)DriveInfo類(lèi)型的數(shù)組drivesjable，它的主要作用是模擬了真實(shí)機(jī)器的設(shè)備模型，綁定了BlockDriverState結(jié)構(gòu)(bdrv)。而B(niǎo)lockDriverState結(jié)構(gòu)實(shí)際上對(duì)應(yīng)的就是虛擬磁盤(pán)鏡像，它包含了虛擬磁盤(pán)的一些信息，如路徑名filename等，而我們需要的讀寫(xiě)控制開(kāi)關(guān)變量正是設(shè)置在這里，磁盤(pán)的動(dòng)態(tài)裝載則要考慮替換BlockDriverState結(jié)構(gòu)。它還綁定了BlockDriver結(jié)構(gòu)，這個(gè)結(jié)構(gòu)以函數(shù)指針為主，在初始化時(shí)其函數(shù)指針指向?qū)?yīng)磁盤(pán)格式的處理函數(shù)(如IDE設(shè)備)，其中包括了讀寫(xiě)函數(shù)還有磁盤(pán)裝載及卸載函數(shù)，構(gòu)成了一套最底層的虛擬磁盤(pán)操作函數(shù)。如錯(cuò)誤！未找到引用源。所示，這樣就確定了每個(gè)虛擬客戶系統(tǒng)對(duì)應(yīng)的虛擬磁盤(pán)以及其對(duì)應(yīng)的操作處理函數(shù)。因此，虛擬磁盤(pán)的裝載及卸載可以通過(guò)設(shè)置路徑名filename和調(diào)用相關(guān)已初始化的磁盤(pán)裝載卸載函數(shù)實(shí)現(xiàn)。具體的動(dòng)態(tài)裝載某虛擬磁盤(pán)(路徑名為filename)操作流程如下1.先遍歷該虛擬客戶系統(tǒng)的drives_table，尋找與file_name相同的filename對(duì)應(yīng)的BlockDriverState結(jié)構(gòu)bs；2.然后調(diào)用其BlockDriver結(jié)構(gòu)里已注冊(cè)好的bdrv_cl0Se函數(shù)(實(shí)際上是raw_close)，動(dòng)態(tài)卸載這塊虛擬磁盤(pán)；3.接著調(diào)用bdrv_open函數(shù)(實(shí)際上它是通過(guò)bdrv_open2函數(shù)而最終調(diào)用了raw_open函數(shù))對(duì)該bs結(jié)構(gòu)進(jìn)行一系列的封裝及初始化，使其綁定了替換磁盤(pán)的信息，并最終完成動(dòng)態(tài)裝載。權(quán)利要求1.一種基于Xen的安全的虛擬磁盤(pán)的訪問(wèn)控制方法，包括虛擬磁盤(pán)控制系統(tǒng)，數(shù)據(jù)共享系統(tǒng)以及訪問(wèn)控制系統(tǒng)三個(gè)方面，所述數(shù)據(jù)共享系統(tǒng)設(shè)置在XEN宿主系統(tǒng)中，通過(guò)宿主系統(tǒng)創(chuàng)建多個(gè)虛擬客戶系統(tǒng)對(duì)存在于宿主系統(tǒng)的同一虛擬磁盤(pán)進(jìn)行數(shù)據(jù)共享，所述訪問(wèn)控制系統(tǒng)在宿主系統(tǒng)和虛擬客戶系統(tǒng)中都有部署，其中由虛擬客戶系統(tǒng)主動(dòng)向宿主系統(tǒng)發(fā)起對(duì)共享虛擬磁盤(pán)的訪問(wèn)控制操作的要求，其特征在于，所述虛擬磁盤(pán)控制系統(tǒng)在設(shè)備驅(qū)動(dòng)層添加控制模塊，實(shí)現(xiàn)對(duì)虛擬磁盤(pán)的可控操作。2.根據(jù)權(quán)利要求1所述的虛擬磁盤(pán)的訪問(wèn)控制方法，其特征在于，所述虛擬客戶系統(tǒng)中存在多個(gè)虛擬磁盤(pán)設(shè)備，包括系統(tǒng)運(yùn)行所必須要的虛擬磁盤(pán)和其它用戶數(shù)據(jù)存儲(chǔ)和共享的磁盤(pán)等，對(duì)于虛擬客戶系統(tǒng)可見(jiàn)的磁盤(pán)為DomainO宿主系統(tǒng)中的磁盤(pán)鏡像文件，所述數(shù)據(jù)共享系統(tǒng)就通過(guò)共享虛擬磁盤(pán)來(lái)實(shí)現(xiàn)在各個(gè)虛擬客戶系統(tǒng)之間進(jìn)行數(shù)據(jù)共享。3.根據(jù)權(quán)利要求1所述的虛擬磁盤(pán)的訪問(wèn)控制方法，其特征在于，能夠完成虛擬客戶系統(tǒng)對(duì)共享的虛擬磁盤(pán)的訪問(wèn)控制，所述訪問(wèn)控制系統(tǒng)分別設(shè)置全虛擬化環(huán)境下的半虛擬驅(qū)動(dòng)于虛擬客戶系統(tǒng)與宿主系統(tǒng)中，所述半虛擬驅(qū)動(dòng)設(shè)置于虛擬客戶系統(tǒng)的稱(chēng)為前端驅(qū)動(dòng)，設(shè)置在宿主系統(tǒng)的稱(chēng)為后端驅(qū)動(dòng)，虛擬客戶系統(tǒng)通過(guò)前端驅(qū)動(dòng)向宿主系統(tǒng)發(fā)起對(duì)共享磁盤(pán)的訪問(wèn)操作的請(qǐng)求，宿主系統(tǒng)通過(guò)后端驅(qū)動(dòng)接收虛擬客戶系統(tǒng)的操作請(qǐng)求，并把此請(qǐng)求交給虛擬磁盤(pán)控制系統(tǒng)進(jìn)行處理。4.根據(jù)權(quán)利要求3所述的虛擬磁盤(pán)的訪問(wèn)控制方法，其特征在于，共享數(shù)據(jù)的訪問(wèn)控制操作由虛擬磁盤(pán)控制系統(tǒng)實(shí)現(xiàn)，所述虛擬磁盤(pán)控制系統(tǒng)監(jiān)控各個(gè)虛擬客戶系統(tǒng)對(duì)虛擬磁盤(pán)的操作，為了防止虛擬客戶系統(tǒng)對(duì)類(lèi)似機(jī)密文件進(jìn)行操作等不安全行為的發(fā)生，虛擬磁盤(pán)控制系統(tǒng)在設(shè)備驅(qū)動(dòng)層中添加控制模塊，根據(jù)不同安全級(jí)別將限制不同I/O操作權(quán)限。5.根據(jù)權(quán)利要求4所述的虛擬磁盤(pán)的訪問(wèn)控制方法，其特征在于，所述共享數(shù)據(jù)訪問(wèn)控制由共享虛擬磁盤(pán)的讀寫(xiě)權(quán)限控制來(lái)實(shí)現(xiàn)。6.根據(jù)權(quán)利要求1或4所述的虛擬磁盤(pán)的訪問(wèn)控制方法，其特征在于，所述的虛擬磁盤(pán)控制模塊根據(jù)不同的安全級(jí)別劃分不同的I/O操作權(quán)限，根據(jù)這個(gè)I/O操作權(quán)限，動(dòng)態(tài)轉(zhuǎn)載臨時(shí)磁盤(pán)以替換存在安全隱患的磁盤(pán)，以實(shí)現(xiàn)安全磁盤(pán)的訪問(wèn)控制。全文摘要本發(fā)明為一種基于Xen的安全的虛擬磁盤(pán)的訪問(wèn)控制方法。本發(fā)明通過(guò)研究基于Xen安全計(jì)算機(jī)的虛擬客戶系統(tǒng)間通過(guò)虛擬磁盤(pán)來(lái)實(shí)現(xiàn)數(shù)據(jù)交互和它們的不足，分析Qemu虛擬磁盤(pán)模型，利用Xen虛擬機(jī)虛擬磁盤(pán)操作的原理，設(shè)計(jì)并實(shí)現(xiàn)了一種基于CPU的I/O指令以及動(dòng)態(tài)裝載磁盤(pán)的訪問(wèn)控制方法，以此在保證系統(tǒng)性能的前提下，使得虛擬磁盤(pán)訪問(wèn)控制更加安全可控，加強(qiáng)了計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)安全性。文檔編號(hào)G06F21/00GK102063585SQ20101052969公開(kāi)日2011年5月18日申請(qǐng)日期2010年10月29日優(yōu)先權(quán)日2010年10月29日發(fā)明者劉發(fā)貴,周海燕,張浩申請(qǐng)人:華南理工大學(xué)