CN108229191A - 一种虚拟机的文件保护方法与装置 - Google Patents
一种虚拟机的文件保护方法与装置 Download PDFInfo
- Publication number
- CN108229191A CN108229191A CN201810004364.5A CN201810004364A CN108229191A CN 108229191 A CN108229191 A CN 108229191A CN 201810004364 A CN201810004364 A CN 201810004364A CN 108229191 A CN108229191 A CN 108229191A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- controlled
- file
- user domain
- file system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种虚拟机的文件保护方法与装置,包括:创建用户域虚拟机使用的受控文件***;将受控文件移动到受控文件***中;在受控数据通道上配置用户域虚拟机的文件***权限;通过受控数据通道连接到用户域虚拟机。本发明提出的虚拟机的文件保护方法与装置能够提高保护效果、降低用户域的资源占用并且具有更好的泛用性。
Description
技术领域
本发明涉及计算机领域,更具体地,特别是指一种虚拟机的文件保护方法与装置。
背景技术
近年来随着软件科学技术的飞速发展,越来越多的个人、团体或组织开始关注个人隐私信息。隐私信息的窃取或篡改也被越来越多的不法分子所关注,其手段也变得更加多样化、广泛化、简单化。因此隐私信息的保护也成为信息安全领域一个日益增长的重要分支。
现在流行的勒索病毒等恶意软件通常使用篡改文件、删除文件等手段来破坏用户存储在计算机上的文件实体,使得用户无法正常使用这些文件,从而达到恶意攻击的目的;或者勒索用户,并从中获利。当前在信息安全领域,常用如下两种方法来保护用户文件,使文件免于恶意攻击:
方法一,通过加密方法用加密软件对文件进行加密,使得加密后的文件变成一种不可识别的文件类型。这种加密过的文件可以被配套的***识别,***使用密钥对加密过的文件进行解密,文件解密后又还原为普通的、可以被识别的一般文件,从而可以被用户使用。由于加密过的文件是一种类型不可识别的文件,所以恶意软件通常也不能识别该文件,进而放弃对该文件的攻击,从而达到保护文件的效果。但是这种方法有两个缺点:一方面,使用这种文件保护方法必须在用户计算机上安装加密/***才能对用户文件进行保护,在没有安装加密/***的计算机上不能使用该方法;另一方面,这种文件保护方法不能100%保护用户文件不被篡改。加密后的用户文件仍然是可以被编辑、修改的,虽然加密后的文件的内容不能被恶意软件识别或读取,但是恶意软件仍然可以对该加密后的文件内容进行任意的修改,从而破坏该加密文件的结构,使得***无法解密。或者,恶意软件也可以直接删除加密后的文件,使得用户无法再使用该文件。
方法二,使用云存储技术将用户计算机本地文件远程备份到公有云存储服务器。文件的实体存放在远端云存储服务器上,用户计算机本地文件被篡改后可以从云端进行还原。但是,这种方法需要用户计算机具备网络连接的能力并且能使用公有云存储服务器的网络服务。如果用户计算机不能使用网络、或者网络服务被恶意攻击损坏时,用户将不能使用云端备份的文件来还原本地文件。
针对现有技术中的虚拟机文件保护效果差、占用资源、泛用性低并且依赖本地软件配合的问题,目前尚未有有效的解决方案。
发明内容
有鉴于此,本发明实施例的目的在于提出一种虚拟机的文件保护方法与装置,能够针对不同的用户域虚拟机或不同类型的用户域虚拟机进行虚拟机文件保护,提高保护效果、降低用户域的资源占用并且具有更好的泛用性。
基于上述目的,本发明实施例的一方面提供了一种虚拟机的文件保护方法,应用于管理域,包括以下步骤:
创建用户域虚拟机使用的受控文件***;
将受控文件移动到受控文件***中;
在受控数据通道上配置用户域虚拟机的文件***权限;
通过受控数据通道连接到用户域虚拟机。
在一些实施方式中,在创建用户域虚拟机使用的受控文件***之前,管理域部署授权管理程序和受控数据通道,其中,授权管理程序通过受控数据通道来管理和控制用户域虚拟机对受控文件***的访问。
在一些实施方式中,创建用户域虚拟机使用的受控文件***包括:
在管理域中创建虚拟磁盘镜像文件;
在虚拟磁盘镜像文件上创建文件***;
将文件***限定为受控文件***。
在一些实施方式中,将受控文件移动到受控文件***中包括:
在管理域中校验需要保护的文件;
将需要保护的文件移动到受控文件***中;
将需要保护的文件限定为受控文件。
在一些实施方式中,在受控数据通道上配置用户域虚拟机读取受控文件的权限,其中,权限配置被发送到受控数据通道并由受控数据通道执行。
在一些实施方式中,管理域的受控文件***通过受控数据通道根据配置的权限连接到用户域虚拟机。
本发明实施例的另一方面,还提供了一种虚拟机的文件保护装置,使用了上述方法。
本发明实施例的另一方面,还提供了一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时执行上述的方法。
本发明实施例的另一方面,还提供了一种计算机程序产品,所述计算机程序产品包括存储在计算机可读存储介质上的计算程序,所述计算程序包括指令,当所述指令被计算机执行时,使所述计算机执行上述方法。
本发明具有以下有益技术效果:本发明实施例提供的虚拟机的文件保护方法与装置,通过创建用户域虚拟机使用的受控文件***,将受控文件移动到受控文件***中,在受控数据通道上配置用户域虚拟机的文件***权限,并通过受控数据通道连接到用户域虚拟机的技术方案,能够进行虚拟机文件保护,提高保护效果、降低用户域的资源占用并且具有更好的泛用性。本发明的方法具备跨操作***类型的特点,即,同一方法可以用于保护不同操作***上的用户文件,不需要对不同的操作***使用不同的方法。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的虚拟机的文件保护方法的第一个实施例的流程示意图;
图2为本发明提供的虚拟机的文件保护方法的第二个实施例的流程示意图;
图3为本发明提供的执行所述虚拟机的文件保护方法的计算机设备的一个实施例的硬件结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
基于上述目的,本发明实施例的第一个方面,提出了一种能够针对不同的用户域虚拟机或不同类型的用户域虚拟机进行虚拟机文件保护的方法的第一个实施例。图1示出的是本发明提供的虚拟机的文件保护方法的第一个实施例的流程示意图。
所述虚拟机的文件保护方法,可选地,应用于管理域,包括以下步骤:
步骤S101,创建用户域虚拟机使用的受控文件***;
步骤S103,将受控文件移动到受控文件***中;
步骤S105,在受控数据通道上配置用户域虚拟机的文件***权限;
步骤S107,通过受控数据通道连接到用户域虚拟机。
在一些实施方式中,在创建用户域虚拟机使用的受控文件***之前,管理域部署授权管理程序和受控数据通道,其中,授权管理程序通过受控数据通道来管理和控制用户域虚拟机对受控文件***的访问。
其中,可选地,授权管理程序管理受控数据通道即等于管理用户域与管理域之间的所有交互。
在一些实施方式中,创建用户域虚拟机使用的受控文件***包括:
在管理域中创建虚拟磁盘镜像文件;
在虚拟磁盘镜像文件上创建文件***;
将文件***限定为受控文件***。
其中,可选地,受控文件***建设于虚拟磁盘镜像文件以供虚拟机使用。虚拟磁盘镜像文件的实体只能通过管理域访问,用户域虚拟机不具备操作虚拟磁盘镜像文件的权限。
在一些实施方式中,将受控文件移动到受控文件***中包括:
在管理域中校验需要保护的文件;
将需要保护的文件移动到受控文件***中;
将需要保护的文件限定为受控文件。
其中,可选地,文件分为需要保护的文件和不需要保护的文件,本发明仅将需要保护的文件限定为受控文件并与用户域虚拟机隔离,而对于不需要保护的文件则没有必要执行本发明的步骤。对于用户域虚拟机而言,使用的文件***都是建立在虚拟磁盘镜像文件上,而用户文件实体存放在用户域虚拟机的文件***上。
在一些实施方式中,在受控数据通道上配置用户域虚拟机读取受控文件的权限,其中,权限配置被发送到受控数据通道并由受控数据通道执行。
其中,可选地,用户域虚拟磁盘镜像文件的授权管理程序运行在管理域,通过操作hypervisor的接口来控制用户域虚拟机对虚拟磁盘镜像文件的访问。
在一些实施方式中,管理域的受控文件***通过受控数据通道根据配置的权限连接到用户域虚拟机。
其中,可选地,受控数据通道在文件保护方法中是***正式运作时用户域与管理域唯一的连接通道。
从上述实施例可以看出,本发明实施例提供的虚拟机的文件保护方法,通过创建用户域虚拟机使用的受控文件***,将受控文件移动到受控文件***中,在受控数据通道上配置用户域虚拟机的文件***权限,并通过受控数据通道连接到用户域虚拟机的技术方案,能够进行虚拟机文件保护,在管理域上对用户域虚拟机上的文件的实体进行保护,不需要在用户域虚拟机上安装或运行任何软件或应用程序;管理域上保护用户域文件所需要的权限高于用户域虚拟机内程序的权限,用户域虚拟机内的恶意软件没有权限操作受保护的文件的实体,能够100%保护文件实体不被恶意篡改;保护受控文件的操作在管理域完成,不在用户域虚拟机上安装或运行任何软件或者应用程序,不受用户域虚拟机操作***的限制,不消耗用户域虚拟机的资源;保护受控文件的所有操作都在管理域完成,不需要和用户域进行任何形式的交互(包括网络交互),不依赖用户域虚拟机的网络连接能力。
本发明实施例还提出了一种能够针对不同的用户域虚拟机或不同类型的用户域虚拟机进行虚拟机文件保护的方法的第二个实施例。图2示出的是本发明提供的虚拟机的文件保护方法的第二个实施例的流程示意图。
如图2所示,虚拟机文件保护方法涉及三个部分:用户域操作***、虚拟域操作***和虚拟化平台,其中,虚拟化平台在逻辑上是独立的,但是在物理上可以是独立的也可以设置在虚拟域中,但虚拟化平台设置于何处,现有的用户域都不需要做出任何变动。
在虚拟化环境下,用户域虚拟机使用的磁盘/硬盘都是虚拟磁盘镜像文件。虚拟磁盘镜像文件的实体只能通过管理域来访问,用户域虚拟机不具备操作虚拟磁盘镜像文件的权限。用户域虚拟机使用的文件***都是建立在虚拟磁盘镜像文件上。用户域虚拟机上的用户文件的实体存放在用户域虚拟机的文件***上。这种将用户域虚拟机的用户文件实体分离到用户域虚拟机外部的技术理论被称为虚拟化存储的隔离特性。
本发明利用虚拟化存储的隔离特性及虚拟化平台提供的虚拟磁盘操作接口hypervisor,通过在管理域上控制用户域虚拟机访问虚拟磁盘镜像文件的文件***的权限来保护用户文件的实体不被篡改。进一步地,对于需要受保护的用户文件(即受控文件),管理域只授予用户域虚拟机读取的权限,而不授予修改或删除的权限,而操作hypervisor的权限高于用户域虚拟机和用户域虚拟机内所有应用程序(包括恶意软件)的运行权限,因此用户域虚拟机上所有篡改用户文件实体的操作都将被虚拟化平台拒绝并中断。在实现中,本方法将用户域的文件***分为普通文件***和受控文件***。所有需要被保护的文件都存放在受控文件***上,称之为受控文件。对应地,其他不需要保护的文件存放在普通文件***上,称之为普通文件。普通文件***和普通文件按照现有技术存放于用户域虚拟机中,并不受到本方法的影响。
本方法利用虚拟化存储的隔离特性在管理域上通过控制受控文件***的访问权限来实现对用户域虚拟机上的用户文件实体的保护。不需要在用户域虚拟机上安装或运行任何软件或应用程序,因此和用户域虚拟机的操作***类型无关,也不消耗用户域虚拟机的资源。在管理域上操作用户域虚拟机的虚拟磁盘的权限高于用户域虚拟机所具有的权限,因此用户域虚拟机内运行的恶意软件没有权限篡改受控文件的实体,能100%保护受控文件不被恶意篡改。管理域保护用户域文件的过程不需要和用户域虚拟机进行交互(包括网络交互),因此也不依赖用户域虚拟机的网络连接能力。
一个本方法执行步骤的具体实施例如下:
1.在管理域上部署授权管理程序和受控数据通道。授权管理程序通过操作受控数据通道来实现对用户域虚拟机访问受控文件***的权限管理和控制。
2.在管理域上创建虚拟磁盘镜像文件,并在该虚拟磁盘镜像文件上创建文件***,并定义该文件***为受控文件***。
3.校验需要受保护的文件,确认文件正确无误后将其移动到步骤2创建的受控文件***中,并定义该文件为受控文件。
4.重复步骤3直至所有需要受保护的文件都移动到受控文件***。
5.通过授权管理程序配置用户域虚拟机读取受控文件的权限。该权限的配置最终传递到受控数据通道,并由受控数据通道执行。
6.通过受控数据通道将受控文件***根据步骤5配置的权限连接到用户域虚拟机。
7.用户域虚拟机内的应用程序根据步骤5配置的权限使用受控文件。所有步骤5配置的权限外的操作(例如篡改受控文件)都将被受控数据通道拒绝并中断。
从上述实施例可以看出,本发明实施例提供的虚拟机的文件保护方法,通过创建用户域虚拟机使用的受控文件***,将受控文件移动到受控文件***中,在受控数据通道上配置用户域虚拟机的文件***权限,并通过受控数据通道连接到用户域虚拟机的技术方案,能够进行虚拟机文件保护,在管理域上对用户域虚拟机上的文件的实体进行保护,不需要在用户域虚拟机上安装或运行任何软件或应用程序;管理域上保护用户域文件所需要的权限高于用户域虚拟机内程序的权限,用户域虚拟机内的恶意软件没有权限操作受保护的文件的实体,能够100%保护文件实体不被恶意篡改;保护受控文件的操作在管理域完成,不在用户域虚拟机上安装或运行任何软件或者应用程序,不受用户域虚拟机操作***的限制,不消耗用户域虚拟机的资源;保护受控文件的所有操作都在管理域完成,不需要和用户域进行任何形式的交互(包括网络交互),不依赖用户域虚拟机的网络连接能力。
需要特别指出的是,上述虚拟机的文件保护方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于虚拟机的文件保护方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第二个方面,提出了一种能够针对不同的用户域虚拟机或不同类型的用户域虚拟机进行文件保护的装置的第一个实施例。所述虚拟机的文件保护装置使用了上述的虚拟机的文件保护方法。
本发明实施例提供的虚拟机的文件保护装置,通过创建用户域虚拟机使用的受控文件***,将受控文件移动到受控文件***中,在受控数据通道上配置用户域虚拟机的文件***权限,并通过受控数据通道连接到用户域虚拟机的技术方案,能够进行虚拟机文件保护,在管理域上对用户域虚拟机上的文件的实体进行保护,不需要在用户域虚拟机上安装或运行任何软件或应用程序;管理域上保护用户域文件所需要的权限高于用户域虚拟机内程序的权限,用户域虚拟机内的恶意软件没有权限操作受保护的文件的实体,能够100%保护文件实体不被恶意篡改;保护受控文件的操作在管理域完成,不在用户域虚拟机上安装或运行任何软件或者应用程序,不受用户域虚拟机操作***的限制,不消耗用户域虚拟机的资源;保护受控文件的所有操作都在管理域完成,不需要和用户域进行任何形式的交互(包括网络交互),不依赖用户域虚拟机的网络连接能力。
需要特别指出的是,上述虚拟机的文件保护装置的实施例采用了所述虚拟机的文件保护方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述虚拟机的文件保护方法的其他实施例中。当然,由于所述虚拟机的文件保护方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述虚拟机的文件保护装置也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
基于上述目的,本发明实施例的第三个方面,提出了一种执行所述虚拟机的文件保护方法的计算机设备的一个实施例。
所述执行所述虚拟机的文件保护方法的计算机设备包括存储器、至少一个处理器以及存储在存储器上并可在处理器上运行的计算机程序,处理器执行程序时执行上述任意一种方法。
如图3所示,为本发明提供的执行所述虚拟机的文件保护方法的计算机设备的一个实施例的硬件结构示意图。
以如图3所示的计算机设备为例,在该计算机设备中包括一个处理器301以及一个存储器302,并还可以包括:输入装置303和输出装置304。
处理器301、存储器302、输入装置303和输出装置304可以通过总线或者其他方式连接,图3中以通过总线连接为例。
存储器302作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块,如本申请实施例中的所述虚拟机的文件保护方法对应的程序指令/模块。处理器301通过运行存储在存储器302中的非易失性软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例的虚拟机的文件保护方法。
存储器302可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据虚拟机的文件保护装置的使用所创建的数据等。此外,存储器302可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中,存储器302可选包括相对于处理器301远程设置的存储器,这些远程存储器可以通过网络连接至本地模块。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置303可接收输入的数字或字符信息,以及产生与虚拟机的文件保护装置的用户设置以及功能控制有关的键信号输入。输出装置304可包括显示屏等显示设备。
所述一个或者多个虚拟机的文件保护方法对应的程序指令/模块存储在所述存储器302中,当被所述处理器301执行时,执行上述任意方法实施例中的虚拟机的文件保护方法。
所述执行所述虚拟机的文件保护方法的计算机设备的任何一个实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第四个方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,该计算机程序被处理器执行时执行上述任意方法实施例中的虚拟机的文件保护方法与实现上述任意装置/***实施例中的虚拟机的文件保护装置/***。所述计算机可读存储介质的实施例,可以达到与之对应的前述任意方法与装置/***实施例相同或者相类似的效果。
基于上述目的,本发明实施例的第五个方面,提出了一种计算机程序产品,该计算机程序产品包括存储在计算机可读存储介质上的计算程序,该计算程序包括指令,当该指令被计算机执行时,使该计算机执行上述任意方法实施例中的虚拟机的文件保护方法与实现上述任意装置/***实施例中的虚拟机的文件保护装置/***。所述计算机程序产品的实施例,可以达到与之对应的前述任意方法与装置/***实施例相同或者相类似的效果。
最后需要说明的是,本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
此外,典型地,本发明实施例公开所述的装置、设备等可为各种电子终端设备,例如手机、个人数字助理(PDA)、平板电脑(PAD)、智能电视等,也可以是大型终端设备,如服务器等,因此本发明实施例公开的保护范围不应限定为某种特定类型的装置、设备。本发明实施例公开所述的客户端可以是以电子硬件、计算机软件或两者的组合形式应用于上述任意一种电子终端设备中。
此外,根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。
此外,上述方法步骤以及***单元也可以利用控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
此外,应该明白的是,本文所述的计算机可读存储介质(例如,存储器)可以是易失性存储器或非易失性存储器,或者可以包括易失性存储器和非易失性存储器两者。作为例子而非限制性的,非易失性存储器可以包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦写可编程ROM(EEPROM)或快闪存储器。易失性存储器可以包括随机存取存储器(RAM),该RAM可以充当外部高速缓存存储器。作为例子而非限制性的,RAM可以以多种形式获得,比如同步RAM(DRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强SDRAM(ESDRAM)、同步链路DRAM(SLDRAM)以及直接Rambus RAM(DRRAM)。所公开的方面的存储设备意在包括但不限于这些和其它合适类型的存储器。
本领域技术人员还将明白的是,结合这里的公开所描述的各种示例性逻辑块、模块、电路和算法步骤可以被实现为电子硬件、计算机软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个***的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
结合这里的公开所描述的各种示例性逻辑块、模块和电路可以利用被设计成用于执行这里所述功能的下列部件来实现或执行:通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。通用处理器可以是微处理器,但是可替换地,处理器可以是任何传统处理器、控制器、微控制器或状态机。处理器也可以被实现为计算设备的组合,例如,DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP和/或任何其它这种配置。
结合这里的公开所描述的方法或算法的步骤可以直接包含在硬件中、由处理器执行的软件模块中或这两者的组合中。软件模块可以驻留在RAM存储器、快闪存储器、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动盘、CD-ROM、或本领域已知的任何其它形式的存储介质中。示例性的存储介质被耦合到处理器,使得处理器能够从该存储介质中读取信息或向该存储介质写入信息。在一个替换方案中,所述存储介质可以与处理器集成在一起。处理器和存储介质可以驻留在ASIC中。ASIC可以驻留在用户终端中。在一个替换方案中,处理器和存储介质可以作为分立组件驻留在用户终端中。
在一个或多个示例性设计中,所述功能可以在硬件、软件、固件或其任意组合中实现。如果在软件中实现,则可以将所述功能作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质来传送。计算机可读介质包括计算机存储介质和通信介质,该通信介质包括有助于将计算机程序从一个位置传送到另一个位置的任何介质。存储介质可以是能够被通用或专用计算机访问的任何可用介质。作为例子而非限制性的,该计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储设备、磁盘存储设备或其它磁性存储设备,或者是可以用于携带或存储形式为指令或数据结构的所需程序代码并且能够被通用或专用计算机或者通用或专用处理器访问的任何其它介质。此外,任何连接都可以适当地称为计算机可读介质。例如,如果使用同轴线缆、光纤线缆、双绞线、数字用户线路(DSL)或诸如红外线、无线电和微波的无线技术来从网站、服务器或其它远程源发送软件,则上述同轴线缆、光纤线缆、双绞线、DSL或诸如红外线、无线电和微波的无线技术均包括在介质的定义。如这里所使用的,磁盘和光盘包括压缩盘(CD)、激光盘、光盘、数字多功能盘(DVD)、软盘、蓝光盘,其中磁盘通常磁性地再现数据,而光盘利用激光光学地再现数据。上述内容的组合也应当包括在计算机可读介质的范围内。
以上是本发明公开的示例性实施例,但是应当注意,在不背离权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”(“a”、“an”、“the”)旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。
上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
Claims (10)
1.一种虚拟机的文件保护方法,其特征在于,应用于管理域,包括以下步骤:
创建用户域虚拟机使用的受控文件***;
将受控文件移动到所述受控文件***中;
在受控数据通道上配置所述用户域虚拟机的文件***权限;
通过所述受控数据通道连接到所述用户域虚拟机。
2.根据权利要求1所述的方法,其特征在于,在创建所述用户域虚拟机使用的所述受控文件***之前,所述管理域部署授权管理程序和所述受控数据通道,其中,所述授权管理程序通过所述受控数据通道来管理和控制所述用户域虚拟机对所述受控文件***的访问。
3.根据权利要求1所述的方法,其特征在于,创建所述用户域虚拟机使用的所述受控文件***包括:
在所述管理域中创建虚拟磁盘镜像文件;
在所述虚拟磁盘镜像文件上创建文件***;
将所述文件***限定为所述受控文件***。
4.根据权利要求1所述的方法,其特征在于,将所述受控文件移动到所述受控文件***中包括:
在管理域中校验需要保护的文件;
将所述需要保护的文件移动到所述受控文件***中;
将所述需要保护的文件限定为所述受控文件。
5.根据权利要求1所述的方法,其特征在于,在所述受控数据通道上配置所述用户域虚拟机读取所述受控文件的权限,其中,所述权限配置被发送到所述受控数据通道并由所述受控数据通道执行。
6.根据权利要求5所述的方法,其特征在于,所述管理域的所述受控文件***通过所述受控数据通道根据配置的所述权限连接到所述用户域虚拟机。
7.一种虚拟机的文件保护装置,其特征在于,使用如权利要求1-6任意一项所述的方法。
8.一种计算机设备,包括存储器、至少一个处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时执行如权利要求1-6任意一项所述的方法。
9.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时执行权利要求1-6任意一项所述的方法。
10.一种计算机程序产品,其特征在于,所述计算机程序产品包括存储在计算机可读存储介质上的计算程序,所述计算程序包括指令,当所述指令被计算机执行时,使所述计算机执行权利要求1-6任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810004364.5A CN108229191A (zh) | 2018-01-03 | 2018-01-03 | 一种虚拟机的文件保护方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810004364.5A CN108229191A (zh) | 2018-01-03 | 2018-01-03 | 一种虚拟机的文件保护方法与装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108229191A true CN108229191A (zh) | 2018-06-29 |
Family
ID=62642665
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810004364.5A Pending CN108229191A (zh) | 2018-01-03 | 2018-01-03 | 一种虚拟机的文件保护方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108229191A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103365700A (zh) * | 2013-06-28 | 2013-10-23 | 福建师范大学 | 一种面向云计算虚拟化环境的资源监测和调整*** |
| CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
| CN107463369A (zh) * | 2017-06-30 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟桌面的接入设备控制方法与装置 |
| CN107463427A (zh) * | 2017-06-29 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟机操作***类型与版本的获取方法与装置 |
| US20180113999A1 (en) * | 2016-10-25 | 2018-04-26 | Flexera Software Llc | Incorporating license management data into a virtual machine |
-
2018
- 2018-01-03 CN CN201810004364.5A patent/CN108229191A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103365700A (zh) * | 2013-06-28 | 2013-10-23 | 福建师范大学 | 一种面向云计算虚拟化环境的资源监测和调整*** |
| CN105184147A (zh) * | 2015-09-08 | 2015-12-23 | 成都博元科技有限公司 | 云计算平台中的用户安全管理方法 |
| US20180113999A1 (en) * | 2016-10-25 | 2018-04-26 | Flexera Software Llc | Incorporating license management data into a virtual machine |
| CN107463427A (zh) * | 2017-06-29 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟机操作***类型与版本的获取方法与装置 |
| CN107463369A (zh) * | 2017-06-30 | 2017-12-12 | 北京北信源软件股份有限公司 | 一种虚拟桌面的接入设备控制方法与装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6055989B1 (ja) | コンピュータプログラム、秘密管理方法及びシステム | |
| CN103403669B (zh) | 使app变得安全的方法和防止app损坏设备的方法 | |
| US10275593B2 (en) | Secure computing device using different central processing resources | |
| CN109918919A (zh) | 认证变量的管理 | |
| JP2012150803A (ja) | 効率的なボリューム暗号化 | |
| CN109992987B (zh) | 基于Nginx的脚本文件保护方法、装置及终端设备 | |
| EP2437196A1 (en) | Secure module and information processing apparatus | |
| CN105612715A (zh) | 具有可配置访问控制的安全处理单元 | |
| CN105095771A (zh) | 一种共享目标文件的保护方法及装置 | |
| JP2018523208A (ja) | オブジェクト指向コンテキストにおける推移問題を軽減するためのデータ監視のための技法 | |
| US10303885B2 (en) | Methods and systems for securely executing untrusted software | |
| US10642984B2 (en) | Secure drive and method for booting to known good-state | |
| CN108171067A (zh) | 一种硬盘加密方法与装置 | |
| JP2013214135A (ja) | 情報記憶装置、情報記憶装置制御プログラム、情報記憶装置制御方法 | |
| CN108171043A (zh) | 一种计算机接口通信保护和异常告警方法与装置 | |
| CN109033850A (zh) | 一种截屏图片的处理方法、装置、终端和计算机存储介质 | |
| CN108763401A (zh) | 一种文件的读写方法及设备 | |
| CN101132275A (zh) | 一种实现数字内容使用权利的安全保护*** | |
| CN111143879A (zh) | 一种Android平台SD卡文件保护方法、终端设备及存储介质 | |
| Chen et al. | The block-based mobile pde systems are not secure-experimental attacks | |
| CN108229191A (zh) | 一种虚拟机的文件保护方法与装置 | |
| TW201702920A (zh) | 帳號管理應用程式的強固方法以及使用該方法的裝置 | |
| CN110516468B (zh) | 一种虚拟机内存快照加密的方法和装置 | |
| US10089481B2 (en) | Securing recorded data | |
| JP2004220400A (ja) | ファイル保護方法及びファイル保護プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180629 |