基於虛擬化技術的應用軟體數據信息的處理方法和系統的製作方法
2023-05-18 08:54:51 3
專利名稱:基於虛擬化技術的應用軟體數據信息的處理方法和系統的製作方法
技術領域:
本發明涉及信息安全技術領域,特別是一種基於虛擬化技術的應用軟體數據信息的處理方法和系統。
背景技術:
我國重要行業明文規定:不得安裝和使用未經許可的應用軟體和程序。雖然我國相關主管部門通常會對市場上的軟體產品進行集中的測評,並發行檢測證書,由於缺乏一套行之有效的應用軟體收集、在線認證和安全分發方法和管理機制,用戶安裝軟體的途徑存在很大的隨意性,不利於對軟體產品的統一管理。傳統的應用軟體收集方式是針對某一具體作業系統,在該作業系統內安裝監控代理,監測軟體安裝過程,從而完成軟體的收集,故當需要應用軟體支持多種作業系統時,需要針對每一種作業系統開發專門的監控代理,而且監控代理在安裝過程中會給作業系統帶來一定的開銷,影響應用軟體的收集性能。此外,傳統的應用軟體收集方式由於應用軟體安裝過程中需要重新啟動作業系統,應用軟體中的某個文件可能先於作業系統內的監控代理啟動,導致監控代理無法完整收集到應用軟體內的所含文件,故會影響到應用軟體收集結果的準確性。而且由於傳統的應用軟體收集方式與作業系統緊密關聯,當收集完一個應用軟體後,如果需要再次收集其它應用軟體,為了保證作業系統環境的純淨性,往往需要重新安裝或恢復作業系統,這樣費時費力,工作效率不高。此外,隨著網絡的發展,對雲計算環境下的虛擬化技術的研究也越來越深入,在雲計算環境下,採用虛擬化技術,將計算資源、存儲資源和網絡資源進行集中管理運維,應用軟體的安裝和部署也會在雲計算中心進行,這就存在應用軟體安全使用的問題。因此,基於虛擬化技術提供一套簡單便捷的應用軟體的數據信息的處理方法和系統,進而形成一套應用軟體的數據信息存儲庫,不僅有利於雲計算中心系統的安全性,也有利於加強應用軟體產品的生命周期管理,方便用戶安裝部署應用軟體產品,讓用戶使用應用軟體心中有數、有據可查。
發明內容
本發明針對傳統的應用軟體收集方法不支持多種作業系統而且收集準確性差和工作效率低以及現有技術缺乏一套行之有效的應用軟體收集、在線認證和安全分發方法和管理機制的問題,提供一種基於虛擬化技術的應用軟體數據信息的處理方法,進行應用軟體的數據信息的統一收集、入庫和網絡服務,還可以有效解決雲計算環境下應用軟體安全使用的問題。本發明還涉及一種基於虛擬化技術的應用軟體數據信息的處理系統。本發明的技術方案如下:—種基於虛擬化技術的應用軟體數據信息的處理方法,其特徵在於,先在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中,然後從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。所述在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程為:在虛擬機管理層通過VMI技術對客戶虛擬機上預安裝的應用軟體進行實時監控。所述應用軟體的特徵信息包括完整性計算得到的完整性值、完整性校驗碼、文件名和文件大小。所述應用軟體的特徵信息包括應用軟體安裝包的完整性值、完整性校驗碼、文件名和文件大小,還包括應用軟體安裝包所含文件的完整性值、完整性校驗碼、文件名和文件大小。通過雜數算法或哈希算法進行完整性計算,並以預安裝過程中產生的文件作為度量對象校驗其數據的完整性。所述為雲計算環境下的計算節點提供網絡服務包括在線認證服務和在線下載服務,所述在線認證服務基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息。一種基於虛擬化技術的應用軟體數據信息的處理系統,其特徵在於,包括依次連接的監控和處理模塊、數據信息存儲庫和網絡服務模塊;所述監控和處理模塊位於虛擬機管理層,用於實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中;所述數據信息存儲庫接收並存儲由監控和處理模塊導入的應用軟體的特徵信息;所述網絡服務模塊從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。所述監控和處理模塊通過VMI技術對客戶虛擬機上預安裝的應用軟體進行實時監控。所述監控和處理模塊得到的應用軟體的特徵信息包括完整性計算得到的完整性值、完整性校驗碼、文件名和文件大小。所述應用軟體的特徵信息包括應用軟體安裝包的完整性值、完整性校驗碼、文件名和文件大小,還包括應用軟體安裝包所含文件的完整性值、完整性校驗碼、文件名和文件大小。所述監控和處理模塊通過雜數算法或哈希算法進行完整性計算,並以預安裝過程中產生的文件作為度量對象校驗其數據的完整性。所述網絡服務模塊包括在線認證服務模塊和在線下載服務模塊,所述在線認證服務模塊基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息進而為雲計算環境下的計算節點提供在線認證服務,所述在線下載服務模塊為雲計算環境下的計算節點提供在線下載服務。本發明的技術效果如下:本發明涉及一種基於虛擬化技術的應用軟體數據信息的處理方法,基於虛擬化技術,在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,即通過監控和收集應用軟體的預安裝過程中所產生的文件,並對每個文件進行完整性計算,再將經完整性計算和數據處理得到的應用軟體的特徵信息導入到數據信息存儲庫中,並對外提供雲計算環境下的計算節點提供網絡服務。本發明所述方法通過應用軟體的統一收集、入庫和網絡服務,可以有效解決雲計算環境下應用軟體安全使用的問題,並且有利於加強應用軟體產品的生命周期管理,方便用戶安裝部署應用軟體產品,讓用戶使用應用軟體心中有數、有據可查。此夕卜,本發明所述基於虛擬化技術的應用軟體數據信息的處理方法,通過虛擬化技術,在虛擬機管理層進行應用軟體的監控和收集,故可支持Windows、Linux、Android等多種作業系統,無需針對每一種作業系統開發專門的監控代理,避免了傳統的應用軟體收集方式僅針對某一具體作業系統所帶來的問題;而且由於本發明在虛擬機管理層進行客戶虛擬機(以下簡稱虛擬機)上的應用軟體的監控、完整性計算和數據處理,與虛擬機作業系統是分離的,即使虛擬機由於應用軟體需要重新啟動,也不會影響到應用軟體收集結果的準確性,避免了傳統的應用軟體收集方式由於應用軟體安裝過程中需要重新啟動作業系統導致的收集準確性差的問題;本發明所述方法是在虛擬機作業系統外進行監控,對虛擬機作業系統的應用軟體收集過程沒有影響,也不會造成很大的系統開銷,從而應用軟體收集的性能更高,避免了傳統的應用軟體收集方式的收集性能低的問題;本發明是在虛擬機作業系統內部預安裝應用軟體,並在虛擬機作業系統外部進行應用軟體的監控和數據收集,由於虛擬機擁有快照功能,所以可以迅速恢復虛擬機作業系統的應用軟體安裝前的原始狀態,從而實現簡單快捷的應用軟體收集,並提高了應用軟體的收集效率。本發明還涉及一種基於虛擬化技術的應用軟體數據信息的處理系統,包括依次連接的監控和處理模塊、數據信息存儲庫和網絡服務模塊,監控和處理模塊位於虛擬機管理層,通過監控和處理模塊實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,通過監控和檢查,完成雲計算環境下應用軟體的收集,進而形成數據信息存儲庫,將應用軟體的特徵信息導入到數據信息存儲庫中,通過網絡服務模塊為雲計算環境下的計算節點提供網絡服務。本發明所述系統通過監控和處理模塊、數據信息存儲庫和網絡服務模塊配合工作,進行應用軟體的統一收集、入庫和網絡服務,形成一套行之有效的應用軟體收集、在線服務和安全分發方法和處理機制,有利於對軟體產品的統一管理,可以有效解決雲計算環境下應用軟體安全使用的問題,並消除了傳統的應用軟體收集方式的種種弊端,具有支持多種作業系統、應用軟體的數據信息處理準確性高、應用軟體的數據信息收集簡單便捷以及收集性能高的優點。
圖1是本發明基於虛擬化技術的應用軟體數據信息的處理系統的結構示意圖。圖2是本發明基於虛擬化技術的應用軟體數據信息的處理系統的優選結構示意圖。圖3是本發明基於虛擬化技術的應用軟體數據信息的處理系統的工作流程圖。圖4是本發明基於虛擬化技術的應用軟體數據信息的處理方法的流程圖。
具體實施例方式下面結合附圖對本發明進行說明。
本發明涉及一種基於虛擬化技術的應用軟體數據信息的處理系統,其結構示意圖如圖1所示,包括依次連接的監控和處理模塊、數據信息存儲庫和網絡服務模塊。其中監控和處理模塊位於虛擬機管理層(即虛擬機hypervisor層),用於實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中;數據信息存儲庫接收並存儲由監控和處理模塊導入的應用軟體的特徵信息;網絡服務模塊從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。圖2是本發明基於虛擬化技術的應用軟體數據信息的處理系統的優選結構示意圖,監控和處理模塊位於虛擬機管理層,此時虛擬機管理層位於物理主機上並作為應用軟體收集主機,故更具體地說是,監控和處理模塊工作在應用軟體收集主機hypervisor層,通過VMI (VirtualMachine Introspection,虛擬機內省)技術對客戶虛擬機上的作業系統Guest OS,如Windows、Linux、Android等作業系統上預安裝的應用軟體進行實時監控,監控和收集應用軟體安裝過程中所產生的文件,將安裝過程中產生的文件進行完整性計算,計算每個文件的完整性值,並將計算出來的完整性值、CRC32 (是一種檢測文件的完整性的校驗碼,即完整性校驗碼)、文件名、文件大小等作為應用軟體的特徵信息,再將這些應用軟體的特徵信息導入到數據信息存儲庫中。這裡所述的應用軟體的特徵信息包括應用軟體安裝包以及所含文件的特徵信息,即應用軟體的特徵信息包括應用軟體安裝包的完整性值、完整性校驗碼、文件名和文件大小,還包括應用軟體安裝包所含文件的完整性值、完整性校驗碼、文件名和文件大小。監控和處理模塊對預安裝過程中產生的文件進行完整性計算的具體算法可以是雜數算法或者哈希算法,以保證完整性計算的速度和準確性,並通過雜數算法或哈希算法以預安裝過程中產生的文件作為度量對象校驗其數據的完整性。當然,可也以通過其它算法對預安裝過程中產生的文件進行完整性計算。在圖2所示示例中,基於虛擬化技術,在虛擬機Guest OS上預安裝應用軟體,預安裝的應用軟體為多個作業系統的應用軟體,如客戶虛擬機I的Windows XP作業系統預安裝軟體A,客戶虛擬機2的Windows7作業系統預安裝軟體B,客戶虛擬機3的Cent作業系統預安裝軟體C,客戶虛擬機4的Ubuntu作業系統預安裝軟體D,客戶虛擬機5的Android作業系統預安裝軟體E,由監控和處理模塊通過VMI技術進行監控和檢查,完成雲計算環境下應用軟體的收集,對預安裝過程中產生的文件進行完整性計算和數據處理分別得到各應用軟體的特徵信息,再將各應用軟體的特徵信息導入到數據信息存儲庫中。數據信息存儲庫接收並存儲由監控和處理模塊導入的各應用軟體的特徵信息。網絡服務模塊包括在線認證服務模塊和在線下載服務模塊,其中,在線認證服務模塊基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息進而為雲計算環境下的計算節點提供在線認證服務,從而為計算節點的應用軟體鑑別提供決策服務;在線下載服務模塊為雲計算環境下的計算節點提供在線下載服務,方便用戶安裝和使用應用軟體。本發明基於虛擬化技術的應用軟體數據信息的處理系統的工作流程如圖3所示。其工作流程可以劃分為兩個層面:客戶虛擬機(以下簡稱虛擬機)層面和應用軟體監控、收集、入庫、網絡服務層面。其中,虛擬機層面包括啟動虛擬機、應用軟體預安裝、關閉虛擬機。應用軟體監控、收集、入庫、網絡服務層面包括:監控和處理模塊探測虛擬機運行狀態,開啟和關閉應用軟體監控功能,收集應用軟體的特徵信息,入庫存儲至數據信息存儲庫以及由網絡服務模塊提供網絡服務。本發明所述系統的具體工作流程如下:I)、應用軟體收集主機啟動。2)、監控和處理模塊啟動。監控和處理模塊開始探測虛擬機運行狀態,一旦發現虛擬機返回啟動狀況,則開始監控虛擬機作業系統內文件、進程的使用狀況。3)、虛擬機啟動。選擇虛擬機鏡像數據文件,啟動虛擬機,虛擬機啟動後,虛擬機監控器返回啟動信息給監控和處理模塊,監控和處理模塊開啟監控功能。4)、應用軟體預安裝與收集。在虛擬機上預安裝應用軟體,監控和處理模塊通過VMI技術捕獲應用軟體安裝過程中的文件,計算其完整性值、CRC32值、文件名和文件大小,通過完整性計算和數據處理得到應用軟體的特徵信息。應用軟體預安裝完成後,關閉虛擬機。將虛擬機關機信息返回給監控和處理模塊,監控和處理模塊停止監控功能。5)、監控和處理模塊將得到的應用軟體的特徵信息一起導入到數據信息存儲庫中。6)、數據信息存儲庫接收並存儲由監控和處理模塊導入的應用軟體的特徵信息。7)、網絡服務模塊向數據信息存儲庫提出獲取應用軟體的特徵信息請求,由數據信息存儲庫返回應用軟體的特徵信息給網絡服務模塊,進而為雲計算環境下的計算節點提供如在線認證服務和在線下載服務等網絡服務。本發明涉及一種基於虛擬化技術的應用軟體數據信息的處理方法,其流程如圖4所示,該方法基於虛擬化技術,先在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中,然後從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。基於安全雲的思路,利用虛擬化技術,在虛擬機hypervisor層通過VMI技術監控Guest OS上的應用軟體預安裝過程,收集應用軟體安裝過程中產生的文件,並計算其完整性值,可通過雜數算法或哈希算法進行完整性計算,得到應用軟體安裝包文件、應用軟體及所含文件的特徵信息,該特徵信息包括完整性計算得到的完整性值、完整性校驗碼CRC32、文件名和文件大小,再將該特徵信息導入到數據信息存儲庫中,對外提供雲計算環境下的集中在線認證服務和在線下載服務。其中,為雲計算環境下的計算節點提供在線認證服務可以是從數據信息存儲庫中獲取應用軟體的特徵信息,並基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息。本發明提出的基於虛擬化技術的應用軟體數據信息的處理方法,進行應用軟體的數據信息的統一收集、入庫和認證及下載等網絡服務,可以有效解決雲計算環境下應用軟體安全使用的問題。應當指出,以上所述具體實施方式
可以使本領域的技術人員更全面地理解本發明創造,但不以任何方式限制本發明創造。因此,儘管本說明書參照附圖和實施例對本發明創造已進行了詳細的說明,但是,本領域技術人員應當理解,仍然可以對本發明創造進行修改或者等同替換,總之,一切不脫離本發明創造的精神和範圍的技術方案及其改進,其均應涵蓋在本發明創造專利的保護範圍當中。
權利要求
1.一種基於虛擬化技術的應用軟體數據信息的處理方法,其特徵在於,先在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中,然後從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。
2.根據權利要求1所述的處理方法,其特徵在於,所述在虛擬機管理層實時監控客戶虛擬機上的應用軟體的預安裝過程為:在虛擬機管理層通過VMI技術對客戶虛擬機上預安裝的應用軟體進行實時監控。
3.根據權利要求1所述的處理方法,其特徵在於,所述應用軟體的特徵信息包括完整性計算得到的完整性值、完整性校驗碼、文件名和文件大小。
4.根據權利要求3所述的處理方法,其特徵在於,所述應用軟體的特徵信息包括應用軟體安裝包的完整性值、完整性校驗碼、文件名和文件大小,還包括應用軟體安裝包所含文件的完整性值、完整性校驗碼、文件名和文件大小。
5.根據權利要3或4所述的處理方法,其特徵在於,通過雜數算法或哈希算法進行完整性計算,並以預安裝過程中產生的文件作為度量對象校驗其數據的完整性。
6.根據權利要I所述的處理方法,其特徵在於,所述為雲計算環境下的計算節點提供網絡服務包括在線認證服務和在線下載服務,所述在線認證服務基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息。
7.一種基於虛擬化技術的應用軟體數據信息的處理系統,其特徵在於,包括依次連接的監控和處理模塊、數據信息存儲庫和網絡服務模塊; 所述監控和處理模塊位於虛擬機管理層,用於實時監控客戶虛擬機上的應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中; 所述數據信息存儲庫接收並存儲由監控和處理模塊導入的應用軟體的特徵信息; 所述網絡服務模塊從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。
8.根據權利要求7所述的處理系統,其特徵在於,所述監控和處理模塊通過VMI技術對客戶虛擬機上預安裝的應用軟體進行實時監控。
9.根據權利要求7所述的處理系統,其特徵在於,所述監控和處理模塊得到的應用軟體的特徵信息包括完整性計算得到的完整性值、完整性校驗碼、文件名和文件大小。
10.根據權利要求9所述的處理系統,其特徵在於,所述應用軟體的特徵信息包括應用軟體安裝包的完整性值、完整性校驗碼、文件名和文件大小,還包括應用軟體安裝包所含文件的完整性值、完整性校驗碼、文件名和文件大小。
11.根據權利要9或10所述的處理系統,其特徵在於,所述監控和處理模塊通過雜數算法或哈希算法進行完整性計算,並以預安裝過程中產生的文件作為度量對象校驗其數據的完整性。
12.根據權利要7所述的處理方法,其特徵在於,所述網絡服務模塊包括在線認證服務模塊和在線下載服務模塊,所述在線認證服務模塊基於SSL/TLS通信協議安全傳輸應用軟體的特徵信息進而為雲計算環境下的計算節點提供在線認證服務,所述在線下載服務模塊為雲計算環境下的計算節點提供在線下載服務。
全文摘要
本發明涉及一種基於虛擬化技術的應用軟體數據信息的處理方法和系統,該方法先在虛擬機管理層實時客戶虛擬機上的監控應用軟體的預安裝過程,並將預安裝過程中產生的文件進行完整性計算和數據處理得到應用軟體的特徵信息,再將所述應用軟體的特徵信息導入到數據信息存儲庫中,然後從數據信息存儲庫中獲取應用軟體的特徵信息進而為雲計算環境下的計算節點提供網絡服務。本發明所述方法和系統能夠進行應用軟體的數據信息的統一收集、入庫和網絡服務,可以有效解決雲計算環境下應用軟體安全使用的問題。
文檔編號G06F9/455GK103106100SQ20131004850
公開日2013年5月15日 申請日期2013年2月6日 優先權日2013年2月6日
發明者張大鵬, 張盼, 姚志強 申請人:中電長城網際系統應用有限公司