一种无代理的虚拟机外设封控方法、系统及介质技术方案

本发明专利技术公开了一种无代理的虚拟机外设封控方法、系统及介质，本发明专利技术虚拟机外设封控方法的实施步骤包括：虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。本发明专利技术能够实现虚拟机上的外设封控，不需要对虚拟机的操作系统做任何改动，也不需安装任何代理程序，依靠虚拟化服务器的虚拟机监视器、安全虚拟机及相关组件即可实现对虚拟机外设的安全防护，具有使用灵活、配置简单方便的优点。

A method, system and media of virtual machine peripheral sealing without agent

【技术实现步骤摘要】
一种无代理的虚拟机外设封控方法、系统及介质
本专利技术涉及虚拟机技术，具体涉及一种无代理的虚拟机外设封控方法、系统及介质。
技术介绍
随着云计算的普及，虚拟化技术开始得到了广泛的应用。虚拟化依赖软件来模拟硬件功能并创建虚拟计算机系统，即虚拟机。虚拟化是云计算的支撑技术。云计算与传统IT环境最大的区别在于其虚拟化的环境，也正是这一区别导致其安全问题有别于传统模式。传统的对物理主机的外部设备进行封控，需要在每台物理主机上部署安全防护产品套件，即所谓的“安全代理”，这种安全防护模式称为“有代理模式（Agent-based）”。但是在虚拟桌面环境下传统的防护手段面临新的挑战甚至失效。主要体现在：传统安全软件都是基于物理机开发的，而非专门为虚拟化环境定制设计，尤其是没有考虑针对虚拟化环境下的资源共享进行优化。因而每一台虚拟机都安装安全软件的部署模式，对物理宿主机的存储空间、内存资源占用较大，且部署成本较高，管理复杂，极大影响了虚拟桌面的使用效率。
技术实现思路
本专利技术要解决的技术问题：针对现有技术的上述问题，提供一种无代理的虚拟机外设封控方法、系统及介质，本专利技术能够实现虚拟机上的外设封控，不需要对虚拟机的操作系统做任何改动，也不需安装任何代理程序，依靠虚拟化服务器的虚拟机监视器、安全虚拟机及相关组件即可实现对虚拟机外设的安全防护，具有使用灵活、配置简单方便的优点。为了解决上述技术问题，本专利技术采用的技术方案为：一种无代理的虚拟机外设封控方法，实施步骤包括：1）虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；2）虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；3）虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。可选地，步骤3）中还包括根据用户的外设访问控制权限将每一个未启用的设备在虚拟机的虚拟桌面中设置为不可用状态并不进行重定向操作。可选地，步骤3）中设置设备的读写权限具体是指：判断用户的外设访问控制权限中该设备是否可写，如果可写则设置设备的读写权限为允许读取和写入，否则设置设备的读写权限为允许读取和不能写入。可选地，步骤2）虚拟桌面客户端向虚拟化服务器发送请求后，虚拟化服务器返回外设访问控制权限的步骤包括：S1）虚拟化服务器通过虚拟机监视器中注册的探针检测虚拟桌面客户端发送的外设访问请求，当检测到虚拟桌面客户端发送的外设访问请求时跳转执行下一步；S2）虚拟化服务器的虚拟机监视器截获外设访问请求并转发给安全虚拟机；S3）虚拟化服务器的安全虚拟机获取对应的用户，并获取用户的外设封控策略；S4）虚拟化服务器的安全虚拟机根据外设封控策略获取用户的外设访问控制权限；S5）虚拟化服务器的安全虚拟机检测用户的虚拟机是否处于运行状态，如果处于运行状态则将用户的外设访问控制权限并返回给虚拟化服务器的虚拟机监视器；S6）虚拟机监视器将用户的外设访问控制权限下发给用户的虚拟机；S7）用户的虚拟机将用户的外设访问控制权限下发给虚拟桌面客户端。可选地，步骤S3）中用户的外设封控策略包括：策略对象包含该用户的策略、策略对象包含该用户所在用户组的策略、全局策略；步骤S4）中根据外设封控策略获取用户的外设访问控制权限时，对于任意设备的策略对象包含该用户的策略、策略对象包含该用户所在用户组的策略、全局策略三类策略，以最近一次设置的策略为准，将最新的策略设置为当前生效的策略。可选地，步骤S3）中的外设访问控制权限包括的禁用、只读、可写三种访问控制权限。可选地，步骤S3）之前还包括管理员通过web管理界面设置用户的外设封控策略的步骤。此外，本专利技术还提供一种无代理的虚拟机外设封控系统，包括：虚拟机用户登录程序模块，用于在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面外设权限获取程序模块，用于向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；设备重定向程序模块，用于虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。此外，本专利技术还提供一种无代理的虚拟机外设封控系统，包括计算机设备，该计算机设备被编程或配置以执行所述无代理的虚拟机外设封控方法的步骤，或者该计算机设备的存储器上存储有被编程或配置以执行所述无代理的虚拟机外设封控方法的计算机程序。此外，本专利技术还提供一种计算机可读存储介质，该计算机可读存储介质上存储有被编程或配置以执行所述无代理的虚拟机外设封控方法的计算机程序。和现有技术相比，本专利技术具有下述优点：本专利技术虚拟机外设封控方法的实施步骤包括：虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。本专利技术能够实现虚拟机上的外设封控，整个外设封控仅仅需要虚拟桌面客户端和虚拟化服务器配合实现，不需要对虚拟机的操作系统做任何改动，也不需安装任何代理程序，依靠虚拟化服务器的虚拟机监视器、安全虚拟机及相关组件即可实现对虚拟机外设的安全防护，具有使用灵活、配置简单方便的优点。附图说明图1为本专利技术实施例方法的基本流程示意图。图2为本专利技术实施例方法的系统结构示意图。图3为本专利技术实施例中虚拟化服务器和虚拟桌面客户端配合的基本流程示意图。图4为本专利技术实施例中虚拟化服务器的外设封控处理流程示意图。具体实施方式如图1所示，本实施例无代理的虚拟机外设封控方法的实施步骤包括：1）虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；2）虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；3）虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。需要说明的是，设备重定向技术是现有技术，其基本原理是在虚拟机中模拟一个外部设备主控制器，通过这个主控制器收集用户对外部设备的请求并将其发向客户端，由客户端机器上的真实外部设备主控制器操作设备，并将操作结果回传。实质上是在虚拟机中仿真了被重定向的外部设备。因此被重定向的设备在虚拟机内操作系统的眼中与真实设备无异。本实施例中，步骤3）中还包括根据用户的外设访问控制权限将每一个未启用的设备在虚拟机的虚拟桌面中设置为不可用状态并不进行重定向操作，通过上述方式，使得用户仍然可以看到本地的所有设备列表，并能明确知道哪些设备是被封控禁用的。作为一种可选的实施方式，本实施例中设置为不可用状态具体是指设置为灰色图标，此外也可以采用其他方式设本文档来自技高网...

【技术保护点】
1.一种无代理的虚拟机外设封控方法，其特征在于实施步骤包括：/n1）虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；/n2）虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；/n3）虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。/n

【技术特征摘要】
1.一种无代理的虚拟机外设封控方法，其特征在于实施步骤包括：
1）虚拟桌面客户端在用户登录后连接到虚拟化服务器上虚拟机的虚拟桌面；
2）虚拟桌面客户端向虚拟化服务器发送外设访问请求获取用户的外设访问控制权限；
3）虚拟桌面客户端获取虚拟化客户机的本地设备列表，根据用户的外设访问控制权限将每一个启用的设备重定向到虚拟机的虚拟桌面，并设置设备的读写权限。


2.根据权利要求1所述的无代理的虚拟机外设封控方法，其特征在于，步骤3）中还包括根据用户的外设访问控制权限将每一个未启用的设备在虚拟机的虚拟桌面中设置为不可用状态并不进行重定向操作。


3.根据权利要求1所述的无代理的虚拟机外设封控方法，其特征在于，步骤3）中设置设备的读写权限具体是指：判断用户的外设访问控制权限中该设备是否可写，如果可写则设置设备的读写权限为允许读取和写入，否则设置设备的读写权限为允许读取和不能写入。


4.根据权利要求1所述的无代理的虚拟机外设封控方法，其特征在于，步骤2）虚拟桌面客户端向虚拟化服务器发送请求后，虚拟化服务器返回外设访问控制权限的步骤包括：
S1）虚拟化服务器通过虚拟机监视器中注册的探针检测虚拟桌面客户端发送的外设访问请求，当检测到虚拟桌面客户端发送的外设访问请求时跳转执行下一步；
S2）虚拟化服务器的虚拟机监视器截获外设访问请求并转发给安全虚拟机；
S3）虚拟化服务器的安全虚拟机获取对应的用户，并获取用户的外设封控策略；
S4）虚拟化服务器的安全虚拟机根据外设封控策略获取用户的外设访问控制权限；
S5）虚拟化服务器的安全虚拟机检测用户的虚拟机是否处于运行状态，如果处于运行状态则将用户的外设访问控制权限并返回给虚拟化服务器的虚拟机监视器；
S6）虚拟机监视器将用户的外设访问控制权限下发给用户的虚拟机；
S7）用户的虚拟机将用户的外设...

【专利技术属性】
技术研发人员：胡恒云，李广辉，孙利杰，杨鹏举，欧阳殷朝，胡智峰，夏华，陈松政，刘文清，杨涛，
申请(专利权)人：湖南麒麟信安科技有限公司，
类型：发明
国别省市：湖南;43