一种基于Ｘｅｎ的数据共享与访问控制方法技术

本发明专利技术提供了一种基于Ｘｅｎ的数据共享与访问控制方法，包括数据共享系统，访问控制系统和虚拟磁盘控制系统，所述数据共享系统通过Ｘｅｎ虚拟机上运行多个虚拟客户操作系统对同一共享虚拟磁盘进行数据共享，访问控制系统分别设置于Ｘｅｎ宿主系统与客户系统中，其控制方式为由客户系统向宿主系统主动通信，通知虚拟磁盘控制系统实施对共享虚拟磁盘的动态访问控制操作，所述虚拟磁盘控制系统是对虚拟磁盘实现读写权限进行控制，使得客户操作系统对共享虚拟磁盘数据具有不同权限的操作，实现共享数据的访问控制。

A data sharing and access control method based on Xen

The invention provides a sharing and access control method based on Xen data, including data sharing system, access control system and virtual disk control system, the data sharing system to run multiple virtual client operating system on the same shared virtual disk data sharing through the Xen virtual machine, access control systems are set up in Xen the host system and the client system, the control system by the customers to the host system active communication, dynamic access to the shared virtual disk control operation notice virtual disk control system, the virtual disk control system is to control the virtual disk read and write permissions, the client operating system with different permissions on the shared virtual disk the data sharing, data access control.

【技术实现步骤摘要】

本专利技术属于信息安全的访问控制领域，特别是涉及一种基于Xen的数据共 享与访问控制方法。技术背景Xen是直接运行于硬件设备之上的虚拟机监控器，操作系统运行于Xen虚 拟机监控器之上，添加Xen补丁的Linux操作作为宿主系统为Xen提供运行平 台。宿主系统可以新建并管理多个虚拟客户操作系统诸如Windows、 Linux等， 多个虚拟客户系统域间隔离并独享各自的网络环境，客户系统之间拥有良好的 隔离性。传统的数据共享方式有基于网络的数据共享、共享内存方式的数据共享以 及移动存储方式的数据共享三大类。网络方式数据共享应用广泛、操作灵活， 但是依赖的网络环境复杂，安全性不高；共享内存方式数据共享主要应用于同 一操作系统中多进程间的数据交换，且数据共享规模较小；移动存储方式数据 共享需要较多的人为操作(如，手动拔插移动存储设备等)，使用不便，也不利 于使用程序控制；另外在共享过程中容易遗失，增加了数据泄漏的几率，安全 性效差。虚拟磁盘的主要研究领域有I/O效率、虚拟环境中的应用以及安全应用， 其中，研究对客户系统虚拟磁盘映像做完整性检查的方法可借助TPM (Trusted Platform Module)技术，可以实时地确保虚拟磁盘的完整性，保护客户系统的 数据安全。同样是对虚拟磁盘进行在线监视，实时监视包括虚拟磁盘在内的客户系统各种活动信息，从而实现了客户系统的入侵检测。这些监视方式中，客 户系统完全处于被动，而在实现共享数据单向传输的过程中，除了虚拟机监视 器能够监视共享虚拟磁盘的内容之外，客户系统还需要主动向虚拟机监视器提 供控制信息。另外，用虚拟磁盘实现数据共享时，当检测到虚拟磁盘中有非法 数据，还需要实时地禁止其共享行为。这些都是没有涉及到的问题。目前，基于Xen全虚拟环境下客户系统间的数据共享存在诸多不便和安全隐患 一、多个客户系统域间隔离并且享有各自的网络环境，常见的通过网络的方式并不适合于Xen虚拟机环境中多客户系统间数据共享；二、共享内存的数据共享方式常用于一个系统中的多个进程将进行数据共享，且共享的数据量有限，同样不适合Xen虚拟机环境；三、普通的基于虛拟磁盘及移动存储的数 据共享方式拥有较好的易用性和工作效率，但是对于共享数据的安全性没有保 证；四、传统的数据共享方式对共享数据的内容都没有进行检测，且对共享数 据的访问控制权限也都没有进行约束，这使得共享数据的安全性无法得到保障。 五、传统的Xen客户系统数据共享方式没有客户系统的主动请求开启和关闭虚 拟磁盘机制，这使得客户系统无法紧急禁用其机密数据共享，客户对其共享数 据缺乏主动保护。所以，基于Xen虚拟机环境中多个客户系统间的数据共享的 灵活性和安全性方面存在诸多隐患。
技术实现思路
本专利技术的目的在于克服基于Xen虚拟机环境中多个客户系统域间隔离且拥 有各自网络环境下数据共享的问题，设计了基于虚拟磁盘的数据共享方式且对 共享数据的访问进行控制，不依赖于网络环境，应用于多操作系统，拥有较高 的安全性、可控性和易用性。为了实现专利技术目的，采用的技术方案如下一种基于Xen数据共享与访问控制系统，包括数据共享系统，访问控制系 统和虚拟磁盘控制系统，所述数据共享系统设置在Xen宿主系统中，通过宿主 系统创建多个虚拟客户系统对存在于宿主系统的同一虚拟磁盘进行数据共享； 所述访问控制系统分别设置于Xen宿主系统与客户系统中，其控制方式为由客 户系统向宿主系统主动通信，通知虚拟磁盘控制系统实施对共享虚拟磁盘的动 态访问控制操作；所述虚拟磁盘控制系统设置在在Xen宿主系统中，对虚拟磁 盘实现读写权限进行控制，使得客户系统对共享虚拟磁盘数据具有不同权限的 操作，实现共享数据的访问控制。所述数据共享系统为访问控制系统提供工作环境，访问控制系统对共享数 据进行动态的访问权限调整以保证数据共享的安全性，最后由虚拟磁盘控制系 统实现对访问权限更改操作。上述技术方案中，采用Xen虚拟机监控器创建多个虚拟客户操作系统，客 户操作系统中的虚拟磁盘设备对应为Xen宿主系统中的磁盘镜像文件，客户系 统除了拥有系统运行必要的虚拟磁盘外还拥有用于与其它客户系统进行数据共 享的其它虚拟磁盘设备，所述数据共享系统通过多个客户系统将宿主系统中同 一磁盘镜像文件作为本系统的其中一个虚拟磁盘设备实现数据共享。所述的数据共享通过虚拟磁盘的方式来实现，其安全性优于网络方式的数 据共享，效率和适应性优于共享内存方式的数据共享。本专利技术能够完成客户系统对共享的虚拟磁盘的访问控制，所述访问控制系 统分别部署全虚拟环境下的半虚拟驱动于客户系统与宿主系统中，所述半虚拟 驱动部署于客户系统的称为前端驱动，部署于宿主系统的称为后端驱动；客户 系统通过前端驱动主动发起与宿主系统的通信，传递其它客户系统对其共享的 虚拟磁盘拥有的访问控制操作权限更改操作通知，宿主系统通过后端驱动接收通知并转发操作给虚拟磁盘控制系统。所述共享数据的访问控制操作由虚拟磁盘控制系统实现，所述虚拟磁盘控 制系统监控所有客户系统的虚拟磁盘设备， 一旦某个共享虚拟磁盘设备被其拥 有的客户系统通知对其操作权限的改变，所述虚拟磁盘控制系统将限制其它客 户系统对该虚拟磁盘的读写操作，实现不同级别的访问控制权限。所述共享数据访问控制由共享虚拟磁盘的读写权限控制来实现。 本专利技术中所述数据共享是在多个虚拟客户系统之间，多个客户系统是域间 隔离且网络环境隔离，所述虚拟磁盘的共享方式更加适合于此虚拟环境下的虚 拟客户系统间数据共享；虚拟磁盘控制系统实现的磁盘访问控制保持了不同客户系统对同一虚拟磁盘不同的访问权限，保证了共享数据的安全性；所述访问控制系统可由客户系统主动发起共享磁盘访问权限的变更，在保证数据安全性 的前提下提高数据共享的灵活性和易用性。本专利技术设计了一种基于Xen虚拟机客户系统间的数据共享与访问控制方 法，通过Xen宿主系统创建多个全虚拟化的客户操作系统，客户系统以宿主系 统中的镜像磁盘文件为虚拟磁盘，多个客户系统把同一镜像作为其虚拟磁盘来 实现数据共享，此方法易于实现。本专利技术以虚拟磁盘作为数据共享的载体不依 赖于具体网络环境，比对于网络方式数据共享具体有更高级别安全性。多个客 户系统对共享虚拟磁盘的访问效率接近于物理磁盘的I/O效率。本专利技术所述访问控制系统，通过开发Xen全虚拟化环境的半虚拟驱动建立 客户系统与宿主系统间的通信链实现。客户系统向其它客户提供某一虚拟磁盘 为共享磁盘，对于此磁盘其它客户系统的操作权限受到磁盘拥有者的限制，且 磁盘的拥有者能够动态的更改分享者对磁盘的访问权限。通过存在于客户系统 的前端驱动可以向存在于宿主系统的后端驱动发送读写权限变更的具体操作包括共享开启、共享禁止；共享开启将赋予磁盘分享者对该虚拟磁盘拥有只读 权限，共享禁止将使磁盘分享者无任何读写权限。后端驱动将监控前端任何时 刻的操作请求，并在接到请求操作交由虚拟磁盘控制系统完成，从而实现共享 磁盘的访问控制的动态权限变更，保证共享数据的安全性。 综上，本专利技术的优点体现如下一、 数据共享不依赖于网络且适用多操作系统环境，客户操作系统可以是Windows、 Linux或者其它操作系统；二、 共享数据经过检查且访问控制操作可约束，同时基于虚拟磁本文档来自技高网...

【技术保护点】
一种基于Ｘｅｎ的数据共享与访问控制系统，其特征在于包括数据共享系统，访问控制系统和虚拟磁盘控制系统，所述数据共享系统设置在Ｘｅｎ宿主系统中，通过宿主系统创建多个虚拟客户系统对存在于宿主系统的同一虚拟磁盘进行数据共享；所述访问控制系统分别设置于Ｘｅｎ宿主系统与客户系统中，其控制方式为由客户系统向宿主系统主动通信，通知虚拟磁盘控制系统实施对共享虚拟磁盘的动态访问控制操作；所述虚拟磁盘控制系统设置在在Ｘｅｎ宿主系统中，对虚拟磁盘实现读写权限进行控制，使得客户系统对共享虚拟磁盘数据具有不同权限的操作，实现共享数据的访问控制。

【技术特征摘要】
1、一种基于Xen的数据共享与访问控制系统，其特征在于包括数据共享系统，访问控制系统和虚拟磁盘控制系统，所述数据共享系统设置在Xen宿主系统中，通过宿主系统创建多个虚拟客户系统对存在于宿主系统的同一虚拟磁盘进行数据共享；所述访问控制系统分别设置于Xen宿主系统与客户系统中，其控制方式为由客户系统向宿主系统主动通信，通知虚拟磁盘控制系统实施对共享虚拟磁盘的动态访问控制操作；所述虚拟磁盘控制系统设置在在Xen宿主系统中，对虚拟磁盘实现读写权限进行控制，使得客户系统对共享虚拟磁盘数据具有不同权限的操作，实现共享数据的访问控制。2、 根据权利要求1所述的数据共享与访问控制系统，其特征在于采用Xen 宿主系统创建多个虚拟客户操作系统，客户操作系统中的虚拟磁盘设备对应为 Xen宿主系统中的磁盘镜像文件，客户系统拥有维护系统运行的必要虚拟磁盘 以及用于与其它客户系统进行数据共享的共享虚拟磁盘设备，所述数据共享系 统通过多个客户系统将宿主系统中同一磁盘镜像文件作为本系统的其中一个虚 拟磁盘设备实现数据共享。3、 根据权利要求2所述的数据共享与访问控制系统，其特征在于所述数 据共享通过虚拟磁盘的方式来实现。4、 根据权利要求2或3所述的数据共享与访问控制系统，其特征在于能 够完成客户系统对共享的虚拟磁盘的访问控制，所述访问控制系统分别设置全 虚拟化环境下的半虚拟驱动于客户系统与宿主系统中，所述半虚拟驱动设置于 客户系统的称为前端驱动，设置于宿主系统的称为后端驱动；客户系统通过前 端驱动主动发起与宿主系统的通信，传递其它客户系统对其共享的虚拟磁盘拥 有的访问控制权限更改操作通知，宿主系统通过后端驱动接收通知并转发操作给虚拟磁盘控制系统。5、 根据权利要求4所述的数据共享与访问控制系统，其特征在于共享数 据的访问控制操作由虚拟磁盘控制系统实现，所述虚拟磁盘控制系统监控所有 客户系统的虚拟磁盘设备， 一旦某个共享虚拟磁盘设备被其拥有的客户系统通 知对其操作权限的改变，所述虚拟磁盘控制系统将限制其它客户系统对该虚拟 磁盘的读写操作，实现不同级别的访问控...

【专利技术属性】
技术研发人员：刘发贵，周明，张浩，周魏，
申请(专利权)人：华南理工大学，
类型：发明
国别省市：81[中国|广州]