发明名称 |
一种虚拟桌面可执行程序保护机制 |
摘要 |
本发明公开了一种虚拟桌面可执行程序保护机制,包括以下步骤:虚拟桌面环境中的虚拟机采用计算和存储相分离机制步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理。有效阻止了不可信的程序运行,提高了虚拟桌面的整体安全性能。 |
申请公布号 |
CN102722678B |
申请公布日期 |
2016.06.15 |
申请号 |
CN201210177884.9 |
申请日期 |
2012.05.31 |
申请人 |
北京朋创天地科技有限公司 |
发明人 |
石勇;郭煜 |
分类号 |
G06F21/53(2013.01)I;G06F21/56(2013.01)I |
主分类号 |
G06F21/53(2013.01)I |
代理机构 |
北京市商泰律师事务所 11255 |
代理人 |
毛燕生 |
主权项 |
一种虚拟桌面可执行程序保护方法,其特征在于,包括以下步骤:将虚拟桌面环境中的虚拟机的计算和存储相分离的步骤;在承载虚拟机的物理主机上部署可执行程序保护机制的代理的步骤;通过在虚拟桌面环境中进行虚拟机内部可执行程序度量和Hash值比对实现恶意代码的检测的步骤;其中,所述将虚拟桌面环境中的虚拟机的计算和存储相分离的步骤具体为:在一台或多台物理主机上搭建虚拟机的运行环境,而在额外的独立存储主机上搭建虚拟机所需的存储环境,虚拟机采用iSCSI访问远端的存储镜像;所述在承载虚拟机的物理主机上部署可执行程序保护机制的代理的步骤具体为:将代理部署在物理主机的Domain‑0中,所述Domain‑0作为虚拟机的特权域,用于控制非特权虚拟机的运行状态;所述通过在虚拟桌面环境中进行虚拟机内部可执行程序度量和Hash值比对实现恶意代码的检测的步骤具体为:当虚拟机内部需要加载可执行程序时,发出CreateProcess或LoadLibrary的系统调用请求以及对磁盘文件的读请求,部署在Domain‑0中的代理程序会捕获到所述系统调用请求,并将其挂起;代理程序根据所述读请求中包含的磁盘名和磁盘块偏移量,将虚拟机请求的可执行程序代码在Domain‑0中重组;重组完成后,所述代理程序对所述可执行程序代码进行Hash运算并与系统白名单中预存的Hash值进行比对:如果匹配成功,则恢复虚拟机内的系统调用请求,使所述可执行程序代码得到执行;如果匹配不成功,则失败掉虚拟机内的系统调用请求并返回。 |
地址 |
100039 北京市海淀区八里庄五孔桥35号68号楼610室 |