[发明专利]Windows应用程序虚拟化的实现方法

说明书

技术领域

本发明涉及虚拟化技术，尤其涉及一种Windows应用程序虚拟化的实现方法。

背景技术

瘦客户端技术是将应用程序运行在后端服务器上，并通过网络将其显示信息输出到远端客户机上，同时接受远端客户机发送的输入请求，从而达到资源集中管理、维护成本降低、服务质量提高等目标。随着云计算的发展，软件即服务(Software as a Service)允许用户通过远程客户端访问操作运行在服务器上的应用程序。从中可发现，人们更关注应用程序提供的服务，而不是该应用程序运行在什么操作系统上、该应用程序在哪里运行、操作系统如何支持其运行等。应用程序虚拟化技术是将应用程序从底层操作系统中隔离出来，并且与其他应用程序隔离开来，从而降低应用程序与操作系统之间的耦合度，降低应用程序之间的干扰的技术。通过应用程序虚拟化技术，可以在同一操作系统中独立地运行多个应用程序。

目前，为应用程序建立虚拟执行环境的方法主要包括以下几种：

(1)采用虚拟机技术为应用程序建立虚拟执行环境

虚拟机技术是在软、硬件之间引入虚拟层，可以为应用程序提供独立的运行环境，屏蔽硬件平台的动态性、分布性和异构性，支持硬件资源的共享和复用，并为每个用户提供属于个人独立、隔离的计算环境，同时，为管理员提供硬件资源和软件资源的集中管理。虚拟机技术使得在同一台计算机资源上可以同时运行多个操作系统。多个用户可通过网络登录到相应操作系统中，运行独立的应用程序。从而，虚拟机为应用程序的运行提供了相互隔离的运行环境。

(2)通过文件系统隔离技术为应用程序建立虚拟执行环境

杰路(Jails)通过在原操作系统中划分出执行环境Jail，为程序运行提供了Unix系统的“根”目录模式，限制应用程序仅可访问Jail里的资源。每一个Jail被绑定一个IP地址。Jail中的进程无法与Jail外的进程通信交互。该系统在FreeBSD的内核中实现原型，可视为一个轻量级虚拟机。

安全运行环境(SEE)采用直接隔离(One-Way Isolation)机制实现了一个安全的执行环境。SEE通过实现一个隔离文件系统，使得执行环境中运行的应用程序对文件系统的操作限制在隔离出的文件系统中。在SEE中运行的应用程序可以读取操作系统中的资源，但任何修改操作限制在SEE内。SEE通过维护一张修改文件映射表，方便用户查看在SEE中所做的修改。SEE可对在其内所做的修改进行回滚、提交操作。SEE系统在Linux系统中实现。

同样，康施(Consh)提供远程资源和本地资源的透明访问，为网络计算处理建立了一个受限的执行环境，其实现在Linux系统的用户层中。另一种执行环境阿尔卡(Alcatraz)是通过截获应用程序修改文件的操作、重定向文件的位置和为程序维护文件修改视图，使得程序对系统的修改控制在一个缓存目录中，将不可信程序执行后的效果与原系统隔离，其实现在Linux系统上，在虚拟文件系统VFS(Virtual File System)层截获文件操作。先进部署系统PDS(Progressive Deployment System)是一个为方便应用程序的部署而设计的虚拟执行环境，通过截获应用程序运行过程中有关文件操作和注册表操作的系统调用来实现应用程序运行过程中的软件资源的按需下载。

(3)通过配置文件的方式为应用程序建立虚拟执行环境

守护神(Janus)通过监视和限制辅助程序的系统调用，将辅助程序运行在一个相对安全的执行环境中。其是依照下列假设，即如果适当地限制一个应用程序对底层操作系统资源的访问，那么这个应用程序对系统的危害会很小。

由于各个应用程序需求不同，设计一个适用于通常所用应用程序的限制机制是一件挑战的事。可配置盒箱MAPBox不仅提供了Janus等所具有的隔离功能，并且是可配置的。MAPBox通过应用程序的功能以及为完成该功能所需要的资源将应用程序归类，然后根据应用程序的类别属性来构建初始化相应类别的沙箱。这有点类似多用途电子邮件扩展类型(MIME-types)，用来标记数据文件的格式。其实现在Linux系统上。