[发明专利]一种实现虚拟化安全的方法和系统

权利要求书

1.一种实现虚拟化安全的方法，所述方法应用于包括用户虚拟机和安全虚拟机的系统，其特征在于：

所述用户虚拟机接收来自于虚拟机用户的命令；

所述用户虚拟机根据所述命令对应的执行主体对所述命令进行分类，得到如下至少之一：第一类命令和第二类命令；

若得到第一类命令，则所述用户虚拟机执行所述第一类命令，并将所述第一类命令的执行结果向所述虚拟机用户呈现；

若得到第二类命令，则所述用户虚拟机将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第二类命令的执行结果向所述虚拟机用户呈现；

若得到第一类命令和第二类命令，则所述用户虚拟机执行所述第一类命令，并将所述第二类命令通过虚拟机监控器发送给所述安全虚拟机；所述安全虚拟机执行所述第二类命令，并将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机；所述用户虚拟机将所述第一类命令的执行结果和所述第二类命令的执行结果向所述虚拟机用户呈现。

2.根据权利要求1所述的方法，其特征在于，在所述用户虚拟机上配置有操作码与执行主体的对应关系，根据所述命令对应的执行主体对所述命令进行分类之前还包括：

所述用户虚拟机根据所述命令携带的操作码查询所述操作码与执行主体的对应关系，获得所述命令对应的执行主体。

3.根据权利要求1或2所述的方法，其特征在于，若所述命令为安全配置命令，还包括：

所述用户虚拟机的安全轻代理根据所述第一类命令对应的执行主体对所述第一类命令进行分类，得到如下至少之一：代理类命令和驱动类命令；

若得到代理类命令，则所述安全轻代理执行所述代理类命令，并将所述代理类命令的执行结果向所述虚拟机用户呈现；

若得到驱动类命令，则所述安全轻代理将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述驱动类命令的执行结果向所述虚拟机用户呈现；

若得到代理类命令和驱动类命令，则所述安全轻代理执行所述代理类命令，并将所述驱动类命令发送给所述用户虚拟机的安全驱动；所述用户虚拟机的安全驱动执行所述驱动类命令，并将所述驱动类命令的执行结果发送给所述安全轻代理；所述安全轻代理将所述代理类命令的执行结果和所述驱动类命令的执行结果向所述虚拟机用户呈现。

4.根据权利要求3所述的方法，其特征在于，

所述代理类命令包括以下至少之一：所述安全轻代理的日志设置、所述安全轻代理的升级设置、和所述用户虚拟机的安全驱动的升级设置；或

所述驱动类命令包括以下至少之一：所述用户虚拟机的安全驱动的日志设置、缓存设置、Email防护设置、所述用户虚拟机的安全驱动的自我防护设置、所述安全轻代理的自我防护设置；或

所述第二类命令包括以下至少之一：周期性扫描设置、过滤设置、信任文件设置、处理方式设置、通知设置、主动防御设置、样本设置、所述安全虚拟机的安全应用程序的升级设置、和所述安全虚拟机的安全驱动的升级设置。

5.根据权利要求1至4任一所述的方法，其特征在于，若所述命令为安全配置命令，所述安全虚拟机执行所述第二类命令之前还包括：

所述安全虚拟机的用户配置审计模块对所述第二类命令进行审计，确定所述第二类命令满足预先配置的安全策略。

6.根据权利要求1或2所述的方法，其特征在于，当所述命令为安全功能操作时，

所述第一类命令包括以下至少之一：所述用户虚拟机的安全轻代理的升级操作、所述用户虚拟机的安全驱动的升级操作、查看防护状态、查看日志、查看统计、查看报告、和查看被隔离的文件；或

所述第二类命令包括以下至少之一：发起快速扫描、发起全盘扫描、发起自定义扫描、扫描引擎的升级操作、和特征码的升级操作。

7.根据权利要求1-6任一所述的方法，其特征在于，还包括：

将对所述第二类命令的执行结果通过所述虚拟机监控器发送给所述用户虚拟机之前，所述安全虚拟机的安全功能处理模块确定所述第二类命令的执行结果满足预先配置的通知策略。