[发明专利]基于写时复制特性的虚拟机内文件完整性度量方法

说明书

传统针对虚拟机内文件的完整性度量方法都基于信息摘要算法，存在使用数据量大、计算复杂度高等缺点。本发明提出一种基于写时复制特性的虚拟机内文件完整性度量方法，在虚拟机使用基础镜像和增量镜像、镜像的镜像块与文件系统的文件系统逻辑块大小相同且一一对应、需要完整性度量的文件存放在基础镜像中时，首先从基础镜像中，获取文件头部内容和文件头部、索引、内容使用文件系统逻辑块对应的镜像索引项；然后在增量镜像中，分别检查文件头部、索引和内容的完整性。该方法可以减小所需的数据量，降低计算的复杂度，从而加快完整性度量的速度。

技术领域

本发明是一种针对虚拟机内文件的完整性度量方法，尤其涉及虚拟机的安全防护，属于计算机科学技术领域。

背景技术

在云计算的IaaS层，利用虚拟化技术，可以将计算、存储资源虚拟化并封装为虚拟机，为用户提供基础设施服务，从而最大限度的提高资源的利用率和可靠性，使资源便于管理，降低维护成本。

虚拟机使用镜像文件作为存储载体，镜像格式有很多种，如qcow2、vmdk、vdi、raw等。部分镜像格式，如qcow2、vmdk、vdi，能够通过一个较小的文件表示一个较大的固定大小的虚拟地址空间。它们的镜像由多个固定大小的镜像块组成，镜像块承载的内容主要分为三类，分别是头部、数据、索引。镜像头部用于保存镜像的基本属性，如镜像格式版本、虚拟空间大小等内容，占用一个或连续多个镜像块。镜像数据部分用于存储实际的数据，使用多个镜像块，每个镜像块都表示一段与镜像块大小相同的地址空间，只有存储有实际数据的镜像块才会包含在镜像文件中。镜像索引部分用于记录镜像数据部分使用的镜像块在虚拟空间中的顺序和在镜像文件中的位置，通常为树形结构，索引项与镜像数据部分使用的镜像块一一对应，使用多个镜像块。如果索引项中存储的地址为空，则说明其对应的镜像块内不存储任何实际的数据，该镜像块在镜像文件中不存在。为了尽可能的节约存储资源、简化虚拟机的部署，虚拟机监控器支持将虚拟机的镜像划分为两个部分，分别为基础镜像和增量镜像。基础镜像是只读的，可以被多个增量镜像同时使用，用于存储具有共性的部分，如相同的操作系统、相同的软件等。增量镜像在基础镜像的基础上创建，是可写的，以镜像块为单位，保存对基础镜像原有内容的修改和新增内容。根据写时复制特性，如果表示相同地址空间的镜像块同时出现在基础镜像和增量镜像中，说明基础镜像中表示该段地址空间的镜像块内存储的数据一定被修改过。因为镜像索引项与镜像数据部分使用的镜像块一一对应，所以在基础镜像和增量镜像的索引中，当与表示相同地址空间的镜像块对应的索引项内都存储有实际的地址时，说明基础镜像中表示该段地址空间的镜像块内存储的数据一定被修改过。

虚拟机内的软件和数据以文件为载体，存储在以文件系统逻辑块为单位的文件系统中。如图2所示，文件在逻辑上分为三个部分，分别为文件头部、索引和内容。头部用于存储文件的属性信息，文件权限、创建时间、修改时间等，头部的长度小于文件系统逻辑块的长度，多个文件头部共享一个文件系统逻辑块。内容用来保存文件内的实际数据，占用多个完整的文件系统逻辑块。索引用于记录内容使用的文件系统逻辑块在分区内的位置和顺序，通常为树形结构，其根存放在头部中，占用多个完整的文件系统逻辑块。在判断文件完整性方面，对文件的三个部分的判断方法是不同的。对于文件头部，需要将头部中的属性可以分为两类，分别为可变部分和不可变部分，可变部分包括文件最后一次被读取时间等，这部分信息的改变不影响文件的完整性；不可变部分包括文件权限、文件大小等，如果这部分信息被改变，文件不完整。对于文件内容，如果文件内容发生变化，文件不完整。对于文件索引，由于记录内容使用的文件系统逻辑块在分区内的位置和顺序，所以索引结构发生改变，文件不完整；索引结构不改变，文件也有可能是不完整，例如文件内容使用的某个文件系统逻辑块的内容发生改变。