一种在桌面虚拟化中防止镜像被篡改的方法
【专利摘要】本发明公开了一种在桌面虚拟化中防止镜像被篡改的方法,包括以下步骤:为ISO镜像文件创建独立的存储域;创建两个系统用户,其中一个用户拥有写权限;另一个用户拥有读权限;镜像文件上传时,对上传镜像文件的用户进行验证;为每个上传的镜像文件生成MD5码并存入数据库,在数据库中建立镜像文件名和其MD5码的一一对应关系;每次使用镜像文件之前先验证其MD5值是否发生变化。本发明有益效果:本发明操作简单,通用性强,流程简单明了,MD5为计算机安全领域广泛使用的一种散列函数,通用性强。采用权限分离加MD5验证的双重保护极大的降低了镜像被篡改的风险并可以及时发现镜像异常,安全强度高。
【专利说明】一种在桌面虚拟化中防止镜像被篡改的方法
【技术领域】
[0001]本发明涉及应用虚拟化【技术领域】,具体涉及一种在桌面虚拟化中防止镜像被篡改的方法。
【背景技术】
[0002]在云计算发展的浪潮之下,桌面虚拟化技术也得到了广泛的应用。越来越多的单位选择使用虚拟桌面来替代传统的物理机加操作系统的模式,因为虚拟桌面有着可以统一管理、低能耗、成本低等诸多优点。在我们享受桌面虚拟化带来的便利的同时,安全问题也不容忽视。
[0003]每个虚拟机都是根据操作系统的ISO镜像或者模板镜像创建的,如果ISO镜像或者模板镜像被恶意篡改,后果是灾难性的。为了防止此类问题的发生,我们需要一套完整的防止镜像被篡改的解决方案。
【发明内容】
[0004]本发明的目的就是为了解决上述问题,提出了一种在桌面虚拟化中防止镜像被篡改的方法,该方法采用权限分离加MD5验证的双重保护极大的降低了镜像被篡改的风险并可以及时发现镜像异常。
[0005]为了实现上述目的,本发明采用如下技术方案:
[0006]一种在桌面虚拟化中防止镜像被篡改的方法,包括以下步骤:
[0007](I)为ISO镜像文件创建独立的存储域,设置该存储域下用户的读写权限;
[0008](2)创建两个系统用户,其中一个用户用于镜像文件的上传,即拥有写权限;另一个用户用于在创建虚拟机的时候进行读操作,即拥有读权限;
[0009](3)镜像文件上传时,对上传镜像文件的用户进行验证;
[0010](4)为每个上传的镜像文件生成MD5码并存入管理台的数据库,在数据库中建立镜像文件名和其MD5码的一一对应关系;
[0011 ] (5)每次使用镜像文件之前先验证其MD5值是否发生变化,如果发生变化,表示镜像文件已被篡改。
[0012]所述步骤(3)对用户的验证过程具体为:
[0013]如果系统客户端登陆用户不是指定的具有上传权限的用户,则无法操作ISO镜像文件的存储域,无法上传ISO文件,返回登陆界面;用户通过指定的客户端用户登陆界面后才可以操作ISO存储域,上传镜像文件。
[0014]所述步骤(5)的具体方法为:
[0015]a.通过管理台创建虚拟机,指定该虚拟机所需的ISO镜像文件;
[0016]b.判断是否为指定用户操作该ISO镜像文件存储域,如果不是则弹出相应提示;
[0017]c.计算该ISO镜像的MD5值,并与数据库中的值进行比较,如果一致则说明ISO镜像文件保存完整,虚拟机创建成功,否则说明该ISO文件已被篡改,弹出错误提示,虚拟机创建失败。
[0018]所述步骤(2)中每一个用户均设置独立的密码。
[0019]本发明的有益效果是:
[0020]本发明利用Iinux的多用户特性创建独立的两个用户分别负责对镜像文件的读和写,采用权限分离的方法,可以有效提高整体的安全性,降低风险。该存储域只有这两个指定的用户可以访问,而且其权限被严格控制。
[0021]采用计算MD5值的方法判断文件是否被篡改,Message Digest Algorithm MD5(中文名为消息摘要算法第五版)为计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。主流编程语言普遍已有MD5实现,使其有良好的通用性。
[0022]本发明操作简单,通用性强,流程简单明了,MD5为计算机安全领域广泛使用的一种散列函数,通用性强。采用权限分离加MD5验证的双重保护极大的降低了镜像被篡改的风险并可以及时发现镜像异常,安全强度高。
【专利附图】
【附图说明】
[0023]图1为本发明防止镜像被篡改的方法流程图;
[0024]图2为本发明上传镜像的流程图;
[0025]图3为本发明镜像验证过程流程图。
【具体实施方式】
:
[0026]下面结合附图与实施例对本发明做进一步说明:
[0027]一种在桌面虚拟化中防止镜像被篡改的方法如图1所示,包括以下步骤:
[0028](I)为ISO镜像文件创建独立的存储域,设置该存储域下用户的读写权限;
[0029](2)创建两个系统用户,其中一个用户用于镜像文件的上传,即拥有写权限;另一个用户用于在创建虚拟机的时候进行读操作,即拥有读权限;
[0030](3)镜像文件上传时,对上传镜像文件的用户进行验证;
[0031](4)为每个上传的镜像文件生成MD5码并存入数据库,在数据库中建立镜像文件名和其MD5码的——对应关系;
[0032](5)每次使用镜像文件之前先验证其MD5值是否发生变化,如果发生变化,表示镜像文件已被篡改。
[0033]1、为ISO镜像文件创建独立的存储域,设置该存储域下用户的读写权限;此方法主要是为镜像文件开辟独立的存储空间,这样我们可以设置该目录的用户读写权限。
[0034]2、创建两个系统用户,分别用于对镜像存储域的读和写;此方法主要是把对镜像存储域的读写权限进行分离,一个用户用于镜像的上传,即拥有写权限。另一个用户用于在创建虚拟机的时候进行读操作,即拥有读权限。每个用户设立独立的密码,作为第一道防护。
[0035]3、为每个镜像文件生成MD5码;此方法主要是为每个镜像文件生成身份识别码,因为MD5值是根据文件内容计算而成的,当其内容发生变化时其MD5值也会发生变化,所以我们可以用如下方法进行检测镜像文件是否被篡改。
[0036]4、镜像上传以后立即计算其MD5值并存入数据库,每个镜像文件的名字必须是唯一的,因为它们存放在同一目录下,这样我们可以在数据库中建立镜像名和其MD5值的
--对应关系。
[0037]5.每次使用镜像之前先验证其MD5值是否发生变化;此方法是为了验证镜像的完整性,当镜像的MD5值发生变化时,会向用户弹出提示信息,提示镜像已经被篡改。
[0038]其中,上传镜像流程图如图2所示,主要的操作步骤如下:
[0039]I)用户通过ssh客户端登陆系统,如果登陆用户不是指定的具有上传权限的用户将无法操作ISO的存储域,无法上传ISO文件,返回登陆。
[0040]2)当用户通过指定的用户登陆后才可以操作ISO存储域上传镜像。
[0041]3)上传镜像完成后计算该镜像的MD5值写入数据库。
[0042]4)操作完成。
[0043]镜像验证流程图如图3所示,主要的操作步骤如下:
[0044]I)通过管理台创建虚拟机,指定该虚拟机所需的ISO文件。
[0045]2)判断是否为指定用户操作该ISO存储域,如果不是则弹出相应提示。
[0046]3)计算该ISO镜像的MD5值,并与数据库中的值进行比较,如果一致则说明ISO镜像保存完整,虚拟机创建成功,否则说明该ISO文件已被篡改,弹出错误提示,虚拟机创建失败。
[0047]上述虽然结合附图对本发明的【具体实施方式】进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
【权利要求】
1.一种在桌面虚拟化中防止镜像被篡改的方法,其特征是,包括以下步骤: (1)为ISO镜像文件创建独立的存储域,设置该存储域下用户的读写权限; (2)创建两个系统用户,其中一个用户用于镜像文件的上传,即拥有写权限;另一个用户用于在创建虚拟机的时候进行读操作,即拥有读权限; (3)镜像文件上传时,对上传镜像文件的用户进行验证; (4)为每个上传的镜像文件生成MD5码并存入管理台的数据库,在数据库中建立镜像文件名和其MD5码的一一对应关系; (5)每次使用镜像文件之前先验证其MD5值是否发生变化,如果发生变化,表示镜像文件已被篡改。
2.如权利要求1所述的一种在桌面虚拟化中防止镜像被篡改的方法,其特征是,所述步骤(3)对用户的验证过程具体为: 如果系统客户端登陆用户不是指定的具有上传权限的用户,则无法操作ISO镜像文件的存储域,无法上传ISO文件,返回登陆界面;用户通过指定的客户端用户登陆界面后才可以操作ISO存储域,上传镜像文件。
3.如权利要求1所述的一种在桌面虚拟化中防止镜像被篡改的方法,其特征是,所述步骤(5)的具体方法为: a.通过管理台创建虚拟机,指定该虚拟机所需的ISO镜像文件; b.判断是否为指定用户操作该ISO镜像文件存储域,如果不是则弹出相应提示; c.计算该ISO镜像的MD5值,并与数据库中的值进行比较,如果一致则说明ISO镜像文件保存完整,虚拟机创建成功,否则说明该ISO文件已被篡改,弹出错误提示,虚拟机创建失败。
4.如权利要求1所述的一种在桌面虚拟化中防止镜像被篡改的方法,其特征是,所述步骤(2)中每一个用户均设置独立的密码。
【文档编号】G06F21/64GK104346582SQ201410617959
【公开日】2015年2月11日 申请日期:2014年11月5日 优先权日:2014年11月5日
【发明者】刘毅枫, 张在兴, 卞功杰, 程栋, 刘学兵 申请人:山东乾云启创信息科技有限公司