本發(fā)明公開了一種無代理的虛擬機(jī)外設(shè)封控方法、系統(tǒng)及介質(zhì)，本發(fā)明虛擬機(jī)外設(shè)封控方法的實(shí)施步驟包括：虛擬桌面客戶端在用戶登錄后連接到虛擬化服務(wù)器上虛擬機(jī)的虛擬桌面；虛擬桌面客戶端向虛擬化服務(wù)器發(fā)送外設(shè)訪問請求獲取用戶的外設(shè)訪問控制權(quán)限；虛擬桌面客戶端獲取虛擬化客戶機(jī)的本地設(shè)備列表，根據(jù)用戶的外設(shè)訪問控制權(quán)限將每一個(gè)啟用的設(shè)備重定向到虛擬機(jī)的虛擬桌面，并設(shè)置設(shè)備的讀寫權(quán)限。本發(fā)明能夠?qū)崿F(xiàn)虛擬機(jī)上的外設(shè)封控，不需要對虛擬機(jī)的操作系統(tǒng)做任何改動，也不需安裝任何代理程序，依靠虛擬化服務(wù)器的虛擬機(jī)監(jiān)視器、安全虛擬機(jī)及相關(guān)組件即可實(shí)現(xiàn)對虛擬機(jī)外設(shè)的安全防護(hù)，具有使用靈活、配置簡單方便的優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明涉及虛擬機(jī)技術(shù)，具體涉及一種無代理的虛擬機(jī)外設(shè)封控方法、系統(tǒng)及介質(zhì)。

背景技術(shù)

隨著云計(jì)算的普及，虛擬化技術(shù)開始得到了廣泛的應(yīng)用。虛擬化依賴軟件來模擬硬件功能并創(chuàng)建虛擬計(jì)算機(jī)系統(tǒng)，即虛擬機(jī)。虛擬化是云計(jì)算的支撐技術(shù)。云計(jì)算與傳統(tǒng)IT環(huán)境最大的區(qū)別在于其虛擬化的環(huán)境，也正是這一區(qū)別導(dǎo)致其安全問題有別于傳統(tǒng)模式。

傳統(tǒng)的對物理主機(jī)的外部設(shè)備進(jìn)行封控，需要在每臺物理主機(jī)上部署安全防護(hù)產(chǎn)品套件，?即所謂的“安全代理”，這種安全防護(hù)模式稱為“有代理模式（Agent-based）”。但是在虛擬桌面環(huán)境下傳統(tǒng)的防護(hù)手段面臨新的挑戰(zhàn)甚至失效。主要體現(xiàn)在：傳統(tǒng)安全軟件都是基于物理機(jī)開發(fā)的，而非專門為虛擬化環(huán)境定制設(shè)計(jì)，尤其是沒有考慮針對虛擬化環(huán)境下的資源共享進(jìn)行優(yōu)化。因而每一臺虛擬機(jī)都安裝安全軟件的部署模式，對物理宿主機(jī)的存儲空間、內(nèi)存資源占用較大，且部署成本較高，管理復(fù)雜，極大影響了虛擬桌面的使用效率。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題：針對現(xiàn)有技術(shù)的上述問題，提供一種無代理的虛擬機(jī)外設(shè)封控方法、系統(tǒng)及介質(zhì)，本發(fā)明能夠?qū)崿F(xiàn)虛擬機(jī)上的外設(shè)封控，不需要對虛擬機(jī)的操作系統(tǒng)做任何改動，也不需安裝任何代理程序，依靠虛擬化服務(wù)器的虛擬機(jī)監(jiān)視器、安全虛擬機(jī)及相關(guān)組件即可實(shí)現(xiàn)對虛擬機(jī)外設(shè)的安全防護(hù)，具有使用靈活、配置簡單方便的優(yōu)點(diǎn)。

為了解決上述技術(shù)問題，本發(fā)明采用的技術(shù)方案為：

一種無代理的虛擬機(jī)外設(shè)封控方法，實(shí)施步驟包括：

1）虛擬桌面客戶端在用戶登錄后連接到虛擬化服務(wù)器上虛擬機(jī)的虛擬桌面；

2）虛擬桌面客戶端向虛擬化服務(wù)器發(fā)送外設(shè)訪問請求獲取用戶的外設(shè)訪問控制權(quán)限；

3）虛擬桌面客戶端獲取虛擬化客戶機(jī)的本地設(shè)備列表，根據(jù)用戶的外設(shè)訪問控制權(quán)限將每一個(gè)啟用的設(shè)備重定向到虛擬機(jī)的虛擬桌面，并設(shè)置設(shè)備的讀寫權(quán)限。

可選地，步驟3）中還包括根據(jù)用戶的外設(shè)訪問控制權(quán)限將每一個(gè)未啟用的設(shè)備在虛擬機(jī)的虛擬桌面中設(shè)置為不可用狀態(tài)并不進(jìn)行重定向操作。

可選地，步驟3）中設(shè)置設(shè)備的讀寫權(quán)限具體是指：判斷用戶的外設(shè)訪問控制權(quán)限中該設(shè)備是否可寫，如果可寫則設(shè)置設(shè)備的讀寫權(quán)限為允許讀取和寫入，否則設(shè)置設(shè)備的讀寫權(quán)限為允許讀取和不能寫入。

可選地，步驟2）虛擬桌面客戶端向虛擬化服務(wù)器發(fā)送請求后，虛擬化服務(wù)器返回外設(shè)訪問控制權(quán)限的步驟包括：

S1）虛擬化服務(wù)器通過虛擬機(jī)監(jiān)視器中注冊的探針檢測虛擬桌面客戶端發(fā)送的外設(shè)訪問請求，當(dāng)檢測到虛擬桌面客戶端發(fā)送的外設(shè)訪問請求時(shí)跳轉(zhuǎn)執(zhí)行下一步；

S2）虛擬化服務(wù)器的虛擬機(jī)監(jiān)視器截獲外設(shè)訪問請求并轉(zhuǎn)發(fā)給安全虛擬機(jī)；

S3）虛擬化服務(wù)器的安全虛擬機(jī)獲取對應(yīng)的用戶，并獲取用戶的外設(shè)封控策略；

S4）虛擬化服務(wù)器的安全虛擬機(jī)根據(jù)外設(shè)封控策略獲取用戶的外設(shè)訪問控制權(quán)限；

S5）虛擬化服務(wù)器的安全虛擬機(jī)檢測用戶的虛擬機(jī)是否處于運(yùn)行狀態(tài)，如果處于運(yùn)行狀態(tài)則將用戶的外設(shè)訪問控制權(quán)限并返回給虛擬化服務(wù)器的虛擬機(jī)監(jiān)視器；