云存储中虚拟机容器架构的远程可信运行的控制方法

云存储中虚拟机容器架构的远程可信运行的控制方法，属于云存储容器架构的远程可信运行技术领域。

云计算作为一种新型的信息技术，运用虚拟化技术把服务的获取、部署和组合巧妙地结合在一起，正在彻底改变许多IT生态系统。容器技术是一种操作系统(OS)级虚拟化技术，每个容器都可以被看作相互独立的操作系统实例，通过对各个容器中的应用程序的隔离及物理服务资源的共享，达到与硬件虚拟化技术相似的效果，使得在主机操作系统上运行的Docker容器具有性能、可移植性等方面的优势。但是，Docker容器的软件隔离机制致使其隔离性较弱，容易导致主机系统面临权限升级(使用户获得他们原本不具有的权限)、容器逃逸(容器内的进程无法看到外面的进程，但外面的进程可以看到里面，所以如果一个容器可以访问到外面的资源，甚至获得了宿主主机的权限，就叫做容器逃逸)、拒绝服务(所有容器都共享同样的内核资源，如果某套容器能够以独占方式访问某些资源，包括内存以及用户ID等其它更为抽象化的资源，那么与其处于同一台主机上的其他容器则很可能因资源匮乏而无法正常运转，这就是拒绝服务攻击)等危险，从而引发一系列需要解决的安全和隐私问题。虚拟机技术作为云计算的核心支撑技术，Docker作为云虚拟化技术的实现载体，基于可信计算技术，保证Docker环境中运行服务的代码和数据完整性是构建可信云环境，实现云服务商与云租户可信共识的重要基础。

本发明的目的在于为企业的管理创新、技术创新、人才创新以及云存储中的虚拟机容器架构的远程可信运行提供一个安全控制的方法。

本发明的特征在于：是在一个由本地实体机，本地的云存储虚拟机以及客户端共同构成的本地云存储虚拟机容器架构远程可信运行控制系统，以下简称系统中依次按以步骤实现的：

步骤(1)系统构建，所述系统中：

本地实体机，包括：控制器CPUS、主体度量值形成模块，客体度量值形成模块以及本地样本数据库，其中：

本地样本数据库，存储已入国标、企标、行业标准或已在本行业中获得广泛认可但尚未入标的本地样本，每一个所述本地样本以链表形式分别表示为：作为发明人的主体特征值→主体散列值→主体度量值，作为应用程序的客体特征值→客体散列值→客体度量值，

控制器CPUS，首先把本地发明人的特征信息择优选择为主体自然人特征值和主体社会人特征值，再把这两类主体特征值串接为统一的主体散列值，送往主体度量值形成模块，经可信计算后得到一个主体度量值，同理，本地发明人提交的作为客体的应用程序的特征信息中择优选择为客体散列值，运往客体度量值形成模块，经可信计算后得到一个客体度量值，所述控制器CPUS为本地发明人组织成用上述两个链表表示的一项主体样本，送本地样本数据库保存，

本地云存储虚拟机是一个由所有容器构成的容器架构，是一个由虚拟机控制器CPUV(非特许)、CPUV(特许)控制的容器架构，包括：所述虚拟机控制器CPUV，以及一个收纳了所有容器的蠕虫网，其中：

蠕虫网，其外轮廓线由位于所述容器架构外围的容器相连而成，本地容器简称为节点，外轮廓线上的容器称为边缘节点，网内的容器称为内部节点，在网内，容纳了两个其存储容量即节点数量各自随着客户需要而动态变化着的非特许区和特许区，分别位于所述蠕虫网的左、右两侧，

所述虚拟机控制器CPUV设在所述蠕虫网外轮廓线上最靠近实体机的那一个边缘节点即中控节点上，

所述每一个节点上都设有一个节点控制器CPUm，m＝1，2，…，m，…，M，M为节点总数，m为节点序号，节点按照应用程序的用途分类，存储着至少一个应用程序；

步骤(2)系统初始化：

步骤(2.1)，实体机控制器CPUS初始化数组为主体散列值：{用户名，用户密码，用户编号，用户工作单位，工作证号}，

客体散列值：{客体名，客体版本号，客体出版日，客体密级}，

中控节点到各节点控制CPUm的网址映射表，确定经过两个节点之间或任何一个节点到中控节点之间最短最快最安全路径用的小程序，其计算步骤如下：

步骤(2.1.1)，假设起始节点为A，终止节点为B，直线将A和B连接起来，

步骤(2.1.2)，沿着两节点之间的连接线做垂线，然后在其向前180度空间范围内通过发信号到距离A最短的一个节点，若不到，换一个次近的节点，

步骤(2.1.3)，重复步骤(2.1.2)，

步骤(2.1.4)，直到最后一次到的节点为终止节点B，将此过程中所有节点连接起来即为一条最短最快最安全的路径，

步骤(2.2)，存储区域初始化，分别建立非特许存储小区和特许存储小区，步骤如下：在左侧建立非特许存储小区，在右侧建立特许存储小区，

在存储区域左下角的位于外轮廓线上的容器建立一个存储地址的零起始点，向上沿着存储地址增加的方向沿各容器轴向等距离的安置各容器，从左到右依次类推，直到右侧边为止，构成一个容器矩阵，其上、下两端均在外轮廓线上，

在存储区域右上角的位于外轮廓线上的第二个容器上建立作为特许存储地址的起点，向下沿着存储地址减少的方向用上述同样的方法，在上述容器矩阵内建立起第二个存储地址坐标系，从而，在同一个容器矩阵内，设置了两个空间位置重合，但地址坐标系完全相补的存储地址坐标系，从左到右，从零起始存储地址号依次递增的存储地址坐标系属于非特许存储小区，否则，属于特许存储小区，在正常运行状态下，两者容量之和必小于存储区域内容量的总和，而且，两者各自的容量是动态变化着的，前者必大于后者，因此，在非特许存储小区和特许存储小区之间天然地形成了一个动态隔离带，防止了相互之间的干扰；

步骤(2.3)，在实体机CPUS和虚拟机CPUV上各设有带着双天线的无线收发模块，从而在两者之间形成了一个双信道无线通信信路，分别传送着非特许存储小区或特许存储小区的信息，

步骤(2.4)，在CPUS上设置一个映射表，同一个应用程序在虚拟机非特许存储小区的地址CPUS上非特许存储区的地址的映射表，对于虚拟机特许小区，同理，是在对准双方相对应存储小区起始存储地址后再沿着虚拟机节点逐个地把实体机的应用程序依次填入后实现的，

步骤(3)，所述系统依次以下步骤实现云存储中虚拟机容器架构的远程可信运行，

步骤(3.1)，实体机依次按以下步骤进行客户的身份验证：

步骤(3.1.1)，实体机CPUS检验来访客户的身份：

步骤(3.1.1.1)，检验来访客户的度量值是否在所述本单位发明人的样本数据库中，若存在，则证明来访客户为本单位发明人，执行步骤(3.1.2)，否则，验证来访客户非本单位发明人执行步骤(3.1.1.2)，

步骤(3.1.1.2)，检验来访客户的人身社会信息，若为本单位人员，执行步骤(3.1.2)，否则拒绝访问，

步骤(3.1.2)，实体机CPUS检验来访客户的客体，来访客户的客体已含于本地样本数据库的度量值体系中，则客体身份验证通过，否则，拒绝访问。

本发明的优点在于：

1.以发明人为主体，在主体特征信息中设立主体的社会特征信息项，在排斥非本单位人员进入的同时，允许本单位人员具有某种社会身份，激励跨学科、跨领域人才参与技术创新活动，作为本单位人员样本信息，以刺激其创新欲望。

2.把作为客体的应用程序的访问、存取功能从实体机中分离到云存储的虚拟机中去，使实体机在执行主、客体身份验证的同时，起到了服务于访问客户端的代理访问的功能以便把访问者直接隔离于实体之外，阻止其对容器架构中各容器的操作系统的直接侵犯。

3.从实体机的信号输出端开始，直到虚拟机的容器架构为止采取如下技术，避免了非法用户假借中间容器实现非特许存储小区与特许小区之间的互相侵扰：

(1)在实体机CPUS和虚拟机CPUV之间实现双向双信道无线通信。分别通过安装在实体机CPUS和虚拟机CPUV内的无线收发模块达到非特许和特许区信道之间的隔离。

(2)在中控节点上的虚拟机CPUV内，在所述蠕虫网内分别在非特许存储小区、特许存储小区内通过各自不同的最短最快最安全路径从CPUV的两个出口端到达各自的目的节点CPUm内，从而实现了各自信息传输通道的隔离。

4.存储架构内的每一个包括边缘节点在内的节点上都设立了一个由实体机CPUS经CPUV发到节点上的用于确定从任一个节点的CPUV之间或任何一个节点之间的最短最快最安全传输路径的小程序，不仅保证了从CPUV到位于蠕虫网外轮廓线上左下角的非特许存储小区存储地址起始点的节点或者右上角的特许存储小区存储地址起始点的传输速度，也保证了非特许传输路径和特许传输路径在存储空间上的隔离。

图1系统主程序流程框图。

图2系统硬件框图：

图2.1系统框图，

图2.2容器存储结构图。

图3实体机框图。

图4在蠕虫网内确定最短最快最安全传输路径的方法示意图。

本发明采用双层代理访问的方法，即使实体机CPUS也必须通过虚拟机CPUv(非特许)，CPUv(特许)去非特许小区、特许存储小区寻址访问，又使得客户既不能通过实体机CPUs直接访问上述两个存储小区，也不能使自己直接上虚拟机寻址访问，极大地发挥了代理访问的功能。

本发明在实体机CPUS、虚拟机CPUV(非特许)或CPUV(特许)之间双向双信道无线通信、CPUV(非特许)与非特许存储小区内各节点之间的中心辐射网。CPUV(特许)与特许小区内各节点之间的中心辐射网，利用非特许存储小区控制器CPUV(非特许)、特许存储小区控制器CPUV(特许)，实现了各自小区内从CPUV(非特许)或CPUV(特许)至各自节点之间的最短路径，分别实现了从实体机CPUS出发分别经过CPUV(非特许)、CPUV(特许)到达自己访问寻址终端节点之间的通信路径的隔离，防止了非特许存储小区、特许存储小区之间的路径干扰，以及所述两个小区间的人为路径干扰。

在访问寻址节点上设有CPUm，m为访问节点序号，m＝1，2，…，m，…，M，设有一个CPUm→容器中数据文件的存储地址→数据文件名称的映射表，把所述数据文件沿着容器纵轴左右对称存放的方式存储，在快速传送的同时实现了定点存储。

本发明在同一个物理存储空间内，分别以位于外轮廓线左下方和右上方的两个对角的边缘节点作为起点和终点，建立一套存储地址坐标系，以起点处的地址递增，终点处的地址递减的方式，来分别建立非特许、特许两个存储小区，只要存储区域未溢出，二者之间必存在隔离带，二者存储量互有消长，达到了动态弹性隔离又可充分利用存储空间的目的。