專利名稱:存儲設備的數(shù)據(jù)保護方法、數(shù)據(jù)保護裝置及計算機系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及數(shù)據(jù)保護技術領域,具體涉及一種存儲設備的數(shù)據(jù)保護方法、數(shù)據(jù)保護裝置及計算機系統(tǒng)。
背景技術:
存儲設備(如計算機硬盤)中數(shù)據(jù)的安全性問題已經(jīng)越來越突出。當前環(huán)境下,各種電腦病毒以及系統(tǒng)入侵者都可能對硬盤中的數(shù)據(jù)進行惡意刪除或修改,同時,用戶還可能因為誤操作,導致數(shù)據(jù)文件的破壞。因此,需要對存儲設備中的數(shù)據(jù)進行保護。
現(xiàn)有技術對存儲設備進行數(shù)據(jù)保護的方案有
1) 采樣專門的硬盤保護卡。該方案可以讓計算機存儲設備中的數(shù)據(jù)保持在一個固定狀態(tài),防止對數(shù)據(jù)的非法篡改。該方案的缺點是需要購買額外的硬盤保護卡這一硬件設備,從而增加了用戶成本。
2) 在計算機操作系統(tǒng)中安裝特定的硬盤驅動程序,系統(tǒng)啟動后加載該驅動程序,實現(xiàn)對硬盤操作的攔截,保護硬盤已有數(shù)據(jù)不被實時修改。該方案缺點是需要在^^作系統(tǒng)中安裝額外的驅動程序,并且該驅動程序需要針對不同的操作系統(tǒng)進行定制,并且,驅動程序的加載依賴于操作系統(tǒng), 一旦驅動程序因為病毒或其它原因加載失敗,則無法對數(shù)據(jù)進行保護,并且可能帶來其它問題。例如,在操作系統(tǒng)安裝系統(tǒng)補丁過程中計算機可能需要重新啟動多次,在此過程中可能未加載上述硬盤驅動程序,從而導致系統(tǒng)升級失敗,造成藍屏等嚴重問題。
發(fā)明內(nèi)容
本發(fā)明實施例所要解決的技術問題是提供一種存儲設備的數(shù)據(jù)保護方法、數(shù)據(jù)保護裝置及計算機系統(tǒng),在不需要增加專門硬件設備以及不依賴于特定操作系統(tǒng)的情況下,實現(xiàn)了對存儲設備的數(shù)據(jù)保護。
為解決上述技術問題,本發(fā)明實施例提供了 一種存儲設備的數(shù)據(jù)保護方
法,包括
截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的寫操 作命令;
對所述寫操作命令進行分析,獲取所述寫操作命令對應的所述存儲設備上
的寫地址;
將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域中的重定向地 址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所述重定向區(qū)域 與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。
優(yōu)選地,上述方法還包括保存所述寫地址與所述重定向地址之間的對應 關系。
優(yōu)選地,上述方法還包括
截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的讀操 作命令;
對所述讀操作命令進行分析,獲取所述讀操作命令對應的讀地址,并通過 搜索所述對應關系判斷其中是否存在所述讀地址若存在,則從所述對應關系 中獲取所述讀地址對應的重定向地址,并從該重定向地址對應的存儲區(qū)域讀取 數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
優(yōu)選地,上述方法還包括所述寫地址包括所述寫操作命令對應的起始地 址和將要寫入的存儲空間的大??;所述讀地址包括所述讀操作命令對應的起始 地址和將要讀取的存儲空間的大小。
優(yōu)選地,上述方法還包括在所述存儲設備所屬終端關機或重啟時,刪除 所述對應關系。
本發(fā)明實施例還相應地提供了一種保護存儲設備數(shù)據(jù)的數(shù)據(jù)保護裝置,包
括
攔截模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存 儲設備的寫操作命令;
分析模塊,用于對所述寫操作命令進行分析,獲取所述寫操作命令對應的寫地址;
讀寫模塊,用于將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域 中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所 述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立;
優(yōu)選地,上述數(shù)據(jù)保護裝置中,還包括
記錄模塊,用于保存所述寫地址與所述重定向地址之間的對應關系。 優(yōu)選地,上述數(shù)據(jù)保護裝置中,所述攔截模塊包括讀操作攔截子模塊,用 于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的讀操作
命令;
所述分析模塊包括讀操作分析子模塊,用于所述讀操作命令進行分析,獲
取所述讀操作命令對應的讀地址; 所述讀寫模塊包括
搜索子模塊,用于搜索所述對應關系,判斷其中是否存在所述讀地址,并 輸出判斷結果;
讀操作子模塊,用于在所述判斷結果指示所述對應關系中存在所述讀地址 時,從所述對應關系中獲取所述讀地址對應的重定向地址,并從該重定向地址 對應的存儲區(qū)域讀取數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
優(yōu)選地,上述數(shù)據(jù)保護裝置中,所述寫地址包括所述寫操作命令對應的起 始地址和將要寫入的存儲空間的大?。凰鲎x地址包括所述讀操作命令對應的 起始地址和將要讀取的存儲空間的大小。
優(yōu)選地,上述數(shù)據(jù)保護裝置中,所述記錄模塊包括刪除子模塊,用于在所 述存儲設備所屬終端關機或重啟時,刪除所述對應關系。
本發(fā)明還相應地提供了一種計算機系統(tǒng),包括 硬件平臺,所述硬件平臺包括CPU和存儲設備; 運行在所述硬件平臺上的虛擬機管理器;以及,
運行在所述虛擬機監(jiān)視器上的至少一個客戶才喿作系統(tǒng),其特征在于,所述 計算機系統(tǒng)還包括設置在所述虛擬機管理器中的數(shù)據(jù)保護裝置,所述數(shù)據(jù)保護 裝置包括
攔截模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對所述存儲設備的寫操作命令;
分析模塊,用于對所述寫操作命令進行分析,獲取所述寫操作命令對應的 寫地址;
讀寫模塊,用于將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域 中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所 述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。
優(yōu)選地,上述計算機系統(tǒng)還包括記錄沖莫塊,用于保存所述寫地址與所述 重定向地址之間的對應關系。
優(yōu)選地,上述計算機系統(tǒng)中,所述攔截模塊包括讀操作攔截子模塊,用于 截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對所述存儲設備的讀操 作命令;
所述分析模塊包括讀操作分析子模塊,用于所述讀操作命令進行分析,獲 取所述讀操作命令對應的讀地址; 所述讀寫模塊包括
搜索子模塊,用于搜索所述對應關系,判斷其中是否存在所述讀地址,并 輸出判斷結果;
讀操作子模塊,用于在所述判斷結果指示所述對應關系中存在所述讀地址 時,爿t人所述對應關系中獲取所述讀地址對應的重定向地址,并從該重定向地址 對應的存儲區(qū)域讀取數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
優(yōu)選地,上述計算機系統(tǒng)中,所述記錄模塊包括刪除子模塊,用于在所述 存儲設備所屬計算機關機或重啟時,刪除所述對應關系。
從以上所述可以看出,本發(fā)明實施例提供的存儲設備的數(shù)據(jù)保護方法、數(shù) 據(jù)保護裝置及計算機系統(tǒng),通過截獲客戶操作系統(tǒng)的用戶對存儲設備的寫操 作,并重定向到預留的重定向區(qū)域,從而用戶無法對存儲設備上的敏感數(shù)據(jù)進 行任何寫操作,保證了存儲設備上的數(shù)據(jù)的安全;并且,本發(fā)明實施例通過截 獲客戶操作系統(tǒng)的用戶對硬盤的讀操作,并通過搜索所述對應關系,將該讀操 作重定向到對應的重定向地址,從而實現(xiàn)了用戶對存儲設備的讀操作,使得數(shù) 據(jù)保護對于用戶來說是透明的,從而不會影響到用戶使用存儲設備及終端的感 受;最后,本發(fā)明實施例還通過在終端關機或重啟時,刪除當前記錄的對應關
8系,以清除用戶對存儲設備的任何操作,使得終端在每次開機后都能恢復到一 個固定狀態(tài)。
圖1為本發(fā)明實施例所述數(shù)據(jù)保護方法在寫操作時的流程圖; 圖2為本發(fā)明實施例所述數(shù)據(jù)保護方法在讀操作時的流程圖; 圖3為本發(fā)明實施例所述計算機系統(tǒng)的結構示意圖; 圖4為本發(fā)明實施例所述數(shù)據(jù)保護裝置的結構示意圖。
具體實施例方式
為使本發(fā)明實施例要解決的技術問題、技術方案和優(yōu)點更加清楚,下面將 結合附圖及具體實施例進行詳細描述。
本發(fā)明實施例以計算機中的硬盤數(shù)據(jù)保護為例進行說明。本實施例中,通 過利用虛擬機技術,在虛擬機管理器(VMM, Virtual Machine Monitor)中設 置一個數(shù)據(jù)保護裝置。當用戶通過客戶操作系統(tǒng)對硬盤進行讀寫操作時,通過 該數(shù)據(jù)保護裝置截獲相關的讀寫命令,并重定向到硬盤上預留的特定空閑位置 處,從而保證了硬盤上數(shù)據(jù)的安全性。
如圖l所示,本實施例所述數(shù)據(jù)保護方法,包括以下步驟
步驟11,數(shù)據(jù)保護裝置截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā) 出的對石更盤的寫操作命令。
步驟12,數(shù)據(jù)保護裝置對所述寫操作命令進行分析,獲取所述寫操作命 令對應的寫地址。這里,寫地址具體包括寫操作的起始扇區(qū)號以及將要寫入的 扇區(qū)數(shù)量等信息。
步驟13,數(shù)據(jù)保護裝置將所述寫地址重定向到硬盤上重定向區(qū)域中的重 定向地址,并在所述重定向地址處進行寫操作。
這里,所述重定向區(qū)域是在硬盤上預留出的專門用于重定向的存儲區(qū)域, 該存儲區(qū)域與硬盤上需要被保護的數(shù)據(jù)區(qū)域是相對獨立的,正常情況下,用戶 通過客戶操作系統(tǒng)無法訪問到該存儲區(qū)域。數(shù)據(jù)保護裝置可以按照各種已有的 或自定義的規(guī)則,將所述寫地址重定向到特定的重定向地址處,只需要該重定向地址對應的存儲空間目前是空閑的即可。
步驟14,數(shù)據(jù)保護裝置保存寫地址和該寫地址重定向后的重定向地址之 間的對應關系,在對寫地址進行重定向之后,還將所述寫地址與所述重定向地 址之間的對應關系記錄下來。
這樣,在以后再次截獲到新的寫操作時,數(shù)據(jù)保護裝置仍然按照上述步驟 11~13對寫操作進行相應處理,并在所述對應關系中增加該新的寫操作的對 應關系。
可以看出,本實施例通過上述步驟的處理,由數(shù)據(jù)保護裝置截獲客戶操作 系統(tǒng)的用戶對石更盤的寫操作,并重定向到預留的重定向區(qū)域,從而用戶無法對 硬盤上的敏感數(shù)據(jù)進行任何寫操作,保證了硬盤上的數(shù)據(jù)的安全。
當用戶需要讀取^f更盤上的數(shù)據(jù)時,如圖2所示,本實施例所述數(shù)據(jù)保護方 法還包括有以下步驟
步驟21,數(shù)據(jù)保護裝置截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā) 出的對存儲設備的讀操作命令。
步驟22,數(shù)據(jù)保護裝置對所述讀操作命令進行分析,獲取所述讀搡作命 令對應的讀地址;這里,所述讀地址包括讀操作的起始扇區(qū)號以及將要讀取的 扇區(qū)數(shù)量。
步驟23,數(shù)據(jù)保護裝置通過搜索所述對應關系判斷其中是否存在所述讀 地址若存在,則從所述讀地址對應的重定向地址處讀取數(shù)據(jù);否則,從所述 讀i也址處讀取數(shù)據(jù)。
由于先前用戶可能針對硬盤上的某個位置處進行了數(shù)據(jù)寫操作,實際上, 該寫才喿作并沒有針對該位置處的數(shù)據(jù),而是#1重定向到重定向區(qū)域中的某個特 定的重定向地址。因此,如果用戶發(fā)出讀操作命令,希望讀取先前寫入的數(shù)據(jù) 時,此時需要4艮據(jù)所維護的對應關系,將該讀操作重定向到上述重定向地址。 這樣,通過上述步驟,實現(xiàn)了用戶對硬盤數(shù)據(jù)的讀操作,并且,不會影響到用 戶使用計算機的感受,即數(shù)據(jù)保護裝置的所有操作對用戶都是透明的。
在網(wǎng)吧或其它公用環(huán)境下,通常多個用戶使用同一臺計算機,硬盤數(shù)據(jù)和 操作系統(tǒng)被損壞的可能更大。這種情況下,計算機管理員可能希望每次計算機 關機后,用戶對硬盤的所有操作都不遺留在計算機中,即每次開機后,整個計
10算機中的硬盤數(shù)據(jù)保持在某一個固定狀態(tài)。此時,可以通過數(shù)據(jù)保護裝置在所 述計算機關機或重啟時,刪除所述對應關系,從而用戶對硬盤的所有操作都會 被系統(tǒng)忽略,無法被索引到。這里,刪除所述對應關系具體可以按照以下方式
實現(xiàn)1) VMM專門開辟出 一塊易失性的隨機存取存儲器RAM,所述對應關 系保存在該易失性RAM中,這樣,在計算機重啟或關機時,由于系統(tǒng)掉電, 該易失性RAM中保存的信息自然消失了 ,從而在系統(tǒng)掉電時就自動刪除了所 述對應關系;2)所述對應關系保存在硬盤上的某個特定位置上,系統(tǒng)在截獲 到計算機關機或重啟的命令時,主動對上述特定位置存儲的信息進行清空,從 而主動刪除了對應關系。
以下通過一個具體應用來進一步"i兌明上述方法。
通常,網(wǎng)吧管理員都希望對計算機中的某些敏感數(shù)據(jù)(如C盤下的操作 系統(tǒng)文件)進行保護,不希望用戶對這些數(shù)據(jù)進行任何修改。并且,在用戶下 機以后,還希望計算機能恢復到一個初始狀態(tài),刪除用戶對計算機硬盤上數(shù)據(jù) 所做的任何改變。這樣,管理員可以對C盤設置數(shù)據(jù)保護,同時將正常工作 情況下用戶無法訪問到的硬盤上的某個區(qū)域作為重定向區(qū)域,該重定向區(qū)域與 C盤是相對獨立的。
操作系統(tǒng)對硬盤的訪問是通過某些端口進行的,例如端口 1F0~1F7,其 中,端口 1F7通常是傳輸讀/寫操作命令,1F3-lF5是讀/寫操作的起始地址, 如起始扇區(qū)號,端口 1F2則是將要讀/寫操作的扇區(qū)數(shù)量。因此,可以通過對 上述端口進行監(jiān)聽,以截獲操作系統(tǒng)發(fā)送的對C盤的寫才喿作命令。在截獲到 對C盤的寫才喿作命令后,將寫地址重定向到重定向區(qū)域中的某個位置(重定 向地址),然后,根據(jù)該重定向地址向硬盤控制器發(fā)送修改后的寫操作命令, 對硬盤進行寫操作;同時,在易失性RAM中保存寫地址和重定向地址之間的 對應關系。這樣,用戶對C盤的任何寫操作都不會對C盤產(chǎn)生任何影響,該 寫操作被轉移到重定向區(qū)域中,從而也就保證了 C盤的安全。當該用戶下機 時,通過重啟計算機,這樣,易失性RAM中的對應關系都會消失,即無法根 據(jù)該對應關系尋址到用戶對硬盤所做的任何修改,從而也就刪除了用戶對硬盤 數(shù)據(jù)的任何修改。
以上以計算機系統(tǒng)為例說明了本實施例所述的數(shù)據(jù)保護方法。本技術領域人員完全可以了解到,本實施例還可以應用在對其它終端中的存儲設備的數(shù)據(jù) 保護中。基于上述數(shù)據(jù)保護方法,本實施例還提供了一種數(shù)據(jù)保護裝置和計算
機系統(tǒng)。其中,所述計算機系統(tǒng)如圖3所示,包括 硬件平臺,所述硬件平臺包括CPU和存儲設備; 運行在所述硬件平臺上的虛擬機管理器;以及, 運行在所述虛擬機監(jiān)視器上的至少一個客戶操作系統(tǒng); 以及數(shù)據(jù)保護裝置,該數(shù)據(jù)保護裝置設置在所述虛擬機管理器中。 如圖4所示,所述凝:據(jù)保護裝置具體包括
攔截模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存 儲設備的寫操作命令;
分析模塊,用于對所述寫操作命令進行分析,獲取所述寫操作命令對應的 寫地址;這里,所述寫地址包括寫操作的起始扇區(qū)號以及將要寫入的扇區(qū)數(shù)量;
讀寫模塊,用于將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域 中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所 述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立;
記錄模塊,用于保存所述寫地址與所述重定向地址之間的對應關系。
優(yōu)選地,所述攔截模塊中可以包括讀操作攔截子模塊,用于截獲運行在虛 擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的讀操作命令。
所述分析模塊中可以包括讀操作分析子模塊,用于所述讀操作命令進行分 析,獲取所述讀操作命令對應的讀地址。這里,所述讀地址包括讀操作的起始 扇區(qū)號以及將要讀取的扇區(qū)數(shù)量。
所述讀寫模塊中可以包括搜索子模塊,用于搜索所述對應關系,判斷其 中是否存在所述讀地址,并輸出判斷結果;讀操作子才莫塊,用于在所述判斷結 果指示所述對應關系中存在所述讀地址時,從所述對應關系中獲取所述讀地址 對應的重定向地址,并從該重定向地址對應的存儲區(qū)域讀取數(shù)據(jù);否則,從所 述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
優(yōu)選地,所述記錄模塊中可以包括刪除子模塊,用于在所述存儲設備所屬 計算機關機或重啟時,刪除所述對應關系。
綜上所述,本發(fā)明實施例所提供的存儲設備的數(shù)據(jù)保護方法、數(shù)據(jù)保護裝置及計算機系統(tǒng),利用虛擬機技術,無需用戶單獨購買特定數(shù)據(jù)保護硬件設備、 不依賴于用戶特定操作系統(tǒng),即可實現(xiàn)對存儲設備完整的數(shù)據(jù)保護。
以上所述僅是本發(fā)明的實施方式,應當指出,對于本技術領域的普通技術 人員來說,在不脫離本發(fā)明原理的前提下,還可以作出若干改進和潤飾,這些 改進和潤飾也應一見為本發(fā)明的保護范圍。
權利要求
1.一種存儲設備的數(shù)據(jù)保護方法,其特征在于,包括截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的寫操作命令;對所述寫操作命令進行分析,獲取所述寫操作命令對應的所述存儲設備上的寫地址;將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。
2. 如權利要求1所述的方法,其特征在于,所述方法還包括保存所述 寫地址與所述重定向地址之間的對應關系。
3. 如權利要求2所述的方法,其特征在于,所述方法還包括 截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的讀操作命令;對所述讀操作命令進行分析,獲取所述讀操作命令對應的讀地址,并通過 搜索所述對應關系判斷其中是否存在所述讀地址若存在,則從所述對應關系 中獲取所述讀地址對應的重定向地址,并從該重定向地址對應的存儲區(qū)域讀取 數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
4. 如權利要求3所述的方法,其特征在于,所述寫地址包括所述寫操作 命令對應的起始地址和將要寫入的存儲空間的大??;所述讀地址包括所述讀操 作命令對應的起始地址和將要讀取的存儲空間的大小。
5. 如權利要求2所述的方法,其特征在于,所述方法還包括在所述存 儲設備所屬終端關機或重啟時,刪除所述對應關系。
6. —種保護存儲設備數(shù)據(jù)的數(shù)據(jù)保護裝置,其特征在于,包括 攔截模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的寫操作命令;分析模塊,用于對所述寫操作命令進行分析,獲取所述寫操作命令對應的 寫地址;讀寫模塊,用于將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域 中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所 述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。
7. 如權利要求6所述的數(shù)據(jù)保護裝置,其特征在于,還包括 記錄模塊,用于保存所述寫地址與所述重定向地址之間的對應關系。
8. 如權利要求7所述的數(shù)據(jù)保護裝置,其特征在于, 所述攔截模塊包括讀操作攔截子模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的讀操作命令;所述分析模塊包括讀操作分析子模塊,用于所述讀操作命令進行分析,獲 取所述讀操作命令對應的讀地址;所述讀寫模塊包括搜索子模塊,用于搜索所述對應關系,判斷其中是否存在所述讀地址,并 輸出判斷結果;讀操作子模塊,用于在所述判斷結果指示所述對應關系中存在所述讀地址 時,從所述對應關系中獲取所述讀地址對應的重定向地址,并從該重定向地址 對應的存儲區(qū)域讀取數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
9. 如權利要求8所述的數(shù)據(jù)保護裝置,其特征在于,所述寫地址包括所 述寫操作命令對應的起始地址和將要寫入的存儲空間的大小;所述讀地址包括所述讀操作命令對應的起始地址和將要讀取的存儲空間的大小。
10. 如權利要求7所述的數(shù)據(jù)保護裝置,其特征在于, 所述記錄模塊包括刪除子模塊,用于在所述存儲設備所屬終端關機或重啟時,刪除所述對應關系。
11. 一種計算機系統(tǒng),包括硬件平臺,所述硬件平臺包括CPU和存儲設備; 運行在所述硬件平臺上的虛擬機管理器;以及,運行在所述虛擬才幾監(jiān)視器上的至少一個客戶操作系統(tǒng),其特征在于,所述 計算機系統(tǒng)還包括設置在所述虛擬機管理器中的數(shù)據(jù)保護裝置,所述數(shù)據(jù)保護 裝置包括攔截模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對所述存儲設備的寫操作命令;分析模塊,用于對所述寫操作命令進行分析,獲取所述寫操作命令對應的 寫地址;讀寫模塊,用于將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域 中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所 述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。
12. 如權利要求11所述的計算機系統(tǒng),其特征在于,記錄模塊,用于保存所述寫地址與所述重定向地址之間的對應關系。
13. 如權利要求12所述的計算機系統(tǒng),其特征在于, 所述攔截模塊包括讀操作攔截子模塊,用于截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對所述存儲設備的讀操作命令;所述分析模塊包括讀操作分析子模塊,用于所述讀操作命令進行分析,獲 取所述讀操作命令對應的讀地址;所述讀寫模塊包括搜索子模塊,用于搜索所述對應關系,判斷其中是否存在所述讀地址,并 輸出判斷結果;讀操作子模塊,用于在所述判斷結果指示所述對應關系中存在所述讀地址 時,從所述對應關系中獲取所述讀地址對應的重定向地址,并從該重定向地址 對應的存儲區(qū)域讀取數(shù)據(jù);否則,從所述讀地址對應的存儲區(qū)域讀取數(shù)據(jù)。
14. 如權利要求12所述的計算機系統(tǒng),其特征在于, 所述記錄模塊包括刪除子模塊,用于在所述存儲設備所屬計算機關機或重啟時,刪除所述對應關系。
全文摘要
本發(fā)明提供了存儲設備的數(shù)據(jù)保護方法、數(shù)據(jù)保護裝置及計算機系統(tǒng)。所述方法包括截獲運行在虛擬機管理器之上的客戶操作系統(tǒng)發(fā)出的對存儲設備的寫操作命令;對所述寫操作命令進行分析,獲取所述寫操作命令對應的寫地址;將所述寫地址重定向到所述存儲設備中預留的重定向區(qū)域中的重定向地址,并在所述重定向地址對應的存儲區(qū)域進行寫操作,其中,所述重定向區(qū)域與所述存儲設備中欲保護數(shù)據(jù)的存儲區(qū)域相獨立。按照本發(fā)明,可以在不需要增加專門硬件設備以及不依賴于特定操作系統(tǒng)的情況下,實現(xiàn)對存儲設備的數(shù)據(jù)保護。
文檔編號G06F12/14GK101667161SQ20081011930
公開日2010年3月10日 申請日期2008年9月2日 優(yōu)先權日2008年9月2日
發(fā)明者周振生, 剛 彭, 徐曉靖, 飛 汪 申請人:聯(lián)想(北京)有限公司