虚拟化技术,自1959年由Christopher Strachey于巴黎举行的国际信息处理大会上所做的《Time sharing in large, fast computers》报告中首次提出,到现在已经取得了突飞猛进的发展。由于虚拟化技术在集中管理、节约硬件资源等方面的优越表现,使得其在信息系统中得到了广泛的应用。而作为虚拟化技术的典型代表的服务器虚拟机产品更是在企业信息化建设中得到了极大的推广应用。然而,目前终端虚拟机产品仍然很少应用于一些对安全隔离要求较高的组织中。使用率仍然低有两方面的原因:一方面,这些单位对网络安全、不同网络之间系统隔离性要求等非常高;另一方面,目前终端产品的安全隔离性并非无懈可击。因此,如何增强虚拟机终端产品的安全隔离性成为亟待解决的一个问题。本文正是着眼于解决这个问题,力求使得虚拟机宿主机之间的文件访问能够做到可控性和安全性。本文研究的主要内容是虚拟机宿主机之间的文件访问控制。通过研究虚拟机与宿主机之间的文件交互方式,以及访问控制矩阵、基于角色的访问控制模型和基于组织的访问控制模型,结合组织结构模型,本文设计了针对虚拟机与宿主机的文件访问控制形式,这种访问控制形式最终以访问控制规则集的形式体现。本文通过采用HIPS技术中最先进的Runtime patching技术,编写内核态过滤函数,以从服务器获得与角色对应的规则集为依据过滤对文件进行操作的行为;进而针对在Windows XP环境下安装VMware Player虚拟机的全虚拟化技术实现了对虚拟机与宿主机之间的文件访问控制。