一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê拖到y(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê拖到y(tǒng)����,所述各虛擬機(jī)位于同一宿主機(jī)中,將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)��,接收方記為第二虛擬機(jī)�,技術(shù)方案為:所述宿主機(jī)截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?���,并通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)�����。本發(fā)明能夠降低成本���,減少資源浪費(fèi)�����,提高數(shù)據(jù)傳輸可控性�����。
【專利說明】
一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê拖到y(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計算機(jī)技術(shù)領(lǐng)域���,特別涉及一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê拖到y(tǒng)��。
【背景技術(shù)】
[0002]在一些涉密單位����,為了防止單位內(nèi)部數(shù)據(jù)泄露���,常常禁止掉辦公機(jī)的外網(wǎng)訪問權(quán)限��,但由于員工有時需要訪問外網(wǎng)查詢資料或?qū)ν獍l(fā)送郵件���,所以又會為員工配置一臺能訪問外網(wǎng)的辦公機(jī)���,也有的是讓員工共享幾臺外網(wǎng)機(jī)。
[0003]內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)分離可以在一定程度上防止泄密���,但是也帶來了諸多不便����,例如�,外網(wǎng)機(jī)和內(nèi)網(wǎng)機(jī)間同步數(shù)據(jù)往往靠移動存儲設(shè)備(如u盤)或者光盤�,使得員工拷貝數(shù)據(jù)不方便,降低了員工工作效率����,特別是在使用光盤拷貝數(shù)據(jù)時每次刻錄都會造成光盤浪費(fèi)�。另一方面�����,內(nèi)網(wǎng)機(jī)和外網(wǎng)機(jī)分離,由于需要額外為員工配置能夠訪問外網(wǎng)的辦公機(jī)或共享的外網(wǎng)機(jī)��,成本較高且機(jī)器利用率低����,造成資源浪費(fèi)。
【發(fā)明內(nèi)容】
[0004]有鑒于此�����,本發(fā)明的目的在于提供一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê拖到y(tǒng)����,能夠降低成本���,減少資源浪費(fèi)���,提高數(shù)據(jù)傳輸可控性。
[0005]為了達(dá)到上述目的��,本發(fā)明提供了如下技術(shù)方案:
[0006]—種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒?����,所述各虛擬機(jī)位于同一宿主機(jī)中,將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)���,接收方記為第二虛擬機(jī)��,該方法應(yīng)用于所述宿主機(jī)�,包括:
[0007]截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時�����,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?����,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接��,并在第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)���。
[0008]—種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)�,所述各虛擬機(jī)位于同一宿主機(jī)中��,所述宿主機(jī)中還配置有傳輸控制模塊;將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)��,接收方記為第二虛擬機(jī)�����,該系統(tǒng)包括第一虛擬機(jī)、第二虛擬機(jī)�����、宿主機(jī)中的傳輸控制模塊���;
[0009]所述第一虛擬機(jī)用于向宿主機(jī)發(fā)送針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求��;
[0010]所述宿主機(jī)的傳輸控制模塊����,用于截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時�,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?����,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接�,并在第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)。
[0011]由上面的技術(shù)方案可知���,本發(fā)明中�����,當(dāng)共用同一宿主機(jī)的兩臺虛擬機(jī)之間需要進(jìn)行數(shù)據(jù)傳輸時�����,通過在宿主機(jī)中為本次數(shù)據(jù)傳輸分配一個傳輸媒介�����,使得兩臺虛擬機(jī)僅利用該傳輸媒介就可以實現(xiàn)數(shù)據(jù)傳輸,不需要使用額外的光盤或移動存儲設(shè)備就可以實現(xiàn)虛擬機(jī)間的數(shù)據(jù)傳輸���,因而可以降低成本,減少資源浪費(fèi)���,提高數(shù)據(jù)傳輸可控性�����。
【附圖說明】
[0012]圖1是本發(fā)明實施例用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)架構(gòu)圖;
[0013]圖2是本發(fā)明實施例在宿主機(jī)的虛擬化引擎內(nèi)部設(shè)置傳輸控制模塊示意圖��;
[0014]圖3是本發(fā)明實施例在宿主機(jī)的特權(quán)虛擬機(jī)內(nèi)部設(shè)置傳輸控制模塊示意圖�;
[0015]圖4是本發(fā)明實施例用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)的擴(kuò)展架構(gòu)圖��;
[0016]圖5是本發(fā)明實施例具體應(yīng)用場景示意圖�����;
[0017]圖6是本發(fā)明實施例一用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒鞒虉D;
[0018]圖7是本發(fā)明實施例二用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)架構(gòu)圖�。
【具體實施方式】
[0019]為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白��,下面結(jié)合附圖并據(jù)實施例����,對本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)說明。
[0020]參見圖1�,圖1是本發(fā)明實施例用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)架構(gòu)圖��,其中,虛擬機(jī)A����、虛擬機(jī)B位于同一宿主機(jī)內(nèi)���,宿主機(jī)內(nèi)配置有一傳輸控制模塊,該傳輸控制模塊用于控制虛擬機(jī)A和虛擬機(jī)B之間的數(shù)據(jù)傳輸�。
[0021]在本發(fā)明實施例中,宿主機(jī)是一臺具有虛擬化能力的計算設(shè)備�,包括但不限于PC機(jī)、服務(wù)器��、工作站和平板電腦等電子設(shè)備�。
[0022]在不同的虛擬化引擎(如Xen、KVM���、VirtualBox等)架構(gòu)中����,有的架構(gòu)將設(shè)備管理權(quán)交給特權(quán)虛擬機(jī)���,有的架構(gòu)則由虛擬化引擎直接管理設(shè)備���。本發(fā)明中,對于宿主機(jī)中傳輸控制模塊所在的位置不做具體限制�,既可以位于宿主機(jī)的虛擬化引擎內(nèi)部(如圖2所示),也可位于宿主機(jī)上層的特權(quán)虛擬機(jī)內(nèi)部(如圖3所示)。
[0023]在本發(fā)明實施例中��,虛擬機(jī)A和虛擬機(jī)B之間需要傳輸數(shù)據(jù)時�����,宿主機(jī)內(nèi)的傳輸控制模塊會在虛擬化底層構(gòu)造一傳輸媒介����,虛擬機(jī)A和虛擬機(jī)B利用該傳輸媒介實現(xiàn)數(shù)據(jù)傳輸����。
[0024]以虛擬機(jī)A向虛擬機(jī)B傳輸數(shù)據(jù)為例,數(shù)據(jù)傳輸過程如下:
[0025]虛擬機(jī)A向虛擬機(jī)B發(fā)送數(shù)據(jù)傳輸請求���,宿主機(jī)中的傳輸控制模塊截獲到該數(shù)據(jù)傳輸請求后�,為本次數(shù)據(jù)傳輸在虛擬化底層構(gòu)造傳輸媒介;然后利用該傳輸媒介觸發(fā)用于虛擬機(jī)A向虛擬機(jī)B傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立虛擬機(jī)A與虛擬機(jī)B之間的數(shù)據(jù)傳輸連接���;接著通知虛擬機(jī)A基于該傳輸媒介向虛擬機(jī)B傳輸數(shù)據(jù);最后虛擬機(jī)A從本地讀取待傳輸數(shù)據(jù)(例如字符串或文件等數(shù)據(jù))���,并利用該傳輸媒介向虛擬機(jī)B傳輸數(shù)據(jù)。其中�����,利用該傳輸媒介觸發(fā)數(shù)據(jù)傳輸事件以建立虛擬機(jī)A與虛擬機(jī)B之間的數(shù)據(jù)傳輸連接的具體實現(xiàn)方法為:將虛擬機(jī)A發(fā)送的數(shù)據(jù)傳輸請求中攜帶的待傳輸數(shù)據(jù)信息寫入該傳輸媒介,并觸發(fā)用于虛擬機(jī)A向虛擬機(jī)B傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件(可采用現(xiàn)有虛擬化底層技術(shù)實現(xiàn))�,虛擬機(jī)B獲知該數(shù)據(jù)傳輸事件后從該傳輸媒介中讀取待傳輸數(shù)據(jù)信息,從而使得虛擬機(jī)A和虛擬機(jī)B之間建立起數(shù)據(jù)傳輸連接(也即虛擬機(jī)A和虛擬機(jī)B通過該傳輸媒介協(xié)商確定了待傳輸數(shù)據(jù)信息�����,從而形成了邏輯上的數(shù)據(jù)傳輸連接)�����。
[0026]上述傳輸媒介可以為共享內(nèi)存或共享磁盤�,也就是說,宿主機(jī)中的傳輸控制模塊實際上是為本次數(shù)據(jù)傳輸分配了一塊共享內(nèi)存或共享磁盤���,而虛擬機(jī)A利用傳輸媒介向虛擬機(jī)B傳輸數(shù)據(jù)的具體方法為:虛擬機(jī)A先將待傳輸數(shù)據(jù)寫入傳輸媒介����,而后虛擬機(jī)B從傳輸媒介中讀取虛擬機(jī)A寫入的待傳輸數(shù)據(jù)��,從而完成了從虛擬機(jī)A到虛擬機(jī)B的數(shù)據(jù)傳輸過程�。
[0027]上述傳輸媒介也可以是基于消息隊列的虛擬機(jī)間傳輸協(xié)議;宿主機(jī)中的傳輸控制模塊實際上是為本次數(shù)據(jù)傳輸創(chuàng)建了一個適用于虛擬機(jī)間傳輸協(xié)議的消息隊列,將此消息隊列作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?�,虛擬機(jī)A利用傳輸媒介向虛擬機(jī)B傳輸數(shù)據(jù)的具體方法為:虛擬機(jī)A通過虛擬機(jī)間傳輸協(xié)議將待傳輸數(shù)據(jù)寫入消息隊列,而后虛擬機(jī)B從消息隊列中讀取虛擬機(jī)A寫入的待傳輸數(shù)據(jù)�,從而完成了從虛擬機(jī)A到虛擬機(jī)B的數(shù)據(jù)傳輸過程。
[0028]其中���,在傳輸數(shù)據(jù)之前�,虛擬機(jī)A和虛擬機(jī)B均需獲知傳輸媒介的具體信息�����,例如在傳輸媒介為共享內(nèi)存的情況下����,需要獲知共享內(nèi)存的起始位置�、大小等信息,以便于虛擬機(jī)A和B后續(xù)根據(jù)這些信息對共享內(nèi)存進(jìn)行訪問�。可以由宿主機(jī)中的傳輸控制模塊將傳輸媒介信息通知虛擬機(jī)A和虛擬機(jī)B����,例如,在通知虛擬機(jī)A基于該傳輸媒介向虛擬機(jī)B傳輸數(shù)據(jù)時�����,將該傳輸媒介信息通知虛擬機(jī)A,在利用該傳輸媒介觸發(fā)數(shù)據(jù)傳輸事件以建立虛擬機(jī)A與虛擬機(jī)B之間的數(shù)據(jù)傳輸連接的過程中�����,將該傳輸媒介信息通知給虛擬機(jī)B����。當(dāng)然,宿主機(jī)中的傳輸控制模塊也可以采用其他方法將傳輸媒介信息通知給虛擬機(jī)A和B���,不屬于本發(fā)明的重點(diǎn)��,不再贅述����。
[0029]在本發(fā)明實施例中�,可以進(jìn)一步對虛擬機(jī)A向虛擬機(jī)B傳輸數(shù)據(jù)進(jìn)行控制,例如�����,允許/禁止符合某些特性的數(shù)據(jù)的傳輸���,為此����,可以預(yù)先配置審計策略,當(dāng)宿主機(jī)中的傳輸控制模塊截獲到虛擬機(jī)A發(fā)往虛擬機(jī)B的數(shù)據(jù)傳輸請求時�,獲取待傳輸數(shù)據(jù)信息,根據(jù)審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計�����,確定是否允許傳輸待傳輸數(shù)據(jù)�����,允許則再執(zhí)行創(chuàng)建相應(yīng)的傳輸媒介等操作�,禁止則可直接通知虛擬機(jī)A取消本次數(shù)據(jù)傳輸。
[0030]實際上���,還可以對圖1所示傳輸系統(tǒng)進(jìn)行擴(kuò)展���,利用一臺審計服務(wù)器實現(xiàn)對多臺宿主機(jī)中虛擬機(jī)間數(shù)據(jù)傳輸?shù)目刂?����,具體如圖4所示�����,配置一臺審計服務(wù)器,該審計服務(wù)器同時連接到多臺宿主機(jī)�,任意一臺宿主機(jī)中的虛擬機(jī)間需要進(jìn)行數(shù)據(jù)傳輸時,該宿主機(jī)中的傳輸控制模塊將待傳輸數(shù)據(jù)信息發(fā)送到審計服務(wù)器進(jìn)行審計�����,并根據(jù)審計結(jié)果確定是否允許該次數(shù)據(jù)傳輸或禁止該次數(shù)據(jù)傳輸���。
[0031]上述審計服務(wù)器包括但不局限于計算機(jī)��、平板電腦���、手機(jī)、智能電視等電子設(shè)備�����。在實際實現(xiàn)中���,審計服務(wù)器中可配置策略配置模塊和傳輸審計模塊��,其中���,策略配置模塊����,用于為傳輸審計模塊提供各種審計策略���。傳輸審計模塊�����,用于與傳輸控制模塊通信���,接收待傳輸數(shù)據(jù)信息,并利用策略配置模塊提供的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計����,并返回審計結(jié)果。進(jìn)一步地����,為了便于管理,傳輸審計模塊還可以為管理員提供數(shù)據(jù)審計的可視化管理界面���。
[0032]在實際應(yīng)用中��,審計策略可以根據(jù)需求設(shè)定��,例如可以為基于用戶級別的審計策略����、基于部門級別的審計策略�����、基于文件類型(包括應(yīng)用程序�、word文檔、視頻���、音頻��、圖片等)的審計策略���、基于虛擬機(jī)類型(如:windows虛擬機(jī)、Iinux虛擬機(jī)��,或者內(nèi)網(wǎng)虛擬機(jī)��、夕卜網(wǎng)虛擬機(jī))的審計策略等��。以下以上述幾種審計策略為例,對具體的審計方法進(jìn)行說明�����,其中�����,
[0033]當(dāng)審計策略為基于用戶級別的審計策略時�,審計策略包括:每個用戶的用戶信息及該用戶對應(yīng)的訪問規(guī)則,所述訪問規(guī)則包括:禁止傳輸�����、允許傳輸;相應(yīng)地�,待傳輸數(shù)據(jù)信息中應(yīng)包括用戶信息。這樣�����,審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時��,可以用待傳輸數(shù)據(jù)信息中的用戶信息匹配審計策略中的各用戶信息�,成功匹配到一條用戶信息后,根據(jù)該用戶對應(yīng)的訪問規(guī)則確定審計結(jié)果:若匹配成功的用戶對應(yīng)的訪問規(guī)則為禁止傳輸���,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的用戶對應(yīng)的訪問規(guī)則為允許傳輸����,則將允許數(shù)據(jù)傳輸作為審計結(jié)果。
[0034]當(dāng)審計策略為基于部門級別的審計策略時���,審計策略包括:每個部門的部門信息及該部門對應(yīng)的訪問規(guī)則����,所述訪問規(guī)則包括:禁止傳輸、允許傳輸;相應(yīng)地����,待傳輸數(shù)據(jù)信息中應(yīng)包括部門信息(也即發(fā)起該數(shù)據(jù)傳輸過程的用戶所屬的部門信息)。這樣�,審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時����,可以用待傳輸數(shù)據(jù)信息中的部門信息匹配審計策略中的各部門信息,成功匹配到一條部門信息后�,根據(jù)該部門對應(yīng)的訪問規(guī)則確定審計結(jié)果:若匹配成功的部門對應(yīng)的訪問規(guī)則為禁止傳輸�����,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的部門對應(yīng)的訪問規(guī)則為允許傳輸,則將允許數(shù)據(jù)傳輸作為審計結(jié)果O
[0035]當(dāng)審計策略為基于文件類型的審計策略時����,審計策略包括:文件類型信息及該類型文件對應(yīng)的訪問規(guī)則,所述訪問規(guī)則包括禁止傳輸、允許傳輸;相應(yīng)地����,待傳輸數(shù)據(jù)信息應(yīng)包括文件類型信息。這樣,審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時,可以用待傳輸數(shù)據(jù)信息中的文件類型信息匹配審計策略中的各文件類型信息,成功匹配到一條文件類型信息后,根據(jù)該類型文件對應(yīng)的訪問規(guī)則確定審計結(jié)果:若匹配成功的文件類型對應(yīng)的訪問規(guī)則為禁止傳輸����,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為允許傳輸���,則將允許數(shù)據(jù)傳輸作為審計結(jié)果�����。
[0036]當(dāng)審計策略為基于虛擬機(jī)類型的審計策略時�����,審計策略包括:虛擬機(jī)類型信息及該類型虛擬機(jī)對應(yīng)的訪問規(guī)則��,所述訪問規(guī)則包括禁止傳輸����、允許傳輸��,相應(yīng)地�����,待傳輸數(shù)據(jù)信息應(yīng)包括虛擬機(jī)類型信息����。這樣�,審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時:用待傳輸數(shù)據(jù)信息中的虛擬機(jī)類型信息匹配審計策略中的各虛擬機(jī)類型信息,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為禁止傳輸���,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為允許傳輸,則將允許數(shù)據(jù)傳輸作為審計結(jié)果O
[0037]下面以一個具體應(yīng)用場景����,對本發(fā)明的虛擬機(jī)間數(shù)據(jù)傳輸?shù)膶崿F(xiàn)過程進(jìn)行說明��。本發(fā)明的一種典型應(yīng)用場景是一些涉密單位為防止內(nèi)部數(shù)據(jù)泄露�����,常常將計算機(jī)設(shè)置為禁止訪問外網(wǎng),同時又為了讓員工訪問外網(wǎng)而額外配置外網(wǎng)計算機(jī),結(jié)果導(dǎo)致單位雖然付出了雙倍的成本,卻使得外網(wǎng)計算機(jī)向內(nèi)網(wǎng)計算機(jī)傳輸數(shù)據(jù)變得很不方便。
[0038]本發(fā)明可以很好的解決該應(yīng)用場景遇到的問題����。
[0039]對于該場景,本發(fā)明對虛擬機(jī)進(jìn)行網(wǎng)絡(luò)隔離�����,將虛擬機(jī)分為內(nèi)網(wǎng)虛擬機(jī)和外網(wǎng)虛擬機(jī)���。內(nèi)網(wǎng)虛擬機(jī)只能訪問內(nèi)網(wǎng)局域網(wǎng)���,外網(wǎng)虛擬機(jī)只能訪問外網(wǎng)因特網(wǎng),這樣保證兩臺虛擬機(jī)在網(wǎng)絡(luò)上隔離��,不能通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸��。同時利用本發(fā)明提供的數(shù)據(jù)傳輸方法使得外網(wǎng)虛擬機(jī)可以向內(nèi)網(wǎng)虛擬機(jī)進(jìn)行單向數(shù)據(jù)傳輸����,內(nèi)網(wǎng)虛擬機(jī)可以向外網(wǎng)虛擬機(jī)進(jìn)行受控數(shù)據(jù)傳輸����。
[0040]其中����,對網(wǎng)絡(luò)隔離的【具體實施方式】如圖5所示:
[0041]內(nèi)網(wǎng)虛擬機(jī)和外網(wǎng)虛擬機(jī)均通過前端網(wǎng)絡(luò)驅(qū)動和特權(quán)虛擬機(jī)上的后端網(wǎng)絡(luò)驅(qū)動保持通信���。
[0042]對于內(nèi)網(wǎng)虛擬機(jī)�����,后端網(wǎng)絡(luò)驅(qū)動是橋接在網(wǎng)橋上���,該橋接網(wǎng)橋具有二層鏈路層的包轉(zhuǎn)發(fā)功能�,這樣內(nèi)網(wǎng)虛擬機(jī)等同于直接連接局域網(wǎng)環(huán)境�����,與局域網(wǎng)上的其他計算機(jī)具有同網(wǎng)段的ip��。
[0043]對于外網(wǎng)虛擬機(jī)����,后端網(wǎng)絡(luò)驅(qū)動通過NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)方式連接在網(wǎng)橋上,網(wǎng)橋為外網(wǎng)虛擬機(jī)提供NAT子網(wǎng)的ip��。外網(wǎng)虛擬機(jī)上的包將在三層網(wǎng)絡(luò)層被NAT網(wǎng)橋轉(zhuǎn)發(fā)到橋接網(wǎng)橋上�,這樣局域網(wǎng)網(wǎng)段的計算機(jī)就無法訪問NAT子網(wǎng)的虛擬機(jī)����。
[0044]通過上述方式,內(nèi)網(wǎng)虛擬機(jī)可以訪問內(nèi)網(wǎng)網(wǎng)段和外網(wǎng)���,但是無法訪問NAT子網(wǎng)的虛擬機(jī);外網(wǎng)虛擬機(jī)還能訪問外網(wǎng)和內(nèi)網(wǎng)網(wǎng)段����。
[0045]為了實現(xiàn)內(nèi)網(wǎng)虛擬機(jī)只能訪問內(nèi)網(wǎng)網(wǎng)段不能上外網(wǎng)����,外網(wǎng)虛擬機(jī)只能上外網(wǎng)無法訪問內(nèi)網(wǎng)網(wǎng)段,還需要在橋接網(wǎng)橋上添加如下iptab I es規(guī)則:
[0046]a.對于外網(wǎng)虛擬機(jī)�,只允許其通過網(wǎng)關(guān)訪問外網(wǎng),發(fā)向內(nèi)網(wǎng)網(wǎng)段的包都丟棄����;
[0047]b.對于內(nèi)網(wǎng)虛擬機(jī),只允許其訪問內(nèi)網(wǎng)網(wǎng)段���,除此外的包都被丟棄�。
[0048]通過上述方式則可以將虛擬機(jī)進(jìn)行網(wǎng)絡(luò)隔離,分成了內(nèi)網(wǎng)虛擬機(jī)和外網(wǎng)虛擬機(jī)��,但用戶可能同時使用windows和Iinux操作系統(tǒng)��,windows又分為辦公用外網(wǎng)虛擬機(jī)����、家用的外網(wǎng)虛擬機(jī)和辦公用的內(nèi)網(wǎng)虛擬機(jī),I inux可能是一臺開發(fā)用的內(nèi)網(wǎng)虛擬機(jī)�。這樣虛擬機(jī)間的數(shù)據(jù)傳輸控制包括四種情況:
[0049]第一種:外網(wǎng)虛擬機(jī)向內(nèi)網(wǎng)虛擬機(jī)傳輸數(shù)據(jù),可以設(shè)置允許用戶直接傳輸:宿主機(jī)中的傳輸控制模塊截獲到數(shù)據(jù)傳輸請求并確定數(shù)據(jù)傳輸?shù)陌l(fā)送者為外網(wǎng)虛擬機(jī)����,而接收者為內(nèi)網(wǎng)虛擬機(jī)時,不發(fā)送到審計服務(wù)器進(jìn)行審計����,允許直接傳輸。
[0050]第二種:內(nèi)網(wǎng)虛擬機(jī)向外網(wǎng)虛擬機(jī)傳輸數(shù)據(jù)�,可以設(shè)置成受控傳輸,宿主機(jī)中的傳輸控制模塊截獲到數(shù)據(jù)傳輸請求并確定數(shù)據(jù)傳輸?shù)陌l(fā)送者為內(nèi)網(wǎng)虛擬機(jī)����,而接收者為外網(wǎng)虛擬機(jī)時�,將待傳輸數(shù)據(jù)信息發(fā)送到審計服務(wù)器����,審計服務(wù)器完成審計后將審計結(jié)果反饋給傳輸控制模塊,根據(jù)審計結(jié)果確定允許數(shù)據(jù)傳輸或禁止數(shù)據(jù)傳輸����。
[0051]第三種:外網(wǎng)虛擬機(jī)向外網(wǎng)虛擬機(jī)傳輸數(shù)據(jù)�����,可以設(shè)置允許用戶直接傳輸�,宿主機(jī)中的傳輸控制模塊截獲到數(shù)據(jù)傳輸請求并確定數(shù)據(jù)傳輸?shù)陌l(fā)送者為外網(wǎng)虛擬機(jī),而接收者為外網(wǎng)虛擬機(jī)時��,不發(fā)送到審計服務(wù)器進(jìn)行審計��,允許直接傳輸����。
[0052]第四種:內(nèi)網(wǎng)虛擬機(jī)向內(nèi)網(wǎng)虛擬機(jī)傳輸數(shù)據(jù)�,設(shè)置成允許用戶直接傳輸,宿主機(jī)中的傳輸控制模塊截獲到數(shù)據(jù)傳輸請求并確定數(shù)據(jù)傳輸?shù)陌l(fā)送者為外網(wǎng)虛擬機(jī)����,而接收者為外網(wǎng)虛擬機(jī)時���,不發(fā)送到審計服務(wù)器進(jìn)行審計,允許直接傳輸�����。
[0053]以上對本發(fā)明用于虛擬機(jī)將數(shù)據(jù)傳輸?shù)姆椒ㄟM(jìn)行了原理性說明�����,基于上述原理����,本發(fā)明提供了一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒ê鸵环N用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng),以下結(jié)合圖6����、圖7進(jìn)行詳細(xì)說明。
[0054]參見圖6��,圖6是本發(fā)明實施例一用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒鞒虉D��,所述各虛擬機(jī)位于同一宿主機(jī)中���,將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)�����,接收方記為第二虛擬機(jī)��,該方法應(yīng)用于所述宿主機(jī)�,如圖6所示,具體包括以下步驟:
[0055]步驟601���、截取第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?��,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接�;
[0056]步驟602��、在第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)��。
[0057]圖6所示本發(fā)明實施例中�,
[0058]所述數(shù)據(jù)傳輸請求攜帶待傳輸數(shù)據(jù)信息;
[0059]截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求之后�,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇橹埃M(jìn)一步包括:將數(shù)據(jù)傳輸請求中的待傳輸數(shù)據(jù)信息發(fā)往審計服務(wù)器����,并接收審計服務(wù)器返回的對待傳輸數(shù)據(jù)信息的審計結(jié)果�,如果審計結(jié)果為允許數(shù)據(jù)傳輸����,則構(gòu)造用于數(shù)據(jù)傳輸?shù)膫鬏斆浇椋绻麑徲嫿Y(jié)果為禁止數(shù)據(jù)傳輸����,則將該審計結(jié)果通知給第一虛擬機(jī),以使第一虛擬機(jī)取消本次數(shù)據(jù)傳輸����。
[0060]圖6所示本發(fā)明實施例中,
[0061 ]審計服務(wù)器中配置有審計策略�����;
[0062]審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計���。
[0063]圖6所示本發(fā)明實施例中���,
[0064]所述待傳輸數(shù)據(jù)信息包括用戶信息;
[0065]所述審計策略包括:每個用戶的用戶信息及該用戶對應(yīng)的訪問規(guī)則,所述訪問規(guī)則包括:禁止傳輸��、允許傳輸���;
[0066]審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的用戶信息匹配審計策略中的各用戶信息���,若匹配成功的用戶對應(yīng)的訪問規(guī)則為禁止傳輸,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果�����,若匹配成功的用戶對應(yīng)的訪問規(guī)則為允許傳輸����,則將允許數(shù)據(jù)傳輸作為審計結(jié)果;
[0067]或者����,
[0068]所述待傳輸數(shù)據(jù)信息包括文件類型信息���;
[0069]所述審計策略包括:文件類型信息及該類型文件對應(yīng)的訪問規(guī)則���,所述訪問規(guī)則包括禁止傳輸、允許傳輸;
[0070]審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的文件類型信息匹配審計策略中的各文件類型信息����,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為禁止傳輸,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果���,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為允許傳輸��,則將允許數(shù)據(jù)傳輸作為審計結(jié)果���;
[0071]或者,
[0072]所述待傳輸數(shù)據(jù)信息包括虛擬機(jī)類型信息�;
[0073]所述審計策略包括:虛擬機(jī)類型信息及該類型虛擬機(jī)對應(yīng)的訪問規(guī)則,所述訪問規(guī)則包括禁止傳輸���、允許傳輸�;
[0074]審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的虛擬機(jī)類型信息匹配審計策略中的各虛擬機(jī)類型信息����,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為禁止傳輸,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果�����,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為允許傳輸,則將允許數(shù)據(jù)傳輸作為審計結(jié)果����。
[0075]圖6所示本發(fā)明實施例中,
[0076]所述傳輸媒介為共享內(nèi)存��;
[0077]構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?分配共享內(nèi)存��,將分配的共享內(nèi)存作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋?br>[0078]或者�����,
[0079]所述傳輸媒介為共享磁盤�����;
[0080]構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?分配共享磁盤����,將分配的共享磁盤作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋?br>[0081]或者,
[0082]所述傳輸媒介為基于消息隊列的虛擬機(jī)間傳輸協(xié)議�����;
[0083]構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?建立消息隊列�����,將建立的消息隊列作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椤?br>[0084]圖6所示本發(fā)明實施例中�����,
[0085]第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)的方法為:第一虛擬機(jī)在接收到所述宿主機(jī)的通知后�,將待傳輸數(shù)據(jù)寫入到該傳輸媒介,第二虛擬機(jī)從該傳輸媒介讀取待傳輸數(shù)據(jù)�����。
[0086]參見圖7���,圖7是本發(fā)明實施例二用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng)架構(gòu)圖���,所述各虛擬機(jī)位于同一宿主機(jī)中,宿主機(jī)中還配置有傳輸控制模塊;將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)��,接收方記為第二虛擬機(jī)�����,其中�����,
[0087]所述第一虛擬機(jī)用于發(fā)送針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求;
[0088]所述宿主機(jī)中的傳輸控制模塊���,用于截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時�����,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?���,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接����,并在第一虛擬機(jī)與第二虛擬機(jī)的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)。
[0089]圖7所示系統(tǒng)還包括審計服務(wù)器��;
[0090]所述數(shù)據(jù)傳輸請求攜帶待傳輸數(shù)據(jù)信息���;
[0091]所述宿主機(jī)中的傳輸控制模塊截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求之后���,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇橹埃M(jìn)一步用于:將數(shù)據(jù)傳輸請求中的待傳輸數(shù)據(jù)信息發(fā)往審計服務(wù)器����,并接收審計服務(wù)器返回的審計結(jié)果,如果審計結(jié)果為允許數(shù)據(jù)傳輸��,則構(gòu)造用于數(shù)據(jù)傳輸?shù)膫鬏斆浇?���,如果審計結(jié)果為禁止數(shù)據(jù)傳輸,則將該審計結(jié)果通知給第一虛擬機(jī)����,以使第一虛擬機(jī)取消本次數(shù)據(jù)傳輸;
[0092]所述審計服務(wù)器���,用于接收宿主機(jī)中的傳輸控制模塊發(fā)來的待傳輸數(shù)據(jù)信息�����,對待傳輸數(shù)據(jù)進(jìn)行審計��,并將審計結(jié)果返回給宿主機(jī)中的傳輸控制模塊�。
[0093]圖7所示系統(tǒng)中��,
[0094]所述審計服務(wù)器中配置有審計策略����;
[0095]所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計�。
[0096]圖7所示系統(tǒng)中���,
[0097]所述待傳輸數(shù)據(jù)信息包括用戶信息����;
[0098]所述審計策略包括:每個用戶的用戶信息及該用戶對應(yīng)的訪問規(guī)則����,所述訪問規(guī)則包括:禁止傳輸、允許傳輸�����;
[0099]所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時����,用于:用待傳輸數(shù)據(jù)信息中的用戶信息匹配審計策略中的各用戶信息,若匹配成功的用戶對應(yīng)的訪問規(guī)則為禁止傳輸�,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的用戶對應(yīng)的訪問規(guī)則為允許傳輸��,則將允許數(shù)據(jù)傳輸作為審計結(jié)果;
[0100]或者�,
[0101 ]所述待傳輸數(shù)據(jù)信息包括文件類型信息;
[0102]所述審計策略包括:文件類型信息及該類型文件對應(yīng)的訪問規(guī)則���,所述訪問規(guī)則包括禁止傳輸、允許傳輸�����;
[0103]所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時����,用于:用待傳輸數(shù)據(jù)信息中的文件類型信息匹配審計策略中的各文件類型信息,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為禁止傳輸����,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為允許傳輸����,則將允許數(shù)據(jù)傳輸作為審計結(jié)果;
[0104]或者���,
[0105]所述待傳輸數(shù)據(jù)信息包括虛擬機(jī)類型信息�;
[0106]所述審計策略包括:虛擬機(jī)類型信息及該類型虛擬機(jī)對應(yīng)的訪問規(guī)則�,所述訪問規(guī)則包括禁止傳輸�、允許傳輸����;
[0107]所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時,用于:用待傳輸數(shù)據(jù)信息中的虛擬機(jī)類型信息匹配審計策略中的各虛擬機(jī)類型信息���,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為禁止傳輸�,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果�����,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為允許傳輸�,則將允許數(shù)據(jù)傳輸作為審計結(jié)果。
[0108]圖7所示系統(tǒng)中�����,
[0109]所述傳輸媒介為共享內(nèi)存�;
[0110]所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r,用于:分配共享內(nèi)存�,將分配的共享內(nèi)存作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋?br>[0111]或者,
[0112]所述傳輸媒介為共享磁盤���;
[0113]所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r����,用于:分配共享磁盤,將分配的共享磁盤作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋?br>[0114]或者��,
[0115]所述傳輸媒介為基于消息隊列的虛擬機(jī)間傳輸協(xié)議�����;
[0116]所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r����,用于:建立消息隊列����,將建立的消息隊列作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椤?br>[0117]圖7所示系統(tǒng)中,
[0118]第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)的方法為:第一虛擬機(jī)在接收到所述宿主機(jī)中的傳輸控制模塊的通知后����,將待傳輸數(shù)據(jù)存儲到該傳輸媒介,第二虛擬機(jī)從該傳輸媒介讀取待傳輸數(shù)據(jù)�����。
[0119]本發(fā)明的一個技術(shù)效果是用戶可以在虛擬機(jī)間復(fù)制/粘貼字符串或文件,就如同在一臺計算機(jī)內(nèi)執(zhí)行復(fù)制/粘貼操作一樣方便透明��,無跨虛擬機(jī)感知���。具體實現(xiàn)過程為:用戶在虛擬機(jī)之間執(zhí)行拷貝/粘貼操作時���,觸發(fā)數(shù)據(jù)所在虛擬機(jī)發(fā)起數(shù)據(jù)傳輸請求,并在宿主機(jī)中的傳輸控制模塊為其創(chuàng)建傳輸媒介后�����,將拷貝的數(shù)據(jù)寫入傳輸媒介����,粘貼數(shù)據(jù)的目標(biāo)虛擬機(jī)從傳輸媒介中讀取數(shù)據(jù)并粘貼到相應(yīng)位置。此過程在用戶看來僅是一次普通的拷貝/粘貼操作����,但實現(xiàn)過程則是虛擬機(jī)間的一次數(shù)據(jù)傳輸過程。
[0120]以上所述僅為本發(fā)明的較佳實施例而已����,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi)����,所做的任何修改����、等同替換����、改進(jìn)等,均應(yīng)包含在本發(fā)明保護(hù)的范圍之內(nèi)�����。
【主權(quán)項】
1.一種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)姆椒?��,其特征在于,所述各虛擬機(jī)位于同一宿主機(jī)中��,將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)����,接收方記為第二虛擬機(jī),該方法應(yīng)用于所述宿主機(jī)���,包括: 截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時���,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?���,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接�,并在第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于�����, 所述數(shù)據(jù)傳輸請求攜帶待傳輸數(shù)據(jù)信息���; 截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求之后,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇橹?����,進(jìn)一步包括:將數(shù)據(jù)傳輸請求中的待傳輸數(shù)據(jù)信息發(fā)往審計服務(wù)器��,并接收審計服務(wù)器返回的對待傳輸數(shù)據(jù)信息的審計結(jié)果�,如果審計結(jié)果為允許數(shù)據(jù)傳輸,則構(gòu)造用于數(shù)據(jù)傳輸?shù)膫鬏斆浇?��,如果審計結(jié)果為禁止數(shù)據(jù)傳輸�����,則將該審計結(jié)果通知給第一虛擬機(jī)����,以使第一虛擬機(jī)取消本次數(shù)據(jù)傳輸。3.根據(jù)權(quán)利要求2所述的方法�,其特征在于, 審計服務(wù)器中配置有審計策略�; 審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計。4.根據(jù)權(quán)利要求3所述的方法�,其特征在于, 所述待傳輸數(shù)據(jù)信息包括用戶信息���; 所述審計策略包括:每個用戶的用戶信息及該用戶對應(yīng)的訪問規(guī)則�����,所述訪問規(guī)則包括:禁止傳輸、允許傳輸�����; 審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的用戶信息匹配審計策略中的各用戶信息,若匹配成功的用戶對應(yīng)的訪問規(guī)則為禁止傳輸�����,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果���,若匹配成功的用戶對應(yīng)的訪問規(guī)則為允許傳輸�,則將允許數(shù)據(jù)傳輸作為審計結(jié)果��; 或者�, 所述待傳輸數(shù)據(jù)信息包括文件類型信息; 所述審計策略包括:文件類型信息及該類型文件對應(yīng)的訪問規(guī)則��,所述訪問規(guī)則包括禁止傳輸����、允許傳輸; 審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的文件類型信息匹配審計策略中的各文件類型信息��,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為禁止傳輸��,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果����,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為允許傳輸�,則將允許數(shù)據(jù)傳輸作為審計結(jié)果�����; 或者��, 所述待傳輸數(shù)據(jù)信息包括虛擬機(jī)類型信息�����; 所述審計策略包括:虛擬機(jī)類型信息及該類型虛擬機(jī)對應(yīng)的訪問規(guī)則���,所述訪問規(guī)則包括禁止傳輸�����、允許傳輸�����; 審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計的方法為:用待傳輸數(shù)據(jù)信息中的虛擬機(jī)類型信息匹配審計策略中的各虛擬機(jī)類型信息�����,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為禁止傳輸���,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為允許傳輸�����,則將允許數(shù)據(jù)傳輸作為審計結(jié)果��。5.根據(jù)權(quán)利要求1所述的方法�,其特征在于, 所述傳輸媒介為共享內(nèi)存�����; 構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?分配共享內(nèi)存����,將分配的共享內(nèi)存作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋? 或者, 所述傳輸媒介為共享磁盤�; 構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?分配共享磁盤,將分配的共享磁盤作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋? 或者�����, 所述傳輸媒介為基于消息隊列的虛擬機(jī)間傳輸協(xié)議; 構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇榈姆椒?建立消息隊列�����,將建立的消息隊列作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椤?.根據(jù)權(quán)利要求1或5所述的方法��,其特征在于�����, 第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)的方法為:第一虛擬機(jī)在接收到所述宿主機(jī)的通知后�,將待傳輸數(shù)據(jù)寫入到該傳輸媒介,第二虛擬機(jī)從該傳輸媒介讀取待傳輸數(shù)據(jù)����。7.—種用于虛擬機(jī)間數(shù)據(jù)傳輸?shù)南到y(tǒng),其特征在于�����,所述各虛擬機(jī)位于同一宿主機(jī)中�,宿主機(jī)中還配置有傳輸控制模塊,將執(zhí)行數(shù)據(jù)傳輸?shù)膬膳_虛擬機(jī)中的發(fā)送方記為第一虛擬機(jī)�����,接收方記為第二虛擬機(jī),該系統(tǒng)包括第一虛擬機(jī)��、第二虛擬機(jī)�����、宿主機(jī)中的傳輸控制模塊���; 所述第一虛擬機(jī)用于發(fā)送針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求; 所述宿主機(jī)中的傳輸控制模塊����,用于截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求時,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇?�,利用該傳輸媒介觸發(fā)用于第一虛擬機(jī)向第二虛擬機(jī)傳輸數(shù)據(jù)的數(shù)據(jù)傳輸事件以建立第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接���,并在第一虛擬機(jī)與第二虛擬機(jī)之間的數(shù)據(jù)傳輸連接建立后通知第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)����。8.根據(jù)權(quán)利要求7所述的系統(tǒng)�,其特征在于,該系統(tǒng)還包括審計服務(wù)器�; 所述數(shù)據(jù)傳輸請求攜帶待傳輸數(shù)據(jù)信息; 所述宿主機(jī)中的傳輸控制模塊截取到第一虛擬機(jī)發(fā)送的針對第二虛擬機(jī)的數(shù)據(jù)傳輸請求之后,構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇橹?����,進(jìn)一步用于:將數(shù)據(jù)傳輸請求中的待傳輸數(shù)據(jù)信息發(fā)往審計服務(wù)器�����,并接收審計服務(wù)器返回的審計結(jié)果����,如果審計結(jié)果為允許數(shù)據(jù)傳輸,則構(gòu)造用于數(shù)據(jù)傳輸?shù)膫鬏斆浇?����,如果審計結(jié)果為禁止數(shù)據(jù)傳輸��,則將該審計結(jié)果通知給第一虛擬機(jī)�,以使第一虛擬機(jī)取消本次數(shù)據(jù)傳輸; 所述審計服務(wù)器����,用于接收宿主機(jī)中的傳輸控制模塊發(fā)來的待傳輸數(shù)據(jù)信息,對待傳輸數(shù)據(jù)進(jìn)行審計�,并將審計結(jié)果返回給宿主機(jī)中的傳輸控制模塊��。9.根據(jù)權(quán)利要求8所述的系統(tǒng)�����,其特征在于����, 所述審計服務(wù)器中配置有審計策略�����; 所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計��。10.根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于��, 所述待傳輸數(shù)據(jù)信息包括用戶信息�����; 所述審計策略包括:每個用戶的用戶信息及該用戶對應(yīng)的訪問規(guī)則�����,所述訪問規(guī)則包括:禁止傳輸、允許傳輸���; 所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時�����,用于:用待傳輸數(shù)據(jù)信息中的用戶信息匹配審計策略中的各用戶信息��,若匹配成功的用戶對應(yīng)的訪問規(guī)則為禁止傳輸��,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果��,若匹配成功的用戶對應(yīng)的訪問規(guī)則為允許傳輸���,則將允許數(shù)據(jù)傳輸作為審計結(jié)果; 或者�����, 所述待傳輸數(shù)據(jù)信息包括文件類型信息���; 所述審計策略包括:文件類型信息及該類型文件對應(yīng)的訪問規(guī)則��,所述訪問規(guī)則包括禁止傳輸�、允許傳輸; 所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時�����,用于:用待傳輸數(shù)據(jù)信息中的文件類型信息匹配審計策略中的各文件類型信息��,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為禁止傳輸�����,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果����,若匹配成功的文件類型對應(yīng)的訪問規(guī)則為允許傳輸�,則將允許數(shù)據(jù)傳輸作為審計結(jié)果; 或者����, 所述待傳輸數(shù)據(jù)信息包括虛擬機(jī)類型信息; 所述審計策略包括:虛擬機(jī)類型信息及該類型虛擬機(jī)對應(yīng)的訪問規(guī)則��,所述訪問規(guī)則包括禁止傳輸����、允許傳輸����; 所述審計服務(wù)器根據(jù)配置的審計策略對待傳輸數(shù)據(jù)信息進(jìn)行審計時�,用于:用待傳輸數(shù)據(jù)信息中的虛擬機(jī)類型信息匹配審計策略中的各虛擬機(jī)類型信息,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為禁止傳輸�,則將禁止數(shù)據(jù)傳輸作為審計結(jié)果,若匹配成功的虛擬機(jī)類型對應(yīng)的訪問規(guī)則為允許傳輸�,則將允許數(shù)據(jù)傳輸作為審計結(jié)果。11.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于, 所述傳輸媒介為共享內(nèi)存�����; 所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r���,用于:分配共享內(nèi)存����,將分配的共享內(nèi)存作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋? 或者��, 所述傳輸媒介為共享磁盤����; 所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r,用于:分配共享磁盤����,將分配的共享磁盤作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椋? 或者, 所述傳輸媒介為基于消息隊列的虛擬機(jī)間傳輸協(xié)議����; 所述宿主機(jī)中的傳輸控制模塊構(gòu)造用于本次數(shù)據(jù)傳輸?shù)膫鬏斆浇闀r,用于:建立消息隊列�����,將建立的消息隊列作為本次數(shù)據(jù)傳輸?shù)膫鬏斆浇椤?2.根據(jù)權(quán)利要求7或11所述的系統(tǒng)��,其特征在于��, 第一虛擬機(jī)基于該傳輸媒介向第二虛擬機(jī)傳輸數(shù)據(jù)的方法為:第一虛擬機(jī)在接收到所述宿主機(jī)中的傳輸控制模塊的通知后���,將待傳輸數(shù)據(jù)寫入到該傳輸媒介,第二虛擬機(jī)從該傳輸媒介讀取待傳輸數(shù)據(jù)��。
【文檔編號】G06F9/54GK106020997SQ201610318167
【公開日】2016年10月12日
【申請日】2016年5月13日
【發(fā)明人】馬彥青, 張瑞, 張玉昆
【申請人】北京紅山世紀(jì)科技有限公司