一種用于虛擬機間數據傳輸的方法和系統的制作方法
【專利摘要】本發明提供了一種用于虛擬機間數據傳輸的方法和系統，所述各虛擬機位于同一宿主機中，將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，技術方案為：所述宿主機截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，并通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。本發明能夠降低成本，減少資源浪費，提高數據傳輸可控性。
【專利說明】
一種用于虛擬機間數據傳輸的方法和系統
技術領域
[0001]本發明涉及計算機技術領域，特別涉及一種用于虛擬機間數據傳輸的方法和系統。
【背景技術】
[0002]在一些涉密單位，為了防止單位內部數據泄露，常常禁止掉辦公機的外網訪問權限，但由于員工有時需要訪問外網查詢資料或對外發送郵件，所以又會為員工配置一臺能訪問外網的辦公機，也有的是讓員工共享幾臺外網機。
[0003]內網機和外網機分離可以在一定程度上防止泄密，但是也帶來了諸多不便，例如，外網機和內網機間同步數據往往靠移動存儲設備(如u盤)或者光盤，使得員工拷貝數據不方便，降低了員工工作效率，特別是在使用光盤拷貝數據時每次刻錄都會造成光盤浪費。另一方面，內網機和外網機分離，由于需要額外為員工配置能夠訪問外網的辦公機或共享的外網機，成本較高且機器利用率低，造成資源浪費。

【發明內容】

[0004]有鑒于此，本發明的目的在于提供一種用于虛擬機間數據傳輸的方法和系統，能夠降低成本，減少資源浪費，提高數據傳輸可控性。
[0005]為了達到上述目的，本發明提供了如下技術方案:
[0006]—種用于虛擬機間數據傳輸的方法，所述各虛擬機位于同一宿主機中，將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，該方法應用于所述宿主機，包括:
[0007]截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接，并在第一虛擬機與第二虛擬機之間的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。
[0008]—種用于虛擬機間數據傳輸的系統，所述各虛擬機位于同一宿主機中，所述宿主機中還配置有傳輸控制模塊;將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，該系統包括第一虛擬機、第二虛擬機、宿主機中的傳輸控制模塊；
[0009]所述第一虛擬機用于向宿主機發送針對第二虛擬機的數據傳輸請求；
[0010]所述宿主機的傳輸控制模塊，用于截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接，并在第一虛擬機與第二虛擬機之間的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。
[0011]由上面的技術方案可知，本發明中，當共用同一宿主機的兩臺虛擬機之間需要進行數據傳輸時，通過在宿主機中為本次數據傳輸分配一個傳輸媒介，使得兩臺虛擬機僅利用該傳輸媒介就可以實現數據傳輸，不需要使用額外的光盤或移動存儲設備就可以實現虛擬機間的數據傳輸，因而可以降低成本，減少資源浪費，提高數據傳輸可控性。
【附圖說明】
[0012]圖1是本發明實施例用于虛擬機間數據傳輸的系統架構圖；
[0013]圖2是本發明實施例在宿主機的虛擬化引擎內部設置傳輸控制模塊示意圖；
[0014]圖3是本發明實施例在宿主機的特權虛擬機內部設置傳輸控制模塊示意圖；
[0015]圖4是本發明實施例用于虛擬機間數據傳輸的系統的擴展架構圖；
[0016]圖5是本發明實施例具體應用場景示意圖；
[0017]圖6是本發明實施例一用于虛擬機間數據傳輸的方法流程圖；
[0018]圖7是本發明實施例二用于虛擬機間數據傳輸的系統架構圖。
【具體實施方式】
[0019]為了使本發明的目的、技術方案及優點更加清楚明白，下面結合附圖并據實施例，對本發明的技術方案進行詳細說明。
[0020]參見圖1，圖1是本發明實施例用于虛擬機間數據傳輸的系統架構圖，其中，虛擬機A、虛擬機B位于同一宿主機內，宿主機內配置有一傳輸控制模塊，該傳輸控制模塊用于控制虛擬機A和虛擬機B之間的數據傳輸。
[0021]在本發明實施例中，宿主機是一臺具有虛擬化能力的計算設備，包括但不限于PC機、服務器、工作站和平板電腦等電子設備。
[0022]在不同的虛擬化引擎(如Xen、KVM、VirtualBox等)架構中，有的架構將設備管理權交給特權虛擬機，有的架構則由虛擬化引擎直接管理設備。本發明中，對于宿主機中傳輸控制模塊所在的位置不做具體限制，既可以位于宿主機的虛擬化引擎內部(如圖2所示)，也可位于宿主機上層的特權虛擬機內部(如圖3所示)。
[0023]在本發明實施例中，虛擬機A和虛擬機B之間需要傳輸數據時，宿主機內的傳輸控制模塊會在虛擬化底層構造一傳輸媒介，虛擬機A和虛擬機B利用該傳輸媒介實現數據傳輸。
[0024]以虛擬機A向虛擬機B傳輸數據為例，數據傳輸過程如下:
[0025]虛擬機A向虛擬機B發送數據傳輸請求，宿主機中的傳輸控制模塊截獲到該數據傳輸請求后，為本次數據傳輸在虛擬化底層構造傳輸媒介;然后利用該傳輸媒介觸發用于虛擬機A向虛擬機B傳輸數據的數據傳輸事件以建立虛擬機A與虛擬機B之間的數據傳輸連接；接著通知虛擬機A基于該傳輸媒介向虛擬機B傳輸數據;最后虛擬機A從本地讀取待傳輸數據(例如字符串或文件等數據)，并利用該傳輸媒介向虛擬機B傳輸數據。其中，利用該傳輸媒介觸發數據傳輸事件以建立虛擬機A與虛擬機B之間的數據傳輸連接的具體實現方法為:將虛擬機A發送的數據傳輸請求中攜帶的待傳輸數據信息寫入該傳輸媒介，并觸發用于虛擬機A向虛擬機B傳輸數據的數據傳輸事件(可采用現有虛擬化底層技術實現)，虛擬機B獲知該數據傳輸事件后從該傳輸媒介中讀取待傳輸數據信息，從而使得虛擬機A和虛擬機B之間建立起數據傳輸連接(也即虛擬機A和虛擬機B通過該傳輸媒介協商確定了待傳輸數據信息，從而形成了邏輯上的數據傳輸連接)。
[0026]上述傳輸媒介可以為共享內存或共享磁盤，也就是說，宿主機中的傳輸控制模塊實際上是為本次數據傳輸分配了一塊共享內存或共享磁盤，而虛擬機A利用傳輸媒介向虛擬機B傳輸數據的具體方法為:虛擬機A先將待傳輸數據寫入傳輸媒介，而后虛擬機B從傳輸媒介中讀取虛擬機A寫入的待傳輸數據，從而完成了從虛擬機A到虛擬機B的數據傳輸過程。
[0027]上述傳輸媒介也可以是基于消息隊列的虛擬機間傳輸協議;宿主機中的傳輸控制模塊實際上是為本次數據傳輸創建了一個適用于虛擬機間傳輸協議的消息隊列，將此消息隊列作為本次數據傳輸的傳輸媒介，虛擬機A利用傳輸媒介向虛擬機B傳輸數據的具體方法為:虛擬機A通過虛擬機間傳輸協議將待傳輸數據寫入消息隊列，而后虛擬機B從消息隊列中讀取虛擬機A寫入的待傳輸數據，從而完成了從虛擬機A到虛擬機B的數據傳輸過程。
[0028]其中，在傳輸數據之前，虛擬機A和虛擬機B均需獲知傳輸媒介的具體信息，例如在傳輸媒介為共享內存的情況下，需要獲知共享內存的起始位置、大小等信息，以便于虛擬機A和B后續根據這些信息對共享內存進行訪問。可以由宿主機中的傳輸控制模塊將傳輸媒介信息通知虛擬機A和虛擬機B，例如，在通知虛擬機A基于該傳輸媒介向虛擬機B傳輸數據時，將該傳輸媒介信息通知虛擬機A，在利用該傳輸媒介觸發數據傳輸事件以建立虛擬機A與虛擬機B之間的數據傳輸連接的過程中，將該傳輸媒介信息通知給虛擬機B。當然，宿主機中的傳輸控制模塊也可以采用其他方法將傳輸媒介信息通知給虛擬機A和B，不屬于本發明的重點，不再贅述。
[0029]在本發明實施例中，可以進一步對虛擬機A向虛擬機B傳輸數據進行控制，例如，允許/禁止符合某些特性的數據的傳輸，為此，可以預先配置審計策略，當宿主機中的傳輸控制模塊截獲到虛擬機A發往虛擬機B的數據傳輸請求時，獲取待傳輸數據信息，根據審計策略對待傳輸數據信息進行審計，確定是否允許傳輸待傳輸數據，允許則再執行創建相應的傳輸媒介等操作，禁止則可直接通知虛擬機A取消本次數據傳輸。
[0030]實際上，還可以對圖1所示傳輸系統進行擴展，利用一臺審計服務器實現對多臺宿主機中虛擬機間數據傳輸的控制，具體如圖4所示，配置一臺審計服務器，該審計服務器同時連接到多臺宿主機，任意一臺宿主機中的虛擬機間需要進行數據傳輸時，該宿主機中的傳輸控制模塊將待傳輸數據信息發送到審計服務器進行審計，并根據審計結果確定是否允許該次數據傳輸或禁止該次數據傳輸。
[0031]上述審計服務器包括但不局限于計算機、平板電腦、手機、智能電視等電子設備。在實際實現中，審計服務器中可配置策略配置模塊和傳輸審計模塊，其中，策略配置模塊，用于為傳輸審計模塊提供各種審計策略。傳輸審計模塊，用于與傳輸控制模塊通信，接收待傳輸數據信息，并利用策略配置模塊提供的審計策略對待傳輸數據信息進行審計，并返回審計結果。進一步地，為了便于管理，傳輸審計模塊還可以為管理員提供數據審計的可視化管理界面。
[0032]在實際應用中，審計策略可以根據需求設定，例如可以為基于用戶級別的審計策略、基于部門級別的審計策略、基于文件類型(包括應用程序、word文檔、視頻、音頻、圖片等)的審計策略、基于虛擬機類型(如:windows虛擬機、Iinux虛擬機，或者內網虛擬機、夕卜網虛擬機)的審計策略等。以下以上述幾種審計策略為例，對具體的審計方法進行說明，其中，
[0033]當審計策略為基于用戶級別的審計策略時，審計策略包括:每個用戶的用戶信息及該用戶對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸;相應地，待傳輸數據信息中應包括用戶信息。這樣，審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，可以用待傳輸數據信息中的用戶信息匹配審計策略中的各用戶信息，成功匹配到一條用戶信息后，根據該用戶對應的訪問規則確定審計結果:若匹配成功的用戶對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的用戶對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。
[0034]當審計策略為基于部門級別的審計策略時，審計策略包括:每個部門的部門信息及該部門對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸;相應地，待傳輸數據信息中應包括部門信息(也即發起該數據傳輸過程的用戶所屬的部門信息)。這樣，審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，可以用待傳輸數據信息中的部門信息匹配審計策略中的各部門信息，成功匹配到一條部門信息后，根據該部門對應的訪問規則確定審計結果:若匹配成功的部門對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的部門對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果O
[0035]當審計策略為基于文件類型的審計策略時，審計策略包括:文件類型信息及該類型文件對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸;相應地，待傳輸數據信息應包括文件類型信息。這樣，審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，可以用待傳輸數據信息中的文件類型信息匹配審計策略中的各文件類型信息，成功匹配到一條文件類型信息后，根據該類型文件對應的訪問規則確定審計結果:若匹配成功的文件類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的文件類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。
[0036]當審計策略為基于虛擬機類型的審計策略時，審計策略包括:虛擬機類型信息及該類型虛擬機對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸，相應地，待傳輸數據信息應包括虛擬機類型信息。這樣，審計服務器根據配置的審計策略對待傳輸數據信息進行審計時:用待傳輸數據信息中的虛擬機類型信息匹配審計策略中的各虛擬機類型信息，若匹配成功的虛擬機類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的虛擬機類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果O
[0037]下面以一個具體應用場景，對本發明的虛擬機間數據傳輸的實現過程進行說明。本發明的一種典型應用場景是一些涉密單位為防止內部數據泄露，常常將計算機設置為禁止訪問外網，同時又為了讓員工訪問外網而額外配置外網計算機，結果導致單位雖然付出了雙倍的成本，卻使得外網計算機向內網計算機傳輸數據變得很不方便。
[0038]本發明可以很好的解決該應用場景遇到的問題。
[0039]對于該場景，本發明對虛擬機進行網絡隔離，將虛擬機分為內網虛擬機和外網虛擬機。內網虛擬機只能訪問內網局域網，外網虛擬機只能訪問外網因特網，這樣保證兩臺虛擬機在網絡上隔離，不能通過網絡進行數據傳輸。同時利用本發明提供的數據傳輸方法使得外網虛擬機可以向內網虛擬機進行單向數據傳輸，內網虛擬機可以向外網虛擬機進行受控數據傳輸。
[0040]其中，對網絡隔離的【具體實施方式】如圖5所示:
[0041]內網虛擬機和外網虛擬機均通過前端網絡驅動和特權虛擬機上的后端網絡驅動保持通信。
[0042]對于內網虛擬機，后端網絡驅動是橋接在網橋上，該橋接網橋具有二層鏈路層的包轉發功能，這樣內網虛擬機等同于直接連接局域網環境，與局域網上的其他計算機具有同網段的ip。
[0043]對于外網虛擬機，后端網絡驅動通過NAT(網絡地址轉換)方式連接在網橋上，網橋為外網虛擬機提供NAT子網的ip。外網虛擬機上的包將在三層網絡層被NAT網橋轉發到橋接網橋上，這樣局域網網段的計算機就無法訪問NAT子網的虛擬機。
[0044]通過上述方式，內網虛擬機可以訪問內網網段和外網，但是無法訪問NAT子網的虛擬機;外網虛擬機還能訪問外網和內網網段。
[0045]為了實現內網虛擬機只能訪問內網網段不能上外網，外網虛擬機只能上外網無法訪問內網網段，還需要在橋接網橋上添加如下iptab I es規則:
[0046]a.對于外網虛擬機，只允許其通過網關訪問外網，發向內網網段的包都丟棄；
[0047]b.對于內網虛擬機，只允許其訪問內網網段，除此外的包都被丟棄。
[0048]通過上述方式則可以將虛擬機進行網絡隔離，分成了內網虛擬機和外網虛擬機，但用戶可能同時使用windows和Iinux操作系統，windows又分為辦公用外網虛擬機、家用的外網虛擬機和辦公用的內網虛擬機，I inux可能是一臺開發用的內網虛擬機。這樣虛擬機間的數據傳輸控制包括四種情況:
[0049]第一種:外網虛擬機向內網虛擬機傳輸數據，可以設置允許用戶直接傳輸:宿主機中的傳輸控制模塊截獲到數據傳輸請求并確定數據傳輸的發送者為外網虛擬機，而接收者為內網虛擬機時，不發送到審計服務器進行審計，允許直接傳輸。
[0050]第二種:內網虛擬機向外網虛擬機傳輸數據，可以設置成受控傳輸，宿主機中的傳輸控制模塊截獲到數據傳輸請求并確定數據傳輸的發送者為內網虛擬機，而接收者為外網虛擬機時，將待傳輸數據信息發送到審計服務器，審計服務器完成審計后將審計結果反饋給傳輸控制模塊，根據審計結果確定允許數據傳輸或禁止數據傳輸。
[0051]第三種:外網虛擬機向外網虛擬機傳輸數據，可以設置允許用戶直接傳輸，宿主機中的傳輸控制模塊截獲到數據傳輸請求并確定數據傳輸的發送者為外網虛擬機，而接收者為外網虛擬機時，不發送到審計服務器進行審計，允許直接傳輸。
[0052]第四種:內網虛擬機向內網虛擬機傳輸數據，設置成允許用戶直接傳輸，宿主機中的傳輸控制模塊截獲到數據傳輸請求并確定數據傳輸的發送者為外網虛擬機，而接收者為外網虛擬機時，不發送到審計服務器進行審計，允許直接傳輸。
[0053]以上對本發明用于虛擬機將數據傳輸的方法進行了原理性說明，基于上述原理，本發明提供了一種用于虛擬機間數據傳輸的方法和一種用于虛擬機間數據傳輸的系統，以下結合圖6、圖7進行詳細說明。
[0054]參見圖6，圖6是本發明實施例一用于虛擬機間數據傳輸的方法流程圖，所述各虛擬機位于同一宿主機中，將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，該方法應用于所述宿主機，如圖6所示，具體包括以下步驟:
[0055]步驟601、截取第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接；
[0056]步驟602、在第一虛擬機與第二虛擬機之間的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。
[0057]圖6所示本發明實施例中，
[0058]所述數據傳輸請求攜帶待傳輸數據信息；
[0059]截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求之后，構造用于本次數據傳輸的傳輸媒介之前，進一步包括:將數據傳輸請求中的待傳輸數據信息發往審計服務器，并接收審計服務器返回的對待傳輸數據信息的審計結果，如果審計結果為允許數據傳輸，則構造用于數據傳輸的傳輸媒介，如果審計結果為禁止數據傳輸，則將該審計結果通知給第一虛擬機，以使第一虛擬機取消本次數據傳輸。
[0060]圖6所示本發明實施例中，
[0061 ]審計服務器中配置有審計策略；
[0062]審計服務器根據配置的審計策略對待傳輸數據信息進行審計。
[0063]圖6所示本發明實施例中，
[0064]所述待傳輸數據信息包括用戶信息；
[0065]所述審計策略包括:每個用戶的用戶信息及該用戶對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸；
[0066]審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的用戶信息匹配審計策略中的各用戶信息，若匹配成功的用戶對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的用戶對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果；
[0067]或者，
[0068]所述待傳輸數據信息包括文件類型信息；
[0069]所述審計策略包括:文件類型信息及該類型文件對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸；
[0070]審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的文件類型信息匹配審計策略中的各文件類型信息，若匹配成功的文件類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的文件類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果；
[0071]或者，
[0072]所述待傳輸數據信息包括虛擬機類型信息；
[0073]所述審計策略包括:虛擬機類型信息及該類型虛擬機對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸；
[0074]審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的虛擬機類型信息匹配審計策略中的各虛擬機類型信息，若匹配成功的虛擬機類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的虛擬機類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。
[0075]圖6所示本發明實施例中，
[0076]所述傳輸媒介為共享內存；
[0077]構造用于本次數據傳輸的傳輸媒介的方法為:分配共享內存，將分配的共享內存作為本次數據傳輸的傳輸媒介；
[0078]或者，
[0079]所述傳輸媒介為共享磁盤；
[0080]構造用于本次數據傳輸的傳輸媒介的方法為:分配共享磁盤，將分配的共享磁盤作為本次數據傳輸的傳輸媒介；
[0081]或者，
[0082]所述傳輸媒介為基于消息隊列的虛擬機間傳輸協議；
[0083]構造用于本次數據傳輸的傳輸媒介的方法為:建立消息隊列，將建立的消息隊列作為本次數據傳輸的傳輸媒介。
[0084]圖6所示本發明實施例中，
[0085]第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據的方法為:第一虛擬機在接收到所述宿主機的通知后，將待傳輸數據寫入到該傳輸媒介，第二虛擬機從該傳輸媒介讀取待傳輸數據。
[0086]參見圖7，圖7是本發明實施例二用于虛擬機間數據傳輸的系統架構圖，所述各虛擬機位于同一宿主機中，宿主機中還配置有傳輸控制模塊;將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，其中，
[0087]所述第一虛擬機用于發送針對第二虛擬機的數據傳輸請求；
[0088]所述宿主機中的傳輸控制模塊，用于截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接，并在第一虛擬機與第二虛擬機的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。
[0089]圖7所示系統還包括審計服務器；
[0090]所述數據傳輸請求攜帶待傳輸數據信息；
[0091]所述宿主機中的傳輸控制模塊截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求之后，構造用于本次數據傳輸的傳輸媒介之前，進一步用于:將數據傳輸請求中的待傳輸數據信息發往審計服務器，并接收審計服務器返回的審計結果，如果審計結果為允許數據傳輸，則構造用于數據傳輸的傳輸媒介，如果審計結果為禁止數據傳輸，則將該審計結果通知給第一虛擬機，以使第一虛擬機取消本次數據傳輸；
[0092]所述審計服務器，用于接收宿主機中的傳輸控制模塊發來的待傳輸數據信息，對待傳輸數據進行審計，并將審計結果返回給宿主機中的傳輸控制模塊。
[0093]圖7所示系統中，
[0094]所述審計服務器中配置有審計策略；
[0095]所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計。
[0096]圖7所示系統中，
[0097]所述待傳輸數據信息包括用戶信息；
[0098]所述審計策略包括:每個用戶的用戶信息及該用戶對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸；
[0099]所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的用戶信息匹配審計策略中的各用戶信息，若匹配成功的用戶對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的用戶對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果；
[0100]或者，
[0101 ]所述待傳輸數據信息包括文件類型信息；
[0102]所述審計策略包括:文件類型信息及該類型文件對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸；
[0103]所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的文件類型信息匹配審計策略中的各文件類型信息，若匹配成功的文件類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的文件類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果；
[0104]或者，
[0105]所述待傳輸數據信息包括虛擬機類型信息；
[0106]所述審計策略包括:虛擬機類型信息及該類型虛擬機對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸；
[0107]所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的虛擬機類型信息匹配審計策略中的各虛擬機類型信息，若匹配成功的虛擬機類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的虛擬機類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。
[0108]圖7所示系統中，
[0109]所述傳輸媒介為共享內存；
[0110]所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:分配共享內存，將分配的共享內存作為本次數據傳輸的傳輸媒介；
[0111]或者，
[0112]所述傳輸媒介為共享磁盤；
[0113]所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:分配共享磁盤，將分配的共享磁盤作為本次數據傳輸的傳輸媒介；
[0114]或者，
[0115]所述傳輸媒介為基于消息隊列的虛擬機間傳輸協議；
[0116]所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:建立消息隊列，將建立的消息隊列作為本次數據傳輸的傳輸媒介。
[0117]圖7所示系統中，
[0118]第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據的方法為:第一虛擬機在接收到所述宿主機中的傳輸控制模塊的通知后，將待傳輸數據存儲到該傳輸媒介，第二虛擬機從該傳輸媒介讀取待傳輸數據。
[0119]本發明的一個技術效果是用戶可以在虛擬機間復制/粘貼字符串或文件，就如同在一臺計算機內執行復制/粘貼操作一樣方便透明，無跨虛擬機感知。具體實現過程為:用戶在虛擬機之間執行拷貝/粘貼操作時，觸發數據所在虛擬機發起數據傳輸請求，并在宿主機中的傳輸控制模塊為其創建傳輸媒介后，將拷貝的數據寫入傳輸媒介，粘貼數據的目標虛擬機從傳輸媒介中讀取數據并粘貼到相應位置。此過程在用戶看來僅是一次普通的拷貝/粘貼操作，但實現過程則是虛擬機間的一次數據傳輸過程。
[0120]以上所述僅為本發明的較佳實施例而已，并不用以限制本發明，凡在本發明的精神和原則之內，所做的任何修改、等同替換、改進等，均應包含在本發明保護的范圍之內。
【主權項】
1.一種用于虛擬機間數據傳輸的方法，其特征在于，所述各虛擬機位于同一宿主機中，將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，該方法應用于所述宿主機，包括: 截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接，并在第一虛擬機與第二虛擬機之間的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。2.根據權利要求1所述的方法，其特征在于， 所述數據傳輸請求攜帶待傳輸數據信息； 截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求之后，構造用于本次數據傳輸的傳輸媒介之前，進一步包括:將數據傳輸請求中的待傳輸數據信息發往審計服務器，并接收審計服務器返回的對待傳輸數據信息的審計結果，如果審計結果為允許數據傳輸，則構造用于數據傳輸的傳輸媒介，如果審計結果為禁止數據傳輸，則將該審計結果通知給第一虛擬機，以使第一虛擬機取消本次數據傳輸。3.根據權利要求2所述的方法，其特征在于， 審計服務器中配置有審計策略； 審計服務器根據配置的審計策略對待傳輸數據信息進行審計。4.根據權利要求3所述的方法，其特征在于， 所述待傳輸數據信息包括用戶信息； 所述審計策略包括:每個用戶的用戶信息及該用戶對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸； 審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的用戶信息匹配審計策略中的各用戶信息，若匹配成功的用戶對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的用戶對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果； 或者， 所述待傳輸數據信息包括文件類型信息； 所述審計策略包括:文件類型信息及該類型文件對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸； 審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的文件類型信息匹配審計策略中的各文件類型信息，若匹配成功的文件類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的文件類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果； 或者， 所述待傳輸數據信息包括虛擬機類型信息； 所述審計策略包括:虛擬機類型信息及該類型虛擬機對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸； 審計服務器根據配置的審計策略對待傳輸數據信息進行審計的方法為:用待傳輸數據信息中的虛擬機類型信息匹配審計策略中的各虛擬機類型信息，若匹配成功的虛擬機類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的虛擬機類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。5.根據權利要求1所述的方法，其特征在于， 所述傳輸媒介為共享內存； 構造用于本次數據傳輸的傳輸媒介的方法為:分配共享內存，將分配的共享內存作為本次數據傳輸的傳輸媒介； 或者， 所述傳輸媒介為共享磁盤； 構造用于本次數據傳輸的傳輸媒介的方法為:分配共享磁盤，將分配的共享磁盤作為本次數據傳輸的傳輸媒介； 或者， 所述傳輸媒介為基于消息隊列的虛擬機間傳輸協議； 構造用于本次數據傳輸的傳輸媒介的方法為:建立消息隊列，將建立的消息隊列作為本次數據傳輸的傳輸媒介。6.根據權利要求1或5所述的方法，其特征在于， 第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據的方法為:第一虛擬機在接收到所述宿主機的通知后，將待傳輸數據寫入到該傳輸媒介，第二虛擬機從該傳輸媒介讀取待傳輸數據。7.—種用于虛擬機間數據傳輸的系統，其特征在于，所述各虛擬機位于同一宿主機中，宿主機中還配置有傳輸控制模塊，將執行數據傳輸的兩臺虛擬機中的發送方記為第一虛擬機，接收方記為第二虛擬機，該系統包括第一虛擬機、第二虛擬機、宿主機中的傳輸控制模塊； 所述第一虛擬機用于發送針對第二虛擬機的數據傳輸請求； 所述宿主機中的傳輸控制模塊，用于截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求時，構造用于本次數據傳輸的傳輸媒介，利用該傳輸媒介觸發用于第一虛擬機向第二虛擬機傳輸數據的數據傳輸事件以建立第一虛擬機與第二虛擬機之間的數據傳輸連接，并在第一虛擬機與第二虛擬機之間的數據傳輸連接建立后通知第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據。8.根據權利要求7所述的系統，其特征在于，該系統還包括審計服務器； 所述數據傳輸請求攜帶待傳輸數據信息； 所述宿主機中的傳輸控制模塊截取到第一虛擬機發送的針對第二虛擬機的數據傳輸請求之后，構造用于本次數據傳輸的傳輸媒介之前，進一步用于:將數據傳輸請求中的待傳輸數據信息發往審計服務器，并接收審計服務器返回的審計結果，如果審計結果為允許數據傳輸，則構造用于數據傳輸的傳輸媒介，如果審計結果為禁止數據傳輸，則將該審計結果通知給第一虛擬機，以使第一虛擬機取消本次數據傳輸； 所述審計服務器，用于接收宿主機中的傳輸控制模塊發來的待傳輸數據信息，對待傳輸數據進行審計，并將審計結果返回給宿主機中的傳輸控制模塊。9.根據權利要求8所述的系統，其特征在于， 所述審計服務器中配置有審計策略； 所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計。10.根據權利要求9所述的系統，其特征在于， 所述待傳輸數據信息包括用戶信息； 所述審計策略包括:每個用戶的用戶信息及該用戶對應的訪問規則，所述訪問規則包括:禁止傳輸、允許傳輸； 所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的用戶信息匹配審計策略中的各用戶信息，若匹配成功的用戶對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的用戶對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果； 或者， 所述待傳輸數據信息包括文件類型信息； 所述審計策略包括:文件類型信息及該類型文件對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸； 所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的文件類型信息匹配審計策略中的各文件類型信息，若匹配成功的文件類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的文件類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果； 或者， 所述待傳輸數據信息包括虛擬機類型信息； 所述審計策略包括:虛擬機類型信息及該類型虛擬機對應的訪問規則，所述訪問規則包括禁止傳輸、允許傳輸； 所述審計服務器根據配置的審計策略對待傳輸數據信息進行審計時，用于:用待傳輸數據信息中的虛擬機類型信息匹配審計策略中的各虛擬機類型信息，若匹配成功的虛擬機類型對應的訪問規則為禁止傳輸，則將禁止數據傳輸作為審計結果，若匹配成功的虛擬機類型對應的訪問規則為允許傳輸，則將允許數據傳輸作為審計結果。11.根據權利要求7所述的系統，其特征在于， 所述傳輸媒介為共享內存； 所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:分配共享內存，將分配的共享內存作為本次數據傳輸的傳輸媒介； 或者， 所述傳輸媒介為共享磁盤； 所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:分配共享磁盤，將分配的共享磁盤作為本次數據傳輸的傳輸媒介； 或者， 所述傳輸媒介為基于消息隊列的虛擬機間傳輸協議； 所述宿主機中的傳輸控制模塊構造用于本次數據傳輸的傳輸媒介時，用于:建立消息隊列，將建立的消息隊列作為本次數據傳輸的傳輸媒介。12.根據權利要求7或11所述的系統，其特征在于， 第一虛擬機基于該傳輸媒介向第二虛擬機傳輸數據的方法為:第一虛擬機在接收到所述宿主機中的傳輸控制模塊的通知后，將待傳輸數據寫入到該傳輸媒介，第二虛擬機從該傳輸媒介讀取待傳輸數據。
【文檔編號】G06F9/54GK106020997SQ201610318167
【公開日】2016年10月12日
【申請日】2016年5月13日
【發明人】馬彥青, 張瑞, 張玉昆
【申請人】北京紅山世紀科技有限公司