[发明专利]一种虚拟化数据隔离交换方法及装置

权利要求书

1.一种虚拟化数据隔离交换方法，其特征在于，包括：

步骤一，将虚拟机存储服务器中的数据区分为系统数据区和用户数据区；

步骤二，当不同安全域用户之间通信时，根据通信交换数据所位于虚拟机存储服务器的不同数据区，对通信交换数据进行隔离保护；

所述步骤二具体包括：

当不同安全域用户之间通信交换数据的写操作请求发生在系统数据区时，阻止写操作请求；

当不同安全域用户之间通信交换数据的写操作请求发生在用户数据区时，根据通信交换数据的安全等级执行相应的读写操作；

所述根据通信交换数据的安全等级执行相应的读写操作，具体包括：

当第一安全域用户向虚拟机服务管理域Domain0获取虚拟机存储服务器的用户数据区共享内存，并将通信时需要交换的通信交换数据及其安全等级标记写入所述共享内存时，HOOK模块截获第一安全域用户在所述共享内存中的写入操作，以获取所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符，并将所述通信交换数据的安全等级标记与所述通信交换数据所使用的共享内存描述符存放在访问控制模块中；

访问控制模块将通知事件经事件通道通知给第二安全域用户；

所述通知事件用于通知第二安全域用户准备读取所述共享内存中的通信交换数据；

当第二安全域用户在收到通知事件后，向所述访问控制模块获取所述通信交换数据对应的共享内存描述符，并基于所述通信交换数据对应的共享内存描述符发出对通信交换数据的读操作请求时，HOOK模块截获所述读操作请求，并将所述读操作请求包含的操作信息提交给访问控制模块；

访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求。

2.根据权利要求1所述的虚拟化数据隔离交换方法，其特征在于，所述操作信息包括：用户OS-ID、通信交换数据的安全等级标记、通信交换数据对应的共享内存描述符以及读操作。

3.根据权利要求2所述的虚拟化数据隔离交换方法，其特征在于，

所述访问控制策略，包括：允许访问的用户OS-ID、通信交换数据的安全等级标记范围、通信交换数据对应的共享内存描述符范围以及允许访问的操作类型；

所述访问控制模块根据所述操作信息以及虚拟机服务管理域Domain0中的访问控制策略判断是否执行读操作请求，具体包括：

若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略相匹配，则执行读操作；

若所述操作信息与所述虚拟机服务管理域Domain0中的访问控制策略不相匹配，则拒绝执行读操作，并记录告警日志。