本發(fā)明涉及計算機通信領(lǐng)域，尤其涉及一種vdi通信的方法、第一服務(wù)器、第二服務(wù)器及通信系統(tǒng)。

背景技術(shù)：

隨著計算機技術(shù)的發(fā)展，通信速度越來越快，但隨之而來的通信數(shù)據(jù)的安全性也受到越來越多的重視。

現(xiàn)有的企業(yè)因為規(guī)模及用戶需求，往往需要在不同的地方建立總廠及分廠，而總廠與分廠之間的數(shù)據(jù)通信速度及通信安全亦成為一個重大問題。現(xiàn)有的總廠與分廠間的數(shù)據(jù)通信多是采用加密通道的方法將總廠數(shù)據(jù)發(fā)送至分廠，或是總廠將數(shù)據(jù)通過文件共享系統(tǒng)進行共享，而分廠從共享系統(tǒng)下載并查閱該數(shù)據(jù)。

現(xiàn)有的加密通道傳輸數(shù)據(jù)方法或共享系統(tǒng)共享數(shù)據(jù)的方法，都會使得分廠通過下載而得到該數(shù)據(jù)，而該數(shù)據(jù)被分廠下載后，往往會因為分廠的信息化安全建設(shè)薄弱，造成數(shù)據(jù)的不可控性，及該數(shù)據(jù)因缺乏保護而導(dǎo)致泄密的問題。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種vdi通信的方法、第一服務(wù)器、第二服務(wù)器及通信系統(tǒng)，用于提高通信的流暢性及通信過程中數(shù)據(jù)的安全性。

本發(fā)明實施例第一方面提供了一種vdi通信的方法，應(yīng)用于第一服務(wù)器，包括：

建立與第二服務(wù)器的連接，第一服務(wù)器運行多個虛擬機；

接收由第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)。

可選的，建立與第二服務(wù)器的連接，包括：

根據(jù)第二服務(wù)器的身份信息，確定第二服務(wù)器與第一服務(wù)器虛擬機的連接策略；

根據(jù)連接策略將第二服務(wù)器與第一服務(wù)器的預(yù)置虛擬機進行連接。

可選的，在接收由第二服務(wù)器發(fā)送的數(shù)據(jù)請求之后，所述方法還包括：

對數(shù)據(jù)請求進行校驗；

若校驗通過，將預(yù)置的管理策略發(fā)送至第二服務(wù)器。

可選的，預(yù)置的管理策略包括：

預(yù)置的傳輸策略、預(yù)置的文件管理策略及預(yù)置的數(shù)據(jù)安全策略。

可選的，預(yù)置的文件管理策略包括：

文檔管理策略、邊界管控策略及審計策略。

本發(fā)明實施例第二方面提供了一種vdi通信的方法，應(yīng)用于第二服務(wù)器，包括：

接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

建立與終端之間的連接；

接收終端對數(shù)據(jù)的操作。

可選的，建立與終端之間的連接，包括：

根據(jù)終端的身份信息，確定終端與第二服務(wù)器虛擬機的連接策略；

根據(jù)連接策略將終端與第二服務(wù)器的預(yù)置虛擬機進行連接。

可選的，在接收由第一服務(wù)器發(fā)送的數(shù)據(jù)之前，所述方法還包括：

接收由第一服務(wù)器發(fā)送的預(yù)置的管理策略。

可選的，接收終端對數(shù)據(jù)的操作，包括：

接收終端通過預(yù)置的管理策略對數(shù)據(jù)的操作。

可選的，預(yù)置的管理策略包括：

預(yù)置的傳輸策略、預(yù)置的文件管理策略及預(yù)置的數(shù)據(jù)安全策略。

可選的，預(yù)置的文件管理策略包括：

文檔管理策略、邊界管控策略及審計策略。

本發(fā)明第三方面提供了第一服務(wù)器，包括：

第一連接單元，用于建立與第二服務(wù)器的連接，第一服務(wù)器運行多個虛擬機；

第一接收單元，用于接收由第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

第一發(fā)送單元，用于根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)。

可選的，第一連接單元包括：

第一確定模塊，用于根據(jù)第二服務(wù)器的身份信息，確定第二服務(wù)器與第一服務(wù)器虛擬機的連接策略；

第一連接模塊，用于根據(jù)連接策略將第二服務(wù)器與第一服務(wù)器的預(yù)置虛擬機進行連接。

可選的，第一服務(wù)器還包括：

校驗單元，用于對數(shù)據(jù)請求進行校驗；

第二發(fā)送單元，用于在校驗通過時，將預(yù)置的管理策略發(fā)送至第二服務(wù)器。

本發(fā)明實施例第四方面提供了第二服務(wù)器，包括：

第二接收單元，用于接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

第二連接單元，用于建立與終端之間的連接；

第三接收單元，用于接收終端對數(shù)據(jù)的操作。

可選的，第二連接單元包括：

第二確定模塊，用于根據(jù)終端的身份信息，確定終端與第二服務(wù)器虛擬機的連接策略；

第二連接模塊，用于根據(jù)連接策略將終端與第二服務(wù)器的預(yù)置虛擬機進行連接。

可選的，第二服務(wù)器還包括：

第四接收單元，用于接收由第一服務(wù)器發(fā)送的預(yù)置的管理策略。

可選的，第三接收單元包括：

接收模塊，用于接收終端通過預(yù)置的管理策略對數(shù)據(jù)的操作。

本發(fā)明實施例第五方面提供了一種vdi通信系統(tǒng)，包括本發(fā)明實施例第三方面的第一服務(wù)器，及本發(fā)明實施例第四方面的第二服務(wù)器，及終端。

從以上技術(shù)方案可以看出，本發(fā)明實施例具有以下優(yōu)點：

本發(fā)明中，第一服務(wù)器與第二服務(wù)器建立連接，第一服務(wù)器接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，然后通過預(yù)置的管理策略向第一服務(wù)器發(fā)送數(shù)據(jù)，保證了數(shù)據(jù)傳輸?shù)牧鲿承约鞍踩?，而第二服?wù)器通過虛擬機與終端連接，實現(xiàn)了終端以圖像的形式對第二服務(wù)器數(shù)據(jù)的操作，從而保證了第二服務(wù)器數(shù)據(jù)的安全性。

附圖說明

圖1為本發(fā)明實施例中服務(wù)器與虛擬機之間的結(jié)構(gòu)關(guān)系圖；

圖2為本發(fā)明實施例中虛擬機與終端連接的示意圖；

圖3為本發(fā)明實施例中總廠與分廠之間的網(wǎng)絡(luò)連接拓撲結(jié)構(gòu)示意圖；

圖4為本發(fā)明實施例中一種vdi通信方法的一個實施例示意圖；

圖5為本發(fā)明實施例中一種vdi通信方法的另一個實施例示意圖

圖6為本發(fā)明實施例中第一服務(wù)器的一個實施例示意圖；

圖7為本發(fā)明實施例中第一服務(wù)器的另一個實施例示意圖；

圖8為本發(fā)明實施例中第二服務(wù)器的一個實施例示意圖；

圖9為本發(fā)明實施例中第二服務(wù)器的另一個實施例示意圖

圖10為本發(fā)明實施例中vdi通信系統(tǒng)的一個實施例示意圖。

具體實施方式

本發(fā)明實施例提供了一種vdi通信的方法、第一服務(wù)器、第二服務(wù)器及通信系統(tǒng)，用于提高通信的流暢性及通信過程中數(shù)據(jù)的安全性。

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明方案，下面對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應(yīng)當屬于本發(fā)明保護的范圍。

本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”、“第三”、“第四”等(如果存在)是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的實施例能夠以除了在這里圖示或描述的內(nèi)容以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。

為方便對本發(fā)明的理解，下面對文中的專用術(shù)語及桌面虛擬化組織架構(gòu)解釋如下：

桌面虛擬化，是指將計算機的終端系統(tǒng)進行虛擬化，即用戶可以使用任何設(shè)備，在任何地點，任何時間通過網(wǎng)絡(luò)訪問屬于自己的桌面系統(tǒng)。桌面虛擬化依賴于服務(wù)器虛擬化，是在數(shù)據(jù)中心的服務(wù)器上通過桌面虛擬化平臺(虛擬軟件)將服務(wù)器虛擬化，生成大量的獨立的桌面操作系統(tǒng)(虛擬機或者虛擬桌面)，同時根據(jù)專有的虛擬桌面協(xié)議發(fā)送給終端設(shè)備。用戶終端通過以太網(wǎng)登陸到虛擬主機上，只需要記住用戶名和密碼及網(wǎng)關(guān)信息，即可隨時隨地的通過網(wǎng)絡(luò)訪問自己的桌面系統(tǒng)，從而實現(xiàn)單機多用戶。

虛擬機，是通過桌面虛擬化平臺將服務(wù)器(物理機)進行虛擬化，從而得到的大量的獨立的桌面操作系統(tǒng)，它可以為終端用戶創(chuàng)造一種操作環(huán)境，而終端用戶則是基于這種操作環(huán)境來操作軟件的，終端可以是智能手機、平板電腦、臺式計算機以及專門用于接入vdi(virtualdesktopinfrastructure)桌面的電子設(shè)備(瘦終端)等。

瘦終端：瘦終端(thinclient)指的是在客戶端-服務(wù)器網(wǎng)絡(luò)體系中的一個基本無需應(yīng)用程序的計算機終端。它通過一些協(xié)議和服務(wù)器通信，進而接入局域網(wǎng)。作為應(yīng)用程序平臺的internet的到來為企業(yè)應(yīng)用程序提供了一個全新的領(lǐng)域：一個基于internet/intranet的應(yīng)用程序只包含一個瀏覽器的瘦客戶端。這個瀏覽器負責(zé)解釋、顯示和處理應(yīng)用程序的圖形用戶界面(gui)和它的數(shù)據(jù)。瘦終端將其鼠標、鍵盤等輸入傳送到服務(wù)器處理，服務(wù)器再把處理結(jié)果回傳至客戶端顯示。不同的客戶端可以同時登錄到服務(wù)器上，模擬出一個相互獨立又在服務(wù)器上的工作環(huán)境。與此相反，普通客戶端則是盡可能多地進行本地數(shù)據(jù)處理，與服務(wù)器(或其他客戶端)的通信中只傳送必要的通信數(shù)據(jù)。

圖1為服務(wù)器與虛擬機之間的結(jié)構(gòu)關(guān)系圖，服務(wù)器借助于桌面虛擬化平臺(虛擬軟件)將服務(wù)器虛擬為多個虛擬機(桌面操作系統(tǒng))。

圖2為桌面虛擬化中虛擬機與用戶終端的連接示意圖，桌面虛擬化是將虛擬機交付用戶使用的使用架構(gòu)，最終為用戶提供桌面服務(wù)，但其自身交付通道極度依賴網(wǎng)絡(luò)，無網(wǎng)絡(luò)不工作，網(wǎng)絡(luò)質(zhì)量不好的情況下，用戶的使用體驗較差。

目前，通過對企業(yè)的網(wǎng)絡(luò)現(xiàn)狀分析發(fā)現(xiàn)，總部與分廠之間的網(wǎng)絡(luò)通過廣域網(wǎng)的方式進行連接，帶寬受制于運營商寬帶費用和地理因素的影響通常較大，不滿足桌面云交付的網(wǎng)絡(luò)基本要求，而在分廠內(nèi)部、總部內(nèi)部則是以局域網(wǎng)的模式進行網(wǎng)絡(luò)組網(wǎng)，網(wǎng)絡(luò)傳輸帶寬通常在100mb以上，非常適合桌面虛擬化操作系統(tǒng)的交付。

基于上述分析，針對企業(yè)的網(wǎng)絡(luò)現(xiàn)狀，為了保障總廠數(shù)據(jù)的安全性及總廠與分廠數(shù)據(jù)傳輸?shù)牧鲿承?，分別在總廠及分廠設(shè)立第一服務(wù)器及第二服務(wù)器，在第一服務(wù)器及第二服務(wù)器上采用桌面虛擬化技術(shù)，即桌面虛擬化平臺(虛擬軟件)，分別將第一服務(wù)器及第二服務(wù)器虛擬出多個虛擬機。

其中，第一服務(wù)器的桌面虛擬化平臺與第二服務(wù)器的桌面虛擬化平臺進行連接，從而實現(xiàn)第一服務(wù)器與第二服務(wù)器之間的連接。第一服務(wù)器的多個虛擬機可以分別連接不同的分廠，如第一服務(wù)器的第一虛擬機連接第一分廠，第一服務(wù)器的第二虛擬機連接第二分廠等，第二服務(wù)器的多個虛擬機可以連接不同的部門，如第二服務(wù)器的第一虛擬機連接第一事業(yè)部，第二虛擬機連接第二事業(yè)部等，圖3為本發(fā)明中總廠與分廠之間網(wǎng)絡(luò)連接的拓撲結(jié)構(gòu)圖。

為方便理解，下面來描述本發(fā)明中的vdi通信方法，請參閱圖4，本發(fā)明實施例中一種vdi通信方法的一個實施例，包括：

401、第一服務(wù)器建立與第二服務(wù)器的連接，第一服務(wù)運行多個虛擬機；

為了不受限于網(wǎng)絡(luò)帶寬，本發(fā)明實施例在總廠與分廠分別設(shè)立第一服務(wù)器及第二服務(wù)器，其中第一服務(wù)器與第二服務(wù)器通過桌面虛擬化平臺在廣域網(wǎng)進行連接，其中網(wǎng)絡(luò)連接技術(shù)在現(xiàn)有技術(shù)中有詳細描述，此處不再贅述。

對于第二服務(wù)器與第一服務(wù)器中不同虛擬機之間的連接策略，在下面的實施例中詳細描述。

402、第一服務(wù)器接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

第二服務(wù)器從第一服務(wù)器獲取數(shù)據(jù)前，須向第一服務(wù)器發(fā)送數(shù)據(jù)請求，以用于從第一服務(wù)器獲取對應(yīng)的數(shù)據(jù)。第一服務(wù)器在數(shù)據(jù)請求發(fā)送后，則可以接收到該數(shù)據(jù)請求。

403、第一服務(wù)器根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)；

第一服務(wù)器接收到第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，根據(jù)第一服務(wù)器設(shè)置的管理策略，向第二服務(wù)器發(fā)送對應(yīng)的數(shù)據(jù)，其中，具體的管理策略在下面的實施例中具體描述。

404、第二服務(wù)器接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

第一服務(wù)器根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)后，第二服務(wù)器則可以接收到由第一服務(wù)器發(fā)送的數(shù)據(jù)，并對該數(shù)據(jù)進行存儲。其中，第二服務(wù)器可以根據(jù)預(yù)置的管理策略對該數(shù)據(jù)進行管理，以防數(shù)據(jù)泄密，具體的管理策略在下面的實施例中詳細描述。

405、第二服務(wù)器建立與終端之間的連接，；

第二服務(wù)器在收到數(shù)據(jù)后，為方便用戶的使用，可以建立與用戶終端之間的連接，以方便用戶對第二服務(wù)器上存儲數(shù)據(jù)的操作。其中，終端與第二服務(wù)器虛擬機之間的連接方式的在下面的實施例中詳細描述。

406、第二服務(wù)器接收終端對數(shù)據(jù)的操作。

第二服務(wù)器與終端建立連接后，用戶則可以通過登陸終端的方式，來訪問第二服務(wù)器，從而進一步獲取對第二服務(wù)器數(shù)據(jù)的操作。

本實施例中，第一服務(wù)器與第二服務(wù)器建立連接，第一服務(wù)器接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，通過預(yù)置的管理策略向第一服務(wù)器發(fā)送數(shù)據(jù)，保證了數(shù)據(jù)傳輸?shù)牧鲿承约鞍踩裕诙?wù)器通過虛擬機與終端連接，實現(xiàn)了終端以圖像的形式對第二服務(wù)器數(shù)據(jù)的操作，從而保證了第二服務(wù)器數(shù)據(jù)的安全性。

基于圖4的實施例，下面就第二服務(wù)器與第一服務(wù)器虛擬機的連接策略，及第一服務(wù)器中預(yù)置的管理策略做詳細描述，請參閱圖5，本發(fā)明實施中一種vdi通信方法的另一個實施例，包括：

501、第一服務(wù)器建立與第二服務(wù)器的連接，第一服務(wù)器運行多個虛擬機；

總廠的第一服務(wù)器與分廠的第二服務(wù)器通過桌面虛擬化平臺在廣域網(wǎng)連接時，為了確定第二服務(wù)器與第一服務(wù)器多個虛擬機的連接策略，第一服務(wù)器的桌面虛擬化平臺可以根據(jù)預(yù)置的校驗機制，對第二服務(wù)器及第二服務(wù)器用戶的身份進行校驗，只有在第二服務(wù)器及第二服務(wù)器用戶的身份校驗同時通過時，第一服務(wù)器才按照預(yù)置的第二服務(wù)器與第一服務(wù)器虛擬機的對應(yīng)關(guān)系表，將第二服務(wù)器與第一服務(wù)器的第一虛擬機進行連接，需要說明的是，也可以將第二服務(wù)器與第一服務(wù)器的第二虛擬機或第三虛擬機進行連接，本實施例對于第二服務(wù)器與第一服務(wù)器的虛擬機之間的對應(yīng)關(guān)系只是舉例說明，并不做具體限定。

本實施例中的校驗機制可以是標志與驗證機制、網(wǎng)絡(luò)訪問控制機制、加密機制、信息完整性機制和審計機制中的一種或多種，對于具體的機制內(nèi)容在現(xiàn)有技術(shù)中都有詳細介紹，此處不再贅述。

502、第一服務(wù)器接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

總廠的第一服務(wù)器與分廠的第二服務(wù)器建立連接后，分廠若需要從總廠獲取數(shù)據(jù)，則需要第二服務(wù)器的虛擬化平臺向第一服務(wù)器的虛擬化平臺發(fā)送數(shù)據(jù)請求，以用于從總廠的第一服務(wù)器獲取對應(yīng)的數(shù)據(jù)。

進一步的，第二服務(wù)器在發(fā)送數(shù)據(jù)請求前，需要對自身的執(zhí)行環(huán)境進行評估，以保證第二服務(wù)器可以按照第一服務(wù)器設(shè)置的管理策略執(zhí)行對數(shù)據(jù)的操作，其中自身的執(zhí)行環(huán)境評估包括：檢測自身的虛擬化傳輸模塊、文件管理控件組、數(shù)據(jù)安全模塊是否正常，若全部正常，則向第一服務(wù)器發(fā)送數(shù)據(jù)請求；若出現(xiàn)異常，則嘗試自我修復(fù)，若修復(fù)異常，則發(fā)出警示并對所有過程進行日志記錄。

503、第一服務(wù)器對第二服務(wù)器的的數(shù)據(jù)請求進行校驗；

第一服務(wù)器的虛擬化平臺接收到第二服務(wù)器的虛擬化平臺發(fā)送的數(shù)據(jù)請求后，對該數(shù)據(jù)請求進行校驗，其中校驗包括：權(quán)限校驗、安全校驗。

權(quán)限校驗包括：第二服務(wù)器的權(quán)限校驗、數(shù)據(jù)請求的權(quán)限校驗及第二服務(wù)器發(fā)送該數(shù)據(jù)請求的權(quán)限校驗，其中第二服務(wù)器的權(quán)限校驗是用于校驗第二服務(wù)器是否有發(fā)送數(shù)據(jù)請求的權(quán)限，若規(guī)定第一分廠不可以向總廠發(fā)送數(shù)據(jù)請求，則第二服務(wù)器的權(quán)限校驗不通過；數(shù)據(jù)請求的權(quán)限校驗是用于校驗該數(shù)據(jù)請求是否在預(yù)置的規(guī)定范圍內(nèi)，若規(guī)定第一分廠的第二服務(wù)器在登陸第一虛擬機后，只可以對第一虛擬機上存儲的數(shù)據(jù)進行讀操作，而第二服務(wù)器若發(fā)送獲取數(shù)據(jù)的請求，則該獲取數(shù)據(jù)的請求權(quán)限校驗不通過；第二服務(wù)器發(fā)送該數(shù)據(jù)請求的權(quán)限是用于校驗第二服務(wù)器是否有發(fā)送該數(shù)據(jù)請求的權(quán)限，如第二服務(wù)器向第一服務(wù)器發(fā)送獲取數(shù)據(jù)的請求，而預(yù)置的權(quán)限規(guī)定只允許第二服務(wù)器對第一服務(wù)器數(shù)據(jù)進行讀操作，則第二服務(wù)器向第一服務(wù)器發(fā)送獲取數(shù)據(jù)的請求權(quán)限校驗不通過。

安全校驗是對數(shù)據(jù)請求的安全性進行校驗，如第一服務(wù)器校驗第二服務(wù)器發(fā)送的數(shù)據(jù)請求中是否攜帶了木馬信息，若攜帶了木馬信息，則拒接第二服務(wù)器的該數(shù)據(jù)請求，同時發(fā)出警示信息，以用于對第一服務(wù)器數(shù)據(jù)安全的保護，也方便人工后期對該數(shù)據(jù)請求進一步的處理。

需要說明的是，本實施例中權(quán)限校驗及安全校驗的內(nèi)容僅是對本實施例的解釋說明，并不對權(quán)限校驗及安全校驗的內(nèi)容做出具體限定。

504、若校驗通過，第一服務(wù)器將預(yù)置的管理策略發(fā)送至第二服務(wù)器；

若第二服務(wù)器的數(shù)據(jù)請求校驗通過，第一服務(wù)器將預(yù)置的管理策略發(fā)送至第二服務(wù)器，使得第二服務(wù)器按照預(yù)置的管理策略管理第一服務(wù)器發(fā)送的數(shù)據(jù)。

其中，預(yù)置的管理策略包括：預(yù)置的傳輸策略、預(yù)置的文件管理策略及預(yù)置的數(shù)據(jù)安全策略；預(yù)置的文件管理策略包括：文檔管理策略、邊界管控策略及審計策略。

預(yù)置的傳輸策略是用于建立第一服務(wù)器與第二服務(wù)器之間的加密傳輸通道，并且對該傳輸過程進行日志記錄。本實施例中，第一服務(wù)器和第二服務(wù)器之間可以通過fileagent控件組件建立加密傳輸通道，并對該傳輸過程中的執(zhí)行主體、執(zhí)行對象、執(zhí)行時間、數(shù)據(jù)內(nèi)容、數(shù)據(jù)類型、數(shù)據(jù)的存儲位置等內(nèi)容進行記錄，其中加密通道的建立也可以通過其他的控件組件來建立，具體的日志包括但不限于上述的日志內(nèi)容，此處不作具體限制。

預(yù)置的文件管理策略包括：文檔管理策略、邊界管理策略及審計策略，其中文檔管理策略包括：文檔的共享權(quán)限管理，即控制文檔是否可以共享及共享的范圍；文檔讀寫權(quán)限管理，即控制文檔是否可讀取、是否可寫入、是否可讀寫；文檔使用權(quán)限管理，即控制文檔的打開方式，包括控制文檔以密碼的形式打開或以預(yù)覽的形式打開，及文檔打開的次數(shù)，并可進一步限定文檔在超過預(yù)定的打開次數(shù)后，自動進行刪除；文檔的存儲管理，即控制文檔是否以加密的形式存儲至第二服務(wù)器中的預(yù)定位置；文檔的審計管理，即記錄文檔的傳輸過程、文檔的使用、文檔的存儲位置變化等日志信息。

其中，邊界管理策略是對桌面虛擬化終端的邊界管控策略，包括：對終端插入u盤等外部設(shè)備的管控、對虛擬機網(wǎng)絡(luò)訪問權(quán)限的管控及對文檔發(fā)送流程的管控。如：第一服務(wù)器在將文檔發(fā)送至第二服務(wù)器后，可以限制該文檔不接收u盤操作，只接收第二服務(wù)器虛擬機用戶的密碼訪問且該文檔不支持向外部發(fā)送的操作。

審計策略是對第一服務(wù)器和第二服務(wù)器之間的數(shù)據(jù)在按照預(yù)置的傳輸策略的傳輸過程、按照預(yù)置的文件管理策略的文件執(zhí)行過程、及預(yù)置的數(shù)據(jù)安全策略數(shù)據(jù)的安全管理過程進行記錄，同時對所有過程中出現(xiàn)的警示信息進行記錄，以保障第一服務(wù)器和第二服務(wù)器之間數(shù)據(jù)的安全性。

預(yù)置的數(shù)據(jù)安全策略是對數(shù)據(jù)在傳輸過程、文件執(zhí)行過程、邊界管理過程中出現(xiàn)的數(shù)據(jù)安全問題進行防范與保護，以保障第一服務(wù)器與第二服務(wù)器之間數(shù)據(jù)的安全性。

505、第二服務(wù)器接收第一服務(wù)器發(fā)送的預(yù)置的管理策略；

第一服務(wù)器向第二服務(wù)器發(fā)送預(yù)置的管理策略后，第二服務(wù)器則可以接收到該預(yù)置的管理策略，并控制第二服務(wù)器的傳輸模塊、文件管理控件組及安全模塊按照該預(yù)置的管理策略對接收到的數(shù)據(jù)進行管理。

506、第一服務(wù)器根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)；

第一服務(wù)器將預(yù)置的管理策略發(fā)送至第二服務(wù)器后，根據(jù)第二服務(wù)器發(fā)送的數(shù)據(jù)請求，以第一服務(wù)器設(shè)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)，即以第一服務(wù)器設(shè)置的預(yù)置傳輸策略、預(yù)置文件管理策略、預(yù)置的安全策略向第二服務(wù)器發(fā)送該數(shù)據(jù)，具體的策略內(nèi)容如步驟504所述，此處不再贅述。

507、第二服務(wù)器接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

第一服務(wù)器按照預(yù)置的管理策略將數(shù)據(jù)發(fā)送至第二服務(wù)器之后，第二服務(wù)器即可接收到由第一服務(wù)器發(fā)送的數(shù)據(jù)，因第一服務(wù)器在發(fā)送數(shù)據(jù)前，先將數(shù)據(jù)的預(yù)置管理策略發(fā)送至第二服務(wù)器，例如：總廠的第一服務(wù)器在發(fā)送數(shù)據(jù)(設(shè)計文件)前，先將設(shè)計文件的傳輸策略(傳輸通道的加密方法)、文件管理策略(文檔共享、讀寫、使用權(quán)限，文檔的存儲管理及文檔的邊界管理策略)、數(shù)據(jù)安全策略發(fā)送至第二服務(wù)器，使得第二服務(wù)器的終端用戶只能按照預(yù)置的管理策略去操作設(shè)計文件。

508、第二服務(wù)器建立與終端之間的連接，第二服務(wù)器運行多個虛擬機；

第二服務(wù)器收到數(shù)據(jù)后，按照預(yù)置的傳輸策略對數(shù)據(jù)進行存儲，以方便第二服務(wù)器的終端用戶對數(shù)據(jù)的操作。

終端用戶在獲取對數(shù)據(jù)的操作前，需要建立終端與第二服務(wù)器之間的連接，因第二服務(wù)器用桌面虛擬化軟件虛擬出多個虛擬機，所以終端在與第二服務(wù)器連接前，需要確定終端與虛擬機的連接策略。

因虛擬機是通過用戶輸入一定的用戶名、密碼及網(wǎng)關(guān)信息，通過登陸終端而獲得連接，所以在實際應(yīng)用中，用戶是與虛擬機進行綁定，終端則是用戶獲得與虛擬機連接的中間介質(zhì)，因此用戶在終端輸入一定的用戶名、密碼及網(wǎng)關(guān)信息后，第二服務(wù)器的桌面虛擬化平臺對在終端輸入的信息進行認證，若認證通過，終端則自動與用戶綁定的虛擬機進行連接，從而實現(xiàn)終端與第二服務(wù)器的自動連接功能。

509、第二服務(wù)器接收終端通過預(yù)置的管理策略對數(shù)據(jù)的操作。

終端在連接第二服務(wù)器對應(yīng)的虛擬機后，用戶即可按照預(yù)置的管理策略，對第二服務(wù)器的數(shù)據(jù)進行操作，如：預(yù)置的文件管理策略限定文件的共享、讀寫、使用權(quán)限及文檔的邊界權(quán)限、外發(fā)權(quán)限，從而限制終端用戶只能按照預(yù)置的管理權(quán)限去操作該數(shù)據(jù)，從而保障了數(shù)據(jù)的安全性。

同時，因虛擬機自身的特性，終端用戶操作的數(shù)據(jù)都是以圖像的形式進行傳輸與顯示，防止了終端用戶對數(shù)據(jù)的篡改，進一步保障了數(shù)據(jù)的安全性。

本實施例中，第一服務(wù)器與第二服務(wù)器建立連接，第一服務(wù)器接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，向第二服務(wù)器發(fā)送預(yù)置的管理策略，并通過預(yù)置的管理策略向第一服務(wù)器發(fā)送數(shù)據(jù)，保證了數(shù)據(jù)傳輸?shù)牧鲿承约鞍踩?，而第二服?wù)器在接收了預(yù)置的管理策略及數(shù)據(jù)后，通過與終端建立連接，實現(xiàn)了終端通過預(yù)置的管理策略以圖像的形式對第二服務(wù)器數(shù)據(jù)的操作，從而進一步保證了第二服務(wù)器數(shù)據(jù)的安全性。

上面描述了本發(fā)明實施例中的一種vdi通信的方法，下面來描述本發(fā)明中的第一服務(wù)器，請參閱圖6，本發(fā)明實施例中的第一服務(wù)器，包括：

第一連接單元601，用于建立與第二服務(wù)器的連接，第一服務(wù)器運行多個虛擬機；

第一接收單元602，用于接收由第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

第一發(fā)送單元603，用于根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)。

需要說明的是，本實施例中各單元的作用與圖4所述實施例中第一服務(wù)器的作用類似，此處不再贅述。

本實施例中，第一服務(wù)器通過第一連接單元601與第二服務(wù)器建立連接，第一服務(wù)器通過第一接收單元602接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，通過第一發(fā)送單元603以預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)，保證了數(shù)據(jù)傳輸?shù)牧鲿承约鞍踩浴?/p>

為方便理解，下面詳細描述本發(fā)明實施例中的第一服務(wù)器，請參閱圖7，本發(fā)明實施例中第一服務(wù)器的另一個實施例，包括：

第一連接單元701，用于建立與第二服務(wù)器的連接，第一服務(wù)器運行多個虛擬機；

第一接收單元702，用于接收由第二服務(wù)器發(fā)送的數(shù)據(jù)請求；

第一發(fā)送單元703，用于根據(jù)預(yù)置的管理策略向第二服務(wù)器發(fā)送數(shù)據(jù)。

可選的，第一連接單元包括701：

第一確定模塊7011，用于根據(jù)第二服務(wù)器的身份信息，確定第二服務(wù)器與第一服務(wù)器虛擬機的連接策略；

第一連接模塊7012，用于根據(jù)連接策略將第二服務(wù)器與第一服務(wù)器的預(yù)置虛擬機進行連接。

可選的，第一服務(wù)器還包括：

校驗單元704，用于對數(shù)據(jù)請求進行校驗；

第二發(fā)送單元705，用于在校驗通過時，將預(yù)置的管理策略發(fā)送至第二服務(wù)器。

需要說明的是，本實施例中各單元及各模塊的作用與圖5所述實施例中第一服務(wù)器的作用類似，此處不再贅述。

本實施例中，第一服務(wù)器通過第一連接單元701與第二服務(wù)器建立連接，第一服務(wù)器通過第一接收單元702接收第二服務(wù)器發(fā)送的數(shù)據(jù)請求后，并在數(shù)據(jù)請求校驗通過后，通過第二發(fā)送單元705向第二服務(wù)器發(fā)送預(yù)置的管理策略，并通過第一發(fā)送單元703以預(yù)置的管理策略向第一服務(wù)器發(fā)送數(shù)據(jù)，保證了數(shù)據(jù)傳輸?shù)牧鲿承约鞍踩裕?/p>

下面接著來描述本發(fā)明實施例中的第二服務(wù)器，請參閱圖8，本發(fā)明實施例中的第二服務(wù)器的一個實施例，包括：

第二接收單元801，用于接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

第二連接單元802，用于建立與終端之間的連接；

第三接收單元803，用于接收終端對數(shù)據(jù)的操作。

需要說明的是，本實施中各單元的作用與圖4所述實施例中第二服務(wù)器的作用類似，此處不再贅述。

本實施例中，第二服務(wù)器在通過第二接收單元801接收數(shù)據(jù)后，通過第二連接單元802與終端進行連接，實現(xiàn)了終端以圖像的形式對第二服務(wù)器數(shù)據(jù)的操作，從而保證了第二服務(wù)器數(shù)據(jù)的安全性。

為方便理解，下面詳細描述本發(fā)明實施例中的第二服務(wù)器，請參閱圖9，本發(fā)明實施例中第二服務(wù)器的另一個實施例，包括：

第二接收單元901，用于接收由第一服務(wù)器發(fā)送的數(shù)據(jù)，第二服務(wù)器運行多個虛擬機；

第二連接單元902，用于建立與終端之間的連接；

第三接收單元903，用于接收終端對數(shù)據(jù)的操作。

進一步，第二連接單元902包括：

第二確定模塊9021，用于根據(jù)終端的身份信息，確定終端與第二服務(wù)器虛擬機的連接策略；

第二連接模塊9022，用于根據(jù)連接策略將終端與第二服務(wù)器的預(yù)置虛擬機進行連接。

進一步，第二服務(wù)器還包括：

第四接收單元904，用于接收由第一服務(wù)器發(fā)送的預(yù)置的管理策略。

進一步，第三接收單元903包括：

接收模塊9031，用于接收終端通過預(yù)置的管理策略對數(shù)據(jù)的操作。

需要說明的是，本實施例中各單元及各模塊的作用與圖5所述實施例中第二服務(wù)器的作用類似，此處不再贅述。

本實施例中，第二服務(wù)器通過第二接收單元901及第四接收單元904在接收了預(yù)置的管理策略及數(shù)據(jù)后，通過第二連接單元902與終端建立連接，實現(xiàn)了終端通過預(yù)置的管理策略以圖像的形式對第二服務(wù)器數(shù)據(jù)的操作，從而進一步保證了第二服務(wù)器數(shù)據(jù)的安全性。

本發(fā)明還提供了一種vdi通信系統(tǒng)，請參閱圖10，該通信系統(tǒng)包括上述說明中的第一服務(wù)1001，第二服務(wù)器1002及與第二服務(wù)器建立連接的終端1003，通過第一服務(wù)器與第二服務(wù)器的配合，實現(xiàn)了總廠數(shù)據(jù)到分廠的安全發(fā)送，通過終端與第二服務(wù)器的連接，實現(xiàn)了分廠不同的用戶對數(shù)據(jù)的安全操作，進一步保證了數(shù)據(jù)的安全性。

可以理解的是，本發(fā)明實施例中，第一服務(wù)器及第二服務(wù)器還可以從硬件角度出發(fā)進行描述，本發(fā)明實施例的第一服務(wù)器及第二服務(wù)器分別包括：處理器、存儲器以及存儲在存儲器中并可在處理器上運行的計算機程序，處理器執(zhí)行計算機程序時實現(xiàn)上述各個方法實施例中基于第一服務(wù)器及第二服務(wù)器操作的步驟，或者，處理器執(zhí)行計算機程序時實現(xiàn)上述實施例中第一服務(wù)器及第二服務(wù)器的各模塊的功能，相同部分可參照前文，此處不再贅述。

示例性的，計算機程序可以被分割成一個或多個模塊/單元，一個或者多個模塊/單元被存儲在存儲器中，并由處理器執(zhí)行，以完成本發(fā)明。一個或多個模塊/單元可以是能夠完成特定功能的一系列計算機程序指令段，該指令段用于描述計算機程序在第一服務(wù)器及第二服務(wù)器中的執(zhí)行過程，具體可參照第一服務(wù)器及第二服務(wù)器的各模塊的說明，此處不再贅述。

其中，第一服務(wù)器及第二服務(wù)器可包括但不僅限于處理器、存儲器，本領(lǐng)域技術(shù)人員可以理解，該說明僅僅是第一服務(wù)器及第二服務(wù)器的示例，并不構(gòu)成對第一服務(wù)器及第二服務(wù)器的限定，可以包括比該說明更多或更少的部件，或者組合某些部件，或者不同的部件，例如第一服務(wù)器及第二服務(wù)器還可以包括輸入輸出設(shè)備、網(wǎng)絡(luò)接入設(shè)備、總線等。

所稱處理器可以是中央處理單元(centralprocessingunit，cpu)，還可以是其他通用處理器、數(shù)字信號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等，處理器是第一服務(wù)器及第二服務(wù)器的控制中心，利用各種接口和線路連接整個服務(wù)器的各個部分。

存儲器可用于存儲計算機程序和/或模塊，處理器通過運行或執(zhí)行存儲在存儲器內(nèi)的計算機程序和/或模塊，以及調(diào)用存儲在存儲器內(nèi)的數(shù)據(jù)，實現(xiàn)第一服務(wù)器及第二服務(wù)器的各種功能。存儲器可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū)，其中，存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應(yīng)用程序等；存儲數(shù)據(jù)區(qū)可存儲根據(jù)手機的使用所創(chuàng)建的數(shù)據(jù)(比如補丁庫)等。此外，存儲器可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如硬盤、內(nèi)存、插接式硬盤，智能存儲卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)、至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上，以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進行了詳細的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當理解：其依然可以對前述各實施例所記載的技術(shù)方案進行修改，或者對其中部分技術(shù)特征進行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。