用于位于不同主机的多个虚拟机共享USBKey的方法和系统的制作方法

用于位于不同主机的多个虚拟机共享USB Key的方法和系统的制作方法
【专利摘要】本发明提供了一种用于位于不同主机的多个虚拟机共享USB Key的系统和方法，系统包括：至少两个能够通过网络通信的虚拟机管理器，每个虚拟机管理器包括：虚拟机收发模块，被配置为接收来自所属主机内的虚拟机的访问USB Key的请求；存储模块，被配置为存储USB Key与USB Key认证的虚拟机之间的关联关系；验证模块，被配置为响应于判断接收的访问USB Key的请求的虚拟机可以访问该USB Key，向该USB Key所在主机的虚拟机管理器的USB Key收发模块发送访问USB Key请求；以及USB Key收发模块，被配置为接收所述位于不同主机的多个虚拟机共享USB Key的系统内的其他虚拟机管理器的验证模块发送的访问USB Key的请求，向相连的USB Key发送访问请求。该系统和方法能够节省硬件资源。
【专利说明】用于位于不同主机的多个虚拟机共享USB Key的方法和系 统

【技术领域】
[0001]本公开涉及虚拟机领域，更具体地涉及一种用于位于不同主机的多个虚拟机共享 USB Key的方法和系统。

【背景技术】
[0002] USB Key是一种用于认证的，具有USB接口的硬件设备，它内置智能芯片，可以存 储用户的密钥和数字证书，利用内置的密码算法可以进行加密和解密、数字签名和验证，从 而实现对用户身份的认证，确保信息的保密性、完整性，以及身份的真实性，签名信息的不 可否认性，从而保障系统应用的安全性。
[0003] 虚拟机广泛用于大型的经济机构，例如银行，股票交易所、保险公司等。目前，可以 使用USB Key认证主机是合法用户，从而授权使用；或者认证主机上的虚拟机是合法用户， 授权使用。
[0004] 现有技术中，一个USB Key只能用于一台主机，只有该主机上的虚拟机可以使用该 USB Key进行认证，其他主机不能共享该USB Key。这样，在上述应用中就需要多个USB Key 对应多个主机，造成硬件成本的浪费。


【发明内容】

[0005] 为了解决上述问题，本公开提出了一种用于位于不同主机的多个虚拟机共享USB Key的方法和系统。
[0006] 根据本公开的一个方面，提供了一种用于位于不同主机的多个虚拟机共享USB Key的系统，包括：
[0007] 至少两个能够通过网络通信的虚拟机管理器，其中该至少两个虚拟机管理器位于 不同主机内，分别管理所属主机内的至少一个虚拟机，每个虚拟机管理器包括：
[0008] 虚拟机收发模块，被配置为接收来自所属主机内的虚拟机的访问USB Key的请 求；
[0009] 存储模块，被配置为存储USB Key与USB Key认证的虚拟机之间的关联关系；
[0010] 验证模块，被配置为根据存储模块存储的USB Key与USB Key认证的虚拟机之间 的关联关系，响应于判断接收的访问USB Key的请求的虚拟机可以访问该USB Key,向该USB Key所在主机的虚拟机管理器的USB Key收发模块发送访问USB Key请求；以及
[0011] USB Key收发模块，被配置为接收所述用于位于不同主机的多个虚拟机共享USB Key的系统内的其他虚拟机管理器的验证模块发送的访问USB Key的请求，向相连的USB Key发送访问请求。
[0012] 根据本公开的另一个方面，提供了一种用于位于不同主机的多个虚拟机共享USB Key的方法,其中至少两个能够通过网络通信的虚拟机管理器中的第一虚拟机管理器位于 第一主机内，管理第一主机内的至少一个虚拟机，第二虚拟机管理器位于第二主机内，管理 第二主机内的至少一个虚拟机以及控制与第二主机相连的USB Key的通信，该方法包括： [0013] 第一虚拟机管理器接收来自第一主机内的虚拟机的访问USB Key的请求，其中第 一虚拟机管理器内存储USB Key与USB Key认证的虚拟机之间的关联关系；
[0014] 第一虚拟机管理器根据存储的USB Key与USB Key认证的虚拟机之间的关联关 系，响应于判断接收的访问USB Key的请求的虚拟机可以访问该USB Key,向该USB Key所 在第二主机的第二虚拟机管理器发送访问该USB Key请求；
[0015] 第二主机的第二虚拟机管理器接收所述第一虚拟机管理器发送的访问USB Key的 请求，向相连的USB Key发送访问请求。
[0016] 利用根据本公开的方法和系统，能够使多个主机上的虚拟机共享一个USB Key, 达到节省资源的目的。

【专利附图】

【附图说明】
[0017]通过结合附图对本公开示例性实施方式进行更详细的描述，本公开的上述以及其 它目的、特征和优势将变得更加明显，其中，在本公开示例性实施方式中，相同的参考标号 通常代表相同部件。
[0018]图1示出了适于用来实现本公开实施方式的示例性计算机系统/服务器12的框 图；
[0019]图2示意性示出了根据本公开一个实施例的用于位于不同主机的多个虚拟机共 享USB Key的系统的结构框图；以及
[0020]图3示意性示出了根据本公开一个实施例的用于位于不同主机的多个虚拟机共 享USB Key的方法流程。

【具体实施方式】
[0021]下面将参照附图更详细地描述本公开的优选实施方式。虽然附图中显示了本公开 的优选实施方式，然而应该理解，可以以各种形式实现本公开而不应被这里阐述的实施方 式所限制。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的 范围完整地传达给本领域的技术人员。
[0022]所属【技术领域】的技术人员知道，本公开可以实现为系统、方法或计算机程序产品。 因此，本公开可以具体实现为以下形式，g卩：可以是完全的硬件、也可以是完全的软件(包括 固件、驻留软件、微代码等)，还可以是硬件和软件结合的形式，本文一般称为"电路"、"模 块"或"系统"。此外，在一些实施例中，本公开还可以实现为在一个或多个计算机可读介质 中的计算机程^产品的形式，该计算机可读介质中包含计算机可读的程序代码。
[0023] 米用个或多个计算机可读的介质的任意组合。计算机可读介质可以是计 ^机可if 介质或者计算机可读存储介质。计算机可读存储介质例如可以是--但不限 于一I电、>磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算 机可读存储介质的更具体的例子(非穷举的列表）包括：具有一个或多个导线的电连接、便 携式计算机磁盘、硬盘、随机存取存储器 （RAM)、只读存储器（R0M)、可擦式可编程只读存储 器（EPROM或闪^)、光纤、便携式紧凑磁盘只读存储器 （CD-R〇M)、光存储器件、磁存储器件、 或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程 序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0024] 计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号， 其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括--但 不限于-电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是 计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者 传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0025] 计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括--但不限 于--无线、电线、光缆、RF等等，或者上述的任意合适的组合。
[0026] 可以以一种或多种程序设计语言或其组合来编写用于执行本公开操作的计算机 程序代码，所述程序设计语言包括面向对象的程序设计语言一诸如Java、Smalltalk、C++， 还包括常规的过程式程序设计语言一诸如" C"语言或类似的程序设计语言。程序代码可以 完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部 分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在 涉及远程计算机的情形中，远程计算机可以通过任意种类的网络--包括局域网（LAN)或 广域网（WAN)-连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提 供商来通过因特网连接)。
[0027] 下面将参照本公开实施例的方法、装置(系统）和计算机程序产品的流程图和/或 框图描述本公开。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方 框的组合，都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、 专用计算机或其它可编程数据处理装置的处理器，从而生产出一种虚拟机，这些计算机程 序指令通过计算机或其它可编程数据处理装置执行，产生了实现流程图和/或框图中的方 框中规定的功能/操作的装置。
[0028] 也可以把这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置 以特定方式工作的计算机可读介质中，这样，存储在计算机可读介质中的指令就产生出一 个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置（instruction means)的制造品（manufacture)。
[0029] 也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备 上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计 算机实现的过程，从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图 和/或框图中的方框中规定的功能/操作的过程。
[0030] 图1示出了适于用来实现本公开实施方式的示例性计算机系统/服务器12的框 图。图1显示的计算机系统/服务器12仅仅是一个示例，不应对本公开实施例的功能和使 用范围带来任何限制。
[0031] 如图1所示，计算机系统/服务器12以通用计算设备的形式表现。计算机系统 /服务器12的组件可以包括但不限于：一个或者多个处理器或者处理单元16,系统存储器 28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
[0032] 总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器， 外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举 例来说，这些体系结构包括但不限于工业标准体系结构（ISA)总线，微通道体系结构（MAC) 总线，增强型ISA总线、视频电子标准协会（VESA)局域总线以及外围组件互连（pci)总线。 [0033]计算机系统/服务器丨2典型地包括多种计算机系统可读介质。这些介质可以是 任何能够被计算机系统/服务器I 2访问的可用介质，包括易失性和非易失性介质，可迁移 的和不可迁移的介质。 '
[0034]系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存 取存储器（RAM)3〇和/或高速缓存存储器％。计算机系统/服务器12可以进一步包括其 它可迁移/不可迁移的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统 34 可以用f读写不可迁移的、非易失性磁介质（图1未显示，通常称为"硬盘驱动器")。尽管图 1中未不出，可以提供用于对可迁移非易失性磁盘(例如"软盘")读写的磁盘驱动器，以及对 可迁移非易失性光盘(例如CD-ROM，DVD-ROM或者其它光介质）读写的光盘驱动器。在这些 情况下，每个驱动器可以通过一个或者多个数据介质接口与总线 18相连。存储器28可以 包括至少一个程序产品，该程序产品具有一组(例如至少一个）程序模块，这些程序模块被 配置以执行本公开各实施例的功能。
[0035]具有一组(至少一个）程序模块42的程序/实用工具40,可以存储在例如存储器 28中，这样的程序模块42包括--但不限于--操作系统、一个或者多个应用程序、其它 程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程 序模块42通常执行本公开所描述的实施例中的功能和/或方法。
[0036]计算机系统/服务器12也可以与一个或多个外部设备14 (例如键盘、指向设备、 显不器24等)通fg，还可与一个或者多个使得用户能与该计算机系统/服务器丨2交互的设 备通信，和/或与使得该计算机系统/服务器12能与一个或多个其它计算设备进行通信的 任何设备(例如网卡，调制解调器等等）通信。这种通信可以通过输入/输出（I/O)接口 22 进行。并且，计算机系统/服务器12还可以通过网络适配器20与一个或者多个网络(例如 局域网（LAN)，广域网（WAN)和/或公共网络，例如因特网）通信。如图所示，网络适配器 2〇 通过总线18与计算机系统/服务器12的其它模块通信。应当明白，尽管图中未示出，可以 结合计算机系统/服务器12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱 动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。 [00 37]下面，将参照附图来描述根据本公开实施例的用于位于不同主机的多个虚拟机共 享USB Key的方法和系统。
[0038]图2不意性不出了根据本公开一个实施例的用于位于不同主机的多个虚拟机共 享USB Key的系统2〇00的结构框图，根据图2,图2的虚线框内为系统2000,包括至少两个 能够通过网络通信的虚拟机管理器，其中该至少两个虚拟机管理器位于不同主机内，分别 管理所属主机内的至少一个虚拟机。例如图2中第一虚拟机管理器201位于第一主机200 内，被配置为管理第一主机200内的至少一个虚拟机，即虚拟机2001，…,虚拟机200η。第 二虚拟机管理器 3〇1位于第二主机300内，被配置为管理第二主机3〇〇内的至少一个虚拟 机，即虚拟机3001，…，虚拟机300η,并控制与第二主机相连的USB Key (302)的通信。 [0039] 在一种实施方式中，虚拟机管理器（201,301)包含存储模块（204, 304)，被配置为 存储USB Key与USB Key认证的虚拟机之间的关联关系。在一种实施方式中，可以采用USB Key配置表来记录认证的USB Key与USB Key认证的虚拟机之间的关联关系，例如表1示出 了一种USB Key配置表。
[0040] 表 1USB Key 配置表
[0041] OSB K-的唯一Μ?]晉I應在細该USM矽的I US? Key所在的主 ___差机上_虚拟机雨到表 机"识符
[0042]其中，USB Key的唯一识别号，用于多个虚拟机使用不同USB Key认证的情况下 对USB Key进行识别；正在使用该USB Key的主机上的虚拟机的列表，用于表示正在使用 该USB Key认证的虚拟机的唯一识别码集合；USB Key所在的主机标识符，用于指示该USB Key所在的主机，优选地，可以是主机的名称，也可以是主机的IP地址，或者其它唯一识别 主机的标识。本领域技术人员可以知道，也可以采用其它数据结构来表达上述USB Key与 USB Key认证的虚拟机之间的关联关系，例如数组，RASH表等等，这里不再赘述。为了叙述 方便，本申请后续都以USB Key配置表来表示USB Key与USB Key认证的虚拟机之间的关 联关系。USB Key与USB Key认证的虚拟机之间的关联关系可以在虚拟机建立的时候建立， 也可以由系统管理员手工输入，还可以通过网络或者存储设备导入。
[0043]在一种实施方式中，存储模块存储上述USB Key与USB Key认证的虚拟机之间的 关联关系可以包括系统2000管理的全部USB Key的USB Key与USB Key认证的虚拟机之 间的关联关系，也就是说，系统2000内的各虚拟机管理器的存储模块存储的USB Key配置 表是一样的，后续称之为全局USB Key配置表，当任何一个存储模块对其存储的USB Key配 置表进行更新时，其他虚拟机管理器的存储模块的USB Key配置表都要进行同步。
[0044] 在另一种实施方式中，每个主机的虚拟机管理器的存储模块只存储自己主机的虚 拟机相关联的USB Key的USB Key与USB Key认证的虚拟机之间的关联关系，例如，存储 模块2〇4存储的USB Key配置表包括虚拟机2001,…，200η相关联的USB Key的USB Key 与USB Key认证的虚拟机之间的关联关系，而不包括虚拟机3001，…，300η相关联的USB Key的USB Key与USB Key认证的虚拟机之间的关联关系；虚拟机2001,…，200η相关联 的USB Key可能并不与主机200相连；而存储模块304存储的USB Key配置表包括虚拟机 3001，…，300η相关联的的USB Key的USB Key与USB Key认证的虚拟机之间的关联关系， 这里虚拟机3001，…，300η相关联的的USB Key可能也并不与主机300相连。后续称之为 局部USB Key配置表。这种情况下，当一个存储模块对其存储的USB Key配置表进行更新 时，关联的虚拟机管理器要相应更新其存储模块存储的USB Key配置表。
[0045] 存储模块存储上述认证的USB Key与USB Key认证的虚拟机之间的关联关系后， 在一种实施方式中，每一个虚拟机管理器（201,301)还包括：虚拟机收发模块（206,306)， 被配置为接收来自所属虚拟机的访问USB Key的请求，以及验证模块（205,305)，被配置为 根据存储模块存储的USB Key与USB Key认证的虚拟机之间的关联关系，响应于判断接收 的访问USB Key的请求的虚拟机可以访问该USB Key，向该USB Key所在主机的虚拟机管理 器的USB Key收发模块发送访问USB Key请求；以及USB Key收发模块（207,307)，被配置 为接收所述用于位于不同主机的多个虚拟机共享USB Key的系统2000内的任意虚拟机管 理器的验证模块发送的访问USB Key的请求，向相连的USB Key发送访问请求。例如，图2 中，第一虚拟机管理器（201)的虚拟机收发模块（206)接收来自第一主机内的虚拟机2001 的访问USB Key302的请求，其中第一虚拟机管理器（201)内的存储模块（205)存储USB Key 与USB Key认证的虚拟机之间的关联关系；第一虚拟机管理器（2〇1)的认证模块（2〇5)根 据存储模块存储的USB Key与USB Key认证的虚拟机之间的关联关系，判断接收的访问USB Key3〇2的请求的虚拟机2001可以访问该USB Key3〇2,向该USB Key3〇2所在第二主机的第 二虚拟机管理器（3〇1)的USB Key收发模块（3〇7)的发送访问USB Key302请求；第二主机 (3〇0)的第二虚拟机管理器（301)的USB Key收发模块（307)接收所述第一虚拟机管理器 (201)的认证模块（205)发送的访问USB Key3〇2的请求，向相连的USB Key302发送访问请 求。
[0046]这里，对于现有技术中的主机上的虚拟机可以访问该主机上相连的USB Key的 技术，可以不做任何改变，只是在USB Key配置表中不加入这些虚拟机的列表；或者，还可 以将现有技术融入到本公开的实施方案，将主机上的虚拟机可以访问该主机上相连的 USB Key也加入USB Key配置表中，这样将所有的USB Key认证访问都由虚拟机管理器控制。 [0047] 优选地，验证模块（205,305)，还被配置为根据存储模块存储的USB Key与USB Key认证的虚拟机之间的关联关系，响应于判断接收的访问USB Key的请求的虚拟机不可 以访问该USB Key，回复该虚拟机没有访问权限。
[0048] 在一个示例中，假设系统采用如表2所示的全局USB Key配置表。
[0049] 表2示例的USB Key配置表
[0050]

【权利要求】
1. 一种用于位于不同主机的多个虚拟机共享USB Key的系统，包括： 至少两个能够通过网络通信的虚拟机管理器，其中该至少两个虚拟机管理器位于不同 主机内，分别管理所属主机内的至少一个虚拟机，每个虚拟机管理器包括： 虚拟机收发模块，被配置为接收来自所属主机内的虚拟机的访问USB Key的请求； 存储模块，被配置为存储USB Key与USB Key认证的虚拟机之间的关联关系； 验证模块，被配置为根据存储模块存储的USB Key与USB Key认证的虚拟机之间的关 联关系，响应于判断接收的访问USB Key的请求的虚拟机可以访问该USB Key，向该USB Key 所在主机的虚拟机管理器的USB Key收发模块发送访问USB Key请求；以及 USB Key收发模块，被配置为接收所述用于位于不同主机的多个虚拟机共享USB Key的 系统内的其他虚拟机管理器的验证模块发送的访问USB Key的请求，向相连的USB Key发 送访问请求。
2. 如权利要求1所述的系统，其中USB Key与USB Key认证的虚拟机之间的关联关系 采用USB Key配置表存储，该USB Key配置表的表项包括： USB Key的唯一识别号，用于多个虚拟机使用不同USB Key认证的情况下对USB Key进 行识别； 正在使用该USB Key的主机上的虚拟机的列表，用于表示正在使用该USB Key认证的 虚拟机的唯一识别码集合； USB Key所在的主机标识符，用于指示该USB Key所在的主机。
3. 如权利要求2所述的系统，其中USB Key与USB Key认证的虚拟机之间的关联关系 还包括USB Key被允许使用的虚拟机的最大个数。
4. 如权利要求3所述的系统，其中每个虚拟机管理器还包括新建虚拟机认证模块，被 配置为： 响应于在主机中新建虚拟机，根据USB Key的唯一识别号、正在使用该USB Key的主机 上的虚拟机的列表，以及该USB Key被允许使用的虚拟机的最大个数，确认该USB Key是否 还有多余的认证；以及 响应于有多余的认证，则将该新建虚拟机的唯一识别码加入到正在使用该USB Key的 主机上的虚拟机的列表中。
5. 如权利要求4所述的系统，其中每个虚拟机管理器还包括删除虚拟机认证模块，被 配置为响应于虚拟机不再使用USB Key进行认证，将该虚拟机的唯一识别码从USB Key配 置表的正在使用该USB Key的主机上的虚拟机的列表中删除。
6. 如权利要求1-5之一所述的系统，其中虚拟机收发模块被进一步被配置为接收来自 多个虚拟机的访问USB Key的请求，将所述多个请求排成队列，依次发送给验证模块。
7. 如权利要求6所述的系统，其中所述多个请求中包含虚拟机的请求重要性级别，将 所述多个请求按照虚拟机的请求重要性级别排成队列，依次发送给验证模块。
8. 如权利要求2-5之一所述的系统，其中各虚拟机管理器还包括：迁移模块，被配置为 响应于虚拟机被迁移到不在所述位于不同主机的多个虚拟机共享USB Key的系统中的新的 主机，将该新的主机的虚拟机管理器加入到所述位于不同主机的多个虚拟机共享USB Key 的系统中。
9. 如权利要求8所述的系统，其中将该新的主机的虚拟机管理器加入到所述位于不同 主机的多个虚拟机共享USB Key的系统中包括响应于USB Key配置表采用全局USB Key配 置表，将存储的全局USB Key配置表同步到所述新的主机的虚拟机管理器。
10. 如权利要求8所述的系统，其中将该新的主机的虚拟机管理器加入到所述用于位 于不同主机的多个虚拟机共享USB Key的系统中包括响应于USB Key配置表采用局部USB Key配置表，将存储的局部USB Key配置表中和该虚拟机相关的配置迁移到所述新的主机 的虚拟机管理器。
11. 一种用于位于不同主机的多个虚拟机共享USB Key的方法，其中至少两个能够通 过网络通信的虚拟机管理器中的第一虚拟机管理器位于第一主机内，管理第一主机内的至 少一个虚拟机，第二虚拟机管理器位于第二主机内，管理第二主机内的至少一个虚拟机以 及控制与第二主机相连的USB Key的通信，该方法包括： 第一虚拟机管理器接收来自第一主机内的虚拟机的访问USB Key的请求，其中第一虚 拟机管理器内存储USB Key与USB Key认证的虚拟机之间的关联关系； 第一虚拟机管理器根据存储的USB Key与USB Key认证的虚拟机之间的关联关系，响 应于判断接收的访问USB Key的请求的虚拟机可以访问该USB Key，向该USB Key所在第二 主机的第二虚拟机管理器发送访问该USB Key请求； 第二主机的第二虚拟机管理器接收所述第一虚拟机管理器发送的访问USB Key的请 求，向相连的USB Key发送访问请求。
12. 如权利要求11所述的方法，其中USB Key与USB Key认证的虚拟机之间的关联关 系采用USB Key配置表存储，该USB Key配置表的表项包括： USB Key的唯一识别号，用于多个虚拟机使用不同USB Key认证的情况下对USB Key进 行识别； 正在使用该USB Key的主机上的虚拟机的列表，用于表示正在使用该USB Key认证的 虚拟机的唯一识别码集合； USB Key所在的主机标识符，用于指示该USB Key所在的主机。
13. 如权利要求12所述的方法，其中USB Key与USB Key认证的虚拟机之间的关联关 系还包括USB Key被允许使用的虚拟机的最大个数。
14. 如权利要求11所述的方法，该方法还包括： 响应于在第一主机中新建虚拟机，根据第二虚拟机管理器内存储的USB Key的唯一识 别号、正在使用该USB Key的主机上的虚拟机的列表，以及该USB Key被允许使用的虚拟机 的最大个数，确认该USB Key是否还有多余的认证；以及 响应于有多余的认证，则将该虚拟机的唯一识别码加入到正在使用该USB Key的主机 上的虚拟机的列表中。
15. 如权利要求14所述的方法，该方法还包括：响应于虚拟机不再使用USB Key进行 认证，将该虚拟机的唯一识别码从USB Key配置表的正在使用该USB Key的主机上的虚拟 机的列表中删除。
16. 如权利要求11-15之一所述的方法，其中第一虚拟机管理器接收来自第一主机内 的虚拟机的访问USB Key的请求包括第一虚拟机管理器接收来自第一主机内的多个虚拟机 的访问USB Key的请求，将所述多个请求排成队列，依次处理。
17. 如权利要求16所述的方法，其中所述多个请求中包含所述多个虚拟机的请求重要 性级别，将所述多个请求按照所述多个虚拟机的请求重要性级别排成队列，依次处理。
18. 如权利要求12-15之一所述的方法，其中响应于将第一主机上的虚拟机迁移到第 三主机，第三主机的第三虚拟机管理器管理的至少一个虚拟机与第一和第二虚拟机管理器 管理的虚拟机之间不存在共享USB Key的关系，建立第三主机的第三虚拟机管理器管理的 虚拟机与第一和第二虚拟机管理器管理的虚拟机之间共享USB Key的关系。
19. 如权利要求18所述的方法，其中建立第三主机的第三虚拟机管理器管理的虚拟机 与第一和第二虚拟机管理器管理的虚拟机之间共享USB Key的关系包括响应于USB Key配 置表采用全局USB Key配置表，将第一主机的虚拟机管理器存储的全局USB Key配置表同 步到所述第三主机的虚拟机管理器。
20. 如权利要求18所述的方法，其中建立第三主机的第三虚拟机管理器管理的虚拟机 与第一和第二虚拟机管理器管理的虚拟机之间共享USB Key的关系包括响应于USB Key配 置表米用局部USB Key配置表，将第一主机的虚拟机管理器存储的局部USB Key配置表中 和该虚拟机相关的配置迁移到第三主机的虚拟机管理器。
【文档编号】H04L29/08GK104252375SQ201310256168
【公开日】2014年12月31日 申请日期:2013年6月25日 优先权日:2013年6月25日
【发明者】张千, 张斌奇, 庄庆鸿, 卫李俊 申请人:国际商业机器公司