[发明专利]基于XEN平台的虚拟安全通信隧道的建立方法

说明书

技术领域：

本发明旨在保证虚拟机之间信息传输的安全性，属于信息安全领域。

背景技术：

XEN是由英国剑桥大学开发的开源虚拟机平台，它的特点是提供了一种被称为半虚拟化(para-virtualize)的虚拟化方式。在这种虚拟化方式的实现方式中，需要修改虚拟机操作系统的源代码，使其通过VMM提供的接口调用硬件资源，而非如传统的虚拟化方式一样需要提供虚拟硬件，这样就大大的提高了虚拟机运行的效率。

目前为减少性能浪费，分布式系统部署于虚拟化平台，各组成模块分别部署于不同的虚拟机上已经成为一种常用的手段。为实现系统的整体功能通常需要各个模块之间紧密协作，这就要求各个虚拟机之间可以安全有效地传输信息。

XEN虚拟化平台为半虚拟化虚拟机之间的通信提供了一种高效的手段，即XEN的内存共享机制。XEN的内存共享机制是以内存页面为单位实现的，实现方式包括页面映射和页面传递。其中，页面映射方法指通过虚拟地址映射的手段，使得目的虚拟机可以按照规定的权限使用源虚拟机中的一块内存，在使用结束后，源虚拟机将收回目的虚拟机对该块内存空间的使用权限；而页面传递方式则是将该块内存空间完全交由目的虚拟机使用，操作结束后并不收回。即页面映射方式仅出让内存的使用权，而页面传递则是将内存空间的所有权移交给目的虚拟机。XEN的内存共享机制由于仅对内存的伪地址进行映射操作，其性能远远高于利用传统的虚拟网络设备进行通信。

XEN内存共享机制是通过授权表(Grant Table)和授权项(Grant Entry)来进行实现的。授权表中有若干授权项，每一个授权项代表一个内存共享操作，其中包含了操作的源虚拟机、目的虚拟机、共享内存的地址、对共享内存的访问规则等等信息。VMM通过查询授权表中的授权项来确认操作是否存在，并且根据授权项中的内容执行内存共享操作。

但是，XEN内存共享操作过程中的安全没有受到保护，如果某虚拟机系统被入侵，入侵者可以假冒其他虚拟机请求内存共享操作，或窃取、篡改通信的内容。发明人提出并实现了一种基于现有XEN内存共享机制的安全通信隧道的建立方法。通过使用加密和散列等手段，保证信息在XEN虚拟机之间传输的真实性、机密性和完整性。

发明内容：

本发明的目的为对XEN虚拟机之间使用内存共享方式进行通信的机制进行安全加固，保证域间通信过程的安全，即基于XEN平台的虚拟安全通信隧道的建立方法。

本方法具体步骤如下：

首先，在VMM中加入密钥管理模块，采用非对称密钥算法，负责生成和保存、管理密钥。在每一个虚拟机启动时，密钥管理模块将为虚拟机生成公钥和私钥，并将私钥分配给虚拟机，将公钥保存在VMM中。

任何一个虚拟机在请求内存共享操作时，必须使用自身的私钥对需要共享的内存的伪地址进行数字签名，并将签名传递给VMM。同时传入的信息包括源虚拟机的ID，目标虚拟机的ID，和未经签名的共享内存地址。VMM在收到请求信息后，根据收到的源虚拟机ID查找对应虚拟机的公钥，并对数字签名进行解密，将解密后的内容与收到的内存地址进行比对，以确认请求来源的正确性。如果证明请求的来源确实是请求中声称的虚拟机，则信息的真实性得到保证，操作可以继续进行，否则，将视为非法操作而取消。

在完成请求来源的身份验证后，VMM将使用目标虚拟机的公钥，对共享内存地址进行加密，并对共享内存中的内容进行散列，之后通知目标虚拟机，并在通知中包含加密过的共享内存地址和共享内存中内容的散列值。这样既可保证除目标虚拟机之外，没有其他的虚拟机可以得到共享内存的地址以及其中的信息。这样，就建立了一条在请求通信的虚拟机双方之间的虚拟隧道。

目标虚拟机在收到VMM的通知之后，使用自身的私钥对收到的加密过的内存地址进行解密，并依照解密操作得到的明文地址获取共享内存中的内容，并使用相同的散列算法对其中的内容进行散列，将得到的散列值与VMM的通知中的散列值比对，进行信息完整性的鉴别。如果完整性鉴别通过，则说明共享内存中的内容没有被篡改过，可以使用。否则，认为信息受到破坏，操作终止。

本发明的特点是将XEN的内存共享机制更改为经过加密的专属隧道通信方式，由第三方(VMM)验证通信双方身份的真实性和可靠性，搭建通信隧道，并将通信信道与除通信双方之外的其他虚拟机隔离开来，保证通信过程中信息的安全。同时，加密操作的对象为共享内存的伪地址，即对通信隧道的入口进行保护，而非如传统手段对传输的信息进行加密。

附图说明：

图1是本发明实现基于XEN的虚拟安全通信隧道的方法架构图。