[发明专利]一种虚拟机通讯数据加密方法及系统

权利要求书

1.一种虚拟机通讯数据加密方法，其特征在于，包括：

获取源端虚拟机的通讯数据，并为所述通讯数据分配相应的密钥；所述通讯数据为所述源端虚拟机在网络层的IP报文；

利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作；

将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机。

2.如权利要求1所述的方法，其特征在于，所述为所述通讯数据分配相应的密钥包括：

针对所述通讯数据中的IP地址，为所述通讯数据分配与所述IP地址相对应的所述密钥。

3.如权利要求2所述的方法，其特征在于，所述获取源端虚拟机的通讯数据包括：

通过Qemu提供的虚拟网络设备接口获取所述通信数据。

4.如权利要求3所述的方法，其特征在于，在所述将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机之后，还包括：

接收所述IPSec加密和封装后的通讯数据；

解封装和解密所述IPSec加密和封装后的通讯数据，得到所述通讯数据。

5.如权利要求1至4任意一项所述的方法，其特征在于，在所述利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作之前，还包括：

缩短TCP_MSS的长度。

6.一种虚拟机通讯数据加密系统，其特征在于，包括：

策略管理模块，用于获取源端虚拟机的通讯数据，并为所述通讯数据分配相应的密钥；所述通讯数据为所述源端虚拟机在网络层的IP报文；

IPSec加密模块，用于利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作；

数据发送模块，用于将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机。

7.如权利要求6所述的系统，其特征在于，所述策略管理模块具体用于：针对所述通讯数据中的IP地址，为所述通讯数据分配与所述IP地址相对应的所述密钥。

8.如权利要求7所述的系统，其特征在于，所述策略管理模块具体用于：通过Qemu提供的虚拟网络设备接口获取所述通信数据。

9.如权利要求8所述的系统，其特征在于，所述IPSec加密模块还用于：在所述将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机之后，接收所述IPSec加密和封装后的通讯数据；解封装和解密所述IPSec加密和封装后的通讯数据，得到所述通讯数据。

10.如权利要求6至9任意一项所述的系统，其特征在于，还包括：

最大分段大小缩短模块，用于在所述利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作之前，缩短TCP_MSS的长度。