[发明专利]一种虚拟机通讯数据加密方法及系统

说明书

技术领域

本发明涉及数据安全技术领域，特别是涉及一种虚拟机通讯数据加密方法及系统。

背景技术

目前，在云环境中不同租户的虚拟机在虚拟网络中仅通过vlan进行隔离，但云平台的管理员可在计算节点的网络设备上(如网桥)上监听租户虚拟机的网络通讯数据；通过攻击并获取了计算节点超级用户权限的黑客同样可监听该计算节点上任何租户的虚拟机的网络通讯数据。因此，如何加强虚拟机在虚拟网络中的通讯数据隔离性和安全性成为云计算应用的一个重大挑战。

本发明基于Qemu在Hypervisor层实现对虚拟机的网络数据包进行IPsec加密，采用密码技术实现虚拟网络数据加密，加强了不同租户虚拟机的网络数据隔离，提高了虚拟机的网络数据传输安全。

发明内容

有鉴于此，本发明提供了一种虚拟机通讯数据加密方法及系统，以加强不同租户虚拟机之间通讯数据的隔离性，进而提高虚拟机之间通讯数据的传输安全性。

为解决上述技术问题，本发明提供一种虚拟机通讯数据加密方法，包括：

获取源端虚拟机的通讯数据，并为所述通讯数据分配相应的密钥；所述通讯数据为所述源端虚拟机在网络层的IP报文；

利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作；

将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机。

上述方法中，优选的，所述为所述通讯数据分配相应的密钥包括：

针对所述通讯数据中的IP地址，为所述通讯数据分配与所述IP地址相对应的所述密钥。

上述方法中，优选的，所述获取源端虚拟机的通讯数据包括：

通过Qemu提供的虚拟网络设备接口获取所述通信数据。

上述方法中，优选的，在所述将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机之后，还包括：

接收所述IPSec加密和封装后的通讯数据；

解封装和解密所述IPSec加密和封装后的通讯数据，得到所述通讯数据。

上述方法中，优选的，在所述利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作之前，还包括：

缩短TCP_MSS的长度。

本发明还提供了一种虚拟机通讯数据加密系统，包括：

策略管理模块，用于获取源端虚拟机的通讯数据，并为所述通讯数据分配相应的密钥；所述通讯数据为所述源端虚拟机在网络层的IP报文；

IPSec加密模块，用于利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作；

数据发送模块，用于将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机。

上述系统中，优选的，所述策略管理模块具体用于：针对所述通讯数据中的IP地址，为所述通讯数据分配与所述IP地址相对应的所述密钥。

上述系统中，优选的，所述策略管理模块具体用于：通过Qemu提供的虚拟网络设备接口获取所述通信数据。

上述系统中，优选的，所述IPSec加密模块还用于：在所述将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机之后，接收所述IPSec加密和封装后的通讯数据；解封装和解密所述IPSec加密和封装后的通讯数据，得到所述通讯数据。

上述系统中，优选的，还包括：

最大分段大小缩短模块，用于在所述利用分配的密钥，对所述通讯数据进行IPSec加密和封装操作之前，缩短TCP_MSS的长度。

以上本发明提供的一种虚拟机通讯数据加密方法及系统，基于TCP/IP网络协议，首先，在获取源端虚拟机的通讯数据之后，为该通讯数据分配相应的密钥；通讯数据为源端虚拟机在网络层的IP报文；然后，利用分配的密钥，对通讯数据进行IPSec加密和封装操作；将IPSec加密和封装后的通讯数据通过Host主机的物理网卡发送至目的端虚拟机，以此实现了对源端虚拟机和目的端虚拟机之间通讯数据的加密传输，达到了加强不同租户虚拟机之间通讯数据的隔离性，进而提高虚拟机之间通讯数据的传输安全性的目的。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本发明实施例提供的一种虚拟机通讯数据加密方法的流程图；