[发明专利]一种提高云中虚拟机间通信安全的方法

说明书

本发明涉及一种提高云中虚拟机间通信安全的方法。本发明通过引入密码设备为虚拟机间通信提供服务，密码设备具有传输加密、完整性认证\身份鉴别、数字签名等功能。针对云环境，密码设备安装到物理服务器的PCIE插槽中，在其基础上创建多个虚拟密码设备，提供给本物理服务器中运行的虚拟机使用。

技术领域

本发明涉及一种提高云中虚拟机间通信安全的方法，属于通信安全的技术领域。

背景技术

随着云计算技术的应用越来越广泛，云计算的安全性受到业界的广泛重视。资源的集中和虚拟化、高度复杂和开放的业务场景、不安全的接口和数据传输等给云安全的保障带来了极大的挑战。保障云安全涉及的领域包括物理安全、数据安全、网络安全、身份和访问管理以及应用程序安全等，在引入了密码设备后，可以使用其中的密码服务，云中虚拟机间通信安全将大大增强。

云计算蕴含着巨大的市场潜力，因而被视为计算机领域里最重要、发展最快的分支之一，更多的企业和个人用户开始使用云服务。由于应用范围大、用户广泛，云也成为黑客或各种恶意组织和个人为获取非法利益而攻击的目标，高安全、高可用和高可靠成为用户对云服务最期望的三大要求。

对于高安全的要求，需要解决好云计算安全威胁问题，为云服务打下牢固的基础；如果没有安全基础，一旦被攻击者发现漏洞，用户的隐私和重要数据可能会被窃听或篡改，给用户带来重大损失，甚至直接影响到云计算提供者能否在市场上继续生存。

在OpenStack云环境中，作为云服务的使用者，用户可以根据需要自行创建和使用虚拟机，分配给用户的虚拟机可能运行在单台和多台物理服务器上，虚拟机之间的数据交互、身份认证等，都是用户使用的基本功能，虚拟机间的通信需要有安全的机制去保护用户数据。目前大部分方案都是从软件角度出发，例如通过引入TLS等保密协议，对数据进行加解密操作，TSL中使用的密码算法会带来极大的性能开销，尤其是公钥算法，会占用大量CPU和内存资源，从而导致服务器运行缓慢和卡顿，影响到服务器上其他程序的正常运行。而在一般的商用云环境中，单台服务器上往往运行了大量虚拟机，资源显得非常宝贵。

发明内容

针对现有技术的不足，本发明提供一种提高云中虚拟机间通信安全的方法。

发明概述

本发明通过引入密码设备为虚拟机间通信提供服务，密码设备具有传输加密、完整性认证\身份鉴别、数字签名等功能。针对云环境，密码设备安装到物理服务器的PCIE插槽中，在其基础上创建多个虚拟密码设备，提供给本物理服务器中运行的虚拟机使用。

本发明的技术方案

一种提高云中虚拟机间通信安全的方法，包括步骤如下：

1)与服务器对接：将物理密码设备安装到服务器的PCIE槽上，服务器的驱动程序自动识别物理密码设备，根据服务器上的已创建和预计创建的虚拟机总数量对物理密码设备进行虚拟化，得到足够的虚拟密码设备为虚拟机提供服务；所述虚拟密码设备包括虚拟密码卡；物理密码设备与服务器连接后，其运行消耗的资源不依赖于服务器，它不仅可作为虚拟机间通信数据的交换场所，还可以完成对数据的加解密及提供其他密码服务；

2)虚拟密码卡绑定：虚拟机和虚拟密码卡通过虚拟密码设备提供的接口建议一一对应的绑定关系；绑定关系由虚拟机id和虚拟密码设备id确定；针对云中包括大量虚拟机的场景，密码卡还支持虚拟化技术，一台物理密码设备可根据需要虚拟出多个虚拟密码卡，为服务器上不同的虚拟机所使用；

3)使用密码服务：虚拟密码卡绑定完成后，虚拟机通过调用虚拟密码设备提供的接口实现对密码服务的使用，虚拟密码设备自动进行数据加解密、数据保存和身份验证操作；虚拟机和虚拟密码卡通过接口建立好一一对应的绑定关系后，虚拟机即可方便地使用虚拟密码设备提供的传输加密、完整性认证\身份鉴别、数字签名等密码服务。