[发明专利]安全增强的虚拟机通信方法和虚拟机系统

说明书

技术领域

本发明涉及虚拟化技术，尤其是涉及安全增强的虚拟机通信方法 和虚拟机系统。

背景技术

虚拟化是一种有益于计算机(例如服务器)的用户的技术。通过 虚拟化，IT基础架构得以资源共享，IT成本下降，同时现有计算机 硬件的效率、利用率和灵活性提高。概括而言，虚拟化可以带来如下 益处：服务器整合和架构优化、硬件成本下降、运营成本降低、应用 可用性提高和系统更易于进行管理。许多系统级供应商在它们的软件 和服务中提供了虚拟化能力。例如，Red Hat已经在其企业版Linux 5 中增加了Xen开放源码的虚拟机管理器(hypervisor)。

通常，一个物理机作为两个或更多虚拟机(virtual machine，简 称VM)的主机。物理机上安装有用于管理虚拟机的虚拟机管理器。 这些虚拟机可以通过由虚拟机管理器产生的虚拟交换机/虚拟局域网 (VSWITCH/VLAN)彼此直接通信。例如，一个虚拟机可以将信息 传递给虚拟机管理器，然后虚拟机管理器再传递给另一虚拟机，从而 实现虚拟机之间的通信。

但是，在虚拟机环境下，传统的防火墙和入侵防护系统难以阻挡 对虚拟机的攻击。当一个虚拟机被例如病毒感染时，病毒将通过 VSWITCH/VLAN直接攻击以同一物理机为主机的其它虚拟机。这与 物理环境不同。在物理环境下，部署的防火墙/防病毒工具可以阻挡物 理网络中的攻击。

而在虚拟环境下，由于在VSWITCH/VLAN中没有防火墙/防病 毒工具，诸如病毒的恶意代码可以通过VSWITCH/VLAN容易地扩 散。从而使得虚拟机之间的通信的安全性降低。

目前，市场上的安全产品通常关注于物理环境，而非虚拟环境。 没有针对虚拟机安全通信的安全产品。并且，目前的虚拟机管理器也 没有嵌入关于虚拟机安全通信的安全机制。

例如，图1示出了传统的虚拟机环境的示意图。如图所示，在传 统的虚拟机系统100中，例如，虚拟机VM1、VM2和VM3连接在 虚拟网络VNet中。防火墙100将虚拟机所在的物理机及虚拟网络与 外界隔离。在这种环境下，虚拟机VM1、VM2和VM3可以通过虚 拟交换机/虚拟局域网直接通信，而不经过防火墙100。假设虚拟机 VM3向VM1发送攻击代码包，则由于没有安全防护机制，VM1轻 易地就被感染。

发明内容

鉴于现有技术中存在的上述问题，本发明的一个目的是提供一种 安全增强的虚拟机通信方法和虚拟机系统，其能够增强虚拟机之间的 通信的安全性。

为了实现上述目的，根据本发明的一个方面，提供一种安全增强 的虚拟机系统，其包括虚拟网络中位于同一物理机上的多台虚拟机。 该虚拟机系统包括：耦连在虚拟网络中的虚拟网络安全管理器，和与 该虚拟网络安全管理器耦连的影子系统，该影子系统位于不同于所述 虚拟机所在的物理机的另一物理机上。其中该虚拟网络安全管理器复 制虚拟机之间发送的包，并将复制的包通过物理安全设备转发到该影 子系统；该影子系统将指示接收到该包的响应信息返回该虚拟网络安 全管理器；以及该虚拟网络安全管理器根据返回的响应信息将该包在 虚拟机之间发送。

根据本发明的另一方面，提供一种安全增强的虚拟机通信方法， 用于虚拟网络中位于同一物理机上的多台虚拟机。该方法包括如下步 骤：检测虚拟网络中由一虚拟机向另一虚拟机发送的包；在共享内存 中保持并复制所检测到的包；将复制的包通过物理安全设备转发到影 子系统，该影子系统位于不同于虚拟机所在的物理机的另一物理机 上；等待并接收从所述影子系统返回的指示接收到该包的响应信息； 根据从所述影子系统返回的响应信息，将该包传送到所述另一虚拟 机。

根据本发明，能够灵活地检测由虚拟机管理器创建的虚拟网络。 本发明提供了保护虚拟机的能力。此外，由于无需对既有的防火墙进 行任何改变，因此，保护了投资并降低了成本。

当结合以下说明和附图考虑时，将更好地获知和理解本发明的这 些和其它方面以及实施例。

附图说明

图1为示出传统的虚拟机环境的示意图。

图2为示出根据本发明原理的示意框图。

图3为示出根据本发明一个实施例的虚拟机系统的示意框图。

图4为示出根据本发明另一实施例的虚拟机系统的示意框图。

图5示出根据本发明又一实施例的虚拟机通信方法的流程图。