[发明专利]云计算架构中的虚拟机之间的安全通信

说明书

技术领域

本发明涉及云计算的技术领域，具体地，涉及在云计算架构中创建用户的虚拟机的方法及装置以及在云计算架构中控制虚拟机之间的安全通信的方法及装置。

背景技术

近年来，云计算技术正在快速地发展。云计算是一种基于因特网的计算方式，通过这种方式，共享的软硬件资源和信息可以按需提供给用户。

图1示出了现有的云计算架构的一个例子的示意图。如图1所示，基础设施层使用虚拟化、数据库存储等技术为中间层准备所需的计算和存储等资源，中间层使用多租户(tenant)技术，能够使单独的应用为多个组织(租户)服务。

在这种云计算架构中，通过虚拟化技术，能够在一个物理服务器上生成多个虚拟机，并通过虚拟机管理器进行管理，从而可以降低成本、简化管理。然而，由于在虚拟化技术中，物理资源对于分别属于多个用户的多个虚拟机是透明共享的，因此，会对安全性带来负影响，例如导致滥用、影响机密性、完整性等。例如，恶意用户可能利用属于其的虚拟机以试图窃取同一服务器的其它用户的数据。

现有的用于云计算架构中的虚拟机之间的通信的安全机制提供了例如虚拟防火墙、虚拟机间的流量分析、访问控制等技术。防火墙技术通过虚拟网络分段来防止虚拟机之间的未授权通信。此外，作为访问控制技术，为了防止虚拟机被窃取或未授权访问，可以执行如TCP五元组(即源IP地址、目的IP地址、源端口、目的端口、协议)、安全组(例如资源池、文件夹、容器及其它vSphere分组等)的安全策略。

下面以图1所示的云计算架构为例，描述现有的在云计算架构中创建虚拟机及保护虚拟机之间的通信的技术。如图1所示，用户A和用户B分别针对同一应用创建各自的租户，即租户A和租户B。在此，租户是指用户在执行某个应用时而生成的实例。这种针对同一应用而创建的租户可被认为是具有相同类型的租户。租户A和租户B分别向虚拟机管理器(VMM)发送请求以创建虚拟机。响应于来自租户A和租户B的请求，虚拟机管理器为它们各自创建一个或多个虚拟机，每个虚拟机被分配有虚拟IP地址。在图1中，用VM_A₁、...、VM_A_k表示属于租户A的虚拟机，用VM_B₁、...、VM_B_m表示属于租户B的虚拟机。另外，用户C针对另一个应用创建租户C，因此，租户C是与租户A、租户B不同类型的租户。虚拟机管理器在接收了来自租户C的创建虚拟机的请求后，为其创建一个或多个虚拟机，在图中示为VM_C₁、...、VM_C_n。虚拟机管理器在创建虚拟机时，在数据库中为虚拟机所属的租户的数据分配了数据存储区域。在这种云计算架构中，由虚拟机管理器执行保护虚拟机之间的通信的安全策略。

在现有的用于虚拟机之间的通信的安全机制中，假定属于相同类型的租户的虚拟机所在的环境是可信任的，属于不同类型的租户的虚拟机通过例如虚拟防火墙、虚拟网络分段等机制而彼此隔离。在这种情况下，属于相同类型的租户的虚拟机可以彼此通信，仅需执行云提供商或服务提供商所要求的缺省的访问控制策略。例如，在图1所示的云计算架构中，虚拟机VM_A1能够与虚拟机VM_B1直接通信，因为它们属于相同类型的租户。然而，属于不同类型的租户的虚拟机之间在彼此通信之前需要执行安全策略。例如，在图1所示的云计算架构中，当虚拟机VM_A1想要与虚拟机VM_C1通信时，由于它们分别属于不同类型的租户A和租户C，因此，需要检查虚拟机VM_A1是否被允许与虚拟机VM_C1进行通信。这可通过虚拟机管理器执行访问控制策略来实现。只有在虚拟机VM_A1被授权与虚拟机VM_C1通信的情况下，虚拟机VM_A1才被允许与虚拟机VM_C1进行通信。然而，由于属于相同类型的租户的虚拟机之间可以无需执行安全策略地进行通信，因此，存在恶意用户通过创建属于某一类型的租户的虚拟机来攻击属于相同类型的租户的其它虚拟机并获取相应的租户数据的风险。

此外，现有的用于虚拟机之间的通信的安全机制是根据云提供商或服务提供商的安全策略而设置的，用户并不能够根据其安全需求而主动定制所需的安全级别以保护其网络资源。例如，对于属于相同类型的租户A和租户B，如果用户A想要请求高的安全级别以保护租户A的数据，则现有的安全机制不能根据用户A的请求为租户A的数据分配更安全的数据存储区域，也不能根据用户A的请求来对请求与属于租户A的虚拟机通信的虚拟机进行高级别的安全访问控制，而只能根据云提供商或服务提供商的安全策略设置租户A的安全机制。

发明内容