[发明专利]一种基于XEN虚拟机的自适应的网络通信加密方法

说明书

技术领域

本发明涉及云计算安全领域，特别是一种基于XEN虚拟机的自适应的网络 通信加密方法。

背景技术

云计算模式流行以后，虚拟机越来越多成为网络通信的主体，两个不同的 虚拟机需要通信，需要考虑两种情况：1、两台虚拟机在同一个物理主机上；2、 两台虚拟机位于不同的物理机上。第二种情况下，由于最终的数据包经由物理 网卡发送和接收，因此，正如真实物理机进行通信一样，虚拟机进行通信同样 会受到信息被截获的威胁。传统方法通过应用层的软件进行加解密来解决这个 问题。可这种方法存在适应性差、效率低、需要用户进行人工干预的缺点。

发明内容

本发明解决的技术问题在于一种基于XEN虚拟机的自适应的网络通信加密 方法；实现基于XEN虚拟机的自适应的、对用户透明的网络通信加密。

本发明解决上述技术问题的技术方案是：

包括以下步骤：

步骤1：在DomainO中增加一个加解密模块，重新部署到每台物理机上；

步骤2：在DomainO虚拟机中通过XenStore遍历当前物理机上所有的虚拟 机操作系统，将所得到的虚拟化操作系统的ID和硬件物理地址保存成一个列表；

步骤3：普通虚拟机DomainU通过前端把数据包发给DomainO虚拟机，当 DomainO虚拟机的后端接收到数据包时，若列表中没有与之对应的信息，则说明 这个数据包的目的虚拟机是在另外一台物理机上的，DomainO的后端会调用加解 密模块对这个数据包进行加密处理，并以密文的形式通过物理网卡发往外部传 输信道上；

步骤4：当另外一台物理机上的DomainO虚拟机的后端收到数据包以后，如 果该数据包发往的地址列表中有与之对应的信息，则说明该数据包的目的主机 位于该物理机上，DomainO的后端调用加解密模块进行数据包解密，并发给相应 普通虚拟机DomainU的前端。

所述加解密模块是部署在DomainO虚拟机上的，不需要修改XENVMM的源 码，加解密模块只在有需要的时候调用。

本发明的方法能产生如下的有益效果：

1、本发明方法的加解密过程是自适应的，在同一物理机下的虚拟机 DomainU通过内存交换实现通信，没有网络通信的过程，不存在信息被截取的 问题，不需要进行加解密；而不同物理机上的虚拟机的网络通信需要加解密以 防被截取，本发明能自动适配这两种场景；

2、本发明方法对用户来说完全是透明的，加解密过程通过XEN的原有处 理流程中加入钩子实现，用户完全感觉不到；

3、本发明方法是一种高效的方法，加解密模块由底层的前端和后端驱动调 用，加之模块只在有需要时启动，因此系统的开销较小。

附图说明

下面结合附图对本发明进一步说明：

图1为本发明的部署图；

图2为本发明的加解密流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是 全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造 性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

见图1、2所示，首先在实现DomainO中的加解密模块，并针对DomainO 中的输入输出注册相应的处理函数。

实现进入处理的函数：

实现发送处理的函数：

把修改后的代码进行编译，并部署到DomainO虚拟机。

重新物理机即可实现加解密。