技術(shù)領(lǐng)域

本發(fā)明涉及云計算技術(shù)領(lǐng)域，特指一種基于云計算的虛擬機間安全通信保護系統(tǒng)及其方法。

背景技術(shù)

計算機的應(yīng)用模式大體經(jīng)歷了以大型機為主體的集中式架構(gòu)(數(shù)據(jù)中心1.0)、以PC機為主體的客戶/服務(wù)器分布式計算架構(gòu)(數(shù)據(jù)中心2.0)、以虛擬化技術(shù)為核心面向服務(wù)的體系結(jié)構(gòu)(SOA)及基于Web2.0應(yīng)用特征的新型架構(gòu)(數(shù)據(jù)中心3.0)。計算機的應(yīng)用模式、技術(shù)架構(gòu)及實現(xiàn)特征的演變是云計算發(fā)展的時代背景。

互聯(lián)網(wǎng)技術(shù)成為ICT應(yīng)用的基礎(chǔ)，層出不窮的互聯(lián)網(wǎng)應(yīng)用需求也要求ICT理念進行重新思考和設(shè)計。這種改變不僅帶來ICT應(yīng)用平臺的更新?lián)Q代，而且也帶來ICT應(yīng)用實現(xiàn)和商用模式的創(chuàng)新。這種變化的影響是如此巨大而鮮明，以至于人們可以從多個角度和視角來描述這些新的特征和現(xiàn)象。盡管云計算的概念和定義很多，但究其本質(zhì)還是為了滿足ICT應(yīng)用和業(yè)務(wù)的網(wǎng)絡(luò)實現(xiàn)。為了理論和討論的嚴(yán)謹(jǐn)性，給云計算更為明確而嚴(yán)格的定義：云計算是在整合的架構(gòu)之下，基于IP網(wǎng)絡(luò)的虛擬化資源平臺，提供規(guī)模化ICT應(yīng)用的實現(xiàn)方式。

云計算的實質(zhì)是網(wǎng)絡(luò)下的應(yīng)用，是由IP和IT技術(shù)共同構(gòu)建的。從發(fā)展的角度來看，“云”的技術(shù)和目標(biāo)是一個逐步演化的過程。比如，Web技術(shù)出現(xiàn)時，就具備了云計算的應(yīng)用特征有了統(tǒng)一界面的雛形。隨著服務(wù)器應(yīng)用平臺上的虛擬化技術(shù)的成熟和Web統(tǒng)一界面的推出，虛擬化和Web走向結(jié)合，使得云計算可以在一個整合的架構(gòu)上統(tǒng)一實現(xiàn)。

虛擬機是指支持多操作系統(tǒng)并行運行在單個物理服務(wù)器上的一種系統(tǒng)，能夠提供更加有效的底層硬件使用。在虛擬機中，中央處理器芯片從系統(tǒng)其它部分劃分出一段存儲區(qū)域，操作系統(tǒng)和應(yīng)用程序運行在“保護模式”環(huán)境下。如果在某虛擬機中出現(xiàn)程序凍結(jié)現(xiàn)象，這并不會影響運行在虛擬機外的程序操作和操作系統(tǒng)的正常工作。

在云計算領(lǐng)域中，物理上相鄰的物理服務(wù)器可以聯(lián)合成一個集群，多個集群又可以聯(lián)合成一個系統(tǒng)，在這種拓?fù)浣Y(jié)構(gòu)下虛擬機一般來說是分配給不同的用戶使用的，這時候如何限制這些虛擬機之間的通信，同時在有必要是又可以提供相互訪問的靈活性就顯得尤為重要。因此，在云計算領(lǐng)域需要一個虛擬機間安全通信保護系統(tǒng)和方法。

發(fā)明內(nèi)容

本發(fā)明解決的技術(shù)問題之一在于提供一種基于云計算的虛擬機間安全通信保護系統(tǒng)，為云計算虛擬機安全通信提供一個標(biāo)準(zhǔn)的系統(tǒng)。

本發(fā)明解決的技術(shù)問題之二在于提供一種安全、簡單、高性能的基于云計算的虛擬機間安全通信的方法，確保云計算虛擬機之間的安全通信。

本發(fā)明解決上述技術(shù)問題之一的技術(shù)方案是：

包括虛擬機安全通信輸入/輸出處理單元、彈性IP查詢和修改單元、安全路由查詢和修改單元、通信策略處理單元、地址轉(zhuǎn)換處理單元和虛擬機網(wǎng)絡(luò)接口處理單元；

虛擬機安全通信輸入/輸出處理單元，用于接收虛擬機安全通信相關(guān)的命令、判斷命令的類型并把命令輸出到相應(yīng)的功能單元，最后把返回的結(jié)果進行顯示；

彈性IP查詢和修改單元，用于查詢用戶的彈性IP資源和對彈性IP的屬性進行操作，包括分配新的彈性IP、釋放所分配的彈性IP、綁定彈性IP到虛擬機和解除彈性IP與虛擬機的綁定；

安全路由查詢和修改單元，用于查詢用戶設(shè)置的安全路由規(guī)則和對路由規(guī)則進行操作，包括創(chuàng)建新的安全路由規(guī)則、刪除已有的安全路由規(guī)則和修改已有的安全路由規(guī)則；

通信策略處理單元，用于判斷要與虛擬機通信的類型，針對不同的類型采用不同的通信策略、使用不同的通道；

地址轉(zhuǎn)換處理單元，用于把外部入口的數(shù)據(jù)包中的公共IP地址轉(zhuǎn)換成虛擬機內(nèi)部使用的私有IP地址；

虛擬機網(wǎng)絡(luò)接口處理單元，用于在虛擬機通信的網(wǎng)絡(luò)接口上設(shè)置和執(zhí)行用戶設(shè)置的安全規(guī)則。

所述虛擬機安全通信相關(guān)的命令包括彈性IP的查詢和修改命令、安全路由的查詢和修改命令以及通信連接的命令；

所述彈性IP是指一個IP地址池中的IP，IP地址池是一組不用的共有IP地址，用戶能在虛擬機啟動或運行時動態(tài)地請求這個集合中的一個IP，在虛擬機暫停或關(guān)閉時把請求的IP釋放到這個集合中；

所述安全路由是一種IP數(shù)據(jù)包的轉(zhuǎn)發(fā)規(guī)則，所有通過系統(tǒng)的入口數(shù)據(jù)包都要符合這些規(guī)則才會被轉(zhuǎn)發(fā)，否則被丟棄；

所述通信策略處理是一種根據(jù)虛擬機之間所處位置的具體情況決定采用何種通信方式的決策機制，是虛擬機通信的全面考慮，確保處在任何位置的虛擬機之間的連通性；

所述地址轉(zhuǎn)換是公有IP地址與虛擬網(wǎng)絡(luò)中使用的私有IP地址之間的轉(zhuǎn)換；