技術領域

本發(fā)明涉及虛擬化環(huán)境，尤其涉及一種在虛擬化環(huán)境下虛擬機間安全通信方法。

背景技術

虛擬化環(huán)境下同一物理機上可同時存在多個虛擬機。他們之間的通信可分為兩類，包括特權虛擬機和普通虛擬機間的通信，及普通虛擬機和普通虛擬機之間的通信。目前比較普遍的特權虛擬機和普通虛擬機之間的通信方式主要是半虛擬化下的前后端通信方式和全虛擬化下的仿真設備模型方式。普通虛擬機不能直接和同一物理機上的其他非特權虛擬機進行通信，而必須通過特權虛擬機進行中轉，這種情形造成了同一物理機上的非特權虛擬機間通信開銷非常高。目前，也有一些針對上述通信方式的改進方法，比如利用同一物理機上的虛擬機共享物理資源的特性優(yōu)化普通虛擬機間的通信方式。但上述各種虛擬機間通信方法中普通虛擬機的安全性均依賴于特權虛擬機的安全性，即虛擬化環(huán)境下安全可信基過大。并且在這些通信方式中，對共享內(nèi)存的安全保障僅僅依靠授權表來保證，這在一定程度上也降低了虛擬機之間通信的安全性。

發(fā)明內(nèi)容

本發(fā)明的目的在于提高普通虛擬機間通信的安全性。所述虛擬機內(nèi)核模塊既可以為Linux內(nèi)核模塊，也可以為Windows內(nèi)核模塊。所述虛擬機環(huán)境為Xen支持的虛擬化環(huán)境。

本發(fā)明公開一種虛擬機間安全通信方法，包括：

步驟1，Xen創(chuàng)建虛擬機時，為每臺虛擬機分配兩頁內(nèi)存及一個未使用的事件通道端口號，填充到共享信息頁新增的變量中；

步驟2，創(chuàng)建虛擬機并啟動，虛擬機裝載內(nèi)核模塊，映射共享信息頁以及所述兩頁內(nèi)存，虛擬機之間通過內(nèi)核模塊將策略寫入所述兩頁內(nèi)存中，通過設備接口配置信息進行通信。

所述的虛擬機間安全通信方法，所述步驟2還包括：

步驟21，Xen創(chuàng)建虛擬機A并啟動，A中裝載內(nèi)核模塊：映射共享信息頁及所述兩頁內(nèi)存；為虛擬機A所分配的事件通道端口綁定處理函數(shù)handler；并輸出設備接口；

步驟22，Xen創(chuàng)建虛擬機B，B啟動完畢后，其中裝載內(nèi)核模塊，內(nèi)核模塊的具體流程同步驟21。

所述的虛擬機間安全通信方法，所述步驟2還包括：

步驟31，A中應用通過設備接口配置與B通信的安全策略，并通過內(nèi)核模塊將策略寫入所述兩頁內(nèi)存中的其中一頁內(nèi)，之后應用等待讀設備接口；

步驟32，B中應用分配一頁內(nèi)存后通過設備接口，其虛擬頁框號為VFNb，請求內(nèi)核模塊與A建立通信通道，內(nèi)核模塊通過新增的超級調用向Xen請求與A建立連接。

所述的虛擬機間安全通信方法，所述步驟32還包括：

步驟41，Xen查閱步驟31中提供安全策略的內(nèi)存頁對此請求進行驗證，若未通過則返回錯誤；

步驟42，Xen為B分配未使用的事件通道端口號pnewb；之后將B的虛擬機id，VFNb，pnewb寫入步驟31中為虛擬機A分配的剩余一頁內(nèi)存中，之后返回pnewb給B中的內(nèi)核模塊及應用；

步驟43，B中應用等待讀設備文件，等待pnewb上事件的到來；

步驟44，Xen給A的事件通道端口Ap發(fā)送通知。

所述的虛擬機間安全通信方法，所述步驟2還包括：

步驟51，收到事件通知后，A中的handler執(zhí)行：讀取內(nèi)存頁中的請求信息；為虛擬機A分配本地未使用的事件通道端口pnewa；并且映射VFNb；讓pnewa與pnewb進行域間綁定；返回端口號pnewa及虛擬地址給A中的應用；

步驟52，對于小數(shù)據(jù)由B往VFNb中直接寫入數(shù)據(jù)并通過域間事件通道通知A，A中應用通過映射后的虛擬地址讀出數(shù)據(jù)；對于大數(shù)據(jù)，由B往VFNb中寫入數(shù)據(jù)的地址并通過域間事件通道通知A，A中應用通過映射后的虛擬地址讀出數(shù)據(jù)的地址，進而根據(jù)數(shù)據(jù)的地址讀出數(shù)據(jù)。小數(shù)據(jù)指的是能在一頁（通常是4K）內(nèi)放下的數(shù)據(jù)，當然除了數(shù)據(jù)之外還需要放些描述數(shù)據(jù)的信息，所以小數(shù)據(jù)最好能小于1K。

本發(fā)明的有益效果為：

本發(fā)明實現(xiàn)了普通虛擬機間安全通信的方法，通過該方法避免了普通虛擬機間通信繞經(jīng)特權虛擬機所帶來的可信基過大問題，而且通過添加安全策略頁增強了普通虛擬機間通信的安全性。

附圖說明

圖1為虛擬機間安全通信體系結構圖；

圖2為虛擬機間安全通信流程圖。

具體實施方式

下面給出本發(fā)明的具體實施方式，結合附圖對本發(fā)明做出了詳細描述。