技術領域

本發明實施例涉及通信技術領域，尤其涉及一種虛擬機之間的通信方法、設備和系統。

背景技術

由于在云處理的虛擬機數據中心中存在多個租戶，為了避免通信報文在虛擬機之間交互的過程中被惡意用戶監聽，因此，提出了一種對同一租戶的虛擬機之間進行報文通信交互時進行加密的技術方案，由于同一租戶所擁有的密鑰相同，從而保證了同一租戶虛擬機之間的通信報文就只有本租戶才能識別，提高了防范監聽風險的能力。

但是，隨著通信業務多樣化的需求，不同租戶之間也需要進行通信交互，但是現有的加密方案由于兩個不同租戶的密鑰完全不同，因此不同租戶之間無法進行通信交互。而且如果不同租戶之間將密鑰進行交互，也會增加將密鑰泄露給其他非法用戶的風險，對其他的報文通信的安全也會構成威脅。

發明內容

針對現有技術的上述缺陷，本發明實施例提供一種虛擬機之間的通信方法、設備和系統。

本發明一方面提供一種虛擬機之間的通信方法，包括：

第一物理機通過第一虛擬網卡接收歸屬于第一用戶的源虛擬機發送的報文，所述報文的報文頭包括所述源虛擬機的第一標識信息和目標虛擬機的第二標識信息，所述報文的負載部分由所述第一虛擬網卡應用內置的第一密鑰進行加密處理，其中，所述第一密鑰是虛擬機監視器預先為所述第一用戶配置的，其中，所述目標虛擬機不是部署在所述第一物理機上且歸屬于所述第一用戶的虛擬機；

所述第一物理機查詢預存儲的用戶注冊信息，若判斷獲知所述源虛擬機和所述目標虛擬機不歸屬為同一用戶，則將所述報文發送給虛擬化管理平臺，以使所述虛擬化管理平臺查詢預存儲的用戶密鑰信息獲取與所述第一用戶對應的第一密鑰，以及與所述目標虛擬機歸屬的第二用戶對應的第二密鑰，并應用所述第一密鑰對所述報文的負載部分進行解密處理后，再應用所述第二密鑰對解密后的負載部分進行加密處理，并根據所述第二標識信息查詢預存儲的路由信息將處理后的報文發送給所述目標虛擬機所在的目標物理機，以使所述目標物理機根據所述第二標識信息查詢本地存儲的虛擬機用戶信息，將所述報文發送到與所述目標虛擬機對應的第二虛擬網卡上，以使所述第二虛擬網卡應用內置的所述第二密鑰對所述報文進行解密處理后發送給所述目標虛擬機。

本發明另一方面提供一種虛擬機之間的通信方法，包括：

虛擬化管理平臺接收第一物理機發送的報文，其中，所述報文的報文頭包括源虛擬機的第一標識信息和目標虛擬機的第二標識信息，所述報文的負載部分由所述第一物理機上的第一虛擬網卡應用內置的第一密鑰進行加密處理，其中，所述第一密鑰是虛擬機監視器預先為所述源虛擬機歸屬的第一用戶配置的，其中，所述報文是所述第一物理機根據預存儲的用戶注冊信息確定所述源虛擬機和所述目標虛擬機不歸屬為同一用戶后發送給所述虛擬化管理平臺的；

所述虛擬化管理平臺查詢預存儲的用戶密鑰信息獲取與所述第一用戶對應的第一密鑰，以及與所述目標虛擬機歸屬的第二用戶對應的第二密鑰，并應用所述第一密鑰對所述報文的負載部分進行解密處理后，再應用所述第二密鑰對解密后的負載部分進行加密處理；

所述虛擬化管理平臺根據所述第二標識信息查詢預存儲的路由信息將處理后的報文發送給所述目標虛擬機所在的目標物理機，以使所述目標物理機根據所述第二標識信息查詢本地存儲的虛擬機用戶信息，將所述報文發送到與所述目標虛擬機對應的第二虛擬網卡上，以使所述第二虛擬網卡應用內置的所述第二密鑰對所述報文進行解密處理后發送給所述目標虛擬機。

本發明又一方面提供一種第一物理機，包括：

第一接收模塊，用于通過第一虛擬網卡接收歸屬于第一用戶的源虛擬機發送的報文，所述報文的報文頭包括所述源虛擬機的第一標識信息和目標虛擬機的第二標識信息，所述報文的負載部分由所述第一虛擬網卡應用內置的第一密鑰進行加密處理，其中，所述第一密鑰是虛擬機監視器預先為所述第一用戶配置的，其中，所述目標虛擬機不是部署在所述第一物理機上且歸屬于所述第一用戶的虛擬機；