专利名称:安全增强的虚拟机通信方法和虚拟机系统的制作方法
技术领域:
本发明涉及虚拟化技术,尤其是涉及安全增强的虚拟机通信方法和虚拟机系统。
背景技术:
虚拟化是一种有益于计算机(例如服务器)的用户的技术。通过虚拟化,IT基础 架构得以资源共享,IT成本下降,同时现有计算机硬件的效率、利用率和灵活性提高。概括 而言,虚拟化可以带来如下益处服务器整合和架构优化、硬件成本下降、运营成本降低、应 用可用性提高和系统更易于进行管理。许多系统级供应商在它们的软件和服务中提供了虚 拟化能力。例如,Red Hat已经在其企业版Linux 5中增加了 Xen开放源码的虚拟机管理 器(hypervisor)。通常,一个物理机作为两个或更多虚拟机(virtual machine,简称VM)的主机。物 理机上安装有用于管理虚拟机的虚拟机管理器。这些虚拟机可以通过由虚拟机管理器产生 的虚拟交换机/虚拟局域网(VSWITCH/VLAN)彼此直接通信。例如,一个虚拟机可以将信息 传递给虚拟机管理器,然后虚拟机管理器再传递给另一虚拟机,从而实现虚拟机之间的通
fn °但是,在虚拟机环境下,传统的防火墙和入侵防护系统难以阻挡对虚拟机的攻击。 当一个虚拟机被例如病毒感染时,病毒将通过VSWITCH/VLAN直接攻击以同一物理机为主 机的其它虚拟机。这与物理环境不同。在物理环境下,部署的防火墙/防病毒工具可以阻 挡物理网络中的攻击。而在虚拟环境下,由于在VSWITCH/VLAN中没有防火墙/防病毒工具,诸如病毒的 恶意代码可以通过VSWITCH/VLAN容易地扩散。从而使得虚拟机之间的通信的安全性降低。目前,市场上的安全产品通常关注于物理环境,而非虚拟环境。没有针对虚拟机安 全通信的安全产品。并且,目前的虚拟机管理器也没有嵌入关于虚拟机安全通信的安全机 制。例如,图1示出了传统的虚拟机环境的示意图。如图所示,在传统的虚拟机系统 100中,例如,虚拟机VMl、VM2和VM3连接在虚拟网络VNet中。防火墙100将虚拟机所在的 物理机及虚拟网络与外界隔离。在这种环境下,虚拟机VM1、VM2和VM3可以通过虚拟交换 机/虚拟局域网直接通信,而不经过防火墙100。假设虚拟机VM3向VMl发送攻击代码包, 则由于没有安全防护机制,VMl轻易地就被感染。
发明内容
鉴于现有技术中存在的上述问题,本发明的一个目的是提供一种安全增强的虚拟 机通信方法和虚拟机系统,其能够增强虚拟机之间的通信的安全性。为了实现上述目的,根据本发明的一个方面,提供一种安全增强的虚拟机系统,其 包括虚拟网络中位于同/物理机上的多台虚拟机。该虚拟机系统包括耦连在虚拟网络中 的虚拟网络安全管理器,和与该虚拟网络安全管理器耦连的影子系统,该影子系统位于不同于所述虚拟机所在的物理机的另一物理机上。其中该虚拟网络安全管理器复制虚拟机之 间发送的包,并将复制的包通过物理安全设备转发到该影子系统;该影子系统将指示接收 到该包的响应信息返回该虚拟网络安全管理器;以及该虚拟网络安全管理器根据返回的响 应信息将该包在虚拟机之间发送。根据本发明的另一方面,提供一种安全增强的虚拟机通信方法,用于虚拟网络中位于同一物理机上的多台虚拟机。该方法包括如下步骤检测虚拟网络中由一虚拟机向另 一虚拟机发送的包;在共享内存中保持并复制所检测到的包;将复制的包通过物理安全设 备转发到影子系统,该影子系统位于不同于虚拟机所在的物理机的另一物理机上;等待并 接收从所述影子系统返回的指示接收到该包的响应信息;根据从所述影子系统返回的响应 信息,将该包传送到所述另一虚拟机。根据本发明,能够灵活地检测由虚拟机管理器创建的虚拟网络。本发明提供了保 护虚拟机的能力。此外,由于无需对既有的防火墙进行任何改变,因此,保护了投资并降低 了成本。当结合以下说明和附图考虑时,将更好地获知和理解本发明的这些和其它方面以 及实施例。
图1为示出传统的虚拟机环境的示意图。图2为示出根据本发明原理的示意框图。图3为示出根据本发明一个实施例的虚拟机系统的示意框图。图4为示出根据本发明另一实施例的虚拟机系统的示意框图。图5示出根据本发明又一实施例的虚拟机通信方法的流程图。图6示出图5的方法中由影子系统所进行的处理的流程图。图7示出根据本发明再一实施例的虚拟机通信方法的流程图。图8示出了适于本发明的计算机系统的结构方框图。
具体实施例方式
以下参照
本发明的原理及其实施例。本发明的原理概述图2示出本发明的原理简图。如图2所示,在应用本发明的虚拟化环境中,多台虚 拟机(VM)与虚拟网络(VNet)连接。例如,虚拟机VM1、VM2、VM3位于同一物理机上。本发 明的虚拟化环境还设置了虚拟机安全管理器200和与之耦连的VM影子系统220。在虚拟机 安全管理器与影子系统之间设置了物理安全设备210,例如防火墙、防病毒设备、安全网关 或入侵防护设备等。其中,VM安全管理器将例如VM3向VMl发送的包保持在共享内存中, 复制该包,并将该包通过物理安全设备210转发给VM影子系统220。如果VM影子系统220接收到该包,则向虚拟机安全管理器200返回一个响应消 息。虚拟机安全管理器200根据返回的响应消息,确定可以传送该包。虚拟机安全管理器 200将保持的包释放,以由VMl从共享内存中获取该包。如果虚拟机安全管理器200超过指定的时间未接收到从VM影子系统220返回的响应信息,则丢弃该包,不向VMl传送。可选地,如果虚拟机安全管理器200超过指定的时间未接收到从VM影子系统220返回的响应信息,可以调整虚拟网络VNet。例如,从VNet中划分出一个分离的子网络(未 示出),将VM3划分到该子网络中。处于该子网络中的虚拟机(例如VM3)发送的包总是通 过物理安全设备210以由物理安全设备210检查并过滤。根据本发明,通过将虚拟机之间通信的包传送给传统的物理安全设备过滤检查, 增强了虚拟机之间通信的安全性。此外,通过根据检查反馈的结果将原来的虚拟网络划分 成新的子网络,实施安全隔离,强迫曾发送例如攻击代码包的虚拟机今后的通信均通过外 置的安全物理设备的检查,进一步提高了虚拟机通信的安全性和效率。在本发明的其它实 施方式中,还可以在将具有潜在危险的虚拟机隔离后,向控制台发送一个指示以通知系统 管理员进行相应处理。以下参照附图3-6描述本发明的实施例。实施例1图3示出根据本实施例的安全增强的虚拟机系统的示意框图。 如图所示,根据本实施例的虚拟机系统350包括多个虚拟机,例如VMl、VM2和VM3。 请注意,尽管本实施例以三个虚拟机为例进行说明,但是本领域技术人员能够理解此仅是 为了便于解释,而非限制。实际上可以根据需要包括任意数目的虚拟机。在本实施例中,这 些虚拟机位于同一物理机(例如服务器、大型机、工作站等)上。虚拟机系统350还包括虚拟网络(VNet)安全管理器300和与之耦连的VM影子系统320。VM影子系统320位于与虚拟机VM1、VM2和VM3所在的物理机不同的另一物理机上。在VNet安全管理器300与VM影子系统320之间设置有物理安全设备310。本发明对物理安全设备310没有限制。例如,物理安全设备310可以是传统的防火墙、防病毒设 备、安全网关、入侵防护设备之一或其组合。本领域技术人员能够明了,在IT架构中,可以 设置多个诸如防火墙的物理安全设备,这些物理安全设备不仅可以用于防护网络内部的设 备与外部设备之间的通信,还可以用于防护网络内部的设备(包括虚拟机)之间的通信。在虚拟机通信的过程中,例如,虚拟机VM3向VMl发送包时,VNet安全管理器300 复制虚拟机VM3向VMl发送的包,并将复制的包通过物理安全设备310转发到VM影子系统 320。VM影子系统320将指示接收到该包的响应信息返回VNet安全管理器300。VNet安全 管理器300根据返回的响应信息将该包在虚拟机之间发送。更具体地,除了与传统的虚拟机系统中的虚拟机管理器(Hypervisor)相同的模 块(为了清楚表述本发明而未示出)之外,VNet安全管理器300进一步包括VNet通信控制 器301。VNet通信控制器301被配置为进行如下处理检测位于同一物理机上的不同虚拟 机(例如VM3和VMl)之间通信的包;在共享内存中保持并复制所检测到的包;将复制的包 通过物理安全设备310转发到VM影子系统320 ;等待并接收从VM影子系统320返回的响 应信息;并在接收到响应信息的情况下释放所保持的包以完成不同虚拟机之间的通信。可 选地,VNet通信控制器301对虚拟机之间通信的每个包都进行上述处理,实现对虚拟机安 全通信的全部控制。或者,VNet通信控制器301可以按照预定规则抽取虚拟机之间通信的包进行上述处理,实现对虚拟机安全通信的抽样检测和局部控制。所述预定规则可以根据需要来设定,例如可以按照一定时间间隔抽取,或者抽取预定类型的包等。此外,VNet通信控制器301还可以为所保持的包标记通用唯一标识符(UUID),并 将该包及其UUID—同转发到VM影子系统320。UUID可以用来定位相应的包。本领域技 术人员应该理解,这里的UUID仅是一个实例,而本发明可以采用其它类型的标识符来标识 包。如图3所示,VM影子系统320包括VM模拟器321和与之耦连的VM影子管理器 325。VM影子管理器325被配置为通过物理安全设备310从VNet通信控制器301接收被转发的包,将所接收的包分发给VM模拟器321。VM模拟器321可以根据VNet安全管理器300通知的虚拟机拓扑结构来建立相应的虚拟机影子。虚拟机影子是相应虚拟机在影子系统所在的物理机上的镜像,也可以称为 虚拟机伪镜像。但是,应该注意,此处的虚拟机影子并非对相应虚拟机的完全复制。实际上, 虚拟机影子可以理解为是用于反馈包含包的控制信息(例如UUID)的控制器,它只需被配 置为具有接收对应虚拟机发送的包的控制信息并返回含有该控制信息的响应的逻辑功能 即可。在明确了虚拟机影子的限定和功能之后,具体如何建立虚拟机影子是本领域技术人 员采用其普通知识就能够实施的,在此不再详述。此外,当一个虚拟机VM加入VNet时,VNet安全管理器300可以通知VM影子系统320为它增加虚拟机影子。如图中虚线所示,VM模拟器321为各个虚拟机建立虚拟机影子。 例如,虚拟机VM1、VM2和VM3对应的影子为VM1,、VM2,和VM3,。VM模拟器321解析来自 VM影子管理器325的包以获取包的UUID。除了 UUID之外,来自VM影子管理器325的包还 包含主体内容,即包的数据部分。VM模拟器321并不获取来自VM影子管理器325的包的主 体内容。VM模拟器321检查是否已经为例如发送包的虚拟机VM3建立了虚拟机影子VM3,。 如果没有则模拟新的虚拟机影子VM3,。然后,VM模拟器321将UUID转发到相关的虚拟机 影子VM3’。作为实例,相关的虚拟机影子VM3’可以生成仅包含UUID的包作为上述响应信息, 并将该包发送给VM影子管理器325。可选地,VM模拟器321还可以获取发送包的虚拟机VM3的IP地址。在这种情况 下,虚拟机影子VM3,可以具有与虚拟机VM3的IP地址相同的IP地址。并且,相关的虚拟 机影子VM3,生成包含UUID和IP地址的包作为响应信息发送给VM影子管理器325。VM影子管理器325将由相关虚拟机影子VM3,生成的响应信息反馈给VNet通信控 制器301。实施例2图4为示出根据本发明另一实施例的安全增强的虚拟机系统的示意框图。在图4 中,采用相同的标号表示与图3相同的装置,并省略其详细描述。本实施例的虚拟机系统350’与实施例1的虚拟机系统350不同之处在于VNet安 全管理器300,还包括VNet划分控制器305。VNet划分控制器305与VNet通信控制器301耦连。VNet通信控制器301如果超 过指定的时间未接收到从VM影子系统320返回的响应信息,则通知VNet划分控制器305 调整VNet。VNet划分控制器305调整VNet以将发送包的虚拟机VM3划分到与其它虚拟机分离的虚拟子网络(未示出)中,并使得该虚拟子网络中的虚拟机(例如VM3)发送的包总 是通过物理安全设备310以由其检查并过滤。具体如何从VNet中划分出一个虚拟子网络 是本领域技术人员采用其普通知识就能够实施的,在此不再详述。在这种情况下,所划分出的虚拟子网络中的虚拟机发送的包将不再转发到VM影 子系统320。可以认为是对该虚拟子网络中的虚拟机进行了隔离,在对相应的虚拟机(例 如VM3)进行处理使其中存在的安全问题消除之前,该虚拟机发出的包可以被物理安全设 备310过滤,从而不能与其它虚拟机实现通信。实施例3
图5示出根据本发明又一实施例的安全增强的虚拟机通信方法的流程图。根据本实施例的虚拟机通信方法可以在实施例1所述的虚拟机系统上实现。如图 5所示,首先,在步骤501,由VNet通信控制器检测例如位于同一物理机上的虚拟机VM3向 VMl发送的包。然后,在步骤510,将所检测到的包保持在共享内存中,并复制该包。接着,在步骤520,可以为所保持的包标记通用唯一标识符UUID。然后,在步骤530,将复制的包及UUID通过例如防火墙转发到VM影子系统。该影 子系统位于不同于虚拟机所在的物理机的另一物理机上。之后,在步骤540等待并接收从影子系统返回的指示接收到该包的响应信息。该 响应信息可以仅包含所标注的UUID。如果在步骤540接收到该响应信息,则处理前进到步骤560。在步骤560,释放所 保持的该包,将其传送到另一虚拟机。如果在步骤540超过指定时间接收到该响应信息,则处理前进到步骤550。在步骤 550,丢弃所保持的包,而不将该包传送到另一虚拟机。以上从VNET通信控制器的角度对实施例3的方法进行了描述。图6示出图5的 方法中由VM影子系统进行的处理的流程图。如图6所示,在步骤531,VM影子系统通过例如防火墙从VNET通信控制器接收被 转发的包。然后,在步骤532,处理该包以生成包含UUID的响应信息。具体地,可以通过VM 影子管理器将所获取的包分发到VM模拟器。VM模拟器解析来自VM影子管理器325的包 以获取包的UUID。VM模拟器检查是否已经为例如发送包的虚拟机VM3建立了虚拟机影子 VM3’。如果没有则模拟新的虚拟机影子VM3’。然后,VM模拟器321UUID转发到相关的虚拟 机影子VM3,。作为实例,相关的虚拟机影子VM3,可以生成仅包含UUID的包作为上述响应 信息。可选地,VM模拟器还可以获取发送包的虚拟机VM3的IP地址。并且,相关的虚拟机 影子VM3’生成包含UUID和IP地址的包作为上述响应信息。然后,将响应信息发送给VM 影子管理器。然后,在步骤533,VM影子管理器将由相关虚拟机影子VM3,生成的响应信息反馈 给VNet通信控制器。实施例4图7示出根据本发明再一实施例的虚拟机通信方法的流程图。在图7中,采用相 同的标号表示与图5相同的步骤,并省略其详细描述。
根据本实施例的虚拟机通信方法可以在实施例2所述的虚拟机系统上实现。本实 施例的方法与实施例1的不同之处在于在步骤550之后还进行步骤570。 如图7所示,如果在步骤540超过指定时间接收到响应信息,并在步骤550丢弃所 保持的包之后,处理前进到步骤570。在步骤570,由例如VNet划分控制器调整VNet以将 发送包的虚拟机VM3划分到与其它虚拟机分离的虚拟子网络中,并使得该虚拟子网络中的 虚拟机发送的包总是通过物理安全设备(例如防火墙)以由其检查并过滤。在这种情况下,所划分出的虚拟子网络中的虚拟机发送的包将不再转发到VM影 子系统。可以认为是对该虚拟子网络中的虚拟机进行了隔离,在对相应的虚拟机(例如 VM3)进行处理使其中存在的安全问题消除之前,该虚拟机发出的包可以被物理安全设备过 滤,从而不能与其它虚拟机实现通信。图8示意性示出了可以实现根据本发明的各个实施例的计算机系统的结构方框 图。图8中所示的计算机系统包括CPU(中央处理单元)801、RAM(随机存取存储 器)802、R0M(只读存储器)803、系统总线804,硬盘控制器805、键盘控制器806、串行接 口控制器807、并行接口控制器808、显示器控制器809、硬盘810、键盘811、串行外部设备 812、并行外部设备813和显示器814。在这些部件中,与系统总线804相连的有CPU 801、 RAM 802、ROM 803、硬盘控制器805、键盘控制器806,串行接口控制器807,并行接口控制器 808和显示器控制器809。硬盘810与硬盘控制器805相连,键盘811与键盘控制器806相 连,串行外部设备812与串行接口控制器807相连,并行外部设备813与并行接口控制器 808相连,以及显示器814与显示器控制器809相连。图8中每个部件的功能在本技术领域内都是众所周知的,并且图8所示的结构也 是常规的。这种结构不仅用于个人计算机和服务器,而且用于手持设备,如Palm PC、PDA(个 人数据助理)、移动电话等等。在不同的应用中,例如用于实现包含有根据本发明的客户端 模块的用户终端或者包含有根据本发明的虚拟机系统的服务器主机时,可以向图8中所示 的结构添加某些部件,或者图8中的某些部件可以被省略。图8中所示的整个系统由通常 作为软件存储在硬盘810中、或者存储在EPROM或者其它非易失性存储器中的计算机可读 指令控制。软件也可从网络(图中未示出)下载。或者存储在硬盘810中,或者从网络下 载的软件可被加载到RAM 802中,并由CPU 801执行,以便完成由软件确定的功能。尽管图8中描述的计算机系统能够支持根据本发明的提供的技术方案,但是该计 算机系统只是计算机系统的一个例子。本领域的熟练技术人员可以理解,许多其它计算机 系统设计也能实现本发明的实施例。本发明还可以实现为例如由图8所示的系统所使用的计算机程序产品,其可以包 含有用于实现根据本发明的安全增强的虚拟机系统或虚拟机通信方法的部分或全部的代 码。在使用之前,可以把代码存储在其它计算机系统的存储器中,例如,存储在硬盘或诸如 光盘或软盘的可移动的存储器中,或者经由因特网或其它计算机网络进行下载。所公开的本发明的方法可以在软件、硬件、或软件和硬件的结合中实现。硬件部分 可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微 处理器、个人计算机(PC)或大型机来执行。以上描述了本发明的优选实施例。具体实施例的以上描述完整地展现了本发明的一般特性,其它方面可通过应用当前知识在不脱离一般原理的情况下容易地修改和/或适 应这些具体实施例的各个应用。因此这些应用和修改应该并且意欲被理解为在所公开实施 例的含义和等同范围内。 应该理解,这里采用的措辞和术语是说明的目的,而不是限制。因此,虽然根据实 施例已经描述了本发明,但是本领域普通技术人员将认识到,在所附权利要求的范围内可 以通过修改来实现本发明。
权利要求
一种安全增强的虚拟机通信方法,用于虚拟网络中的多台虚拟机,所述虚拟机位于同一物理机上,该方法包括如下步骤检测虚拟网络中由一虚拟机向另一虚拟机发送的包;在共享内存中保持并复制所检测到的包;将复制的包通过物理安全设备转发到影子系统,该影子系统位于不同于虚拟机所在的物理机的另一物理机上;等待并接收从所述影子系统返回的指示接收到该包的响应信息;根据从所述影子系统返回的响应信息,将该包传送到所述另一虚拟机。
2.根据权利要求1所述的方法,其中在等待并接收所述响应信息的步骤中,如果超过 指定的时间未接收到从所述影子系统返回的响应信息,则不将该包传送到所述另一虚拟 机。
3.根据权利要求2所述的方法,还包括如下步骤如果超指定的时间未接收到从该影 子系统返回的响应信息,则调整虚拟网络以将发送所述包的虚拟机划分到与其它虚拟机分 离的虚拟子网络中,并使得发送所述包的虚拟机发送的包总是通过所述物理安全设备以由 所述物理安全设备检查并过滤。
4.根据权利要求1所述的方法,其中在将该包传送到所述另一虚拟机的步骤中,释放 所保持的包以将该包传送到所述另一虚拟机。
5.根据权利要求1所述的方法,在所述转发步骤之前还包括为所述包标记通用唯一标 识符UUID的步骤,在所述转发步骤中将所述包及其UUID —同转发到影子系统。
6.根据权利要求5所述的方法,还包括如下步骤在所述转发步骤之后,还包括如下步骤所述影子系统接收被转发的包;处理该包以生成包含所述UUID的所述响应信息;和反馈所述响应信息。
7.根据权利要求6所述的方法,其中所述处理该包以生成包含所述UUID的所述响应信 息的步骤所生成的所述响应信息还包括发送所述包的虚拟机的IP地址。
8.根据权利要求6所述的方法,其中所述处理该包以生成包含所述UUID的所述响应信 息的步骤所生成的所述响应信息不包含所述被转发的包的主体内容。
9.一种安全增强的虚拟机系统,包括虚拟网络中的多台虚拟机,所述虚拟机位于同一 物理机上,其特征在于该虚拟机系统包括耦连在虚拟网络中的虚拟网络安全管理器,和与该虚拟网络安全管理器耦连的影子系统,该影子系统位于不同于所述虚拟机所在的 物理机的另一物理机上,其中该虚拟网络安全管理器复制虚拟机之间发送的包,并将复制的包通过物理安全设 备转发到该影子系统;该影子系统将指示接收到该包的响应信息返回该虚拟网络安全管理器;以及 该虚拟网络安全管理器根据返回的响应信息将该包在虚拟机之间发送。
10.根据权利要求9所述的虚拟机系统,其中,所述虚拟网络安全管理器进一步包括 虚拟网络通信控制器,其被配置为进行如下处理检测位于同一物理机上的不同虚拟机之间通信的包;在共享内存中保持并复制所检测到的包;将复制的包通过物理安全设备 转发到影子系统;等待并接收从所述影子系统返回的响应信息;并在接收到所述响应信息 的情况下释放所保持的包以完成不同虚拟机之间的通信。
11.根据权利要求10所述的虚拟机系统,其中所述虚拟网络安全管理器还包括与所述虚拟网络通信控制器耦连的虚拟网络划分控制器,并且其中所述虚拟网络通信控制器如果超过指定的时间未接收到响应信息则通知所述虚 拟网络划分控制器,所述虚拟网络划分控制器调整虚拟网络以将发送所述包的虚拟机划分 到与其它虚拟机分离的虚拟子网络中,并使得发送所述包的虚拟机发送的包总是通过所述 物理安全设备以由所述物理安全设备检查并过滤。
12.根据权利要求10所述的虚拟机系统,其中,所述虚拟网络通信控制器还被配置为 为所保持的包标记通用唯一标识符UUID,并将所述包及其UUID —同转发到影子系统,以及所述响应信息包含该UUID。
13.根据权利要求10所述的虚拟机系统,其中所述影子系统包括虚拟机模拟器;和与该虚拟机模拟器耦连的虚拟机影子管理器,其中,该虚拟机影子管理器被配置为通过所述物理安全设备从所述虚拟网络通信控制 器接收被转发的包,将所接收的包分发给该虚拟机模拟器,并将由相关虚拟机影子处理而 获得的所述响应信息反馈给所述虚拟网络通信控制器;该虚拟机模拟器被配置为解析来自该虚拟机影子管理器的包以获取所述UUID ;为发 送所述包的虚拟机模拟虚拟机影子,并将所述UUID转发到相关的虚拟机影子。
14.根据权利要求13所述的虚拟机系统,其中相关的虚拟机影子生成仅包含所述UUID 的包作为所述响应信息发送给所述虚拟机影子管理器。
15.根据权利要求13所述的虚拟机系统,其中所述虚拟机模拟器还被配置为获取发送 所述包的虚拟机的IP地址,并且相关的虚拟机影子生成包含所述UUID和所述IP地址的包作为所述响应信息发送给所 述虚拟机影子管理器。
16.根据权利要求13所述的虚拟机系统,其中所述虚拟机模拟器被配置为不获取来自 所述虚拟机影子管理器的包的主体内容。
17.根据权利要求10所述的虚拟机系统,其中所述虚拟网络通信控制器对虚拟机之间 通信的每个包进行所述处理。
18.根据权利要求10所述的虚拟机系统,其中所述虚拟网络通信控制器抽取虚拟机之 间通信的包的一部分进行所述处理。
19.根据权利要求9所述的虚拟机系统,其中所述物理安全设备是防火墙、防病毒设 备、入侵防护设备之一或其组合。
全文摘要
本发明公开了一种安全增强的虚拟机通信方法和虚拟机系统。根据一个实施例的安全增强的虚拟机系统包括虚拟网络中位于同一物理机上的多台虚拟机。该虚拟机系统包括耦连在虚拟网络中的虚拟网络安全管理器,和与该虚拟网络安全管理器耦连的影子系统,该影子系统位于不同于所述虚拟机所在的物理机的另一物理机上。其中该虚拟网络安全管理器复制虚拟机之间发送的包,并将复制的包通过物理安全设备转发到该影子系统;该影子系统将指示接收到该包的响应信息返回该虚拟网络安全管理器;以及该虚拟网络安全管理器根据返回的响应信息将该包在虚拟机之间发送。
文档编号H04L29/06GK101800730SQ20091000403
公开日2010年8月11日 申请日期2009年2月9日 优先权日2009年2月9日
发明者侯锐, 刘亮, 戈弋, 王庆波, 王浩, 田启明 申请人:国际商业机器公司