CN105471657B - 一种虚拟机域间通信日志管理方法、装置及系统 - Google Patents

一种虚拟机域间通信日志管理方法、装置及系统 Download PDF

Info

Publication number
CN105471657B
CN105471657B CN201510919877.5A CN201510919877A CN105471657B CN 105471657 B CN105471657 B CN 105471657B CN 201510919877 A CN201510919877 A CN 201510919877A CN 105471657 B CN105471657 B CN 105471657B
Authority
CN
China
Prior art keywords
virtual machine
communication content
communication
sender
receiving
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510919877.5A
Other languages
English (en)
Other versions
CN105471657A (zh
Inventor
陈煜文
张占龙
褚洪洋
王守信
姜廷廷
葛彬
米秀明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aerospace Star Technology Co Ltd
Original Assignee
Aerospace Star Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aerospace Star Technology Co Ltd filed Critical Aerospace Star Technology Co Ltd
Priority to CN201510919877.5A priority Critical patent/CN105471657B/zh
Publication of CN105471657A publication Critical patent/CN105471657A/zh
Application granted granted Critical
Publication of CN105471657B publication Critical patent/CN105471657B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种虚拟机域间通信日志管理方法、装置及系统,在发送方、接收方完成通信时,使用发送方公钥验证发送方签名的通信内容,验证通过即确认通信内容由发送方发送,使用接收方公钥验证接收方签名的加密通信内容,验证通过即确认通信内容由接收方接收,使用对称密钥解密验证通过的加密的通信内容,将得到的通信内容与发送方签名的通信内容进行比对,内容比对相同即确认发送方发送内容与接收方接收内容相同,从而确定双方通信完成,这样在同时确认通信内容由发送方发送、通信内容由接收方接收,发送方发送内容与接收方接受内容相同的情况下,即可确认发送方、接收方进行通信,且双方不可抵赖通信的完成。

Description

一种虚拟机域间通信日志管理方法、装置及系统
技术领域
本申请涉及信息安全技术领域,尤其涉及一种虚拟机域间通信日志管理方法、装置及系统。
背景技术
近年来,虚拟化技术不断地快速发展,得到广泛的应用。对于同一物理机上的虚拟机,尽管传统的网络通信模式依然适用,但是考虑到虚拟机间不存在物理隔离,这种方法产生的吞吐量小、延迟高的问题似乎是不必要的。
基于共享内存机制的虚拟机域间通信技术有效地解决上述问题:虚拟机通过虚拟机监控器,开辟共享内存并建立映射关系,发送方和接收方依赖于共享内存实现通信。由于通信过程在物理机内完成,域间通信有效提高虚拟机间通信效率。
但是,不同于传统网络通信,虚拟机域间通信记录留存较少,仅在虚拟机监控器中留有相关共享内存的调用记录。对于保密单位或是频繁通过虚拟机传输重要文件的单位,基于共享内存的域间通信模式存在极大隐患,其中之一就是发送方和接收方可能抵赖通信完成。
发明内容
本发明实施例提供了一种虚拟机域间通信日志管理方法、装置及系统,用以解决现有技术中发送方和接收方可能抵赖通信完成的问题。
其具体的技术方案如下:
一种虚拟机域间通信日志管理方法,所述方法包括:
获取接收方虚拟机发送的接收请求;
根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,其中,所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据;
通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
获取接收方虚拟返回的已签名第二通信内容;
根据接收方公钥,对已签名的第二通信内容进行验证;
若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
可选的,在获取接收方虚拟机发送的接收请求之前,所述方法还包括:
获取发送方虚拟机发送的发送请求;
通过与所述发送方虚拟机之间建立的共享内存,获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;
根据发送方私钥,对所述第一通信内容进行验证;
若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;
关闭与所述发送方虚拟机之间建立的所述共享内存。
可选的,所述发送通信日志包括发送方签名的通信内容以及发送方名称、通信内容说明、发送时间中的任意一种或者几种。
可选的,在将所述对称秘钥发送至所述接收方虚拟机之后,所述方法还包括:
通过对称秘钥对已签名的所述第二通信内容进行解密,得到第三通信内容;
判定所述第三通信内容与所述第一通信内容是否相同;
若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成。
可选的,在确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成之后,所述方法还包括:
关闭与所述接收方虚拟机建立的所述内存映射。
一种虚拟机域间通信日志管理装置,包括:
获取模块,用于获取接收方虚拟机发送的接收请求;
加密模块,用于根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,其中,所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据;
映射模块,用于通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
接收模块,用于获取接收方虚拟返回的已签名第二通信内容;
验证模块,用于根据接收方公钥,对已签名的第二通信内容进行验证;
日志管理模块,用于若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
可选的,所述获取模块,还用于获取发送方虚拟机发送的发送请求;通过与所述发送方虚拟机之间建立的共享内存,获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;
所述验证模块,还用于根据发送方私钥,对所述第一通信内容进行验证;
所述日志管理模块,还用于若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;关闭与所述发送方虚拟机之间建立的所述共享内存。
可选的,所述装置还包括:
管理模块,用于通过对称秘钥对已签名的所述第二通信内容进行解密,得到第三通信内容;判定所述第三通信内容与所述第一通信内容是否相同;若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成。
可选的,所述管理模块,还用于关闭与所述接收方虚拟机建立的所述内存映射。
一种虚拟机域间通信日志管理系统,包括:发送方虚拟机、接收方虚拟机、域间通信管理模块,其中,
所述发送方虚拟机,向所述域间通信管理模块发送发送请求,并与所述域间通信管理模块建立内存映射,通过接收方私钥对第一通信内容进行签名,并将签名的第一通信内容发送至域间通信管理模块;
所述域间通信管理模块,接收获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;根据发送方公钥,对所述第一通信内容进行验证;若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;获取接收方虚拟机发送的接收请求;根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;获取接收方虚拟返回的已签名第二通信内容;根据接收方公钥,对已签名的第二通信内容进行验证;若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机;
接收方虚拟机,使用接收方私钥对加密的第二通信内容进行数字签名,在内存中产生已签名的加第二密通信内容;通过建立共享内存,通过共享内存将已签名的加密的第二通信内容映射至域间通信管理模块内存中;并根据接收到的对称秘钥对已加密的第二通信内容进行解密得到所述第一通信内容。
通过本发明所提供的技术方案,第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据,并且还对接收方虚拟机的签名进行验证,这样保证了发送方无法抵赖其将第一通信内容发送到域间通信管理模块,域间通信管理模块存储用于审计的发送通信日志,和包含发送方签名的发送记录文件;接收方无法抵赖其接收到来自域间通信管理模块的第二通信内容,域间通信管理模块存储用于审计的接收通信日志,和包含接收方签名的接收记录文件。
附图说明
图1为本发明实施例中的一种虚拟机域间通信日志管理方法的流程图;
图2为本发明实施例中域间通信模块与发送方虚拟机以及接收方虚拟机之间的通信过程示意图之一;
图3为本发明实施例中域间通信模块与发送方虚拟机以及接收方虚拟机之间的通信过程示意图之二;
图4为本发明实施例中一种虚拟机域间通信日志管理装置的结构示意图;
图5为本发明实施例中一种虚拟机域间通信日志管理系统的结构示意图。
具体实施方式
本发明实施例提供了一种虚拟机域间通信日志管理方法,用以解决现有技术中发送方虚拟机和接收方虚拟机可能抵赖通信完成的问题,该方法包括:获取接收方虚拟机发送的接收请求;根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;获取接收方虚拟返回的已签名第二通信内容;根据接收方公钥,的第二通信内容进行验证;若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
这里的第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据,并且还对接收方虚拟机的签名进行验证,这样保证了发送方无法抵赖其将第一通信内容发送到域间通信管理模块,域间通信管理模块存储用于审计的发送通信日志,和包含发送方签名的发送记录文件;接收方无法抵赖其接收到来自域间通信管理模块的第二通信内容,域间通信管理模块存储用于审计的接收通信日志,和包含接收方签名的接收记录文件。
下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解,本发明实施例以及实施例中的具体技术特征只是对本发明技术方案的说明,而不是限定,在不冲突的情况下,本发明实施例以及实施例中的具体技术特征可以相互组合。
如图1所示为本发明实施例中一种虚拟机域间通信日志管理方法的流程图,该方法包括:
S101,获取接收方虚拟机发送的接收请求;
S102,根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容;
S103,通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
S104,获取接收方虚拟返回的已签名第二通信内容;
S105,根据接收方公钥,对已签名的第二通信内容进行验证;
S106,若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机。
具体来讲,上述的方法应用到域间通信管理模块中,域间通信管理模块与发送方虚拟机以及接收方虚拟机通信。下面通过图2,分别对通信过程进行说明:
发送方虚拟机与域间通信管理模块的通信过程:
在图2中,域间通信管理模块首先是与发送方虚拟机进行通信,发送方虚拟机需要与域间通信管理模块发送第一通信内容时,发送方虚拟机向虚拟机监控器提出发送请求,虚拟机监控器接受请求后,控制域间通信管理模块,通过授权映射建立发送方虚拟机和域间通信管理模块的共享内存,发送方虚拟机使用发送方私钥对第一通信内容进行数字签名,然后映射给域间通信管理模块;
域间通信管理模块接收经过签名的第一通信内容时,域间通信管理模块使用发送方公钥对发送方虚拟机映射的发送方签名的第一通信内容进行验证,验证通过后,域间通信管理模块记录发送通信日志,该发送通信日志包括但不限于发送方虚拟机名称、通信内容说明、发送时间,以及发送记录文件,包括发送方签名的第一通信内容;
上述的过程描述的域间通信管理模块与发送方虚拟机之间的通信过程。
接收方虚拟机与域间通信管理模块的通信过程:
域间通信管理模块获取接收方虚拟机发送的接收请求,根据接收请求,生成对称秘钥,并根据对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,通过与接收方虚拟机建立的内存的映射,将加密的第二通信内容映射给接收方虚拟机,获取接收方虚拟机返回的已签名的第二通信内容,根据接收方公钥,对已签名的第二通信内容进行验证,若验证通过时,存储于接收方虚拟机之间的接收通信日志,并将对称秘钥发送至接收方虚拟机。接收方虚拟机使用对称秘钥对加密的第二通信内容进行解密,从而得到发送方虚拟机发送的第一通信内容。
具体来讲,如图2所示,接收方登录接收方虚拟机,使用接收方私钥对加密的第二通信内容进行数字签名,在接收方虚拟机内存中产生接收方签名的加密的第二通信内容。接收方虚拟机通过虚拟机监控器建立共享内存,将接收方虚拟机内存中接收方签名的加密通信内容映射至域间通信管理模块内存中。
域间通信管理模块使用接收方公钥验证接收方签名的加密通信内容,验证通过将接收方签名的加密通信内容存入域间通信管理模块的通信日志中,作为接收记录文件。同时,域间通信管理模块通过虚拟机监控器建立共享内存,将之前随机生成的对称密钥映射至接收方虚拟机内存中。
接收方虚拟机使用对称密钥对加密的第二通信内容进行解密,即可得到第一通信内容。至此,发送方在发送方虚拟机创建的第一通信内容被接收方在接收方虚拟机接收,并且域间通信管理模块的通信日志存储本次通信过程。
进一步,在本发明实施例中,为了验证发送方虚拟机与接收方虚拟机完成通信,因此通过对称秘钥对已签名的第二通信内容进行解密,得到第三通信内容,判定第三通信内容与第一通信内容是否相同,若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,从而判定通信完成。
具体来讲,如图3所示,在证明发送方、接收方完成通信时,使用发送方公钥验证发送方签名的通信内容,验证通过即确认通信内容由发送方发送,使用接收方公钥验证接收方签名的加密通信内容,验证通过即确认通信内容由接收方接收,使用对称密钥解密验证通过的加密的通信内容,将得到的通信内容与发送方签名的通信内容进行比对,内容比对相同即确认发送方发送内容与接收方接收内容相同,从而确定双方通信完成,这样在同时确认通信内容由发送方发送、通信内容由接收方接收,发送方发送内容与接收方接受内容相同的情况下,即可确认发送方、接收方进行通信,且双方不可抵赖通信的完成。
对应本发明实施例中,一种虚拟机域间通信日志管理方法,本发明实施例中还提供了一种虚拟机域间通信日志管理装置,如图4所示为本发明实施例中一种虚拟机域间通信日志管理装置的结构示意图,该系统包括:
获取模块401,用于获取接收方虚拟机发送的接收请求;
加密模块402,用于根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,其中,所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据;
映射模块403,用于通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
接收模块404,用于获取接收方虚拟返回的已签名第二通信内容;
验证模块405,用于根据接收方公钥,对已签名的第二通信内容进行验证;
日志管理模块406,用于若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
进一步,在本发明实施例中,所述获取模块401,还用于获取发送方虚拟机发送的发送请求;通过与所述发送方虚拟机之间建立的共享内存,获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;
所述验证模块405,还用于根据发送方私钥,对所述第一通信内容进行验证;
所述日志管理模块406,还用于若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;关闭与所述发送方虚拟机之间建立的所述共享内存。
进一步,在本发明实施例中,该装置还包括:
管理模块,用于通过对称秘钥对已签名的所述第二通信内容进行解密,得到第三通信内容;判定所述第三通信内容与所述第一通信内容是否相同;若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成。
进一步,在本发明实施例中,所述管理模块,还用于关闭与所述接收方虚拟机建立的所述内存映射。
另外,在本发明实施例中,还公开了一种虚拟机域间通信日志管理系统,如图5所示为本发明实施例中一种虚拟机域间通信日志管理系统的结构示意图,该系统包括:发送方虚拟机501、域间通信管理模块502、接收方虚拟机503;
发送方虚拟机501,向所述域间通信管理模块发送发送请求,并与所述域间通信管理模块建立内存映射,通过接收方私钥对第一通信内容进行签名,并将签名的第一通信内容发送至域间通信管理模块;
域间通信管理模块502,接收获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;根据发送方公钥,对所述第一通信内容进行验证;若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;获取接收方虚拟机发送的接收请求;根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;获取接收方虚拟返回的已签名第二通信内容;根据接收方公钥,对已签名的第二通信内容进行验证;若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机;
接收方虚拟机503,使用接收方私钥对加密的第二通信内容进行数字签名,在内存中产生已签名的加第二密通信内容;通过建立共享内存,通过共享内存将已签名的加密的第二通信内容映射至域间通信管理模块内存中;并根据接收到的对称秘钥对已加密的第二通信内容进行解密得到所述第一通信内容。
上述的发送方虚拟机501、域间通信管理模块502、接收方虚拟机503在前述的实施例中已经详细的说明,此处就不再多余赘述。
尽管已描述了本申请的优选实施例,但本领域内的普通技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (8)

1.一种虚拟机域间通信日志管理方法,其特征在于,所述方法包括:
获取发送方虚拟机发送的发送请求;
通过与所述发送方虚拟机之间建立的共享内存,获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;
根据发送方私钥,对所述第一通信内容进行验证;
若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;
关闭与所述发送方虚拟机之间建立的所述共享内存;
在保存所述发送通信日志以及关闭所述共享内存之后,获取接收方虚拟机发送的接收请求;
根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对所存储的所述第一通信内容进行加密,得到加密的第二通信内容,其中,所述第一通信内容为对发送方虚拟机映射出的通信内容进行验证通过之后的数据;
通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
获取接收方虚拟返回的已签名第二通信内容;
根据接收方公钥,对已签名的第二通信内容进行验证;
若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
2.如权利要求1所述的方法,其特征在于,所述发送通信日志包括发送方签名的通信内容以及发送方名称、通信内容说明、发送时间中的任意一种或者几种。
3.如权利要求1所述的方法,其特征在于,在将所述对称秘钥发送至所述接收方虚拟机之后,所述方法还包括:
通过对称秘钥对已签名的所述第二通信内容进行解密,得到第三通信内容;
判定所述第三通信内容与所述第一通信内容是否相同;
若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成。
4.如权利要求3所述的方法,其特征在于,在确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成之后,所述方法还包括:
关闭与所述接收方虚拟机建立的所述内存映射。
5.一种虚拟机域间通信日志管理装置,其特征在于,包括:
获取模块,用于获取发送方虚拟机发送的发送请求,并通过与所述发送方虚拟机之间建立的共享内存,获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;还用于获取接收方虚拟机发送的接收请求;
加密模块,用于根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的所述第一通信内容进行加密,得到加密的第二通信内容,其中,所述第一通信内容为对发送方虚拟机映射出的通信内容进行验证通过之后的数据;
映射模块,用于通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;
接收模块,用于获取接收方虚拟返回的已签名第二通信内容;
验证模块,用于根据发送方私钥,对所述第一通信内容进行验证;还用于根据接收方公钥,对已签名的第二通信内容进行验证;
日志管理模块,用于若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;关闭与所述发送方虚拟机之间建立的所述共享内存;还用于若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机,以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。
6.如权利要求5所述的装置,其特征在于,所述装置还包括:
管理模块,用于通过对称秘钥对已签名的所述第二通信内容进行解密,得到第三通信内容;判定所述第三通信内容与所述第一通信内容是否相同;若相同,则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同,判定通信完成。
7.如权利要求6所述的装置,其特征在于,所述管理模块,还用于关闭与所述接收方虚拟机建立的所述内存映射。
8.一种虚拟机域间通信日志管理系统,其特征在于,包括:发送方虚拟机、接收方虚拟机、域间通信管理模块,其中,
所述发送方虚拟机,向所述域间通信管理模块发送发送请求,并与所述域间通信管理模块建立内存映射,通过接收方私钥对第一通信内容进行签名,并将签名的第一通信内容发送至域间通信管理模块;
所述域间通信管理模块,接收获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容;根据发送方公钥,对所述第一通信内容进行验证;若验证通过,则存储所述第一通信内容,并保存与所述发送方虚拟机之间的发送通信日志;获取接收方虚拟机发送的接收请求;根据所述接收请求,生成对称秘钥,并根据所述对称秘钥对存储的第一通信内容进行加密,得到加密的第二通信内容,通过与所述接收方虚拟机建立的内存映射,将所述加密的第二通信内容映射给接收方虚拟机;获取接收方虚拟返回的已签名第二通信内容;根据接收方公钥,对已签名的第二通信内容进行验证;若验证通过时,存储与所述接收方虚拟机之间的接收通信日志,并将所述对称秘钥发送至所述接收方虚拟机;
接收方虚拟机,使用接收方私钥对加密的第二通信内容进行数字签名,在内存中产生已签名的加第二密通信内容;通过建立共享内存,通过共享内存将已签名的加密的第二通信内容映射至域间通信管理模块内存中;并根据接收到的对称秘钥对已加密的第二通信内容进行解密得到所述第一通信内容。
CN201510919877.5A 2015-12-11 2015-12-11 一种虚拟机域间通信日志管理方法、装置及系统 Active CN105471657B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510919877.5A CN105471657B (zh) 2015-12-11 2015-12-11 一种虚拟机域间通信日志管理方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510919877.5A CN105471657B (zh) 2015-12-11 2015-12-11 一种虚拟机域间通信日志管理方法、装置及系统

Publications (2)

Publication Number Publication Date
CN105471657A CN105471657A (zh) 2016-04-06
CN105471657B true CN105471657B (zh) 2019-12-13

Family

ID=55608971

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510919877.5A Active CN105471657B (zh) 2015-12-11 2015-12-11 一种虚拟机域间通信日志管理方法、装置及系统

Country Status (1)

Country Link
CN (1) CN105471657B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106445642A (zh) * 2016-10-27 2017-02-22 广东铂亚信息技术有限公司 一种基于虚拟机监视器的安全通信方法与系统
CN108616541B (zh) * 2018-05-10 2020-08-18 信阳师范学院 一种双层传感网中的安全Top-k查询方法及装置
CN108833091B (zh) * 2018-05-28 2021-03-12 武汉斗鱼网络科技有限公司 一种日志文件的加密方法、解密方法及装置
CN114244515B (zh) * 2022-02-25 2022-06-28 中瓴智行(成都)科技有限公司 基于Hypervisor的虚拟机通信方法、装置、可读存储介质及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101339589A (zh) * 2008-08-14 2009-01-07 普华优科(北京)科技有限公司 一种利用虚拟机技术实现信息安全的方法
CN101520833A (zh) * 2009-04-10 2009-09-02 武汉大学 基于虚拟机的数据防泄漏系统及其方法
CN102073821A (zh) * 2011-01-27 2011-05-25 北京工业大学 基于xen平台的虚拟安全通信隧道的建立方法
CN103561045A (zh) * 2013-11-21 2014-02-05 北京网秦天下科技有限公司 用于Android系统的安全监测系统和方法
CN103795717A (zh) * 2014-01-23 2014-05-14 中国科学院计算技术研究所 一种云计算平台完整性证明方法及其系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101339589A (zh) * 2008-08-14 2009-01-07 普华优科(北京)科技有限公司 一种利用虚拟机技术实现信息安全的方法
CN101520833A (zh) * 2009-04-10 2009-09-02 武汉大学 基于虚拟机的数据防泄漏系统及其方法
CN102073821A (zh) * 2011-01-27 2011-05-25 北京工业大学 基于xen平台的虚拟安全通信隧道的建立方法
CN102073821B (zh) * 2011-01-27 2012-10-31 北京工业大学 基于xen平台的虚拟安全通信隧道的建立方法
CN103561045A (zh) * 2013-11-21 2014-02-05 北京网秦天下科技有限公司 用于Android系统的安全监测系统和方法
CN103795717A (zh) * 2014-01-23 2014-05-14 中国科学院计算技术研究所 一种云计算平台完整性证明方法及其系统

Also Published As

Publication number Publication date
CN105471657A (zh) 2016-04-06

Similar Documents

Publication Publication Date Title
CN106452775B (zh) 实现电子签章的方法、装置及签章服务器
KR101786177B1 (ko) 보안 블루투스 통신을 수행하는 방법 및 장치
CN107888560B (zh) 一种移动智能终端邮件安全传输系统及方法
CN109218825B (zh) 一种视频加密系统
CN106911704B (zh) 一种基于区块链的加密解密方法
CN102802036B (zh) 一种数字电视认证的系统及方法
CN107105060A (zh) 一种实现电动汽车信息安全的方法
CN107948736A (zh) 一种音视频证据保全方法及系统
CN102857911B (zh) 一种定位的方法、终端及服务器
CN107454079A (zh) 基于物联网平台的轻量级设备认证及共享密钥协商方法
CN103974255B (zh) 一种车辆接入系统和方法
JP2005102163A5 (zh)
CN101789865A (zh) 一种用于加密的专用服务器及加密方法
CN101247605A (zh) 短信息加密、签名方法、移动终端及短信息加密系统
CN105471657B (zh) 一种虚拟机域间通信日志管理方法、装置及系统
CN110753321A (zh) 一种车载tbox与云服务器的安全通信方法
CN104424446A (zh) 一种安全认证和传输的方法和系统
CN105553654A (zh) 密钥信息查询处理方法和装置、密钥信息管理系统
CN103297230B (zh) 信息加解密方法、装置及系统
CN106470103B (zh) 一种客户端发送加密url请求的方法和系统
CN104200154A (zh) 一种基于标识的安装包签名方法及其装置
CN102404337A (zh) 数据加密方法和装置
CN105142134A (zh) 参数获取以及参数传输方法和装置
CN111970114A (zh) 文件加密方法、系统、服务器和存储介质
CN109309910A (zh) 通信数据传输方法、系统、设备及计算机可读存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant