通过禁用不必要的功能改进虚拟化应用性能制造技术

通过禁用诸如不必要的加密和解密操作的不必要的功能来提供改进的虚拟化应用性能。由管理程序执行的示例性方法包括以下步骤：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定第一和第二虚拟机是否在同一个主机上作为管理程序执行(例如，通过评估通信的上下文)；以及如果第一和第二虚拟机在同一个主机上执行，则处理通信而无需加密或解密通信。通过将通信的未加密版本转发给授权机构来执行合法拦截。当通信遍历第一虚拟机与第二虚拟机之间的交换机和/或路由器时，通信的未加密版本被放置在缓冲器内的队列中，并且随机值和/或全零值被返回到调用者。

Improving Virtualization Performance by disabling unnecessary functions

An improved virtualization application performance is provided by disabling unnecessary functions such as unnecessary encryption and decryption operations. An exemplary method executed by the management process includes the following steps: to request one or more communication between encryption and decryption of the first virtual machine with second virtual machines in the first and second virtual machine; determine whether on the same host as management procedures (e.g., by evaluating the communication context); and if the first and second virtual machine execution on the same host, handles communication without encryption or decryption communication. The unencrypted version of the communication is forwarded to the authority to perform legal interception. When communication traverses the switches and / or routers between the first virtual machine and the second virtual machine, the unencrypted version of the communication is placed in the queue within the buffer, and the random values and / or all zeros are returned to the caller.

【技术实现步骤摘要】
【国外来华专利技术】通过禁用不必要的功能改进虚拟化应用性能
本申请一般涉及安全数据通信。更具体地，本申请涉及用于改进这种安全数据通信的性能的技术。
技术介绍
本节介绍可以有助于更好地理解本专利技术的各方面。因此，本节的说明将以此为基础进行阅读，不应被理解为承认哪些是现有技术或者哪些不是现有技术。网络功能虚拟化(NFV)使用信息技术(IT)虚拟化相关的技术以将网络节点功能的类别虚拟化为可以连接以创建通信服务的构造块。实现NFV设计的服务提供商将实现一个或多个虚拟化网络功能(VNF)(即，软件实现网络功能)。通常按顺序应用多个VNF以提供指定的服务。合法拦截(LI)是为了分析或证明的目的而合法获得诸如网络管理信息或通信内容的通信数据的任务。合法拦截可以包括代表执法机构(LEA)、行政机关、情报部门或其它授权机构拦截电讯。部署在通用标准硬件上的网络功能的虚拟化预计将显著地降低部署和维护成本，并且还预计将减少产品开发时间。尽管如此，仍然需要通过禁用不必要的功能(诸如加密)来实现改进的性能的NFV环境。此外，还需要用于在虚拟化环境中执行合法拦截(LI)的改进的技术。
技术实现思路
本专利技术的说明性实施例提供了用于通过禁用不必要的功能(诸如不必要的加密和解密操作)来改进虚拟化应用性能的技术和装置。例如，在一个实施例中，由管理程序执行的方法包括以下步骤：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定第一和第二虚拟机是否在同一个主机上作为管理程序执行(例如，通过评估通信的上下文)；以及如果第一和第二虚拟机在同一个主机上执行，则处理通信而无需加密或解密通信。可以通过将通信的未加密版本转发到授权机构来执行合法拦截。在一个示例性实施例中，当通信遍历第一虚拟机与第二虚拟机之间的交换机和/或路由器时，通信的未加密版本被放置在管理程序和目标虚拟机中的一个或多个的缓冲器内的队列中，并且随机值和全零值中的一个或多个被返回到调用者。然后，通信的未加密版本被定位在队列中，并被返回到目标虚拟机。在另一个实施例中，提供了一种制造产品，其包括其中具有编码的一个或多个软件程序的可执行代码的有形处理器可读存储介质。一个或多个软件程序在由至少一个处理设备执行时，实现上述方法的步骤。在又一个实施例中，一种装置，其包括存储器和被配置为执行上述方法的步骤的至少一个硬件设备。本专利技术的这些和其它特征和优点将从附图和以下详细的描述中变得更加显而易见。附图说明图1示出其中实现本专利技术的一个或多个实施例的示例性虚拟化环境；图2示出与图1中的给定的加密管道的上下文有关的示例性伪代码；图3和图4分别示出根据本专利技术的一个实施例的用于加密系统调用和解密系统调用的示例性伪代码；图5示出其中可以实现本专利技术的一个或多个实施例的具有一个或多个虚拟交换机和/或路由器的可替代的示例性虚拟化环境；图6和图7分别示出在图5中的示例性虚拟化环境中使用的用于加密系统调用和解密系统调用的示例性伪代码；图8示出在其上实现本专利技术的一个或多个实施例的处理平台。具体实施方式本专利技术的说明性实施例将在此参考示例性虚拟化环境、计算系统、通信系统、处理平台、网络、网络节点、网络元件和相关联的通信协议来描述。然而，应当理解，本专利技术的实施例不限于与所描述的特定布置一起使用，而是更普遍地适用于期望通过禁用不必要的功能(诸如不必要的加密和解密功能)来提供改进的性能的任何虚拟化环境。本专利技术的各方面认识到，在虚拟化环境中，通常对共享公共主机并且因此处于同一个管理程序的控制之下的两个虚拟机之间的业务(traffic)执行冗余的加密和解密操作。根据本专利技术的一个实施例，对共享公共主机的两个虚拟机之间的业务禁用冗余的加密和解密操作。例如，在一个示例性实施例中，管理程序应用内省技术以在运行时检查通信的上下文，以确定对指定的通信是否需要进行加密和/或解密操作。图1示出了其中可以实现本专利技术的一个或多个实施例的示例性虚拟化环境100。如在图1中所示，至少两个示例性虚拟机110-1和110-2位于同一个主机150上。两个示例性虚拟机110-1和110-2使用管理程序120实现并通过加密管道135进行通信。管理程序120在主机150的物理基础设施上运行。加密管道135的参数包括上下文140。加密管道135例如可以应用网际协议安全(IPsec)以通过对通信会话的每个IP分组进行认证和加密来保护加密管道135上的网际协议(IP)通信。在进一步的变形中，加密管道135例如可以应用传输层安全(TLS)来保护加密管道135。然而，应当注意，本专利技术可以应用于端点之间的所有可能的隧道协议，这对于本领域的普通技术人员是显而易见的。可以用于实现本专利技术的一个或多个实施例中的管理程序120和系统的其它部分的商业化管理程序平台的示例是KVM(基于内核的虚拟机)管理程序或XEN管理程序。此外，如在下面结合图5进一步所讨论的，示例性管理程序120可以可选地具有相关联的虚拟基础设施管理系统，诸如云业务流程和管理系统(例如，来自阿尔卡特-朗讯(法国，布洛涅-比扬古)的CloudBandTMNFV平台)或操作支持系统(诸如来自阿尔卡特-朗讯(法国，布洛涅-比扬古)的服务感知管理器(ServiceAwareManager)TM(SAM))。底层物理机器(例如，主机150)可以包括一个或多个包括存储产品的分布式处理平台。示例性虚拟化环境100还包括在管理程序120的控制下在虚拟机110-1、110-2上运行的一个或多个应用(未示出)。如在下面结合图2进一步所讨论的，加密管道135的示例性上下文140包括两个示例性虚拟机110-1和110-2的IP地址、加密管道135所需的加密键控材料、端口号(例如，在TLS的情况下)和其它隧道参数。然而，在图1中的实施例中，在两个虚拟机110-1和110-2共享公共主机150的情况下，加密管道135上不涉及实际联网，因为“消息”是管理程序120的存储器的片段。在一个示例性实现中，两个示例性虚拟机110-1与110-2之间的通信被暂时存储在消息缓冲器130中以用于传送。从源虚拟机(诸如虚拟机110-1)接收的每个协议数据单元(即，每个消息)用常规技术被传递到管理程序120，其对所接收的消息进行加密并将加密的消息存储在消息缓冲器130中。然后，管理程序120复制消息缓冲器130中的内容，并对加密的消息进行解密，以用于传送到目标虚拟机，诸如虚拟机110-2。如上所述，本专利技术的各方面通过对在具有公共主机的两个虚拟机110-1与110-2之间的加密管道135上的业务禁用指定的加密操作和相关联的解密操作来减少一个或多个冗余的加密和解密操作。在一个示例性实施例中，管理程序应用内省技术在运行时检查通信的上下文140，以确定对指定的通信是否需要进行加密和/或解密操作。在一个示例性实现中，管理程序120检测到一个虚拟机(诸如虚拟机110-1)在尝试利用对加密隧道协议(诸如TLS或IPsec)的调用设置断点来与在同一个主机150上的另一个虚拟机(诸如虚拟机110-2)建立密码保护隧道，以建立加密管道135(例如，隧道)。一旦建立了加密管道135，管理程序120学习上下文140并将上下文140存储在与两个虚拟机110相关联的数据结构(在下面结合图2进一步讨论本文档来自技高网...

【技术保护点】
一种方法，包括：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定所述第一虚拟机和所述第二虚拟机是否在同一个主机上作为实现所述方法的管理程序执行；以及如果所述第一虚拟机和所述第二虚拟机在所述同一个主机上执行，则处理所述通信而无需加密或解密所述通信。

【技术特征摘要】
【国外来华专利技术】2015.04.23 US 14/694,0151.一种方法，包括：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定所述第一虚拟机和所述第二虚拟机是否在同一个主机上作为实现所述方法的管理程序执行；以及如果所述第一虚拟机和所述第二虚拟机在所述同一个主机上执行，则处理所述通信而无需加密或解密所述通信。2.根据权利要求1所述的方法，其中，所述确定所述第一虚拟机和所述第二虚拟机是否在所述同一个主机上执行的步骤包括：评估所述通信的上下文。3.根据权利要求1所述的方法，进一步包括以下步骤：如果所述第一虚拟机和所述第二虚拟机不都在所述同一个主机上执行，则执行所述通信的所述加密和所述解密中的一个或多个。4.根据权利要求1所述的方法，其中，所述通信遍历所述第一虚拟机与所述第二虚拟机之间的至少一个交换机和至少一个路由器中的一个或多个，并且其中，所述方法进一步包括以下步骤：将所述通信的未加密版本放置在所述管理程序和目标虚拟机中的一个或多个的缓冲器内的队列中，以及将随机值和全零值中的一个或多个返回到调用者。5.根据权利要求1所述的方法，进一步包括以下步骤：如果所述第一虚拟机和所述第二虚拟机中的一个从所述同一个主机中移出，...

【专利技术属性】
技术研发人员：I·凡博格，HL·陆，
申请(专利权)人：阿尔卡特朗讯公司，
类型：发明
国别省市：法国,FR