一种虚拟机域间通信日志管理方法、装置及系统制造方法及图纸

本发明专利技术公开了一种虚拟机域间通信日志管理方法、装置及系统，在发送方、接收方完成通信时，使用发送方公钥验证发送方签名的通信内容，验证通过即确认通信内容由发送方发送，使用接收方公钥验证接收方签名的加密通信内容，验证通过即确认通信内容由接收方接收，使用对称密钥解密验证通过的加密的通信内容，将得到的通信内容与发送方签名的通信内容进行比对，内容比对相同即确认发送方发送内容与接收方接收内容相同，从而确定双方通信完成，这样在同时确认通信内容由发送方发送、通信内容由接收方接收，发送方发送内容与接收方接受内容相同的情况下，即可确认发送方、接收方进行通信，且双方不可抵赖通信的完成。

【技术实现步骤摘要】

本申请涉及信息安全
，尤其涉及一种虚拟机域间通信日志管理方法、装置及系统。
技术介绍
近年来，虚拟化技术不断地快速发展，得到广泛的应用。对于同一物理机上的虚拟机，尽管传统的网络通信模式依然适用，但是考虑到虚拟机间不存在物理隔离，这种方法产生的吞吐量小、延迟高的问题似乎是不必要的。基于共享内存机制的虚拟机域间通信技术有效地解决上述问题：虚拟机通过虚拟机监控器，开辟共享内存并建立映射关系，发送方和接收方依赖于共享内存实现通信。由于通信过程在物理机内完成，域间通信有效提高虚拟机间通信效率。但是，不同于传统网络通信，虚拟机域间通信记录留存较少，仅在虚拟机监控器中留有相关共享内存的调用记录。对于保密单位或是频繁通过虚拟机传输重要文件的单位，基于共享内存的域间通信模式存在极大隐患，其中之一就是发送方和接收方可能抵赖通信完成。
技术实现思路
本专利技术实施例提供了一种虚拟机域间通信日志管理方法、装置及系统，用以解决现有技术中发送方和接收方可能抵赖通信完成的问题。其具体的技术方案如下：一种虚拟机域间通信日志管理方法，所述方法包括：获取接收方虚拟机发送的接收请求；根据所述接收请求，生成对称秘钥，并根据所述对称秘钥对存储的第一通信内容进行加密，得到加密的第二通信内容，其中，所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据；通过与所述接收方虚拟机建立的内存映射，将所述加密的第二通信内容映射给接收方虚拟机；获取接收方虚拟返回的已签名第二通信内容；根据接收方公钥，对已签名的第二通信内容进行验证；若验证通过时，存储与所述接收方虚拟机之间的接收通信日志，并将所述对称秘钥发送至所述接收方虚拟机，以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。可选的，在获取接收方虚拟机发送的接收请求之前，所述方法还包括：获取发送方虚拟机发送的发送请求；通过与所述发送方虚拟机之间建立的共享内存，获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容；根据发送方私钥，对所述第一通信内容进行验证；若验证通过，则存储所述第一通信内容，并保存与所述发送方虚拟机之间的发送通信日志；关闭与所述发送方虚拟机之间建立的所述共享内存。可选的，所述发送通信日志包括发送方签名的通信内容以及发送方名称、通信内容说明、发送时间中的任意一种或者几种。可选的，在将所述对称秘钥发送至所述接收方虚拟机之后，所述方法还包括：通过对称秘钥对已签名的所述第二通信内容进行解密，得到第三通信内容；判定所述第三通信内容与所述第一通信内容是否相同；若相同，则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同，判定通信完成。可选的，在确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同，判定通信完成之后，所述方法还包括：关闭与所述接收方虚拟机建立的所述内存映射。一种虚拟机域间通信日志管理装置，包括：获取模块，用于获取接收方虚拟机发送的接收请求；加密模块，用于根据所述接收请求，生成对称秘钥，并根据所述对称秘钥对存储的第一通信内容进行加密，得到加密的第二通信内容，其中，所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据；映射模块，用于通过与所述接收方虚拟机建立的内存映射，将所述加密的第二通信内容映射给接收方虚拟机；接收模块，用于获取接收方虚拟返回的已签名第二通信内容；验证模块，用于根据接收方公钥，对已签名的第二通信内容进行验证；日志管理模块，用于若验证通过时，存储与所述接收方虚拟机之间的接收通信日志，并将所述对称秘钥发送至所述接收方虚拟机，以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。可选的，所述获取模块，还用于获取发送方虚拟机发送的发送请求；通过与所述发送方虚拟机之间建立的共享内存，获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容；所述验证模块，还用于根据发送方私钥，对所述第一通信内容进行验证；所述日志管理模块，还用于若验证通过，则存储所述第一通信内容，并保存与所述发送方虚拟机之间的发送通信日志；关闭与所述发送方虚拟机之间建立的所述共享内存。可选的，所述装置还包括：管理模块，用于通过对称秘钥对已签名的所述第二通信内容进行解密，得到第三通信内容；判定所述第三通信内容与所述第一通信内容是否相同；若相同，则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通信内容相同，判定通信完成。可选的，所述管理模块，还用于关闭与所述接收方虚拟机建立的所述内存映射。一种虚拟机域间通信日志管理系统，包括：发送方虚拟机、接收方虚拟机、域间通信管理模块，其中，所述发送方虚拟机，向所述域间通信管理模块发送发送请求，并与所述域间通信管理模块建立内存映射，通过接收方私钥对第一通信内容进行签名，并将签名的第一通信内容发送至域间通信管理模块；所述域间通信管理模块，接收获取所述发送方虚拟机通过发送方私钥进行数据签名后的第一通信内容；根据发送方公钥，对所述第一通信内容进行验证；若验证通过，则存储所述第一通信内容，并保存与所述发送方虚拟机之间的发送通信日志；获取接收方虚拟机发送的接收请求；根据所述接收请求，生成对称秘钥，并根据所述对称秘钥对存储的第一通信内容进行加密，得到加密的第二通信内容，通过与所述接收方虚拟机建立的内存映射，将所述加密的第二通信内容映射给接收方虚拟机；获取接收方虚拟返回的已签名第二通信内容；根据接收方公钥，对已签名的第二通信内容进行验证；若验证通过时，存储与所述接收方虚拟机之间的接收通信日志，并将所述对称秘钥发送至所述接收方虚拟机；接收方虚拟机，使用接收方私钥对加密的第二通信内容进行数字签名，在内存中产生已签名的加第二密通信内容；通过建立共享内存，通过共享内存将已签名的加密的第二通信内容映射至域间通信管理模块内存中；并根据接收到的对称秘钥对已加密的第二通信内容进行解密得到所述第一通信内容。通过本专利技术所提供的技术方案，第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据，并且还对接收方虚拟机的签名进行验证，这样保证了发送方无法抵赖其将第一通信内容发送到域间通信管理模块，域间通信管理模块存储用于审计的发送通信日志，和包含发送方签名的发送记录文件；本文档来自技高网...

【技术保护点】
一种虚拟机域间通信日志管理方法，其特征在于，所述方法包括：获取接收方虚拟机发送的接收请求；根据所述接收请求，生成对称秘钥，并根据所述对称秘钥对存储的第一通信内容进行加密，得到加密的第二通信内容，其中，所述第一通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据；通过与所述接收方虚拟机建立的内存映射，将所述加密的第二通信内容映射给接收方虚拟机；获取接收方虚拟返回的已签名第二通信内容；根据接收方公钥，对已签名的第二通信内容进行验证；若验证通过时，存储与所述接收方虚拟机之间的接收通信日志，并将所述对称秘钥发送至所述接收方虚拟机，以使所述接收方虚拟机根据所述对称秘钥对所述第二通信内容进行解密得到所述第一通信内容。

【技术特征摘要】
1.一种虚拟机域间通信日志管理方法，其特征在于，所述方法包括：
获取接收方虚拟机发送的接收请求；
根据所述接收请求，生成对称秘钥，并根据所述对称秘钥对存储的第一通
信内容进行加密，得到加密的第二通信内容，其中，所述第一通信内容为对发
送方虚拟机映射出的通信内容的进行验证通过之后数据；
通过与所述接收方虚拟机建立的内存映射，将所述加密的第二通信内容映
射给接收方虚拟机；
获取接收方虚拟返回的已签名第二通信内容；
根据接收方公钥，对已签名的第二通信内容进行验证；
若验证通过时，存储与所述接收方虚拟机之间的接收通信日志，并将所述
对称秘钥发送至所述接收方虚拟机，以使所述接收方虚拟机根据所述对称秘钥
对所述第二通信内容进行解密得到所述第一通信内容。
2.如权利要求1所述的方法，其特征在于，在获取接收方虚拟机发送的接
收请求之前，所述方法还包括：
获取发送方虚拟机发送的发送请求；
通过与所述发送方虚拟机之间建立的共享内存，获取所述发送方虚拟机通
过发送方私钥进行数据签名后的第一通信内容；
根据发送方私钥，对所述第一通信内容进行验证；
若验证通过，则存储所述第一通信内容，并保存与所述发送方虚拟机之间
的发送通信日志；
关闭与所述发送方虚拟机之间建立的所述共享内存。
3.如权利要求2所述的方法，其特征在于，所述发送通信日志包括发送方
签名的通信内容以及发送方名称、通信内容说明、发送时间中的任意一种或者
几种。
4.如权利要求2所述的方法，其特征在于，在将所述对称秘钥发送至所述

\t接收方虚拟机之后，所述方法还包括：
通过对称秘钥对已签名的所述第二通信内容进行解密，得到第三通信内容；
判定所述第三通信内容与所述第一通信内容是否相同；
若相同，则确定接收方虚拟机接收到的通信内容与发送方虚拟机发送的通
信内容相同，判定通信完成。
5.如权利要求4所述的方法，其特征在于，在确定接收方虚拟机接收到的
通信内容与发送方虚拟机发送的通信内容相同，判定通信完成之后，所述方法
还包括：
关闭与所述接收方虚拟机建立的所述内存映射。
6.一种虚拟机域间通信日志管理装置，其特征在于，包括：
获取模块，用于获取接收方虚拟机发送的接收请求；
加密模块，用于根据所述接收请求，生成对称秘钥，并根据所述对称秘钥
对存储的第一通信内容进行加密，得到加密的第二通信内容，其中，所述第一
通信内容为对发送方虚拟机映射出的通信内容的进行验证通过之后数据；
映射模块，用于通过与所述接收方虚拟机建立的内存映射，将所述加密的
第二通信内容映射给接收方虚拟机；
接收模块，用于获取接收方虚拟返回的已签名第二通信内容；
验证模块，用于根据接收方公钥，对已签名的...

【专利技术属性】
技术研发人员：陈煜文，张占龙，褚洪洋，王守信，姜廷廷，葛彬，米秀明，
申请(专利权)人：航天恒星科技有限公司，
类型：发明
国别省市：北京;11