企业内网物理机访问云存储虚拟机的方法、设备和系统的制作方法
【专利摘要】本发明提供一种企业内网物理机访问云存储虚拟机的方法、设备和系统,位于企业内网的网关接收第一物理机发送的报文,根据第一标识信息查询本地预存的密钥管理信息获取与用户所归属的用户类型对应的第一密钥,并应用第一密钥对报文进行加密处理;根据第二标识信息查询路由信息将加密报文通过公网发送给云存储中目标虚拟机所在的第二物理机,第二物理机根据第二标识信息查询本地存储的虚拟机用户信息,将加密报文发送到与目标虚拟机对应的虚拟网卡上,虚拟网卡应用内置的、虚拟机管理器预先分配的第一密钥对报文进行解密处理,从而在保证通信报文传输可靠性的同时,避免了对企业内网中各个物理机终端都进行升级改造的繁琐,提高了通信效率。
【专利说明】企业内网物理机访问云存储虚拟机的方法、设备和系统
【技术领域】
[0001 ] 本发明实施例涉及通信【技术领域】,尤其涉及一种企业内网物理机访问云存储虚拟机的方法、设备和系统。
【背景技术】
[0002]随着虚拟机化技术和云处理技术的快速发展,云存储中的每个物理机上都会部署多台虚拟机,每个企业会根据需要租用云存储中部署在不同物理机上的虚拟机。
[0003]当企业用户通过企业内网的物理机访问与用户所属的用户类型对应的、部署在云存储中的目标虚拟机时,通信报文从企业内网传输到公网的过程是安全的,但从公网向云存储中目标虚拟机所在的物理机传输时,增加了信息的泄密性。因此,为了提高通信报文传输的可靠性,现有技术中企业用户通过企业内网的物理机访问相关的目标虚拟机时,会在物理机终端增加对通信报文的加密处理模块以对通信报文进行加密处理,从而需要对企业内网中每个发起访问的物理机终端都进行升级改造,过程比较繁琐,效率较低。
【发明内容】
[0004]针对现有技术的上述缺陷,本发明实施例提供一种企业内网物理机访问云存储虚拟机的方法、设备和系统。
[0005]本发明一方面提供一种企业内网物理机访问云存储虚拟机的方法,包括:
[0006]位于企业内网的网关接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息;
[0007]所述网关根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理;
[0008]所述网关根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
[0009]本发明另一方面提供一种位于企业内网的网关,包括:
[0010]接收模块,用于接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息;
[0011]加密模块,用于根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理
[0012]发送模块,用于根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
[0013]本发明又一方面提供一种企业内网物理机访问云存储虚拟机的系统,包括:位于企业内网的第一物理机、云存储中目标虚拟机所在的第二物理机、以及上述的位于企业内网的网关。
[0014]本发明实施例提供的企业内网物理机访问云存储虚拟机的方法、设备和系统,由于在企业内网设置网关,该网关一方面与企业内网的各个物理机终端进行通信交互,一方面与公网进行通信交互,当企业内网用户通过第一物理机访问与该用户所属用户类型对应的部署在云存储中的目标虚拟机时,根据第一物理机中存储的网关的IP地址将通信报文发送给该网关,该网关根据报文头中用户的第一标识信息查询本地预存的密钥管理信息获取与该用户对应的第一密钥,并应用该第一密钥对该报文的负载部分进行加密处理,然后根据目标虚拟机的第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中目标虚拟机所在的第二物理机,第二物理机根据第二标识信息查询本地存储的虚拟机用户信息,将该加密报文发送到与目标虚拟机对应的虚拟网卡上,以使虚拟网卡应用内置的、虚拟机管理器预先分配的第一密钥对该加密报文进行解密处理后发送给目标虚拟机,从而在保证通信报文传输可靠性的同时,避免了对企业内网中各个物理机终端都进行升级改造的繁琐,提高了通信效率。
【专利附图】
【附图说明】
[0015]图1为本发明实施例提供的一个企业内网物理机访问云存储虚拟机的方法的流程图;
[0016]图2为本发明实施例提供的一个位于企业内网的网关的结构示意图;
[0017]图3为本发明实施例提供的一个企业内网物理机访问云存储虚拟机的系统的结构示意图。
【具体实施方式】
[0018]图1为本发明实施例提供的一个企业内网物理机访问云存储虚拟机的方法的流程图,如图1所示,该方法包括:
[0019]步骤100,位于企业内网的网关接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息;
[0020]在企业内网设置网关,该网关一方面与企业内网的各个物理机终端进行通信交互,一方面与公网进行通信交互,企业内网的各个物理机终端中存储该网关的IP地址。当企业内网的用户需要通过第一物理机访问云存储中与自身所属的用户类型对应的目标虚拟机时,首先向第一物理机输入该用户的第一标识信息,第一物理机根据该第一标识信息查询本地存储的企业用户注册信息获取该用户所归属的用户类型以及可供该用户类型进行访问的、部署在云存储中的物理机之上的虚拟机,该用户从这些虚拟机中选择需要进行通信交互的目标虚拟机。当用户确定了目标虚拟机之后,根据第一物理机中存储的网关的IP地址将待交互的通信报文发送给该网关,该通信报文的报文头包括该用户的第一标识信息和目标虚拟机的第二标识信息。
[0021]步骤101,所述网关根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理;
[0022]当该网关接收第一物理机发送的报文后,对该报文的报文头进行解析获取用户的第一标识信息和目标虚拟机的第二标识信息,然后根据该用户的第一标识信息查询本地预存的密钥管理信息获取与该用户所属的用户类型对应的第一密钥,并应用该第一密钥对该报文的负载部分进行加密处理。
[0023]步骤102,所述网关根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
[0024]网关应用与该用户所属的用户类型对应的第一密钥对报文的负载部分进行加密处理后,根据目标虚拟机的第二标识信息查询预存储的路由信息,获知与目标虚拟机的第二标识信息对应的为第二物理机的IP地址,然后根据第二物理机的IP地址将加密处理后的报文发送给第二物理机。第二物理机接收到网关发送的报文后,根据报文头中目标虚拟机的第二标识信息查询本地存储的虚拟机用户信息获知与目标虚拟机的第二标识信息对应的虚拟网卡的标识信息,然后第二物理机根据虚拟网卡的标识信息将该报文发送到与目标虚拟机对应的虚拟网卡上,即该虚拟网卡负责目标虚拟机与企业内网物理机之间的通信交互,该虚拟网卡中内置有虚拟机管理器预先分配的与目标虚拟机对应的密钥,该密钥与访问目标虚拟机的用户所归属的用户类型所对应的密钥一致即第一密钥,因此,当虚拟网卡接收到第二物理机发送的加密的报文后,应用内置的第一密钥对该报文进行解密处理,并将解密处理后的报文发送给目标虚拟机。
[0025]本实施例提供的企业内网物理机访问云存储虚拟机的方法,由于在企业内网设置网关,该网关一方面与企业内网的各个物理机终端进行通信交互,一方面与公网进行通信交互,当企业内网用户通过第一物理机访问与该用户所属用户类型对应的部署在云存储中的目标虚拟机时,根据第一物理机中存储的网关的IP地址将通信报文发送给该网关,该网关根据报文头中用户的第一标识信息查询本地预存的密钥管理信息获取与该用户对应的第一密钥,并应用该第一密钥对该报文的负载部分进行加密处理,然后根据目标虚拟机的第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中目标虚拟机所在的第二物理机,第二物理机根据第二标识信息查询本地存储的虚拟机用户信息,将该加密报文发送到与目标虚拟机对应的虚拟网卡上,以使虚拟网卡应用内置的、虚拟机管理器预先分配的第一密钥对该加密报文进行解密处理后发送给目标虚拟机,从而在保证通信报文传输可靠性的同时,避免了对企业内网中各个物理机终端都进行升级改造的繁琐,提高了通信效率。
[0026]本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
[0027]图2为本发明实施例提供的一个位于企业内网的网关的结构示意图,如图2所示,该网关包括:接收模块11、加密模块12和发送模块13,其中,接收模块11用于接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息;加密模块12用于根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理;发送模块13用于根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
[0028]本实施例提供的位于企业内网的网关中各模块的功能和处理流程,可以参见上述图1所示的方法实施例,其实现原理和技术效果类似,此处不再赘述。
[0029]图3为本发明实施例提供的一个企业内网物理机访问云存储虚拟机的系统的结构示意图,如图3所示,该系统包括:位于企业内网的第一物理机1、云存储中目标虚拟机2所在的第二物理机3、以及位于企业内网的网关4,其中,位于企业内网的网关4可以采用本发明上述实施例中提供的位于企业内网的网关,位于企业内网的第一物理机1,目标虚拟机2以及第二物理机3可以采用本发明上述实施例中涉及的第一物理机,目标虚拟机以及第二物理机。
[0030]本实施例提供的企业内网物理机访问云存储虚拟机的系统中各模块的功能和处理流程,可以参见上述图1所示的方法实施例,其实现原理和技术效果类似,此处不再赘述。
[0031]最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
【权利要求】
1.一种企业内网物理机访问云存储虚拟机的方法, 其特征在于,包括: 位于企业内网的网关接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息; 所述网关根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理; 所述网关根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
2.一种位于企业内网的网关,其特征在于,包括: 接收模块,用于接收位于企业内网的第一物理机发送的报文,所述报文的报文头包括用户的第一标识信息和目标虚拟机的第二标识信息; 加密模块,用于根据所述第一标识信息查询本地预存的密钥管理信息获取与所述用户所归属的用户类型对应的第一密钥,并应用所述第一密钥对所述报文的负载部分进行加密处理; 发送模块,用于根据所述第二标识信息查询预存储的路由信息将加密报文通过公网发送给云存储中所述目标虚拟机所在的第二物理机,以供所述第二物理机根据所述第二标识信息查询本地存储的虚拟机用户信息,将所述加密报文发送到与所述目标虚拟机对应的虚拟网卡上,以使所述虚拟网卡应用内置的、虚拟机管理器预先分配的所述第一密钥对所述加密报文进行解密处理后发送给所述目标虚拟机。
3.一种企业内网物理机访问云存储虚拟机的系统,其特征在于,包括:位于企业内网的第一物理机、云存储中目标虚拟机所在的第二物理机、以及如权利要求2所述的位于企业内网的网关。
【文档编号】H04L12/46GK103607449SQ201310581295
【公开日】2014年2月26日 申请日期:2013年11月18日 优先权日:2013年11月18日
【发明者】田新雪, 马书惠 申请人:中国联合网络通信集团有限公司