1.一种应用于虚拟化场景的安全通信方法,其中,该方法包括:
在虚拟机的子进程执行系统调用时,判断所述系统调用的属性;
若所述系统调用为数据平面的系统调用,则所述虚拟机的子进程使用物理机的父进程提供的套接字描述符执行所述数据平面的系统调用;
若所述系统调用为控制平面的系统调用,则所述虚拟机的子进程禁止执行所述控制平面的系统调用,请求物理机的父进程执行所述控制平面的系统调用或者返回伪造的系统调用结果。
2.根据权利要求1所述的方法,其中,所述虚拟机的子进程使用物理机的父进程提供的套接字描述符执行所述数据平面的系统调用,包括:
虚拟机的子进程获取物理机的父进程提供的物理机内部标识,其中所述物理机内部标识为用于表示基于物理机内核的套接字描述符的标识;
所述虚拟机的子进程根据所述映射关系由所述物理机内部标识获取虚拟机内部标识,其中所述虚拟机内部标识为用于表示基于虚拟机内核的套接字描述符的标识;
所述虚拟机的子进程根据所述虚拟机内部标识获取套接字描述符,并使用该套接字描述符执行所述数据平面的系统调用。
3.根据权利要求1所述的方法,其中,所述虚拟机的子进程使用物理机的父进程提供的套接字描述符执行所述数据平面的系统调用,包括:
若所述数据平面的系统调用为读写数据的系统调用,所述虚拟机的子进程在使用物理机的父进程提供的套接字描述符执行所述读写数据的系统调用时,采用批处理的方式将数据由虚拟机的内核空间传输至物理机的内核空间。
4.根据权利要求1至3中任一所述的方法,其中,所述虚拟机的子进程禁止执行所述控制平面的系统调用、请求物理机的父进程执行所述控制平面的系统调用或者返回伪造的系统调用结果,包括:
若所述控制平面的系统调用为影响全局配置或者导致信息泄露的系统调用,则所述虚拟机的子进程禁止执行所述控制平面的系统调用;否则,所述虚拟机的子进程请求物理机的父进程执行所述控制平面的系统调用或者返回伪造的系统调用结果。
5.根据权利要求4所述的方法,其中,所述虚拟机的子进程请求物理机的父进程执行所述控制平面的系统调用之后,还包括:
获取物理机的父进程向所述虚拟机的子进程返回的所述控制平面的系统调用的执行结果。
6.根据权利要求1至5中任一项所述的方法,其中,在判断所述系统调用的属性之前,还包括:
创建用于标识所述虚拟机的子进程与网络通信对端之间的信道的套接字描述符。
7.根据权利要求6所述的方法,其中,创建用于标识所述虚拟机的子进程与网络通信对端之间的信道的套接字描述符,包括:
虚拟机的子进程向物理机的父进程发送套接字描述符的创建请求,其中所述创建请求包括虚拟机内部标识、套接字参数和进程控制信息,所述虚拟机内部标识为用于表示基于虚拟机内核的套接字描述符的标识;
所述物理机的父进程根据套接字参数和进程控制信息创建所述套接字描述符,执行信道连接操作,并记录物理机内部标识与所述虚拟机内部标识的映射关系,其中所述物理机内部标识为用于表示基于物理机内核的套接字描述符的标识;
所述物理机的父进程向所述虚拟机的子进程返回所述套接字描述符的创建成功响应,其中,所述创建成功响应包括物理机内部标识;
所述虚拟机的子进程根据所述创建成功响应创建所述套接字描述符,记录所述物理机内部标识与所述虚拟机内部标识映射关系,设置套接字抽象层的配置。
8.根据权利要求7所述的方法,其中,虚拟机的子进程向物理机的父进程发送套接字描述符的创建请求之前,还包括:
确定所述虚拟机的子进程与网络通信对端之间的信道为受限通信信道。
9.一种应用于虚拟化场景的安全通信设备,其中,该设备包括:
判断装置,用于在虚拟机的子进程执行系统调用时,判断所述系统调用的属性;
数据处理装置,用于在所述系统调用为数据平面的系统调用时,控制所述虚拟机的子进程使用物理机的父进程提供的套接字描述符执行所述数据平面的系统调用;
控制处理装置,用于在所述系统调用为控制平面的系统调用时,控制所述虚拟机的子进程禁止执行所述控制平面的系统调用,请求物理机的父进程执行所述控制平面的系统调用或者返回伪造的系统调用结果。
10.根据权利要求9所述的设备,其中,所述数据处理装置,用于在所述系统调用为数据平面的系统调用时,控制虚拟机的子进程获取物理机的父进程提供的物理机内部标识,其中所述物理机内部标识为用于表示基于物理机内核的套接字描述符的标识;控制所述虚拟机的子进程根据所述映射关系由所述物理机内部标识获取虚拟机内部标识,其中所述虚拟机内部标识为用于表示基于虚拟机内核的套接字描述符的标识;以及控制所述虚拟机的子进程根据所述虚拟机内部标识获取套接字描述符,并使用该套接字描述符执行所述数据平面的系统调用。
11.根据权利要求10所述的设备,其中,所述数据处理装置,用于在所述数据平面的系统调用为读写数据的系统调用时,控制所述虚拟机的子进程在使用物理机的父进程提供的套接字描述符执行所述读写数据的系统调用时,采用批处理的方式将数据由虚拟机的内核空间传输至物理机的内核空间。
12.根据权利要求9至3中任一所述的设备,其中,所述控制处理装置,用于在所述控制平面的系统调用为影响全局配置或者导致信息泄露的系统调用时,控制所述虚拟机的子进程禁止执行所述控制平面的系统调用;否则,控制所述虚拟机的子进程请求物理机的父进程执行所述控制平面的系统调用或者返回伪造的系统调用结果。
13.根据权利要求12所述的设备,其中,所述控制处理装置,还用于控制所述虚拟机的子进程在请求物理机的父进程执行所述控制平面的系统调用之后,获取物理机的父进程向所述虚拟机的子进程返回的所述控制平面的系统调用的执行结果。
14.根据权利要求9至13中任一项所述的设备,其中,该设备还包括:
创建装置,用于在判断所述系统调用的属性之前,创建用于标识所述虚拟机的子进程与网络通信对端之间的信道的套接字描述符。
15.根据权利要求14所述的设备,其中,所述创建装置,用于控制虚拟机的子进程向物理机的父进程发送套接字描述符的创建请求,其中所述创建请求包括虚拟机内部标识、套接字参数和进程控制信息,所述虚拟机内部标识为用于表示基于虚拟机内核的套接字描述符的标识;控制所述物理机的父进程根据套接字参数和进程控制信息创建所述套接字描述符,执行信道连接操作,并记录物理机内部标识与所述虚拟机内部标识的映射关系,其中所述物理机内部标识为用于表示基于物理机内核的套接字描述符的标识;控制所述物理机的父进程向所述虚拟机的子进程返回所述套接字描述符的创建成功响应,其中,所述创建成功响应包括物理机内部标识;以及控制所述虚拟机的子进程根据所述创建成功响应创建所述套接字描述符,记录所述物理机内部标识与所述虚拟机内部标识映射关系,设置套接字抽象层的配置。
16.根据权利要求15所述的设备,其中,所述创建装置,还用于在控制虚拟机的子进程向物理机的父进程发送套接字描述符的创建请求之前,确定所述虚拟机的子进程与网络通信对端之间的信道为受限通信信道。