[发明专利]用于改进虚拟化应用性能的方法及装置

说明书

通过禁用诸如不必要的加密和解密操作的不必要的功能来提供改进的虚拟化应用性能。由管理程序执行的示例性方法包括以下步骤：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定第一和第二虚拟机是否在同一个主机上作为管理程序执行(例如，通过评估通信的上下文)；以及如果第一和第二虚拟机在同一个主机上执行，则处理通信而无需加密或解密通信。通过将通信的未加密版本转发给授权机构来执行合法拦截。当通信遍历第一虚拟机与第二虚拟机之间的交换机和/或路由器时，通信的未加密版本被放置在缓冲器内的队列中，并且随机值和/或全零值被返回到调用者。

技术领域

本申请一般涉及安全数据通信。更具体地，本申请涉及用于改进这种安全数据通信的性能的技术。

背景技术

本节介绍可以有助于更好地理解本发明的各方面。因此，本节的说明将以此为基础进行阅读，不应被理解为承认哪些是现有技术或者哪些不是现有技术。

网络功能虚拟化(NFV)使用信息技术(IT)虚拟化相关的技术以将网络节点功能的类别虚拟化为可以连接以创建通信服务的构造块。实现NFV设计的服务提供商将实现一个或多个虚拟化网络功能(VNF)(即，软件实现网络功能)。通常按顺序应用多个VNF以提供指定的服务。

合法拦截(LI)是为了分析或证明的目的而合法获得诸如网络管理信息或通信内容的通信数据的任务。合法拦截可以包括代表执法机构(LEA)、行政机关、情报部门或其它授权机构拦截电讯。

部署在通用标准硬件上的网络功能的虚拟化预计将显著地降低部署和维护成本，并且还预计将减少产品开发时间。尽管如此，仍然需要通过禁用不必要的功能(诸如加密)来实现改进的性能的NFV环境。此外，还需要用于在虚拟化环境中执行合法拦截(LI)的改进的技术。

发明内容

本发明的说明性实施例提供了用于通过禁用不必要的功能(诸如不必要的加密和解密操作)来改进虚拟化应用性能的技术和装置。例如，在一个实施例中，由管理程序执行的方法包括以下步骤：获得对加密和解密第一虚拟机与第二虚拟机之间的通信中的一个或多个的请求；确定第一和第二虚拟机是否在同一个主机上作为管理程序执行(例如，通过评估通信的上下文)；以及如果第一和第二虚拟机在同一个主机上执行，则处理通信而无需加密或解密通信。可以通过将通信的未加密版本转发到授权机构来执行合法拦截。

在一个示例性实施例中，当通信遍历第一虚拟机与第二虚拟机之间的交换机和/或路由器时，通信的未加密版本被放置在管理程序和目标虚拟机中的一个或多个的缓冲器内的队列中，并且随机值和全零值中的一个或多个被返回到调用者。然后，通信的未加密版本被定位在队列中，并被返回到目标虚拟机。

在另一个实施例中，提供了一种制造产品，其包括其中具有编码的一个或多个软件程序的可执行代码的有形处理器可读存储介质。一个或多个软件程序在由至少一个处理设备执行时，实现上述方法的步骤。

在又一个实施例中，一种装置，其包括存储器和被配置为执行上述方法的步骤的至少一个硬件设备。

本发明的这些和其它特征和优点将从附图和以下详细的描述中变得更加显而易见。

附图说明

图1示出其中实现本发明的一个或多个实施例的示例性虚拟化环境；

图2示出与图1中的给定的加密管道的上下文有关的示例性伪代码；

图3和图4分别示出根据本发明的一个实施例的用于加密系统调用和解密系统调用的示例性伪代码；

图5示出其中可以实现本发明的一个或多个实施例的具有一个或多个虚拟交换机和/或路由器的可替代的示例性虚拟化环境；

图6和图7分别示出在图5中的示例性虚拟化环境中使用的用于加密系统调用和解密系统调用的示例性伪代码；

图8示出在其上实现本发明的一个或多个实施例的处理平台。