本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全隔離與信息交換技術(shù)領(lǐng)域,尤其涉及多系統(tǒng)安全互聯(lián)的網(wǎng)絡(luò)安全隔離技術(shù)����。
背景技術(shù):
傳統(tǒng)的網(wǎng)絡(luò)安全隔離技術(shù)中��,大多采用雙主機(jī)或三主機(jī)結(jié)構(gòu)����,并在主機(jī)之間采用專用硬件專用協(xié)議進(jìn)行安全隔離下的數(shù)據(jù)交換����。但是,在虛擬化技術(shù)環(huán)境下�����,同樣存在網(wǎng)絡(luò)隔離專用協(xié)議轉(zhuǎn)換的數(shù)據(jù)交換需求�,而傳統(tǒng)的專用硬件無(wú)法適用,需要一種針對(duì)虛擬化環(huán)境下的網(wǎng)絡(luò)安全隔離技術(shù)����。
技術(shù)實(shí)現(xiàn)要素:
為了解決上述的技術(shù)問(wèn)題,本發(fā)明的目的是一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法�,在兩臺(tái)虛擬主機(jī)之間通過(guò)協(xié)議轉(zhuǎn)換,實(shí)現(xiàn)兩個(gè)虛擬主機(jī)間網(wǎng)絡(luò)隔離下的數(shù)據(jù)交換��。
為了實(shí)現(xiàn)上述的目的�����,本發(fā)明采用了以下的技術(shù)方案:
一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法����,該方法包括以下的步驟:
1)當(dāng)虛擬機(jī)收到來(lái)自的某網(wǎng)的數(shù)據(jù)流量后,對(duì)數(shù)據(jù)包進(jìn)行剝離解析直到獲得最原始的應(yīng)用層數(shù)據(jù)�;對(duì)于剝離出的數(shù)據(jù),根據(jù)相應(yīng)的規(guī)則進(jìn)行合法性和完整性審查�����;
2)擺渡的數(shù)據(jù)是基于上述剝離出的原始應(yīng)用層數(shù)據(jù)構(gòu)建的私有協(xié)議數(shù)據(jù)包�����;通過(guò)構(gòu)建私有協(xié)議����,對(duì)數(shù)據(jù)增加自定義的屬性和標(biāo)記,同時(shí)可以對(duì)數(shù)據(jù)包進(jìn)行加密����;
3)另一臺(tái)虛擬機(jī)通過(guò)相應(yīng)通信通道接收到私有協(xié)議數(shù)據(jù)后,做完整性校驗(yàn)和解密處理���, 解析私有協(xié)議數(shù)據(jù)包并提取出原始的應(yīng)用層數(shù)據(jù)���,之后按照標(biāo)準(zhǔn)的TCP/IP協(xié)議進(jìn)行重新封裝��,通過(guò)流量牽引模塊轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)�。
本發(fā)明由于采用了上述的技術(shù)方案�����,在兩臺(tái)虛擬主機(jī)之間通過(guò)協(xié)議轉(zhuǎn)換���,實(shí)現(xiàn)兩個(gè)虛擬主機(jī)間網(wǎng)絡(luò)隔離下的數(shù)據(jù)交換��。
附圖說(shuō)明
圖1為本發(fā)明的結(jié)構(gòu)示意圖�。
具體實(shí)施方式
下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式做一個(gè)詳細(xì)的說(shuō)明���。
如圖1所示的一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法�����,該方法需在兩臺(tái)以上虛擬主機(jī)VM1和VM2上實(shí)現(xiàn)����;
該方法包括以下的步驟:
1)當(dāng)虛擬機(jī)VM1收到來(lái)自的某網(wǎng)的數(shù)據(jù)流量后,首先對(duì)數(shù)據(jù)包進(jìn)行剝離解析直到獲得最原始的應(yīng)用層數(shù)據(jù)�����,這樣破壞了TCP/IP協(xié)議本身的規(guī)則��,防止了協(xié)議本身帶來(lái)的攻擊�;另一方面��,對(duì)于剝離出的數(shù)據(jù)�,同時(shí)根據(jù)相應(yīng)的規(guī)則進(jìn)行合法性和完整性審查,確保數(shù)據(jù)的安全性���。
2)擺渡的數(shù)據(jù)是基于上述剝離出的原始應(yīng)用層數(shù)據(jù)構(gòu)建的私有協(xié)議數(shù)據(jù)包�。通過(guò)構(gòu)建私有協(xié)議�,可以對(duì)數(shù)據(jù)增加自定義的屬性和標(biāo)記,如身份信息���,時(shí)間��,會(huì)話ID等���,同時(shí)可以對(duì)數(shù)據(jù)包進(jìn)行加密�����,增強(qiáng)對(duì)數(shù)據(jù)的可控性��,同時(shí)確保數(shù)據(jù)的安全性��,可實(shí)現(xiàn)數(shù)據(jù)的防篡改�,防偽造��,防重放攻擊�。
3)另一臺(tái)虛擬機(jī)VM2通過(guò)相應(yīng)通信通道接收到私有協(xié)議數(shù)據(jù)后,做完整性校驗(yàn)和解密處理����, 解析私有協(xié)議數(shù)據(jù)包并提取出原始的應(yīng)用層數(shù)據(jù),之后按照標(biāo)準(zhǔn)的TCP/IP協(xié)議進(jìn)行重新封裝���,通過(guò)流量牽引模塊轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)���,至此完成一次基于私有協(xié)議重組技術(shù)的數(shù)據(jù)通信,整個(gè)過(guò)程保證了數(shù)據(jù)的安全交換����。