一種不同網絡間數(shù)據(jù)安全交換方法����、裝置及設備的制造方法
【技術領域】
[0001]本發(fā)明屬于計算機網絡安全技術領域�,尤其涉及一種不同網絡間數(shù)據(jù)安全交換方法、裝置及設備���。
【背景技術】
[0002]互聯(lián)網從無到有的飛速發(fā)展給人們帶來了極大的便利,同時也帶來了黑客入侵���、信息泄密等一系列網絡安全問題����。因此���,內網與外網之間等不同安全級別的網絡之間的信息交互一方面要滿足不同的網絡之間進行信息共享的要求����,解決信息孤島的問題。另一方面�����,也要在信息系統(tǒng)開放的同時防止核心涉密網絡遭受外部攻擊���,導致信息外泄����。
[0003]為了保護內網資源的安全�,通常會實施內網與外網之間的物理隔離,使內部涉密網與外網徹底地物理隔離開?�,F(xiàn)有的網絡安全隔離主要以下幾種方式:1����、通過隔離卡技術將硬盤分為兩個分區(qū)分別與不同的網絡相連,但每次只能與一個網絡相連���、需要進行系統(tǒng)切換�����,導致數(shù)據(jù)不能及時的交換�����;2��、通過網閘技術在在兩個系統(tǒng)之間設立數(shù)據(jù)緩沖區(qū)�����,通過電子開關的快速切換實現(xiàn)兩個不同網段的數(shù)據(jù)交換�����,但隔離硬件在網絡間實現(xiàn)數(shù)據(jù)交換時���,實際上也同時連通了該進行數(shù)據(jù)交換的網絡,存在安全隱患��,而且安全網閘的三個設備都必須為大容量存儲設備���,導致網絡安全隔離成本高�。
[0004]因此存在這樣的需求:提供一種能夠實現(xiàn)不同網絡安全隔離的情況下自動進行數(shù)據(jù)交換�,同時降低網絡安全隔離的成本的網絡安全隔離方法。
【發(fā)明內容】
[0005]本發(fā)明實施例提供一種不同網絡間數(shù)據(jù)安全交換方法���,能夠實現(xiàn)在不同網絡安全隔離的情況下自動進行數(shù)據(jù)交換��,提高了不同網絡之間數(shù)據(jù)交換的安全性���,同時降低了網絡安全隔離的成本�。
[0006]本發(fā)明實施例是這樣實現(xiàn)的�,一種不同網絡間數(shù)據(jù)安全交換方法,所述方法包括以下步驟:在宿主機中分配第一虛擬機和第二虛擬機的共享存儲空間���;配置所述宿主機和所述第一虛擬機之間的非IP協(xié)議的第一通信通道����,以及所述宿主機和所述第二虛擬機之間的非IP協(xié)議的第二通信通道�����;通過所述第一通信通道和第二通信通道���,在所述共享存儲空間中進行所述第一虛擬機和第二虛擬機間的數(shù)據(jù)交換���;其中,所述第一虛擬機與第一網絡連接�,所述第二虛擬機與第二網絡連接�;所述宿主機包括第一物理網卡和第二物理網卡��,并配置為拒絕IP路由轉發(fā)���;所述第一物理網卡與所述第一虛擬機橋接���,所述第二物理網卡與第二虛擬機橋接,所述第一物理網卡�����、第二物理網卡配置為取消IP地址配置��。
[0007]本發(fā)明實施例還提供一種不同網絡間數(shù)據(jù)安全交換裝置���,所述裝置包括:共享存儲空間分配單元��,用于在宿主機中分配第一虛擬機和第二虛擬機的共享存儲空間;通信通道配置單元����,配置所述宿主機和所述第一虛擬機之間的非IP協(xié)議的第一通信通道,以及所述宿主機和所述第二虛擬機之間的非IP協(xié)議的第二通信通道�;數(shù)據(jù)交換單元�����,通過所述第一通信通道和第二通信通道����,在所述共享存儲空間中進行所述第一虛擬機和第二虛擬機間的數(shù)據(jù)交換��;其中���,所述第一虛擬機與第一網絡連接�,所述第二虛擬機與第二網絡連接��;所述宿主機包括第一物理網卡和第二物理網卡��,并配置為拒絕IP路由轉發(fā)����;所述第一物理網卡與所述第一虛擬機橋接,所述第二物理網卡與所述第二虛擬機橋接��,所述第一物理網卡���、第二物理網卡配置為取消IP地址配置�。
[0008]本發(fā)明實施例還提供一種不同網絡間數(shù)據(jù)安全交換設備,所述設備包括:第一物理網卡和第二物理網卡��,所述第一物理網卡和第二物理網卡配置為取消IP地址配置���;存儲器�,所述存儲器中具有共享存儲空間���;第一虛擬機��,與所述第一物理網卡橋接��,用于接收第一網絡發(fā)送的數(shù)據(jù)并通過非IP協(xié)議的第一通信通道將所述數(shù)據(jù)發(fā)送到所述共享存儲空間�����;第二虛擬機����,與所述第二物理網卡橋接����,用于通過非IP協(xié)議的第二通信通道從所述共享存儲空間讀取所述數(shù)據(jù)����,并將所述數(shù)據(jù)發(fā)送到第二網絡��;其中���,所述設備配置為拒絕IP路由轉發(fā)。
[0009]本發(fā)明通過在一臺宿主機上配置分別連接不同網絡的兩個虛擬機的共享內存空間以及非IP協(xié)議的通信通道��,設置第一物理網卡�����、第二物理網卡沒有配置IP地址以及禁用宿主機的路由轉發(fā)功能�,使不同網絡間通過非IP協(xié)議的通信通道自動進行數(shù)據(jù)交換,提高了不同網絡間數(shù)據(jù)交換的安全性�,同時降低了網絡安全隔離成本。
【附圖說明】
[0010]圖1是本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換方法的實施環(huán)境圖���;
[0011]圖2是本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換方法的實現(xiàn)流程圖���;
[0012]圖3是本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換裝置的結構圖;
[0013]圖4是本發(fā)明第二實施例提供的不同網絡間數(shù)據(jù)安全交換裝置的的結構圖����;
[0014]圖5是本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換設備的結構圖�����。
【具體實施方式】
[0015]為了使本發(fā)明的目的����、技術方案及優(yōu)點更加清楚明白���,以下結合附圖及實施例�,對本發(fā)明進行進一步詳細說明�����。應當理解�,此處所描述的具體實施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明�。
[0016]本發(fā)明通過在一臺宿主機創(chuàng)配置分別連接不同網絡的兩個虛擬機的共享內存空間以及非IP協(xié)議的通信通道,使不同網絡間通過非IP協(xié)議的通信通道自動進行數(shù)據(jù)交換����,提高了不同網絡間數(shù)據(jù)交換的安全性,同時降低了網絡安全隔離成本��。
[0017]圖1為本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換方法的實施環(huán)境圖,為了便于說明���,僅示出了與本發(fā)明實施例相關的部分。
[0018]第一虛擬機和第二虛擬機為同一宿主機上的兩臺虛擬機�,第一虛擬機接收在第一網絡中的第一客戶端發(fā)送的數(shù)據(jù)并將該數(shù)據(jù)發(fā)送到宿主機中,第二虛擬機從宿主機中讀取數(shù)據(jù)����,并將該數(shù)據(jù)發(fā)送到第二網絡中的第二客戶端,完成數(shù)據(jù)交換�����。
[0019]在本發(fā)明實施例中�,第一虛擬機與第一網絡連接,第二虛擬機與第二網絡連接����。
[0020]在本發(fā)明實施例中,宿主機為Iinux宿主機�����,采用KVM(Kernel_based VirtualMachine����,基于內核的虛擬機)虛擬化技術創(chuàng)建出第一虛擬機和第二虛擬機��。
[0021 ] 在本發(fā)明實施例中��,第一客戶端���、第二客戶端可以為個人電腦(PersonalComputer,PC)����、筆記本電腦、私人數(shù)字助理(Personal Digital Assistant�,PDA)、手機等客戶端���。
[0022]圖2示出了本發(fā)明實施例提供的不同網絡間數(shù)據(jù)安全交換方法的實現(xiàn)流程圖����,詳述如下:
[0023]在步驟S201中����,在宿主機中分配第一虛擬機和第二虛擬機的共享存儲空間。
[0024]在本發(fā)明實施例中��,宿主機包括第一物理網卡和第二物理網卡,并配置為拒絕IP路由轉發(fā)����。第一物理網卡與第一虛擬機橋接,第二物理網卡與第二虛擬機橋接�,而且第一物理網卡、第二物理網卡配置為取消IP地址配置����。
[0025]作為本發(fā)明的一個實施例�,為了提高數(shù)據(jù)交換的安全性,還可以在宿主機上分配臨時存儲空間����,用于臨時存儲待交換的數(shù)據(jù),待數(shù)據(jù)通過病毒掃描后再將數(shù)據(jù)存儲到共享存儲空間上��。
[0026]在步驟S202中��,配置宿主機和第一虛擬機之間的非IP協(xié)議的第一通信通道以及宿主機和第二虛擬機之間的非IP協(xié)議的第二通信通道�����。
[0027]作為本發(fā)明的一個實施例�,第一通信通道��、第二通信通道為QEMU ( —套以GPL許可證分發(fā)源碼的模擬處理器)虛擬設備提供的通信通道��,基于該QEMU虛擬