技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全隔離與信息交換技術(shù)領(lǐng)域，尤其涉及多系統(tǒng)安全互聯(lián)的網(wǎng)絡(luò)安全隔離技術(shù)。

背景技術(shù)

傳統(tǒng)的網(wǎng)絡(luò)安全隔離技術(shù)中，大多采用雙主機(jī)或三主機(jī)結(jié)構(gòu)，并在主機(jī)之間采用專用硬件專用協(xié)議進(jìn)行安全隔離下的數(shù)據(jù)交換。但是，在虛擬化技術(shù)環(huán)境下，同樣存在網(wǎng)絡(luò)隔離專用協(xié)議轉(zhuǎn)換的數(shù)據(jù)交換需求，而傳統(tǒng)的專用硬件無(wú)法適用，需要一種針對(duì)虛擬化環(huán)境下的網(wǎng)絡(luò)安全隔離技術(shù)。

發(fā)明內(nèi)容

為了解決上述的技術(shù)問(wèn)題，本發(fā)明的目的是一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法，在兩臺(tái)虛擬主機(jī)之間通過(guò)協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)兩個(gè)虛擬主機(jī)間網(wǎng)絡(luò)隔離下的數(shù)據(jù)交換。

為了實(shí)現(xiàn)上述的目的，本發(fā)明采用了以下的技術(shù)方案：

一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法，該方法包括以下的步驟：

1）當(dāng)虛擬機(jī)收到來(lái)自的某網(wǎng)的數(shù)據(jù)流量后，對(duì)數(shù)據(jù)包進(jìn)行剝離解析直到獲得最原始的應(yīng)用層數(shù)據(jù)；對(duì)于剝離出的數(shù)據(jù)，根據(jù)相應(yīng)的規(guī)則進(jìn)行合法性和完整性審查；

2）擺渡的數(shù)據(jù)是基于上述剝離出的原始應(yīng)用層數(shù)據(jù)構(gòu)建的私有協(xié)議數(shù)據(jù)包；通過(guò)構(gòu)建私有協(xié)議，對(duì)數(shù)據(jù)增加自定義的屬性和標(biāo)記，同時(shí)可以對(duì)數(shù)據(jù)包進(jìn)行加密；

3）另一臺(tái)虛擬機(jī)通過(guò)相應(yīng)通信通道接收到私有協(xié)議數(shù)據(jù)后，做完整性校驗(yàn)和解密處理， 解析私有協(xié)議數(shù)據(jù)包并提取出原始的應(yīng)用層數(shù)據(jù)，之后按照標(biāo)準(zhǔn)的TCP/IP協(xié)議進(jìn)行重新封裝，通過(guò)流量牽引模塊轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)。

本發(fā)明由于采用了上述的技術(shù)方案，在兩臺(tái)虛擬主機(jī)之間通過(guò)協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)兩個(gè)虛擬主機(jī)間網(wǎng)絡(luò)隔離下的數(shù)據(jù)交換。

附圖說(shuō)明

圖1為本發(fā)明的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施方式做一個(gè)詳細(xì)的說(shuō)明。

如圖1所示的一種基于主機(jī)虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)協(xié)議隔離的方法，該方法需在兩臺(tái)以上虛擬主機(jī)VM1和VM2上實(shí)現(xiàn)；

該方法包括以下的步驟：

1）當(dāng)虛擬機(jī)VM1收到來(lái)自的某網(wǎng)的數(shù)據(jù)流量后，首先對(duì)數(shù)據(jù)包進(jìn)行剝離解析直到獲得最原始的應(yīng)用層數(shù)據(jù)，這樣破壞了TCP/IP協(xié)議本身的規(guī)則，防止了協(xié)議本身帶來(lái)的攻擊；另一方面，對(duì)于剝離出的數(shù)據(jù)，同時(shí)根據(jù)相應(yīng)的規(guī)則進(jìn)行合法性和完整性審查，確保數(shù)據(jù)的安全性。

2）擺渡的數(shù)據(jù)是基于上述剝離出的原始應(yīng)用層數(shù)據(jù)構(gòu)建的私有協(xié)議數(shù)據(jù)包。通過(guò)構(gòu)建私有協(xié)議，可以對(duì)數(shù)據(jù)增加自定義的屬性和標(biāo)記，如身份信息，時(shí)間，會(huì)話ID等，同時(shí)可以對(duì)數(shù)據(jù)包進(jìn)行加密，增強(qiáng)對(duì)數(shù)據(jù)的可控性，同時(shí)確保數(shù)據(jù)的安全性，可實(shí)現(xiàn)數(shù)據(jù)的防篡改，防偽造，防重放攻擊。

3）另一臺(tái)虛擬機(jī)VM2通過(guò)相應(yīng)通信通道接收到私有協(xié)議數(shù)據(jù)后，做完整性校驗(yàn)和解密處理， 解析私有協(xié)議數(shù)據(jù)包并提取出原始的應(yīng)用層數(shù)據(jù)，之后按照標(biāo)準(zhǔn)的TCP/IP協(xié)議進(jìn)行重新封裝，通過(guò)流量牽引模塊轉(zhuǎn)發(fā)至目的網(wǎng)絡(luò)，至此完成一次基于私有協(xié)議重組技術(shù)的數(shù)據(jù)通信，整個(gè)過(guò)程保證了數(shù)據(jù)的安全交換。