CN102739665A - 一种实现网络虚拟安全域的方法 - Google Patents
一种实现网络虚拟安全域的方法 Download PDFInfo
- Publication number
- CN102739665A CN102739665A CN2012102095187A CN201210209518A CN102739665A CN 102739665 A CN102739665 A CN 102739665A CN 2012102095187 A CN2012102095187 A CN 2012102095187A CN 201210209518 A CN201210209518 A CN 201210209518A CN 102739665 A CN102739665 A CN 102739665A
- Authority
- CN
- China
- Prior art keywords
- packet
- label
- security domain
- data packets
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及网络信息安全技术领域,本发明公开了一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种实现网络虚拟安全域的方法。
背景技术
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作,管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工有意或无意的泄漏敏感信息,都采用了相应的行政手段对本单位内部主机进行强制性,非技术性的管理,然而这些管理是不利于信息化进程发展的。
发明内容
针对上述的单位信息泄露,物理隔离又不方便的技术问题,本发明公开了一种实现网络虚拟安全域的方法。
本发明的目的通过下述技术方案来实现:
一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。
优选地,上述数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。
优选地,上述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
优选地,上述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
优选地,上述方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
本发明的有益效果:本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
附图说明
图1 为实现网络虚拟安全域的方法流程图。
图2为数据包打标签过程。
图3为网络虚拟安全域的部署结构图。
具体实施方式
本发明公开了一种实现网络虚拟安全域的方法,如图1所示的实现网络虚拟安全域的方法流程图,其具体包含以下步骤:终端设备采用网络驱动接口规范(简称NDIS)中间层驱动拦截所有通过网络驱动接口规范(简称NDIS)发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。NDIS中间层驱动不仅绑定了所有小端口驱动,而且还被所有协议驱动绑定,因此NDIS中间层驱动可以拦截所有通过NDIS发送和接收的数据包,无论应用程序使用什么协议都无法绕过。在NDIS中间层驱动中,对接收和发送的包,可以采用的处理方法几乎是无限制的:可以接受,可以拒绝,也可以修改。因此利用NDIS中间层驱动的这种特性来实现网络虚拟安全域。
网络虚拟安全域技术首先将内部网络划分为授信安全域和未授信域。授信安全域是由装有客户端代理程序的终端组成,反之则处于未授信域中。当未授信终端接入授信安全域网络中时会被立即发现和阻断与授信终端的网络通信,并记录告警日志到服务端,未授信终端无法与授信安全域中的所有终端进行网络通信。
如图2所示的数据包打标签过程。优选地,所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。将设备终端的信息包含在虚拟安全域标签中,使得每个数据包携带发送设备终端的识别信息,便于后续判断放行或阻断该数据包。
优选地,所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
优选地,所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
优选地,所述实现网络虚拟安全域的方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。设定在同一个安全域内的设备终端允许相互通信,具有更高的实用性,不同安全域之间的设备终端通过管理服务器的配置,可以灵活而迅速的划分不同的网络安全域,并下发相应的访问控制规则,实现在同一网络环境中的受限访问。比使用物理手段划分不同的IP地址段,或通过改变路由器、交换机的配置实现内网环境的受限访问,更为方便快速。如图3所示的网络虚拟安全域的部署结构图,授信终端1至6被划分成三个虚拟安全域,安全域A、安全域B和安全域C,通过管理服务器的规则配置,安全域A中的终端1和2互相可以通信,但无法与安全域B中的终端3和4以及安全域C中的终端5和6进行通信,安全B中的终端可以与安全域C中的终端通信。
这里已经通过具体的实施例子对本发明进行了详细描述,提供上述实施例的描述为了使本领域的技术人员制造或适用本发明,这些实施例的各种修改对于本领域的技术人员来说是容易理解的。本发明并不限于这些例子,或其中的某些方面。本发明的范围通过附加的权利要求进行详细说明。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (5)
1.一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。
2.如权利要求1所述的实现网络虚拟安全域的方法,其特征在于所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。
3.如权利要求2所述的实现网络虚拟安全域的方法,其特征在于所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
4.如权利要求3所述的实现网络虚拟安全域的方法,其特征在于所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
5.如权利要求4所述的实现网络虚拟安全域的方法,其特征在于所述方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209518.7A CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209518.7A CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102739665A true CN102739665A (zh) | 2012-10-17 |
| CN102739665B CN102739665B (zh) | 2015-03-11 |
Family
ID=46994449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210209518.7A Active CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739665B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN103746893A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对ip数据包的安全型隐蔽通信方法 |
| CN107294752A (zh) * | 2016-04-01 | 2017-10-24 | 中兴通讯股份有限公司 | 实现网络功能通信的架构、方法及装置 |
| CN111814084A (zh) * | 2020-06-18 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 数据访问管理的方法、装置和系统 |
| WO2021142803A1 (zh) * | 2020-01-17 | 2021-07-22 | Oppo广东移动通信有限公司 | 一种安全信息发现方法、安全信息配置方法及设备 |
| CN114139192A (zh) * | 2022-02-07 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
| CN115086451A (zh) * | 2022-06-10 | 2022-09-20 | 杭州安恒信息技术股份有限公司 | 一种通信方法、装置、设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040249911A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual community network system |
| CN1606307A (zh) * | 2004-11-15 | 2005-04-13 | 南京大学 | 基于安全操作系统的网络强制访问控制的方法 |
| CN101582882A (zh) * | 2008-10-10 | 2009-11-18 | 华为技术有限公司 | 一种接入方法、网络系统和装置 |
| CN101615236A (zh) * | 2009-07-24 | 2009-12-30 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
| CN101702121A (zh) * | 2009-10-29 | 2010-05-05 | 珠海金山软件股份有限公司 | Windows系统中程序网络流速控制装置 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作系统的访问控制方法及其实现平台 |
| WO2011089788A1 (ja) * | 2010-01-19 | 2011-07-28 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
-
2012
- 2012-06-25 CN CN201210209518.7A patent/CN102739665B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040249911A1 (en) * | 2003-03-31 | 2004-12-09 | Alkhatib Hasan S. | Secure virtual community network system |
| CN1606307A (zh) * | 2004-11-15 | 2005-04-13 | 南京大学 | 基于安全操作系统的网络强制访问控制的方法 |
| CN101582882A (zh) * | 2008-10-10 | 2009-11-18 | 华为技术有限公司 | 一种接入方法、网络系统和装置 |
| CN101615236A (zh) * | 2009-07-24 | 2009-12-30 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
| CN101702121A (zh) * | 2009-10-29 | 2010-05-05 | 珠海金山软件股份有限公司 | Windows系统中程序网络流速控制装置 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作系统的访问控制方法及其实现平台 |
| WO2011089788A1 (ja) * | 2010-01-19 | 2011-07-28 | 日本電気株式会社 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN103746893A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对ip数据包的安全型隐蔽通信方法 |
| CN107294752A (zh) * | 2016-04-01 | 2017-10-24 | 中兴通讯股份有限公司 | 实现网络功能通信的架构、方法及装置 |
| WO2021142803A1 (zh) * | 2020-01-17 | 2021-07-22 | Oppo广东移动通信有限公司 | 一种安全信息发现方法、安全信息配置方法及设备 |
| CN111814084A (zh) * | 2020-06-18 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 数据访问管理的方法、装置和系统 |
| CN114139192A (zh) * | 2022-02-07 | 2022-03-04 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
| CN114139192B (zh) * | 2022-02-07 | 2022-07-05 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
| CN115086451A (zh) * | 2022-06-10 | 2022-09-20 | 杭州安恒信息技术股份有限公司 | 一种通信方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102739665B (zh) | 2015-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102739665B (zh) | 一种实现网络虚拟安全域的方法 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| CN109756501B (zh) | 一种基于http协议的高隐匿网络代理方法及系统 | |
| CN102739473B (zh) | 一种应用智能网卡的网络检测方法 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN104348914B (zh) | 一种防篡改系统文件同步系统及其方法 | |
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| CN110324227A (zh) | 一种vpn服务器中的数据传输方法及vpn服务器 | |
| CN111684775B (zh) | 用于为数据中心提供安全性服务的方法、装置和计算机可读介质 | |
| CN105141637A (zh) | 一种以流为粒度的传输加密方法 | |
| CN104320378B (zh) | 拦截网页数据的方法及系统 | |
| EP1687998B1 (en) | Method and apparatus to inline encryption and decryption for a wireless station | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN101945116A (zh) | 一种跨域视频数据安全交换方法 | |
| CN104506548A (zh) | 一种数据包重定向装置、虚拟机安全保护方法及系统 | |
| CN104579973B (zh) | 一种虚拟集群中的报文转发方法和装置 | |
| CN102223353A (zh) | 主机标识协议安全通道复用方法及装置 | |
| CN103581156B (zh) | 一种可信网络和可信网络的工作方法 | |
| CN106559779A (zh) | 一种数据传输方法、装置以及系统 | |
| EP3890278B1 (en) | Data leakage prevention | |
| CN109257174A (zh) | 一种量子密钥在vpws业务中的应用方法 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| JP2000163283A (ja) | リモートサイトコンピュータ監視システム | |
| KR101033510B1 (ko) | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 | |
| CN107707521A (zh) | 一种文件传输方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211116 Address after: 100071 101, floors 1-9, building 6, District 18, No. 188, South Fourth Ring West Road, Fengtai District, Beijing Patentee after: CETC (Beijing) Network Information Security Co., Ltd Address before: 610041 No. 8 Chuangye Road, high tech Zone, Chengdu, Sichuan Patentee before: Chengdu Weishitong Information Industry Co., Ltd |
|
| TR01 | Transfer of patent right |