CN102739665B - 一种实现网络虚拟安全域的方法 - Google Patents
一种实现网络虚拟安全域的方法 Download PDFInfo
- Publication number
- CN102739665B CN102739665B CN201210209518.7A CN201210209518A CN102739665B CN 102739665 B CN102739665 B CN 102739665B CN 201210209518 A CN201210209518 A CN 201210209518A CN 102739665 B CN102739665 B CN 102739665B
- Authority
- CN
- China
- Prior art keywords
- packet
- label
- security domain
- network
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000004891 communication Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 5
- 230000000903 blocking effect Effects 0.000 abstract 2
- 230000005540 biological transmission Effects 0.000 abstract 1
- 238000002372 labelling Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及网络信息安全技术领域,本发明公开了一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种实现网络虚拟安全域的方法。
背景技术
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作,管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工有意或无意的泄漏敏感信息,都采用了相应的行政手段对本单位内部主机进行强制性,非技术性的管理,然而这些管理是不利于信息化进程发展的。
发明内容
针对上述的单位信息泄露,物理隔离又不方便的技术问题,本发明公开了一种实现网络虚拟安全域的方法。
本发明的目的通过下述技术方案来实现:
一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。
优选地,上述数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。
优选地,上述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
优选地,上述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
优选地,上述方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
本发明的有益效果:本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
附图说明
图1 为实现网络虚拟安全域的方法流程图。
图2为数据包打标签过程。
图3为网络虚拟安全域的部署结构图。
具体实施方式
本发明公开了一种实现网络虚拟安全域的方法,如图1所示的实现网络虚拟安全域的方法流程图,其具体包含以下步骤:终端设备采用网络驱动接口规范(简称NDIS)中间层驱动拦截所有通过网络驱动接口规范(简称NDIS)发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。NDIS中间层驱动不仅绑定了所有小端口驱动,而且还被所有协议驱动绑定,因此NDIS中间层驱动可以拦截所有通过NDIS发送和接收的数据包,无论应用程序使用什么协议都无法绕过。在NDIS中间层驱动中,对接收和发送的包,可以采用的处理方法几乎是无限制的:可以接受,可以拒绝,也可以修改。因此利用NDIS中间层驱动的这种特性来实现网络虚拟安全域。
网络虚拟安全域技术首先将内部网络划分为授信安全域和未授信域。授信安全域是由装有客户端代理程序的终端组成,反之则处于未授信域中。当未授信终端接入授信安全域网络中时会被立即发现和阻断与授信终端的网络通信,并记录告警日志到服务端,未授信终端无法与授信安全域中的所有终端进行网络通信。
如图2所示的数据包打标签过程。优选地,所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。将设备终端的信息包含在虚拟安全域标签中,使得每个数据包携带发送设备终端的识别信息,便于后续判断放行或阻断该数据包。
优选地,所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
优选地,所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
优选地,所述实现网络虚拟安全域的方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。设定在同一个安全域内的设备终端允许相互通信,具有更高的实用性,不同安全域之间的设备终端通过管理服务器的配置,可以灵活而迅速的划分不同的网络安全域,并下发相应的访问控制规则,实现在同一网络环境中的受限访问。比使用物理手段划分不同的IP地址段,或通过改变路由器、交换机的配置实现内网环境的受限访问,更为方便快速。如图3所示的网络虚拟安全域的部署结构图,授信终端1至6被划分成三个虚拟安全域,安全域A、安全域B和安全域C,通过管理服务器的规则配置,安全域A中的终端1和2互相可以通信,但无法与安全域B中的终端3和4以及安全域C中的终端5和6进行通信,安全B中的终端可以与安全域C中的终端通信。
这里已经通过具体的实施例子对本发明进行了详细描述,提供上述实施例的描述为了使本领域的技术人员制造或适用本发明,这些实施例的各种修改对于本领域的技术人员来说是容易理解的。本发明并不限于这些例子,或其中的某些方面。本发明的范围通过附加的权利要求进行详细说明。
上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
Claims (3)
1.一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包;
其中,所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去;
所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包;
所述方法首先将内部网络划分为授信安全域和未授信域,授信安全域是由装有客户端代理程序的终端组成,反之则处于未授信域中。
2.如权利要求1所述的实现网络虚拟安全域的方法,其特征在于所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
3.如权利要求2所述的实现网络虚拟安全域的方法,其特征在于所述方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209518.7A CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210209518.7A CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102739665A CN102739665A (zh) | 2012-10-17 |
| CN102739665B true CN102739665B (zh) | 2015-03-11 |
Family
ID=46994449
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210209518.7A Expired - Fee Related CN102739665B (zh) | 2012-06-25 | 2012-06-25 | 一种实现网络虚拟安全域的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102739665B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095702A (zh) * | 2013-01-11 | 2013-05-08 | 大唐移动通信设备有限公司 | 一种请求消息的上报和处理方法及其装置 |
| CN103746893A (zh) * | 2013-12-19 | 2014-04-23 | 柳州职业技术学院 | 一种针对ip数据包的安全型隐蔽通信方法 |
| CN107294752A (zh) * | 2016-04-01 | 2017-10-24 | 中兴通讯股份有限公司 | 实现网络功能通信的架构、方法及装置 |
| KR20220126736A (ko) * | 2020-01-17 | 2022-09-16 | 광동 오포 모바일 텔레커뮤니케이션즈 코포레이션 리미티드 | 보안 정보 발견 방법, 보안 정보 구성 방법 및 기기 |
| CN111814084A (zh) * | 2020-06-18 | 2020-10-23 | 北京天空卫士网络安全技术有限公司 | 数据访问管理的方法、装置和系统 |
| CN114139192B (zh) * | 2022-02-07 | 2022-07-05 | 奇安信科技集团股份有限公司 | 加密流量处理方法、装置、电子设备、介质及程序 |
| CN115086451A (zh) * | 2022-06-10 | 2022-09-20 | 杭州安恒信息技术股份有限公司 | 一种通信方法、装置、设备及可读存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1606307A (zh) * | 2004-11-15 | 2005-04-13 | 南京大学 | 基于安全操作系统的网络强制访问控制的方法 |
| CN101702121A (zh) * | 2009-10-29 | 2010-05-05 | 珠海金山软件股份有限公司 | Windows系统中程序网络流速控制装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7949785B2 (en) * | 2003-03-31 | 2011-05-24 | Inpro Network Facility, Llc | Secure virtual community network system |
| CN101582882B (zh) * | 2008-10-10 | 2011-04-20 | 华为技术有限公司 | 一种接入方法、网络系统和装置 |
| CN101615236B (zh) * | 2009-07-24 | 2011-07-20 | 北京工业大学 | 一种基于强制访问控制技术的可信应用环境构建方法 |
| CN101727555A (zh) * | 2009-12-04 | 2010-06-09 | 苏州昂信科技有限公司 | 一种操作系统的访问控制方法及其实现平台 |
| US20120291106A1 (en) * | 2010-01-19 | 2012-11-15 | Nec Corporation | Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program |
-
2012
- 2012-06-25 CN CN201210209518.7A patent/CN102739665B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1606307A (zh) * | 2004-11-15 | 2005-04-13 | 南京大学 | 基于安全操作系统的网络强制访问控制的方法 |
| CN101702121A (zh) * | 2009-10-29 | 2010-05-05 | 珠海金山软件股份有限公司 | Windows系统中程序网络流速控制装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102739665A (zh) | 2012-10-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102739665B (zh) | 一种实现网络虚拟安全域的方法 | |
| CN101309273B (zh) | 一种生成安全联盟的方法和装置 | |
| CN102055674B (zh) | Ip报文及基于该ip报文的信息处理方法及装置 | |
| CN106789909A (zh) | 应用程序的网络数据传输方法、装置及系统 | |
| CN104184646B (zh) | Vpn网络数据交互方法和系统及其网络数据交互设备 | |
| CN110324227A (zh) | 一种vpn服务器中的数据传输方法及vpn服务器 | |
| CN104320378B (zh) | 拦截网页数据的方法及系统 | |
| CN112422389A (zh) | 基于芯片级加密的以太网和现场总线融合网关及传输方法 | |
| CN105812322B (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| CN103023779A (zh) | 一种数据报文处理方法及装置 | |
| CN104506548A (zh) | 一种数据包重定向装置、虚拟机安全保护方法及系统 | |
| CN104579973B (zh) | 一种虚拟集群中的报文转发方法和装置 | |
| CN105284083A (zh) | OpenFlow设备与IP网络设备通信的方法、装置和系统 | |
| CN103581156A (zh) | 一种可信网络和可信网络的工作方法 | |
| CN108011867A (zh) | 一种铁路信号的安全加密方法及系统 | |
| CN103023741B (zh) | Vpn设备故障处理方法 | |
| CN104410642B (zh) | 基于arp协议的设备接入感知方法 | |
| CN114915583A (zh) | 报文处理方法、客户端设备、服务器端设备和介质 | |
| CN108064441A (zh) | 一种加速网络传输优化方法以及系统 | |
| CN105703997B (zh) | 一种隧道控制方法及装置 | |
| CN102546387B (zh) | 一种数据报文的处理方法、装置及系统 | |
| TW201018140A (en) | System and method for protecting data of network user | |
| CN111988346B (zh) | 数据泄露防护设备及报文处理方法 | |
| CN103581034A (zh) | 一种报文镜像和加密传输方法 | |
| CN106254396A (zh) | 私有协议信息传输系统与方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211116 Address after: 100071 101, floors 1-9, building 6, District 18, No. 188, South Fourth Ring West Road, Fengtai District, Beijing Patentee after: In Dianke (Beijing) Network Information Security Co.,Ltd. Address before: 610041 No. 8 Chuangye Road, high tech Zone, Chengdu, Sichuan Patentee before: CHENGDU WESTONE INFORMATION INDUSTRY Inc. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150311 |