CN104660554A - 一种虚拟机通信数据安全的实现方法 - Google Patents
一种虚拟机通信数据安全的实现方法 Download PDFInfo
- Publication number
- CN104660554A CN104660554A CN201310585516.2A CN201310585516A CN104660554A CN 104660554 A CN104660554 A CN 104660554A CN 201310585516 A CN201310585516 A CN 201310585516A CN 104660554 A CN104660554 A CN 104660554A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- communication data
- data
- secure
- measured
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种虚拟机通信数据安全的实现方法,包括如下步骤:步骤101,两台不同的所述虚拟机在同一网络中进行通信数据传输时,所述发送端虚拟机通过管理端虚拟机与所述接收端虚拟机通信数据;所述发送端虚拟机向所述接收端虚拟机发送所述通信数据;所述通信数据包括源地址和目的地址;步骤102,在所述驱动控制模块层改变所述通信数据的数据流向;步骤103,所述安全虚拟机对所述待测通信数据进行检测、分析和过滤;步骤104,所述安全虚拟机将待测通信数据发送到所述接收端虚拟机,完成通信。本发明修改驱动控制层,实现了虚拟机的无端的模式,实现了虚拟机的安全、高效、性能较好的防护。
Description
技术领域
本发明涉及虚拟机通信数据安全技术领域,尤其是涉及一种虚拟机通信数据安全的实现方法。
背景技术
传统意义的防火墙指的是一台物理设备,它可以在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障,是一种获取安全性方法的形象说法。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。网络环境中计算机流入流出的所有网络通信和数据包均要经过防火墙。一些厂家推出了虚拟防火墙,实现方法其实是将一台物理防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。这种方法的表现仍然是一台物理设备,只不过是一台防火墙可以作为多台防火墙来使用,并且需要物理防火墙作为支撑。现有技术中不能够解决虚拟机与虚拟机之间的网络隔离和控制,因为虚拟机之间的通信完全在一台服务器内部,通信数据不会流到物理防火墙中,虚拟机通信数据的安全无法得到保证,故此急切需要研发一种虚拟机通信数据安全的实现方法。
发明内容
本发明的目的在于设计一种虚拟机通信数据安全的实现方法,解决上述问题。
为了实现上述目的,本发明采用的技术方案如下:
一种虚拟机通信数据安全的实现方法,两台以上不同的虚拟机位于同一物理机上,包括如下步骤:
步骤101,两台不同的所述虚拟机在同一网络中进行通信数据传输时,发送所述通信数据的虚拟机为发送端虚拟机,接收所述通信数据的虚拟机为接收端虚拟机;所述发送端虚拟机通过管理端虚拟机与所述接收端虚拟机通信数据;所述发送端虚拟机向所述接收端虚拟机发送所述通信数据;所述通信数据包括源地址和目的地址;
步骤102,在所述管理端虚拟机的驱动控制层设有驱动控制模块层;所述驱动控制模块层记录所述通信数据中的所述目的地址;所述驱动控制模块层改变所述通信数据的数据流向;改变所述数据流向的所述通信数据作为待测通信数据;所述驱动控制模块层将所述待测通信数据发送到安全虚拟机上;所述检测、所述分析和所述过滤具体包括:
步骤103,所述安全虚拟机对所述待测通信数据进行检测、分析和过滤;
步骤103.a,所述安全虚拟机若检测到所述待测通信数据含有危险通信数据,则所述安全虚拟机对所述危险通信数据进行隔离和/或告警;将不包含所述危险通信数据的所述待测通信数据进行下述步骤104;
步骤103.b,若所述安全虚拟机未检测所述待测通信数据含有所述危险通信数据,则直接进行下述步骤104;
步骤104,所述安全虚拟机通过所述驱动控制模块层记录的所述目的地址,将所述不包含有危险通信数据的所述待测通信数据发送到所述接收端虚拟机,完成两台不同的所述虚拟机在同一网络中进行通信数据传输的安全通信。
优选的,所述步骤101中的所述源地址为发送端的IP地址;所述目的地址为
接收端的IP地址。
优选的,所述步骤103中的所述分析和所述过滤包括在所述安全虚拟机上配置防火墙和/或IDS软件。
名词解释:IDS是英文“Intrus ion Detect ion Sys tems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
本发明的有益效果可以总结如下:
1、本发明修改驱动控制层,实现了虚拟机的无端的模式,实现了虚拟
机的安全、高效、性能较好的防护。
2、本发明可以作为模板在虚拟机环境中批量使用,使得本发明可以灵活
使用,便于在其它虚拟化环境中快速创建,同时该模板可以根据实际情
况进行定制,防火墙配置和IDS软件的安装和使用也可以灵活掌控。
附图说明
图1为本发明一种虚拟机通信数据安全的实现方法流程示意图。
具体实施方式
为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示的一种虚拟机通信数据安全的实现方法,包括如下步骤:
步骤101,两台不同的所述虚拟机在同一网络中进行通信数据传输时,发送所述通信数据的虚拟机为发送端虚拟机,接收所述通信数据的虚拟机为接收端虚拟机;所述发送端虚拟机通过管理端虚拟机与所述接收端虚拟机通信数据;所述发送端虚拟机向所述接收端虚拟机发送所述通信数据;所述通信数据包括源地址和目的地址;所述源地址为发送端的IP地址;所述目的地址为接收端的IP地址。
步骤102,在所述管理端虚拟机的驱动控制层设有驱动控制模块层;所述驱动控制模块层记录所述通信数据中的所述目的地址;所述驱动控制模块层改变所述通信数据的数据流向;改变所述数据流向的所述通信数据作为待测通信数据;所述驱动控制模块层将所述待测通信数据发送到安全虚拟机上;
步骤103,所述安全虚拟机对所述待测通信数据进行检测、分析和过滤;所
述分析和所述过滤包括在所述安全虚拟机上配置防火墙和/或IDS软件。
步骤103.a,所述安全虚拟机若检测到所述待测通信数据含有危险通信数据,则所述安全虚拟机对所述危险通信数据进行隔离和/或告警;将不包含所述危险通信数据的所述待测通信数据进行下述步骤104;
步骤103.b,若所述安全虚拟机未检测所述待测通信数据含有所述危险通信数据,则直接进行下述步骤104;
步骤104,所述安全虚拟机通过所述驱动控制模块层记录的所述目的地址,将所述不包含有危险通信数据的所述待测通信数据发送到所述接收端虚拟机,完成两台不同的所述虚拟机在同一网络中进行通信数据传输的安全通信。
例如:第一台虚拟机要访问第二台虚拟机,数据由第一台虚拟机的前端驱动发给管理端虚拟机的驱动控制层,默认情况下,管理端虚拟机的驱动控制层会根据数据协议直接将数据分发给第二台虚拟机的前端驱动,如果这些数据包含病毒或者其它攻击指令,由于所有流量不会经过物理网卡,那么第一台虚拟机就完成了一次对第二台的有效攻击,传统防火墙根本起不到任何防护作用。
在本发明中对管理端虚拟机的驱动控制层进行了修改,其接收到的数据不会按照源地址直接转发出去,全部数据统一转发给安全虚拟机,由安全虚拟机的前端驱动接收,该驱动再将所有数据吐给该安全虚拟机上的防火墙配置和IDS软件进行分析过滤,将分析到的攻击数据进行告警并且隔离,过滤后的数据由管理端虚拟机的驱动控制层按照源地址进行转发,最终第一台虚拟机对第二台虚拟机的攻击行为被安全虚拟机成功识别并进行隔离,保证了虚拟机通信数据的安全。同时,管理员可以通过安全虚拟机的告警信息及时了解虚拟机之间的数据安全状况,采取其它必要措施对虚拟机进行防护,进一步保证了虚拟机的安全。
本发明方法对于应用虚拟机而言,是一种无端的模式,这种模式是一种安全、高效、性能较好的防护模式;安全虚拟机可以作为模板导出,便于在其它虚拟化环境中快速创建,同时该模板可以根据实际情况进行定制,防火墙配置和IDS软件的安装和使用也可以灵活掌控。
以上通过具体的和优选的实施例详细的描述了本发明,但本领域技术人员应该明白,本发明并不局限于以上所述实施例,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
Claims (3)
1.一种虚拟机通信数据安全的实现方法,两台以上不同的虚拟机位于同一物理机上,其特征在于,包括如下步骤:
步骤101,两台不同的所述虚拟机在同一网络中进行通信数据传输时,发送所述通信数据的虚拟机为发送端虚拟机,接收所述通信数据的虚拟机为接收端虚拟机;所述发送端虚拟机通过管理端虚拟机与所述接收端虚拟机通信数据;所述发送端虚拟机向所述接收端虚拟机发送所述通信数据;所述通信数据包括源地址和目的地址;
步骤102,在所述管理端虚拟机的驱动控制层设有驱动控制模块层;所述驱动控制模块层记录所述通信数据中的所述目的地址;所述驱动控制模块层改变所述通信数据的数据流向;改变所述数据流向的所述通信数据作为待测通信数据;所述驱动控制模块层将所述待测通信数据发送到安全虚拟机上;
步骤103,所述安全虚拟机对所述待测通信数据进行检测、分析和过滤;所述检测、所述分析和所述过滤具体包括:
步骤103.a,所述安全虚拟机若检测到所述待测通信数据含有危险通信数据,则所述安全虚拟机对所述危险通信数据进行隔离和/或告警;将不包含所述危险通信数据的所述待测通信数据进行下述步骤104;
步骤103.b,若所述安全虚拟机未检测所述待测通信数据含有所述危险通信数据,则直接进行下述步骤104;
步骤104,所述安全虚拟机通过所述驱动控制模块层记录的所述目的地址,将所述不包含有危险通信数据的所述待测通信数据发送到所述接收端虚拟机,完成两台不同的所述虚拟机在同一网络中进行通信数据传输的安全通信。
2.根据权利要求1所述的虚拟机通信数据安全的实现方法,其特征在于:所述步骤101中的所述源地址为发送端的IP地址;所述目的地址为接收端的IP地址。
3.根据权利要求1所述的虚拟机通信数据安全的实现方法,其特征在于:所述步骤103中的所述分析和所述过滤包括在所述安全虚拟机上配置防火墙和/或IDS软件。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310585516.2A CN104660554A (zh) | 2013-11-19 | 2013-11-19 | 一种虚拟机通信数据安全的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310585516.2A CN104660554A (zh) | 2013-11-19 | 2013-11-19 | 一种虚拟机通信数据安全的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104660554A true CN104660554A (zh) | 2015-05-27 |
Family
ID=53251262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310585516.2A Pending CN104660554A (zh) | 2013-11-19 | 2013-11-19 | 一种虚拟机通信数据安全的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104660554A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
CN105072078A (zh) * | 2015-06-30 | 2015-11-18 | 北京奇虎科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
CN109189559A (zh) * | 2018-09-12 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种虚拟机安全通信方法、装置、设备及存储介质 |
CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其系统 |
CN113490292A (zh) * | 2021-07-16 | 2021-10-08 | 联想(北京)有限公司 | 通信处理方法和电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机系统 |
CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
-
2013
- 2013-11-19 CN CN201310585516.2A patent/CN104660554A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101465770A (zh) * | 2009-01-06 | 2009-06-24 | 北京航空航天大学 | 入侵检测系统部署方法 |
CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机系统 |
CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
CN105072078A (zh) * | 2015-06-30 | 2015-11-18 | 北京奇虎科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN105072078B (zh) * | 2015-06-30 | 2019-03-26 | 北京奇安信科技有限公司 | 一种云平台虚拟化流量的监控方法及装置 |
CN105099821A (zh) * | 2015-07-30 | 2015-11-25 | 北京奇虎科技有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
CN105099821B (zh) * | 2015-07-30 | 2020-05-12 | 奇安信科技集团股份有限公司 | 基于云的虚拟环境下流量监控的方法和装置 |
CN109189559A (zh) * | 2018-09-12 | 2019-01-11 | 郑州云海信息技术有限公司 | 一种虚拟机安全通信方法、装置、设备及存储介质 |
CN110572412A (zh) * | 2019-09-24 | 2019-12-13 | 南京大学 | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 |
CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其系统 |
CN113490292A (zh) * | 2021-07-16 | 2021-10-08 | 联想(北京)有限公司 | 通信处理方法和电子设备 |
CN113490292B (zh) * | 2021-07-16 | 2023-04-28 | 联想(北京)有限公司 | 通信处理方法和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
US10104120B2 (en) | Command and control cyber vaccine | |
KR101977731B1 (ko) | 제어 시스템의 이상 징후 탐지 장치 및 방법 | |
CN102594814B (zh) | 基于端末的网络访问控制系统 | |
CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
CN108322417B (zh) | 网络攻击的处理方法、装置和系统及安全设备 | |
Rahouti et al. | Secure software-defined networking communication systems for smart cities: Current status, challenges, and trends | |
CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
CN106599694A (zh) | 安全防护管理方法、计算机系统和计算机可读取存储媒体 | |
CN105100026A (zh) | 一种报文安全转发方法及装置 | |
EP2262169B1 (en) | Automatic configuration of a terminal device by a router. | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
CN104735071A (zh) | 一种虚拟机之间的网络访问控制实现方法 | |
EP2680141A1 (en) | Security for TCP/IP-based access from a virtual machine to network attached storage by creating dedicated networks, MAC address authentification and data direction control | |
CN103647658A (zh) | 一种软件定义网络系统中网络设备的管理方法和控制器 | |
CN101984693A (zh) | 终端接入局域网的监控方法和监控装置 | |
CN107749863B (zh) | 一种信息系统网络安全隔离的方法 | |
CN104270317A (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
CN104104573A (zh) | 用于网络设备的IPsec隧道的控制方法和系统 | |
Li et al. | Research on sensor-gateway-terminal security mechanism of smart home based on IOT | |
KR101216581B1 (ko) | 듀얼 os를 이용한 보안 시스템 및 그 방법 | |
JP2023531034A (ja) | サービス伝送方法、装置、ネットワーク機器及び記憶媒体 | |
CN103532987A (zh) | 一种防止非认证计算机设备接入企业内网的保护方法及系统 | |
CN202068440U (zh) | 一种基于国产自主处理器的硬件防火墙系统 | |
KR20220070875A (ko) | Sdn/nfv 기반의 스마트홈 네트워크 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
EXSB | Decision made by sipo to initiate substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150527 |