CN106789874A - 一种基于主机虚拟化技术实现网络协议隔离的方法 - Google Patents

一种基于主机虚拟化技术实现网络协议隔离的方法 Download PDF

Info

Publication number
CN106789874A
CN106789874A CN201610998212.2A CN201610998212A CN106789874A CN 106789874 A CN106789874 A CN 106789874A CN 201610998212 A CN201610998212 A CN 201610998212A CN 106789874 A CN106789874 A CN 106789874A
Authority
CN
China
Prior art keywords
data
proprietary protocol
application layer
packet
original application
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610998212.2A
Other languages
English (en)
Inventor
李威
李健俊
章志华
陆海龙
张珣
董惠良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Tobacco Zhejiang Industrial Co Ltd
Original Assignee
China Tobacco Zhejiang Industrial Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Tobacco Zhejiang Industrial Co Ltd filed Critical China Tobacco Zhejiang Industrial Co Ltd
Priority to CN201610998212.2A priority Critical patent/CN106789874A/zh
Publication of CN106789874A publication Critical patent/CN106789874A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联的网络安全隔离技术。一种基于主机虚拟化技术实现网络协议隔离的方法,该方法包括以下的步骤:1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理,解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。

Description

一种基于主机虚拟化技术实现网络协议隔离的方法
技术领域
本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联的网络安全隔离技术。
背景技术
传统的网络安全隔离技术中,大多采用双主机或三主机结构,并在主机之间采用专用硬件专用协议进行安全隔离下的数据交换。但是,在虚拟化技术环境下,同样存在网络隔离专用协议转换的数据交换需求,而传统的专用硬件无法适用,需要一种针对虚拟化环境下的网络安全隔离技术。
发明内容
为了解决上述的技术问题,本发明的目的是一种基于主机虚拟化技术实现网络协议隔离的方法,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
为了实现上述的目的,本发明采用了以下的技术方案:
一种基于主机虚拟化技术实现网络协议隔离的方法,该方法包括以下的步骤:
1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;对于剥离出的数据,根据相应的规则进行合法性和完整性审查;
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;
3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
本发明由于采用了上述的技术方案,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图对本发明的具体实施方式做一个详细的说明。
如图1所示的一种基于主机虚拟化技术实现网络协议隔离的方法,该方法需在两台以上虚拟主机VM1和VM2上实现;
该方法包括以下的步骤:
1)当虚拟机VM1收到来自的某网的数据流量后,首先对数据包进行剥离解析直到获得最原始的应用层数据,这样破坏了TCP/IP协议本身的规则,防止了协议本身带来的攻击;另一方面,对于剥离出的数据,同时根据相应的规则进行合法性和完整性审查,确保数据的安全性。
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包。通过构建私有协议,可以对数据增加自定义的属性和标记,如身份信息,时间,会话ID等,同时可以对数据包进行加密,增强对数据的可控性,同时确保数据的安全性,可实现数据的防篡改,防伪造,防重放攻击。
3)另一台虚拟机VM2通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络,至此完成一次基于私有协议重组技术的数据通信,整个过程保证了数据的安全交换。

Claims (1)

1.一种基于主机虚拟化技术实现网络协议隔离的方法,其特征在于该方法包括以下的步骤:
1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;对于剥离出的数据,根据相应的规则进行合法性和完整性审查;
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;
3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
CN201610998212.2A 2016-11-11 2016-11-11 一种基于主机虚拟化技术实现网络协议隔离的方法 Pending CN106789874A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610998212.2A CN106789874A (zh) 2016-11-11 2016-11-11 一种基于主机虚拟化技术实现网络协议隔离的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610998212.2A CN106789874A (zh) 2016-11-11 2016-11-11 一种基于主机虚拟化技术实现网络协议隔离的方法

Publications (1)

Publication Number Publication Date
CN106789874A true CN106789874A (zh) 2017-05-31

Family

ID=58973343

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610998212.2A Pending CN106789874A (zh) 2016-11-11 2016-11-11 一种基于主机虚拟化技术实现网络协议隔离的方法

Country Status (1)

Country Link
CN (1) CN106789874A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110662218A (zh) * 2019-09-25 2020-01-07 北京风信科技有限公司 数据摆渡装置及其方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN106027511A (zh) * 2016-05-13 2016-10-12 北京工业大学 一种基于Modbus/TCP深度解析的协议隔离方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105656883A (zh) * 2015-12-25 2016-06-08 冶金自动化研究设计院 一种适用于工控网络的单向传输内外网安全隔离网闸
CN106027511A (zh) * 2016-05-13 2016-10-12 北京工业大学 一种基于Modbus/TCP深度解析的协议隔离方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110662218A (zh) * 2019-09-25 2020-01-07 北京风信科技有限公司 数据摆渡装置及其方法
CN110662218B (zh) * 2019-09-25 2021-06-08 北京风信科技有限公司 数据摆渡装置及其方法

Similar Documents

Publication Publication Date Title
EP3603003B1 (en) Hardware-accelerated secure communication management
CN102333075B (zh) 用于移动设备的具有动态故障转移的多服务vpn网络客户端
CN109936547A (zh) 身份认证方法、系统及计算设备
CN102255903A (zh) 一种云计算虚拟网络与物理网络隔离安全方法
CN108810023A (zh) 安全加密方法、密钥共享方法以及安全加密隔离网关
CN111800375A (zh) 借由云端安全动态传输包括数据资料封包的方法
CN107533471A (zh) 通过禁用不必要的功能改进虚拟化应用性能
CN103095701A (zh) 开放流表安全增强方法及装置
CN104270344B (zh) 万兆网闸
EP3286896A1 (en) Scalable intermediate network device leveraging ssl session ticket extension
CN105007272A (zh) 一种具有安全隔离的信息交换系统
CN105592047B (zh) 一种业务报文的传输方法和装置
CN109743170B (zh) 一种流媒体登录以及数据传输加密的方法和装置
EP4044546A1 (en) Message processing method, device and apparatus as well as computer readable storage medium
CN104468309B (zh) 一种低速smp与高速密码卡的高效适配方法
CN101127761A (zh) 网络中单向协议隔离方法及其装置
CN108810011A (zh) 一种适用于电力专网的通用网络安全接入区系统及报文处理方法
US20060101261A1 (en) Security router system and method of authenticating user who connects to the system
CN104378657A (zh) 一种基于代理与隔离的视频安全接入系统及其方法
CN102916960B (zh) 一种应用于物理隔离网闸的策略同步方法及其系统
CN103441983A (zh) 基于链路层发现协议的信息保护方法和装置
CN112699397B (zh) 基于虚拟环境下的软件加解密方法和系统
CN107294968A (zh) 一种音视频数据的监控方法和系统
CN106789874A (zh) 一种基于主机虚拟化技术实现网络协议隔离的方法
CN105577579B (zh) 业务功能链中协议报文的处理方法、系统及业务功能节点

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170531

RJ01 Rejection of invention patent application after publication