CN106789874A - 一种基于主机虚拟化技术实现网络协议隔离的方法 - Google Patents
一种基于主机虚拟化技术实现网络协议隔离的方法 Download PDFInfo
- Publication number
- CN106789874A CN106789874A CN201610998212.2A CN201610998212A CN106789874A CN 106789874 A CN106789874 A CN 106789874A CN 201610998212 A CN201610998212 A CN 201610998212A CN 106789874 A CN106789874 A CN 106789874A
- Authority
- CN
- China
- Prior art keywords
- data
- proprietary protocol
- application layer
- packet
- original application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联的网络安全隔离技术。一种基于主机虚拟化技术实现网络协议隔离的方法,该方法包括以下的步骤:1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理,解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
Description
技术领域
本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联的网络安全隔离技术。
背景技术
传统的网络安全隔离技术中,大多采用双主机或三主机结构,并在主机之间采用专用硬件专用协议进行安全隔离下的数据交换。但是,在虚拟化技术环境下,同样存在网络隔离专用协议转换的数据交换需求,而传统的专用硬件无法适用,需要一种针对虚拟化环境下的网络安全隔离技术。
发明内容
为了解决上述的技术问题,本发明的目的是一种基于主机虚拟化技术实现网络协议隔离的方法,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
为了实现上述的目的,本发明采用了以下的技术方案:
一种基于主机虚拟化技术实现网络协议隔离的方法,该方法包括以下的步骤:
1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;对于剥离出的数据,根据相应的规则进行合法性和完整性审查;
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;
3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
本发明由于采用了上述的技术方案,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图对本发明的具体实施方式做一个详细的说明。
如图1所示的一种基于主机虚拟化技术实现网络协议隔离的方法,该方法需在两台以上虚拟主机VM1和VM2上实现;
该方法包括以下的步骤:
1)当虚拟机VM1收到来自的某网的数据流量后,首先对数据包进行剥离解析直到获得最原始的应用层数据,这样破坏了TCP/IP协议本身的规则,防止了协议本身带来的攻击;另一方面,对于剥离出的数据,同时根据相应的规则进行合法性和完整性审查,确保数据的安全性。
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包。通过构建私有协议,可以对数据增加自定义的属性和标记,如身份信息,时间,会话ID等,同时可以对数据包进行加密,增强对数据的可控性,同时确保数据的安全性,可实现数据的防篡改,防伪造,防重放攻击。
3)另一台虚拟机VM2通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络,至此完成一次基于私有协议重组技术的数据通信,整个过程保证了数据的安全交换。
Claims (1)
1.一种基于主机虚拟化技术实现网络协议隔离的方法,其特征在于该方法包括以下的步骤:
1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;对于剥离出的数据,根据相应的规则进行合法性和完整性审查;
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;
3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610998212.2A CN106789874A (zh) | 2016-11-11 | 2016-11-11 | 一种基于主机虚拟化技术实现网络协议隔离的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610998212.2A CN106789874A (zh) | 2016-11-11 | 2016-11-11 | 一种基于主机虚拟化技术实现网络协议隔离的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106789874A true CN106789874A (zh) | 2017-05-31 |
Family
ID=58973343
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610998212.2A Pending CN106789874A (zh) | 2016-11-11 | 2016-11-11 | 一种基于主机虚拟化技术实现网络协议隔离的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106789874A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
-
2016
- 2016-11-11 CN CN201610998212.2A patent/CN106789874A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105656883A (zh) * | 2015-12-25 | 2016-06-08 | 冶金自动化研究设计院 | 一种适用于工控网络的单向传输内外网安全隔离网闸 |
CN106027511A (zh) * | 2016-05-13 | 2016-10-12 | 北京工业大学 | 一种基于Modbus/TCP深度解析的协议隔离方法 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110662218A (zh) * | 2019-09-25 | 2020-01-07 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
CN110662218B (zh) * | 2019-09-25 | 2021-06-08 | 北京风信科技有限公司 | 数据摆渡装置及其方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3603003B1 (en) | Hardware-accelerated secure communication management | |
CN102333075B (zh) | 用于移动设备的具有动态故障转移的多服务vpn网络客户端 | |
CN109936547A (zh) | 身份认证方法、系统及计算设备 | |
CN102255903A (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
CN108810023A (zh) | 安全加密方法、密钥共享方法以及安全加密隔离网关 | |
CN111800375A (zh) | 借由云端安全动态传输包括数据资料封包的方法 | |
CN107533471A (zh) | 通过禁用不必要的功能改进虚拟化应用性能 | |
CN103095701A (zh) | 开放流表安全增强方法及装置 | |
CN104270344B (zh) | 万兆网闸 | |
EP3286896A1 (en) | Scalable intermediate network device leveraging ssl session ticket extension | |
CN105007272A (zh) | 一种具有安全隔离的信息交换系统 | |
CN105592047B (zh) | 一种业务报文的传输方法和装置 | |
CN109743170B (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
EP4044546A1 (en) | Message processing method, device and apparatus as well as computer readable storage medium | |
CN104468309B (zh) | 一种低速smp与高速密码卡的高效适配方法 | |
CN101127761A (zh) | 网络中单向协议隔离方法及其装置 | |
CN108810011A (zh) | 一种适用于电力专网的通用网络安全接入区系统及报文处理方法 | |
US20060101261A1 (en) | Security router system and method of authenticating user who connects to the system | |
CN104378657A (zh) | 一种基于代理与隔离的视频安全接入系统及其方法 | |
CN102916960B (zh) | 一种应用于物理隔离网闸的策略同步方法及其系统 | |
CN103441983A (zh) | 基于链路层发现协议的信息保护方法和装置 | |
CN112699397B (zh) | 基于虚拟环境下的软件加解密方法和系统 | |
CN107294968A (zh) | 一种音视频数据的监控方法和系统 | |
CN106789874A (zh) | 一种基于主机虚拟化技术实现网络协议隔离的方法 | |
CN105577579B (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170531 |
|
RJ01 | Rejection of invention patent application after publication |