专利名称:一种实现网络虚拟安全域的方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种实现网络虚拟安全域的方法。
背景技术:
随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作,管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定“内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工有意或无意的泄漏敏感信息,都采用了相应的行政手段对本单位内部主机进行强制性,非技术性的管理,然而这些管理是不利于信息化进程发展的
发明内容
针对上述的单位信息泄露,物理隔离又不方便的技术问题,本发明公开了一种实现网络虚拟安全域的方法。本发明的目的通过下述技术方案来实现
一种实现网络虚拟安全域的方法,其具体包含以下步骤终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。优选地,上述数据包打上标签具体包括将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。优选地,上述解析数据包标签具体包括识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。优选地,上述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。优选地,上述方法还包括将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。本发明的有益效果本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
图I为实现网络虚拟安全域的方法流程图。图2为数据包打标签过程。图3为网络虚拟安全域的部署结构图。
具体实施例方式本发明公开了一种实现网络虚拟安全域的方法,如图I所示的实现网络虚拟安全域的方法流程图,其具体包含以下步骤终端设备采用网络驱动接口规范(简称NDIS)中间 层驱动拦截所有通过网络驱动接口规范(简称NDIS)发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包,并将通过对网络封包标签的解析,就能清楚地知道该数据包由哪台终端设备发出,该终端设备是否可信任等信息,这样就能轻松的阻断授信终端和未授信终端的网络通信,并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制,利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。NDIS中间层驱动不仅绑定了所有小端口驱动,而且还被所有协议驱动绑定,因此NDIS中间层驱动可以拦截所有通过NDIS发送和接收的数据包,无论应用程序使用什么协议都无法绕过。在NDIS中间层驱动中,对接收和发送的包,可以采用的处理方法几乎是无限制的可以接受,可以拒绝,也可以修改。因此利用NDIS中间层驱动的这种特性来实现网络虚拟安全域。网络虚拟安全域技术首先将内部网络划分为授信安全域和未授信域。授信安全域是由装有客户端代理程序的终端组成,反之则处于未授信域中。当未授信终端接入授信安全域网络中时会被立即发现和阻断与授信终端的网络通信,并记录告警日志到服务端,未授信终端无法与授信安全域中的所有终端进行网络通信。如图2所示的数据包打标签过程。优选地,所述将数据包打上标签具体包括将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。将设备终端的信息包含在虚拟安全域标签中,使得每个数据包携带发送设备终端的识别信息,便于后续判断放行或阻断该数据包。优选地,所述解析数据包标签具体包括识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。优选地,所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。优选地,所述实现网络虚拟安全域的方法还包括将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。设定在同一个安全域内的设备终端允许相互通信,具有更高的实用性,不同安全域之间的设备终端通过管理服务器的配置,可以灵活而迅速的划分不同的网络安全域,并下发相应的访问控制规则,实现在同一网络环境中的受限访问。比使用物理手段划分不同的IP地址段,或通过改变路由器、交换机的配置实现内网环境的受限访问,更为方便快速。如图3所示的网络虚拟安全域的部署结构图,授信终端I至6被划分成三个虚拟安全域,安全域A、安全域B和安全域C,通过管理服务器的规则配置,安全域A中的终端I和2互相可以通信,但无法与安全域B中的终端3和4以及安全域C中的终端5和6进行通信,安全B中的终端可以与安全域C中的终端通信。这里已经通过具体的实施例子对本发明进行了详细描述,提供上述实施例的描述为了使本领域的技术人员制造或适用本发明,这些实施例的各种修改对于本领域的技术人员来说是容易理解的。本发明并不限于这些例子,或其中的某些方面。本发明的范围通过附加的权利要求进行详细说明。上述说明示出并描述了本发明的一个优选实施例,但如前所述,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述发明构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
权利要求
1.一种实现网络虚拟安全域的方法,其具体包含以下步骤终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。
2.如权利要求I所述的实现网络虚拟安全域的方法,其特征在于所述将数据包打上标签具体包括将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。
3.如权利要求2所述的实现网络虚拟安全域的方法,其特征在于所述解析数据包标签具体包括识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
4.如权利要求3所述的实现网络虚拟安全域的方法,其特征在于所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
5.如权利要求4所述的实现网络虚拟安全域的方法,其特征在于所述方法还包括将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
全文摘要
本发明涉及网络信息安全技术领域,本发明公开了一种实现网络虚拟安全域的方法,其具体包含以下步骤终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。
文档编号H04L29/06GK102739665SQ201210209518
公开日2012年10月17日 申请日期2012年6月25日 优先权日2012年6月25日
发明者付强, 许勇, 邓鸿 申请人:成都卫士通信息产业股份有限公司