本发明涉及计算机网络信息系统安全隔离与信息交换技术领域,尤其涉及多系统安全互联的网络安全隔离技术。
背景技术:
传统的网络安全隔离技术中,大多采用双主机或三主机结构,并在主机之间采用专用硬件专用协议进行安全隔离下的数据交换。但是,在虚拟化技术环境下,同样存在网络隔离专用协议转换的数据交换需求,而传统的专用硬件无法适用,需要一种针对虚拟化环境下的网络安全隔离技术。
技术实现要素:
为了解决上述的技术问题,本发明的目的是一种基于主机虚拟化技术实现网络协议隔离的方法,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
为了实现上述的目的,本发明采用了以下的技术方案:
一种基于主机虚拟化技术实现网络协议隔离的方法,该方法包括以下的步骤:
1)当虚拟机收到来自的某网的数据流量后,对数据包进行剥离解析直到获得最原始的应用层数据;对于剥离出的数据,根据相应的规则进行合法性和完整性审查;
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包;通过构建私有协议,对数据增加自定义的属性和标记,同时可以对数据包进行加密;
3)另一台虚拟机通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络。
本发明由于采用了上述的技术方案,在两台虚拟主机之间通过协议转换,实现两个虚拟主机间网络隔离下的数据交换。
附图说明
图1为本发明的结构示意图。
具体实施方式
下面结合附图对本发明的具体实施方式做一个详细的说明。
如图1所示的一种基于主机虚拟化技术实现网络协议隔离的方法,该方法需在两台以上虚拟主机VM1和VM2上实现;
该方法包括以下的步骤:
1)当虚拟机VM1收到来自的某网的数据流量后,首先对数据包进行剥离解析直到获得最原始的应用层数据,这样破坏了TCP/IP协议本身的规则,防止了协议本身带来的攻击;另一方面,对于剥离出的数据,同时根据相应的规则进行合法性和完整性审查,确保数据的安全性。
2)摆渡的数据是基于上述剥离出的原始应用层数据构建的私有协议数据包。通过构建私有协议,可以对数据增加自定义的属性和标记,如身份信息,时间,会话ID等,同时可以对数据包进行加密,增强对数据的可控性,同时确保数据的安全性,可实现数据的防篡改,防伪造,防重放攻击。
3)另一台虚拟机VM2通过相应通信通道接收到私有协议数据后,做完整性校验和解密处理, 解析私有协议数据包并提取出原始的应用层数据,之后按照标准的TCP/IP协议进行重新封装,通过流量牵引模块转发至目的网络,至此完成一次基于私有协议重组技术的数据通信,整个过程保证了数据的安全交换。