本发明专利技术适用于计算机网络安全技术领域,提供了一种不同网络间数据安全交换方法、装置及设备,所述方法包括以下步骤:在宿主机中分配第一虚拟机和第二虚拟机的共享存储空间;配置所述宿主机和所述第一虚拟机之间的非IP协议的第一通信通道,以及所述宿主机和所述第二虚拟机之间的非IP协议的第二通信通道;通过所述第一通信通道和第二通信通道,在所述共享存储空间中进行所述第一虚拟机和第二虚拟机间的数据交换。本发明专利技术在一台宿主机为分别连接不同网络的两台虚拟机配置虚拟机间的共享内存空间,使不同网络间通过非IP协议的通信通道自动进行数据交换,提高了不同网络间数据交换的安全性,降低了成本。
【技术实现步骤摘要】
本专利技术属于计算机网络安全
,尤其涉及一种不同网络间数据安全交换方法、装置及设备。
技术介绍
互联网从无到有的飞速发展给人们带来了极大的便利,同时也带来了黑客入侵、信息泄密等一系列网络安全问题。因此,内网与外网之间等不同安全级别的网络之间的信息交互一方面要满足不同的网络之间进行信息共享的要求,解决信息孤岛的问题。另一方面,也要在信息系统开放的同时防止核心涉密网络遭受外部攻击,导致信息外泄。为了保护内网资源的安全,通常会实施内网与外网之间的物理隔离,使内部涉密网与外网彻底地物理隔离开。现有的网络安全隔离主要以下几种方式:1、通过隔离卡技术将硬盘分为两个分区分别与不同的网络相连,但每次只能与一个网络相连、需要进行系统切换,导致数据不能及时的交换;2、通过网闸技术在在两个系统之间设立数据缓冲区,通过电子开关的快速切换实现两个不同网段的数据交换,但隔离硬件在网络间实现数据交换时,实际上也同时连通了该进行数据交换的网络,存在安全隐患,而且安全网闸的三个设备都必须为大容量存储设备,导致网络安全隔离成本高。因此存在这样的需求:提供一种能够实现不同网络安全隔离的情况下自动进行数据交换,同时降低网络安全隔离的成本的网络安全隔离方法。
技术实现思路
本专利技术实施例提供一种不同网络间数据安全交换方法,能够实现在不同网络安全隔离的情况下自动进行数据交换,提高了不同网络之间数据交换的安全性,同时降低了网络安全隔离的成本。本专利技术实施例是这样实现的,一种不同网络间数据安全交换方法,所述方法包括以下步骤:在宿主机中分配第一虚拟机和第二虚拟机的共享存储空间;配置所述宿主机和所述第一虚拟机之间的非IP协议的第一通信通道,以及所述宿主机和所述第二虚拟机之间的非IP协议的第二通信通道;通过所述第一通信通道和第二通信通道,在所述共享存储空间中进行所述第一虚拟机和第二虚拟机间的数据交换;其中,所述第一虚拟机与第一网络连接,所述第二虚拟机与第二网络连接;所述宿主机包括第一物理网卡和第二物理网卡,并配置为拒绝IP路由转发;所述第一物理网卡与所述第一虚拟机桥接,所述第二物理网卡与第二虚拟机桥接,所述第一物理网卡、第二物理网卡配置为取消IP地址配置。本专利技术实施例还提供一种不同网络间数据安全交换装置,所述装置包括:共享存储空间分配单元,用于在宿主机中分配第一虚拟机和第二虚拟机的共享存储空间;通信通道配置单元,配置所述宿主机和所述第一虚拟机之间的非IP协议的第一通信通道,以及所述宿主机和所述第二虚拟机之间的非IP协议的第二通信通道;数据交换单元,通过所述第一通信通道和第二通信通道,在所述共享存储空间中进行所述第一虚拟机和第二虚拟机间的数据交换;其中,所述第一虚拟机与第一网络连接,所述第二虚拟机与第二网络连接;所述宿主机包括第一物理网卡和第二物理网卡,并配置为拒绝IP路由转发;所述第一物理网卡与所述第一虚拟机桥接,所述第二物理网卡与所述第二虚拟机桥接,所述第一物理网卡、第二物理网卡配置为取消IP地址配置。本专利技术实施例还提供一种不同网络间数据安全交换设备,所述设备包括:第一物理网卡和第二物理网卡,所述第一物理网卡和第二物理网卡配置为取消IP地址配置;存储器,所述存储器中具有共享存储空间;第一虚拟机,与所述第一物理网卡桥接,用于接收第一网络发送的数据并通过非IP协议的第一通信通道将所述数据发送到所述共享存储空间;第二虚拟机,与所述第二物理网卡桥接,用于通过非IP协议的第二通信通道从所述共享存储空间读取所述数据,并将所述数据发送到第二网络;其中,所述设备配置为拒绝IP路由转发。本专利技术通过在一台宿主机上配置分别连接不同网络的两个虚拟机的共享内存空间以及非IP协议的通信通道,设置第一物理网卡、第二物理网卡没有配置IP地址以及禁用宿主机的路由转发功能,使不同网络间通过非IP协议的通信通道自动进行数据交换,提高了不同网络间数据交换的安全性,同时降低了网络安全隔离成本。【附图说明】图1是本专利技术实施例提供的不同网络间数据安全交换方法的实施环境图;图2是本专利技术实施例提供的不同网络间数据安全交换方法的实现流程图;图3是本专利技术实施例提供的不同网络间数据安全交换装置的结构图;图4是本专利技术第二实施例提供的不同网络间数据安全交换装置的的结构图;图5是本专利技术实施例提供的不同网络间数据安全交换设备的结构图。【具体实施方式】为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术通过在一台宿主机创配置分别连接不同网络的两个虚拟机的共享内存空间以及非IP协议的通信通道,使不同网络间通过非IP协议的通信通道自动进行数据交换,提高了不同网络间数据交换的安全性,同时降低了网络安全隔离成本。图1为本专利技术实施例提供的不同网络间数据安全交换方法的实施环境图,为了便于说明,仅示出了与本专利技术实施例相关的部分。第一虚拟机和第二虚拟机为同一宿主机上的两台虚拟机,第一虚拟机接收在第一网络中的第一客户端发送的数据并将该数据发送到宿主机中,第二虚拟机从宿主机中读取数据,并将该数据发送到第二网络中的第二客户端,完成数据交换。在本专利技术实施例中,第一虚拟机与第一网络连接,第二虚拟机与第二网络连接。在本专利技术实施例中,宿主机为Iinux宿主机,采用KVM(Kernel_based VirtualMachine,基于内核的虚拟机)虚拟化技术创建出第一虚拟机和第二虚拟机。 在本专利技术实施例中,第一客户端、第二客户端可以为个人电脑(PersonalComputer,PC)、笔记本电脑、私人数字助理(Personal Digital Assistant,PDA)、手机等客户端。图2示出了本专利技术实施例提供的不同网络间数据安全交换方法的实现流程图,详述如下:在步骤S201中,在宿主机中分配第一虚拟机和第二虚拟机的共享存储空间。在本专利技术实施例中,宿主机包括第一物理网卡和第二物理网卡,并配置为拒绝IP路由转发。第一物理网卡与第一虚拟机桥接,第二物理网卡与第二虚拟机桥接,而且第一物理网卡、第二物理网卡配置为取消IP地址配置。作为本专利技术的一个实施例,为了提高数据交换的安全性,还可以在宿主机上分配临时存储空间,用于临时存储待交换的数据,待数据通过病毒扫描后再将数据存储到共享存储空间上。在步骤S202中,配置宿主机和第一虚拟机之间的非IP协议的第一通信通道以及宿主机和第二虚拟机之间的非IP协议的第二通信通道。作为本专利技术的一个实施例,第一通信通道、第二通信通道为QEMU ( —套以GPL许可证分发源码的模拟处理器)虚拟设备提供的通信通道,基于该QEMU虚拟当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种不同网络间数据安全交换方法,其特征在于,所述方法包括以下步骤:在宿主机中分配第一虚拟机和第二虚拟机的共享存储空间;配置所述宿主机和所述第一虚拟机之间的非IP协议的第一通信通道,以及所述宿主机和所述第二虚拟机之间的非IP协议的第二通信通道;通过所述第一通信通道和第二通信通道,在所述共享存储空间中进行所述第一虚拟机和第二虚拟机间的数据交换;其中,所述第一虚拟机与第一网络连接,所述第二虚拟机与第二网络连接;所述宿主机包括第一物理网卡和第二物理网卡,并配置为拒绝IP路由转发;所述第一物理网卡与所述第一虚拟机桥接,所述第二物理网卡与第二虚拟机桥接,所述第一物理网卡、第二物理网卡配置为取消IP地址配置。
【技术特征摘要】
【专利技术属性】
技术研发人员:王新成,王志,祝青柳,
申请(专利权)人:深圳市联软科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。