本发明专利技术实施例提供了一种网络隔离方法和装置以及电子设备。该方法包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。本发明专利技术实施例针对部署于机器中的应用,为应用发出的数据包设置隔离参数,使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。
【技术实现步骤摘要】
网络隔离方法和装置以及电子设备
本专利技术涉及计算机
,尤其涉及一种网络隔离方法和装置以及电子设备。
技术介绍
在容器场景中,应用和机器以多对多的模式部署,单台机器可以部署多个应用,单个应用也可以部署在多台机器上。为了保证网络安全,是不允许某些应用之间进行通信的,也就是说,需要对特定的应用采取隔离措施。传统的隔离方案有以下几类:1、使用应用层协议认证。在应用层为应用设置访问权限,允许通信的应用之间通过认证权限而通信。2、基于网络层的虚拟局域网(VirtualLocalAreaNetwork;以下简称:VLAN)技术。在网络层划分多个虚拟子网,将允许通信的应用部署于同一个子网中,将不允许通信的应用部署于不同的子网中,以实现网络隔离。专利技术人在实现本专利技术的过程中,发现现有技术至少存在如下问题:针对采用应用层协议认证的隔离方案,需要应用在实现上支持认证,如果应用本身不支持认证或者不支持特定类型的认证,则无法实现隔离;针对基于网络层VLAN的隔离方案,受限于VLAN技术,最多支持4096个子网,无法满足更多应用的部署,另外,VLAN技术中的以太网帧完全明文,存在被篡改的风险。
技术实现思路
本专利技术实施例提供一种网络隔离方法和装置以及电子设备,以避免现有技术的缺陷,实现安全、可靠的网络隔离。为达到上述目的,本专利技术实施例提供了一种网络隔离方法,包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。本专利技术实施例还提供了一种网络隔离方法,包括:接收设置有隔离参数的数据包;对所述数据包进行关于所述隔离参数的匹配操作;当所述隔离参数与所述接收方应用相匹配时,向所述接收方应用发送所述数据包。本专利技术实施例还提供了一种数据发送装置,包括:获取模块,用于获取待发送的数据包;设置模块,用于为所述数据包设置隔离参数;发送模块,用于向接收方应用发送设置有隔离参数的所述数据包。本专利技术实施例还提供了一种数据接收装置,包括:接收模块,用于接收设置有隔离参数的数据包;匹配模块,用于对所述数据包进行关于所述隔离参数的匹配操作;执行模块,用于当所述隔离参数与所述接收方应用相匹配时,向所述接收方应用发送所述数据包。本专利技术实施例还提供一种电子设备,包括:存储器,用于存储程序;处理器,用于运行所述存储器中存储的所述程序,以用于:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。本专利技术实施例还提供一种电子设备,包括:存储器,用于存储程序;处理器,用于运行所述存储器中存储的所述程序,以用于:接收设置有隔离参数的数据包;对所述数据包进行关于所述隔离参数的匹配操作;当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。本专利技术实施例提供的网络隔离方法和装置以及电子设备,针对部署于机器中的应用,为应用发出的数据包设置隔离参数,使得,接收端通过该隔离参数判断接收方应用是否允许通信,实现了安全的网络隔离。上述说明仅是本专利技术技术方案的概述,为了能够更清楚了解本专利技术的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:图1为本专利技术实施例提供的网络隔离方法的原理示意图;图2为本专利技术实施例提供的业务系统的结构示意图;图3为本专利技术提供的网络隔离方法一个实施例的流程图;图4a为本专利技术提供的网络隔离方法一个具体实施例的流程图;图4b为本专利技术实施例中数据结构的示意图;图5为本专利技术提供的网络隔离方法另一个实施例的流程图;图6为本专利技术提供的网络隔离方法另一个具体实施例的流程图;图7为本专利技术提供的数据发送装置一个实施例的结构示意图;图8为本专利技术提供的数据接收装置一个实施例的结构示意图;图9为本专利技术提供的电子设备一个实施例的结构示意图;图10为本专利技术提供的电子设备另一个实施例的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。针对现有技术的缺陷,本申请提供一种解决方案,其主要原理是:为部署于机器中的各个应用配置隔离参数,当一个应用(发送方应用)向另一个应用(接收方应用)发送数据包时,为该数据包设置配置参数,通过该配置参数确定接收方应用是否允许与发送方应用通信。具体地,在对应用进行部署时,可以将应用进行分组,为允许通信的应用分配相同的分组ID(Identity,标识),在发送数据时为数据包设置相应的分组ID,(例如,可以将分组ID添加到数据包中发送,也可以将数据包和分组ID一起发送),使得,接收方的机器通过比较分组ID而判断是否允许通信,从而实现安全的网络隔离。也可以在部署应用时,为每一个应用配置一对不对称密钥,私钥自己保留,公钥向其它允许通信的应用公开。当发送方应用向接收方应用发送数据包时,发送方的机器用接收方应用的公钥对数据包中的指定部分进行加密操作,以使得接收方的机器用接收方应用的私钥对执行部分进行解密,通过解密结果以判断公钥和私钥是否匹配,该次通信是否被允许。这种方式可以实现两个应用之间的单向通信,即,A可以向B发送数据,B无法向A发送数据。图1为本专利技术实施例提供的网络隔离方法的原理示意图。本专利技术实施例通信双方可以基于传输控制协议(TransmissionControlProtocol;以下简称:TCP),并使用Linux系统。如图1所示,假设在机器1上部署应用A和C,在机器2上部署应用B和C。用户希望实现应用A和B可以相互通信,而应用C与A、B都不能通信。那么将应用分组,将应用A和B分为一组,为其分配分组ID(group=1000),将应用C分为另一组,为其分配分组ID(group=1001)。当部署于机器1中的应用A向部署于机器2中的应用B发送数据时,机器1的发送模块(NetfilterModuleSent)将应用A的分组ID(group=1000)添加到应用A发出的TCP数据包的Option字段中,并封装成IP包,通过以太网接口(EthX)发送至机器2。当机器2接收到IP包时,接收模块(NetfilterModuleSent)解封装出TCP数据包,并获取添加在TCP数据包中的分组ID(group=1000),然后,根据TCP数据包的目标地址找到应用B,并比较TCP数据包中的分组ID与应用B的分组ID是否一致,如果是,则允许通信(将数据发送给应用B),否则,不允许通信(丢弃数据或返回拒绝通信的消息等)。本专利技术实施例提供的方法可应用于任何部署多个应用的业务系统。图2为本专利技术实施例提供的业务系统的结构示意图。如图2所示,该业务系统由数台机器组成,每台机器用于部署至少一个应用,每个应用可以部署于至少一台机器中。通常情况,一台机器同时具有发送和接收数据的功能,一本文档来自技高网...
【技术保护点】
1.一种网络隔离方法,其特征在于,包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。
【技术特征摘要】
1.一种网络隔离方法,其特征在于,包括:获取待发送的数据包;为所述数据包设置隔离参数;向接收方应用发送设置有隔离参数的所述数据包。2.根据权利要求1所述的网络隔离方法,其特征在于,所述为所述数据包设置隔离参数,具体为:为所述数据包设置分组ID,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID。3.根据权利要求1所述的网络隔离方法,其特征在于,所述为所述数据包设置隔离参数,具体为:用接收所述数据包的接收方应用的公钥对所述数据包中的指定部分进行加密操作,所述公钥用于与所述接收方应用的私钥配合使用,以确定所述接收方应用是否允许通信。4.根据权利要求1至3中任一权利要求所述的网络隔离方法,其特征在于,所述待发送的数据包为TCP数据包。5.根据权利要求4所述的网络隔离方法,其特征在于,所述向接收方应用发送设置有隔离参数的所述数据包,包括:将设置有隔离参数的所述TCP数据包封装为IP包;向所述接收方应用发送所述IP包。6.根据权利要求1至3中任一权利要求所述的网络隔离方法,其特征在于,在所述为所述数据包设置隔离参数之前,还包括:对所述隔离参数进行加密处理。7.一种网络隔离方法,其特征在于,包括:接收设置有隔离参数的数据包;对所述数据包进行关于所述隔离参数的匹配操作;当所述隔离参数与接收方应用相匹配时,向所述接收方应用发送所述数据包。8.根据权利要求7所述的网络隔离方法,其特征在于,所述对所述数据包进行关于所述隔离参数的匹配操作,包括:比较为所述数据包设置的分组ID与所述接收方应用对应的分组ID是否一致,所述分组ID用于标识允许通信的应用的分组,每个分组中的所有应用对应同一个分组ID;当为所述数据包设置的分组ID与所述接收方应用对应的分组ID一致时,确定所述隔离参数与所述接收方应用相匹配。9.根据权利要求7所述的网络隔离方法,其特征在于,所述对所述数据包进行关于所述隔离参数的匹配操作,包括:用所述接收方应用的私钥对接收到的所述数据包中的指定部分进行解密操作;当所述私钥成功解密出所述数据包时,确定所述隔离参数与所述接收方应用相匹配。10.根据权利要求7至9中任一权利要求所述的网络隔离方法,其特征在于,接收到的所述数据包为IP包。11.根据权利要求10所述的网络隔离方法,其特征在于,在所述对所述数据包进行关于所述隔离参数的匹配操作之前,还包括:对接收到的所述IP包进行解封装;获取设置...
【专利技术属性】
技术研发人员:姜继忠,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。