基于虚拟化网络的数据传输方法、系统和网络安全设备技术方案

本发明专利技术提供了一种基于虚拟化网络的数据传输方法、系统和网络安全设备，该方法包括：由第一安全设备劫持从多个第一端通信设备发送的多个数据报文；由第一安全设备基于预定的编译策略确定第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，基于映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络；基于创建的虚拟化网络向对端通信设备发送数据报文；第一安全设备接收经对端通信设备侧的第二安全设备发送的来自对端通信设备的数据报文，基于预先存储的编译策略对对端通信设备的虚拟网络地址进行解析和还原，还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。

【技术实现步骤摘要】
基于虚拟化网络的数据传输方法、系统和网络安全设备
本专利技术涉及数据安全
，尤其涉及一种基于虚拟化网络的数据传输方法、装置和系统。
技术介绍
在我国近几年随着网络技术的发展，网络应用的普及和丰富，网络安全的问题也日益严重，利用信息技术进行的高科技犯罪事件呈现增长态势，因此建设安全通信环境是必然趋势。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，攻击者不仅有可能探测、扫描发现网络中的资产设备、窃听网络上的信息，窃取用户的口令、数据库的信息；还可能篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络节点，释放计算机病毒等等，这些都使信息安全问题越来越复杂。当前计算机网络的风险包括软件带来的安全风险（软件层面的风险）和硬件带来的安全风险（硬件层面的风险）。其中，软件层面的风险例如主要体现在：（1）传统的网络安全防御方式是被动检测病毒样本、入侵特征样本等机制，同时结合黑白名单的访问控制机制，访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的，但在实际网络通讯中黑客往往是模拟成可以放行通过访问的普通用户，直接被网络安全网关放行进入到用户内网，这就造成了不可控的风险；（2）传统的网络安全是塔式防御，将各种安全软件产品堆叠累积，各类静态的被动防御相互叠加，无法从根本有效的方式进行防御，只能是查漏补漏的方式，无法实现动态+未知的自动防御；（3）传统的应用软件、网络设备、网络安全设备都标有明确的IP标识，如IP地址或MAC地址，这样就会给黑客创造用黑客工具扫描探测到网络IP地址或MAC地址进而找到相应的漏洞实施攻击的风险；（4）此外，通常的应用软件或系统软件常常因为系统漏洞或补丁等不断的扩展和边界无限放大，如果黑客入侵者利用软件漏洞就会发起入侵攻击的风险，因此所带来了新的风险和隐患。从硬件层面的风险来说，传统的网络安全设备都是在线内联（inline）模式进行网络运维操作，这样就会便捷的从远程来连接调试自身设备，这时就会有一个潜在风险是，网络安全防护设备在网络中处于被暴露的状态，也就是说在网络中的任意节点只要网络路由可达就可以连接到此设备，那时黑客就可以通过暴力口令破解的方式，来不断的尝试用户名、密码、或者登陆此安全设备的浏览器漏洞或寻找后门进行入侵攻击；同时网络安全设备自身也存在被通过物理攻击的CPU的晶振攻击和对内存资源的侧信道攻击，这两种攻击方式可直接绕过任何安全防护直接接管核心控制单元，达到任意操控设备的风险。此外，还有一个问题是，如果要断开客户端对服务器的某项资源的访问，需要断开实际的物理链接才能真正阻止客户端的访问，而实际物理线路的断开将影响客户端对服务器其他业务资源的访问。如何在无需断开实际物理线路的情况下防止黑客入侵攻击，提高网络的安全性和用户体验，是一个亟待解决的问题。
技术实现思路
针对现有技术中存在的问题，本专利技术的目的在于提供一种基于虚拟化网络的数据传输方法、装置和系统，以提高网络的安全性，防止黑客的入侵攻击。本专利技术的一方面，提供一种基于虚拟化网络的数据传输方法，该方法包括以下步骤：由第一安全设备劫持从多个第一端通信设备发送的多个数据报文；由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址，由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络；其中所述彼此嵌套的多个虚拟网络地址包括：位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段；基于创建的虚拟化网络向所述对端通信设备发送数据报文，该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址；所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文，利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原，还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。在本专利技术一些实施方式中，所述方法还包括：由所述第二安全设备接收经所述第一安全设备发送的来自各第一端通信设备的数据报文，利用第二编译器基于预先存储的编译策略对各第一端通信设备的虚拟网络地址进行解析和还原，还原成功后向所述对端通信设备传送带还原的真实网络地址的数据报文；所述第二安全设备劫持从所述对端通信设备向各第一端通信设备返回的数据报文，利用第二编译器基于预先存储编译策略对所述对端通信设备的网络地址编译为虚拟网络地址，并在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文。在本专利技术一些实施方式中，所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址；所述第一安全设备和所述第二安全设备预先存储的编译策略包括各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系。在本专利技术一些实施方式中，所述基于创建的虚拟化网络向所述对端通信设备发送数据报文包括：在当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对所述对端通信的IP地址网段之外的其他网段地址的访问，将当前第一端通信设备的IP地址网段转换为与所述其他网段不互通的第一特定广播地址段；所述在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文，包括：当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对作为目标的第一端通信设备的IP地址网段之外的其他网段的地址的访问，将所述对端通信设备的虚拟IP地址网段转换为与该其他网段不互通的第二特定广播地址段。在本专利技术一些实施例中，所述选定类型的网络的IP地址范围包括：A类网络IP地址范围、B类网络IP地址范围或C类网络IP地址范围。在本专利技术一些实施例中，所述映射关系还包括以下映射关系中的至少一种：真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。在本专利技术一些实施例中，所述方法还包括：如果基于预先存储的编译策略解析和还原真实网络地址失败，所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。在本专利技术一些实施方式中，本文档来自技高网...

【技术保护点】
1.一种基于虚拟化网络的数据传输方法，其特征在于，所述方法包括以下步骤：/n由第一安全设备劫持从多个第一端通信设备发送的多个数据报文；/n由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址，由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络；其中所述彼此嵌套的多个虚拟网络地址包括：位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段；/n基于创建的虚拟化网络向所述对端通信设备发送数据报文，该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址；/n所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文，利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原，还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。/n

【技术特征摘要】
1.一种基于虚拟化网络的数据传输方法，其特征在于，所述方法包括以下步骤：
由第一安全设备劫持从多个第一端通信设备发送的多个数据报文；
由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址，由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络；其中所述彼此嵌套的多个虚拟网络地址包括：位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段；
基于创建的虚拟化网络向所述对端通信设备发送数据报文，该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址；
所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文，利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原，还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。


2.根据权利要求1所述的方法，其特征在于，所述方法还包括：
由所述第二安全设备接收经所述第一安全设备发送的来自各第一端通信设备的数据报文，利用第二编译器基于预先存储的编译策略对各第一端通信设备的虚拟网络地址进行解析和还原，还原成功后向所述对端通信设备传送带还原的真实网络地址的数据报文；
所述第二安全设备劫持从所述对端通信设备向各第一端通信设备返回的数据报文，利用第二编译器基于预先存储编译策略对所述对端通信设备的网络地址编译为虚拟网络地址，并在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文。


3.根据权利要求2所述的方法，其特征在于，
所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址；
所述第一安全设备和所述第二安全设备预先存储的编译策略包括各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系。


4.根据权利要求2或3所述的方法，其特征在于，
所述基于创建的虚拟化网络向所述对端通信设备发送数据报文包括：在当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对所述对端通信的IP地址网段之外的其他网段地址的访问，将当前第一端通信设备的IP地址网段转换为与所述其他网段不互通的第一特定广播地址段；
所述在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文，包括：当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对作为目标的第一端通信设备的IP地址网段之外的其他网段的地址的访问，将所述对端通信设备的虚拟IP地址网段转换为与该其他网段不互通的第二特定广播地址段。


5.根据权利要求1所述的方法，其特征在于，所述选定类型的网络的IP地址范围包括：A类网络IP地址范围、B类网络IP地址范围或C类网络IP地址范围。


6.根据权利要求1所述的方法，其特征在于，所述映射关系还包括以下映射关系中的至少一种：真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。


7.根据权利要求1所述的方法，其特征在于，所述方法还包括：
如果基于预先存储的编译策略解析和还原真实网络地址失败，所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。


8.一种基于虚拟化网络的数据传输...

【专利技术属性】
技术研发人员：于洪，姜春晓，吴胜，于芷澜，于业浩，杨丽萍，
申请(专利权)人：北京宇创瑞联信息技术有限公司，
类型：发明
国别省市：北京;11