基于虚拟化网络的数据传输方法、装置和系统制造方法及图纸

本发明专利技术提供了一种基于虚拟化网络的数据传输方法、装置和系统，所述方法包括：发起方侧的第一安全设备劫持从发起方发送的数据报文；利用已建立的物理线路在第一安全设备和接收方侧的第二安全设备之间创建虚拟再生网络，在创建的虚拟再生网络中，发起方虚拟网络地址由第一安全设备基于预存储的发送方和接收方的真实网络信息和虚拟网络信息间的映射关系信息对发起方的网络地址进行编译而得到，接收方虚拟网络地址由第二安全设备基于预存储的编译策略对接收方的网络地址进行编译而得到；第二安全设备编译策略对发起方的虚拟网络地址进行解析和还原，以向接收方传送带还原的网络地址的数据报文。

【技术实现步骤摘要】
基于虚拟化网络的数据传输方法、装置和系统
本专利技术涉及数据安全
，尤其涉及一种基于虚拟化网络的数据传输方法、装置和系统。
技术介绍
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，攻击者不仅有可能探测、扫描发现网络中的资产设备、窃听网络上的信息，窃取用户的口令、数据库的信息；还可能篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络节点，释放计算机病毒等等，这些都使信息安全问题越来越复杂。当前计算机网络的风险包括软件带来的安全风险（软件层面的风险）和硬件带来的安全风险（硬件层面的风险）。其中，软件层面的风险例如主要体现在：（1）传统的网络安全防御方式是被动检测病毒样本、入侵特征样本等机制，同时结合黑白名单的访问控制机制，访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的，但在实际网络通讯中黑客往往是模拟成可以放行通过访问的普通用户，直接被网络安全网关放行进入到用户内网，这就造成了不可控的风险；（2）传统的网络安全是塔式防御，将各种安全软件产品堆叠累积，各类静态的被动防御相互叠加，无法从根本有效的方式进行防御，只能是查漏补漏的方式，无法实现动态+未知的自动防御；（3）传统的应用软件、网络设备、网络安全设备都标有明确的IP标识，如IP地址或MAC地址，这样就会给黑客创造用黑客工具扫描探测到网络IP地址或MAC地址进而找到相应的漏洞实施攻击的风险；（4）此外，通常的应用软件或系统软件常常因为系统漏洞或补丁等不断的扩展和边界无限放大，如果黑客入侵者利用软件漏洞就会发起入侵攻击的风险，因此所带来了新的风险和隐患。从硬件层面的风险来说，传统的网络安全设备都是在线内联（inline）模式进行网络运维操作，这样就会便捷的从远程来连接调试自身设备，这时就会有一个潜在风险是，网络安全防护设备在网络中处于被暴露的状态，也就是说在网络中的任意节点只要网络路由可达就可以连接到此设备，那时黑客就可以通过暴力口令破解的方式，来不断的尝试用户名、密码、或者登陆此安全设备的浏览器漏洞或寻找后门进行入侵攻击；同时网络安全设备自身也存在被通过物理攻击的CPU的晶振攻击和对内存资源的侧信道攻击，这两种攻击方式可直接绕过任何安全防护直接接管核心控制单元，达到任意操控设备的风险。此外，还有一个问题是，如果要断开客户端对服务器的某项资源的访问，需要断开实际的物理链接才能真正阻止客户端的访问，而实际物理线路的断开将影响客户端对服务器其他业务资源的访问。如何在无需断开实际物理线路的情况下防止黑客入侵攻击，提高网络的安全性和用户体验，是一个亟待解决的问题。
技术实现思路
针对现有技术中存在的问题，本专利技术的目的在于提供一种基于虚拟化网络的数据传输方法、装置和系统，以提高网络的安全性，防止黑客的入侵攻击。本专利技术的一方面，提供一种基于虚拟化网络的数据传输方法，该方法包括以下步骤：位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文；由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析并还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文；所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；所述第一安全设备接收到来自所述第二安全设备的数据后，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文。在本专利技术一些实施方式中，一个或多个通信发起方连接一个第一安全设备；一个或多个通信接收方连接一个第二安全设备；所述第一安全设备和所述第二安全设备预先存储的编译策略包括发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系；所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址。在本专利技术一些实施方式中，所述利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP（AddressResolutionProtocol，地址解析协议）寻址广播方式或网络层路由方式向接收方发送带有所述虚拟网络地址的数据报文；所述利用发起方和接收方之间已建立的物理线路基于所述虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式向发起方发送带有接收方虚拟网络地址和发起方的虚拟网络地址的数据报文。在本专利技术一些实施方式中，所述映射关系还包括以下映射关系中的至少一种：真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。在本专利技术一些实施方式中，所述虚拟化的IP地址为地址段，所述地址段为从预定的多个候选网络IP地址范围中选择的；所述多个候选网络IP地址范围包括以下中的部分或全部：A类网络IP地址范围、B类网络IP地址范围和C类网络IP地址范围。在本专利技术一些实施例中，所述方法还包括：如果基于预先存储的编译策略解析和还原真实网络地址失败，所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。在本专利技术一些实施方式中，所述方法还包括：在所述第一安全设备和第二安全设备之间基于多个通信发起方的服务请求报文创建有多个虚拟化网络的情况下，后建立的虚拟化网络为先前已建立的虚拟化网络并列的虚拟化网络，或者为包含在先前已建立的虚拟化网络中的子虚拟化网络。已创建的虚拟化网络被设置为能够访问其子虚拟化网络；所述子虚拟化网络被设置为不能访问其父级虚拟化网络。在本专利技术一些实施方式中，所述发起方和接收方之间传输的数据报文为经加密的数据报文。在本专利技术的另一方面，还提供一种基于虚拟化网络的数据传输系统，所述系统包括：位于通信发起方侧的第一安全设备和位于通信接收方侧的第二安全设备；其中，所述第一安全设备用于：劫持从通信发起方发送的服务请求报文；基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间本文档来自技高网...

【技术保护点】
1.一种基于虚拟化网络的数据传输方法，其特征在于，该方法包括以下步骤：/n位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文；/n由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；/n位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析和还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文；/n所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；/n所述第一安全设备接收到来自所述第二安全设备的数据后，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文。/n...

【技术特征摘要】
1.一种基于虚拟化网络的数据传输方法，其特征在于，该方法包括以下步骤：
位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文；
由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；
位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析和还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文；
所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；
所述第一安全设备接收到来自所述第二安全设备的数据后，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文。


2.根据权利要求1所述的方法，其特征在于，
一个或多个通信发起方连接一个第一安全设备；
一个或多个通信接收方连接一个第二安全设备；
所述第一安全设备和所述第二安全设备预先存储的编译策略包括发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系；
所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址。


3.根据权利要求1所述的方法，其特征在于，
所述利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式向接收方发送带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；
所述利用发起方和接收方之间已建立的物理线路基于所述虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式向发起方发送带有接收方虚拟网络地址和发起方的虚拟网络地址的数据报文。


4.根据权利要求2所述的方法，其特征在于，
所述映射关系还包括以下映射关系中的至少一种：真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。


5.根据权利要求2所述的方法，其特征在于，所述虚拟化的IP地址为地址段，所述地址段为从预定的多个候选网络IP地址范围中选择的；
所述多个候选网络IP地址范围包括以下中的部分或全部：A类网络IP地址范围、B类网络IP地址范围和C类网络IP地址范围。


6.根据权利要求1所述的方法，其特征在于，所述方法还包括：
如果基于预先存储的编译策略解析和还原真实网络地址失败，所述第一安全设备和/或所述第二安...

【专利技术属性】
技术研发人员：于洪，吴胜，姜春晓，于芷澜，于业浩，杨丽萍，
申请(专利权)人：北京宇创瑞联信息技术有限公司，
类型：发明
国别省市：北京;11