【技术实现步骤摘要】
基于虚拟化网络的数据传输方法、装置和系统
本专利技术涉及数据安全
,尤其涉及一种基于虚拟化网络的数据传输方法、装置和系统。
技术介绍
由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,攻击者不仅有可能探测、扫描发现网络中的资产设备、窃听网络上的信息,窃取用户的口令、数据库的信息;还可能篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使信息安全问题越来越复杂。当前计算机网络的风险包括软件带来的安全风险(软件层面的风险)和硬件带来的安全风险(硬件层面的风险)。其中,软件层面的风险例如主要体现在:(1)传统的网络安全防御方式是被动检测病毒样本、入侵特征样本等机制,同时结合黑白名单的访问控制机制,访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的,但在实际网络通讯中黑客往往是模拟成可以放行通过访问的普通用户,直接被网络安全网关放行进入到用户内网,这就造成了不可控的风险;(2)传统的网络安全是塔式防御,将各种安全软件产品堆叠累积,各类静态的被动防御相互叠加,无法从根本有效的方式进行防御,只能是查漏补漏的方式,无法实现动态+未知的自动防御;(3)传统的应用软件、网络设备、网络安全设备都标有明确的IP标识,如IP地址或MAC地址,这样就会给黑客创造用黑客工具扫描探测到网络IP地址或MAC地址进而找到相应的漏洞实施攻击的风险;(4)此外,通常的应用软件或系统软件常常因为系统漏洞或补丁等不断的扩展和边界无限放大, ...
【技术保护点】
1.一种基于虚拟化网络的数据传输方法,其特征在于,该方法包括以下步骤:/n位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文;/n由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系,利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络,并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文;/n位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后,利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析和还原,还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文;/n所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文,利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址,并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文;/n所述第一安全设备接收到来自所述第二安全设备的数据后,利用第一编译器基于预 ...
【技术特征摘要】
1.一种基于虚拟化网络的数据传输方法,其特征在于,该方法包括以下步骤:
位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文;
由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系,利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络,并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文;
位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后,利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析和还原,还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文;
所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文,利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址,并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文;
所述第一安全设备接收到来自所述第二安全设备的数据后,利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原,还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文。
2.根据权利要求1所述的方法,其特征在于,
一个或多个通信发起方连接一个第一安全设备;
一个或多个通信接收方连接一个第二安全设备;
所述第一安全设备和所述第二安全设备预先存储的编译策略包括发送方和接收方的真实网络信息和虚拟网络信息间的映射关系,所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系;
所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址。
3.根据权利要求1所述的方法,其特征在于,
所述利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文,包括:利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式向接收方发送带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;
所述利用发起方和接收方之间已建立的物理线路基于所述虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文,包括:利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式向发起方发送带有接收方虚拟网络地址和发起方的虚拟网络地址的数据报文。
4.根据权利要求2所述的方法,其特征在于,
所述映射关系还包括以下映射关系中的至少一种:真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。
5.根据权利要求2所述的方法,其特征在于,所述虚拟化的IP地址为地址段,所述地址段为从预定的多个候选网络IP地址范围中选择的;
所述多个候选网络IP地址范围包括以下中的部分或全部:A类网络IP地址范围、B类网络IP地址范围和C类网络IP地址范围。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果基于预先存储的编译策略解析和还原真实网络地址失败,所述第一安全设备和/或所述第二安...
【专利技术属性】
技术研发人员:于洪,吴胜,姜春晓,于芷澜,于业浩,杨丽萍,
申请(专利权)人:北京宇创瑞联信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。