[发明专利]一种实现网络虚拟安全域的方法有效
| 申请号: | 201210209518.7 | 申请日: | 2012-06-25 |
| 公开(公告)号: | CN102739665A | 公开(公告)日: | 2012-10-17 |
| 发明(设计)人: | 付强;邓鸿;许勇 | 申请(专利权)人: | 成都卫士通信息产业股份有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 成都九鼎天元知识产权代理有限公司 51214 | 代理人: | 徐宏 |
| 地址: | 610041 *** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 实现 网络 虚拟 全域 方法 | ||
1.一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包。
2.如权利要求1所述的实现网络虚拟安全域的方法,其特征在于所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。
3.如权利要求2所述的实现网络虚拟安全域的方法,其特征在于所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包。
4.如权利要求3所述的实现网络虚拟安全域的方法,其特征在于所述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。
5.如权利要求4所述的实现网络虚拟安全域的方法,其特征在于所述方法还包括:将设备终端划分成多个安全域,同一个安全域内的设备终端允许相互通信,不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都卫士通信息产业股份有限公司,未经成都卫士通信息产业股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201210209518.7/1.html,转载请声明来源钻瓜专利网。
