[发明专利]一种实现网络虚拟安全域的方法

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种实现网络虚拟安全域的方法。

背景技术

随着网络信息化的高速推进，人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作，管理模式“映射”到网络环境中，极大地提高了研究、工作和管理效率。人们对于内部网络系统，曾经假定“内部环境是安全的”，但自从网络系统采用了开放互连的TCP/IP协议后，这种假设条件在事实上已经不能完全成立了。各类单位（尤其是涉密单位）为了保证员工有意或无意的泄漏敏感信息，都采用了相应的行政手段对本单位内部主机进行强制性，非技术性的管理，然而这些管理是不利于信息化进程发展的。

发明内容

针对上述的单位信息泄露，物理隔离又不方便的技术问题，本发明公开了一种实现网络虚拟安全域的方法。

本发明的目的通过下述技术方案来实现：

一种实现网络虚拟安全域的方法，其具体包含以下步骤：终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包，如果拦截到的数据包为发送数据包，则将数据包打上标签后再转发出去；如果拦截到的数据包为接收数据包，则判断该数据包是否有标签，若该数据包无标签，则判定该数据包的发送端设备为未授信终端设备，阻断该数据包并告警；若该数据包有标签，则解析数据包标签的内容，并根据策略判断放行或阻断该数据包。

优选地，上述数据包打上标签具体包括：将要发送的数据包拆分为以太头、IP头和IP数据段三个部分，然后填充虚拟安全域标签，并将虚拟安全域标签与IP数据段一起加密，最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去。

优选地，上述解析数据包标签具体包括：识别出数据包中的虚拟安全域标签，并将标签信息和本地策略进行判断，是否允许接收该数据包发送端发送的数据包，是，则放行该数据包，并将数据包中的虚拟安全域标签去掉，解密IP数据段的内容，将数据包还原为原始数据包；否，则阻止该数据包。

优选地，上述虚拟安全域标签包括标签的长度、标签识别名、该终端所属的安全域名。

优选地，上述方法还包括：将设备终端划分成多个安全域，同一个安全域内的设备终端允许相互通信，不同安全域之间的设备终端通过管理服务器进行配置是否允许通信。

本发明的有益效果：本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包，并将通过对网络封包标签的解析，就能清楚地知道该数据包由哪台终端设备发出，该终端设备是否可信任等信息，这样就能轻松的阻断授信终端和未授信终端的网络通信，并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制，利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。

附图说明

图1 为实现网络虚拟安全域的方法流程图。

图2为数据包打标签过程。

图3为网络虚拟安全域的部署结构图。

具体实施方式

本发明公开了一种实现网络虚拟安全域的方法，如图1所示的实现网络虚拟安全域的方法流程图，其具体包含以下步骤：终端设备采用网络驱动接口规范（简称NDIS）中间层驱动拦截所有通过网络驱动接口规范（简称NDIS）发送和接收的数据包，如果拦截到的数据包为发送数据包，则将数据包打上标签后再转发出去；如果拦截到的数据包为接收数据包，则判断该数据包是否有标签，若该数据包无标签，则判定该数据包的发送端设备为未授信终端设备，阻断该数据包并告警；若该数据包有标签，则解析数据包标签的内容，并根据策略判断放行或阻断该数据包。本发明采用拦截所有通过网络驱动接口规范发送和接收的数据包，并将通过对网络封包标签的解析，就能清楚地知道该数据包由哪台终端设备发出，该终端设备是否可信任等信息，这样就能轻松的阻断授信终端和未授信终端的网络通信，并控制处在不同虚拟安全域中终端的网络通信。通过策略可以灵活地实现虚拟安全域间的网络通信控制，利用虚拟安全域技术构建一个灵活、安全、可靠、高效的内部网络环境。NDIS中间层驱动不仅绑定了所有小端口驱动，而且还被所有协议驱动绑定，因此NDIS中间层驱动可以拦截所有通过NDIS发送和接收的数据包，无论应用程序使用什么协议都无法绕过。在NDIS中间层驱动中，对接收和发送的包，可以采用的处理方法几乎是无限制的：可以接受，可以拒绝，也可以修改。因此利用NDIS中间层驱动的这种特性来实现网络虚拟安全域。