一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法���、裝置及設(shè)備的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法�、裝置及設(shè)備。
【背景技術(shù)】
[0002]互聯(lián)網(wǎng)從無到有的飛速發(fā)展給人們帶來了極大的便利���,同時也帶來了黑客入侵、信息泄密等一系列網(wǎng)絡(luò)安全問題���。因此�,內(nèi)網(wǎng)與外網(wǎng)之間等不同安全級別的網(wǎng)絡(luò)之間的信息交互一方面要滿足不同的網(wǎng)絡(luò)之間進(jìn)行信息共享的要求�,解決信息孤島的問題。另一方面����,也要在信息系統(tǒng)開放的同時防止核心涉密網(wǎng)絡(luò)遭受外部攻擊,導(dǎo)致信息外泄����。
[0003]為了保護(hù)內(nèi)網(wǎng)資源的安全,通常會實(shí)施內(nèi)網(wǎng)與外網(wǎng)之間的物理隔離����,使內(nèi)部涉密網(wǎng)與外網(wǎng)徹底地物理隔離開?,F(xiàn)有的網(wǎng)絡(luò)安全隔離主要以下幾種方式:1�、通過隔離卡技術(shù)將硬盤分為兩個分區(qū)分別與不同的網(wǎng)絡(luò)相連,但每次只能與一個網(wǎng)絡(luò)相連���、需要進(jìn)行系統(tǒng)切換�,導(dǎo)致數(shù)據(jù)不能及時的交換���;2��、通過網(wǎng)閘技術(shù)在在兩個系統(tǒng)之間設(shè)立數(shù)據(jù)緩沖區(qū)�����,通過電子開關(guān)的快速切換實(shí)現(xiàn)兩個不同網(wǎng)段的數(shù)據(jù)交換��,但隔離硬件在網(wǎng)絡(luò)間實(shí)現(xiàn)數(shù)據(jù)交換時���,實(shí)際上也同時連通了該進(jìn)行數(shù)據(jù)交換的網(wǎng)絡(luò),存在安全隱患�,而且安全網(wǎng)閘的三個設(shè)備都必須為大容量存儲設(shè)備,導(dǎo)致網(wǎng)絡(luò)安全隔離成本高����。
[0004]因此存在這樣的需求:提供一種能夠?qū)崿F(xiàn)不同網(wǎng)絡(luò)安全隔離的情況下自動進(jìn)行數(shù)據(jù)交換�����,同時降低網(wǎng)絡(luò)安全隔離的成本的網(wǎng)絡(luò)安全隔離方法����。
【發(fā)明內(nèi)容】
[0005]本發(fā)明實(shí)施例提供一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法�,能夠?qū)崿F(xiàn)在不同網(wǎng)絡(luò)安全隔離的情況下自動進(jìn)行數(shù)據(jù)交換,提高了不同網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全性����,同時降低了網(wǎng)絡(luò)安全隔離的成本����。
[0006]本發(fā)明實(shí)施例是這樣實(shí)現(xiàn)的,一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法���,所述方法包括以下步驟:在宿主機(jī)中分配第一虛擬機(jī)和第二虛擬機(jī)的共享存儲空間�;配置所述宿主機(jī)和所述第一虛擬機(jī)之間的非IP協(xié)議的第一通信通道����,以及所述宿主機(jī)和所述第二虛擬機(jī)之間的非IP協(xié)議的第二通信通道;通過所述第一通信通道和第二通信通道��,在所述共享存儲空間中進(jìn)行所述第一虛擬機(jī)和第二虛擬機(jī)間的數(shù)據(jù)交換;其中���,所述第一虛擬機(jī)與第一網(wǎng)絡(luò)連接�,所述第二虛擬機(jī)與第二網(wǎng)絡(luò)連接�����;所述宿主機(jī)包括第一物理網(wǎng)卡和第二物理網(wǎng)卡��,并配置為拒絕IP路由轉(zhuǎn)發(fā)���;所述第一物理網(wǎng)卡與所述第一虛擬機(jī)橋接�����,所述第二物理網(wǎng)卡與第二虛擬機(jī)橋接��,所述第一物理網(wǎng)卡��、第二物理網(wǎng)卡配置為取消IP地址配置����。
[0007]本發(fā)明實(shí)施例還提供一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換裝置����,所述裝置包括:共享存儲空間分配單元�,用于在宿主機(jī)中分配第一虛擬機(jī)和第二虛擬機(jī)的共享存儲空間�����;通信通道配置單元����,配置所述宿主機(jī)和所述第一虛擬機(jī)之間的非IP協(xié)議的第一通信通道,以及所述宿主機(jī)和所述第二虛擬機(jī)之間的非IP協(xié)議的第二通信通道��;數(shù)據(jù)交換單元�����,通過所述第一通信通道和第二通信通道�,在所述共享存儲空間中進(jìn)行所述第一虛擬機(jī)和第二虛擬機(jī)間的數(shù)據(jù)交換�;其中,所述第一虛擬機(jī)與第一網(wǎng)絡(luò)連接���,所述第二虛擬機(jī)與第二網(wǎng)絡(luò)連接��;所述宿主機(jī)包括第一物理網(wǎng)卡和第二物理網(wǎng)卡�,并配置為拒絕IP路由轉(zhuǎn)發(fā);所述第一物理網(wǎng)卡與所述第一虛擬機(jī)橋接�����,所述第二物理網(wǎng)卡與所述第二虛擬機(jī)橋接�,所述第一物理網(wǎng)卡、第二物理網(wǎng)卡配置為取消IP地址配置�����。
[0008]本發(fā)明實(shí)施例還提供一種不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換設(shè)備����,所述設(shè)備包括:第一物理網(wǎng)卡和第二物理網(wǎng)卡,所述第一物理網(wǎng)卡和第二物理網(wǎng)卡配置為取消IP地址配置��;存儲器�,所述存儲器中具有共享存儲空間;第一虛擬機(jī)�����,與所述第一物理網(wǎng)卡橋接�����,用于接收第一網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)并通過非IP協(xié)議的第一通信通道將所述數(shù)據(jù)發(fā)送到所述共享存儲空間;第二虛擬機(jī)�����,與所述第二物理網(wǎng)卡橋接����,用于通過非IP協(xié)議的第二通信通道從所述共享存儲空間讀取所述數(shù)據(jù),并將所述數(shù)據(jù)發(fā)送到第二網(wǎng)絡(luò)�;其中,所述設(shè)備配置為拒絕IP路由轉(zhuǎn)發(fā)��。
[0009]本發(fā)明通過在一臺宿主機(jī)上配置分別連接不同網(wǎng)絡(luò)的兩個虛擬機(jī)的共享內(nèi)存空間以及非IP協(xié)議的通信通道��,設(shè)置第一物理網(wǎng)卡�、第二物理網(wǎng)卡沒有配置IP地址以及禁用宿主機(jī)的路由轉(zhuǎn)發(fā)功能,使不同網(wǎng)絡(luò)間通過非IP協(xié)議的通信通道自動進(jìn)行數(shù)據(jù)交換����,提高了不同網(wǎng)絡(luò)間數(shù)據(jù)交換的安全性����,同時降低了網(wǎng)絡(luò)安全隔離成本。
【附圖說明】
[0010]圖1是本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法的實(shí)施環(huán)境圖;
[0011]圖2是本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法的實(shí)現(xiàn)流程圖����;
[0012]圖3是本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換裝置的結(jié)構(gòu)圖;
[0013]圖4是本發(fā)明第二實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換裝置的的結(jié)構(gòu)圖����;
[0014]圖5是本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換設(shè)備的結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0015]為了使本發(fā)明的目的���、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白�,以下結(jié)合附圖及實(shí)施例����,對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解�����,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明。
[0016]本發(fā)明通過在一臺宿主機(jī)創(chuàng)配置分別連接不同網(wǎng)絡(luò)的兩個虛擬機(jī)的共享內(nèi)存空間以及非IP協(xié)議的通信通道�,使不同網(wǎng)絡(luò)間通過非IP協(xié)議的通信通道自動進(jìn)行數(shù)據(jù)交換,提高了不同網(wǎng)絡(luò)間數(shù)據(jù)交換的安全性,同時降低了網(wǎng)絡(luò)安全隔離成本����。
[0017]圖1為本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法的實(shí)施環(huán)境圖,為了便于說明����,僅示出了與本發(fā)明實(shí)施例相關(guān)的部分。
[0018]第一虛擬機(jī)和第二虛擬機(jī)為同一宿主機(jī)上的兩臺虛擬機(jī)��,第一虛擬機(jī)接收在第一網(wǎng)絡(luò)中的第一客戶端發(fā)送的數(shù)據(jù)并將該數(shù)據(jù)發(fā)送到宿主機(jī)中���,第二虛擬機(jī)從宿主機(jī)中讀取數(shù)據(jù)�,并將該數(shù)據(jù)發(fā)送到第二網(wǎng)絡(luò)中的第二客戶端�,完成數(shù)據(jù)交換。
[0019]在本發(fā)明實(shí)施例中���,第一虛擬機(jī)與第一網(wǎng)絡(luò)連接�����,第二虛擬機(jī)與第二網(wǎng)絡(luò)連接�。
[0020]在本發(fā)明實(shí)施例中�����,宿主機(jī)為Iinux宿主機(jī)��,采用KVM(Kernel_based VirtualMachine�����,基于內(nèi)核的虛擬機(jī))虛擬化技術(shù)創(chuàng)建出第一虛擬機(jī)和第二虛擬機(jī)���。
[0021 ] 在本發(fā)明實(shí)施例中�,第一客戶端�����、第二客戶端可以為個人電腦(PersonalComputer���,PC)���、筆記本電腦、私人數(shù)字助理(Personal Digital Assistant���,PDA)���、手機(jī)等客戶端�。
[0022]圖2示出了本發(fā)明實(shí)施例提供的不同網(wǎng)絡(luò)間數(shù)據(jù)安全交換方法的實(shí)現(xiàn)流程圖���,詳述如下:
[0023]在步驟S201中����,在宿主機(jī)中分配第一虛擬機(jī)和第二虛擬機(jī)的共享存儲空間����。
[0024]在本發(fā)明實(shí)施例中,宿主機(jī)包括第一物理網(wǎng)卡和第二物理網(wǎng)卡�,并配置為拒絕IP路由轉(zhuǎn)發(fā)。第一物理網(wǎng)卡與第一虛擬機(jī)橋接�,第二物理網(wǎng)卡與第二虛擬機(jī)橋接,而且第一物理網(wǎng)卡��、第二物理網(wǎng)卡配置為取消IP地址配置���。
[0025]作為本發(fā)明的一個實(shí)施例��,為了提高數(shù)據(jù)交換的安全性�����,還可以在宿主機(jī)上分配臨時存儲空間��,用于臨時存儲待交換的數(shù)據(jù)��,待數(shù)據(jù)通過病毒掃描后再將數(shù)據(jù)存儲到共享存儲空間上���。
[0026]在步驟S202中,配置宿主機(jī)和第一虛擬機(jī)之間的非IP協(xié)議的第一通信通道以及宿主機(jī)和第二虛擬機(jī)之間的非IP協(xié)議的第二通信通道����。
[0027]作為本發(fā)明的一個實(shí)施例,第一通信通道���、第二通信通道為QEMU ( —套以GPL許可證分發(fā)源碼的模擬處理器)虛擬設(shè)備提供的通信通道�����,基于該QEMU虛擬