一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬機(jī)通信數(shù)據(jù)安全技術(shù)領(lǐng)域，尤其是涉及一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法。
【背景技術(shù)】
[0002]傳統(tǒng)意義的防火墻指的是一臺(tái)物理設(shè)備，它可以在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造保護(hù)屏障，是一種獲取安全性方法的形象說法。防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成。網(wǎng)絡(luò)環(huán)境中計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過防火墻。一些廠家推出了虛擬防火墻，實(shí)現(xiàn)方法其實(shí)是將一臺(tái)物理防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。這種方法的表現(xiàn)仍然是一臺(tái)物理設(shè)備，只不過是一臺(tái)防火墻可以作為多臺(tái)防火墻來使用，并且需要物理防火墻作為支撐?，F(xiàn)有技術(shù)中不能夠解決虛擬機(jī)與虛擬機(jī)之間的網(wǎng)絡(luò)隔離和控制，因?yàn)樘摂M機(jī)之間的通信完全在一臺(tái)服務(wù)器內(nèi)部，通信數(shù)據(jù)不會(huì)流到物理防火墻中，虛擬機(jī)通信數(shù)據(jù)的安全無法得到保證，故此急切需要研發(fā)一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法。

【發(fā)明內(nèi)容】

[0003]本發(fā)明的目的在于設(shè)計(jì)一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，解決上述問題。
[0004]為了實(shí)現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案如下:
[0005]一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，兩臺(tái)以上不同的虛擬機(jī)位于同一物理機(jī)上，包括如下步驟:
[0006]步驟101，兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸時(shí)，發(fā)送所述通信數(shù)據(jù)的虛擬機(jī)為發(fā)送端虛擬機(jī)，接收所述通信數(shù)據(jù)的虛擬機(jī)為接收端虛擬機(jī)；所述發(fā)送端虛擬機(jī)通過管理端虛擬機(jī)與所述接收端虛擬機(jī)通信數(shù)據(jù)；所述發(fā)送端虛擬機(jī)向所述接收端虛擬機(jī)發(fā)送所述通信數(shù)據(jù)；所述通信數(shù)據(jù)包括源地址和目的地址；
[0007]步驟102，在所述管理端虛擬機(jī)的驅(qū)動(dòng)控制層設(shè)有驅(qū)動(dòng)控制模塊層；所述驅(qū)動(dòng)控制模塊層記錄所述通信數(shù)據(jù)中的所述目的地址；所述驅(qū)動(dòng)控制模塊層改變所述通信數(shù)據(jù)的數(shù)據(jù)流向；改變所述數(shù)據(jù)流向的所述通信數(shù)據(jù)作為待測通信數(shù)據(jù)；所述驅(qū)動(dòng)控制模塊層將所述待測通信數(shù)據(jù)發(fā)送到安全虛擬機(jī)上；所述檢測、所述分析和所述過濾具體包括:
[0008]步驟103，所述安全虛擬機(jī)對(duì)所述待測通信數(shù)據(jù)進(jìn)行檢測、分析和過濾；
[0009]步驟103.a,所述安全虛擬機(jī)若檢測到所述待測通信數(shù)據(jù)含有危險(xiǎn)通信數(shù)據(jù)，則所述安全虛擬機(jī)對(duì)所述危險(xiǎn)通信數(shù)據(jù)進(jìn)行隔離和/或告警；將不包含所述危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)進(jìn)行下述步驟104 ；
[0010]步驟103.b，若所述安全虛擬機(jī)未檢測所述待測通信數(shù)據(jù)含有所述危險(xiǎn)通信數(shù)據(jù)，則直接進(jìn)行下述步驟104 ；
[0011]步驟104，所述安全虛擬機(jī)通過所述驅(qū)動(dòng)控制模塊層記錄的所述目的地址，將所述不包含有危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)發(fā)送到所述接收端虛擬機(jī)，完成兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸?shù)陌踩ㄐ拧?br>[0012]優(yōu)選的，所述步驟101中的所述源地址為發(fā)送端的IP地址；所述目的地址為
[0013]接收端的IP地址。
[0014]優(yōu)選的，所述步驟103中的所述分析和所述過濾包括在所述安全虛擬機(jī)上配置防火墻和/或IDS軟件。
[0015]名詞解釋:IDS是英文“Intrus 1n Detect 1n Sys tems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。
[0016]本發(fā)明的有益效果可以總結(jié)如下:
[0017]1、本發(fā)明修改驅(qū)動(dòng)控制層，實(shí)現(xiàn)了虛擬機(jī)的無端的模式，實(shí)現(xiàn)了虛擬
[0018]機(jī)的安全、高效、性能較好的防護(hù)。
[0019]2、本發(fā)明可以作為模板在虛擬機(jī)環(huán)境中批量使用，使得本發(fā)明可以靈活
[0020]使用，便于在其它虛擬化環(huán)境中快速創(chuàng)建，同時(shí)該模板可以根據(jù)實(shí)際情
[0021]況進(jìn)行定制，防火墻配置和IDS軟件的安裝和使用也可以靈活掌控。
【附圖說明】
[0022]圖1為本發(fā)明一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法流程示意圖。
【具體實(shí)施方式】
[0023]為了使本發(fā)明所解決的技術(shù)問題、技術(shù)方案及有益效果更加清楚明白，以下結(jié)合附圖及實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
[0024]如圖1所示的一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，包括如下步驟:
[0025]步驟101，兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸時(shí)，發(fā)送所述通信數(shù)據(jù)的虛擬機(jī)為發(fā)送端虛擬機(jī)，接收所述通信數(shù)據(jù)的虛擬機(jī)為接收端虛擬機(jī)；所述發(fā)送端虛擬機(jī)通過管理端虛擬機(jī)與所述接收端虛擬機(jī)通信數(shù)據(jù)；所述發(fā)送端虛擬機(jī)向所述接收端虛擬機(jī)發(fā)送所述通信數(shù)據(jù)；所述通信數(shù)據(jù)包括源地址和目的地址；所述源地址為發(fā)送端的IP地址；所述目的地址為接收端的IP地址。
[0026]步驟102，在所述管理端虛擬機(jī)的驅(qū)動(dòng)控制層設(shè)有驅(qū)動(dòng)控制模塊層；所述驅(qū)動(dòng)控制模塊層記錄所述通信數(shù)據(jù)中的所述目的地址；所述驅(qū)動(dòng)控制模塊層改變所述通信數(shù)據(jù)的數(shù)據(jù)流向；改變所述數(shù)據(jù)流向的所述通信數(shù)據(jù)作為待測通信數(shù)據(jù)；所述驅(qū)動(dòng)控制模塊層將所述待測通信數(shù)據(jù)發(fā)送到安全虛擬機(jī)上；
[0027]步驟103，所述安全虛擬機(jī)對(duì)所述待測通信數(shù)據(jù)進(jìn)行檢測、分析和過濾；所
[0028]述分析和所述過濾包括在所述安全虛擬機(jī)上配置防火墻和/或IDS軟件。
[0029]步驟103.a,所述安全虛擬機(jī)若檢測到所述待測通信數(shù)據(jù)含有危險(xiǎn)通信數(shù)據(jù)，則所述安全虛擬機(jī)對(duì)所述危險(xiǎn)通信數(shù)據(jù)進(jìn)行隔離和/或告警；將不包含所述危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)進(jìn)行下述步驟104 ；
[0030]步驟103.b，若所述安全虛擬機(jī)未檢測所述待測通信數(shù)據(jù)含有所述危險(xiǎn)通信數(shù)據(jù)，則直接進(jìn)行下述步驟104 ；
[0031]步驟104，所述安全虛擬機(jī)通過所述驅(qū)動(dòng)控制模塊層記錄的所述目的地址，將所述不包含有危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)發(fā)送到所述接收端虛擬機(jī)，完成兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸?shù)陌踩ㄐ拧?br>[0032]例如:第一臺(tái)虛擬機(jī)要訪問第二臺(tái)虛擬機(jī)，數(shù)據(jù)由第一臺(tái)虛擬機(jī)的前端驅(qū)動(dòng)發(fā)給管理端虛擬機(jī)的驅(qū)動(dòng)控制層，默認(rèn)情況下，管理端虛擬機(jī)的驅(qū)動(dòng)控制層會(huì)根據(jù)數(shù)據(jù)協(xié)議直接將數(shù)據(jù)分發(fā)給第二臺(tái)虛擬機(jī)的前端驅(qū)動(dòng)，如果這些數(shù)據(jù)包含病毒或者其它攻擊指令，由于所有流量不會(huì)經(jīng)過物理網(wǎng)卡，那么第一臺(tái)虛擬機(jī)就完成了一次對(duì)第二臺(tái)的有效攻擊，傳統(tǒng)防火墻根本起不到任何防護(hù)作用。
[0033]在本發(fā)明中對(duì)管理端虛擬機(jī)的驅(qū)動(dòng)控制層進(jìn)行了修改，其接收到的數(shù)據(jù)不會(huì)按照源地址直接轉(zhuǎn)發(fā)出去，全部數(shù)據(jù)統(tǒng)一轉(zhuǎn)發(fā)給安全虛擬機(jī)，由安全虛擬機(jī)的前端驅(qū)動(dòng)接收，該驅(qū)動(dòng)再將所有數(shù)據(jù)吐給該安全虛擬機(jī)上的防火墻配置和IDS軟件進(jìn)行分析過濾，將分析到的攻擊數(shù)據(jù)進(jìn)行告警并且隔離，過濾后的數(shù)據(jù)由管理端虛擬機(jī)的驅(qū)動(dòng)控制層按照源地址進(jìn)行轉(zhuǎn)發(fā)，最終第一臺(tái)虛擬機(jī)對(duì)第二臺(tái)虛擬機(jī)的攻擊行為被安全虛擬機(jī)成功識(shí)別并進(jìn)行隔離，保證了虛擬機(jī)通信數(shù)據(jù)的安全。同時(shí)，管理員可以通過安全虛擬機(jī)的告警信息及時(shí)了解虛擬機(jī)之間的數(shù)據(jù)安全狀況，采取其它必要措施對(duì)虛擬機(jī)進(jìn)行防護(hù)，進(jìn)一步保證了虛擬機(jī)的安全。
[0034]本發(fā)明方法對(duì)于應(yīng)用虛擬機(jī)而言，是一種無端的模式，這種模式是一種安全、高效、性能較好的防護(hù)模式；安全虛擬機(jī)可以作為模板導(dǎo)出，便于在其它虛擬化環(huán)境中快速創(chuàng)建，同時(shí)該模板可以根據(jù)實(shí)際情況進(jìn)行定制，防火墻配置和IDS軟件的安裝和使用也可以靈活掌控。
[0035]以上通過具體的和優(yōu)選的實(shí)施例詳細(xì)的描述了本發(fā)明，但本領(lǐng)域技術(shù)人員應(yīng)該明白，本發(fā)明并不局限于以上所述實(shí)施例，凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1.一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，兩臺(tái)以上不同的虛擬機(jī)位于同一物理機(jī)上，其特征在于，包括如下步驟: 步驟101，兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸時(shí)，發(fā)送所述通信數(shù)據(jù)的虛擬機(jī)為發(fā)送端虛擬機(jī)，接收所述通信數(shù)據(jù)的虛擬機(jī)為接收端虛擬機(jī)；所述發(fā)送端虛擬機(jī)通過管理端虛擬機(jī)與所述接收端虛擬機(jī)通信數(shù)據(jù)；所述發(fā)送端虛擬機(jī)向所述接收端虛擬機(jī)發(fā)送所述通信數(shù)據(jù)；所述通信數(shù)據(jù)包括源地址和目的地址； 步驟102，在所述管理端虛擬機(jī)的驅(qū)動(dòng)控制層設(shè)有驅(qū)動(dòng)控制模塊層；所述驅(qū)動(dòng)控制模塊層記錄所述通信數(shù)據(jù)中的所述目的地址；所述驅(qū)動(dòng)控制模塊層改變所述通信數(shù)據(jù)的數(shù)據(jù)流向；改變所述數(shù)據(jù)流向的所述通信數(shù)據(jù)作為待測通信數(shù)據(jù)；所述驅(qū)動(dòng)控制模塊層將所述待測通信數(shù)據(jù)發(fā)送到安全虛擬機(jī)上； 步驟103，所述安全虛擬機(jī)對(duì)所述待測通信數(shù)據(jù)進(jìn)行檢測、分析和過濾；所述檢測、所述分析和所述過濾具體包括: 步驟103.a，所述安全虛擬機(jī)若檢測到所述待測通信數(shù)據(jù)含有危險(xiǎn)通信數(shù)據(jù)，則所述安全虛擬機(jī)對(duì)所述危險(xiǎn)通信數(shù)據(jù)進(jìn)行隔離和/或告警；將不包含所述危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)進(jìn)行下述步驟104 ； 步驟103.b，若所述安全虛擬機(jī)未檢測所述待測通信數(shù)據(jù)含有所述危險(xiǎn)通信數(shù)據(jù)，則直接進(jìn)行下述步驟104 ； 步驟104，所述安全虛擬機(jī)通過所述驅(qū)動(dòng)控制模塊層記錄的所述目的地址，將所述不包含有危險(xiǎn)通信數(shù)據(jù)的所述待測通信數(shù)據(jù)發(fā)送到所述接收端虛擬機(jī)，完成兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸?shù)陌踩ㄐ拧?br>2.根據(jù)權(quán)利要求1所述的虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，其特征在于:所述步驟101中的所述源地址為發(fā)送端的IP地址；所述目的地址為接收端的IP地址。
3.根據(jù)權(quán)利要求1所述的虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，其特征在于:所述步驟103中的所述分析和所述過濾包括在所述安全虛擬機(jī)上配置防火墻和/或IDS軟件。
【專利摘要】一種虛擬機(jī)通信數(shù)據(jù)安全的實(shí)現(xiàn)方法，包括如下步驟：步驟101，兩臺(tái)不同的所述虛擬機(jī)在同一網(wǎng)絡(luò)中進(jìn)行通信數(shù)據(jù)傳輸時(shí)，所述發(fā)送端虛擬機(jī)通過管理端虛擬機(jī)與所述接收端虛擬機(jī)通信數(shù)據(jù)；所述發(fā)送端虛擬機(jī)向所述接收端虛擬機(jī)發(fā)送所述通信數(shù)據(jù)；所述通信數(shù)據(jù)包括源地址和目的地址；步驟102，在所述驅(qū)動(dòng)控制模塊層改變所述通信數(shù)據(jù)的數(shù)據(jù)流向；步驟103，所述安全虛擬機(jī)對(duì)所述待測通信數(shù)據(jù)進(jìn)行檢測、分析和過濾；步驟104，所述安全虛擬機(jī)將待測通信數(shù)據(jù)發(fā)送到所述接收端虛擬機(jī)，完成通信。本發(fā)明修改驅(qū)動(dòng)控制層，實(shí)現(xiàn)了虛擬機(jī)的無端的模式，實(shí)現(xiàn)了虛擬機(jī)的安全、高效、性能較好的防護(hù)。
【IPC分類】H04L29-06
【公開號(hào)】CN104660554
【申請(qǐng)?zhí)枴緾N201310585516
【發(fā)明人】張洋
【申請(qǐng)人】北京天地超云科技有限公司
【公開日】2015年5月27日
【申請(qǐng)日】2013年11月19日