基于虚拟化网络的数据传输方法、装置和系统与流程

基于虚拟化网络的数据传输方法、装置和系统
1.本技术是申请日为2021年7月12日，申请号为2021107863331，发明名称为“基于虚拟化网络的数据传输方法、装置和系统”的专利申请的分案申请。
技术领域
2.本发明涉及数据安全技术领域，尤其涉及一种基于虚拟化网络的数据传输方法、装置和系统。


背景技术：

3.由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，攻击者不仅有可能探测、扫描发现网络中的资产设备、窃听网络上的信息，窃取用户的口令、数据库的信息；还可能篡改数据库内容，伪造用户身份，否认自己的签名。更有甚者，可以删除数据库内容，摧毁网络节点，释放计算机病毒等等，这些都使信息安全问题越来越复杂。
4.当前计算机网络的风险包括软件带来的安全风险(软件层面的风险)和硬件带来的安全风险(硬件层面的风险)。其中，软件层面的风险例如主要体现在：(1)传统的网络安全防御方式是被动检测病毒样本、入侵特征样本等机制，同时结合黑白名单的访问控制机制，访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的，但在实际网络通讯中黑客往往是模拟成可以放行通过访问的普通用户，直接被网络安全网关放行进入到用户内网，这就造成了不可控的风险；(2)传统的网络安全是塔式防御，将各种安全软件产品堆叠累积，各类静态的被动防御相互叠加，无法从根本有效的方式进行防御，只能是查漏补漏的方式，无法实现动态+未知的自动防御；(3)传统的应用软件、网络设备、网络安全设备都标有明确的ip标识，如ip地址或mac地址，这样就会给黑客创造用黑客工具扫描探测到网络ip地址或mac地址进而找到相应的漏洞实施攻击的风险；(4)此外，通常的应用软件或系统软件常常因为系统漏洞或补丁等不断的扩展和边界无限放大，如果黑客入侵者利用软件漏洞就会发起入侵攻击的风险，因此所带来了新的风险和隐患。
5.从硬件层面的风险来说，传统的网络安全设备都是在线内联(inline)模式进行网络运维操作，这样就会便捷的从远程来连接调试自身设备，这时就会有一个潜在风险是，网络安全防护设备在网络中处于被暴露的状态，也就是说在网络中的任意节点只要网络路由可达就可以连接到此设备，那时黑客就可以通过暴力口令破解的方式，来不断的尝试用户名、密码、或者登陆此安全设备的浏览器漏洞或寻找后门进行入侵攻击；同时网络安全设备自身也存在被通过物理攻击的cpu的晶振攻击和对内存资源的侧信道攻击，这两种攻击方式可直接绕过任何安全防护直接接管核心控制单元，达到任意操控设备的风险。此外，还有一个问题是，如果要断开客户端对服务器的某项资源的访问，需要断开实际的物理链接才能真正阻止客户端的访问，而实际物理线路的断开将影响客户端对服务器其他业务资源的访问。
6.如何在无需断开实际物理线路的情况下防止黑客入侵攻击，提高网络的安全性和
用户体验，是一个亟待解决的问题。


技术实现要素：

7.针对现有技术中存在的问题，本发明的目的在于提供一种基于虚拟化网络的数据传输方法、装置和系统，以提高网络的安全性，防止黑客的入侵攻击。
8.本发明的一方面，提供一种基于虚拟化网络的数据传输方法，该方法包括以下步骤：
9.位于通信发起方侧的第一安全设备利用劫持技术获取从通信发起方发送的服务请求报文；
10.由所述第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；
11.位于通信接收方侧的第二安全设备接收到来自所述第一安全设备的服务请求报文后，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析并还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文；
12.所述第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；
13.所述第一安全设备接收到来自所述第二安全设备的数据后，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文；
14.其中，所述第一安全设备和第二安全设备的物理网卡接口不具有ip地址和mac地址，所述第一安全设备和所述第二安全设备为网关；
15.所述第二安全设备中的编译策略与所述第一安全设备中的编译策略内容相同或相对应，二者基于相一致的地址编译原则用于虚拟网络地址的编译。
16.在本发明一些实施方式中，一个或多个通信发起方连接一个第一安全设备；
17.一个或多个通信接收方连接一个第二安全设备；
18.所述第一安全设备和所述第二安全设备预先存储的编译策略包括发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实ip地址和虚拟ip地址之间的映射关系；
19.在本发明一些实施方式中，所述利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层arp(address resolution protocol，地址解析协议)寻址广播方式或网络层路由方式向接收方发送带有所述虚拟网络地址的数据报文；所述利用发起方和接收方之间已建立的物理线路基于所述虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文，包括：利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络地址利用数据链路层arp寻址广播方式或网络层路由方式向发起方发送带有
接收方虚拟网络地址和发起方的虚拟网络地址的数据报文。
20.在本发明一些实施方式中，所述映射关系还包括以下映射关系中的至少一种：真实mac地址和虚拟mac地址间的映射关系、真实ip端口与虚拟ip端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。
21.在本发明一些实施方式中，所述虚拟化的ip地址为地址段，所述地址段为从预定的多个候选网络ip地址范围中选择的；所述多个候选网络ip地址范围包括以下中的部分或全部：a类网络ip地址范围、b类网络ip地址范围和c类网络ip地址范围。
22.在本发明一些实施例中，所述方法还包括：如果基于预先存储的编译策略解析和还原真实网络地址失败，所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。
23.在本发明一些实施方式中，所述方法还包括：在所述第一安全设备和第二安全设备之间基于多个通信发起方的服务请求报文创建有多个虚拟化网络的情况下，后建立的虚拟化网络为先前已建立的虚拟化网络并列的虚拟化网络，或者为包含在先前已建立的虚拟化网络中的子虚拟化网络。已创建的虚拟化网络被设置为能够访问其子虚拟化网络；所述子虚拟化网络被设置为不能访问其父级虚拟化网络。
24.在本发明一些实施方式中，所述发起方和接收方之间传输的数据报文为经加密的数据报文。
25.在本发明的另一方面，还提供一种基于虚拟化网络的数据传输系统，所述系统包括：位于通信发起方侧的第一安全设备和位于通信接收方侧的第二安全设备；
26.其中，所述第一安全设备用于：
27.劫持从通信发起方发送的服务请求报文；
28.基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；
29.接收来自第二安全设备的数据报文，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文；
30.所述第二安全设备用于：
31.劫持从所述通信接收方发送的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；
32.接收来自所述第一安全设备的数据请求报文，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析并还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文；
33.其中，所述第一安全设备和第二安全设备的物理网卡接口不具有ip地址和mac地址，所述第一安全设备和所述第二安全设备为网关；
34.所述第二安全设备中的编译策略与所述第一安全设备中的编译策略内容相同或相对应，二者基于相一致的地址编译原则用于虚拟网络地址的编译。
35.在本发明的另一方面，还提供一种网络安全设备，所述网络安全设备用于与至少一个第一端通信设备连接，所述网络安全设备的物理网卡接口不具有ip地址和mac地址，所述网络安全设备为网关，所述网络安全设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时实现如下步骤：
36.劫持从所述至少一个第一端通信设备发送的数据报文，基于预先存储的编译策略确定当前端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对各个第一端通信设备的网络地址进行编译，以在当前端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向对端通信设备发送服务请求报文；
37.所述网络安全设备接收经对端网络安全设备发送的来自所述对端通信设备的消息，利用第一编译器基于预先存储的编译策略对所述对端通信设备经编译的虚拟网络地址进行解析和还原，还原成功后向所述前端通信设备传送带还原的对端通信设备真实网络地址的数据报文；
38.其中，所述网络安全设备中的编译策略与所述对端网络安全设备中的编译策略内容相同或相对应，以基于相一致的地址编译原则用于虚拟网络地址的编译。
39.本发明提供的基于虚拟化网络的数据传输方法、系统和网络安全设备，能够在无需断开实际物理线路的情况下实现数据安全有效的传输，有效地防止黑客的入侵攻击，大大提高网络的安全性。
40.本领域技术人员将会理解的是，能够用本发明实现的目的和优点不限于以上具体所述，并且根据以下详细说明将更清楚地理解本发明能够实现的上述和其他目的。
附图说明
41.此处所说明的附图用来提供对本发明的进一步理解，构成本技术的一部分，并不构成对本发明的限定。在附图中：
42.图1为本发明一实施例中基于虚拟化网络的数据传输方法的流程示意图。
43.图2为本发明一实施例中基于虚拟化网络的数据传输处理示意图。
44.图3为本发明一实施例中基于虚拟化网络的数据传输系统的示意图。
45.图4为本发明另一实施例中基于虚拟化网络的数据传输系统的示意图。
46.图5为本发明另一实施例中基于虚拟化网络的数据传输系统的示意图。
47.图6为本发明另一实施例中基于虚拟化网络的数据传输系统的示意图。
具体实施方式
48.为使本发明的目的、技术方案和优点更加清楚明白，下面结合实施方式和附图，对本发明做进一步详细说明。在此，本发明的示意性实施方式及其说明用于解释本发明，但并不作为对本发明的限定。
49.在此，还需要说明的是，为了避免因不必要的细节而模糊了本发明，在附图中仅仅示出了与根据本发明的方案密切相关的结构和/或处理步骤，而省略了与本发明关系不大的其他细节。
50.应该强调，术语“包括/包含/具有”在本文使用时指特征、要素、步骤或组件的存在，但并不排除一个或更多个其它特征、要素、步骤或组件的存在或附加。
51.为了防止网络被黑客的入侵攻击，提高网络的安全性，本发明提供了一种基于虚拟化再生网络的数据传输方法。本发明的方法通过在网关等网络安全设备(简称安全设备)中设置编译器，利用编译器来进行包括虚拟再生网络地址在内的虚拟通信网络信息的编译，其中编译的虚拟再生网络地址不同于实际网络中真实物理设备之间的网络地址，从而在通信发起方和接收方的安全设备之间创建出一个或多个虚拟再生网络，该虚拟再生网络的网络资源为实际网络中所不存在的虚拟网络资源，通信发起方和接收方的安全设备之间的虚拟再生网络可依据ietf和ieee的标准规范，其虚拟的网络地址资源等信息仅在虚拟再生网络两端的安全设备之间进行传输，而不被通信发起方和通信接收方传递或转发。本发明实施例中，虚拟化再生网络指的是通过虚拟化技术实现虚拟网络的不断再生。本发明的基于虚拟化再生网络的数据传输方法不改变原有网络结构、不改变原有网络路由条目、路由转发路径，也可以不改变通讯机制和网络拓扑结构，从而可以在用户无感的情况下提高网络的安全性。在下文中，为了便于描述，虚拟化再生网络可简称为虚拟化网络。
52.图1为本发明一实施例中基于虚拟化网络的数据传输方法的流程示意图。如图1所示，该方法包括以下步骤：
53.步骤s110，位于通信发起方侧的第一安全设备劫持从各通信发起方发送的数据报文，如服务请求报文。
54.更具体地，第一安全设备可利用hook劫持技术通过hook函数来劫持通信发起方发出的数据包。例如可通过劫持全局流量的方式来实现对通信发起方数据包的劫持。由于用于进行数据包的监测和劫持的hook劫持技术为现有成熟技术，在此不再详细描述。
55.在本发明实施例中，通信发起方例如可以是pc、便携式移动终端等客户端，一个第一安全设备可以连接一个客户端，也可以连接多个客户端。通信接收方例如可以是目标服务器，但本发明并不限于此。在一个第一安全设备连接一个客户端的情况下，该第一安全设备可用于对这一个客户端发出的数据包进行劫持，在在一个第一安全设备连接多个客户端的情况下，该第一安全设备可用于对多个客户端发出的数据包均进行劫持。
56.在本发明实施例中，第一安全设备可以是网关(或称网关设备)。除了网关之外，第一安全设备也可以是工业模组或嵌入式芯片等，且本发明不限于此。本发明实施例中，该第一安全设备的物理接口没有ip地址和mac地址，其是靠劫持数据报文来获取发起方发出的数据，并通过路由方式或广播方式将数据发送出去。
57.步骤s120，由第一安全设备基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于该映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用已建立的物理线路基于该虚拟化网络向接收方发送服务请求报文。
58.在实际应用中，可能在通信网络中存在不可信网络，例如，一些机构的专网边界存在公共互联网，如一些单位的不同分支机构和中心之间的专网和专网之间的链接依赖于公共互联网，这种情况下，通过专网传递的数据便有可能被黑客攻击而导致信息泄露。为此，本发明提出在发起方和接收方之间已建立的实际物理线路上采用虚拟化的再生网络来防止黑客的入侵攻击，同时，还可针对不同客户端对服务器的不同访问需求来在服务器和客
户端之间建立不同的多个虚拟化网络，这样，基于服务的完成情况可以灵活地断开多个虚拟化网络中的部分网络而不会导致其他虚拟化网络的断开，也无需断开实际的实际物理线路。
59.更具体地，在本步骤中，第一安全设备通过劫持技术获取了通信发起方的数据包后，可基于预定且预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，并对通信发起方的网络地址进行编译，来产生新的虚拟网络地址，以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用已建立的物理线路基于创建的虚拟化网络向接收方发送服务请求报文。在向接收方发送的服务请求报文中，携带的是发起方和接收方的虚拟网络地址。
60.在此，预先存储的编译策略可以包括发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，该映射关系包括真实ip地址和虚拟ip地址之间的映射关系。
61.在本发明实施例中，第一编译器编译的网络地址包括虚拟化的ip地址段，该虚拟化的ip地址段为从预定的多个候选网络ip地址范围中选择的。该多个候选网络ip地址范围可以包括以下网络ip地址范围中的部分或全部：a类网络ip地址范围、b类网络ip地址范围和c类网络ip地址范围。其中，a类网络ip地址范围为最广的地址范围，其次为b类网络，再次为c类网络。a类网络ip地址范围例如为从1.0.0.0到126.0.0.0的ip地址范围。b类网络ip地址范围例如为从128.0.0.0到191.255.255.255的ip地址范围。c类网络ip地址范围例如为从192.0.0.0到223.255.255.255的ip地址范围。a类网络用8位表示网络号，24位表示主机位；b类网络以16位表示网络，16位表示主机；c类网络用24位表示网络号，8位表示主机位。
62.可以针对各发起方发起的服务请求报文所涉及的具体应用服务，从这几个候选网络ip地址范围中选择的适当网络的ip地址段。例如，针对访问人数可能较多的服务对应的服务请求，编译策略中与真实网络地址对应的虚拟网络地址的地址段例如可以是从a类网络或b类网络ip地址范围中选择的ip地址段；针对访问人数较少的服务对应的服务请求，编译策略中与真实网络地址对应的虚拟网络地址的地址段例如可以是从b类网络或c类网络的ip地址范围中选择的ip地址段。编译器编译生成的ip地址段中的地址不与实际存在的物理线路的ip地址相冲突。
63.在本发明一些实施例中，编译策略中的映射关系还可包括以下映射关系中的至少一种：真实mac地址和虚拟mac地址间的映射关系、真实ip端口与虚拟ip端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系等。在编译策略中的映射关系还包括真实mac地址和虚拟mac地址间的映射关系的情况下，第一编译器编译的虚拟网络地址还可包括虚拟mac地址。当前的mac地址，通常用十六进制数表示，共六个字节(48位)。mac地址通常表示为12个16进制数，每2个16进制数之间用冒号或者横杠隔开，如：48：89：e7：d5：23：7a就是一个mac地址，其中前6位16进制数(即前3个字节，高位24位)代表网络硬件制造商的编号，它由ieee的注册管理机构(registration authority，ra)分配，而后6位16进制数(即后3个字节，低位24位)代表该制造商所制造的某个网络产品(如网卡)的系列号。在本发明实施例中，可以通过预定的编译策略来改变mac地址中的特征字段，从而防止黑客基于mac地址进行入侵攻击。
64.基于编译策略，第一编译器不仅可以对ip地址和mac地址进行编译，还可以编译直连路由、和下一跳路由以及通信服务端口信息，以进一步提高网络安全性。第一编译器通过
对ip地址、mac地址、直连路由和下一跳路由以及通信服务端口等网络信息的编译，可将实际物理网络映射为虚拟网络进行数据传输，这些虚拟化的信息在第一安全设备和第二安全设备之间传递。
65.在第一安全设备编译好虚拟网络地址之后，将包括虚拟网络地址等在内的网络信息重新封装到从发起方劫持得到的数据报文中，来替换原数据报文中的网络地址信息，然后在发起方和接收方之间已建立的物理线路上基于各虚拟网络地址向接收方发送数据报文，可利用发起方和接收方之间已建立的物理线路通过编译后的虚拟化网络利用数据链路层arp寻址广播方式或网络层路由方式将向接收方发送带有所述虚拟网络地址的数据报文。
66.这样，置于发起方和接收方的物理通信链路上的、与接收方的网络端口连接的第二安全设备可以在接收方之前接收到来自第一安全设备的数据包。
67.步骤s130，位于通信接收方侧的第二安全设备接收到来自第一安全设备的服务请求报文后，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析并还原，还原成功后向接收方(如服务器)传送带还原的发起方真实网络地址的数据报文(如服务请求报文)。
68.也即，在第二安全设备利用预先存储的编译策略解析并识别出发起方的真实网络地址后，向接收方(如服务器)传送带还原的发起方网络地址的服务请求报文，使得接收方接收到的是带有发起方真实网络地址(如ip地址和mac地址)的服务请求报文。在本发明实施例中，第二安全设备确认数据报文中携带的虚拟网络信息与编译策略中相应应用服务对应的虚拟网络信息相匹配，则可以成功还原真实网络地址，如果不匹配，则认为还原失败。如果第二安全设备利用存储的编译策略解析发起方的真实网络地址失败，则第二安全设备认为该服务请求报文为非法消息或不可信消息，于是做丢弃处理。
69.服务器接收到数据请求报文后，基于发起方的请求生成要想发起方返回的数据并封装至数据报文中向发起方进行发送。
70.步骤s140，第二安全设备利用劫持技术获取从所述通信接收方向通信发起方返回的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文。
71.该步骤s140与前面步骤s110和步骤s120中第一安全设备对来自发起方的数据报文的处理类似。区别在于是对接收方设备发出的数据报文进行劫持，并对接收方的网络地址进行虚拟化编译。第二安全设备中的编译策略可以与第一安全设备中的编译策略内容相同或相对应，二者基于相一致的地址编译原则用于虚拟网络地址的编译。
72.在第二安全设备编译好虚拟网络地址之后，将包括虚拟网络地址等在内的网络信息重新封装到从接收方劫持到的数据报文中，来替换原数据报文中的网络地址信息，然后利用发起方和接收方之间已建立的物理线路通过编译后得到的虚拟化网络利用数据链路层arp寻址广播方式或网络层路由方式将向发起方发送带有接收方虚拟网络地址的数据报文。该数据报文中以发起方的虚拟化网络地址作为目的地址。
73.第一安全设备可以在发起方之前接收到来自第二安全设备的数据报文。
74.步骤s150，第一安全设备接收到来自第二安全设备的数据后，利用第一编译器基
于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文。
75.如果第一安全设备利用存储的第二解析策略解析接收方的真实网络地址失败，则第一安全设备认为该数据报文为非法消息或不可信消息，于是做丢弃处理。
76.如上所述，通过利用发起方和接收方之间已建立的物理线路在第一安全设备和第二安全设备之间创建虚拟再生网络，可以在第一安全设备和第二安全设备之间利用创建的虚拟再生网络进行数据的传输，从而难以被黑客基于网络地址进行攻击。
77.图2为本发明一实施例中基于虚拟化网络的数据传输处理示意图。如图2所示，作为发起方的客户端pc1的网络接口eth0配置实际的ip地址为172.16.1.1，mac地址为：000fc5056eb0。访问目标方客户端pc2的网络接口eth1配置实际的ip地址为172.16.1.200，mac地址为：f04eda092709。在终端pc1主动发起请求来访问终端pc2的情况下，终端pc1基于预先存储的编译策略通过第一安全设备的编译器来对pc1的虚拟化网络信息进行编译，pc1编译后的虚拟ip地址段为：127.0.0.1/24，虚拟mac为：000000001010；终端pc2基于预先存储的编译策略通过第二安全设备的编译器来对pc2的虚拟化网络信息进行编译，pc2编译后的虚拟ip地址段为127.0.0.200/24，虚拟化mac为：000000001111；在pc1和pc2之间创建了虚拟化网络net1。第一安全设备的编译器使用虚拟化网络地址127.0.0.1/24，虚拟化mac地址000000001010，对终端pc2发起访问，由于pc1的第一安全设备能够基于编译策略中接收方的真实网络信息和虚拟网络信息间的映射关系，因此可以获知pc2的虚拟网络地址，因此消息中携带的目的地址为pc2的虚拟网络地址；当终端pc1要访问终端pc2以外的主机时，第一安全设备的编译器将执行以虚拟ip地址为10.10.10.255的广播策略对外进行通信，防止终端pc1与终端pc2之外进行访问，即将终端pc1的对外广播地址转换为能隔离其他终端的广播地址段。作为示例，终端pc2主动发起请求来访问终端pc1的情况下，终端pc2可基于预先存储的编译策略通过第二安全设备的编译器对pc2的虚拟化网络地址进行编译，pc2编译后的虚拟ip地址段为1.1.1.200/24，虚拟化mac为：000000001111；终端pc1基于预先存储的编译策略通过第一安全设备的编译器对pc1的虚拟化网络地址进行编译，pc1编译后的虚拟ip地址段为：1.1.1.1/24，虚拟化mac为：000000001010，在pc2和pc1之间创建了虚拟化网络net2。当被访问终端pc1通过第一安全设备的编译器创建的虚拟化网络进行通信，第一安全设备的编译器可使用虚拟化网络地址1.1.1.1/24、虚拟化mac地址000000001010，终端pc2作为发起方以虚拟化网络地址1.1.1.200/24，虚拟化mac地址000000001111进行访问；当终端pc1要访问终端pc2以外的终端时，第一安全设备的编译器将执行以虚拟ip地址为10.10.10.255，虚拟化mac地址为000000000000的广播策略对外进行通信，以防止终端pc1被终端pc2之外的终端进行访问。
78.本发明实施例中，为了进一步增强数据传输的安全性，所述发起方和接收方之间传输的数据报文可进一步为经加密的数据报文。
79.利用安全设备(如网关)的编译器可动态地进行虚拟地址的编译，可以基于服务完成情况方便地断开在安全设备之间建立的虚拟网络，也可以基于新的服务建立新的虚拟网络。在现有技术中，如果某项业务需求需要断开网络，则需要断开整条物理线路，从而会影响其他用户的使用，而本发明实施例中，可以无需断开实际的物理线路而仅断开不需要的虚拟网络，从而不影响依赖于该物理线路的其他用户。
80.在现有实际网络中，通联设备都需要物理接口配置有相应的实际ip地址/mac地址才能产生相应的网段路由信息，而本发明实施例中，通过劫持技术来获取数据发起方的数据，因此无需在相应通联设备(本发明中的网关等安全设备)的物理接口配置有相应ip/mac地址，在这种情况下，由安全设备新创建的虚拟化段地址可借助实际物理线路进行广播，在传递到对端应接收方时接收方的安全设备根据虚拟网络地址再还原成物理实际对应的ip/mac地址来还原通讯，对于非接收方将无法还原真实的内部ip/mac地址和会话链接通讯，因此非指定接收方将对此无法欢迎的消息做丢弃处理，由此有效防止了网络设备被黑客攻击。
81.在本发明实施例中，一个或多个通信发起方可连接一个第一安全设备，一个或多个目标接收方(如目标服务器)可连接一个第二安全设备。
82.无论第一安全设备和/或第二安全设备连接有几个终端或服务器，本发明的基于虚拟网络的数据传输方法都可以创建一个或多个虚拟再生网络通过这样的设置，可以为不同的用户或应用服务设置不同的访问权限，从而可以更好的进行业务的监管。
83.图3-图6为本发明不同实施例中基于虚拟化网络的数据传输系统的示意图。
84.其中，图3示出的是一个第一安全设备(网关a)连接多个计算机设备(图中仅示出两个)，且一个第二安全设备(网关b)连接多个服务器(图中仅示出两个)的情况。图3中，基于计算机设备向服务器请求的应用服务的不同，在网关a和网关b之间建立了多个虚拟网络，以基于不同的应用服务来使用相应的虚拟网络进行数据的传输。图3中，第二计算机设备(实际ip地址为172.16.1.1)要访问ip地址为172.16.1.200的视频服务器，用作视频会议应用，网关a可选择在一候选网络ip地址范围192.168.0.0/16内建立虚拟网络1(net1：192.168.10.25/24)，虚拟网络1采用192.168.10.25/24ip地址段进行网关a和网关b之间的虚拟通讯。第一计算机设备(ip地址为172.16.1.10)要访问ip地址为172.16.1.100的邮件服务器，用作邮件服务应用，网关a可选择在一候选网络ip地址范围192.168.0.0/16内建立虚拟网络2(net2：192.168.0.0/16)，采用192.168.0.0/16ip地址段进行网关a和网关b之间的虚拟通讯。
85.图4中示出的是一个第一安全设备(网关a)连接一个计算机设备(客户端)、一个第二安全设备(网关b)连接一个服务器的情况。即便是网关a和网关b仅各自连接一个计算机设备和服务器，但其仍可以创建多个虚拟网络，如图4所示，在一个选定的候选网络ip地址范围内，创建了2个虚拟网络1和2，可以基于计算机设备对服务器的访问时间的不同而创建出两个虚拟网络，也可以基于计算机设备属于不同用户组时对应的访问权限的变化等而创建两个虚拟网络。图5中示出的是一个第一安全设备(网关a)连接多个计算机设备(图中仅示出两个)、一个第二安全设备(网关b)连接一个服务器的情况。图6示出的是一个第一安全设备(网关a)连接一个计算机设备、一个第二安全设备(网关b)连接多个服务器(图中仅示出两个)的情况。如图3-图6所示，第一安全设备和第二安全设备之间可以建立多个并行的虚拟网络。在第一安全设备和第二安全设备之间基于多个通信发起方的服务请求报文创建有多个虚拟化网络的情况下，后建立的虚拟化网络可以为先前已建立的虚拟化网络并列的虚拟化网络，也可以为包含在先前已建立的虚拟化网络中的子虚拟化网络(下一级虚拟化网络)。已创建的虚拟化网络可以被设置为能够访问其子虚拟化网络；但子虚拟化网络被设置为不能访问其上一级虚拟化网络(父级虚拟化网络)。
86.本发明实施例中，依赖同一条物理线路创建了多个虚拟化网络，在通过虚拟化网络的不同网段与物理实际网络中的通讯会话相对应，将实际物理通讯中的不同应用业务或端口进行虚拟化，可以防止因物理网络中的会话劫持、渗透入侵攻击等对虚拟化网络通讯产生影响。
87.与上述方法相应地，本发明还提供了一种基于虚拟化网络的数据传输系统，所述系统包括：位于通信发起方侧的第一安全设备以及和位于通信接收方侧的第二安全设备；其中，所述第一安全设备用于：劫持从通信发起方发送的服务请求报文；基于预先存储的编译策略确定发送方和接收方的真实网络信息和虚拟网络信息间的映射关系，利用第一编译器基于所述映射关系对发起方的网络地址进行编译以在发起方和接收方之间已建立的物理线路上创建虚拟化网络，并利用所述已建立的物理线路基于所述虚拟化网络向接收方发送服务请求报文；接收来自第二安全设备的数据报文，利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原，还原成功后向所述发起方传送带还原的接收方真实网络地址的数据报文；
88.所述第二安全设备用于：劫持从所述通信接收方发送的数据报文，利用第二编译器基于预先存储的编译策略将接收方的网络地址编译为虚拟网络地址，并利用发起方和接收方之间已建立的物理线路基于建立的虚拟化网络向发起方发送带有接收方虚拟网络地址的数据报文；接收来自所述第一安全设备的数据请求报文，利用第二编译器基于预先存储的编译策略对发起方经编译的虚拟网络地址进行解析并还原，还原成功后向所述接收方传送带还原的发起方真实网络地址的服务请求报文。
89.本发明如上描述的基于虚拟化网络的数据传输方法和系统，第一安全设备和第二安全设备在原有物理线路或原有物理线路的新增设备物理接口上并不增加、修改或删除原有ip地址、子网掩码、mac地址、直连路由、下一跳网关路由、域名dns、wins、netbios等信息，而是通过通信两端安全设备的编译器产生虚拟ip地址段、虚拟mac地址、虚拟路由、虚拟通信端口等，而是在已建立的物理线路上在发起方和接收方的安全设备之间创建虚拟化网络，在已建立的物理线路上通过虚拟化网络利用数据链路层arp寻址广播方式或网络层路由方式进行数据传输。本发明不改变原有网络结构、不改变原有网络路由条目、路由转发路径，也可以不改变通讯机制和网络拓扑结构，可以在用户无感的情况下提高网络的安全性。
90.此外，虚拟化网络可多次复写创建，可多次重复利用，实现简单又低成本。
91.与前述方法相应地，本发明还提供了一种基于虚拟化网络的网络安全设备(如网关)，该网络安全设备用于与至少一个第一端通信设备连接，该网络安全设备包括处理器和存储器，所述存储器中存储有计算机指令，所述处理器用于执行所述存储器中存储的计算机指令，当所述计算机指令被处理器执行时实现如下步骤：
92.劫持从所述至少一个第一端通信设备发送的数据报文，利用第一编译器基于预先存储的第一编译策略对各个第一端通信设备的网络地址进行编译而得到各第一端通信设备的虚拟网络地址，以使得基于所述第一端通信设备的虚拟网络地址和与对端通信设备连接的对端网络安全设备针对所述对端通信设备编译得到的所述对端通信设备的虚拟网络地址而构建出一个或多个虚拟再生网络；
93.所述网络安全设备接收来自所述对端通信设备的消息，利用第一编译器基于预先存储的与所述对端网络安全设备的编译策略对应的第一解析策略对所述对端通信设备的
虚拟网络地址进行解析和还原，还原成功后向所述第一端通信设备传送带还原的对端通信设备的网络地址的消息。
94.在客户专用网络或局域网环境中，本发明的网络安全设备自身不会被探测发现、不能被恶意人员通过黑客工具端口扫描、口令破解、系统漏洞挖掘等，具有自身隐蔽性；并且在通信发起侧和接收侧之间加入本发明的网络安全设备不改变原有网络结构、不新增实际的ip/mac地址标识、不改变原有网络路由条目、路由转发路径、通讯机制和网络拓扑结构。
95.本领域普通技术人员应该可以明白，结合本文中所公开的实施方式描述的各示例性的组成部分、系统和方法，能够以硬件、软件或者二者的结合来实现。具体究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
96.还需要说明的是，本发明中提及的示例性实施例，基于一系列的步骤或者装置描述一些方法或系统。但是，本发明不局限于上述步骤的顺序，也就是说，可以按照实施例中提及的顺序执行步骤，也可以不同于实施例中的顺序，或者若干步骤同时执行。
97.本发明中，针对一个实施方式描述和/或例示的特征，可以在一个或更多个其它实施方式中以相同方式或以类似方式使用，和/或与其他实施方式的特征相结合或代替其他实施方式的特征。
98.以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。