一种基于三维的IP地址跳变图案生成方法及跳变控制器技术

本发明专利技术适用于网络信息安全领域，提供一种基于三维的IP地址跳变图案生成方法及跳变控制器，本发明专利技术技术方案实现了跳变时间、主机地址、局域网交换设备WAN口信息的三维跳变图案框架，具体提供了一种跳变图案同步生成的机制和算法，提供了主机地址生成模型，实现了各跳变控制器的跳变图案生成密钥的同步，同时保证跳变图案生成密钥的安全性，另外，在优选方案中，提供了紧急状态下的同步机制，满足主动防御中IP地址动态变化的高安全性。

【技术实现步骤摘要】

本专利技术属于网络信息安全领域，涉及主动目标防御中IP地址跳变通信，尤其涉及一种基于三维的IP地址跳变图案生成方法及跳变控制器。
技术介绍
主动目标防御是近年来的一项重要安全防护技术，该技术不同以往的网络安全研究思路，它并不追求完善无暇的系统对抗攻击，而是移动要保护的对象(如主机IP地址、端口等)来达到防护目标的目的，通过不断的变化(或跳变)来增加攻击的难度和代价。在基于IP地址跳变的通信过程中，如何保证通信双方IP地址信息的同步是系统能否运行的关键，这就要求有类似于跳频通信中的跳频图案来保证双方通信的同步。目前还未见具体涉及跳变图案生成和同步的技术方案，不能满足实际系统应用的要求。因此需要一种能够实现较高安全性和可用性的跳变图案生成方法及主机地址生成方法。
技术实现思路
鉴于上述问题，本专利技术的目的在于提供一种基于三维的IP地址跳变图案生成方法及跳变控制器，为实现IP地址跳变的各通信方提供一种高安全性跳变图案生成方案。一方面，所述三维的IP地址跳变图案生成方法包括下述步骤：跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段；跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN口轴；跳变控制器生成本局域网的同步KEY值；各跳变控制器将其KEY值同步至邻居跳变控制器；各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。另一方面，所述跳变控制器包括：信息接收单元，用于接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段；模型生成单元，用于根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN口轴；KEY值计算单元，用于生成本局域网的同步KEY值；KEY值同步单元，用于将所述KEY值同步至邻居跳变控制器；地址样本生成单元，用于根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；图案生成单元，用于基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。本专利技术的有益效果是：本专利技术技术方案实现了跳变时间、主机地址、局域网交换设备WAN口信息的三维跳变图案框架，具体提供了一种跳变图案同步生成的机制和算法，提供了主机地址生成模型，实现了各跳变控制器的跳变图案生成密钥的同步，同时保证跳变图案生成密钥的安全性，另外，在优选方案中，提供了紧急状态下的同步机制，满足主动防御中IP地址动态变化的高安全性。附图说明图1是地址跳变通信模型；图2是本专利技术第一实施例提供的三维的IP地址跳变图案生成方法的流程图；图3是三维跳变图案框架的示意图；图4是服务器主机IP地址生成示意图；图5是服务器主机IP地址生成流程图；图6是图案填充示意图；图7是最终跳变图案的示意图；图8是本专利技术第二实施例提供的跳变控制器的结构框图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。本专利技术技术方案主要是提供了一种生成三维的IP地址跳变图案的技术方案，基于图1所示的地址跳变通信模型，所述跳变控制器上游连接有用户配置和管理终端(图中未示出)，每个跳变控制器连接一个局域网，即图示中所示的可信内网，局域网内有多台服务器以及交换设备，交换设备有2个或多个WAN(Wide Area Network，广域网)口，不同的跳变控制器之间跳变图案需同步，保证各通信方的正常跳变通信。为了说明本专利技术所述的技术方案，下面通过具体实施例来进行说明。实施例一：图2示出了本专利技术实施例提供的三维的IP地址跳变图案生成方法的流程，为了便于说明仅示出了与本专利技术实施例相关的部分。步骤S1、跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段。首先，用户配置和管理终端下发新增地址跳变图案的请求信息，其中所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段。所述图案ID用于唯一标识一个跳变图案，这样通过图案ID可以区分存放于跳变控制器中多个跳变图案。所述跳变频率用来标识跳变的时间周期，每隔多长时间进行更换一次主机地址。跳变主机网段用来指定主机地址的范围，目前支持三种网段1-64、1-128、1-254。所有WAN口网段，标识了所有局域网可用的WAN口网段。这里WAN口1-1和WAN口1-2分别代表局域网1的两个WAN口网段，WAN口2-1和WAN口2-1则代表局域网2的两个WAN口网段。步骤S2、跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN口轴。如图3所示的三维跳变图案框架，其中根据下发的请求信息中的网段1-64/1-128/1-254/来设置主机地址轴，根据根据下发的请求信息中的跳变频率来设置时间周期轴，假设跳变频率为t0，t0＝2秒，图示中跳变时间轴的长度为100t0；根据根据根据下发的请求信息中可跳变的所有局域网交换设备的WAN口信息来设置WAN口轴。然后开始准备生成具体值，即填充图案。步骤S3、跳变控制器生成本局域网的同步KEY值。所述KEY值为跳变控制器的密钥，需要同步至各个跳变控制。具体包括下述步骤：S31、获取当前系统时间。每个局域网的跳变控制器都取当前系统时间，格式为“YYYYMMDD-hhmmsss”YYYY：年代，如2015MM：月份，如12DD：天，如30hh：小时，如12mm：分钟，如23sss：毫秒，如123S32、根据随机数算法随机生成一个与所述系统时间位数相同的随机数。S33、将所述随机数与所述系统时间按位异或运算生成一个二进制格式串。根据随机数算法生成一个随机数X(这里所述X为128位二进制格式)，和上述获取到的系统时间(系统时间为字符串，需要转成二进制格式，128位)进行异或运算后生成一个新二进制格式串。S34、所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。采用MD5算法，将上述生成的二进制串作为算法输入，得到一个128位的摘要码，则这个摘要码就作为当前本局域网服务器主机所使用的同步Key值。生成公式如下：KEY＝MD5((ToBitValue(“YYYYMMDD-hhmmsss”))⊙X)，这里⊙表示异或运算，ToBitValue()表示将字符串转成二进制格式，MD5()表示进行MD5算法运算。生成的KEY值为一个128位的MD5摘要二进制串。步骤S4、各跳变控制器将其KEY值同步至邻居跳变控制器，不限制带内或带外通道。步骤S5、各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值本文档来自技高网...

【技术保护点】
一种基于三维的IP地址跳变图案生成方法，其特征在于，所述方法包括：跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段；跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN口轴；跳变控制器生成本局域网的同步KEY值；各跳变控制器将其KEY值同步至邻居跳变控制器；各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。

【技术特征摘要】
1.一种基于三维的IP地址跳变图案生成方法，其特征在于，所述方法包括：跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段；跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN口轴；跳变控制器生成本局域网的同步KEY值；各跳变控制器将其KEY值同步至邻居跳变控制器；各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。2.如权利要求1所述方法，其特征在于，所述跳变控制器生成本局域网的同步KEY值步骤，具体包括：获取当前系统时间；根据随机数算法随机生成一个与所述系统时间位数相同的随机数；然后将所述随机数与所述系统时间按位异或运算生成一个二进制格式串；将所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。3.如权利要求2所述方法，其特征在于，所述各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本步骤，具体包括：针对每个跳变控制器，将所有跳变控制器的KEY值以及本地噪音常量统一进行异或运算，得到一个中间值；将所述中间值作为输入，通过MD5算法计算得到一个二进制串，该二进制串作为本次生成跳变图案的主机地址样本。4.如权利要求3所述方法，其特征在于，所述基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案步骤，具体包括：根据网段确定当前样本地址的提取位数Q；计算提取样本位置P1＝t/t0,其中t为当前的跳变时间，t0为跳变周期；在所述主机地址样本中从第P1位开始的Q各比特位作为当前跳变时间t的主机跳变样本Nt；根据所述主机跳变样本Nt，为每个需跳变的服务器的可用WAN口网段分配一个IP地址，并着色填充至当前的跳变时间t的该服务器主机的跳变图案中，分配规则如下：将主机跳变样本Nt作为第一个服务器主机的IP地址，然后将Nt首尾循环移动一位，将新的主机跳变样本作为第二个服务器主机的IP地址，依次循环移位，直至所有需跳变的服务器均分配一个IP地址；当所有图案着色完毕后，得到最终的跳变图案。5.如权利要求4所述方法，其特征在于，所述跳变控制器中内置有默认跳变图案，所述默认跳变图案由指定的网段、指定的各WAN口、指定的跳变时间以及本地噪音常量生成，所述默认跳变图案仅在所有新跳变图案无法创建时使用；另外在紧急情况下，执行复位跳变后，也可强制使用默认跳变图案进...

【专利技术属性】
技术研发人员：刘建国，付国宾，余奇，李晓，王骁勇，郭马坤，
申请(专利权)人：中国人民解放军国防信息学院，
类型：发明
国别省市：湖北;42