一种安全网关联动防护机制、协议及模块制造技术

本发明专利技术提出了一种安全网关联动防护机制、协议及模块，属于网络空间安全领域。本发明专利技术首先网元根据联动防护请求协议和联动防护应答协议进行通信，然后安全网关或安全管理系统中执行联动防护功能，最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程，完成对网络攻击的阻断，起到对服务器和网络进行防护的机制。本发明专利技术利用了安全网关之间的互联控制协议的特点，可进行攻击分组的溯源；采用了攻击阻断转移策略，可以分散攻击阻断的任务，平衡安全网关的负载，起到联合防护的作用。

【技术实现步骤摘要】
一种安全网关联动防护机制、协议及模块
本专利技术属于网络空间安全领域，涉及一种安全网关联动防护机制、协议及模块。
技术介绍
目前网络攻击为了隐蔽攻击者，常采用源地址欺骗手段，伪造网络分组，经过一个不真实的路径，攻击目标网络或服务器，导致防护者难以确定攻击者的位置、攻击路径等。而在互联网络中，骨干网络不承担网络攻击分组的检测，放任假源地址的嵌入。随着国家对天地一体化网络启动研究开发建设，天地一体化网络总体方案中融入了信息安全保障的思想和机制，不再采用外部补丁方式保护网络。这种新型的天地一体化网络信息安全保障体系嵌入了“安全接入网关”和“网间安全互联网关”，如图1所示的网络构架，利用安全网关(包括“安全接入网关”和“网间安全互联网关”)，认证用户终端，监控网络分组，检测网络攻击，阻断异常通信分组。在上述大的技术背景下，拟改变传统分组网络防护方式，包括不局限于在受害者附近被动防护，促进安全网关之间的互动，加强安全网关自身的攻击防护研判能力，产生一定的分组溯源能力，实现网络的主动防护和任务分散，平衡安全网关的负载。
技术实现思路
针对目前存在的问题和需求，本专利技术提出了一种安全网关联动防护机制本文档来自技高网...

【技术保护点】
一种安全网关联动防护协议，用于安全网关之间或者安全网关与安全管理系统之间的通信；其特征在于，所述的协议包括联动防护请求协议和联动防护应答协议；联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分；其中，联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址；其中，各字段取值及意义为：CA请求协议类型：0000：无意义；0001：请求；溯源标志：00：不溯源；01：溯源；阻断标志：00：不阻断；01：阻断；阻断目的IP地址：某个IP地址，若数据包目的IP地址与阻断目的IP地址相同，则阻断该数据包；阻断源IP地址：某个IP地址，...

【技术特征摘要】
1.一种安全网关联动防护协议，用于安全网关之间或者安全网关与安全管理系统之间的通信；其特征在于，所述的协议包括联动防护请求协议和联动防护应答协议；联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分；其中，联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址；其中，各字段取值及意义为：CA请求协议类型：0000：无意义；0001：请求；溯源标志：00：不溯源；01：溯源；阻断标志：00：不阻断；01：阻断；阻断目的IP地址：某个IP地址，若数据包目的IP地址与阻断目的IP地址相同，则阻断该数据包；阻断源IP地址：某个IP地址，若数据包源IP地址与阻断目的IP地址相同，则阻断该数据包；联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址；其中，CA应答协议类型：0002：阻断应答；0003：溯源应答；溯源应答：00：不成功；01：成功；阻断应答：00：不成功；01：成功。2.一种基于权利要求1所述的协议的安全网关联动防护控制机制，其特征在于，包括：(1)定义一种网间互联安全控制协议，包含协议溯源信息、认证状态信息、签名信息，能被安全网关识别并加以安全控制；设网间互联安全控制协议特征表示为：P＝{fi,fj,v,p}其中，fi为源网关地址，fj为目的网关地址，p为分组特征描述，v为用于验签的签名；v是一个验证fi的函数，用于验证包是否是来自安全网关fi，而不是伪造的，表示为：v＝vf(fi)p简化表示成：p＝{s,d,o}其中，s为分组源地址，d为分组目的地址，o为可选项；(2)阻断分组p的操作能在安全网关fi或fj上部署，设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示，给出一种阻断转移操作表示为：d(fj,p)→d(fi,p)＝0/1该式表示将阻断分组p的操作从安全网关f...

【专利技术属性】
技术研发人员：陆月明，王燕龙，陈小雨，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京,11