本发明专利技术提出了一种安全网关联动防护机制、协议及模块,属于网络空间安全领域。本发明专利技术首先网元根据联动防护请求协议和联动防护应答协议进行通信,然后安全网关或安全管理系统中执行联动防护功能,最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。本发明专利技术利用了安全网关之间的互联控制协议的特点,可进行攻击分组的溯源;采用了攻击阻断转移策略,可以分散攻击阻断的任务,平衡安全网关的负载,起到联合防护的作用。
【技术实现步骤摘要】
一种安全网关联动防护机制、协议及模块
本专利技术属于网络空间安全领域,涉及一种安全网关联动防护机制、协议及模块。
技术介绍
目前网络攻击为了隐蔽攻击者,常采用源地址欺骗手段,伪造网络分组,经过一个不真实的路径,攻击目标网络或服务器,导致防护者难以确定攻击者的位置、攻击路径等。而在互联网络中,骨干网络不承担网络攻击分组的检测,放任假源地址的嵌入。随着国家对天地一体化网络启动研究开发建设,天地一体化网络总体方案中融入了信息安全保障的思想和机制,不再采用外部补丁方式保护网络。这种新型的天地一体化网络信息安全保障体系嵌入了“安全接入网关”和“网间安全互联网关”,如图1所示的网络构架,利用安全网关(包括“安全接入网关”和“网间安全互联网关”),认证用户终端,监控网络分组,检测网络攻击,阻断异常通信分组。在上述大的技术背景下,拟改变传统分组网络防护方式,包括不局限于在受害者附近被动防护,促进安全网关之间的互动,加强安全网关自身的攻击防护研判能力,产生一定的分组溯源能力,实现网络的主动防护和任务分散,平衡安全网关的负载。
技术实现思路
针对目前存在的问题和需求,本专利技术提出了一种安全网关联动防护机制、协议及模块,通过本专利技术,安全网关自身可以实现安全网关之间相互信息通信,通过对攻击路径判断,部署多安全网关联合防护,突破传统单一安全网关防护攻击的单薄环节,使多个安全网关分担攻击阻断任务,从源头上开始遏制网络攻击的繁衍,极大化防护能力。本专利技术提供的安全网关联动防护协议,是安全网关之间或者安全网关与安全管理系统之间的通信协议。安全网关联动防护协议包括联动防护请求协议和联动防护应答协议。联动防护请求协议包括IP包头、UDP包头和CA信息三部分。其中,CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址,其意义分别为:CA请求协议类型:0000:无意义;0001:请求;溯源标志:00:不溯源;01:溯源;阻断标志:00:不阻断;01:阻断;阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包。阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包。安全网关联动防护应答协议同样包括IP包头、UDP包头和CA信息。其中,CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址,分别表示为:CA应答协议类型:0002:阻断应答;0003:溯源应答;溯源应答:00:不成功;01:成功;阻断应答:00:不成功;01:成功。本专利技术提供的安全网关联动防护控制模块,简称联防模块,包括如下子模块:通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块。所述的联防模块被设置在安全网关和安全管理系统中。所述的通信模块,采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理系统之间的通信通信。所述的阻断请求模块,用于安全网关或安全管理系统向另外一个安全网关发出阻断网络分组的请求。所述的阻断应答模块,用于安全网关向请求方应答阻断成功与否,告知请求方阻断是否成功、溯源是否成功。所述的溯源模块,用于安全网关寻找网络事件发起者,向另外一个安全网关发出阻断网络分组的请求。所述的协议处理模块,用于解析协议,实现协议中通信多方会话,完成信息安全传输,对协议规定外的异常行为,通知联动防护管理模块,进行异常处理。所述的检测研判与控制模块,用于完成协议运行前的预处理操作以及协议完成后的功能控制跳转操作。所述的阻断模块,用于安全网关通信分组阻断。所述的联动防护管理模块,实现安全策略的动态配置和按需配置,提供人机交互功能。本专利技术提供的安全网关联动防护机制,指通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。所述的安全网关联动防护机制包括如下:(1)定义一种网间互联安全控制协议,简称互联控制协议,是实现多域通信的一种控制协议,包含协议溯源信息、认证状态信息、签名信息等,能够被安全网关识别并加以安全控制。设网互联控制协议特征表示为:P={fi,fj,v,p}其中,fi为源网关地址,fj为目的网关地址,p为分组特征描述,v为用于验签的签名;v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,表示为:v=vf(fi)p简化表示成:p={s,d,o}其中,s为分组源地址,d为分组目的地址,o为可选项。(2)阻断分组p的操作可以在安全网关fi或fj上部署。假设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,则一种阻断转移操作表示如下:d(fj,p)→d(fi,p)=0/1该公式指阻断分组p的操作从安全网关fj转移到fi。其中,0表示阻断转移失败,1表示阻断转移成功。(3)利用互联控制协议,安全网关fj对分组p进行溯源,表示为:其中,0表示溯源失败,fi为溯源成功,并找到源安全网关为fi。q表示阻断表中的一个分组特征。(4)设f1,f2,…,fn为受害者附近直接关联安全网关,f0为受害者地址,p为攻击包,联动防护机制的执行过程为:①初始设置i=0,j=1;②进行阻断操作;(2.1)如果d(fi,p)→d(fj,p)=0,则设置j自增1;(2.2)如果j≤n,则转(2.1)执行,,否则终止阻断操作;;③在阻断的同时,进行溯源操作;对分组p进行溯源,如果S(fj,P,q)=0,则终止溯源;如果S(fj,P,q)=fk,则则转移阻断指令,执行d(fj,p)→d(fk,p)。本专利技术的优点以及带来的有益效果在于:(1)本专利技术的安全网关联动防护机制,利用了安全网关之间的互联控制协议的特点,可进行攻击分组的溯源。(2)本专利技术的安全网关联动防护机制,采用了攻击阻断转移策略,可以分散攻击阻断的任务,起到联合防护的作用。(3)本专利技术提出了一种安全网关联动防护协议,可实现安全网关之间完成攻击阻断任务的通信。(4)本专利技术的安全网关联动防护机制及模块,极小化了网络安全的开销,突破了传统单一安全网关防护攻击的单薄环节,使多个安全网关分担攻击阻断任务,从源头上开始遏制网络攻击的繁衍,极大化防护能力,实现网络的主动防护和任务分散,平衡安全网关的负载。附图说明图1是嵌入安全接入网关和网间安全互联网关的新型网络构架;图2是本专利技术安全网关联动防护请求协议定义的示意图;图3是本专利技术安全网关联动防护应答协议定义的示意图;图4是本专利技术安全网关联动防护模块结构图;图5是本专利技术安全网关联动防护机制执行效果图。具体实施方式下面将结合附图,对本专利技术安全网关联动防护机制、协议及模块实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例也仅仅是本专利技术的一部分实施例,而不是全部实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术的技术方案中,首先网元根据联动防护请求协议和联动防护应答协议进行通信,然后安全网关或安全管理系统中执行联动防护功能,最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行本文档来自技高网...
【技术保护点】
一种安全网关联动防护协议,用于安全网关之间或者安全网关与安全管理系统之间的通信;其特征在于,所述的协议包括联动防护请求协议和联动防护应答协议;联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:CA请求协议类型:0000:无意义;0001:请求;溯源标志:00:不溯源;01:溯源;阻断标志:00:不阻断;01:阻断;阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,CA应答协议类型:0002:阻断应答;0003:溯源应答;溯源应答:00:不成功;01:成功;阻断应答:00:不成功;01:成功。
【技术特征摘要】
1.一种安全网关联动防护协议,用于安全网关之间或者安全网关与安全管理系统之间的通信;其特征在于,所述的协议包括联动防护请求协议和联动防护应答协议;联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:CA请求协议类型:0000:无意义;0001:请求;溯源标志:00:不溯源;01:溯源;阻断标志:00:不阻断;01:阻断;阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,CA应答协议类型:0002:阻断应答;0003:溯源应答;溯源应答:00:不成功;01:成功;阻断应答:00:不成功;01:成功。2.一种基于权利要求1所述的协议的安全网关联动防护控制机制,其特征在于,包括:(1)定义一种网间互联安全控制协议,包含协议溯源信息、认证状态信息、签名信息,能被安全网关识别并加以安全控制;设网间互联安全控制协议特征表示为:P={fi,fj,v,p}其中,fi为源网关地址,fj为目的网关地址,p为分组特征描述,v为用于验签的签名;v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,表示为:v=vf(fi)p简化表示成:p={s,d,o}其中,s为分组源地址,d为分组目的地址,o为可选项;(2)阻断分组p的操作能在安全网关fi或fj上部署,设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,给出一种阻断转移操作表示为:d(fj,p)→d(fi,p)=0/1该式表示将阻断分组p的操作从安全网关f...
【专利技术属性】
技术研发人员:陆月明,王燕龙,陈小雨,
申请(专利权)人:北京邮电大学,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。