本公开提供一种实现网络动态性的方法、系统、终端设备及储存介质,所述处理方法包括:请求方发起域名系统请求后,请求被转发至安全控制中心,安全控制中心从请求方和待请求方IP地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送至各自的安全模块;请求方安全模块将请求方发送的数据包的源地址变换为动态源IP地址后发送至待请求方安全模块,待请求方安全模块在校验数据包的源地址和目的地址分别与动态源IP地址和动态目的IP地址一致后,将数据包转发至待请求方。本公开实施例使虚拟机源IP和目的IP都是动态变化的,且只有此动态的源IP和目的IP的数据包才允许发送,很好的保障了平台的安全。
【技术实现步骤摘要】
实现网络动态性的方法、系统、终端设备及存储介质
本公开涉及通信
,更具体地,涉及一种实现网络动态性的方法,一种实现网络动态性的系统,一种终端设备,以及一种计算机可读存储介质。
技术介绍
云计算(CloudComputing)是指基于互联网的超级计算模式,即把原来在本地计算机或远程服务器中的计算,通过网络分布在大量计算机上进行协同工作完成,云计算平台基于虚拟化技术,在物理机上通过虚拟化软件创建若干台虚拟机,同时也创建若干虚拟交换机,供虚拟机之间以及虚拟机与外部网络之间进行通信。每台虚拟机分配有IP(InternetProtocol,网际互连协议)地址,IP地址一经分配,就基本固定,一段时间内不会变化。在云计算平台上,当黑客发起攻击时,首先会试图查找网络上的虚拟机。由于虚拟机的IP地址相对固定,因此黑客可以通过逐个扫描的方式来发现网络中的虚拟机,也可以通过网络抓包的方式获取网络上的数据包,通过数据包的IP地址判断有哪些虚拟机在网络上。一旦发现新的虚拟机IP地址,黑客就会针对此IP地址展开新一轮攻击。借助移动目标防御的思路,云计算平台上的一种防御方式是使虚拟机IP地址动态化,即访问虚拟机的IP地址是持续变换的,不能用固定的IP地址来访问虚拟机。黑客无法获取虚拟机的动态IP地址,因而无法进行攻击。但在相关技术中,使虚拟机IP地址动态化的移动目标防御首先需要在服务器前设置特定的防火墙,同时要改造DNS(DomainNameSystem,域名系统)服务器,而且只能保护防火墙内的服务器,无法对云计算平台上的虚拟机进行全面的保护。
技术实现思路
本公开提供了一种实现网络动态性的方法、系统、终端设备及计算机可读存储介质,以提供一种可以实现网络动态性的保护机制。根据本公开实施例的一个方面,提供一种实现网络动态性的方法,包括:在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。根据本公开实施例的另一方面,提供一种实现网络动态性的系统,包括:安全控制中心和安全模块;所述安全模块设置为,在请求方发起域名系统请求以访问待请求方后,将所述域名系统请求发送到安全控制中心;所述安全控制中心设置为,根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;所述安全模块还设置为,在处于请求方一端时,将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方一端的安全模块,所述数据包的目的地址为所述动态目的IP地址;以及在处于待请求方一端时,在接收到请求方的安全模块发送的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。根据本公开实施例的又一方面,提供一种终端设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上所述的实现网络动态性的方法。根据本公开实施例的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行如上述的实现网络动态性的方法。本公开实施例提供的技术方案可以包括以下有益效果:本公开实施例提供的实现网络动态性的方法、系统、终端设备及计算机可读存储介质,通过设置安全模块和安全控制中心,使云计算平台上虚拟机访问其他虚拟机时,源IP和目的IP都是动态变化的,且只有包含此动态变化的源IP和目的IP的数据包才允许发送给目的虚拟机。因此,黑客扫描网络时,无法获得虚拟机可访问的IP地址,不能访问云计算平台上的虚拟机,因而无法实施攻击。即使通过网络抓包获得的源IP和目的IP地址,也无法完成配对访问虚拟机,因而也无法实施攻击。并且本公开不需要修改DNS服务器,就能够同时实现数据包源地址和目的地址的动态化,保护整个云计算平台上所有的虚拟机,起到更好的保护作用。附图说明附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。图1为本公开实施例提供的一种实现网络动态性的方法的流程图图2为本公开实施例提供的另一种实现网络动态性的方法的流程图;图3为本公开实施例提供的一种DNS返回动态IP地址的过程示意图;图4为本公开实施例提供的一种网络数据包发送过程的示意图;图5为本公开实施例提供的一种网络数据包应答过程的示意图;图6为本公开实施例提供的一种DNS返回静态IP地址的过程的示意图;图7为本公开实施例提供的一种实现网络动态性的系统的架构图;图8为本公开实施例提供的另一种实现网络动态性的系统的架构图;图9为本公开实施例提供的一种安全控制中心的架构图;图10为本公开实施例提供的一种安全模块的架构图;图11为本公开实施例提供的一种终端设备的架构图。图12为本公开另一实施例提供的一种实现网络动态性的方法的流程图。具体实施方式为使本领域技术人员更好地理解本公开的技术方案,下面结合附图和实施例对本公开作进一步详细描述。应当理解的是,此处所描述的具体实施方式仅设置为说明和解释本公开,并不设置为限制本公开。需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。其中,在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚的表示其他含义。在云计算平台或局域网网络中,网络防御技术一般包括杀毒软件技术、入侵检测技术、数据加密技术等,在一定程度上保护了内网的安全。但是,由于现有网络的拓扑信息的静态性,攻击者往往有充足的时间分析内网架构和网络地址信息,从而逐步渗透内网,达到攻击目标。大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问,而且所有的网络对于内部的扫本文档来自技高网...
【技术保护点】
1.一种实现网络动态性的方法,其特征在于,包括:/n在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;/n所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;/n请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;/n待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。/n
【技术特征摘要】
1.一种实现网络动态性的方法,其特征在于,包括:
在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;
所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;
待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述请求方的安全模块接收由所述待请求方返回并由所述待请求方的安全模块转发的应答包,所述应答包的源地址被所述待请求方的安全模块变换为所述目的动态IP地址,目的地址为所述动态源IP地址;以及,
所述请求方的安全模块将所述应答包的目的地址变换为所述请求方的真实IP地址,并将变换后的应答包转发至所述请求方。
3.根据权利要求1所述的方法,其特征在于,在请求方发起域名系统请求之后,还包括:
所述请求方的安全模块判断所述域名系统请求中的域名是否为外部域名;若是,则所述请求方安全模块将所述域名系统请求转发至域名系统对应的服务器;否则,所述请求方的安全模块将所述域名系统请求转发至所述安全控制中心。
4.根据权利要求1所述的方法,其特征在于,在请求方的安全模块将所述域名系统请求转发至安全控制中心后,还包括:
若所述请求方安全模块接收到所述安全控制中心发出的外部域名指示命令,则将所述域名系统请求转发至域名系统对应的服务器;其中,所述外部域名指示命令为所述安全控制...
【专利技术属性】
技术研发人员:马苏安,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。