本申请公开了一种基于隧道技术的动态安全防护方法及应用。该方法包括在每个跳变网路的对外出口处部署网络跳变设备,在数据发送端,网络跳变设备用于将对外发送的数据包增加包头,并在包头中填充当前时间通信双方的跳变IP地址和跳变端口;在数据接收端,网络跳变设备用于验证从外网接收的数据包中的接收端跳变IP地址和跳变端口是否与本设备当前时间的跳变IP地址和跳变端口一致,若一致则去掉包头,恢复原始数据包。本发明专利技术无论IP地址和端口的跳变空间的如何增长,其数据包的转发效率都不会降低,提高了地址和端口跳变的适用性。提高了地址和端口跳变的适用性。提高了地址和端口跳变的适用性。
【技术实现步骤摘要】
一种基于隧道技术的动态安全防护方法及应用
[0001]本申请涉及网络
,更具体地,涉及一种基于隧道技术的动态安全防护方法及应用。
技术介绍
[0002]随着信息技术的发展,网络攻击手段不断更新,新的病毒、木马以及利用系统漏洞实施的攻击层出不穷。传统的被动网络安全防护利用防火墙、杀毒软件等网络安全设备难以抵御新型的病毒、木马和漏洞攻击。同时,“高价值”网络目标将面临各种目的性强、有组织、专业化的网络攻击,其攻击工具和手段将利用各种已知或未知的系统漏洞来进行攻击,传统的网络安全防护设备将无能为力。
[0003]动态安全防护突破原来“固定死守”的安全系统防护思想,通过不断的变化来增加攻击的难度和代价,提出了容忍安全漏洞的存在,但不允许对方利用的新的安全思想,开启了网络安全防护技术的新途径,并成为网络安全技术发展的趋势。基于SDN的IP地址和端口跳变是动态安全防护领域的重要技术之一,通过对外服务IP地址和端口的不断变化使攻击者难以探测到攻击目标,进而瓦解攻击方形成的网络攻击威胁。
[0004]IP地址和端口跳变范围越大,其动态变化空间就越大,防护效果就越好。但是,更大的变化空间意味着SDN流表显著增长,将会导致数据转发效率降低。
技术实现思路
[0005]针对现有技术的至少一个缺陷或改进需求,本专利技术提供了一种基于隧道技术的动态安全防护方法及应用,无论IP地址和端口的跳变空间的如何增长,其数据包的转发效率都不会降低,提高了地址和端口跳变的适用性。
[0006]为实现上述目的,按照本专利技术的第一个方面,提供了一种基于隧道技术的动态安全防护方法,在每个跳变网路的对外出口处部署网络跳变设备,所述网络跳变设备用于将对外发送的数据包基于隧道技术进行封装处理后发送,所述封装处理包括为数据包增加包头,并在包头中填充当前时间通信双方的跳变IP地址和跳变端口。
[0007]进一步地,基于隧道技术的动态安全防护方法还包括:所述网络跳变设备还用于验证从外网接收的数据包中的接收端跳变IP地址和跳变端口是否与本设备所述当前时间的跳变IP地址和跳变端口一致,若一致则进行隧道解封装处理,去掉包头,恢复原始数据包。
[0008]进一步地,所述通信双方的跳变IP地址和跳变端口的确定包括:
[0009]每个网络跳变设备有唯一的ID标识;
[0010]网络跳变设备根据本设备的ID标识、当前时间和跳变图案,生成本设备所述当前时间的跳变IP地址和跳变端口;
[0011]网络跳变设备查询接收端网络跳变设备的ID标识,根据接收端网络跳变设备的ID标识、当前时间和跳变图案,生成接收端网络跳变设备所述当前时间的跳变IP地址和跳变
端口。
[0012]进一步地,部署各个跳变网络共用的时钟同步设备,各个网络跳变设备从所述时钟同步设备获取时间实现时钟同步。
[0013]进一步地,预先设定映射函数,所述映射函数描述了根据网络跳变设备的ID标识、时间和跳变图案生成本设备跳变IP地址和跳变端口的算法,根据所述映射函数生成本设备所述当前时间的跳变IP地址和跳变端口的算法。
[0014]进一步地,网络跳变设备的ID标识是根据网络跳变设备所在跳变网络的IP地址按照预设方法计算得到的;
[0015]所述查询接收端网络跳变设备的ID标识是根据接收端网络跳变设备所在跳变网络的IP地址计算得到的。
[0016]进一步地,对网络跳变设备所在跳变网络的IP地址网段进行哈希计算得到网络跳变设备的ID标识。
[0017]按照本专利技术的第二个方面,还提供了一种基于隧道技术的动态安全防护系统,在每个跳变网路的对外出口处部署有网络跳变设备,所述网络跳变设备用于将对外发送的数据包基于隧道技术进行封装处理后发送,所述封装处理包括为数据包增加包头,并在包头中填充当前时间通信双方的跳变IP地址和跳变端口。
[0018]进一步地,基于隧道技术的动态安全防护系统还包括:所述网络跳变设备还用于验证从外网接收的数据包中的接收端跳变IP地址和跳变端口是否与本设备所述当前时间的跳变IP地址和跳变端口一致,若一致则进行隧道解封装处理,去掉包头,恢复原始数据包。
[0019]按照本专利技术的第三个方面,还提供了一种存储介质,其存储有可由处理器执行的计算机程序,当所述计算机程序在处理器上运行时,使得处理器执行上述任一项所述方法的步骤。
[0020]总体而言,通过本专利技术所构思的以上技术方案与现有技术相比,能够取得下列有益效果:无论IP地址和端口的跳变空间的如何增长,其数据包的转发效率都不会降低,解决了IP地址/端口的跳变空间和数据包转发效率之间的矛盾,在提高动态安全防护能力的同时,又保证了系统的性能。
附图说明
[0021]为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0022]图1为本申请实施例提供的基于隧道技术的动态安全防护系统的架构图;
[0023]图2为本申请实施例提供的数据包进行隧道封装与解封装的流程示意图;
[0024]图3为本申请另一实施例提供的基于隧道技术的动态安全防护系统的架构图;
[0025]图4为本申请另一实施例提供的添加包头的示意图。
具体实施方式
[0026]为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对
本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。此外,下面所描述的本专利技术各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
[0027]本申请的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及它们任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或模块的过程、方法、系统、产品或设备没有限定于已列出的步骤或模块,而是可选地还包括没有列出的步骤或模块,或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或模块。
[0028]如图1所示,本专利技术实施例的基于隧道技术的动态安全防护系统面向计算网络,每个跳变网络可以是一个独立的数据中心,或是一个独立的内部网络,跳变网络之间通过专用数据通信网络相互连接。每个跳变网络中的应用和服务系统,通过网络跳变设备与外部进行通信,屏蔽数据中心内部的IP地址和端口信息,对外统一提供跳变IP和跳变端口。客户端主机部署在跳变网络中,客户端主机通过应用系统的真实IP地址,直接访问其他跳变网络中的应用服务。
[0029]进一步地,部署各个跳变网络共用的时钟同步设备,各个网络跳变设备从时钟同步设备获取时间实现时钟同步。跳变网络之间通过精准时钟同步设备实现时钟同步,精准时钟同步设备的时钟同步信息通过独立网络进行传输和获取,避免由于时钟不同步导致数据传输中断,而数据传输中断又导致无法传输时本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于隧道技术的动态安全防护方法,其特征在于,在每个跳变网路的对外出口处部署网络跳变设备,所述网络跳变设备用于将对外发送的数据包基于隧道技术进行封装处理后发送,所述封装处理包括为数据包增加包头,并在包头中填充当前时间通信双方的跳变IP地址和跳变端口。2.如权利要求1所述的基于隧道技术的动态安全防护方法,其特征在于,还包括:所述网络跳变设备还用于验证从外网接收的数据包中的接收端跳变IP地址和跳变端口是否与本设备所述当前时间的跳变IP地址和跳变端口一致,若一致则进行隧道解封装处理,去掉包头,恢复原始数据包。3.如权利要求1所述的基于隧道技术的动态安全防护方法,其特征在于,所述通信双方的跳变IP地址和跳变端口的确定包括:每个网络跳变设备有唯一的ID标识;网络跳变设备根据本设备的ID标识、当前时间和跳变图案,生成本设备所述当前时间的跳变IP地址和跳变端口;网络跳变设备查询接收端网络跳变设备的ID标识,根据接收端网络跳变设备的ID标识、当前时间和跳变图案,生成接收端网络跳变设备所述当前时间的跳变IP地址和跳变端口。4.如权利要求1所述的基于隧道技术的动态安全防护方法,其特征在于,部署各个跳变网络共用的时钟同步设备,各个网络跳变设备从所述时钟同步设备获取时间实现时钟同步。5.如权利要求3所述的基于隧道技术的动态安全防护方法,其特征在于,预先设定映射函数,所述映射函数描述了根据网络跳变设...
【专利技术属性】
技术研发人员:付国宾,余奇,胡佳,彭靥,罗颖光,严其飞,李斌,
申请(专利权)人:中国人民解放军国防科技大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。