【技术实现步骤摘要】
本专利技术属于网络安全,尤其涉及一种安全寻址方法及系统。
技术介绍
1、在传统的通信网络中,端到端之间的信息交互需要一端系统获取另一端的ip地址。为了实现这个目的,通常采用域名转换技术,全球范围内建立了第三方的域名系统。目标端系统会将自己的服务地址(例如,www.hello.com/media)向全社会公开,这些服务地址通常长期保持不变;即便需要更新服务地址,服务提供商也会尽可能地让所有人知道服务地址的变化。同时,服务提供商会将服务地址和ip地址的映射信息注册到第三方的域名系统中。当端系统想要访问某个目标端系统时,它会利用已知的服务地址向域名系统请求端系统的ip地址,然后利用返回的ip地址与目标端系统建立通信连接。
2、然而,这个过程中暴露出的端系统ip地址易被攻击者利用,进行指纹扫描、漏洞挖掘、拒绝服务、漏洞利用等攻击。因此,服务提供商通常使用nat、服务代理网关等技术,只暴露公共ip地址池,而不是端系统的ip地址,并由nat或服务代理网关管理公共ip地址池与端系统ip地址的映射。尽管如此,还需要引入防火墙、入侵检测等设备,对访问端系统的行为进行阻断和筛查,防止使用公共ip地址池进行端系统指纹探测。然而,这种方法存在以下弊端与不足:
3、(1)地址隐私保护不够有效:现有方法主要通过提供公共ip地址池来避免暴露端系统的ip地址,但这种方法会增加设施维护成本。对于一些小型服务提供商来说,这种成本是无法接受的,因此他们通常选择不使用地址隐私保护方法,这导致了地址隐私保护无法得到有效的保障。地址隐私保护应该是由
4、(2)地址防泄露机制联动性差:现有的地址信息防泄漏机制主要由一系列的安全措施共同实施,这些安全措施是在网络基础之上添加或扩展的。由于这些安全措施并没有与网络一体化设计,网络自身严格要求端系统必须获取目标ip地址,因此端系统只能采取防堵措施来防止地址泄露。这就要求所有参与的设备类型、配置策略都必须正确。一旦安全机制有任何弱点,就极易导致地址泄露。
技术实现思路
1、本专利技术提出一种安全寻址方案,以解决现有的端系统地址防泄漏机制在地址隐私无法得到有效保护、地址防泄露机制联动性差的技术问题。
2、本专利技术第一方面公开了一种安全寻址方法。所述方法包括:
3、步骤s1、部署安全寻址系统;其中:
4、所述安全寻址系统包括客户端代理、边缘路由器和标识映射服务器,所述客户端代理被部署在端系统上,一个端系统对应一个客户端代理,所述边缘路由器被部署在所述端系统所属的网络侧;
5、步骤s2、所述客户代理端向所述标识映射服务器注册服务地址;具体包括:
6、步骤s2-1、所述客户代理端获取其所在的端系统的ip地址,以及其所在的端系统所提供的应用服务的服务地址,将所述ip地址和所述服务地址封装为地址注册消息,发送所述地址注册消息至所述边缘路由器;
7、步骤s2-2、所述边缘路由器接收到所述地址注册消息,从中解析出所述ip地址和服务地址,并获取所述边缘路由器自身的路由地址,生成三组映射表项,包括:
8、第一映射表项:ip地址-路由地址;
9、第二映射表项:bihash(服务地址)-路由地址;
10、第三映射表项:ip地址-bihash(服务地址);
11、其中,bihash()表示双向哈希函数,bihash(服务地址)=hash(服务地址)+hash(re(服务地址)),hash()表示哈希函数,re(服务地址)表示将所述服务地址进行反序处理;
12、步骤s2-3、所述边缘路由器将所述第二映射表项和所述第三映射表项封装为标识映射通告消息,并向所述标识映射服务器发送所述标识映射通告消息;
13、步骤s2-4、所述标识映射服务器接收到所述标识映射通告消息,从中解析出所述第二映射表项和所述第三映射表项,在本地查询所述第二映射表项和所述第三映射表项;其中:
14、若查询命中,则更新所述标识映射服务器中查询到的映射表项的修改时间,向所述边缘路由器发送标识映射确认消息
15、若查询未命中,则将所述第二映射表项和所述第三映射表项写入标识映射服务器并记录当前写入时间,向所述边缘路由器发送所述标识映射确认消息;
16、步骤s2-5、所述边缘路由器接收到所述标识映射确认消息,表明所述服务地址已成功注册至所述标识映射服务器,将所述第一映射表项写入所述边缘路由器,并向所述客户端代理发送地址确认消息。
17、根据本专利技术第一方面的方法,所述方法还包括:步骤s3、位于第一网络侧的端系统a向位于第二网络侧的端系统b发送数据报文;具体包括:
18、步骤s3-1、所述端系统a根据其自身的地址类型生成用户报文,所述用户报文经由所述端系统a的客户端代理a1被发送至所述端系统a侧的边缘路由器a2;
19、其中,所述用户报文的目的地址为bihash(服务地址2),所述服务地址2表示所述端系统b所提供的应用服务的服务地址;
20、步骤s3-2、所述边缘路由器a2接收到用户报文后,从中解析出所述用户报文的目的地址为bihash(服务地址2),将bihash(服务地址2)封装成路由地址请求消息,发送至所述标识映射服务器;
21、步骤s3-3、标识映射服务器接收到路由地址请求消息,解析出bihash(服务地址2),在本地预先注册的各个映射表项中查询bihash(服务地址2),将查询结果封装为路由地址应答消息发送给所述边缘路由器a2;其中:
22、所述端系统b的客户端代理b1向所述标识映射服务器预先注册所述端系统b所提供的应用服务的服务地址2,所述标识映射服务器中存储有所述端系统b的第二映射表项:bihash(服务地址2)-路由地址2,以及所述端系统b的第三映射表项:ip地址2-bihash(服务地址2),所述路由地址2表示所述端系统b所属的网络侧的边缘路由器b2的路由地址,所述ip地址2表示所述端系统b的ip地址;
23、所述查询结果包括与bihash(服务地址2)对应的ip地址2和路由地址2;
24、步骤s3-4、边缘路由器a接收到所述路由地址应答消息后,解析出所述查询结果中的ip地址2和路由地址2,基于所述ip地址2、所述路由地址2和所述用户报文生成路由报文,将所述路由报文发送至所述边缘路由器b2;
25、其中,所述路由报文的源地址为路由地址1,所述路由地址1表示所述边缘路由器a1的路由地址,所述路由报文的目标地址为所述路由地址2,所述路由报文的载荷为所述用户报文;
26、步骤s3-5、所述边缘路由器b2接收到所述路由报文后,解析出所述用户报文,所述边缘路由器b2在本地预先存储有所述端系统b的第三映射表项:ip地址2-路由地址2,以路由地址2为查询关键词,从所述端系统b的第三映射表项中查找出对应的所述ip本文档来自技高网...
【技术保护点】
1.一种安全寻址方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种安全寻址方法,其特征在于,所述方法还包括:步骤S3、位于第一网络侧的端系统A向位于第二网络侧的端系统B发送数据报文;具体包括:
3.根据权利要求2所述的一种安全寻址方法,其特征在于:
4.根据权利要求3所述的一种安全寻址方法,其特征在于,在所述步骤S3-1中,所述端系统A根据其自身的地址类型生成用户报文,具体包括:
5.一种安全寻址系统,其特征在于,所述安全寻址系统包括:客户端代理、边缘路由器和标识映射服务器;所述安全寻址系统用于实现基于安全寻址的通信交互,所述基于安全寻址的通信交互过程具体包括:
6.根据权利要求5所述的一种安全寻址系统,其特征在于,所述基于安全寻址的通信交互过程还包括:步骤S3、位于第一网络侧的端系统A向位于第二网络侧的端系统B发送数据报文;具体包括:
7.根据权利要求6所述的一种安全寻址系统,其特征在于:
8.根据权利要求7所述的一种安全寻址系统,其特征在于,在所述步骤S3-1中,所述端系统A根据其
9.一种电子设备,其特征在于,所述电子设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时,实现权利要求1-4任一项所述的一种安全寻址方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时,实现权利要求1-4任一项所述的一种安全寻址方法。
...【技术特征摘要】
1.一种安全寻址方法,其特征在于,所述方法包括:
2.根据权利要求1所述的一种安全寻址方法,其特征在于,所述方法还包括:步骤s3、位于第一网络侧的端系统a向位于第二网络侧的端系统b发送数据报文;具体包括:
3.根据权利要求2所述的一种安全寻址方法,其特征在于:
4.根据权利要求3所述的一种安全寻址方法,其特征在于,在所述步骤s3-1中,所述端系统a根据其自身的地址类型生成用户报文,具体包括:
5.一种安全寻址系统,其特征在于,所述安全寻址系统包括:客户端代理、边缘路由器和标识映射服务器;所述安全寻址系统用于实现基于安全寻址的通信交互,所述基于安全寻址的通信交互过程具体包括:
6.根据权利要求5所述的一种安全寻址系统,其特征在于,...
【专利技术属性】
技术研发人员:高先明,冯涛,林佳琦,杨忠元,
申请(专利权)人:中国人民解放军军事科学院系统工程研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。