CN107071075B - 网络地址动态跳变的装置及方法 - Google Patents

网络地址动态跳变的装置及方法 Download PDF

Info

Publication number
CN107071075B
CN107071075B CN201611007703.2A CN201611007703A CN107071075B CN 107071075 B CN107071075 B CN 107071075B CN 201611007703 A CN201611007703 A CN 201611007703A CN 107071075 B CN107071075 B CN 107071075B
Authority
CN
China
Prior art keywords
user
address
idtd
network
host
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201611007703.2A
Other languages
English (en)
Other versions
CN107071075A (zh
Inventor
马海龙
江逸茗
胡宇翔
卜佑军
白冰
贺磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Hongzhen Information Science & Technology Co ltd
China National Digital Switching System Engineering and Technological R&D Center
Original Assignee
Shanghai Hongzhen Information Science & Technology Co ltd
China National Digital Switching System Engineering and Technological R&D Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Hongzhen Information Science & Technology Co ltd, China National Digital Switching System Engineering and Technological R&D Center filed Critical Shanghai Hongzhen Information Science & Technology Co ltd
Priority to CN201611007703.2A priority Critical patent/CN107071075B/zh
Publication of CN107071075A publication Critical patent/CN107071075A/zh
Application granted granted Critical
Publication of CN107071075B publication Critical patent/CN107071075B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于IP分组数据在传送过程中的IP地址变换实现方法技术领域,具体涉及一种网络地址动态跳变的装置及方法,基本思想就是策略管理下的按需通信。首先,当用户主机需要与外界进行通信时才将自己注册到网络中,并获得自己的网络身份;否则,用户主机在网络上不可见。其次,只有主机用户将自己的网络身份告知需要通信的对端,对端主机才能在网络中定位到该主机;其他任何主机在不知道该主机网络身份的条件下,无法访问到该主机。最后,主机的接入过程和主机之间的相互访问都严格受权限控制策略约束,一方面,非授权主机无法接入网络,另一方面,在授权接入的条件下,即使能够获得其他用户的网络标识,双方不属于同一个授权组,彼此之间也无法互访。

Description

网络地址动态跳变的装置及方法
技术领域
本发明属于IP分组数据在传送过程中的IP地址变换实现方法技术领域,具体涉及一种网络地址动态跳变的装置及方法。
背景技术
按照互联网的通信原理,每一个设备通过接入网络,配置或者动态获得IP地址后,便可以实现对其他IP网络主机或设备的访问,同时可以使得自己能够被其他IP网络主机或设备访问。正是由于这种开放性和用户的持续在线,进而引入了诸多的安全威胁。
首先,不论用户主机是否需要访问网络中的资源,它都会持续在线,以便能够被其他用户主机访问。这样就给攻击者进行扫描渗透提供了条件。其次,用户主机的IP地址是始终不变的或者在一段时间内保持不变,一旦攻击者通过旁路或者中间人方法获取用户主机之间的通信流量,就可以持续获得用户的通信内容。最后,位于同一个局域网内主机之间没有任何的隔离方法,要么两个主机之间不能任何通信,要么两个主机之间可以进行任何通信,这样一旦一个主机被攻击者控制之后,就可以很容易基于该受控主机进一步进行内网渗透攻击。
发明内容
本发明针对现有网络中主机的持续在线和IP地址持续不变所引入的安全问题,提出一种网络地址动态跳变的装置及方法。
本发明的技术方案是:一种网络地址动态跳变装置,包括数据单元、中央控制单元和管理单元,数据单元包括转发器,负责按照流表规则对IP分组进行修改、转发和统计上报;中央控制单元包括域名解析模块、路由协议模块和域名地址的跳变与映射管理模块,域名解析模块负责基于管理策略动态生成流表规则,路由协议模块负责与其他IP地址动态跳变装置之间进行协议交互,域名地址的跳变与映射管理模块负责维持所有装置之间流表规则的一致性;管理单元包括接入管理策略模块和组管理策略模块,负责对接入用户和接入组的接入控制管理和权限控制管理。
所述的网络地址动态跳变装置,所述转发器单元采用openflow交换机,控制单元和管理单元为软件模块,运行在x86服务器的Linux操作***之上,转发器和控制单元之间采用SDN的Openflow协议进行互联互通,控制单元和管理单元采用进程间通信进行互通。
一种基于利要求1所述置的跳变方法,所述该动态跳变方法具体包括以下步骤:
步骤一:IDTD设备会针对每次用户注册过程,生成随机的用户标识,保证用户标识的动态跳变和不可猜测;
步骤二:IDTD设备会针对用户的每次查询过程,生成随机的链路IP地址,保证用户网络地址的动态跳变和不可猜测;
步骤三:IDTD设备基于之前用户注册和查询过程中生成的IP地址动态映射规则,针对通信过程中的每一个IP分组进行相应的IP地址改变并转发;
步骤四:IDTD设备在运行过程中,按照定时机制动态改变用户标识、用户网络IP和用户接入IP地址,从而实现端到端通信过程中的网络地址动态跳变。
所述的网络地址动态跳变方法,所述步骤一包括用户注册过程和用户注册信息通告两部分,具体为:
用户注册:IDTD基于用户提交的IP地址和MAC地址信息,查询接入授权列表,如果认证未通过,则不予响应;如果认证通过,则得到对应的域标识,并生成随机用户标识、虚拟链路ip`、网络IP,记录用户ip与用户标识、虚拟链路ip`、网络IP和域标识的映射关系,同时将用户标识返回给查询用户;
用户注册信息通告:如果IDTD检测到存在其他IDTD邻居,则将该用户信息通告给所有IDTD邻居,IDTD将用户+域标识、网络IP地址通过路由协议通告给其他邻居;对于接收该通告的IDTD,记录对端用户+域标识和网络IP的映射关系,同时为对端用户标识生成本地虚拟链路ip``。
所述的网络地址动态跳变方法,所述步骤二具体包括:用户跟远端主机通信时,首先通过带外通道获得对方的用户标识信息,然后通过本机应用程序来查询该用户标识对应的IP地址信息,如果发起查询的用户为非授权用户,则直接丢弃该查询请求,否则,IDTD处理该用户查询;首先查看查询者与被查询用户是否隶属于同一个域,如果不同,则丢弃该查询请求,如果属于同一个域,则将被查询用户的用户虚拟链路ip返回给查询者。
所述的网络地址动态跳变方法,所述步骤三包括IDTD间动态主机间的通信、IDTD内动态主机间的通信和动态主机与静态主机间通信,三种通信方法具体为:
IDTD间动态主机间的通信:本地主机X期望与远程主机Y进行通信,则通过带外通道获得Y的用户标识;然后通过域名查找得到远程主机Y映射到本地的虚拟链路ipy``,发起源为ipx目的为ipy``的通信,该消息到达本地IDTD后,IDTD将源目IP地址进行变换,将源目IP分别修改为IPX和IPY,保证用户数据到达网络后采用另一套地址进行通信;该网络分组到达远端IDTD后,IDTD将分组中的源目IP进行再次变换,改为链路IP地址,即ipx``和ipy,保证用户数据到达本地链路后,采用本地链路地址进行通信;
IDTD间动态主机间的通信:本地主机X期望与本地主机Z进行通信,则通过带外通道获得Z的用户标识,然后通过域名查找得到主机Z映射到本地的虚拟链路ipz`,发起源为ipx目的为ipz`的通信,该消息到达本地IDTD后,IDTD将源目IP地址进行变换,由于通信发生在本地链路之间,所以不需要进行本地链路地址向网络地址的转换,而只存在本地链路地址与本地虚拟链路地址之间的转换,此时,IDTD将分组中的源目IP进行变换,源目IP分别修改为ipx`和ipz,并最终将分组送达ipz;
动态主机与静态主机间通信:用户向本地IDTD完成身份注册后,即可直接发起到目的主机的通信,因为目的主机的IP地址是已知的,所以通信可以正常进行,对于IDTD而言,一旦用户完成注册,便会建立相应的流表,完成主机ip到网络IP的映射。
所述的网络地址动态跳变方法,所述步骤四包括用户标识的动态化和网络IP的动态化,具体为:
户标识的动态化:对于用户的每一个标识而言,随着时间的推移会不断发生变化,当用户标识发生变化时,对于IDTD而言,仅需要将新生成的用户标识与已存在的该用户的本地链路ip、虚拟本地链路ip以及网络ip进行重新绑定即可,这个操作不会影响IDTD的流表,因此不会对通信产生任何影响,用户标识只是在通信发起时对查询用户起作用,而不会影响正在进行的通信。
网络IP的动态化:针对每一个用户维护一个IP变化定时器或者以全局维护IP变化定时器,待定时器到时后,IDTD将动态改变用户网络IP地址,同时更新用户标识。包括三点:1、更新映射数据库并同步到其他IDTD; 2、将变换产生的新IP通过路由协议同步到其他IDTD;3、更新本地流表。
本发明的有益效果是:1、本发明增强了网络用户的安全性。通过按需接入、接入授权、域管理以及地址动态跳变,保证只有合法用户才能接入网络,接入网络的用户按照域策略访问指定资源;按需接入和动态跳变技术使得用户在网络上不停的变换,很大程度降低了用户被扫面和攻击的可能性。
2、***可增量部署,IDTD设备实现了基本的交换和路由功能,支持基本的路由协议,可以在不改变现有网络结构情况下进行接入设备替换即可,部署一台有一台的安全效果,而且不影响已有的网络结构。
附图说明
图1为本发明硬件连接示意框图;
图2用户注册示意图;
图3为对端用户标识生成本地虚拟链路ip``;
图4将被查询用户的用户虚拟链路ip返回给查询者示意图;
图5为IDTD间动态主机间的通信示意图;
图6为IDTD内动态主机之间通信示意图;
图7为动态主机与静态主机间通信示意图;
图8为网络IP的动态化示意图。
具体实施例
实施例1:结合图1-图8,一种网络地址动态跳变装置(IP Dynamic TransformingDevice,IDTD),包括数据单元、控制单元和管理单元。其中数据单元包括转发器,主要负责按照流表规则对IP分组进行修改、转发和统计上报;中央控制单元包括域名解析模块、路由协议模块和域名地址的跳变与映射管理模块,主要负责基于管理策略动态生成流表规则,同时与其他IP地址动态跳变装置之间进行协议交互,维持所有装置之间流表规则的一致性。管理单元包括接入管理策略模块和组管理策略模块,负责对接入用户和接入组的接入控制管理和权限控制管理。
进一步地,转发器单元采用openflow交换机,控制单元和管理单元为软件模块,运行在x86服务器的Linux操作***之上,转发器和控制单元之间采用SDN的Openflow协议进行互联互通,控制单元和管理单元采用进程间通信进行互通。
术语
为了描述网络地址动态跳变的方法,首先定义以下术语:
IP地址动态跳变装置(IP Dynamic Transforming Device,IDTD):实现IP网络地址动态变换的设备。
用户标识:16至64字节的ASCII码,动态随机产生,随着时间的推移而动态变化。
用户链路ip:用户主机配置的IP地址,用户使用该IP地址进行网络通信。用户链路IP可以通过网络中已有的DHCP服务器提供,也可以由用户静态配置,或者由MR的DHCP服务提供。链路IP地址的掩码为/30,网关指向最近的IDTD。
用户虚拟链路ip:用户链路ip在本地链路中的映射。
用户网络ip:用户链路ip在本地站点上的映射。用户数据经过IDTD到达网络后被映射的IP地址。
一种网络地址动态跳变的方法,主要包括如下步骤:
步骤一:当用户需要访问网络时,通过注册过程从IDTD中获得用户标识,该用户标识只有用户自己持有,对其他所有网络用户不可见。如果该用户希望被其他用户访问,则需要将该标识通过带外通道通知给相应的用户。如果用户注册时使用的IP地址或者MAC地址没有在IDTD的接入许可列表中,则用户无法从网络中获得相应的用户标识,这就意味着非授权用户无法正常接入网络。
IDTD设备会针对每次用户注册过程,生成随机的用户标识,保证用户标识的动态跳变和不可猜测。
步骤二:当用户获知通信对端的用户标识后,在与对方进行通信之前也要将自己注册到网络中,并通过域名解析方法得到对方用户标识对应的IP地址。如果对方用户与自己属于同一个域,则能够正确解析到对方的IP地址;否则,即使获知对方用户标识,也无法获知对方的IP地址,这就意味着通信无法进行。
IDTD设备会针对用户的每次查询过程,生成随机的链路IP地址,保证用户网络地址的动态跳变和不可猜测。
步骤三:在获知对方的IP地址的情况下,通信双方便可以采用传统的IP分组通信方法进行通信。对于IDTD设备而言,会基于之前用户注册和查询过程中生成的IP地址动态映射规则,针对通信过程中的每一个IP分组进行相应的IP地址改变并转发。
步骤四:IDTD设备在运行过程中,按照定时机制动态改变用户标识、用户网络IP和用户接入IP地址,从而实现端到端通信过程中的网络地址动态跳变。
步骤一具体流程包括两个过程1 、用户注册过程和2、用户注册信息通告。用户注册:当用户需要进行网络通信时,通过本机应用程序来查询自己的域名信息。IDTD处理该用户注册,基于用户提交的IP地址和MAC地址信息,查询接入授权列表,如果认证未通过,则不予响应。如果认证通过,则得到对应的域标识,并生成随机用户标识、虚拟链路ip`、网络IP,记录用户ip与用户标识、虚拟链路ip`、网络IP和域标识的映射关系,同时将用户标识返回给查询用户,如图2所示。
注册完成后在IDTD设备上产生的流表如下:
Table1(源变换表);
match srcip ipx set ipx1` goto table2;
match * drop;
Table2(宿变换表);
match dstip ipx1` set ipx goto table4;
match dstip IPX1 set ipx goto table4;
match * drop;
Table3(源变换表);
match srcip ipx1` set IPX1 goto table4;
match * drop;
Table4(路由交换表);
match dstip ipx set dstmac MACx output ifx
用户注册信息通告:如果IDTD检测到存在其他IDTD邻居,则需要将该用户信息通告给所有IDTD邻居。IDTD将用户+域标识、网络IP地址通过路由协议通告给其他邻居。
对于接收该通告的IDTD,记录对端用户+域标识和网络IP的映射关系,同时为对端用户标识生成本地虚拟链路ip``,如图3所示。
接收到对端IDTD的通告消息后,在本地IDTD设备上产生的流表如下:
Table1(源变换表);
match srcip ipx set ipx1` goto table2;
match srcip IPY1 set ipy1`` goto table2;
match * drop;
Table2(宿变换表);
match dstip ipx1` set ipx goto table4;
match dstip IPX1 set ipx goto table4;
match dstip ipy1`` set IPY1 goto table3 ;
match * drop;
Table3(源变换表);
match srcip ipx1` set IPX1 goto table4;
match * drop;
Table4(路由交换表);
match dstip ipx set dstmac MACx output ifx
match dstip IPY1 set dstmac MACy output ify
用户查询:当用户需要跟远端主机通信时,首先通过带外通道获得对方的用户标识信息,然后通过本机应用程序来查询该用户标识对应的IP地址信息。如果发起查询的用户为非授权用户,则直接丢弃该查询请求。否则,IDTD处理该用户查询,首先查看查询者与被查询用户是否隶属于同一个域,如果不同,则丢弃该查询请求。如果属于同一个域,则将被查询用户的用户虚拟链路ip返回给查询者,如图4所示。
步骤三具体流程
依据动态主机所处的位置不同,通信方法略有不同。一种情况为两台主机分别接入到不同的IDTD设备,另一种情况为两台主机接入到同一台IDTD设备。这两种情况都是针对主机采用动态地址跳变情况下的通信。如果一些服务部署在需要持续在线且不采用动态地址跳变的主机上。
IDTD间动态主机间的通信:本地主机X期望与远程主机Y进行通信,则通过带外通道获得Y的用户标识。然后通过域名查找得到远程主机Y映射到本地的虚拟链路ipy``。于是发起源为ipx目的为ipy``的通信。该消息到达本地IDTD后,IDTD将源目IP地址进行变换,将源目IP分别修改为IPX和IPY,保证用户数据到达网络后采用另一套地址进行通信。该网络分组到达远端IDTD后,IDTD将分组中的源目IP进行再次变换,改为链路IP地址,即ipx``和ipy,保证用户数据到达本地链路后,采用本地链路地址进行通信。
返回的数据分组采用同样的操作方法进行地址变换。保证本地链路采用链路IP进行通信,网络上则采用网络IP地址进行通信,如图5所示。
IDTD内动态主机之间通信:本地主机X期望与本地主机Z进行通信,则通过带外通道获得Z的用户标识。然后通过域名查找得到主机Z映射到本地的虚拟链路ipz`。于是发起源为ipx目的为ipz`的通信。该消息到达本地IDTD后,IDTD将源目IP地址进行变换,由于通信发生在本地链路之间,所以不需要进行本地链路地址向网络地址的转换,而只存在本地链路地址与本地虚拟链路地址之间的转换。此时,IDTD将分组中的源目IP进行变换,源目IP分别修改为ipx`和ipz,并最终将分组送达ipz。
返回的数据分组采用同样的操作方法进行地址变换。保证本地链路之间的主机采用虚拟链路IP进行通信,如图6所示。
动态主机与静态主机间通信:一些通用公共服务需要时刻在线,给用户提供服务,这种主机则无需接入到IDTD来获取动态的用户标识和动态网络IP。此时的通信过程如下:
用户向本地IDTD完成身份注册后,即可直接发起到目的主机的通信。因为目的主机的IP地址是已知的,所以通信可以正常进行。对于IDTD而言,一旦用户完成注册,便会建立相应的流表,完成主机ip到网络IP的映射,如图7所示。
步骤四的具体步骤
用户标识的动态化:对于用户的每一个标识而言,随着时间的推移会不断发生变化。当用户标识发生变化时,对于IDTD而言,仅需要将新生成的用户标识与已存在的该用户的本地链路ip、虚拟本地链路ip以及网络ip进行重新绑定即可。这个操作不会影响IDTD的流表,因此不会对通信产生任何影响。用户标识只是在通信发起时对查询用户起作用,而不会影响正在进行的通信。
网络IP的动态化:可以针对每一个用户维护一个IP变化定时器,也可以全局维护IP变化定时器。待定时器到时后,IDTD将动态改变用户网络IP地址,同时更新用户标识。操作包括三点:1)更新映射数据库并同步到其他IDTD; 2)将变换产生的新IP通过路由协议同步到其他IDTD;3)更新本地流表;
用户网络IP地址的变化不会影响正在通信的两个终端。对于已经建立通信的两个终端而言,相应的流表已经对应发生了变化,新的分组到达后会按照更新的流表进行匹配映射和修改转发。
用户网络IP地址的变化不会影响新发起通信的两个终端。新发起的通信将会重新进行用户标识的解析,通信过程与第一次通信一致,如图8所示。
虚拟链路ip的动态变化:虚拟链路ip地址为主机之间通信时协议栈封装IP分组所用的地址,因此,在用户通信过程中该IP地址无法实现动态变化,只能在用户上线时进行动态变化。
链路ip的动态变化:如果用户链路ip是由IDTD分配的,便可以支持链路ip的动态变化。该动态变化就是利用DHCP协议租期来实现。

Claims (6)

1.一种网络地址动态跳变装置,包括数据单元、中央控制单元和管理单元,其特征在于:数据单元包括转发器,负责按照流表规则对IP分组进行修改、转发和统计上报;中央控制单元包括域名解析模块、路由协议模块和域名地址的跳变与映射管理模块,域名解析模块负责基于管理策略动态生成流表规则,路由协议模块负责与其他IP地址动态跳变装置之间进行协议交互,域名地址的跳变与映射管理模块负责维持所有装置之间流表规则的一致性;管理单元包括接入管理策略模块和组管理策略模块,负责对接入用户和接入组的接入控制管理和权限控制管理;
网络地址动态跳变装置的网络地址动态跳变方法,包括:
步骤一:IDTD设备会针对每次用户注册过程,生成随机的用户标识,保证用户标识的动态跳变和不可猜测;IDTD为网络地址动态跳变装置;
步骤二:IDTD设备会针对用户的每次查询过程,生成随机的链路IP地址,保证用户网络地址的动态跳变和不可猜测;
步骤三:IDTD设备基于之前用户注册和查询过程中生成的IP地址动态映射规则,针对通信过程中的每一个IP分组进行相应的IP地址改变并转发;
步骤四:IDTD设备在运行过程中,按照定时机制动态改变用户标识、用户网络IP和用户接入IP地址,从而实现端到端通信过程中的网络地址动态跳变。
2.根据权利要求1所述的网络地址动态跳变装置,其特征在于:所述转发器采用openflow交换机,中央控制单元和管理单元为软件模块,运行在x86服务器的Linux操作***之上,转发器和中央控制单元之间采用SDN的Openflow协议进行互联互通,中央控制单元和管理单元采用进程间通信进行互通。
3.一种基于权利要求1所述装置的网络地址动态跳变方法,其特征在于:所述步骤一包括用户注册过程和用户注册信息通告两部分,具体为:
用户注册:IDTD基于用户提交的链路IP地址和MAC地址信息,查询接入授权列表,如果认证未通过,则不予响应;如果认证通过,则得到对应的域标识,并生成随机用户标识、虚拟链路ip`、网络IP,记录用户链路ip与用户标识、虚拟链路ip`、网络IP和域标识的映射关系,同时将用户标识返回给查询用户;
用户注册信息通告:如果IDTD检测到存在其他IDTD邻居,则将该用户标识通告给所有IDTD邻居,IDTD将用户标识+域标识、网络IP地址通过路由协议通告给其他邻居;对于接收该通告的IDTD,记录对端用户标识+域标识和网络IP的映射关系,同时为对端用户标识生成本地虚拟链路ip``。
4.一种基于权利要求1所述装置的网络地址动态跳变方法,其特征在于:所述步骤二具体包括:用户跟远端主机通信时,首先通过带外通道获得对方的用户标识信息,然后通过本机应用程序来查询该用户标识对应的IP地址信息,如果发起查询的用户为非授权用户,则直接丢弃该查询请求,否则,IDTD处理该用户查询;首先查看查询者与被查询用户是否隶属于同一个域,如果不同,则丢弃该查询请求,如果属于同一个域,则将被查询用户的用户虚拟链路ip返回给查询者。
5.一种基于权利要求1所述装置的网络地址动态跳变方法,其特征在于:所述步骤三包括IDTD间动态主机间的通信、IDTD内动态主机间的通信和动态主机与静态主机间通信,三种通信方法具体为:
IDTD间动态主机间的通信:本地主机X期望与远程主机Y进行通信,则通过带外通道获得Y的用户标识;然后通过域名查找得到远程主机Y映射到本地的虚拟链路ipy``,发起源为ipx目的为ipy``的通信,消息到达本地IDTD后,IDTD将源目IP地址进行变换,将源目IP分别修改为IPX和IPY,保证用户数据到达网络后采用另一套地址进行通信;网络分组到达远端IDTD后,IDTD将分组中的源目IP进行再次变换,改为链路IP地址,即ipx``和ipy,保证用户数据到达本地链路后,采用本地链路地址进行通信;
IDTD内部动态主机间的通信:本地主机X期望与本地主机Z进行通信,则通过带外通道获得Z的用户标识,然后通过域名查找得到主机Z映射到本地的虚拟链路ipz`,发起源为ipx目的为ipz`的通信,消息到达本地IDTD后,IDTD将源目IP地址进行变换,由于通信发生在本地链路之间,所以不需要进行本地链路地址向网络地址的转换,而只存在本地链路地址与本地虚拟链路地址之间的转换,此时,IDTD将分组中的源目IP进行变换,源目IP分别修改为ipx`和ipz,并最终将分组送达ipz;
动态主机与静态主机间通信:用户向本地IDTD完成身份注册后,即可直接发起到目的主机的通信,因为目的主机的IP地址是已知的,所以通信可以正常进行,对于IDTD而言,一旦用户完成注册,便会建立相应的流表,完成主机ip到网络IP的映射;
ipy``为远程主机Y映射到本地的虚拟链路ip地址;ipx为主机X的链路ip地址;IPX为主机X的网络ip地址;IPY为主机Y的网络ip地址;ipx``为主机X映射到主机Y本地的虚拟链路ip地址;ipy为主机Y的链路ip地址;ipz`为本地主机Z映射到本地的虚拟链路ip;ipx`为本地主机X映射到本地的虚拟链路ip;ipz为主机Z的链路ip地址。
6.一种基于权利要求1所述装置的网络地址动态跳变方法,其特征在于:所述步骤四包括用户标识的动态化和网络IP的动态化,具体为:
用户标识的动态化:对于用户的每一个标识而言,随着时间的推移会不断发生变化,当用户标识发生变化时,对于IDTD而言,仅需要将新生成的用户标识与已存在的该用户的本地链路ip、虚拟本地链路ip以及网络ip进行重新绑定即可,这个操作不会影响IDTD的流表,因此不会对通信产生任何影响,用户标识只是在通信发起时对查询用户起作用,而不会影响正在进行的通信;
网络IP的动态化:针对每一个用户维护一个IP变化定时器或者以全局维护IP变化定时器,待定时器到时后,IDTD将动态改变用户网络IP地址,同时更新用户标识;
包括三点:1、更新映射数据库并同步到其他IDTD; 2、将变换产生的新IP通过路由协议同步到其他IDTD;3、更新本地流表。
CN201611007703.2A 2016-11-16 2016-11-16 网络地址动态跳变的装置及方法 Active CN107071075B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201611007703.2A CN107071075B (zh) 2016-11-16 2016-11-16 网络地址动态跳变的装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201611007703.2A CN107071075B (zh) 2016-11-16 2016-11-16 网络地址动态跳变的装置及方法

Publications (2)

Publication Number Publication Date
CN107071075A CN107071075A (zh) 2017-08-18
CN107071075B true CN107071075B (zh) 2020-07-21

Family

ID=59618581

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201611007703.2A Active CN107071075B (zh) 2016-11-16 2016-11-16 网络地址动态跳变的装置及方法

Country Status (1)

Country Link
CN (1) CN107071075B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131169B (zh) * 2019-11-30 2022-05-06 中国人民解放军战略支援部队信息工程大学 一种面向交换网络的动态id隐藏方法
CN113709087A (zh) * 2020-05-22 2021-11-26 中兴通讯股份有限公司 动态表获取方法、通信设备、核心网***及存储介质
CN111818053B (zh) * 2020-07-09 2021-08-17 华中科技大学 具有身份认证和安全通信网关的数控机床安全***及方法
CN113886323A (zh) * 2021-08-26 2022-01-04 北京鸿合爱学教育科技有限公司 网络共享方法、装置、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101175067A (zh) * 2006-11-02 2008-05-07 华为技术有限公司 一种网络安全实现***及方法
CN101582925A (zh) * 2009-06-15 2009-11-18 中兴通讯股份有限公司 一种网络地址转换的方法及***
CN105721457A (zh) * 2016-01-30 2016-06-29 耿童童 基于动态变换的网络安全防御***和网络安全防御方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7453852B2 (en) * 2003-07-14 2008-11-18 Lucent Technologies Inc. Method and system for mobility across heterogeneous address spaces
US9338181B1 (en) * 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101175067A (zh) * 2006-11-02 2008-05-07 华为技术有限公司 一种网络安全实现***及方法
CN101582925A (zh) * 2009-06-15 2009-11-18 中兴通讯股份有限公司 一种网络地址转换的方法及***
CN105721457A (zh) * 2016-01-30 2016-06-29 耿童童 基于动态变换的网络安全防御***和网络安全防御方法

Also Published As

Publication number Publication date
CN107071075A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
CN107018056B (zh) 具有mac(l2)级认证、安全和策略控制的增强的evpn mac路由通知
US8295285B2 (en) Method and apparatus for communication of data packets between local networks
KR101454502B1 (ko) 종단 대 종단 미디어 경로를 식별하는 방법 및 시스템
CN102132532B (zh) 用于避免不需要的数据分组的方法和装置
CN107071075B (zh) 网络地址动态跳变的装置及方法
CN101635628B (zh) 一种防止arp攻击的方法及装置
CN1856163B (zh) 一种具有会话边界控制器的通信***及其传输信令的方法
US20160337464A1 (en) Proxy interception
US7558249B2 (en) Communication terminal, and communication method
JP2001313679A (ja) ローカルipアドレス及び変換不能ポート・アドレスを使用するローカル・エリア・ネットワーク対応ネットワーク・アドレス変換ゲートウェイ
EP4022876B1 (en) Preventing a network protocol over an encrypted channel, and applications thereof
Nowaczewski et al. Securing Future Internet and 5G using Customer Edge Switching using DNSCrypt and DNSSEC.
CN102546428A (zh) 基于DHCPv6侦听的IPv6报文交换***及方法
CN105357212A (zh) 一种保证安全和隐私的dns端到端解析方法
Li et al. SDN-Ti: a general solution based on SDN to attacker traceback and identification in IPv6 networks
US11196666B2 (en) Receiver directed anonymization of identifier flows in identity enabled networks
KR20180099293A (ko) 신뢰 도메인간 통신 방법 및 이를 위한 게이트웨이
WO2012075768A1 (zh) 身份位置分离网络的监听方法和***
Raheem et al. A secure authentication protocol for IP-based wireless sensor communications using the Location/ID Split Protocol (LISP)
Simsek Blind packet forwarding in a hierarchical level-based locator/identifier split
WO2012075770A1 (zh) 身份位置分离网络的阻断方法和***
KR102476672B1 (ko) 5G Massive망에서 비인식 NIC 기능을 갖는 이더넷 드라이버에서 수행되는 주소 변이 방법
JP2018157513A (ja) 通信制御装置、通信制御システム、通信制御方法及び通信制御プログラム
CN101197830A (zh) 上报式防攻击信息通讯网络安全防御方法及防御***
Park et al. MoHoP: A protocol providing for both mobility management and host privacy

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant