CN107682326B - 一种安全网关联动防护机制、协议及模块 - Google Patents
一种安全网关联动防护机制、协议及模块 Download PDFInfo
- Publication number
- CN107682326B CN107682326B CN201710860370.6A CN201710860370A CN107682326B CN 107682326 B CN107682326 B CN 107682326B CN 201710860370 A CN201710860370 A CN 201710860370A CN 107682326 B CN107682326 B CN 107682326B
- Authority
- CN
- China
- Prior art keywords
- blocking
- protocol
- security
- address
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000007246 mechanism Effects 0.000 title abstract description 21
- 230000000903 blocking effect Effects 0.000 claims abstract description 177
- 230000004044 response Effects 0.000 claims abstract description 43
- 238000004891 communication Methods 0.000 claims abstract description 39
- 238000000034 method Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims abstract description 10
- 238000012546 transfer Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 11
- 238000001514 detection method Methods 0.000 claims description 10
- 238000013456 study Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 8
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 206010000117 Abnormal behaviour Diseases 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 claims description 3
- 239000003999 initiator Substances 0.000 claims description 3
- 230000003993 interaction Effects 0.000 claims description 3
- 238000007781 pre-processing Methods 0.000 claims description 3
- 230000000694 effects Effects 0.000 abstract description 5
- 238000011160 research Methods 0.000 abstract description 4
- 238000007726 management method Methods 0.000 description 22
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000002950 deficient Effects 0.000 description 2
- 239000006185 dispersion Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000004083 survival effect Effects 0.000 description 2
- 208000034423 Delivery Diseases 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000004665 defense response Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000001012 protector Effects 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
- 238000005728 strengthening Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种安全网关联动防护机制、协议及模块,属于网络空间安全领域。本发明首先网元根据联动防护请求协议和联动防护应答协议进行通信,然后安全网关或安全管理***中执行联动防护功能,最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。本发明利用了安全网关之间的互联控制协议的特点,可进行攻击分组的溯源;采用了攻击阻断转移策略,可以分散攻击阻断的任务,平衡安全网关的负载,起到联合防护的作用。
Description
技术领域
本发明属于网络空间安全领域,涉及一种安全网关联动防护机制、协议及模块。
背景技术
目前网络攻击为了隐蔽攻击者,常采用源地址欺骗手段,伪造网络分组,经过一个不真实的路径,攻击目标网络或服务器,导致防护者难以确定攻击者的位置、攻击路径等。而在互联网络中,骨干网络不承担网络攻击分组的检测,放任假源地址的嵌入。
随着国家对天地一体化网络启动研究开发建设,天地一体化网络总体方案中融入了信息安全保障的思想和机制,不再采用外部补丁方式保护网络。这种新型的天地一体化网络信息安全保障体系嵌入了“安全接入网关”和“网间安全互联网关”,如图1所示的网络构架,利用安全网关(包括“安全接入网关”和“网间安全互联网关”),认证用户终端,监控网络分组,检测网络攻击,阻断异常通信分组。
在上述大的技术背景下,拟改变传统分组网络防护方式,包括不局限于在受害者附近被动防护,促进安全网关之间的互动,加强安全网关自身的攻击防护研判能力,产生一定的分组溯源能力,实现网络的主动防护和任务分散,平衡安全网关的负载。
发明内容
针对目前存在的问题和需求,本发明提出了一种安全网关联动防护机制、协议及模块,通过本发明,安全网关自身可以实现安全网关之间相互信息通信,通过对攻击路径判断,部署多安全网关联合防护,突破传统单一安全网关防护攻击的单薄环节,使多个安全网关分担攻击阻断任务,从源头上开始遏制网络攻击的繁衍,极大化防护能力。
本发明提供的安全网关联动防护协议,是安全网关之间或者安全网关与安全管理***之间的通信协议。安全网关联动防护协议包括联动防护请求协议和联动防护应答协议。
联动防护请求协议包括IP包头、UDP包头和CA信息三部分。其中,CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址,其意义分别为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包。
阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包。
安全网关联动防护应答协议同样包括IP包头、UDP包头和CA信息。其中,CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址,分别表示为:
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功。
本发明提供的安全网关联动防护控制模块,简称联防模块,包括如下子模块:通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块。所述的联防模块被设置在安全网关和安全管理***中。
所述的通信模块,采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理***之间的通信通信。所述的阻断请求模块,用于安全网关或安全管理***向另外一个安全网关发出阻断网络分组的请求。所述的阻断应答模块,用于安全网关向请求方应答阻断成功与否,告知请求方阻断是否成功、溯源是否成功。所述的溯源模块,用于安全网关寻找网络事件发起者,向另外一个安全网关发出阻断网络分组的请求。所述的协议处理模块,用于解析协议,实现协议中通信多方会话,完成信息安全传输,对协议规定外的异常行为,通知联动防护管理模块,进行异常处理。所述的检测研判与控制模块,用于完成协议运行前的预处理操作以及协议完成后的功能控制跳转操作。所述的阻断模块,用于安全网关通信分组阻断。所述的联动防护管理模块,实现安全策略的动态配置和按需配置,提供人机交互功能。
本发明提供的安全网关联动防护机制,指通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。所述的安全网关联动防护机制包括如下:
(1)定义一种网间互联安全控制协议,简称互联控制协议,是实现多域通信的一种控制协议,包含协议溯源信息、认证状态信息、签名信息等,能够被安全网关识别并加以安全控制。设网互联控制协议特征表示为:
P={fi,fj,v,p}
其中,fi为源网关地址,fj为目的网关地址,p为分组特征描述,v为用于验签的签名;v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,表示为:
v=vf(fi)
p简化表示成:
p={s,d,o}
其中,s为分组源地址,d为分组目的地址,o为可选项。
(2)阻断分组p的操作可以在安全网关fi或fj上部署。假设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,则一种阻断转移操作表示如下:
d(fj,p)→d(fi,p)=0/1
该公式指阻断分组p的操作从安全网关fj转移到fi。其中,0表示阻断转移失败,1表示阻断转移成功。
(3)利用互联控制协议,安全网关fj对分组p进行溯源,表示为:
其中,0表示溯源失败,fi为溯源成功,并找到源安全网关为fi。q表示阻断表中的一个分组特征。
(4)设f1,f2,…,fn为受害者附近直接关联安全网关,f0为受害者地址,p为攻击包,联动防护机制的执行过程为:
①初始设置i=0,j=1;
②进行阻断操作;
(2.1)如果d(fi,p)→d(fj,p)=0,则设置j自增1;(2.2)如果j≤n,则转(2.1)执行,,否则终止阻断操作;;
③在阻断的同时,进行溯源操作;对分组p进行溯源,如果S(fj,P,q)=0,则终止溯源;如果S(fj,P,q)=fk,则则转移阻断指令,执行d(fj,p)→d(fk,p)。
本发明的优点以及带来的有益效果在于:
(1)本发明的安全网关联动防护机制,利用了安全网关之间的互联控制协议的特点,可进行攻击分组的溯源。
(2)本发明的安全网关联动防护机制,采用了攻击阻断转移策略,可以分散攻击阻断的任务,起到联合防护的作用。
(3)本发明提出了一种安全网关联动防护协议,可实现安全网关之间完成攻击阻断任务的通信。
(4)本发明的安全网关联动防护机制及模块,极小化了网络安全的开销,突破了传统单一安全网关防护攻击的单薄环节,使多个安全网关分担攻击阻断任务,从源头上开始遏制网络攻击的繁衍,极大化防护能力,实现网络的主动防护和任务分散,平衡安全网关的负载。
附图说明
图1是嵌入安全接入网关和网间安全互联网关的新型网络构架;
图2是本发明安全网关联动防护请求协议定义的示意图;
图3是本发明安全网关联动防护应答协议定义的示意图;
图4是本发明安全网关联动防护模块结构图;
图5是本发明安全网关联动防护机制执行效果图。
具体实施方式
下面将结合附图,对本发明安全网关联动防护机制、协议及模块实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例也仅仅是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案中,首先网元根据联动防护请求协议和联动防护应答协议进行通信,然后安全网关或安全管理***中执行联动防护功能,最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。
安全网关之间的通信,简称通信,是指安全网关为了联动防护而启动的相互之间的通信,采用的协议为安全网关联动防护协议,包括联动防护请求协议和联动防护应答协议。
安全网关阻断请求,简称阻断请求,指一个安全网关或网络安全管理***(请求方)向另外一个安全网关(阻断方)请求阻断网络分组的动作。请求方通过安全网关联动防护协议,告知阻断方网络分组的特点、阻断请求标志、溯源请求标志等,使得阻断方能够按要求执行阻断指令。
安全网关通信分组阻断,简称分组阻断,指安全网关依据安全网关联动防护协议标识的分组特点,拦截网络通信分组的动作。拦截完后,检测阻断是否成功。
安全网关阻断应答,简称阻断应答,指阻断方向请求方应答阻断成功与否的动作。阻断方通过安全网关联动防护应答协议,告知请求方阻断是否成功、溯源是否成功等,使得请求方能够明确动作的效果。阻断成功则返回数值1,阻断失败则返回数值0。
本发明所使用的安全网关联动防护协议,简称联动防护协议或CA,指安全网关之间或者安全网关与安全管理***之间的通信协议,包括安全网关联动防护请求协议和安全网关联动防护应答协议。
安全网关联动防护请求协议的定义,如图2所示,包括IP包头、UDP包头和CA信息三部分。其中,IP包头包括版本、头长、服务类型、IP包总长度、IP标识、标志、片偏移、生存时间、UDP协议、IP头校验和、源网关IP地址和目的网关IP地址,UDP包头包括源网关端口、目的网关端口、UDP包长度和UDP包校验和,CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址。CA信息中各字段的意义分别为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
安全网关联动防护应答协议的定义,如图3所示,同样包括IP包头、UDP包头和CA信息。其中,IP包头包括版本、头长、服务类型、IP包总长度、IP标识、标志、片偏移、生存时间、UDP协议、IP头校验和、源网关IP地址和目的网关IP地址,UDP包头包括源网关端口、目的网关端口、UDP包长度和UDP包校验和,CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址。
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功。
本发明的安全网关联动防护控制模块,简称联防模块,指安全网关或安全管理***中执行联动防护功能,安全网关联动防护模块的结构,如图4所示,包括通信、阻断请求、阻断应答、协议处理、检测研判与控制、溯源、阻断以及联动防护管理等功能模块,这些模块被设置在安全网关和安全管理***的软件模块中。各功能模块之间是支撑和应用的关系,组成了一个整体。如图4所示,联动防护管理模块管理着通信模块、协议处理模块、检测研判与控制模块、溯源模块以及阻断模块;检测研判与控制模块、溯源模块以及阻断模块为联动防护管理模块提供支撑。
通信模块,采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理***之间的通信。阻断请求模块,用于安全网关或安全管理***向另外一个安全网关发出阻断网络分组的请求。阻断应答模块,用于安全网关向请求方应答阻断成功与否,告知请求方阻断是否成功、溯源是否成功。阻断模块,用于安全网关通信分组阻断,指安全网关依据安全网关联动防护协议标识的分组特点,拦截网络通信分组。
溯源模块,用于安全网关寻找网络事件发起者相关信息,向另外一个安全网关发出阻断网络分组的请求。
协议处理模块,通过设计的协议解析代码实现协议中通信多方发起会话,在规定的流程下完成整个协商过程,实现信息的安全传输,对协议规定之外的异常行为,能够交给联动防护管理模块,进行异常处理操作。通过运行协议之后能够完成既定的安全目标,实现对消息源的认证、通信主体的认证、以及其他认证目标。
检测研判与控制模块,用于协议运行前的预处理操作以及协议完成后续的功能控制跳转操作,在跳转后的执行过程中可能会执行子协议来完成该过程,它和协议处理模块密切配合,完整的实现研判和控制过程。
联动防护管理模块,通过对签名三个模块进行配置和管理,实现安全策略的动态配置、按需配置,并能够支持人工监控的方式实现对***整体的把握,做到可控制、可管理、可修改的目标。
本发明提供的安全网关联动防护机制,指通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程,完成对网络攻击的阻断,起到对服务器和网络进行防护的机制。
现定义一种网间互联安全控制协议,简称“互联控制协议”。互联控制协议是实现多域通信的一种控制协议,包含协议溯源信息、认证状态信息、签名信息等,能够被安全网关识别并加以安全控制。设互联控制协议特征为:
P={fi,fj,v,p}
其中,fi为源网关地址,fj为目的网关地址,p为普通传递的分组特征描述,v为用于验签的签名。v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,可表示为:
v=vf(fi)
p为分组地址、协议端口等特点,可简化表示成:
p={s,d,o}
其中,s为分组源地址,d为分组目的地址,o为可选项。
阻断分组p的操作可以在安全网关fi和fj两个安全网关上部署。假设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,现在,给出一种阻断转移操作,表示为
d(fj,p)→d(fi,p)=0/1
该公式指阻断包p的操作从安全网关fj转移到fi。其中,0表示阻断转移失败,1表示阻断转移成功。
利用互联控制协议,安全网关fj可对分组p进行溯源,可表示为:
其中,0表示溯源失败,fi为溯源成功,并找到源安全网关为fi。q表示阻断表中的一个分组特征。
设f1,f2,…,fn为受害者附近直接关联安全网关,f0为受害者地址,p为攻击包(特征),则联动防护机制算法为:
(1.1)初始化。设置i=0,j=1;
(1.2)阻断操作。如果d(fi,p)→d(fj,p)=0,表示阻断攻击包p的操作从安全网关fi转移到fj失败,则设置j自增1,表示为j=j+1;如果j≤n,则再次执行(1.2)进行阻断操作,否则阻断操作终止;其中,n表示受害者附近直接关联安全网关的个数。
(1.3)溯源操作。在阻断的同时,对分组p进行溯源,如果S(fj,P,q)=0,表示安全网关fj对分组p进行溯源失败,则终止溯源操作;如果S(fj,P,q)=fk,表示安全网关fj对分组p进行溯源成功,找到源安全网关为fk,则d(fj,p)→d(fk,p),表示阻断攻击包p的操作从安全网关fj转移到fk。
本发明的具体实施例如下:
①分组特征p={200.200.10.100,200.200.200.100}表示源地址为200.200.10.100,目的地址为200.200.200.100;
②互联控制协议P={200.200.20.100,200.200.30.100,v,p}表示分组特征为p,互联控制协议源地址为200.200.20.100和目的地址为200.200.30.100,验证值v为互联控制协议分组叠加网关通信加密密钥的MD5值;
③安管***已经把阻断指令下到地址为200.200.30.100的安全网关(简称“安全网关200.200.30.100”),执行阻断分组特征为p的指令
d(0,p)→d(200.200.30.100,p)。
当收到了互联控制协议分组P时,安全网关200.200.30.100联防模块执行操作为:
(1)验证与特征抽取:对互联控制协议分组采用通信密钥进行验证,鉴别出伪造、不完整、瑕疵的分组,并进行丢弃处理。对真实、完整、正确的分组,抽取出分组特征p={200.200.10.100,200.200.200.100}。
(2)分组阻断:查询到阻断表中分组特征q={200.200.10.100,200.200.200.100},验证得到p=q,阻断该分组,向安管***应答执行指令结果为1。
(3)分组溯源:在阻断的同时,对p进行溯源,执行S(200.200.30.100,P,q)=S(fj,{fi,fj,v,p},q)=200.200.20.100。
(4)转移阻断指令:安全网关200.200.30.100转移阻断指令到安全网关200.200.20.100,即d(200.200.30.100,p)→d(200.200.20.100,p)。
当收到了互联控制协议分组P时,安全网关200.200.20.100联防模块执行操作与安全网关200.200.20.100联防模块同,但差别在:安全网关200.200.20.100应答执行效果1给安管***的同时,也给安全网关200.200.30.100反馈。安全网关200.200.30.100接到反馈后,解除对p的阻断指令。
如图5所示,是本发明安全网关联动防护机制的执行效果图。“接入网络3”处受到攻击时,安管***在“安全接入网关3”上部署阻断攻击指令,同时要求“安全接入网关3”对攻击分组进行溯源。“安全接入网关3”溯源到攻击分组来自“网间安全互联网关1”,转移阻断指令到“网间安全互联网关1”,并要求“网间安全互联网关1”继续进行溯源。最后,一直溯源到“安全接入网关1”,并在“安全接入网关1”上阻断攻击,解除其它安全网关的阻断攻击,分散阻断任务,平衡负载。
Claims (2)
1.一种的安全网关联动防护控制方法,其特征在于,基于一种安全网关联动防护协议,所述的协议包括联动防护请求协议和联动防护应答协议;
联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;
阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;
联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功;
所述的安全网关联动防护控制方法包括:
(1)定义一种网间互联安全控制协议,包含协议溯源信息、认证状态信息、签名信息,能被安全网关识别并加以安全控制;设网间互联安全控制协议特征表示为:
P={fi,fj,v,p}
其中,fi为源网关地址,fj为目的网关地址,p为分组特征描述,v为用于验签的签名;v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,表示为:
v=vf(fi)
p简化表示成:
p={s,d,o}
其中,s为分组源地址,d为分组目的地址,o为可选项;
(2)阻断分组p的操作能在安全网关fi或fj上部署,设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,给出一种阻断转移操作表示为:
d(fj,p)→d(fi,p)=0/1
该式表示将阻断分组p的操作从安全网关fj转移到fi;其中,0表示阻断转移失败,1表示阻断转移成功;
(3)利用网间互联安全控制协议,安全网关fj对分组p进行溯源,表示为:
其中,0表示溯源失败,fi为溯源成功,并找到源安全网关为fi;q表示阻断表中的一个分组特征;
(4)设f0为受害者地址,f1,f2,...,fn为受害者附近直接关联安全网关,p为攻击包,执行过程为:
①初始设置i=0,j=1;
②进行阻断操作;
(2.1)如果d(fi,p)→d(fj,p)=0,则设置j自增1;(2.2)若j≤n,则转(2.1)执行,否则终止阻断操作;
③在阻断的同时,进行溯源操作;
对分组p进行溯源,如果S(fj,P,q)=0,则终止溯源;
如果S(fj,P,q)=fk,则转移阻断指令d(fj,p)→d(fk,p)。
2.一种安全网关联动防护控制模块,设置在安全网关和安全管理***中,其特征在于,所述的安全网关联动防护控制模块基于一种安全网关联动防护协议,所述的协议包括联动防护请求协议和联动防护应答协议;
联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;
阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;
联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功;
所述安全网关联动防护控制模包括:通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块;
所述的通信模块,采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理***之间的通信通信;
所述的阻断请求模块,用于安全网关或安全管理***向另外一个安全网关发出阻断网络分组的请求;
所述的阻断应答模块,用于安全网关向请求方应答阻断成功与否,告知请求方阻断是否成功、溯源是否成功;
所述的溯源模块,用于安全网关寻找网络事件发起者,向另外一个安全网关发出阻断网络分组的请求;
所述的协议处理模块,用于解析协议,实现协议中通信多方会话,完成信息安全传输,对协议规定外的异常行为,通知联动防护管理模块,进行异常处理;
所述的检测研判与控制模块,用于完成协议运行前的预处理操作以及协议完成后的功能控制跳转操作;
所述的阻断模块,用于安全网关通信分组阻断;
所述的联动防护管理模块,实现安全策略的动态配置和按需配置,提供人机交互功能。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710860370.6A CN107682326B (zh) | 2017-09-21 | 2017-09-21 | 一种安全网关联动防护机制、协议及模块 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710860370.6A CN107682326B (zh) | 2017-09-21 | 2017-09-21 | 一种安全网关联动防护机制、协议及模块 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107682326A CN107682326A (zh) | 2018-02-09 |
CN107682326B true CN107682326B (zh) | 2020-08-07 |
Family
ID=61137684
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710860370.6A Active CN107682326B (zh) | 2017-09-21 | 2017-09-21 | 一种安全网关联动防护机制、协议及模块 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107682326B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108540475B (zh) * | 2018-04-11 | 2021-04-30 | 湖南城市学院 | 一种基于dsp的电子通信*** |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854360A (zh) * | 2010-05-21 | 2010-10-06 | 恒安嘉新(北京)科技有限公司 | 根据ip地址溯源移动用户手机号的装置及方法 |
CN104468866A (zh) * | 2014-12-26 | 2015-03-25 | 陈晨 | 一种无线局域网中多网关终端快速漫游方法 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
CN107181760A (zh) * | 2017-07-07 | 2017-09-19 | 北京邮电大学 | 一种分布式近威胁源攻击阻断方法及其装置 |
-
2017
- 2017-09-21 CN CN201710860370.6A patent/CN107682326B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101854360A (zh) * | 2010-05-21 | 2010-10-06 | 恒安嘉新(北京)科技有限公司 | 根据ip地址溯源移动用户手机号的装置及方法 |
CN104468866A (zh) * | 2014-12-26 | 2015-03-25 | 陈晨 | 一种无线局域网中多网关终端快速漫游方法 |
WO2016150253A1 (zh) * | 2015-03-24 | 2016-09-29 | 华为技术有限公司 | 基于sdn的ddos攻击防护方法、装置及*** |
CN107181760A (zh) * | 2017-07-07 | 2017-09-19 | 北京邮电大学 | 一种分布式近威胁源攻击阻断方法及其装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107682326A (zh) | 2018-02-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20200162437A1 (en) | Multimodal cryptographic data communications in a remote patient monitoring environment | |
US8706866B2 (en) | Virtual server and method for identifying zombie, and sinkhole server and method for integratedly managing zombie information | |
CN104811455B (zh) | 一种云计算身份认证方法 | |
US8959650B1 (en) | Validating association of client devices with sessions | |
EP2357771A1 (en) | Trusted network connect handshake method based on tri-element peer authentication | |
CN104601566B (zh) | 认证方法以及装置 | |
CN111800401B (zh) | 业务报文的防护方法、装置、***和计算机设备 | |
CN111064755B (zh) | 一种数据保护方法、装置、计算机设备和存储介质 | |
CN102231748B (zh) | 一种客户端验证方法及装置 | |
CN107317816A (zh) | 一种基于客户端应用程序鉴别的网络访问控制方法 | |
JP5972995B2 (ja) | 多数の中継サーバを有する保安管理システム及び保安管理方法 | |
CN105933245A (zh) | 一种软件定义网络中安全的可信接入方法 | |
CN104980449B (zh) | 网络请求的安全认证方法及*** | |
CN106100839B (zh) | 一种基于tcp数据包和自定义算法的网络通信安全方法 | |
CN110691097A (zh) | 一种基于hpfeeds协议的工控蜜罐的***及其工作方法 | |
CN114584386B (zh) | 全局多级加密网络通信方法 | |
CN107835145A (zh) | 一种防重放攻击的方法及分布式*** | |
CN107682326B (zh) | 一种安全网关联动防护机制、协议及模块 | |
CN112333214B (zh) | 一种用于物联网设备管理的安全用户认证方法及*** | |
CN106302520B (zh) | 一种远控类木马清除方法及装置 | |
CN101527636B (zh) | 一种适合三元对等鉴别可信网络连接架构的平台鉴别管理方法 | |
Horak et al. | The vulnerability of securing IoT production lines and their network components in the Industry 4.0 concept | |
JP2008306610A (ja) | 不正侵入・不正ソフトウェア調査システム、および通信振分装置 | |
CN111431943A (zh) | 一种拟态***及其tcp代理的方法 | |
JP2001148715A (ja) | ネットワークシステム及び端末装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |