[发明专利]一种安全网关联动防护机制、协议及模块有效
| 申请号: | 201710860370.6 | 申请日: | 2017-09-21 |
| 公开(公告)号: | CN107682326B | 公开(公告)日: | 2020-08-07 |
| 发明(设计)人: | 陆月明;王燕龙;陈小雨 | 申请(专利权)人: | 北京邮电大学 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京永创新实专利事务所 11121 | 代理人: | 祗志洁 |
| 地址: | 100876 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 安全网关 联动 防护 机制 协议 模块 | ||
1.一种的安全网关联动防护控制方法,其特征在于,基于一种安全网关联动防护协议,所述的协议包括联动防护请求协议和联动防护应答协议;
联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;
阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;
联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功;
所述的安全网关联动防护控制方法包括:
(1)定义一种网间互联安全控制协议,包含协议溯源信息、认证状态信息、签名信息,能被安全网关识别并加以安全控制;设网间互联安全控制协议特征表示为:
P={fi,fj,v,p}
其中,fi为源网关地址,fj为目的网关地址,p为分组特征描述,v为用于验签的签名;v是一个验证fi的函数,用于验证包是否是来自安全网关fi,而不是伪造的,表示为:
v=vf(fi)
p简化表示成:
p={s,d,o}
其中,s为分组源地址,d为分组目的地址,o为可选项;
(2)阻断分组p的操作能在安全网关fi或fj上部署,设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示,给出一种阻断转移操作表示为:
d(fj,p)→d(fi,p)=0/1
该式表示将阻断分组p的操作从安全网关fj转移到fi;其中,0表示阻断转移失败,1表示阻断转移成功;
(3)利用网间互联安全控制协议,安全网关fj对分组p进行溯源,表示为:
其中,0表示溯源失败,fi为溯源成功,并找到源安全网关为fi;q表示阻断表中的一个分组特征;
(4)设f0为受害者地址,f1,f2,...,fn为受害者附近直接关联安全网关,p为攻击包,执行过程为:
①初始设置i=0,j=1;
②进行阻断操作;
(2.1)如果d(fi,p)→d(fj,p)=0,则设置j自增1;(2.2)若j≤n,则转(2.1)执行,否则终止阻断操作;
③在阻断的同时,进行溯源操作;
对分组p进行溯源,如果S(fj,P,q)=0,则终止溯源;
如果S(fj,P,q)=fk,则转移阻断指令d(fj,p)→d(fk,p)。
2.一种安全网关联动防护控制模块,设置在安全网关和安全管理系统中,其特征在于,所述的安全网关联动防护控制模块基于一种安全网关联动防护协议,所述的协议包括联动防护请求协议和联动防护应答协议;
联动防护请求协议和联动防护应答协议均包括IP包头、UDP包头和CA信息三部分;其中,联动防护请求协议的CA信息包括CA请求协议类型、溯源标志、阻断标志、阻断目的IP地址和阻断源IP地址;其中,各字段取值及意义为:
CA请求协议类型:0000:无意义;0001:请求;
溯源标志:00:不溯源;01:溯源;
阻断标志:00:不阻断;01:阻断;
阻断目的IP地址:某个IP地址,若数据包目的IP地址与阻断目的IP地址相同,则阻断该数据包;
阻断源IP地址:某个IP地址,若数据包源IP地址与阻断目的IP地址相同,则阻断该数据包;
联动防护应答协议的CA信息包括CA应答协议类型、溯源应答、阻断应答、阻断目的IP地址和阻断源IP地址;其中,
CA应答协议类型:0002:阻断应答;0003:溯源应答;
溯源应答:00:不成功;01:成功;
阻断应答:00:不成功;01:成功;
所述安全网关联动防护控制模包括:通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块;
所述的通信模块,采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理系统之间的通信通信;
所述的阻断请求模块,用于安全网关或安全管理系统向另外一个安全网关发出阻断网络分组的请求;
所述的阻断应答模块,用于安全网关向请求方应答阻断成功与否,告知请求方阻断是否成功、溯源是否成功;
所述的溯源模块,用于安全网关寻找网络事件发起者,向另外一个安全网关发出阻断网络分组的请求;
所述的协议处理模块,用于解析协议,实现协议中通信多方会话,完成信息安全传输,对协议规定外的异常行为,通知联动防护管理模块,进行异常处理;
所述的检测研判与控制模块,用于完成协议运行前的预处理操作以及协议完成后的功能控制跳转操作;
所述的阻断模块,用于安全网关通信分组阻断;
所述的联动防护管理模块,实现安全策略的动态配置和按需配置,提供人机交互功能。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京邮电大学,未经北京邮电大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710860370.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:适用于GPP二极管制造的负性光刻胶
- 下一篇:一种脑电采集支架
