CN109981803A - 业务请求处理方法及装置 - Google Patents
业务请求处理方法及装置 Download PDFInfo
- Publication number
- CN109981803A CN109981803A CN201711444514.6A CN201711444514A CN109981803A CN 109981803 A CN109981803 A CN 109981803A CN 201711444514 A CN201711444514 A CN 201711444514A CN 109981803 A CN109981803 A CN 109981803A
- Authority
- CN
- China
- Prior art keywords
- identifier
- client
- idgw
- server
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2567—NAT traversal for reachability, e.g. inquiring the address of a correspondent behind a NAT server
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2528—Translation at a proxy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2521—Translation architectures other than single NAT servers
- H04L61/2525—Translation at a client
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4552—Lookup mechanisms between a plurality of directories; Synchronisation of directories, e.g. metadirectories
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了业务请求处理方法及装置,其中,该方法包括:向域名服务器DNS发送查询服务器域名的查询请求;接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;接收所述服务器返回的响应所述业务请求的业务响应消息。通过本发明,解决了相关技术中针对服务器通过随机改变参数的方式影响正常业务的问题,实现了对目标服务器进行主动防护,提高整个服务器系统的安全性。
Description
技术领域
本发明涉及通信领域,具体而言,涉及业务请求处理方法及装置。
背景技术
移动目标防御(Moving Target Defense,简称MTD)是一种新型的网络安全防护思想,通过技术手段,对被保护目标呈现给攻击者的攻击面实施持续性的动态变换,以迷惑攻击者,从而增加攻击者实施成功攻击的代价和复杂度,降低其攻击成功的概率,提高系统弹性和安全性。
将移动目标防御的思想应用于IP网络,通过改变网络的通信参数,使得被攻击的目标的攻击面不断随机变化,让攻击者无法有效识别目标节点或服务入口,从上阻止网络攻击行为的发生。这里的通信参数,主要指目标主机的IP地址和通信端口,其中IP地址表示主机在网络中的身份,通信端口表示主机的不同通信连接,通过IP地址和端口能够建立主机之间的通信连接。本文中将IP地址、或IP地址+端口统一称为标识,能够标识主机或主机提供的服务入口。
互联网的典型业务访问模型是客户端-服务器方式,图1是相关技术中的客户端访问服务器的框图,如图1所示,客户端通过服务器的域名从域名服务器(Domain NameServer,简称DNS)获取服务器的IP地址,然后通过IP地址找到服务器,并通过服务器开放的通讯端口建立连接,获取服务器提供的业务。终端的通讯参数一般是变化的,而服务器为了给不同终端提供服务,在网络中的IP地址、通信端口信息必须是公开的,稳定的,这就给攻击者提供了方便,攻击者从控制的客户端,或者被攻破的客户端,利用服务器公开的IP地址和端口信息,有针对性地攻击服务器。
现有移动目标防御技术,主要是针对客户端进行防护,而对于服务器,如果也采用类似方法随机改变其通信参数,将使终端无法找到服务器或者服务的入口,从而影响正常的业务。
针对相关技术中对于服务器通过随机改变参数的方式影响正常业务的问题,尚未提出解决方案。
发明内容
本发明实施例提供了业务请求处理方法及装置,以至少解决相关技术中对于服务器通过随机改变参数的方式影响正常业务的问题。
根据本发明的一个实施例,提供了一种业务请求处理方法,包括:
向域名服务器DNS发送查询服务器域名的查询请求;
接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
接收所述服务器返回的响应所述业务请求的业务响应消息。
可选地,所述查询请求中携带有待查询的服务器域名以及客户端的IP地址。
可选地,所述向DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW,并将所述查询请求转发给选择的所述IDGW,供所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并接收所述IDGW选取的所述第一标识;或者,
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW。
可选地,所述向域名服务器DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW;
接收所述DNS返回的响应消息,其中,所述响应消息用于指示向所述IDGW发送所述查询请求;
根据所述响应消息将所述查询请求重定向给所述IDGW,其中,所述查询请求用于所述IDGW从第一标识池中选取所述第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
根据本发明的另一个实施例,还提供了一种业务请求处理方法,包括:
接收客户端发送的查询服务器域名的查询请求;
根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求中携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
将所述查询请求转发给选择的所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
接收所述IDGW选取的所述第一标识;
向所述客户端返回所述查询响应。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识;
建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW;
向所述客户端返回所述查询响应。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
向所述客户端返回响应消息,其中,所述响应消息用于所述客户端将所述查询请求重定向给所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述IDGW向所述客户端返回所述查询响应。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
根据本发明的又一个实施例,还提供了一种业务请求处理方法,包括:
接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
接收所述客户端根据所述第一标识发送的业务请求;
将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述查询请求;
从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述客户端的I P地址、所述第一标识与所述第二标识之间的映射关系,其中,所述映射关系是所述DNS在选取所述第一标识之后建立的;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述客户端根据响应消息重定向的所述查询请求,其中,所述响应消息是所述DNS接收到所述查询请求之后向所述客户端发送的;
根据所述查询请求从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
向所述客户端返回所述查询响应。
可选地,将所述第一标识转换为服务器的第二标识包括:
根据所述映射关系将所述第一标识转换为所述第二标识。
可选地,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端包括:
接收所述服务器返回的携带所述第二标识的所述业务响应消息;
根据所述映射关系将所述第二标识转换为所述第一标识;
根据所述第一标识将所述业务响应消息发送给所述客户端。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
根据本发明的另一个实施例,还提供了一种业务请求处理装置,应用于客户端,包括:
第一发送模块,用于向域名服务器DNS发送查询服务器域名的查询请求;
第一接收模块,用于接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
第二发送模块,用于根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
第二接收模块,用于接收所述服务器返回的响应所述业务请求的业务响应消息。
可选地,所述查询请求中携带有待查询的服务器域名以及客户端的IP地址。
可选地,所述第一发送模块,还用于
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW,并将所述查询请求转发给选择的所述IDGW,供所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并接收所述IDGW选取的所述第一标识;或者,
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW。
可选地,所述第一发送模块,还用于
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW;
接收所述DNS返回的响应消息,其中,所述响应消息用于指示向所述IDGW发送所述查询请求;
根据所述响应消息将所述查询请求重定向给所述IDGW,其中,所述查询请求用于所述IDGW从第一标识池中选取所述第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系。
根据本发明的又一个实施例,还提供了一种业务请求处理装置,应用于域名服务器DNS,包括:
第三接收模块,用于接收客户端发送的查询服务器域名的查询请求;
返回模块,用于根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求中携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述返回模块,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
将所述查询请求转发给选择的所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
接收所述IDGW选取的所述第一标识;
向所述客户端返回所述查询响应。
可选地,所述返回模块,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识;
建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW;
向所述客户端返回所述查询响应。
可选地,所述返回模块,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
向所述客户端返回响应消息,其中,所述响应消息用于所述客户端将所述查询请求重定向给所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述IDGW向所述客户端返回所述查询响应。
根据本发明的又一个实施例,还提供了一种业务请求处理装置,应用于标识网关IDGW,包括:
第四接收模块,用于接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
第五接收模块,用于接收所述客户端根据所述第一标识发送的业务请求;
第一转发模块,用于将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
第二转发模块,用于将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述第四接收模块,还用于
接收所述DNS发送的所述查询请求;
从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述第四接收模块,还用于
接收所述DNS发送的所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,其中,所述映射关系是所述DNS在选取所述第一标识之后建立的;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述第四接收模块,还用于
接收所述客户端根据响应消息重定向的所述查询请求,其中,所述响应消息是所述DNS接收到所述查询请求之后向所述客户端发送的;
根据所述查询请求从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
向所述客户端返回所述查询响应。
可选地,所述第二转发模块,还用于
接收所述服务器返回的携带所述第二标识的所述业务响应消息;
根据所述映射关系将所述第二标识转换为所述第一标识;
根据所述第一标识将所述业务响应消息发送给所述客户端。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,通过引入标识网关,在不影响正常业务的情况下,对服务器的通信参数进行变换,因此,可以解决相关技术中对于服务器通过随机改变参数的方式影响正常业务的问题,实现了对目标服务器进行主动防护,提高整个服务器系统的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是相关技术中的客户端访问服务器的框图;
图2是本发明实施例的一种业务请求处理方法的移动终端的硬件结构框图;
图3是根据本发明实施例的业务请求处理方法的流程图一;
图4是根据本发明实施例的业务请求处理方法的流程图二;
图5是根据本发明实施例的业务请求处理方法的流程图三;
图6是根据本发明优选实施例的业务请求处理方法的示意图一;
图7是根据本发明优选实施例的业务请求处理方法的示意图二;
图8是根据本发明优选实施例的业务请求处理方法的示意图三;
图9是根据本发明实施例的业务请求处理装置的框图一;
图10是根据本发明实施例的业务请求处理装置的框图二;
图11是根据本发明实施例的业务请求处理装置的框图三;
图12是根据本发明实施例的业务请求处理系统的框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
实施例1
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图2是本发明实施例的一种业务请求处理方法的移动终端的硬件结构框图。如图2所示,移动终端10可以包括一个或多个(图2中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图2所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端10还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的业务请求处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种运行于上述移动终端的业务请求处理方法,图3是根据本发明实施例的业务请求处理方法的流程图一,如图3所示,该流程包括如下步骤:
步骤S302,向域名服务器DNS发送查询服务器域名的查询请求;
步骤S304,接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
步骤S306,根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
步骤S308,接收所述服务器返回的响应所述业务请求的业务响应消息。
通过上述步骤,可以解决相关技术中对于服务器通过随机改变参数的方式影响正常业务的问题,实现了对目标服务器进行主动防护,提高整个服务器系统的安全性。
本发明实施例中,第二标识的获取过程为:IDGW或DNS接收到域名请求时,在选择第一标识时,同时使用服务器域名向管理服务器的域名服务器请求服务器的IP地址,即第二标识中的IP地址信息。
可选地,所述查询请求中携带有待查询的服务器域名以及客户端的IP地址。
可选地,所述向DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW,并将所述查询请求转发给选择的所述IDGW,供所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并接收所述IDGW选取的所述第一标识;或者,
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS选择IDGW以及第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW。
可选地,所述向域名服务器DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW;
接收所述DNS返回的响应消息,其中,所述响应消息用于指示向所述IDGW发送所述查询请求;
根据所述响应消息将所述查询请求重定向给所述IDGW,其中,所述查询请求用于所述IDGW从第一标识池中选取所述第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
实施例2
根据本发明的另一个实施例,还提供了一种业务请求处理方法,图4是根据本发明实施例的业务请求处理方法的流程图二,如图4所示,该流程包括如下步骤:
步骤S402,接收客户端发送的查询服务器域名的查询请求;
步骤S404,根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求中携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择IDGW;
将所述查询请求转发给选择的所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
接收所述IDGW选取的所述第一标识;
向所述客户端返回所述查询响应。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
选择IDGW以及第一标识;
建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW;
向所述客户端返回所述查询响应。
可选地,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择IDGW;
向所述客户端返回响应消息,其中,所述响应消息用于所述客户端将所述查询请求重定向给所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述IDGW向所述客户端返回所述查询响应。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
实施例3
根据本发明的又一个实施例,还提供了一种业务请求处理方法,图5是根据本发明实施例的业务请求处理方法的流程图三,如图5所示,该流程包括如下步骤:
步骤S502,接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
步骤S504,接收所述客户端根据所述第一标识发送的业务请求;
步骤S506,将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
步骤S508,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述查询请求;
从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述客户端的I P地址、所述第一标识与所述第二标识之间的映射关系,其中,所述映射关系是所述DNS在选取所述第一标识之后建立的;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述客户端根据响应消息重定向的所述查询请求,其中,所述响应消息是所述DNS接收到所述查询请求之后向所述客户端发送的;
根据所述查询请求从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
向所述客户端返回所述查询响应。
可选地,将所述第一标识转换为服务器的第二标识包括:
根据所述映射关系将所述第一标识转换为所述第二标识。
可选地,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端包括:
接收所述服务器返回的携带所述第二标识的所述业务响应消息;
根据所述映射关系将所述第二标识转换为所述第一标识;
根据所述第一标识将所述业务响应消息发送给所述客户端。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
本发明实施例应用于服务器的移动目标防御,在客户端和服务器之间增加标识网关(Identity Gateway,简称IDGW),并增强DNS功能,在客户端需要访问服务器时,具体包括:
客户端使向域名服务器DNS发送用服务器域名查询请求,DNS将同一个服务器的域名信息动态解析为标识网关IDGW管理的标识,即第一标识,并返回给客户端;客户端使用所述第一标识作为业务请求目标,将业务请求发送给IDGW;IDGW将所述第一标识转换为服务器的服务标识,即第二标识,将请求转发给服务器;服务器返回的响应发送到IDGW,经IDGW转换后,发送给客户端。
进一步地,所述标识指IP地址,或IP地址加通讯端口,能够表示服务主机地址,或者主机提供的服务入口;所述第一标识,是IDGW所管理的标识,IDGW管理的多个标识构成标识池,具体形式是IP地址池,或者(IP地址+通信端口)池;所述第二标识,为服务器的IP地址,或者服务器的IP地址加通信端口。所述服务器的域名信息指服务的域名,或者服务器的主机名,并可进一步包括所述服务的通信端口;
第一标识的选取策略为根据所述服务器的域名信息、客户端信息、时间等因素,从IDGW管理的服务标识池中随机选取,并建立客户端IP、第一标识、第二标识之间的映射关系,要求通过第一标识,或者客户端IP+第一标识能够唯一确定第二标识。
DNS向IDGW发送选取第一标识的选取请求,由IDGW执行选取第一标识的选取策略,并返回给DNS;或者DNS使用DNS迭代机制,使客户端向IDGW重新发起域名查询请求,由IDGW执行选取策略,并返回给客户端;或者DNS在本地执行选取策略,然后将所建立的映射关系发送给IDGW;DNS向IDGW发送选取请求携带客户端IP信息;DNS解析结果设置为不缓存,或缓存时间很短。
客户端将第一标识中的IP地址作为目标地址,如果第一标识中含有通信端口信息,则端口信息作为目标端口,否则使用默认的服务端口。
IDGW根据所述客户端IP、第一标识、第二标识之间的映射关系,检查业务请求,如果业务请求中的客户端IP、第一标识与映射关系中的记录匹配,则执行转换发送过程,否则拒绝转发,以保证该第一标识只有由指定的客户端访问;IDGW将业务请求中的目标IP地址,即第一标识中的IP地址,转换为第二标识对应的IP地址,或者将业务请求中的目标IP地址、目标端口,即第一标识中的IP地址和通信端口,转换为第二标识对应的IP地址、通信端口,然后转发给第二标识对应的服务器。
当IDGW接收到服务器的响应后,将响应中的源IP地址,即第二标识对应的IP地址,转换为第一标识中的IP地址,或者将响应中的源IP地址和源端口,即第二标识对应的IP地址和通信端口,转换为第一标识中的IP地址和通信端口,然后转发给终端;如果由于客户端或服务器主动释放通信连接,或者在一定时间内没有业务,IDGW主动释放客户端与服务器之间的连接,IDGW删除本地保存的映射关系,可以进一步通知DNS映射关系已经释放。
下面以具体示例对本发明实施例进行详细说明。
示例1
图6是根据本发明优选实施例的业务请求处理方法的示意图一,如图6所示,在本实施例,第一标识和第二标识都使用IP地址标识表示,网络中可以存在多个IDGW,每个IDGW维护有IP池作为第一标识池,IP地址池的范围不能重叠,比如IDGW1使用3.3.3.1-3.3.3.254,IDGW2使用3.3.4.1-3.3.4.254。
当客户端要访问互联网的业务时,如访问web网站example.abc.com,提供该业务的服务器的IP地址为4.4.4.4,即第二标识为4.4.4.4,默认通信端口为80,则业务访问过程如下:
步骤601,客户端向DNS发送域名查询(example.abc.com)请求;
步骤602,DNS收到查询请求后,选择提供服务的IDGW;
步骤603,DNS向选择的IDGW发送域名查询请求,其中携带需要查询的域名(example.abc.com)以及客户端的IP地址;
步骤604,IDGW收到请求后,从第一标识池中选取第一标识(如3.3.3.100),并通过管理服务器的DNS服务获取域名(example.abc.com)对应第二标识(4.4.4.4),从而建立(客户端IP地址,第一标识,第二标识)之间的映射关系;
具体选取策略是随机从第一标识池中选取没有被占用的第一标识,或者随机从第一标识池中选取一个不在(客户端IP,第一标识,第二标识)列表中的第一标识。对于前者,要求从第一标识能唯一确定对应第二标识;对于后者,从客户端IP和第一标识能唯一确定对应的第二标识,这样可以减少维护的第一标识池中的第一标识数量。
步骤605,IDGW向DNS返回选取的第一标识;
步骤606,DNS向客户端返回查询响应,携带域名解析结果第一标识;
步骤611,客户端使用第一标识作为目标IP地址,端口使用默认端口,向IDGW发送业务请求数据包;
步骤612,IDGW根据数据包中的客户端IP、第一标识从映射关系中查询对应的第二标识,然后将第一标识转换为第二标识,发送给第二标识对应的服务器,在转换过程中,不替换数据包中的通信端口;
如果没有查询到对应的第二标识,则说明第一标识没有分配给该客户端,认为这是个非法的数据访问,丢弃该请求,也可以作为可疑访问,记录该次业务请求。
步骤613,服务器根据业务请求处理业务,返回响应数据包,响应数据包中的源IP地址为第二标识;
步骤614,IDGW根据映射关系,将数据包源IP地址中的第二标识转换为第一标识,然后发送给客户端,在转换过程中,不替换数据包中的通信端口。
在域名解析过程中,也可以采用DNS迭代查询机制,具体步骤如步骤607-610所示。
步骤607,在步骤602选择IDGW后,返回响应,通知客户端向IDGW去查询域名;
步骤608,客户端向IDGW发送域名查询请求;
步骤609,与步骤604相同,IDGW选取第一标识;
步骤610,IDGW向客户端返回查询响应,携带域名解析结果第一标识;
后续步骤同步骤611-614。
从上面的过程可以看到,客户端必须通过IDGW才能访问服务器,而且不同客户端,或者同一客户端在不同时间获取的服务器的IP地址都不同,从而隐藏真实服务器的信息。
同时IDGW能够进行合法性检查,分配的IP地址只能由指定的客户端访问,这样即使攻击者侦听到该IP地址,使用该IP地址访问服务器,IDGW会拒绝访问,通过上述措施提高了服务器的安全性。
示例2
图7是根据本发明优选实施例的业务请求处理方法的示意图二,如图7所示,在本实施例,第一标识和第二标识都使用IP地址加通信端口表示,即IP:Port方式表示。
网络中可以存在多个IDGW,每个IDGW维护有一个或多个IP,并使用IP:port作为第一标识池。因为一个IP地址有65535个端口,相比于实施例1,减少对IP地址的占用。比如IDGW1使用3.3.3.1-3.3.3.2,每个地址都有65535个端口可用,这样使用2个IP地址,就可以构建容量有12万多个第一标识池。
当客户端要访问互联网的业务时,如访问web网站example.abc.com,提供该业务的服务器的IP地址为4.4.4.4,通信端口为80,即第二标识为4.4.4.4:80,则业务访问过程如下:
步骤701,客户端向DNS发送域名查询(example.abc.com)请求,其中需要携带服务器的通信端口80,如果不带,则使用该协议默认端口;
步骤702,DNS收到查询请求后,选择提供服务的IDGW;
步骤703,DNS向选择的IDGW发送域名查询请求,其中携带需要查询的域名(example.abc.com)、端口,以及客户端的IP地址;
步骤704,IDGW收到请求后,从第一标识池中选取第一标识,并通过管理服务的DNS服务获取域名(example.abc.com)对应第二标识,从而建立(客户端IP地址,第一标识,第二标识)之间的映射关系,其中第一标识、第二标识都为IP地址+Port;
具体选取策略是随机从第一标识池中选取没有被占用的第一标识,或者随机从第一标识池中选取一个不在(客户端IP,第一标识,第二标识)列表中的第一标识。因为本实施例的第一标识池的容量大,建议直接采用前面方式。
步骤705,IDGW向DNS返回选取的第一标识,第一标识中除了IP地址,还包括通信端口;
步骤706,DNS向客户端返回查询响应,携带域名解析结果第一标识;
步骤711,客户端使用第一标识中的IP地址作为目标IP地址,通信端口作为目的端口,向IDGW发送业务请求数据包;
步骤712,IDGW根据数据包中的客户端IP、第一标识从映射关系中查询对应的第二标识,然后将第一标识转换为第二标识,即数据包的目的IP替换为第二标识中的IP地址,目的端口替换为第二标识中的通信端口,发送给第二标识对应的服务器;
如果没有查询到对应的第二标识,则认为这是个非法的数据访问,丢弃该请求。
步骤713,服务器根据业务请求处理业务,返回响应数据包,响应数据包中的源IP地址为第二标识IP地址,源端口为第二标识的通信端口;
步骤714,IDGW根据映射关系,将数据包源IP地址中的第二标识转换为第一标识,即数据包的源IP替换为第一标识中的IP地址,目的端口替换为第一标识中的通信端口,然后发送给客户端。
在域名解析过程中,也可以采用DNS迭代查询机制,具体过程如步骤707-710所示,与步骤607-610类似,不再赘述。
该实施例所描述的方法将端口作为标识的一部分,与实施例二相比,节省了大量的IP地址,但需要终端在做域名解析时携带端口,并使用IDGW选择的端口作为目的端口。
从上面的过程可以看到,客户端必须通过IDGW访问服务器,而且不同客户端在不同时间获取的服务器的IP:port都不同,从而隐藏真实服务器的信息,同时IDGW会合法性检查,分配第一标识的IP:port只能由指定的客户端访问,如果攻击者侦听到该IP地址和端口,向使用该IP地址和端口访问服务器,IDGW会拒绝访问,通过上述措施提高了服务器的安全性。
示例3
图8是根据本发明优选实施例的业务请求处理方法的示意图三,如图8所示,在本实施例,第一标识和第二标识可以采用实施例二或三的方式,与前面的区别主要是DNS保存有不同IDGW所维护的第一标识池,由DNS统一选取IDGW以及第一标识,并将选取的结果通知客户端的同时,也通知IDGW。
步骤801,客户端向DNS发送域名查询请求;
步骤802,DNS选择IDGW以及第一标识,建立(用户IP,第一标识、第二标识)之间的映射关系;
步骤803,DNS将映射关系发送到IDGW;
步骤804,IDGW保存映射关系;
步骤805,IDGW返回响应;
步骤806,DNS向终端返回第一标识;
后续业务请求过程同步骤611-614,或者步骤711-714。
在上述实施例中,当客户端或服务器主动释放连接,或者在建立的连接上长时间没有业务流,IDGW会主动删除建立或保存的映射关系,将第一标识重新释放到第一标识池中,在实施例四中,还将通知DNS,DNS删除建立的映射关系。
通过上述步骤,能够克服现有技术服务器服务入口固定、信息公开的问题,使得服务器的入口随机化、动态化,从而使攻击者很难发起攻击,提高攻击成本,从而提高网络的安全性。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例4
在本实施例中还提供了一种业务请求处理装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。图9是根据本发明实施例的业务请求处理装置的框图一,如图9所示,应用于客户端,包括:
第一发送模块92,用于向域名服务器DNS发送查询服务器域名的查询请求;
第一接收模块94,用于接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
第二发送模块96,用于根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
第二接收模块98,用于接收所述服务器返回的响应所述业务请求的业务响应消息。
可选地,所述查询请求中携带有待查询的服务器域名以及客户端的IP地址。
可选地,所述第一发送模块92,还用于
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW,并将所述查询请求转发给选择的所述IDGW,供所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并接收所述IDGW选取的所述第一标识;或者,
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW。
可选地,所述第一发送模块92,还用于
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW;
接收所述DNS返回的响应消息,其中,所述响应消息用于指示向所述IDGW发送所述查询请求;
根据所述响应消息将所述查询请求重定向给所述IDGW,其中,所述查询请求用于所述IDGW从第一标识池中选取所述第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系。
实施例5
根据本发明的又一个实施例,还提供了一种业务请求处理装置,图10是根据本发明实施例的业务请求处理装置的框图二,如图10所示,应用于域名服务器DNS,包括:
第三接收模块102,用于接收客户端发送的查询服务器域名的查询请求;
返回模块104,用于根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求中携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述返回模块104,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
将所述查询请求转发给选择的所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
接收所述IDGW选取的所述第一标识;
向所述客户端返回所述查询响应。
可选地,所述返回模块104,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识;
建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW;
向所述客户端返回所述查询响应。
可选地,所述返回模块104,还用于
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
向所述客户端返回响应消息,其中,所述响应消息用于所述客户端将所述查询请求重定向给所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述IDGW向所述客户端返回所述查询响应。
实施例6
根据本发明的又一个实施例,还提供了一种业务请求处理装置,图11是根据本发明实施例的业务请求处理装置的框图三,如图11所示,应用于标识网关IDGW,包括:
第四接收模块112,用于接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
第五接收模块114,用于接收所述客户端根据所述第一标识发送的业务请求;
第一转发模块116,用于将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
第二转发模块118,用于将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述第四接收模块112,还用于
接收所述DNS发送的所述查询请求;
从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述第四接收模块112,还用于
接收所述DNS发送的所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,其中,所述映射关系是所述DNS在选取所述第一标识之后建立的;
通过所述DNS向所述客户端返回所述查询响应。
可选地,所述第四接收模块112,还用于
接收所述客户端根据响应消息重定向的所述查询请求,其中,所述响应消息是所述DNS接收到所述查询请求之后向所述客户端发送的;
根据所述查询请求从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
向所述客户端返回所述查询响应。
可选地,所述第二转发模块118,还用于
接收所述服务器返回的携带所述第二标识的所述业务响应消息;
根据所述映射关系将所述第二标识转换为所述第一标识;
根据所述第一标识将所述业务响应消息发送给所述客户端。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例7
本发明实施例还提供了一种业务请求处理系统,图12是根据本发明实施例的业务请求处理系统的框图,如图12所示,包括:客户端、域名服务器DNS、标识网关IDGW以及服务器,其中,
所述客户端,用于向所述DNS发送查询服务器域名的查询请求;
所述DNS,用于根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有所述IDGW的第一标识;
所述IDGW,用于接收所述客户端发送的发送业务请求,将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
所述服务器,用于根据所述业务请求通过所述IDGW向所述客户端返回响应所述业务请求的业务响应消息。
可选地,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
可选地,所述DNS,还用于根据所述服务器域名、随机或轮流的方式选择所述IDGW,将所述查询请求转发给选择的所述IDGW;
所述IDGW,还用于从第一标识池中选取的第一标识,建立客户端的IP地址、第一标识与第二标识的映射关系,并将所述第一标识通过所述DNS发送给所述客户端。
可选地,所述DNS,还用于根据所述服务器域名、随机或轮流的方式选择所述IDGW以及第一标识,建立客户端的IP地址、第一标识与第二标识的映射关系,并将所述映射关系发送给选择的所述IDGW;向所述客户端返回所述查询响应。
可选地,所述DNS,还用于根据所述服务器域名、随机或轮流的方式选择所述IDGW;向所述客户端返回向选择的所述IDGW发送所述查询请求的响应消息;
所述客户端,还用于根据所述响应消息将所述查询请求重定向给所述IDGW;
所述IDGW,还用于从第一标识池中选取的第一标识,建立客户端的IP地址、第一标识与第二标识的映射关系;向所述客户端返回所述查询响应。
可选地,所述IDGW,还用于接收所述服务器返回的携带所述第二标识的所述业务响应消息,根据所述映射关系将所述第二标识转换为所述第一标识,根据所述第一标识将所述业务响应消息发送给所述客户端。
可选地,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
可选地,所述服务器的域名信息包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
下面对各个网元功能进行详细说明。
客户端:客户端使用服务器域名发起业务访问,向DNS发送域名查询请求,并可进一步在DNS查询请求中携带服务器的端口信息;根据DNS返回的响应的第一标识信息,使用第一标识中的IP地址和默认通信端口,或第一标识中的IP地址和第一标识中的通信端口,向IDGW发送业务请求,并接收IDGW返回的业务响应。
服务器:通过第二标识中的IP地址和通信端口向客户端提供业务。
DNS:对现有的DNS进行增强,支持以下特性:
接收到客户端发送的DNS查询请求,选择IDGW;
充当代理向选择的IDGW查询域名对应的第一标识,或者使用替代机制,指示客户端直接向选择IDGW发送DNS查询请求,或者根据解析策略,在IDGW管理的第一标识池中随机选取标识,通知IDGW选取结果;
将选择结果返回给客户端。
IDGW:位于客户端和服务器之间,负责第一标识的维护、分配,并实现第二标识的隐藏,以及第一标识和第二标识的转换,从而对服务器提供安全防护功能,具体特性如下:
1)IDGW负责管理第一标识池;
2)当收到来自DNS或客户端的域名查询请求,根据策略从第一标识池中随机选取第一标识,建立客户端、第一标识、第二标识之间的映射关系,并将选取结果通过DNS或直接返回给客户端;或者当接收到DNS的选取结果后,建立客户端、第一标识、第二标识之间的映射关系;
3)当接收到业务请求时,根据映射关系执行第一标识到第二标识的转换;当收到对应的业务响应时,根据映射关系执行第二标识到第一标识的转换;
4)维护映射关系,并对数据包进行权限控制,只转发符合映射关系的数据包。
实施例8
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S11,向域名服务器DNS发送查询服务器域名的查询请求;
S12,接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
S13,根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
S14,接收所述服务器返回的响应所述业务请求的业务响应消息。
可选地,存储介质还被设置为存储用于执行以下步骤的计算机程序:
S21,接收客户端发送的查询服务器域名的查询请求;
S22,根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,存储介质还被设置为存储用于执行以下步骤的计算机程序:
S31,接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
S32,接收所述客户端根据所述第一标识发送的业务请求;
S33,将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
S34,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
实施例9
本发明的实施例还提供了一种电子装置,包括存储器和处理器,其中,存储器与图1中的“存储器104”对应,即将图1中的存储器104可以作为该电子装置中的一种存储器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S11,向域名服务器DNS发送查询服务器域名的查询请求;
S12,接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
S13,根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
S14,接收所述服务器返回的响应所述业务请求的业务响应消息。
可选地,在本实施例中,上述处理器还可以被设置为通过计算机程序执行以下步骤:
S21,接收客户端发送的查询服务器域名的查询请求;
S22,根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,在本实施例中,上述处理器还可以被设置为通过计算机程序执行以下步骤:
S31,接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
S32,接收所述客户端根据所述第一标识发送的业务请求;
S33,将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
S34,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (23)
1.一种业务请求处理方法,其特征在于,包括:
向域名服务器DNS发送查询服务器域名的查询请求;
接收根据所述查询请求返回的查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
根据所述第一标识向所述IDGW发送业务请求,其中,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器;
接收所述服务器返回的响应所述业务请求的业务响应消息。
2.根据权利要求1所述的方法,其特征在于,所述查询请求中携带有待查询的服务器域名以及客户端的IP地址。
3.根据权利要求2所述的方法,其特征在于,所述向域名服务器DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择IDGW,并将所述查询请求转发给选择的所述IDGW,供所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并接收所述IDGW选取的所述第一标识;或者,
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS选择IDGW以及第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW。
4.根据权利要求2所述的方法,其特征在于,所述向域名服务器DNS发送查询服务器域名的查询请求包括:
向所述DNS发送所述查询请求,其中,所述查询请求用于所述DNS根据所述服务器域名、随机或轮流的方式选择所述IDGW;
接收所述DNS返回的响应消息,其中,所述响应消息用于指示向所述IDGW发送所述查询请求;
根据所述响应消息将所述查询请求重定向给所述IDGW,其中,所述查询请求用于所述IDGW从第一标识池中选取所述第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
7.一种业务请求处理方法,其特征在于,包括:
接收客户端发送的查询服务器域名的查询请求;
根据所述查询请求向所述客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识,所述第一标识用于所述客户端向所述IDGW发送业务请求,所述业务请求用于所述IDGW将所述第一标识转换为服务器的第二标识,并根据所述第二标识将所述业务请求转发给所述服务器,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
8.根据权利要求7所述的方法,其特征在于,所述查询请求中携带有待查询的服务器域名以及所述客户端的IP地址。
9.根据权利要求8所述的方法,其特征在于,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
将所述查询请求转发给选择的所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
接收所述IDGW选取的所述第一标识;
向所述客户端返回所述查询响应。
10.根据权利要求8所述的方法,其特征在于,所述根据所述查询请求向所述客户端返回查询响应包括:
选择IDGW以及第一标识;
建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,并将所述映射关系发送给选择的所述IDGW;
向所述客户端返回所述查询响应。
11.根据权利要求8所述的方法,其特征在于,所述根据所述查询请求向所述客户端返回查询响应包括:
根据所述服务器域名、随机或轮流的方式选择所述IDGW;
向所述客户端返回响应消息,其中,所述响应消息用于所述客户端将所述查询请求重定向给所述IDGW,所述查询请求用于所述IDGW从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述IDGW向所述客户端返回所述查询响应。
12.根据权利要求7至11中任一项所述的方法,其特征在于,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
13.根据权利要求7至11中任一项所述的方法,其特征在于,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
14.一种业务请求处理方法,其特征在于,包括:
接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
接收所述客户端根据所述第一标识发送的业务请求;
将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
15.根据权利要求14所述的方法,其特征在于,所述查询请求携带有待查询的服务器域名以及所述客户端的IP地址。
16.根据权利要求15所述的方法,其特征在于,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述查询请求;
从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
通过所述DNS向所述客户端返回所述查询响应。
17.根据权利要求15所述的方法,其特征在于,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述DNS发送的所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系,其中,所述映射关系是所述DNS在选取所述第一标识之后建立的;
通过所述DNS向所述客户端返回所述查询响应。
18.根据权利要求15所述的方法,其特征在于,所述接收查询服务器域名的查询请求,并根据所述查询请求向DNS或客户端返回查询响应包括:
接收所述客户端根据响应消息重定向的所述查询请求,其中,所述响应消息是所述DNS接收到所述查询请求之后向所述客户端发送的;
根据所述查询请求从第一标识池中选取的第一标识,建立所述客户端的IP地址、所述第一标识与所述第二标识之间的映射关系;
向所述客户端返回所述查询响应。
19.根据权利要求16至18中任一项所述的方法,其特征在于,将所述第一标识转换为服务器的第二标识包括:
根据所述映射关系将所述第一标识转换为所述第二标识。
20.根据权利要求16至18中任一项述的方法,其特征在于,将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端包括:
接收所述服务器返回的携带所述第二标识的所述业务响应消息;
根据所述映射关系将所述第二标识转换为所述第一标识;
根据所述第一标识将所述业务响应消息发送给所述客户端。
21.根据权利要求14至18中任一项所述的方法,其特征在于,所述第一标识和所述第二标识为IP地址,或者,IP地址+通信端口。
22.根据权利要求14至18中任一项所述的方法,其特征在于,所述服务器域名包括以下之一:服务的域名,服务器的主机名,服务的通信端口。
23.一种业务请求处理装置,应用于标识网关IDGW,其特征在于,包括:
第四接收模块,用于接收查询服务器域名的查询请求,并根据所述查询请求向域名服务器DNS或客户端返回查询响应,其中,所述查询响应中携带有标识网关IDGW的第一标识;
第五接收模块,用于接收所述客户端根据所述第一标识发送的业务请求;
第一转发模块,用于将所述第一标识转换为服务器的第二标识,并将根据所述第二标识将所述业务请求转发给所述服务器;
第二转发模块,用于将所述服务器返回的响应所述业务请求的业务响应消息转发给所述客户端。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711444514.6A CN109981803B (zh) | 2017-12-27 | 2017-12-27 | 业务请求处理方法及装置 |
PCT/CN2018/124419 WO2019129154A1 (zh) | 2017-12-27 | 2018-12-27 | 业务请求处理方法及装置 |
US16/958,982 US11451510B2 (en) | 2017-12-27 | 2018-12-27 | Method and apparatus for processing service request |
EP18894658.6A EP3720100A4 (en) | 2017-12-27 | 2018-12-27 | METHOD AND DEVICE FOR SERVICE REQUEST PROCESSING |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711444514.6A CN109981803B (zh) | 2017-12-27 | 2017-12-27 | 业务请求处理方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109981803A true CN109981803A (zh) | 2019-07-05 |
CN109981803B CN109981803B (zh) | 2022-04-29 |
Family
ID=67066604
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711444514.6A Active CN109981803B (zh) | 2017-12-27 | 2017-12-27 | 业务请求处理方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US11451510B2 (zh) |
EP (1) | EP3720100A4 (zh) |
CN (1) | CN109981803B (zh) |
WO (1) | WO2019129154A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111683063A (zh) * | 2020-05-20 | 2020-09-18 | 北京吉安金芯信息技术有限公司 | 消息处理方法、系统、装置、存储介质及处理器 |
CN112073398A (zh) * | 2020-08-27 | 2020-12-11 | 北京金山云网络技术有限公司 | 消息队列的处理方法、装置和系统、存储介质和电子装置 |
CN112565318A (zh) * | 2019-09-25 | 2021-03-26 | 中兴通讯股份有限公司 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
CN113194076A (zh) * | 2021-04-16 | 2021-07-30 | 中盈优创资讯科技有限公司 | 一种安全控制器及其实现方法 |
CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2020108730A1 (en) * | 2018-11-26 | 2020-06-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Domain name system queries |
CN111399934A (zh) * | 2020-02-21 | 2020-07-10 | 中国建设银行股份有限公司 | 一种管理自动程序的方法和装置 |
CN113392093A (zh) * | 2021-07-09 | 2021-09-14 | 中国建设银行股份有限公司 | 一种业务处理方法、装置、电子设备及计算机可读介质 |
CN114125818B (zh) * | 2021-11-23 | 2023-08-22 | 北京字节跳动网络技术有限公司 | 业务参数传输方法、装置、系统、电子设备和存储介质 |
CN114973515A (zh) * | 2022-01-25 | 2022-08-30 | 浙江浩瀚能源科技有限公司 | 充电桩即插即充功能测试方法、装置和存储介质 |
CN115145587A (zh) * | 2022-07-22 | 2022-10-04 | 中国农业银行股份有限公司 | 一种产品参数校验方法、装置、电子设备及存储介质 |
CN115334150B (zh) * | 2022-08-15 | 2024-01-19 | 北京分贝通科技有限公司 | 一种数据转发的方法、装置、系统、电子设备及介质 |
CN115412592B (zh) * | 2022-08-19 | 2023-08-22 | 恒生电子股份有限公司 | 业务处理系统以及方法 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480477A (zh) * | 2010-11-30 | 2012-05-30 | 中国移动通信集团北京有限公司 | 一种客户端进行业务访问的方法、装置及系统 |
CN102611763A (zh) * | 2011-01-25 | 2012-07-25 | 中国移动通信集团公司 | Dns查询的方法及设备 |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御系统及方法 |
US20150237158A1 (en) * | 2012-03-31 | 2015-08-20 | Beijing Qihoo Technology Company Limited | Method and system for accessing website |
CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
US20160285913A1 (en) * | 2015-03-27 | 2016-09-29 | International Business Machines Corporation | Creating network isolation between virtual machines |
CN106161670A (zh) * | 2016-06-02 | 2016-11-23 | 黄小勇 | 地址转换处理方法和地址转换处理装置 |
CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2950583B1 (en) * | 2005-05-12 | 2020-06-03 | Apple Inc. | Using an access point name to select an access gateway node |
US8279776B1 (en) * | 2009-10-26 | 2012-10-02 | Sprint Communications Company L.P. | Network address translation based on a reverse domain name service |
WO2012048206A2 (en) * | 2010-10-08 | 2012-04-12 | Virginia Tech Intellectual Properties, Inc. | Method and system for dynamically obscuring addresses in ipv6 |
CN104601456B (zh) * | 2013-10-30 | 2017-11-07 | 华为终端有限公司 | 网关替换方法、网关及服务器 |
US10447710B1 (en) * | 2014-06-03 | 2019-10-15 | Cryptonite, LLC | Self-shielding dynamic network architecture |
US10432576B2 (en) * | 2014-06-19 | 2019-10-01 | Instart Logic, Inc. | User device to domain name resolver mapping |
US9565147B2 (en) * | 2014-06-30 | 2017-02-07 | Go Daddy Operating Company, LLC | System and methods for multiple email services having a common domain |
CN104853003B (zh) | 2015-04-30 | 2018-05-15 | 中国人民解放军国防科学技术大学 | 一种基于Netfilter的地址、端口跳变通信实现方法 |
US10084756B2 (en) * | 2015-12-30 | 2018-09-25 | Argela Yazilim ve Bilisim Teknolojileri San. ve Tic. A.S. | Anonymous communications in software-defined networks via route hopping and IP address randomization |
US11294777B2 (en) * | 2016-12-05 | 2022-04-05 | Nutanix, Inc. | Disaster recovery for distributed file servers, including metadata fixers |
US10904288B2 (en) * | 2017-04-18 | 2021-01-26 | Perspecta Labs Inc. | Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation |
-
2017
- 2017-12-27 CN CN201711444514.6A patent/CN109981803B/zh active Active
-
2018
- 2018-12-27 WO PCT/CN2018/124419 patent/WO2019129154A1/zh unknown
- 2018-12-27 US US16/958,982 patent/US11451510B2/en active Active
- 2018-12-27 EP EP18894658.6A patent/EP3720100A4/en active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102480477A (zh) * | 2010-11-30 | 2012-05-30 | 中国移动通信集团北京有限公司 | 一种客户端进行业务访问的方法、装置及系统 |
CN102611763A (zh) * | 2011-01-25 | 2012-07-25 | 中国移动通信集团公司 | Dns查询的方法及设备 |
US20150237158A1 (en) * | 2012-03-31 | 2015-08-20 | Beijing Qihoo Technology Company Limited | Method and system for accessing website |
CN104378363A (zh) * | 2014-10-30 | 2015-02-25 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
CN104506511A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络动态目标防御系统及方法 |
US20160285913A1 (en) * | 2015-03-27 | 2016-09-29 | International Business Machines Corporation | Creating network isolation between virtual machines |
CN105141641A (zh) * | 2015-10-14 | 2015-12-09 | 武汉大学 | 一种基于SDN的Chaos移动目标防御方法及系统 |
CN105429957A (zh) * | 2015-11-02 | 2016-03-23 | 芦斌 | 一种基于sdn构架下的ip地址跳变安全通信方法 |
CN106161670A (zh) * | 2016-06-02 | 2016-11-23 | 黄小勇 | 地址转换处理方法和地址转换处理装置 |
CN106302525A (zh) * | 2016-09-27 | 2017-01-04 | 黄小勇 | 一种基于伪装的网络空间安全防御方法及系统 |
Non-Patent Citations (5)
Title |
---|
CRAIG A. SHUE: "《On Building Inexpensive Network Capabilities》", 《COMPUTER COMMUNICATION REVIEW》 * |
DOUGLAS C.: "《The SDN Shuffle: Creating a Moving-Target Defense using》", 《PROCEEDINGS OF THE SECOND ACM WORKSHOP ON MOVING TARGET DEFENSE》 * |
JAFAR HAADI JAFARIAN: "《Multi-dimensional Host Identity Anonymization for》", 《MOVING TARGET DEFENSE》 * |
JAFAR HAADI JAFARIAN;: "《An Effective Address Mutation Approach for Disrupting Reconnaissance Attacks》", 《IEEE》 * |
向征等: "通信网络动目标防御技术研究", 《高技术通讯》 * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112565318A (zh) * | 2019-09-25 | 2021-03-26 | 中兴通讯股份有限公司 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
WO2021057348A1 (zh) * | 2019-09-25 | 2021-04-01 | 中兴通讯股份有限公司 | 一种服务器安全防御方法及系统、通信设备、存储介质 |
CN111683063A (zh) * | 2020-05-20 | 2020-09-18 | 北京吉安金芯信息技术有限公司 | 消息处理方法、系统、装置、存储介质及处理器 |
CN111683063B (zh) * | 2020-05-20 | 2023-02-17 | 北京吉安金芯信息技术有限公司 | 消息处理方法、系统、装置、存储介质及处理器 |
CN112073398A (zh) * | 2020-08-27 | 2020-12-11 | 北京金山云网络技术有限公司 | 消息队列的处理方法、装置和系统、存储介质和电子装置 |
CN112073398B (zh) * | 2020-08-27 | 2022-10-11 | 北京金山云网络技术有限公司 | 消息队列的处理方法、装置和系统、存储介质和电子装置 |
CN113194076A (zh) * | 2021-04-16 | 2021-07-30 | 中盈优创资讯科技有限公司 | 一种安全控制器及其实现方法 |
CN113329029A (zh) * | 2021-06-18 | 2021-08-31 | 上海纽盾科技股份有限公司 | 一种针对apt攻击的态势感知节点防御方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP3720100A4 (en) | 2021-08-18 |
US11451510B2 (en) | 2022-09-20 |
EP3720100A1 (en) | 2020-10-07 |
CN109981803B (zh) | 2022-04-29 |
US20200344208A1 (en) | 2020-10-29 |
WO2019129154A1 (zh) | 2019-07-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109981803A (zh) | 业务请求处理方法及装置 | |
CN105939337B (zh) | Dns缓存投毒的防护方法及装置 | |
US9497213B2 (en) | System and method to manage sinkholes | |
US9723023B2 (en) | Destination address rewriting to block peer-to-peer communications | |
CN101180826B (zh) | 较高级协议认证 | |
US7974279B2 (en) | Multipath data communication | |
CN101651537B (zh) | 一种在通信网络系统中进行分散式安全控制的方法和装置 | |
TW200951757A (en) | Malware detection system and method | |
CN111107171B (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
CN108234522A (zh) | 防止地址解析协议arp攻击方法、装置、计算机设备和存储介质 | |
CN109951482A (zh) | 用户终端及其区块链域名解析方法 | |
CN105100048A (zh) | WiFi网络安全鉴定方法、服务器、客户端装置和系统 | |
US10827345B1 (en) | Methods and systems for LoRaWAN traffic routing and control | |
CN112688900A (zh) | 一种防御arp欺骗和网络扫描的局域网安全防护系统及方法 | |
CN103747005A (zh) | Dns缓存投毒的防护方法和设备 | |
CN104253798A (zh) | 一种网络安全监控方法和系统 | |
KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
US20210136030A1 (en) | Method for Sending an Information Item and for Receiving an Information Item for the Reputation Management of an IP Resource | |
CN108768853B (zh) | 基于域名路由器的分布式混合域名系统及方法 | |
CN114500118B (zh) | 卫星网络拓扑的隐藏方法及装置 | |
CN109698869B (zh) | 私网穿越方法、通信节点及存储介质 | |
EP3989509A1 (en) | Method for realizing network dynamics, system, terminal device and storage medium | |
Al-Dalky et al. | Practical challenge-response for DNS | |
CN114257536B (zh) | 一种工业数据采集方法和系统 | |
CN107707685A (zh) | 一种无线路由器访问控制方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |