CN111464503A - 基于随机多维变换的网络动态防御方法、装置及系统 - Google Patents

基于随机多维变换的网络动态防御方法、装置及系统 Download PDF

Info

Publication number
CN111464503A
CN111464503A CN202010163934.2A CN202010163934A CN111464503A CN 111464503 A CN111464503 A CN 111464503A CN 202010163934 A CN202010163934 A CN 202010163934A CN 111464503 A CN111464503 A CN 111464503A
Authority
CN
China
Prior art keywords
user
network
hopping
node
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010163934.2A
Other languages
English (en)
Other versions
CN111464503B (zh
Inventor
张恒巍
谭晶磊
张红旗
张玉臣
胡浩
刘小虎
胡瑞钦
徐东
李朝阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Engineering University of PLA Strategic Support Force
Original Assignee
Information Engineering University of PLA Strategic Support Force
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Engineering University of PLA Strategic Support Force filed Critical Information Engineering University of PLA Strategic Support Force
Priority to CN202010163934.2A priority Critical patent/CN111464503B/zh
Publication of CN111464503A publication Critical patent/CN111464503A/zh
Application granted granted Critical
Publication of CN111464503B publication Critical patent/CN111464503B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Power Engineering (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明属于网络安全技术领域,特别涉及一种基于随机多维变换的网络动态防御方法、装置及系统,该方法包含:对合法用户身份进行注册并将用户属性信息保存到数据库;通过访问用户属性信息判定端节点用户是否为注册用户;利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。本发明针对地址变换易碰撞分发低效等问题,通过全网端节点的持续变换构建动态网络视图,增加网络结构和目标节点不确定性,实现无检测防御和对全网节点变换的有效管理。

Description

基于随机多维变换的网络动态防御方法、装置及系统
技术领域
本发明属于网络安全技术领域,特别涉及一种基于随机多维变换的网络动态防御方法、装置及系统。
背景技术
随着网络技术的不断发展,互联网成为愈加重要的战略性基础设施;网络应用也不断影响着人们的生活方式。近年来随着诸如“棱镜门”、SWIFT银行系统风波、Dyn宕机等重大安全事件的不断曝光,网络空间安全问题愈加突显,其重要性不言而喻。网络空间“易攻难守”的不对称安全局面成为网络安全防御所面临的严峻考验。网络攻防矛尖盾薄的根本原因在于网络组成的确定性、静态性和单一性。针对网络结构的“确定性”和防御机制的“静态性”导致的攻防不对称问题,网络动态防御提出了一种全新的防御理念。它通过主动变换目标节点的呈现方式,变换暴露的攻击面,增加攻击者实施入侵的难度。从而通过增加网络结构和目标节点的不确定性,实现无检测前提下的安全防御。然而,传统网络架构中分布式路由难管理的问题是制约网络动态防御发展的关键瓶颈,软件定义网络(SoftwareDefined Network,SDN)的提出为网络安全防御提供了新思路。现有基于SDN的网络动态防御方法主要研究了地址变换的映射方法,然而在实际应用中,存在由于跳变地址冲突和地址更新耗能高导致的地址跳变失效问题。
发明内容
为此,针对地址变换易碰撞、分发低效等问题,本发明提供一种基于随机多维变换的网络动态防御方法、装置及系统,解决由于防御失效而引发的主动扫描、被动监听和内部越权与滥用的问题,具有良好的交互性和稳定性。
按照本发明所提供的设计方案,一种基于随机多维变换的网络动态防御方法,包含如下内容:
对合法用户身份进行注册并将用户属性信息保存到数据库;
通过访问用户属性信息判定端节点用户是否为注册用户;
利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。。
作为本发明基于随机多维变换的网络动态防御方法,进一步地,基于访问用户身份认证结果利用SM3杂凑算法生成跳变地址;并利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制。
作为本发明基于随机多维变换的网络动态防御方法,进一步地,跳变地址生成,包含如下内容:首先,利用跳变端节点的属性信息确定端节点的跳变周期和变换的地址范围;然后,利用SM3杂凑算法进行跳变地址和跳变周期的随机选取。
作为本发明基于随机多维变换的网络动态防御方法,进一步地,合法用户身份注册,还包含如下内容:利用用户属性进行身份认证,针对认证通过的用户,通过CP-ABE的Setup算法生成网络系统的公共参数和主秘钥,并将公共参数下发给注册端节点。
作为本发明基于随机多维变换的网络动态防御方法,进一步地,跳变全周期管控,还包含如下内容:针对访问用户为合法注册用户,依据端节点属性信息通过CP-ABE的KeyGen算法生成端节点私钥;当用户访问服务资源时,通过解析其访问请求并使用CP-ABE的Encrypt算法加密产生对称秘钥,并使用对称秘钥加密服务资源列表,发送给用户;用户利用私钥解密得到对称秘钥,并利用对称秘钥解密后获取服务资源列表。
进一步地,本发明还提供一种基于随机多维变换的网络动态防御装置,包含:注册模块、认证模块和防御模块,其中,
注册模块,用于对合法用户身份进行注册并将用户属性信息保存到数据库;
认证模块,用于通过访问用户属性信息判定端节点用户是否为注册用户;
防御模块,用于利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。
作为本发明基于随机多维变换的网络动态防御装置,进一步地,所述防御模块包含:跳变地址生成子模块、跳变安全周期管控子模块和信息管理子模块,其中,
跳变地址生成子模块,用户基于访问用户身份认证结果利用SM3杂凑算法生成跳变端信息;
跳变周期管控子模块,用于利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制;
信息管理子模块,用于收集处理端节点和网络状态并为管理员提供系统管理入口。
作为本发明基于随机多维变换的网络动态防御装置,进一步地,所述跳变周期管控子模块还包含有效性验证单元和安全等级判定单元,其中,
有效性验证单元,用于对访问用户节点的跳变地址有效性进行验证,将CP-ABE加密的服务资源列表发送给该访问用户节点,否则丢弃该用户节点此次发送的会话数据;
安全等级判定单元,根据用户安全等级是否高于请求访问服务资源的安全等级来通过私钥解密服务资源列表。
进一步地,本发明还提供一种基于随机多维变换的网络动态防御系统,基于SDN网络架构实施动态防御,通过SDN控制器获取SDN交换机和端节点信息,生成动态网络全局视图;SDN交换机通过与总控中心交互,收集并上报端节点和网络状态;针对全网端信息跳变实施中,总控中心通过SM3算法生成跳变端信息,并通过属性加密实现节点跳变的全周期管控。
进一步地,本发明还提供一种网络安全协同处理系统,包含:存储器;;以及藕接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,所述指令用于执行上述的方法。
本发明的有益效果:
本发明针对地址变换易碰撞、分发低效的问题,通过全网端节点的持续变换构建动态网络视图,增加网络结构和目标节点的不确定性,进而实现无检测防御,解决由于防御失效而引发的主动扫描、被动监听和内部越权与滥用问题,实现对全网节点变换的有效管理;并进一步基于国产SM3密码杂凑算法,实现跳变端信息的随机生成;利用基于属性的密文访问控制机制,实现跳变全周期管控;并通过各功能的实验和测试,进一步验证本发明技术方案能够较好地实现预期目标,具有良好的交互性和稳定性。
附图说明:
图1为实施例中网络动态防御方法流程示意图;
图2为实施例中网络动态防御装置示意图;
图3为实施例中网络动态防御系统功能结构示意;
图4为实施例中网络动态防御系统部署实施示意图;
图5为实施例中基于网络全息变换的动态防御系统工作流程示意图;
图6为实施例中基于网络全息变换的动态防御系统总控中心工作流程示意;
图7为实施例中基于属性的加密算法示意;
图8为实施例中基于CP-ABE的密文访问控制机制示意;
图9为实施例中测试网络拓扑结构示意;
图10为实施例中不同安全等级用户的跳变地址和跳变块周期示意;
图11为实施例中低等级用户生成杂凑值示意;
图12为实施例中高等级用户生成杂凑值示意;
图13为实施例中未开启动态防御系统时DDoS攻击的结果示意;
图14为实施例中开启动态防御系统时DDoS攻击的结果示意;
图15为实施例中用户1注册状态示意;
图16为实施例中总控中心比对获取的用户属性值示意;
图17为实施例中恶意敌手无法通过伪造无法成功进行身份认证示意;
图18为实施例中低安全等级用户利用私钥解密高安全等级服务资源列表示意;
图19为实施例中高安全等级用户利用私钥解密高安全等级服务资源列表示意;
图20为实施例中服务器利用私钥解密高安全等级服务资源列表示意。
具体实施方式:
为使本发明的目的、技术方案和优点更加清楚、明白,下面结合附图和技术方案对本发明作进一步详细的说明。
软件定义网络SDN控制层可将设备的分布状态抽象成全网视图,以便定制的应用能够对全网节点进行统一配置;从而通过集中控制和全局视图实现对全网节点变换的有效管理。基于软件定义网络的网络动态防御可以实现对跳变要素、跳变周期和跳变规则的动态修改,有效提高网络跳变的可管理性。针对当前网络结构静态和防御机制固定导致的网络边界防御容易失效等问题,本发明实施例,参见图1所示,提供一种基于随机多维变换的网络动态防御方法,包含如下内容:
S101、对合法用户身份进行注册并将用户属性信息保存到数据库;
S102、通过访问用户属性信息判定端节点用户是否为注册用户;
S103、利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。
通过全网端节点的持续变换构建动态网络视图,增加网络结构和目标节点的不确定性,进而实现无检测防御,解决由于防御失效而引发的主动扫描、被动监听和内部越权与滥用问题,实现对全网节点变换的有效管理。
作为本发明实施例中的基于随机多维变换的网络动态防御方法,进一步地,基于访问用户身份认证结果利用SM3杂凑算法生成跳变地址;并利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制。
以无检测防御理论为核心,通过虚拟网络全息变换,增加恶意敌手实施扫描监听和攻击行为的复杂度和成本。以基于属性的密文访问控制为基础,通过跳变全周期管控,增强对跳变端节点访问行为管控的力度和有效性。以国产SM3密码杂凑算法为核心,通过基于密码的跳变地址选取,保证生成的跳变端信息具有抗碰撞性和不可预测性。
基于无检测防御理论,通过对全网端节点地址的持续变换实现网络全息变换,增加恶意敌手实施扫描监听和攻击行为的复杂度和成本;利用网络全息变换提高恶意敌手主动扫描和被动监听的复杂度;通过基于密码的跳变算法保证跳变通信数据的机密性和时效性,以防止恶意敌手重放和伪造攻击;通过全周期管控防止内网用户的越权行为;从而在无需感知具体威胁的前提下实现安全防御。基于属性的密文访问控制对用户实施接入认证和访问行为控制,从而实现对用户跳变全周期的管控;通过用户属性信息中的身份标识对接入用户进行身份认证,利用身份标识的唯一性和时效性防止恶意敌手进行重放和伪造;通过用户属性信息中的安全等级对用户访问服务资源进行管控,利用基于属性的加密算法管控用户的可访问服务资源;从而通过对用户的跳变全周期管控,防止用户的越权滥用行为。
国产SM3密码杂凑算法是在SHA-256密码杂凑算法基础上设计改进实现的,可满足多种密码应用的安全需求。国产SM3密码杂凑算法是一种基于分组迭代结构的杂凑算法,该算法采用消息双字结合的消息字处理方式,使用来自不同群运算的混合,实现了消息在局部范围内快速扩散和混乱,有效防止了比特追踪及其他已知分析方法对算法造成的安全性威胁。
SM3杂凑算法用来产生无规律的随机数,杂凑算法具有以下特性:
性质1单向性:给定杂凑值h,根据hash(m)=h,计算消息m是不可行的;
性质2抗碰撞性:给定杂凑算法hash(),要找到两个不同的消息m1≠m2,使其哈希值hash(m1)=hash(m2)是计算不可行的。
性质3输出定长:对输入的文本没有限制,可以是任意长度,输出的字符串长度是固定长度。
本发明实施例中,利用国产SM3密码杂凑算法对注册的用户进行跳变地址随机选取;利用用户的属性信息确定跳变范围和跳变周期;利用SM3杂凑算法在局部范围内快速扩散和混乱的特性实现跳变地址的随机选取;利用SM3杂凑算法的抗碰撞性防止跳变端信息在选取过程中出现的碰撞冲突;从而在保证端信息可靠选取的同时,最大化跳变端信息的不可预测性。进一步地,跳变地址生成,包含如下内容:首先,利用跳变端节点的属性信息确定端节点的跳变周期和变换的地址范围;然后,利用SM3杂凑算法进行跳变地址和跳变周期的随机选取。合法用户身份注册,还包含如下内容:利用用户属性进行身份认证,针对认证通过的用户,通过CP-ABE的Setup算法生成网络系统的公共参数和主秘钥,并将公共参数下发给注册端节点。进一步地,跳变全周期管控,还包含如下内容:针对访问用户为合法注册用户,依据端节点属性信息通过CP-ABE的KeyGen算法生成端节点私钥;当用户访问服务资源时,通过解析其访问请求并使用CP-ABE的Encrypt算法加密产生对称秘钥,并使用对称秘钥加密服务资源列表,发送给用户;用户利用私钥解密得到对称秘钥,并利用对称秘钥解密后获取服务资源列表。
进一步地,本发明实施例还提供一种基于随机多维变换的网络动态防御装置,参见图2所示,包含:注册模块、认证模块和防御模块,其中,
注册模块,用于对合法用户身份进行注册并将用户属性信息保存到数据库;
认证模块,用于通过访问用户属性信息判定端节点用户是否为注册用户;
防御模块,用于利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。
作为本发明实施例中的基于随机多维变换的网络动态防御装置,进一步地,所述防御模块包含:跳变地址生成子模块、跳变安全周期管控子模块和信息管理子模块,其中,
跳变地址生成子模块,用户基于访问用户身份认证结果利用SM3杂凑算法生成跳变端信息;
跳变周期管控子模块,用于利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制;
信息管理子模块,用于收集处理端节点和网络状态并为管理员提供系统管理入口。
作为本发明实施例中的基于随机多维变换的网络动态防御装置,进一步地,所述跳变周期管控子模块还包含有效性验证单元和安全等级判定单元,其中,
有效性验证单元,用于对访问用户节点的跳变地址有效性进行验证,将CP-ABE加密的服务资源列表发送给该访问用户节点,否则丢弃该用户节点此次发送的会话数据;
安全等级判定单元,根据用户安全等级是否高于请求访问服务资源的安全等级来通过私钥解密服务资源列表。
进一步地,本发明还提供一种基于随机多维变换的网络动态防御系统,参见图3所示,基于SDN网络架构实施动态防御,通过SDN控制器获取SDN交换机和端节点信息,生成动态网络全局视图;SDN交换机通过与总控中心交互,收集并上报端节点和网络状态;针对全网端信息跳变实施中,总控中心通过SM3算法生成跳变端信息,并通过属性加密实现节点跳变的全周期管控。基于国产SM3密码杂凑算法的跳变地址生成模块、基于密文的跳变全周期管控模块和综合管理与展示平台组成,其中,跳变地址生成模块针对跳变地址选取过程中存在的碰撞问题,通过SM3杂凑算法实现跳变地址的无碰撞随机选取,从而在保证跳变可靠性的同时,最大化跳变端信息的不可预测性;跳变全周期管控模块针对跳变参数传输过程中存在的信息泄露和高性能开销的问题,通过基于属性的加密算法实现密文访问控制;综合管理与展示平台利用可视化的方式为管理员提供系统管理入口。
系统部署架构如图4所示,基于软件定义网络,采用分层架构实现。该系统由总控中心和SDN交换机组成。其中总控中心作为动态防御系统的核心,通过SDN控制器获取SDN交换机和端节点信息,从而生成网络全局视图。与此同时,总控中心依托SDN的集中控制特性,通过基于SM3杂凑算法的跳变地址生成模块和基于密文的跳变全周期管控模块实现跳变端信息生成和跳变全周期管控。SDN交换机则通过与总控中心交互,实现对端节点和网络状态的收集、上报;以及全网端信息跳变的实施。基于SDN网络架构实施动态防御的工作流程,参见图5所示,包含:
(1)基于网络全息变换的动态防御系统对合法用户身份进行注册,并将用户属性信息保存到数据库中。
(2)若端节点为第一次访问目标服务节点时,用户在接入网络时发送属性信息报文hashSM3(Attri,t)。
(3)边缘SDN交换机通过Packet_in将用户上报的属性信息报文发送给总控中心。
(4)总控中心解析接收到的数据包,并验证该节点用户是否为注册用户。
(4-1)若用户已通过身份认证,则跳转到步骤(10);
(4-2)若用户未通过身份认证,总控中心生成优先级为pI的流表,并跳转到步骤(5);
(4-3)若用户未进行身份认证,则跳转到步骤(7)}。
(5)总控中心将流表信息下发给边缘SDN交换机。
(6)边缘交换机依据优先级为pI的流表,丢弃所有该用户此次发送的会话数据。
(7)边缘SDN交换机将端节点属性信息通过Packet_in消息上发送到总控中心。
(8)总控中心解析数据报文,并抽取用户的身份标识ID。
(9)总控中心将抽取的用户身份标识与认证数据库中信息进行比对。
(9-1)若端节点为注册用户,则认证通过,并跳转到步骤(4);
(9-2)若端节点为非注册用户,或者用户信息错误,则认证失败,则跳转到步骤(4)。
(10)用户节点将用户的私钥索引k发送给总控中心。
(11)总控中心利用用户的私钥提取跳变地址选取范围和跳变周期。
(12)总控中心利用SM3杂凑算法生成跳变地址vIP。
(13)若用户需要访问网络服务,则向总控中心发送请求报文。
(14)总控中心对用户的vIP有效性进行验证。
(14-1)若认证通过,则跳转到步骤(16);
(14-2)若认证不通过,则跳转到步骤(15)。
(15)边缘交换机依据优先级为pI的流表,丢弃所有该用户此次发送的会话数据。
(16)总控中心将利用CP-ABE加密的服务资源列表发送给用户节点。
(17)用户节点利用私钥解密服务资源列表。
(17-1)若用户安全等级低于请求访问的服务资源的安全等级,则用户无法解密该服务资源的vIP地址。
(17-2)若用户安全等级高于请求访问的服务资源的安全等级,则用户可正确解密该服务资源的vIP地址。
(18)用户利用服务资源的vIP发送请求报文。
(19)总控中心依据请求报文生成优先级为pU1的流表,并将通过一致性更新策略下发给SDN交换机。
(20)SDN交换机依据流表进行数据转发。
当恶意敌手试图接入网络时,跳变全周期管控模块依据用户上报的属性信息进行身份认证,若用户为恶意敌手,则其未进行注册,跳变全周期管控模块将拒止非法接入的终端用户。另一方面,当恶意敌手利用主动扫描方式对网络视图进行扫描时,由于被保护的SDN网络部署了动态防御系统,它利用基于SM3杂凑算法的跳变地址生成模块计算端节点的跳变地址,并通过基于流表一致性更新的跳变部署模块实施全网跳变,从而实现目标网络全部节点持续、动态、随机的变换,恶意敌手难以扫描到真实的网络视图结构。与此同时,若恶意敌手截获跳变地址池和跳变周期范围,由于跳变地址池和跳变周期范围采用基于属性的加密算法进行数据加密,因此在有效时间内,恶意敌手无法破解该信息,从而保证了跳变的安全性。基于网络全息变换的动态防御系统总控中心的工作流程如图6所示,包含:
(1)总控中心进行初始化配置,包括可用跳变地址池、跳变周期范围、用户和服务资源的属性信息等。
(2)当配置实例之后,总控中心创建一个服务实例,并将实例加载到任务中,由任务对所有后继服务实例进行管理。
(3)当有用户节点接入目标网络,数据通信模块创建一个线程进行数据通信,数据通信模块将用户属性信息发送给跳变全周期管控模块。
(4)跳变全周期管控模块提取用户属性信息中的身份标识,将其与数据库中用户标识进行比对。
(4-1)若数据库中不存在该用户,则数据库返回失败消息给跳变全周期管控模块;
(4-2)若数据库中部分字段匹配,则返回认证错误消息;
(4-3)若数据库中全部字段匹配,则返回认证成功消息。
(5)跳变全周期管控模块依据数据库返回的消息生成认证信息。
(5-1)若数据库返回失败消息,则跳变全周期管控模块返回认证失败给数据通信模块;
(5-2)若数据库返回错误消息,则跳变全周期管控模块返回认证失败消息;
(5-3)若数据库返回成功消息,则跳变全周期管控模块返回认证成功消息。
(6)跳变全周期管控模块利用用户属性信息计算跳变地址范围和跳变周期范围,并发送给跳变地址生成模块。
(7)总控中心利用基于SM3杂凑算法的跳变地址生成模块生成注册用户的跳变地址。
(8)当数据通信模块监听到认证用户发送的访问请求报文时,数据通信模块将用户的跳变IP发送给跳变全周期管控模块。
(9)跳变全周期管控模块通过比对生成的请求用户IP,验证跳变IP的有效性。
(9-1)若IP地址有效,则反馈给数据通信模块验证通过消息;
(9-2)否则反馈验证失败消息。
(10)数据通信模块依据验证结果将处理方法下发给边缘SDN交换机。
(11)基于SM3杂凑算法的跳变地址生成模块生成服务资源的跳变IP地址,并发送给数据通信模块。
(12)数据通信模块将服务资源的跳变IP地址发送给跳变全周期管控模块。
(13)跳变全周期管控模块将利用CP-ABE加密的访问资源列表发送给验证通过的用户节点。
(14)当数据通信模块收到用户访问请求时,跳变全周期管控模块对访问的服务资源状态进行判定。
(14-1)若用户访问的服务资源已禁用,则返回失败信息数据通信模块;
(14-2)若用户访问的服务资源为开启状态,则返回成功消息给数据通信模块。
(15)数据通信模块将通过消息发送给基于流表一致性更新的跳变部署模块。
(16)跳变部署模块依据流表更新策略将流表下发给SDN交换机。
SM3杂凑算法输出定长的特性保证了算法的可用性;其抗碰撞的特性保证了跳变地址的可用性。因此,基于SM3杂凑算法的跳变地址生成算法在保证跳变端信息不可预测性的前提下避免了端信息生成过程中的碰撞。功能模块中,依据跳变地址生成算法,设计跳变地址生成模块。具体如算法1所示:
算法1基于SM3杂凑算法的跳变地址生成算法
Figure BDA0002406749110000081
Figure BDA0002406749110000091
针对身份认证过程中可能存在的属性信息伪造和重放攻击,通过身份标识保证属性信息的唯一性;通过时间戳保证属性信息的时效性。因此,提出了基于CP-ABE的跳变全周期管控技术。如图7所示,属性加密是一种在密文中嵌入了访问控制结构的密文访问控制机制,加密之后就确定了哪些用户能够对它进行解密而不需要借助可信服务器来实现。本发明实施例中,在基于密文策略的属性加密中数据拥有者将消息加密并发送给一群接收者,每一个属性符合访问结构的用户即是授权用户,利用其私钥就能从密文解密出相应的明文。对于属性不符合访问结构的用户则为非授权用户,不能利用其私钥成功进行如上的解密操作。针对跳变地址下发随跳变频率增加而增长的问题,通过密文访问机制实现服务资源跳变地址列表的统一下发,从而极大减少了跳变地址下发导致的总控中心性能开销增加问题。
针对服务资源列表传输过程中明文传输跳变地址导致的信息泄露问题,通过CP-ABE算法进行加密,从而保证地址传输的保密性。与此同时,由于用户的属性信息不同,因此采用CP-ABE算法可解密的地址范围不同,从而有效防止了服务资源跳变地址范围的泄露,保证了跳变地址范围的机密性。基于CP-ABE的跳变全周期管控机制流程如图8所示,包含:
(1)用户利用属性信息生成认证信息hashSM3(Attri,t);
(2)总控中心通过比对收到的hashSM3(Attri,t)与计算的hashSM3(Attri′,t′)对用户身份进行认证;
(3)认证通过后,总控中心运行CP-ABE的Setup算法,生成整个网络系统的公共参数PK和主密钥MSK,并将PK下发给注册的端节点。
(4)当用户接入SDN网络时,通过Packet_in发送属性信息给总控中心。
(5)总控中心解析属性信息,以判断是否为注册用户。
(5-1)若为注册用户,则总控中心依据端节点的属性信息运行CP-ABE中的KeyGen算法,生成端节点私钥SK(i,ω)
(5-2)否则丢弃数据包。
(6)总控中心利用用户属性信息选取地址范围和跳变周期。
(7)总控中心利用SM3杂凑算法生成跳变地址。
(8)当用户需要访问服务资源,则发送访问请求。
(9)SDN交换机通过Packet_in发送请求信息给总控中心。
(10)总控中心解析访问请求,使用CP-ABE的Encrypt算法加密产生对称密钥K,并使用对称密钥加密可访问资源列表,然后发送给用户。
(11)用户获取加密的访问资源列表和属性密钥SK(i,ω)
(12)用户利用利用Decrypt算法进行解密,获得对称密钥K后解密得到服务资源列表。
(12-1)若服务资源安全等级高于用户安全等级,则无法利用私钥SK(i,ω)成功解密出对称密钥K,进而无法解密出服务资源列表;
(12-2)否则,则利用私钥SK(i,ω)成功解密出对称密钥并成功解密得到服务资源列表。
为验证本发明实施例中技术方案的有效性,下面结合具体实例数据做进一步解释说明:
构建的网络拓扑如图9所示,所需硬件设备为笔记本电脑一台:2.6GHz主频;500G硬盘容量;8GB内存;Window10 64位操作系统。在此基础上安装了Java 1.8.0_144和VirtualBox5.1.22虚拟机。虚拟机中安装了Linux操作系统Ubuntu14.04。总控中心是基于Ryu控制器开发而成的。
表1测试系统配置信息
Figure BDA0002406749110000101
针对地址变换实施中跳变地址失效、虚拟地址更新耗能高而导致的跳变实施失效问题,动态防御系统借鉴无检测防御理论,通过基于SM3算法的端信息虚拟变换以防止外部扫描监听;通过基于CP-ABE的全周期管控防止内部越权滥用。针对端信息跳变存在的碰撞问题,设计了SM3算法的跳变地址生成算法,以此为基础设计了跳变地址生成模块,从而在保证端信息跳变不可预测性的同时,防止生成跳变地址的碰撞;针对防御实施过程中存在的属性信息重放和伪造问题,设计了基于属性的加密算法,通过属性加密实现对跳变全周期的管控,从而有效实现对跳变节点的身份认证和访问控制管理。面向合法用户使用的跳变地址生成测试,主要通过模拟利用合法用户属性信息生成跳变地址,以测试该模块功能。面向恶意敌手攻击的跳变地址动态防御测试,主要以DDoS攻击过程为例。在DDoS攻击过程中,恶意敌手首先使用主动扫描和被动监听进行信息收集。在此基础上对目标发起DDoS攻击。该测试主要通过模拟利用合法用户属性信息生成跳变地址,以测试该模块功能。如图10所示,总控中心基于用户属性信息生成高等级和低等级节点的地址块和跳变周期。总控中心利用SM3杂凑算法产生节点属性和时间戳的杂凑值如图11和12所示。测试结果表明,基于SM3杂凑算法的跳变地址生成算法可有效保证生成的跳变地址的抗碰撞性。如图13所示为未开启动态防御系统时恶意敌手实施DDoS时合法用户访问被攻击目标的时延与停止攻击后正常用户访问的时延对比;图14为开启动态防御系统时恶意敌手实施DDoS的结果,该结果说明基于国产SM3密码杂凑算法的跳变地址生成模块可通过端信息跳变混淆和隐藏会话双方的真实地址信息,从而使得恶意敌手无法准确定位实施DDoS的目标节点,与此同时,通过变换IP地址信息分散了DDoS攻击的数据流,从而有效抵御和削弱了DDoS攻击的效果。跳变地址生成功能测试结果说明,基于国产SM3密码杂凑算法的跳变地址生成模块实现了跳变周期选取和随机、抗碰撞的跳变地址生成功能,同时总控中心能够实时对综合管理和展示平台、用户和OVS进行同步更新,使全网能够同步使用最新的跳变地址进行通信。
对跳变用户接入认证和访问控制两部分进行测试。每个部分的测试又分面向合法用户使用的功能测试和面向恶意敌手攻击的功能测试。通过对比注册用户和恶意敌手接入网络和请求访问,对该功能的安全性和可用性进行测试。基于属性的用户身份认证功能测试主要通过对不同类型用户接入网络时身份认证结果进行测试;本次测试分别采用已注册用户和恶意敌手两类:如图15所示,在综合管理和展示平台注册用户1,并查看用户1的状态。该步主要测试用户注册功能的可用性;如图16所示,当合法用户打开客户端选择认证选项,并输入身份标识以进行身份认证后,总控中心比对用户属性杂凑值,从而完成对用户的身份认证;图17显示恶意敌手通过伪造属性信息进行攻击无法通过身份认证,该结果说明本文依据注册用户属性信息中的唯一身份标识,可以对用户进行身份认证并防止恶意的伪造用户的属性信息;与此同时,通过加入时间戳有效防止恶意敌手通过重放实现假冒身份认证。基于CP-ABE的访问控制功能测试主要通过对不同属性的节点访问网络资源时获取的服务资源列表结果进行测试,本次测试分别采用低安全等级用户、高安全等级用户和服务器三类;如图18所示,低安全等级用户利用私钥解密高安全等级服务资源列表,由于该系统采用基于CP-ABE的访问控制方法,因此低安全等级用户无法解密1安全等级服务资源列表;如图19所示,高安全等级用户可以利用私钥成功解密高安全等级服务资源列表;如图20所示,服务器可以利用私钥成功解密高安全等级服务资源列表。
功能测试结果表明,根据对跳变地址生成模块的测试可得,该模块可实现跳变周期选取和随机、抗碰撞的跳变地址生成功能,具有良好的不可预测性和可用性。与此同时,动态防御系统依托端信息跳变,可以有效应对恶意敌手的主动扫描、被动监听和诸如DDoS等攻击,从而有效保证了目标网络和目标节点的安全性。依据全周期管控模块的测试可知,通过基于CP-ABE的身份认证和访问控制实现了对跳变节点接入网络的全周期管控。系统依据注册用户属性信息中的唯一身份标识,可以对用户进行身份认证并防止恶意的伪造用户的属性信息;与此同时,通过加入时间戳有效防止恶意敌手通过重放实现假冒身份认证。另一方面,系统依据访问控制策略生成服务资源列表密文,并依据注册用户属性信息中的安全等级,对用户请求的服务资源进行访问控制,从而防止了内部用户的违规越权访问。实验测试表明,搭建的网络动态防御系统具有不可预测性高、防御实施有力、操作简单易用、可实时交互的动态防御系统,系统能够较好地实现预期目标,具有较好的交互性和稳定性。
进一步地,本发明还提供一种网络安全协同处理系统,包含:存储器;;以及藕接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,所述指令用于执行上述的方法。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
基于上述的系统,本发明实施例还提供一种服务器,包括:一个或多个处理器;存储装置,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述的系统。
基于上述的系统,本发明实施例还提供一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现上述的系统。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述系统实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述系统实施例中相应内容。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述系统实施例中的对应过程,在此不再赘述。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和系统,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种基于随机多维变换的网络动态防御方法,其特征在于,包含如下内容:
对合法用户身份进行注册并将用户属性信息保存到数据库;
通过访问用户属性信息判定端节点用户是否为注册用户;
利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。
2.根据权利要求1所述的基于随机多维变换的网络动态防御方法,其特征在于,基于访问用户身份认证结果利用SM3杂凑算法生成跳变地址;并利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制。
3.根据权利要求2所述的基于随机多维变换的网络动态防御方法,其特征在于,跳变地址生成,包含如下内容:首先,利用跳变端节点的属性信息确定端节点的跳变周期和变换的地址范围;然后,利用SM3杂凑算法进行跳变地址和跳变周期的随机选取。
4.根据权利要求1或2所述的基于随机多维变换的网络动态防御方法,其特征在于,合法用户身份注册,还包含如下内容:利用用户属性进行身份认证,针对认证通过的用户,通过CP-ABE的Setup算法生成网络系统的公共参数和主秘钥,并将公共参数下发给注册端节点。
5.根据权利要求4所述的基于随机多维变换的网络动态防御方法,其特征在于,跳变全周期管控,还包含如下内容:针对访问用户为合法注册用户,依据端节点属性信息通过CP-ABE的KeyGen算法生成端节点私钥;当用户访问服务资源时,通过解析其访问请求并使用CP-ABE的Encrypt算法加密产生对称秘钥,并使用对称秘钥加密服务资源列表,发送给用户;用户利用私钥解密得到对称秘钥,并利用对称秘钥解密后获取服务资源列表。
6.一种基于随机多维变换的网络动态防御装置,其特征在于,包含:注册模块、认证模块和防御模块,其中,
注册模块,用于对合法用户身份进行注册并将用户属性信息保存到数据库;
认证模块,用于通过访问用户属性信息判定端节点用户是否为注册用户;
防御模块,用于利用用户私钥提取跳变地址选取范围和跳变周期并生成跳变地址,依据用户节点访问网络服务的请求报文对跳变地址有效性进行验证;将加密后的服务资源列表发送给验证通过的用户节点,用户节点利用私钥解密后访问相应安全级别的服务资源。
7.根据权利要求6所述的基于随机多维变换的网络动态防御装置,其特征在于,所述防御模块包含:跳变地址生成子模块、跳变安全周期管控子模块和信息管理子模块,其中,
跳变地址生成子模块,用户基于访问用户身份认证结果利用SM3杂凑算法生成跳变端信息;
跳变周期管控子模块,用于利用CP-ABE加密的服务资源列表对访问用户跳变全周期进行管控,以实施用户接入认证和访问行为控制;
信息管理子模块,用于收集处理端节点和网络状态并为管理员提供系统管理入口。
8.根据权利要求7所述的基于随机多维变换的网络动态防御装置,其特征在于,所述跳变周期管控子模块还包含有效性验证单元和安全等级判定单元,其中,
有效性验证单元,用于对访问用户节点的跳变地址有效性进行验证,将CP-ABE加密的服务资源列表发送给该访问用户节点,否则丢弃该用户节点此次发送的会话数据;
安全等级判定单元,根据用户安全等级是否高于请求访问服务资源的安全等级来通过私钥解密服务资源列表。
9.一种基于随机多维变换的网络动态防御系统,其特征在于,基于SDN网络架构实施动态防御,通过SDN控制器获取SDN交换机和端节点信息,生成动态网络全局视图;SDN交换机通过与总控中心交互,收集并上报端节点和网络状态;针对全网端信息跳变实施中,总控中心通过SM3算法生成跳变端信息,并通过属性加密实现节点跳变的全周期管控。
10.一种网络安全协同处理系统,其特征在于,包含:
存储器;;以及藕接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,所述指令用于执行权利要求1~5中任一项所述的方法。
CN202010163934.2A 2020-03-11 2020-03-11 基于随机多维变换的网络动态防御方法、装置及系统 Active CN111464503B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010163934.2A CN111464503B (zh) 2020-03-11 2020-03-11 基于随机多维变换的网络动态防御方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010163934.2A CN111464503B (zh) 2020-03-11 2020-03-11 基于随机多维变换的网络动态防御方法、装置及系统

Publications (2)

Publication Number Publication Date
CN111464503A true CN111464503A (zh) 2020-07-28
CN111464503B CN111464503B (zh) 2022-03-01

Family

ID=71680050

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010163934.2A Active CN111464503B (zh) 2020-03-11 2020-03-11 基于随机多维变换的网络动态防御方法、装置及系统

Country Status (1)

Country Link
CN (1) CN111464503B (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098900A (zh) * 2021-04-29 2021-07-09 福建奇点时空数字科技有限公司 一种支持地址空间扩展的sdn网络ip跳变方法
CN113676476A (zh) * 2021-08-18 2021-11-19 大连海事大学 一种基于动作可编程软件定义网络的加密跳变方法
CN113810404A (zh) * 2021-09-15 2021-12-17 佳缘科技股份有限公司 一种基于sdn网络的网络全视图变换动态防御系统及方法
CN114124381A (zh) * 2021-11-30 2022-03-01 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN115277201A (zh) * 2022-07-27 2022-11-01 国网河南省电力公司信息通信公司 一种动态代码封装的网站防御系统
CN115348118A (zh) * 2022-10-20 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种基于密码技术的网络地址和端口号隐藏方法
CN115426129A (zh) * 2022-07-21 2022-12-02 深圳市世强元件网络有限公司 基于网站行为事件响应的网络身份识别方法及装置
CN115996210A (zh) * 2023-03-23 2023-04-21 湖南盾神科技有限公司 一种源变模式的地址端口跳变方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110099252A1 (en) * 2009-10-23 2011-04-28 Prasanth Jose Network address allocation
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN106657054A (zh) * 2016-12-19 2017-05-10 中国人民解放军国防信息学院 一种基于虚拟机服务跳变的网络安全防御方法
CN107508667A (zh) * 2017-07-10 2017-12-22 中国人民解放军信息工程大学 可公开定责无密钥托管的密文策略属性基加密方法及其装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110099252A1 (en) * 2009-10-23 2011-04-28 Prasanth Jose Network address allocation
CN106657044A (zh) * 2016-12-12 2017-05-10 杭州电子科技大学 一种用于提高网站系统安全防御的网页地址跳变方法
CN106657054A (zh) * 2016-12-19 2017-05-10 中国人民解放军国防信息学院 一种基于虚拟机服务跳变的网络安全防御方法
CN107508667A (zh) * 2017-07-10 2017-12-22 中国人民解放军信息工程大学 可公开定责无密钥托管的密文策略属性基加密方法及其装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
严新成等: "支持高效密文密钥同步演化的安全数据共享方案", 《通信学报》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113098900B (zh) * 2021-04-29 2023-04-07 厦门美域中央信息科技有限公司 一种支持地址空间扩展的sdn网络ip跳变方法
CN113098900A (zh) * 2021-04-29 2021-07-09 福建奇点时空数字科技有限公司 一种支持地址空间扩展的sdn网络ip跳变方法
CN113676476A (zh) * 2021-08-18 2021-11-19 大连海事大学 一种基于动作可编程软件定义网络的加密跳变方法
CN113676476B (zh) * 2021-08-18 2022-07-08 大连海事大学 一种基于动作可编程软件定义网络的加密跳变方法
CN113810404A (zh) * 2021-09-15 2021-12-17 佳缘科技股份有限公司 一种基于sdn网络的网络全视图变换动态防御系统及方法
CN114124381A (zh) * 2021-11-30 2022-03-01 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN114124381B (zh) * 2021-11-30 2023-08-04 中国人民解放军国防科技大学 基于量子密钥分发的多方地址跳变图案生成方法及装置
CN115426129A (zh) * 2022-07-21 2022-12-02 深圳市世强元件网络有限公司 基于网站行为事件响应的网络身份识别方法及装置
CN115277201A (zh) * 2022-07-27 2022-11-01 国网河南省电力公司信息通信公司 一种动态代码封装的网站防御系统
CN115277201B (zh) * 2022-07-27 2023-09-26 国网河南省电力公司信息通信公司 一种动态代码封装的网站防御系统
CN115348118A (zh) * 2022-10-20 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种基于密码技术的网络地址和端口号隐藏方法
CN115348118B (zh) * 2022-10-20 2023-02-17 中国人民解放军军事科学院系统工程研究院 一种基于密码技术的网络地址和端口号隐藏方法
CN115996210A (zh) * 2023-03-23 2023-04-21 湖南盾神科技有限公司 一种源变模式的地址端口跳变方法

Also Published As

Publication number Publication date
CN111464503B (zh) 2022-03-01

Similar Documents

Publication Publication Date Title
CN111464503B (zh) 基于随机多维变换的网络动态防御方法、装置及系统
Zhang et al. Blockchain-assisted public-key encryption with keyword search against keyword guessing attacks for cloud storage
Akhil et al. Enhanced cloud data security using AES algorithm
KR102219277B1 (ko) 인증된 컨텐츠 전달 제어를 위한 시스템 및 방법
Sumitra et al. A survey of cloud authentication attacks and solution approaches
CN113872944A (zh) 一种面向区块链的零信任安全架构及其集群部署框架
Fischlin et al. Subtle kinks in distance-bounding: an analysis of prominent protocols
Accorsi Log data as digital evidence: What secure logging protocols have to offer?
Shah et al. Lightweight authentication protocol used in wireless sensor network
CN106657002A (zh) 一种新型防撞库关联时间多密码的身份认证方法
CA2471055A1 (en) A network security enforcement system
Sehgal et al. Cloud computing and information security
CN110572392A (zh) 一种基于Hyperledger网络的身份认证方法
CN113810404A (zh) 一种基于sdn网络的网络全视图变换动态防御系统及方法
CN112037870B (zh) 支持数据分区的双服务器轻量化可搜索加密方法及系统
CN106850592B (zh) 一种信息处理方法、服务器及终端
Tian et al. A Survey on Data Integrity Attacks and DDoS Attacks in Cloud Computing
He et al. Preventing iot ddos attacks using blockchain and ip address obfuscation
KR101068855B1 (ko) 정보 데이터의 권한 변경을 방지하는 방법
Prem et al. Securing mobile agent and its platform from passive attack of malicious mobile agents
Jin et al. HMAKE: Legacy-compliant multi-factor authenticated key exchange from historical data
Jia et al. A Critique of a Lightweight Identity Authentication Protocol for Vehicular Networks.
Jakobsson et al. Delayed password disclosure
Tomar et al. Image based authentication with secure key exchange mechanism in cloud
Kraxberger et al. Trusted identity management for overlay networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant