CN113014682B - 实现网络动态性的方法、系统、终端设备及存储介质 - Google Patents

实现网络动态性的方法、系统、终端设备及存储介质 Download PDF

Info

Publication number
CN113014682B
CN113014682B CN201911330409.9A CN201911330409A CN113014682B CN 113014682 B CN113014682 B CN 113014682B CN 201911330409 A CN201911330409 A CN 201911330409A CN 113014682 B CN113014682 B CN 113014682B
Authority
CN
China
Prior art keywords
address
dynamic
domain name
data packet
requester
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911330409.9A
Other languages
English (en)
Other versions
CN113014682A (zh
Inventor
马苏安
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201911330409.9A priority Critical patent/CN113014682B/zh
Priority to US17/639,904 priority patent/US20220337546A1/en
Priority to PCT/CN2020/133138 priority patent/WO2021121027A1/zh
Priority to EP20901004.0A priority patent/EP3989509A4/en
Publication of CN113014682A publication Critical patent/CN113014682A/zh
Application granted granted Critical
Publication of CN113014682B publication Critical patent/CN113014682B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2539Hiding addresses; Keeping addresses anonymous
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Abstract

本公开提供一种实现网络动态性的方法、系统、终端设备及储存介质,所述处理方法包括:请求方发起域名系统请求后,请求被转发至安全控制中心,安全控制中心从请求方和待请求方IP地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送至各自的安全模块;请求方安全模块将请求方发送的数据包的源地址变换为动态源IP地址后发送至待请求方安全模块,待请求方安全模块在校验数据包的源地址和目的地址分别与动态源IP地址和动态目的IP地址一致后,将数据包转发至待请求方。本公开实施例使虚拟机源IP和目的IP都是动态变化的,且只有此动态的源IP和目的IP的数据包才允许发送,很好的保障了平台的安全。

Description

实现网络动态性的方法、系统、终端设备及存储介质
技术领域
本公开涉及通信技术领域,更具体地,涉及一种实现网络动态性的方法,一种实现网络动态性的系统,一种终端设备,以及一种计算机可读存储介质。
背景技术
云计算(Cloud Computing)是指基于互联网的超级计算模式,即把原来在本地计算机或远程服务器中的计算,通过网络分布在大量计算机上进行协同工作完成,云计算平台基于虚拟化技术,在物理机上通过虚拟化软件创建若干台虚拟机,同时也创建若干虚拟交换机,供虚拟机之间以及虚拟机与外部网络之间进行通信。每台虚拟机分配有IP(Internet Protocol,网际互连协议)地址,IP地址一经分配,就基本固定,一段时间内不会变化。
在云计算平台上,当黑客发起攻击时,首先会试图查找网络上的虚拟机。由于虚拟机的IP地址相对固定,因此黑客可以通过逐个扫描的方式来发现网络中的虚拟机,也可以通过网络抓包的方式获取网络上的数据包,通过数据包的IP地址判断有哪些虚拟机在网络上。一旦发现新的虚拟机IP地址,黑客就会针对此IP地址展开新一轮攻击。
借助移动目标防御的思路,云计算平台上的一种防御方式是使虚拟机IP地址动态化,即访问虚拟机的IP地址是持续变换的,不能用固定的IP地址来访问虚拟机。黑客无法获取虚拟机的动态IP地址,因而无法进行攻击。
但在相关技术中,使虚拟机IP地址动态化的移动目标防御首先需要在服务器前设置特定的防火墙,同时要改造DNS(Domain Name System,域名系统)服务器,而且只能保护防火墙内的服务器,无法对云计算平台上的虚拟机进行全面的保护。
发明内容
本公开提供了一种实现网络动态性的方法、系统、终端设备及计算机可读存储介质,以提供一种可以实现网络动态性的保护机制。
根据本公开实施例的一个方面,提供一种实现网络动态性的方法,包括:
在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;
所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;
待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
根据本公开实施例的另一方面,提供一种实现网络动态性的系统,包括:安全控制中心和安全模块;
所述安全模块设置为,在请求方发起域名系统请求以访问待请求方后,将所述域名系统请求发送到安全控制中心;
所述安全控制中心设置为,根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
所述安全模块还设置为,在处于请求方一端时,将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方一端的安全模块,所述数据包的目的地址为所述动态目的IP地址;以及
在处于待请求方一端时,在接收到请求方的安全模块发送的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
根据本公开实施例的又一方面,提供一种终端设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行如上所述的实现网络动态性的方法。
根据本公开实施例的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行如上述的实现网络动态性的方法。
本公开实施例提供的技术方案可以包括以下有益效果:
本公开实施例提供的实现网络动态性的方法、系统、终端设备及计算机可读存储介质,通过设置安全模块和安全控制中心,使云计算平台上虚拟机访问其他虚拟机时,源IP和目的IP都是动态变化的,且只有包含此动态变化的源IP和目的IP的数据包才允许发送给目的虚拟机。因此,黑客扫描网络时,无法获得虚拟机可访问的IP地址,不能访问云计算平台上的虚拟机,因而无法实施攻击。即使通过网络抓包获得的源IP和目的IP地址,也无法完成配对访问虚拟机,因而也无法实施攻击。并且本公开不需要修改DNS服务器,就能够同时实现数据包源地址和目的地址的动态化,保护整个云计算平台上所有的虚拟机,起到更好的保护作用。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的一种实现网络动态性的方法的流程图
图2为本公开实施例提供的另一种实现网络动态性的方法的流程图;
图3为本公开实施例提供的一种DNS返回动态IP地址的过程示意图;
图4为本公开实施例提供的一种网络数据包发送过程的示意图;
图5为本公开实施例提供的一种网络数据包应答过程的示意图;
图6为本公开实施例提供的一种DNS返回静态IP地址的过程的示意图;
图7为本公开实施例提供的一种实现网络动态性的系统的架构图;
图8为本公开实施例提供的另一种实现网络动态性的系统的架构图;
图9为本公开实施例提供的一种安全控制中心的架构图;
图10为本公开实施例提供的一种安全模块的架构图;
图11为本公开实施例提供的一种终端设备的架构图。
图12为本公开另一实施例提供的一种实现网络动态性的方法的流程图。
具体实施方式
为使本领域技术人员更好地理解本公开的技术方案,下面结合附图和实施例对本公开作进一步详细描述。应当理解的是,此处所描述的具体实施方式仅设置为说明和解释本公开,并不设置为限制本公开。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
其中,在本公开实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本公开。在本公开实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚的表示其他含义。
在云计算平台或局域网网络中,网络防御技术一般包括杀毒软件技术、入侵检测技术、数据加密技术等,在一定程度上保护了内网的安全。但是,由于现有网络的拓扑信息的静态性,攻击者往往有充足的时间分析内网架构和网络地址信息,从而逐步渗透内网,达到攻击目标。大部分网络即使部署了防火墙也存在很多公共的和私有的主机可以被外部访问,而且所有的网络对于内部的扫描者缺乏有效的防御手段,一旦攻击者潜入内网,即可探测网络的拓扑结构并进行相应的攻击。使用动态主机配置协议(Dynamic HostConfiguration Protocol,简称DHCP)或网络地址转换(Network Address Translation,简称NAT)可以动态分配IP地址,但是仍然不能主动地进行防御,因为IP地址的变换并不频繁且容易被追踪。
利用移动目标防御技术对服务器实施保护,首先需要在服务器前设置特定的防火墙,同时要改造DNS服务器。当一个客户端访问服务器时,首先会访问DNS服务器获取此服务器的IP地址,此时DNS服务器与服务器前的防火墙互通,分配一个动态IP地址返回给客户端,客户端以此IP地址作为目的地址通过防火墙访问服务器,防火墙只允许此客户端用此IP与服务器互通,其他客户端不能用此IP与服务器互通。但虚拟机IP地址动态化的移动目标防御首先需要在服务器前设置特定的防火墙,同时要改造DNS服务器,而且只能保护防火墙内的服务器,无法对云计算平台上的虚拟机进行全面的保护。
为此,如图1所示,本公开实施例提供一种实现网络动态性的方法,包括步骤S1至步骤S4。
步骤S1:在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;
步骤S2:所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
步骤S3:请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;
步骤S4:待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
云计算平台也称为云平台,是指基于硬件资源和软件资源的服务,提供计算、网络和存储能力。云计算平台一般在物理主机上通过虚拟化软件创建若干虚拟机和虚拟交换机,其中虚拟交换机负责将数据包转发给其他虚拟机,或与此虚拟交换机的物理网卡互联,从而与此物理机外部网络互连。虚拟机都有一个真实IP地址,此IP地址不会频繁变化。本公开实施例通过在云计算平台上的每台虚拟机都设置一个安全模块,使虚拟机的网络流量先通过安全模块再接入虚拟交换机,因此安全模块就能够对虚拟机所有的网络流量进行控制。安全模块可以利用操作系统内核的网络过滤机制来实现,也可以通过修改虚拟交换机来实现,运行在物理主机的操作系统内核中。
在云计算平台上同时设置一个统一的安全控制中心,安全控制中心与每个安全模块互通,用于传送各种信息。安全控制中心记录每个安全模块对应的虚拟机IP地址和域名,同时为每台虚拟机保存一个动态IP地址池。当一台虚拟机访问另一台虚拟机时,发起请求的虚拟机为请求方,也被称为客户端,被访问的虚拟机为待请求方,也被称为服务器;安全模块处于请求方一端时被称为客户端安全模块,安全模块处于待请求方一端时被称为服务器安全模块。为了保障安全性,服务器的IP地址为动态的,没有固定的IP地址。因此,客户端必须先通过DNS请求通过服务器的域名获取IP地址。
在本实施例的一种实施方式中,如图2所示,具体的,实现网络动态性的方法包括步骤S101至步骤S104
步骤S101:客户端发起域名系统请求,所述域名系统请求包括客户端真实IP地址和服务器域名;
步骤S102:客户端安全模块将所述域名系统请求转发至安全控制中心,所述安全控制中心存储有客户端域名、真实IP地址和IP地址池,以及服务器域名、真实IP地址和IP地址池,以使所述安全控制中心根据所述域名系统请求,从所述客户端IP地址池和所述服务器IP地址池中各选择一个IP地址分别作为客户端动态IP地址和服务器动态IP地址,并发送至所述客户端安全模块和服务器安全模块;
步骤S103:所述客户端发送数据包,所述数据包的源地址为所述客户端真实IP地址、目的地址为所述服务器动态IP地址;
步骤S104:所述客户端安全模块将所述数据包的源地址变换为所述客户端动态IP地址后发送至服务器安全模块,以使所述服务器安全模块在校验所述数据包的源地址和目的地址分别与所述客户端动态IP地址和所述服务器动态IP地址一致后,将所述数据包的目的IP地址变换为所述服务器的真实IP地址,再将所述数据包转发至服务器。
在以下实施方式中,虚拟机1为客户端,虚拟机2为服务器,安全模块1为客户端安全模块,安全模块2为服务器安全模块;
如图3所示,图3为在本实施例的一种实施方式中DNS返回动态IP地址的过程;虚拟机1在访问虚拟机2之前,虚拟机1发送DNS请求获取动态IP地址的处理过程具体如下:
步骤201,虚拟机1已知虚拟机2的域名,向DNS服务器发送DNS请求,查询虚拟机2的IP地址,此请求被安全模块1获取;
步骤202,安全模块1获取DNS请求后,将此请求转发给安全控制中心;
步骤203,安全控制中心根据DNS请求的域名查询到虚拟机2的地址池,从中选择一个IP地址作为动态目的IP地址,同时从虚拟机1的地址池中选择一个IP地址作为动态源IP地址;
步骤204,安全控制中心将选择的动态目的IP地址和动态源IP地址设置到虚拟机2对应的安全模块2;
步骤205,安全模块2将动态目的IP地址和动态源IP地址记录下来;
步骤206,安全控制中心将动态目的IP地址和动态源IP地址返回给安全模块1;
步骤207,安全模块1将动态目的IP地址和动态源IP地址记录下来;
步骤208,安全模块1将动态目的IP地址返回给虚拟机1。
在上述步骤中,动态目的IP地址为服务器动态IP地址,动态源IP地址为客户端动态IP地址,作为客户端的虚拟机1获取服务器动态IP地址后,以服务器动态IP地址为目标地址发送数据包,其过程如图3所示,
图4为本实施例的一种实施方式中网络数据包发送过程,虚拟机1向虚拟机2发送数据包的过程具体如下:
步骤301,虚拟机1发送数据包,源地址是虚拟机1的真实IP地址,目的地址是虚拟机2的动态目的IP地址;
步骤302,安全模块1收到虚拟机1发送的数据包,将源地址变换为安全控制中心发送的并记录在安全模块1中的虚拟机1的动态源IP地址;
步骤303,安全模块1将转换后的数据包按动态目的IP地址转发给虚拟机2,被安全模块2获取;
步骤304,安全模块2收到虚拟机1发送的数据包,将目的地址变换为虚拟机2的真实IP地址;
步骤305,安全模块2将变换后的数据包转发给虚拟机2。
本实施例由安全模块通过变换数据包的IP地址实现源地址和目的地址的动态化,不需要客户端和服务器做任何修改。同时,安全模块校验数据包的源和目的地址,如果不是安全控制中心分配的动态IP地址,则丢弃。阻止了非法访问,保障了网络通信的安全性。
在本实施例的又一种实施方式中,实现网络动态性的方法还包括:
所述请求方的安全模块接收由所述待请求方返回并由所述待请求方的安全模块转发的应答包,所述应答包的源地址被所述待请求方的安全模块变换为所述目的动态IP地址,目的地址为所述动态源IP地址;以及,
所述请求方的安全模块将所述应答包的目的地址变换为所述请求方的真实IP地址,并将变换后的应答包转发至所述请求方。
如图5所示,图5为本实施例的一种实施方式中网络数据包应答过程,虚拟机2接收到虚拟机1发送的数据包后,需发送应答包到虚拟机1,虚拟机2往虚拟机1发送应答包的过程具体如下:
步骤401,虚拟机2发送应答包,源地址是虚拟机2的真实IP地址,目的地址是虚拟机1的动态源IP地址;
步骤402,安全模块2收到虚拟机2发送的应答包,将源地址变换为安全控制中心发送的并记录在安全模块2中的虚拟机2的动态目的IP地址;
步骤403,安全模块2将转换后的应答包按虚拟机1的动态源IP地址转发给虚拟机1,被安全模块1获取;
步骤404,安全模块1收到虚拟机2发送的应答包,将目的地址变换为虚拟机1的真实IP地址;
步骤405,安全模块1将变换后数据包转发给虚拟机1。
通过上述步骤后,虚拟机1收到虚拟机2的应答包。
优选的,在安全模块1收到虚拟机2发送的应答包后,还包括:安全模块1校验应答包的源地址和目的地址,如是安全控制中心分配的动态IP地址对,则安全模块1将应答包的目的地址变换为虚拟机1的真实IP地址,以发送应答包到虚拟机1,否则丢弃此应答包。
在本实施例的另一种实施方式中,所述安全控制中心设置有动态地址池表和DNS处理模块;
安全控制中心通过所述DNS处理模块在接收到客户端安全模块发送的DNS请求后,对所述DNS请求的域名所对应的服务器虚拟机的地址池进行查找,从中分配一个动态目的IP地址,并对客户端虚拟机的地址池进行查找,从中分配一个动态源IP地址,将这一动态IP地址对返回给客户端安全模块,同时也将这一动态IP地址对发送到服务器安全模块。
安全控制中心通过所述动态地址池表为每台虚拟机保存一个动态IP地址池,所述动态IP地址池中每个IP地址都可路由到其对应的虚拟机。
安全控制中心通过所述DNS处理模块在接收到客户端安全模块发送的DNS请求后,对所述DNS请求的域名所对应的服务器虚拟机的地址池进行查找,从中分配一个服务器动态IP地址,并对发起请求的客户端虚拟机的地址池进行查找,从中分配一个客户端动态IP地址,将这一动态IP地址对返回给DNS请求方,同时也将这一动态IP地址对发送到DNS请求域名对应的虚拟机的安全模块。
安全控制中心维护一个动态地址池表,包含云计算平台上所有虚拟机的动态地址池。当它收到安全模块转发的DNS请求时,查询动态地址池表,如果查询到请求的域名,则在此域名对应的虚拟机的地址池中选择一个IP地址作为此DNS请求返回的地址。同时,也查询发起此DNS请求的虚拟机的地址池,选择一个IP地址。安全控制中心将这两个IP地址同时返回给DNS请求的虚拟机。另外,还将此两个IP地址发送给服务器对应的安全模块。安全控制中心与安全模块之间的通信协议可以是自定义的私有协议。
在本实施例的另一种实施方式中,所述安全模块设置有地址对应表和转发控制模块;
安全模块通过所述地址对应表保存安全控制中心分配的源客户端动态IP地址及服务器动态IP地址;
安全模块通过所述转发控制模块转发客户端发送的数据包;并在转发客户端发送的数据包之前,从所述地址对应表中查询与数据包目的地址一致的服务器动态IP地址,将地址对应表中对应的客户端动态IP地址替换到数据包的源地址上。
地址对应表保存安全控制中心分配的动态地址对,动态地址对是安全模块发送DNS请求时安全控制中心分配的一对动态IP地址,一个是本地的动态IP地址,一个是远端的动态IP地址。对于客户端安全模块,本地的动态IP地址为安全控制中心发送的客户端动态IP地址,远端的动态IP地址为服务器动态IP地址;对于服务器安全模块,本地的动态IP地址为安全控制中心发送的服务器动态IP地址,远端的动态IP地址为客户端动态IP地址
转发控制模块负责转发虚拟机与虚拟交换机之间的数据包。当虚拟机发送数据包时,转发控制模块从地址对应表里查询与数据包目的地址一致的远端动态IP地址,将此地址对里的本地IP地址替换到数据包的源地址上。当虚拟交换机发送数据包给虚拟机时,转发控制模块从地址对应表里查询与数据包源地址和目的地址一致的地址对,查询到后将数据包的目的地址替换为此虚拟机的真实IP地址,查询不到的话则丢弃。
在本实施例的另一种实施方式中,在请求方发起域名系统请求之后,还包括:
所述请求方的安全模块判断所述域名系统请求中的域名是否为外部域名;若是,则所述请求方安全模块将所述域名系统请求转发至域名系统对应的服务器;否则,所述请求方的安全模块将所述域名系统请求转发至所述安全控制中心。
由于虚拟机发起的DNS请求并不都是访问内部虚拟机的,可能是访问外部域名的,因此安全模块可以根据域名的特征判断是否是外部域名,如果是访问外部域名的请求,安全模块不需要将DNS请求转发给安全控制中心,按正常数据包转发即可。
在本实施例的另一种实施方式中,在请求方的安全模块将所述域名系统请求转发至安全控制中心后,还包括:
若所述请求方安全模块接收到所述安全控制中心发出的外部域名指示命令,则将所述域名系统请求转发至域名系统对应的服务器;其中,所述外部域名指示命令为所述安全控制中心判定所述域名系统请求中的服务器域名为外部域名时发出的。
在虚拟机发起DNS请求访问后,安全模块将DNS请求转发给安全控制中心,安全控制中心在内部域名中查询所述DNS请求访问的域名,若查询不到,则认为所述DNS请求访问的域名为外部域名,安全控制中心返回指示给安全模块,以要求安全模块按正常数据包转发所述DNS请求。
在本实施例的另一种实施方式中,在请求方的安全模块将所述域名系统请求转发至安全控制中心后,还包括:
若所述请求方的安全模块接收到所述安全控制中心发出的不需要服务器动态IP地址的指示命令,则将所述域名系统请求转发至域名系统对应的服务器;其中,所述不需要服务器动态IP地址的指示命令为,所述安全控制中心判定所述域名系统请求中的服务器域名为不需要通过动态IP地址访问的域名时发出的。
安全控制中心在预设的内部记录的域名上做标记,以表示所述域名不需要通过动态IP地址访问,在接收到安全模块发送的DNS请求后,如果所述DNS请求对应的域名为所述标记的域名,则给安全模块返回一个指示,以要求安全模块按正常数据包转发所述DNS请求。
如图6所示,图6为DNS返回静态IP地址的过程,虚拟机1访问某台主机,如果此主机域名为外部域名,或者即使是内部虚拟机的域名,但不需要分配动态IP地址的处理过程,具体如下:
步骤501,虚拟机1已知目的主机的域名,向DNS服务器发送DNS请求,查询此主机的IP地址,此请求被安全模块1获取;
步骤502,安全模块1获取DNS请求后,将此请求转发给安全控制中心;
步骤503,安全控制中心根据DNS请求的域名查询为外部主机,或者查询为内部虚拟机,但是标记为不需要分配动态IP地址;
步骤504,安全控制中心返回给安全模块1应答,包含一个指示,表示此域名不需要分配动态IP;
步骤505,安全模块1按正常流程转发DNS请求给DNS服务器;
步骤506,DNS服务器返回应答,包含此域名的静态IP地址;
步骤507,安全模块1将DNS应答转发给虚拟机1,虚拟机1获取此域名的静态IP地址。
安全模块按正常数据包转发所述DNS请求,表示在数据发送过程中不需要更换IP地址,按现有网络传输技术发送数据包。
基于相同的技术构思,如图7所示,本公开实施例还提供一种实现网络动态性的系统,包括:安全控制中心2和安全模块1;
所述安全模块1设置为,在请求方发起域名系统请求以访问待请求方后,将所述域名系统请求发送到安全控制中心2;
所述安全控制中心2设置为,根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
所述安全模块1还设置为,在处于请求方一端时,将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方一端的安全模块,所述数据包的目的地址为所述动态目的IP地址;以及
在处于待请求方一端时,在接收到请求方的安全模块发送的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
在本实施例的另一种实施方式中,如图8所示,实现网络动态性的系统包括:安全控制中心2、客户端安全模块12和客户端11;所述安全控制中心2存储有客户端域名、真实IP地址和IP地址池,以及服务器域名、真实IP地址和IP地址池;
所述客户端11设置为,发起域名系统请求,所述域名系统请求包括客户端真实IP地址和服务器域名;
所述客户端安全模块12设置为,将所述客户端11发起的域名系统请求转发至安全控制中心2,以使所述安全控制中心2根据所述域名系统请求,从所述客户端IP地址池和所述服务器IP地址池中各选择一个IP地址分别作为客户端动态IP地址和服务器动态IP地址,并发送至所述客户端安全模块12和服务器安全模块15;
所述客户端11还设置为,发送数据包,所述数据包的源地址为所述客户端真实IP地址、目的地址为所述服务器动态IP地址;
所述客户端安全模块12还设置为,将所述客户端11发送的数据包的源地址变换为所述客户端动态IP地址后发送至服务器安全模块15,以使所述服务器安全模块15在校验所述数据包的源地址和目的地址分别与所述客户端动态IP地址和所述服务器动态IP地址一致后,将所述数据包转发至服务器16。
如图8所示,虚拟机运行在物理主机14上,在一次数据访问中分为客户端12和服务器16,安全模块1运行在物理主机14的操作系统内核中,与客户端和服务器对应,处于不同端时分别被称为客户端安全模块12和服务器安全模块15。物理主机14上还运行有虚拟交换机13,虚拟交换机13负责虚拟机之间,以及虚拟机与物理主机之外的网络互通。虚拟机所有的网络流量都通过安全模块转发到虚拟交换机14上,虚拟交换机14再转发给其他虚拟机,或外部网络。安全控制中心2与所有的安全模块互通,接收安全模块转发的DNS请求,返回应答消息,也可以为安全模块设置各种参数。
在本实施例的一种实施方式中,如图9所示,所述安全控制中心2包括动态地址池表301和DNS处理模块302;
所述动态地址池表301设置为为每台虚拟机11保存一个动态IP地址池,所述动态IP地址池中每个IP地址都可路由到其对应的虚拟机11。
所述DNS处理模块302设置为在接收到客户端安全模块12发送的DNS请求后,对DNS请求的域名所对应的虚拟机,即服务器16的地址池进行查找,从中分配一个服务器动态IP地址,并对发起请求的虚拟机,即客户端11的地址池进行查找,从中分配一个客户端动态IP地址,将这一动态IP地址对返回给DNS请求方客户端11,同时也将这一动态IP地址对发送到DNS请求域名对应的服务器安全模块15。
在本实施例的一种实施方式中,如图10所示,所述客户端安全模块12包括地址对应表201和转发控制模块202;
所述地址对应表201设置为保存安全控制中心2分配的动态地址对;
所述转发控制模块202设置为转发虚拟机与虚拟机之间的数据包;并在接收到客户端11发送的数据包后,从地址对应表201中查询与数据包目的地址一致的服务器动态IP地址,将对应的地址对应表中客户端动态IP地址替换到数据包的源地址上。
在本实施例的一种实施方式中,所述客户端安全模块12还设置为:
在客户端11发起域名系统请求之后,判断所述域名系统请求中的服务器域名是否为外部域名;若是,则将所述域名系统请求转发至域名服务系统服务器;否则,将所述域名系统请求转发至所述安全控制中心2。
在本实施例的一种实施方式中,所述客户端安全模块12还设置为:
在接收所述安全控制中心发出的外部域名指示命令后,将所述域名系统请求转发至域名服务系统服务器,其中,所述外部域名指示命令为所述安全控制中心判定所述域名系统请求中的服务器域名为外部域名时发出的。
在客户端11发起DNS请求访问,安全控制中心2接收到客户端安全模块12发送的所述DNS请求后,在内部域名中查询所述DNS请求访问的域名,若查询不到,则认为所述DNS请求访问的域名为外部域名,返回指示给客户端安全模块12,以要求客户端安全模块12按正常数据包转发所述DNS请求。
在本实施例的一种实施方式中,所述客户端安全模块12还设置为:
在接收到所述安全控制中心2发出的不需要服务器动态IP地址的指示命令后,将所述域名系统请求转发至域名服务系统服务器;其中,所述不需要服务器动态IP地址的指示命令为,所述安全控制中心2判定所述域名系统请求中的服务器域名为不需要通过动态IP地址访问的域名时发出的。
安全控制中心2在预设的内部记录的域名上做标记,以表示所述域名不需要通过动态IP地址访问,在接收到客户端安全模块12发送的DNS请求后,如果所述DNS请求对应的域名为所述标记的域名,则给安全模块12返回一个指示,以要求安全模块12按正常数据包转发所述DNS请求。
基于相同的技术构思,如图11所示,本公开实施例相应还提供一种终端设备,包括存储器10和处理器20,所述存储器10中存储有计算机程序,当所述处理器20运行所述存储器10存储的计算机程序时,所述处理器20执行如上所述的实现网络动态性的方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行如上所述的实现网络动态性的方法。
如图12所示,本公开另一实施例还提供一种实现网络动态性的方法,包括步骤S21至步骤S23:
步骤S21:服务器安全模块接收安全控制中心发送的客户端动态IP地址和服务器动态IP地址;其中,所述安全控制中心存储有客户端域名、真实IP地址和IP地址池,以及服务器域名、真实IP地址和IP地址池;所述客户端动态IP地址和所述服务器动态IP地址为,所述安全控制中心根据由客户端发起并由客户端安全模块转发的域名系统请求,分别从所述客户端IP地址池和所述服务器IP地址池中选出的;
步骤S22:所述服务器安全模块接收由所述客户端发送并由所述客户端安全模块转发的数据包,其中所述数据包的源地址被所述客户端安全模块变换为所述客户端动态IP地址、目的地址为所述服务器动态IP地址;
步骤S23:所述服务器安全模块校验所述数据包的源地址和目的地址是否分别与所述客户端动态IP地址和所述服务器动态IP地址一致,并在二者均一致时,将所述数据包的目的地址变换为服务器的真实IP地址后,再将所述数据包转发至服务器。
在本实施例的一种实施方式中,在所述服务器接收到所述数据包之后,还包括:
所述服务器发送应答包;以及,
所述服务器安全模块将所述应答包的源地址变换为所述服务器动态IP地址,并将所述应答包转发至所述客户端安全模块,其中所述应答包的目的地址为所述客户端动态IP地址,以使所述客户端安全模块将所述应答包的目的地址变换为所述客户端真实IP地址后转发至所述客户端。
基于相同的技术构思,如图8所示,本公开另一实施例还提供一种实现网络动态性的系统,包括:安全控制中心2、服务器安全模块15和服务器16;所述安全控制中心2存储有客户端域名、真实IP地址和IP地址池,以及服务器域名、真实IP地址和IP地址池;
服务器安全模块15设置为,接收所述安全控制中心2发送的客户端动态IP地址和服务器动态IP地址;其中,所述客户端动态IP地址和所述服务器动态IP地址为,所述安全控制中心2根据由客户端11发起并由客户端安全模块12转发的域名系统请求,分别从所述客户端IP地址池和所述服务器IP地址池中选出的;
所述服务器安全模块15还设置为,接收由所述客户端11发送并由所述客户端安全模块12转发的数据包,其中所述数据包的源地址被所述客户端安全模块变换为所述客户端动态IP地址、目的地址为所述服务器动态IP地址;
所述服务器安全模块15还设置为,校验所述数据包的源地址和目的地址是否分别与所述客户端动态IP地址和所述服务器动态IP地址一致,并在二者均一致时将所述数据包转发至所述服务器。
在本实施例的另一种实施方式中,所述服务器安全模块15设置有地址对应表和转发控制模块;
所述地址对应表设置为保存安全控制中心2分配的动态地址对;
所述转发控制模块设置为在接收到客户端安全模块12发送的数据包后,从地址对应表里查询是否存在与数据包源地址和目的地址一致的地址对,如存在则将所述数据包的目的地址替换为服务器的真实IP地址,查询不到,则丢弃所述数据包。
在本实施例的另一种实施方式中,所述服务器安全模块15还设置为在所述服务器16接收到数据包并返回应答包后,将所述应答包的目的地址更换为客户端动态IP地址后,发送到客户端安全模块12;以使所述客户端安全模块在接收到的应答包后,将应答包的目的地址变换为客户端的真实IP地址,以发送应答包到客户端11。
在本实施例的另一种实施方式中,所述服务器安全模块15包括地址对应表和转发控制模块;
所述地址对应表设置为保存安全控制中心2分配的动态地址对;
所述转发控制模块设置为在接收到客户端安全模块12发送的数据包后,从地址对应表里查询是否存在与数据包源地址和目的地址一致的地址对,如存在则将所述数据包的目的地址替换为服务器16的真实IP地址,查询不到,则丢弃所述数据包。
基于相同的技术构思,如图11所示,本公开实施例相应还提供一种终端设备,包括存储器10和处理器20,所述存储器10中存储有计算机程序,当所述处理器20运行所述存储器10存储的计算机程序时,所述处理器20执行如上所述的实现网络动态性的方法。
基于相同的技术构思,本公开实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行如上所述的实现网络动态性的方法。
在本公开的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
可以理解的是,以上实施方式仅仅是为了说明本公开的原理而采用的示例性实施方式,然而本公开并不局限于此。对于本领域内的普通技术人员而言,在不脱离本公开的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本公开的保护范围。

Claims (8)

1.一种实现网络动态性的方法,其特征在于,包括:
在请求方发起域名系统请求以访问待请求方后,请求方的安全模块将所述域名系统请求发送到安全控制中心;
所述安全控制中心根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
请求方的安全模块将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方的安全模块,所述数据包的目的地址为所述动态目的IP地址;
待请求方的安全模块接收到的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述请求方的安全模块接收由所述待请求方返回并由所述待请求方的安全模块转发的应答包,所述应答包的源地址被所述待请求方的安全模块变换为所述目的动态IP地址,目的地址为所述动态源IP地址;以及,
所述请求方的安全模块将所述应答包的目的地址变换为所述请求方的真实IP地址,并将变换后的应答包转发至所述请求方。
3.根据权利要求1所述的方法,其特征在于,在请求方发起域名系统请求之后,还包括:
所述请求方的安全模块判断所述域名系统请求中的域名是否为外部域名;若是,则所述请求方安全模块将所述域名系统请求转发至域名系统对应的服务器;否则,所述请求方的安全模块将所述域名系统请求转发至所述安全控制中心。
4.根据权利要求1所述的方法,其特征在于,在请求方的安全模块将所述域名系统请求转发至安全控制中心后,还包括:
若所述请求方安全模块接收到所述安全控制中心发出的外部域名指示命令,则将所述域名系统请求转发至域名系统对应的服务器;其中,所述外部域名指示命令为所述安全控制中心判定所述域名系统请求中的服务器域名为外部域名时发出的。
5.根据权利要求1所述的方法,其特征在于,在请求方的安全模块将所述域名系统请求转发至安全控制中心后,还包括:
若所述请求方的安全模块接收到所述安全控制中心发出的不需要服务器动态IP地址的指示命令,则将所述域名系统请求转发至域名系统对应的服务器;其中,所述不需要服务器动态IP地址的指示命令为,所述安全控制中心判定所述域名系统请求中的服务器域名为不需要通过动态IP地址访问的域名时发出的。
6.一种实现网络动态性的系统,其特征在于,包括:安全控制中心和安全模块;
所述安全模块设置为,在请求方发起域名系统请求以访问待请求方后,将所述域名系统请求发送到安全控制中心;
所述安全控制中心设置为,根据所述域名系统请求,从保存的请求方对应的动态地址池和待请求方对应的动态地址池中各选择一个IP地址分别作为动态源IP地址和动态目的IP地址,并发送到请求方的安全模块及待请求方的安全模块;
所述安全模块还设置为,在处于请求方一端时,将请求方产生的数据包的源地址更改为所述动态源IP地址后,发送到待请求方一端的安全模块,所述数据包的目的地址为所述动态目的IP地址;以及
在处于待请求方一端时,在接收到请求方的安全模块发送的所述数据包后,校验所述数据包的源地址和目的地址是否分别与所述动态源IP地址和动态目的IP地址一致,若是,则将所述数据包的目的地址更换为待请求方的真实IP地址后转发至待请求方,否则丢弃所述数据包。
7.一种终端设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至5中任一项中所述的实现网络动态性的方法。
8.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至5中任一项所述的实现网络动态性的方法。
CN201911330409.9A 2019-12-20 2019-12-20 实现网络动态性的方法、系统、终端设备及存储介质 Active CN113014682B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201911330409.9A CN113014682B (zh) 2019-12-20 2019-12-20 实现网络动态性的方法、系统、终端设备及存储介质
US17/639,904 US20220337546A1 (en) 2019-12-20 2020-12-01 Method and system for realizing network dynamics, terminal device and storage medium
PCT/CN2020/133138 WO2021121027A1 (zh) 2019-12-20 2020-12-01 实现网络动态性的方法、系统、终端设备及存储介质
EP20901004.0A EP3989509A4 (en) 2019-12-20 2020-12-01 METHOD FOR ACHIEVING DYNAMIC COLLABORATIVE ARCHITECTURE, SYSTEM, TERMINAL DEVICE AND STORAGE MEDIA

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911330409.9A CN113014682B (zh) 2019-12-20 2019-12-20 实现网络动态性的方法、系统、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN113014682A CN113014682A (zh) 2021-06-22
CN113014682B true CN113014682B (zh) 2023-09-15

Family

ID=76382133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911330409.9A Active CN113014682B (zh) 2019-12-20 2019-12-20 实现网络动态性的方法、系统、终端设备及存储介质

Country Status (4)

Country Link
US (1) US20220337546A1 (zh)
EP (1) EP3989509A4 (zh)
CN (1) CN113014682B (zh)
WO (1) WO2021121027A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116455868B (zh) * 2023-03-29 2023-11-07 成都康胜思科技有限公司 一种基于泛域名解析加私有协议内网穿透的集成服务系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105429957A (zh) * 2015-11-02 2016-03-23 芦斌 一种基于sdn构架下的ip地址跳变安全通信方法
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法
CN109451084A (zh) * 2018-09-14 2019-03-08 华为技术有限公司 一种服务访问方法及装置

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7506370B2 (en) * 2003-05-02 2009-03-17 Alcatel-Lucent Usa Inc. Mobile security architecture
US7671729B2 (en) * 2006-11-14 2010-03-02 Shmuel Hershkovitz System and a method for remote monitoring customer security systems
US7840701B2 (en) * 2007-02-21 2010-11-23 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method
US7853680B2 (en) * 2007-03-23 2010-12-14 Phatak Dhananjay S Spread identity communications architecture
CN102307246B (zh) * 2010-09-25 2015-12-09 广东电子工业研究院有限公司 基于云计算的虚拟机间安全通信保护系统
CN103002067B (zh) * 2012-12-24 2016-12-28 曙光云计算技术有限公司 虚拟机的ip地址的获取方法
US9634948B2 (en) * 2013-11-07 2017-04-25 International Business Machines Corporation Management of addresses in virtual machines
US10447710B1 (en) * 2014-06-03 2019-10-15 Cryptonite, LLC Self-shielding dynamic network architecture
CN105391813A (zh) * 2015-10-13 2016-03-09 北京极科极客科技有限公司 一种socks透明代理的方法及装置
US11552929B2 (en) * 2019-06-10 2023-01-10 Fortinet, Inc. Cooperative adaptive network security protection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105429957A (zh) * 2015-11-02 2016-03-23 芦斌 一种基于sdn构架下的ip地址跳变安全通信方法
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法
CN109451084A (zh) * 2018-09-14 2019-03-08 华为技术有限公司 一种服务访问方法及装置

Also Published As

Publication number Publication date
US20220337546A1 (en) 2022-10-20
EP3989509A4 (en) 2022-09-21
WO2021121027A1 (zh) 2021-06-24
EP3989509A1 (en) 2022-04-27
CN113014682A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN108886540B (zh) 域名解析方法、装置及计算机可读存储介质
US10904204B2 (en) Incompatible network gateway provisioned through DNS
US10097566B1 (en) Identifying targets of network attacks
US10958623B2 (en) Identity and metadata based firewalls in identity enabled networks
EP3507964B1 (en) Malware detection for proxy server networks
US10375110B2 (en) Luring attackers towards deception servers
CN109981803B (zh) 业务请求处理方法及装置
US10469532B2 (en) Preventing DNS cache poisoning
EP2556438B1 (en) Reverse dns lookup with modified reverse mappings
US9319315B2 (en) Distributing transmission of requests across multiple IP addresses of a proxy server in a cloud-based proxy service
US9723023B2 (en) Destination address rewriting to block peer-to-peer communications
EP3306900B1 (en) Dns routing for improved network security
EP2469787A1 (en) Method and device for preventing network attacks
WO2021057348A1 (zh) 一种服务器安全防御方法及系统、通信设备、存储介质
US9973590B2 (en) User identity differentiated DNS resolution
CN108337257B (zh) 一种免认证访问方法和网关设备
US7987255B2 (en) Distributed denial of service congestion recovery using split horizon DNS
CN112714027A (zh) 物联网终端设备接入网关的方法和系统
CN107690004B (zh) 地址解析协议报文的处理方法及装置
CN113014682B (zh) 实现网络动态性的方法、系统、终端设备及存储介质
EP3043534B1 (en) Managing traffic overload on a dns server
CN110995763B (zh) 一种数据处理方法、装置、电子设备和计算机存储介质
US11658995B1 (en) Methods for dynamically mitigating network attacks and devices thereof
WO2016177185A1 (zh) 媒体访问控制mac地址的处理方法及装置
JP2003163681A (ja) パケット転送装置、パケット転送方法およびプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant