CN114629667A - 一种基于ip大范围变换的链路动态变化方法 - Google Patents

一种基于ip大范围变换的链路动态变化方法 Download PDF

Info

Publication number
CN114629667A
CN114629667A CN202011374115.9A CN202011374115A CN114629667A CN 114629667 A CN114629667 A CN 114629667A CN 202011374115 A CN202011374115 A CN 202011374115A CN 114629667 A CN114629667 A CN 114629667A
Authority
CN
China
Prior art keywords
communication
local network
port
real
initiator
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011374115.9A
Other languages
English (en)
Inventor
司成祥
王梦禹
王亿芳
毛蔚轩
侯美佳
樊峰峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN202011374115.9A priority Critical patent/CN114629667A/zh
Publication of CN114629667A publication Critical patent/CN114629667A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种基于大范围IP地址变换的链路动态变化方法,让网络通信目的方无法追踪本地网络通信发起方真实的网络地址,从而达到保护本地网络通信发起方隐私的目的。该方法包括:本地网络通信发起方将真实IP和真实端口,通信目的方的IP和端口号,以及通信内容发送至独立设备;独立设备在大范围IP内按照规则生成通信发起方的仿冒IP和仿冒端口,重新构造数据包实现与网络通信目的方的网络通信。同时由独立设备对本地网络外的网络目的方的特定网络流量数据包进行高速捕获、精准识别、地址重定向,实现与通信发起方的正常通信。整个过程中的本地网络通信发起方的网络地址IP变换,本地网络通信发起方和其它网络通信目的方均不可感知。

Description

一种基于IP大范围变换的链路动态变化方法
技术领域
本发明涉及网络安全领域,特别涉及一种基于大范围IP地址变换的链路动态变化通信方法。
背景技术
由于网络安全及用户隐私保护的需要,本地网络通信发起方在希望与其它网络目的方保持稳定通信的基础上,不暴露自己的真实网络地址。通过该方法,在保证通信链路连接不中断的基础上,不断地利用大范围真实的IP地址来替换本地通信发起方的网络地址,让其它网络通信目的方无法追踪并获得本地网络通信发起方真实的网络地址,从而达到保护本地网络通信发起方隐私的问目的。
发明内容
图1所示为示意图。
本地网络通信发起方使用真实IP发起对独立设备的VPN访问,将要访问的本地网络外的网络地址、端口和访问内容加密封装发送到独立设备。
独立设备位于本地网络的网关处,其使用本地网络通信发起方真实IP和当前时间t的hash值为密钥生成一随机数构造要伪冒的IP地址,使用本地网络通信方发起方的真实端口和本地网络外的网络地址的端口号构造伪冒端口号,然后用生成的伪冒IP和伪冒端口号重构数据包与本地网络外的通信目的方进行通信;同时构造一个流表,格式如下:
(本地网络外的目的IP,本地网络外的目的端口,伪冒IP,伪冒端口,真实IP,真实端口,t)
当独立设备收到来自本地网络外的数据后,首先查流表检验该数据是否为真实网络访问,如果是则直接转发给对应的地址即可;否则根据流表信息中的真实IP和真实端口重构数据包与本地网络的通信发起方进行VPN加密通信。
独立设备保持对流表中各表项的监测,若t距当前时刻的时间差超过一个时间间隔T,则按照上述规则重新构造伪冒IP和新的流表项,根据通信双方数据来往实际对应重构数据包,从而在通信链路实际保持的前提下,实现通信发起方的伪冒IP透明动态变化,使得本地网络外的目的方对本地网络的通信发起方真实IP的不可感知。若独立设备监测到有链路通信完毕,则清除对应流表项。
附图说明
图1基于大范围IP地址变换的链路动态变化系统部署示意图;
图2基于大范围IP地址变换的链路动态变化流程示意图。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示基于大范围IP地址变换的链路动态变化系统部署示意图。
在本发明实施例中,基于大范围IP地址变换的链路动态变化系统部署图中包括本地网络的通信发起方、独立设备和其他网络的通信目的方等三类实体其中:
通信发起方泛指需要向其他网络通信目的隐藏真实IP和端口号的本地网络内实体,如PC、服务器等;
通信目的方泛指本地通信发起方想要与之进行通信的其他网络内的实体;
独立设备能够按照一定的规则为通信发起方生成仿冒IP和仿冒端口号,并重构数据流量包,让通信发起方和通信目的方能够正常通信,且不感知仿冒IP和仿冒端口号变化;并且独立设备的部署位置处于本地网络的边界处。
如图2所示为基于大范围IP地址变换的链路动态变化流程示意图。
在本发明实施例中,基于大范围IP地址变换的链路动态变化流程主要包括:
步骤101,通信发起方将己方真实IP、端口号,通信目的方IP、端口号,以及通信数据等,通过VPN连接发送至独立设备;
在步骤中,通信发起方发送至独立设备的数据包均是通过VPN加密,能有效抵御针对流量的监听、过滤和分析等攻击;
步骤102,独立设备收到通信发起方的数据后,先进行解密,获得通信发起方真实IP、端口号,通信目的方IP、端口号,以及通信数据等;按照一定的规则仿冒通信发起的IP、端口号,构建对应的数据流表项,根据数据流表重构数据包与通信目的方通信,其中:
通信发起方的仿冒IP构造方法为将本地网络的通信发起方真实IP和当前时间t共同进行hash,然后取该值为密钥生成一个1024位的二进制随机数,最后取该二进制数的1-8位、9-16位、1009-1016位和1017-1024位共32位构造伪冒IP,此种仿冒IP的构造空间约为232。
通信发起方的仿冒端口号构造方法为取真实端口号和本地网络外访问地址的端口号之和模65535,若值大于1024,则取该值为伪冒端口;否则取该值与1024之和为伪冒端口。
数据流表是一个流表,当独立设备为网络发起方构造仿冒IP和仿冒端口号与通信目的方通信时建立对应表项,通信结束后清除该表项,格式如:(本地网络外的目的IP,本地网络外的目的端口,伪冒IP,伪冒端口,真实IP,真实端口,t),其中t为通信发起时刻。
同时,独立设备当监测到流表中表项中t距当前时刻的时间差超过一个时间间隔T,则按照构造规则重新构造伪冒IP和伪冒端口,并更新对应表项。
步骤103,独立设备对本地网络外的网络目的方的特定网络流量数据包进行高速捕获,并根据数据流表进行精确识别、地址重定向,实现与通信发起方的正常通信。
其中:
当独立设备捕获到有来自本地网络外的数据流量时,根据流量数据包的通信IP和端口信息,查数据流表,若没有匹配项,则说明该次流量为一般正常的数据包,直接放行并转发;否则,此数据流量来自本地网络外的响应流量,则根据对应的数据流表项,查找出真实的通信IP和端口号,重构数据流量包与本地网络的通信发起方进行VPN加密通信,完成此次通信。
当独立设备监测到此次通信连接完成,则从数据流表清除对应表项。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (7)

1.一种基于大范围变换的链路动态变化方法,其特征在于,包括:本地网络的通信发起方对其它网络的通信目的方访问的伪冒IP和伪冒端口的透明大范围变化。
2.根据权利要求1所述的方法,其特征在于,本地网络通信发起方利用真实IP和端口向独立设备进行VPN通信,将本地网络外的通信目的方IP、端口和数据加密发送至独立设备,独立设备解密数据后,构造伪冒IP和伪冒端口重构数据流与本地网络外的通信目的方进行通信。
3.根据权利要求2中所述的方法,其特征在于,伪冒IP由本地网络的通信发起方真实IP和当前时间t共同构造,具体方法是:首先将本地网络的通信发起方真实IP和当前时间t共同进行hash,然后取该值为密钥生成一个1024位的二进制随机数,最后取该二进制数的1-8位、9-16位、1009-1016位和1017-1024位共32位构造伪冒IP。
4.根据权利要求2中所述的方法,其特征在于,伪冒端口由本地网络的通信方发起方的真实端口+本外网络外访问地址的端口号共同构造,具体方法是:取真实端口号和本地网络外访问地址的端口号之和模65535,若值大于1024,则取该值为伪冒端口;否则取该值与1024之和为伪冒端口。
5.根据权利要求2中所述的方法,其特征在于,独立设备需要维护一个流表,当本地网络的网络发起方发起通信时建立对应表项,通信结束后清除该表项,格式如:(本地网络外的目的IP,本地网络外的目的端口,伪冒IP,伪冒端口,真实IP,真实端口,t)。
6.根据权利要求2中所述的方法,其特征在于,当独立设备监测到流表中表项中t距当前时刻的时间差超过一个时间间隔T,则按照权利要求3和权利要求4重新构造伪冒IP和伪冒端口。
7.根据权利要求2中所述的方法,其特征在于,当独立设备检测到来自本地网络外的数据流时,首先查流表检验该数据是否为真实网络访问,如果是则直接转发给对应的地址即可;否则根据流表信息中的真实IP和真实端口重构数据包与本地网络的通信发起方进行VPN加密通信。
CN202011374115.9A 2020-11-27 2020-11-27 一种基于ip大范围变换的链路动态变化方法 Pending CN114629667A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011374115.9A CN114629667A (zh) 2020-11-27 2020-11-27 一种基于ip大范围变换的链路动态变化方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011374115.9A CN114629667A (zh) 2020-11-27 2020-11-27 一种基于ip大范围变换的链路动态变化方法

Publications (1)

Publication Number Publication Date
CN114629667A true CN114629667A (zh) 2022-06-14

Family

ID=81896302

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011374115.9A Pending CN114629667A (zh) 2020-11-27 2020-11-27 一种基于ip大范围变换的链路动态变化方法

Country Status (1)

Country Link
CN (1) CN114629667A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115348118A (zh) * 2022-10-20 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种基于密码技术的网络地址和端口号隐藏方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115348118A (zh) * 2022-10-20 2022-11-15 中国人民解放军军事科学院系统工程研究院 一种基于密码技术的网络地址和端口号隐藏方法

Similar Documents

Publication Publication Date Title
US11032190B2 (en) Methods and systems for network security universal control point
Geravand et al. Bloom filter applications in network security: A state-of-the-art survey
CN102347870B (zh) 一种流量安全检测方法、设备和系统
Belenky et al. On IP traceback
Houmansadr et al. Cirripede: Circumvention infrastructure using router redirection with plausible deniability
US9398043B1 (en) Applying fine-grain policy action to encapsulated network attacks
US10326803B1 (en) System, method and apparatus for network security monitoring, information sharing, and collective intelligence
Ji et al. A novel covert channel based on length of messages
Zhao et al. SDN-based double hopping communication against sniffer attack
CN107078898A (zh) 一种在多路径网络上建立安全私人互连的方法
CN111935212B (zh) 安全路由器及基于安全路由器的物联网安全联网方法
Malekzadeh et al. A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks
CN107181605B (zh) 报文检测方法及系统、内容提取装置、流量匹配装置
Aljifri et al. IP traceback using header compression
Kirichek et al. False clouds for Internet of Things and methods of protection
Cai et al. Source authentication and path validation in networks using orthogonal sequences
Gao et al. A review of P4 programmable data planes for network security
CN103458046B (zh) 一种基于核心网络的数据秘密共享系统及方法
Cherian et al. Mitigation of DDOS and MiTM Attacks using Belief Based Secure Correlation Approach in SDN-Based IoT Networks.
Abdullaziz et al. AIPISteg: An active IP identification based steganographic method
CN114629667A (zh) 一种基于ip大范围变换的链路动态变化方法
Lu et al. Research on information steganography based on network data stream
CN109962902A (zh) 一种防网络追踪及实现匿名安全访问的方法及系统
CN117375862A (zh) 报文转发方法、系统、网络设备、存储介质及程序产品
Johnson et al. Covert channel using man-in-the-middle over HTTPS

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination