[发明专利]一种内网通信智能动态防御的方法

权利要求书

1.一种内网通信智能动态防御的方法，其特征在于，包括：

基于差异化策略的服务端口协同治理、面向内网通信隔离的虚拟地址跳变。

2.根据权利要求1所述的方法，其特征在于，差异化策略的服务端口协同治理主要包括严格时间同步跳变策略、严格事件同步跳变策略。

3.根据权利要求2中所述的方法，其特征在于，在严格时间同步策略中，服务器和客户端之间共享种子密钥和加密算法。服务器用当前时间和共同的种子密钥作为输入，通过加密算法计算出当前通信使用的端口号，并在该地址和端口号上进行监听，等待客户端的连接。时间同步可以保证服务器每分钟产生一对有效的端口号。当客户端需要访问服务器时，同样根据当前的时间和共享的种子密钥，通过加密算法计算出在当前时刻服务器使用的端口号，然后向服务器发起连接。

4.根据权利要求3中所述的方法，其特征在于，由于服务器是根据当前时间，每分钟产生一对有效的端口号，且该端口号仅在这一分钟内有效，即使被攻击者截获了报文得到了服务器的端口号，当其发动攻击时，该端口号也早已失效，因此能主动防御攻击者的安全攻击。

严格时间同步策略具有操作简单、对服务器负载要求低等优点，但是在网络通信中必须确保服务器和客户端时间上的严格同步，因为数据在网络中传输和处理总是存在着一定的延迟和拥塞。如果数据在网络中的传输时延超过误差允许值，就很容易导致同步的失败，需和严格事件同步策略配合使用。

5.根据权利要求2中所述的方法，其特征在于，在严格事件同步策略中，服务器和客户端之间同样共享种子密钥和加密算法，事件同步策略是根据某一事件发生的次数来决定当前通信中使用的端口号。具体而言，服务器和客户端共同选定一个事件发生的次数(如成功传输的数据分组的数目)作为同步的依据，将其值默认设置为seed。服务器首先根据seed值和共同的种子密钥作为输入，通过加密算法计算出当前通信所使用的端口号，并在该地址和端口号进行监听，等待客户端的连接。

6.根据权利要求5中所述的方法，其特征在于，当客户端需要访问服务器时，根据默认的seed值和共享的种子密钥，通过加密算法计算出当前服务器正在使用的端口号，然后向服务器发起连接。通信建立后，每当事件发生一次，seed值默认加1，同时服务器就把新的seed值发送给客户端，并根据新的seed值重新生成一对有效的端口号，为下一次数据传输做准备。客户端就根据新的seed值重新计算当前服务器正在使用的端口号，然后向服务器端发送数据。

7.根据权利要求1中所述的方法，其特征在于，面向内网通信隔离的虚拟地址跳变中的核心系统是一个有较高性能的虚拟交换设备，具备对数据报进行修改、校验、转发的功能，其性能必须保证不会因为该设备的串接而影响整个网络的性能。同时，系统并没有公开的IP地址，也就是说系统对于所有的主机、服务器来说是透明的、不可访问的，保证了系统设备自身的安全性。

8.根据权利要求7中所述的方法，初始化系统，在系统上配置主机IP、虚拟IP的可用范围，系统将为内网中每台主机、服务器划分一个主机IP网段，保证逻辑上内网中每台主机、服务器都是单独成网，逻辑上每台主机、服务器都是自成一个VLAN，连接交换机的主机服务器相互不能直接访问。

9.根据权利要求8中所述的方法，正常通信过程中，系统将内网双方通信的数据包中的主机IP修改为虚拟IP，并动态跳变，从而导致通信双方均不能正确获得对方的信息，同时未经允许的非法通信会被系统断掉。通过主机IP的单独成网和虚拟IP的动态跳变，实现了主机与主机或服务器之间的隔离。