[发明专利]一种内网通信智能动态防御的方法

说明书

本发明提供了一种内网通信智能动态防御的方法，该方法包括：差异化策略的服务端口协同治理和内网通信隔离的虚拟地址跳变。其中，客户端和服务器通信是通过各自本地协同治理模块决定的。并且在通信过程中内网通信双方是隔离的，其中内网通信双方的数据包中的主机IP修改为虚拟IP，并动态跳变，从而导致通信双方均不能正确获得对方的信息，同时未经允许的非法通信会被系统断掉，从而阻止了攻击者在局域网内实施ARP欺骗、网络嗅探等行为，提高了内网的安全性。

技术领域

本发明涉及网络安全领域，特别是涉及一种内网通信智能动态防御的方法。

背景技术

网络空间广泛的脆弱性使世界各国面临前所未有的安全威胁。“棱镜门”等事件表明，网络空间安全态势十分严峻，“震网”病毒、“乌克兰电网”等事件进一步表明，局域网安全作为网络空间安全重要组成部分。因此，必须在现有的内网环境中，提高内网通信的安全性。但是现有的技术方案不能很好地满足内网通信的安全。

发明内容

图1所示为差异化策略的服务端口协同治理通信模型的示意图。

服务器根据本地的协同治理模块决定当前提供服务的具体端口号；客户端若想实现与服务器的通信，同样要根据本地的协同治理模块，计算当前服务器的服务端口号，才能向服务器发起连接。

严格时间同步跳变策略，在严格时间同步策略中，服务器和客户端之间共享种子密钥和加密算法。服务器用当前时间和共同的种子密钥作为输入，通过加密算法计算出当前通信使用的端口号，并在该地址和端口号上进行监听，等待客户端的连接。时间同步可以保证服务器每分钟产生一对有效的端口号。当客户端需要访问服务器时，同样根据当前的时间和共享的种子密钥，通过加密算法计算出在当前时刻服务器使用的端口号，然后向服务器发起连接。

严格事件同步跳变策略。服务器和客户端之间同样共享种子密钥和加密算法，但与时间同步根据当前时间来产生对应的端口号不同，事件同步策略是根据某一事件发生的次数来决定当前通信中使用的端口号。具体而言，服务器和客户端共同选定一个事件发生的次数(如成功传输的数据分组的数目)作为同步的依据，将其值默认设置为seed。服务器首先根据seed值和共同的种子密钥作为输入，通过加密算法计算出当前通信所使用的端口号，并在该地址和端口号进行监听，等待客户端的连接。当客户端需要访问服务器时，根据默认的seed值和共享的种子密钥，通过加密算法计算出当前服务器正在使用的端口号，然后向服务器发起连接。通信建立后，每当事件发生一次，seed值默认加1，同时服务器就把新的seed值发送给客户端，并根据新的seed值重新生成一对有效的端口号，为下一次数据传输做准备。客户端就根据新的seed值重新计算当前服务器正在使用的端口号，然后向服务器端发送数据。

图2所示为智能通信动态防御系统的网络架构示意图。

系统是一个性能较高的虚拟交换设备，具备对数据报进行修改、校验、转发的功能，同时，系统并没有公开的IP地址，对于所有的主机、服务器是透明的、不可访问的。

初始化时，需要在系统上配置主机IP、虚拟IP的可用范围，系统将为内网中每台主机、服务器划分一个主机IP网段，保证逻辑上内网中每台主机、服务器都是单独成网，逻辑上每台主机、服务器都是自成一个VLAN，即不能够直接看到交换机上连接的其他主机、服务器。

正常通信过程中，系统将内网双方通信的数据包中的主机IP修改为虚拟IP，并动态跳变，从而导致通信双方均不能正确获得对方的信息，同时未经允许的非法通信会被系统断掉。通过主机IP的单独成网和虚拟IP的动态跳变，实现了主机与主机或服务器之间的隔离。

附图说明

图1差异化策略的服务端口协同治理通信模型的示意图。

图2智能通信动态防御系统的网络架构示意图。