[发明专利]面向网络跳变控制器的安全防护方法、系统及相关设备

说明书

本发明公开了一种面向网络跳变控制器的安全防护方法、系统及相关设备，包含有在由多台跳变控制器构建的控制器集群中，通过投票机制选举值班节点，其他节点作为后备节点；建立值班节点与网络跳变执行器连接，并对网络跳变执行器提供服务；后备节点监督值班节点的健康状态和工作状态，若值班节点故障和/或被恶意控制和/或劫持，则选举新的值班节点，并继续对网络跳变执行器提供服务等步骤。本发明的优点是：通过对现有Raft算法的改进，让后备节点同时具备了监督值班节点健康状态和工作状态的功能，使跳变控制器具有了内生的安全防护能力，解决了跳变控制器因被恶意控制或劫持导致整个网络跳变系统防护能力被瓦解的问题，提升了系统抗攻击能力。

技术领域

本发明涉及网络安全技术领域，特别涉及一种面向网络跳变控制器的安全防护方法、系统及相关设备。

背景技术

网络跳变是移动目标防御体系中的重要技术之一，其常见的系统架构如图1所示，在该网络跳变架构中，网络跳变控器制是大脑，其作用是用于将网络跳变控制信息发送给网络跳变执行器，以控制网络跳变执行器运行。其中，跳变控制信息包括了对数据包进行处理和转发的机制，因为，网络跳变执行器可以屏蔽其对应跳变网络中应用服务系统对外提供的原始IP地址和端口等信息，使得应用服务系统对外提供服务的IP地址和端口转化为不断变化的跳变IP地址和跳变端口；由于IP地址和端口的不断变化，使得攻击者难以对目标实施有效攻击，这样便可实现对应用系统的安全防护；故而，网络跳变控制器就成为了跳变网络中新的攻击对象，攻击者一旦成功控制网络跳变控制器，则整个网络跳变系统的防护能力将被瓦解。

目前对网络跳变控制器的防护方法，采取较多的是：采用防火墙或网络隔离的方式对网络跳变控制器提供安全防护，但是这两种方式都不能从根本上解决网络跳变控制器所面临的安全威胁。而基于Raft算法的网络跳变控制器架构虽能够解决网络跳变控制器由于物理故障导致的系统单点失效，但是无法解决网络跳变控制器被恶意攻击导致其被劫持问题。如图2所示，基于Raft算法的网络跳变架构具体是通过在跳变网络中部署多个对等的网络跳变控制器节点来建立一种分布式网络跳变控制器集群，然后再利用Raft算法的竞选机制，从这个分布式网络跳变控制器集群中选举一个网络跳变控制器作为值班节点来对外提供服务，其他网络跳变控制器则作为后备节点备用；在此基于Raft算法的网络跳变架构中，网络跳变控制器集群中的各节点(即各网络跳变控制器)之间利用的是主从同步机制实现节点数据的一致性。在此基于Raft算法的网络跳变架构中，值班节点和后备节点间连接了心跳线，其是通过心跳数据包来判断值班节点的运行状态的，如图3所示；在此基于Raft算法的网络跳变架构下，当在一个时间段内，网络跳变控制器集群中的后备节点未收到值班节点发来的心跳信息时，如图4所示，则判断值班节点出现了物理故障或网络连接中断，此时网络跳变控制器集群会选择一个新的节点(即从原后备节点中选择)来作为值班节点，然后再重新建立与网络跳变执行器的连接。从上面我们能够看出，该基于Raft算法的网络跳变架构中，Raft算法面向的是控制器节点物理故障或网络失效的问题，是非拜占庭将军问题。但在该基于Raft算法的网络跳变架构下，若出现值班节点被恶意攻击并劫持，此时的值班节点则无法向网络跳变执行器再提供正常服务或者会向网络跳变执行器发送错误的服务消息，但是此时的值班节点依然可以向后备节点正常发送心跳消息，如图5所示，由此可知，此时的后备节点无法判断值班节点的工作状态是否正常，即无法处理值班节点被恶意攻击导致的劫持问题(即拜占庭将军问题)。综上所述，现有基于Raft算法的网络跳变架构，其本身只能解决节点物理故障的非拜占庭将军的一致性问题，无法解决节点被恶意攻击劫持的拜占庭将军一致性问题。

众所周知，在跳变网络环境中，网络跳变控制器不仅需要实时对网络跳变执行器发送控制指令，而且网络跳变控制器还会随时面临着第三方的恶意攻击，因此，我们不仅需要解决网络跳变控制器被劫持(拜占庭将军)问题，还需要解决高性能的一致性算法问题。

发明内容

本发明的目的在于提供一种面向跳变控制器的安全防护方法、系统及相关设备，用于解决跳变控制器被攻击后导致防护能力被瓦解的问题。

为实现上述目的，本发明采取的如下技术方案：