[发明专利]一种基于FPGA的P2P流量筛选转发系统

说明书

本发明公开了一种基于FPGA的P2P流量筛选转发系统，包括密钥管理服务器、多个保护互联设备和多个FPGA设备。本发明的系统，部署简单，即插即用；流量加解密和非法流量筛选分发基于FPGA硬件级实现，保证了网络、信息和数据的安全；分发机制可实现在同一五元组下的流量，区分合法和非法，转发到不同的网络，非法流量分发之后的蜜罐系统，可与真实业务系统服务一致，代码一致，域名地址、IP地址和端口一致，不易被识别。本系统可做到主动安全抵御攻击，同时可对攻击方和攻击手段进行分析和态势感知。

技术领域

本发明涉及一种P2P流量筛选转发系统和方法，属于网络安全技术领域。

背景技术

现有的网络和终端常常是依靠VPN、防火墙、入侵检测、蜜罐等系统设备来保证网络、信息和数据的安全，其在实际使用中经常出现以下问题，导致网络被突破，信息服务和数据安全受到威胁。

1、VPN设备自身是依赖内核操作系统，构建的VPN软件系统，其自身存在着不可预知的0day漏洞，一旦其基于的内核版本和软件出现漏洞，直接变成靶子，形成被动的局面。

2、防火墙、入侵检测系统都是根据经验知识库进行特征的识别和防御，一旦出现新型的特征，无法被检测时，策略就会直接被突破，形同虚设。即使是下一代防火墙，也存在学习的死角，无法确保绝对安全。

3、传统的蜜罐是暴露出来的虚拟业务系统，其业务特征比较明显，容易被识别。虚拟业务系统和真实的业务系统之间存在地址、端口不同的情况，很容易被识别。

发明内容

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种基于FPGA的P2P流量筛选转发系统，首先解决安全互联问题，在访问和服务侧分别部署基于FPGA的网络层流量加解密，进行密钥协商分配，通信双方形成基于同一密钥的流量加解密传输。进一步，流量加解密和非法流量筛选分发是基于FPGA硬件级的实现，无法远程攻击，无法更改。非法流量分发之后的蜜罐系统，其可与真实业务系统服务一致，代码一致，域名地址、IP地址和端口一致。

为解决上述技术问题，本发明采用的技术方案如下：

一种基于FPGA的P2P流量筛选转发系统，包括密钥管理服务器、多个保护互联设备和多个FPGA设备；多个保护互联设备通过网络与多个FPGA设备一一对应地连接，FPGA设备与密钥管理服务器连接；

保护互联设备，用于产生互联请求和与FPGA设备之间传输数据包；

密钥管理服务器，用于对FPGA设备注册、密钥初始化和传输对应的密钥，并对密钥进行更新；

FPGA设备，利用对应的密钥对接收的数据包进行加密和解密，生成对应的加密数据包和解密数据包；同时对流量进行筛选，识别出合法流量和非法流量，将合法流量分发至与该FPGA设备对应连接的保护互联设备，非法流量分发至蜜罐或其他流量分析设备。

进一步地，各FPGA设备相互之间通过局域网或互联网进行连接。

进一步地，保护互联设备接收数据时，先由FPGA设备对流向保护互联设备的数据进行解密，再传输到保护互联设备；保护互联设备发送数据时，先由FPGA设备对数据进行加密再向外传输。

进一步地，所述非法流量是在FPGA设备之间网络空间内，黑客或非授权访问形成的流量。

进一步地，非法流量特征是不具备加密流量tag属性，以此特征来识别是合法或非法流量。

进一步地，所述非法流量采用网络TCP/IP协议分发至蜜罐或其他流量分析设备进行攻击诱捕和对攻击形式、攻击溯源或攻击可视化的分析。

进一步地，所述密钥包括加密密钥和解密密钥。