一种安全网关联动防护机制、协议及模块的制作方法

本发明属于网络空间安全领域，涉及一种安全网关联动防护机制、协议及模块。

背景技术：

目前网络攻击为了隐蔽攻击者，常采用源地址欺骗手段，伪造网络分组，经过一个不真实的路径，攻击目标网络或服务器，导致防护者难以确定攻击者的位置、攻击路径等。而在互联网络中，骨干网络不承担网络攻击分组的检测，放任假源地址的嵌入。

随着国家对天地一体化网络启动研究开发建设，天地一体化网络总体方案中融入了信息安全保障的思想和机制，不再采用外部补丁方式保护网络。这种新型的天地一体化网络信息安全保障体系嵌入了“安全接入网关”和“网间安全互联网关”，如图1所示的网络构架，利用安全网关(包括“安全接入网关”和“网间安全互联网关”)，认证用户终端，监控网络分组，检测网络攻击，阻断异常通信分组。

在上述大的技术背景下，拟改变传统分组网络防护方式，包括不局限于在受害者附近被动防护，促进安全网关之间的互动，加强安全网关自身的攻击防护研判能力，产生一定的分组溯源能力，实现网络的主动防护和任务分散，平衡安全网关的负载。

技术实现要素：

针对目前存在的问题和需求，本发明提出了一种安全网关联动防护机制、协议及模块，通过本发明，安全网关自身可以实现安全网关之间相互信息通信，通过对攻击路径判断，部署多安全网关联合防护，突破传统单一安全网关防护攻击的单薄环节，使多个安全网关分担攻击阻断任务，从源头上开始遏制网络攻击的繁衍，极大化防护能力。

本发明提供的安全网关联动防护协议，是安全网关之间或者安全网关与安全管理系统之间的通信协议。安全网关联动防护协议包括联动防护请求协议和联动防护应答协议。

联动防护请求协议包括ip包头、udp包头和ca信息三部分。其中，ca信息包括ca请求协议类型、溯源标志、阻断标志、阻断目的ip地址和阻断源ip地址，其意义分别为：

ca请求协议类型：0000：无意义；0001：请求；

溯源标志：00：不溯源；01：溯源；

阻断标志：00：不阻断；01：阻断；

阻断目的ip地址：某个ip地址，若数据包目的ip地址与阻断目的ip地址相同，则阻断该数据包。

阻断源ip地址：某个ip地址，若数据包源ip地址与阻断目的ip地址相同，则阻断该数据包。

安全网关联动防护应答协议同样包括ip包头、udp包头和ca信息。其中，ca信息包括ca应答协议类型、溯源应答、阻断应答、阻断目的ip地址和阻断源ip地址，分别表示为：

ca应答协议类型：0002：阻断应答；0003：溯源应答；

溯源应答：00：不成功；01：成功；

阻断应答：00：不成功；01：成功。

本发明提供的安全网关联动防护控制模块，简称联防模块，包括如下子模块：通信模块、阻断请求模块、阻断应答模块、溯源模块、协议处理模块、检测研判与控制模块、阻断模块以及联动防护管理模块。所述的联防模块被设置在安全网关和安全管理系统中。

所述的通信模块，采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理系统之间的通信通信。所述的阻断请求模块，用于安全网关或安全管理系统向另外一个安全网关发出阻断网络分组的请求。所述的阻断应答模块，用于安全网关向请求方应答阻断成功与否，告知请求方阻断是否成功、溯源是否成功。所述的溯源模块，用于安全网关寻找网络事件发起者，向另外一个安全网关发出阻断网络分组的请求。所述的协议处理模块，用于解析协议，实现协议中通信多方会话，完成信息安全传输，对协议规定外的异常行为，通知联动防护管理模块，进行异常处理。所述的检测研判与控制模块，用于完成协议运行前的预处理操作以及协议完成后的功能控制跳转操作。所述的阻断模块，用于安全网关通信分组阻断。所述的联动防护管理模块，实现安全策略的动态配置和按需配置，提供人机交互功能。

本发明提供的安全网关联动防护机制，指通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程，完成对网络攻击的阻断，起到对服务器和网络进行防护的机制。所述的安全网关联动防护机制包括如下：

(1)定义一种网间互联安全控制协议，简称互联控制协议，是实现多域通信的一种控制协议，包含协议溯源信息、认证状态信息、签名信息等，能够被安全网关识别并加以安全控制。设网互联控制协议特征表示为：

p＝{fi,fj,v,p}

其中，fi为源网关地址，fj为目的网关地址，p为分组特征描述，v为用于验签的签名；v是一个验证fi的函数，用于验证包是否是来自安全网关fi，而不是伪造的，表示为：

v＝vf(fi)

p简化表示成：

p＝{s,d,o}

其中，s为分组源地址，d为分组目的地址，o为可选项。

(2)阻断分组p的操作可以在安全网关fi或fj上部署。假设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示，则一种阻断转移操作表示如下：

d(fj,p)→d(fi,p)＝0/1

该公式指阻断分组p的操作从安全网关fj转移到fi。其中，0表示阻断转移失败，1表示阻断转移成功。

(3)利用互联控制协议，安全网关fj对分组p进行溯源，表示为：

其中，0表示溯源失败，fi为溯源成功，并找到源安全网关为fi。q表示阻断表中的一个分组特征。

(4)设f1,f2,…,fn为受害者附近直接关联安全网关，f0为受害者地址，p为攻击包，联动防护机制的执行过程为：

①初始设置i＝0,j＝1；

②进行阻断操作；

(2.1)如果d(fi,p)→d(fj,p)＝0，则设置j自增1；(2.2)如果j≤n,则转(2.1)执行，，否则终止阻断操作；；

③在阻断的同时，进行溯源操作；对分组p进行溯源，如果s(fj,p,q)＝0，则终止溯源；如果s(fj,p,q)＝fk，则则转移阻断指令，执行d(fj,p)→d(fk,p)。

本发明的优点以及带来的有益效果在于：

(1)本发明的安全网关联动防护机制，利用了安全网关之间的互联控制协议的特点，可进行攻击分组的溯源。

(2)本发明的安全网关联动防护机制，采用了攻击阻断转移策略，可以分散攻击阻断的任务，起到联合防护的作用。

(3)本发明提出了一种安全网关联动防护协议，可实现安全网关之间完成攻击阻断任务的通信。

(4)本发明的安全网关联动防护机制及模块，极小化了网络安全的开销，突破了传统单一安全网关防护攻击的单薄环节，使多个安全网关分担攻击阻断任务，从源头上开始遏制网络攻击的繁衍，极大化防护能力，实现网络的主动防护和任务分散，平衡安全网关的负载。

附图说明

图1是嵌入安全接入网关和网间安全互联网关的新型网络构架；

图2是本发明安全网关联动防护请求协议定义的示意图；

图3是本发明安全网关联动防护应答协议定义的示意图；

图4是本发明安全网关联动防护模块结构图；

图5是本发明安全网关联动防护机制执行效果图。

具体实施方式

下面将结合附图，对本发明安全网关联动防护机制、协议及模块实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例也仅仅是本发明的一部分实施例，而不是全部实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的技术方案中，首先网元根据联动防护请求协议和联动防护应答协议进行通信，然后安全网关或安全管理系统中执行联动防护功能，最后通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程，完成对网络攻击的阻断，起到对服务器和网络进行防护的机制。

安全网关之间的通信，简称通信，是指安全网关为了联动防护而启动的相互之间的通信，采用的协议为安全网关联动防护协议，包括联动防护请求协议和联动防护应答协议。

安全网关阻断请求，简称阻断请求，指一个安全网关或网络安全管理系统(请求方)向另外一个安全网关(阻断方)请求阻断网络分组的动作。请求方通过安全网关联动防护协议，告知阻断方网络分组的特点、阻断请求标志、溯源请求标志等，使得阻断方能够按要求执行阻断指令。

安全网关通信分组阻断，简称分组阻断，指安全网关依据安全网关联动防护协议标识的分组特点，拦截网络通信分组的动作。拦截完后，检测阻断是否成功。

安全网关阻断应答，简称阻断应答，指阻断方向请求方应答阻断成功与否的动作。阻断方通过安全网关联动防护应答协议，告知请求方阻断是否成功、溯源是否成功等，使得请求方能够明确动作的效果。阻断成功则返回数值1，阻断失败则返回数值0。

本发明所使用的安全网关联动防护协议，简称联动防护协议或ca，指安全网关之间或者安全网关与安全管理系统之间的通信协议，包括安全网关联动防护请求协议和安全网关联动防护应答协议。

安全网关联动防护请求协议的定义，如图2所示，包括ip包头、udp包头和ca信息三部分。其中，ip包头包括版本、头长、服务类型、ip包总长度、ip标识、标志、片偏移、生存时间、udp协议、ip头校验和、源网关ip地址和目的网关ip地址，udp包头包括源网关端口、目的网关端口、udp包长度和udp包校验和，ca信息包括ca请求协议类型、溯源标志、阻断标志、阻断目的ip地址和阻断源ip地址。ca信息中各字段的意义分别为：

ca请求协议类型：0000：无意义；0001：请求；

溯源标志：00：不溯源；01：溯源；

阻断标志：00：不阻断；01：阻断；

安全网关联动防护应答协议的定义，如图3所示，同样包括ip包头、udp包头和ca信息。其中，ip包头包括版本、头长、服务类型、ip包总长度、ip标识、标志、片偏移、生存时间、udp协议、ip头校验和、源网关ip地址和目的网关ip地址，udp包头包括源网关端口、目的网关端口、udp包长度和udp包校验和，ca信息包括ca应答协议类型、溯源应答、阻断应答、阻断目的ip地址和阻断源ip地址。

ca应答协议类型：0002：阻断应答；0003：溯源应答；

溯源应答：00：不成功；01：成功；

阻断应答：00：不成功；01：成功。

本发明的安全网关联动防护控制模块，简称联防模块，指安全网关或安全管理系统中执行联动防护功能，安全网关联动防护模块的结构，如图4所示，包括通信、阻断请求、阻断应答、协议处理、检测研判与控制、溯源、阻断以及联动防护管理等功能模块，这些模块被设置在安全网关和安全管理系统的软件模块中。各功能模块之间是支撑和应用的关系，组成了一个整体。如图4所示，联动防护管理模块管理着通信模块、协议处理模块、检测研判与控制模块、溯源模块以及阻断模块；检测研判与控制模块、溯源模块以及阻断模块为联动防护管理模块提供支撑。

通信模块，采用安全网关联动防护协议进行安全网关之间或者安全网关与安全管理系统之间的通信。阻断请求模块，用于安全网关或安全管理系统向另外一个安全网关发出阻断网络分组的请求。阻断应答模块，用于安全网关向请求方应答阻断成功与否，告知请求方阻断是否成功、溯源是否成功。阻断模块，用于安全网关通信分组阻断，指安全网关依据安全网关联动防护协议标识的分组特点，拦截网络通信分组。

溯源模块，用于安全网关寻找网络事件发起者相关信息，向另外一个安全网关发出阻断网络分组的请求。

协议处理模块，通过设计的协议解析代码实现协议中通信多方发起会话，在规定的流程下完成整个协商过程，实现信息的安全传输，对协议规定之外的异常行为，能够交给联动防护管理模块，进行异常处理操作。通过运行协议之后能够完成既定的安全目标，实现对消息源的认证、通信主体的认证、以及其他认证目标。

检测研判与控制模块，用于协议运行前的预处理操作以及协议完成后续的功能控制跳转操作，在跳转后的执行过程中可能会执行子协议来完成该过程，它和协议处理模块密切配合，完整的实现研判和控制过程。

联动防护管理模块，通过对签名三个模块进行配置和管理，实现安全策略的动态配置、按需配置，并能够支持人工监控的方式实现对系统整体的把握，做到可控制、可管理、可修改的目标。

本发明提供的安全网关联动防护机制，指通过安全网关之间的通信、阻断请求、阻断应答、通信流量阻断、研判、溯源等过程，完成对网络攻击的阻断，起到对服务器和网络进行防护的机制。

现定义一种网间互联安全控制协议，简称“互联控制协议”。互联控制协议是实现多域通信的一种控制协议，包含协议溯源信息、认证状态信息、签名信息等，能够被安全网关识别并加以安全控制。设互联控制协议特征为：

p＝{fi,fj,v,p}

其中，fi为源网关地址，fj为目的网关地址，p为普通传递的分组特征描述，v为用于验签的签名。v是一个验证fi的函数，用于验证包是否是来自安全网关fi，而不是伪造的，可表示为：

v＝vf(fi)

p为分组地址、协议端口等特点，可简化表示成：

p＝{s,d,o}

其中，s为分组源地址，d为分组目的地址，o为可选项。

阻断分组p的操作可以在安全网关fi和fj两个安全网关上部署。假设在安全网关fi上部署阻断分组p的操作用d(fi,p)表示，现在，给出一种阻断转移操作，表示为

d(fj,p)→d(fi,p)＝0/1

该公式指阻断包p的操作从安全网关fj转移到fi。其中，0表示阻断转移失败，1表示阻断转移成功。

利用互联控制协议，安全网关fj可对分组p进行溯源，可表示为：

其中，0表示溯源失败，fi为溯源成功，并找到源安全网关为fi。q表示阻断表中的一个分组特征。

设f1,f2,…,fn为受害者附近直接关联安全网关，f0为受害者地址，p为攻击包(特征)，则联动防护机制算法为：

(1.1)初始化。设置i＝0,j＝1；

(1.2)阻断操作。如果d(fi,p)→d(fj,p)＝0，表示阻断攻击包p的操作从安全网关fi转移到fj失败，则设置j自增1，表示为j＝j+1；如果j≤n，则再次执行(1.2)进行阻断操作，否则阻断操作终止；其中，n表示受害者附近直接关联安全网关的个数。

(1.3)溯源操作。在阻断的同时，对分组p进行溯源，如果s(fj,p,q)＝0，表示安全网关fj对分组p进行溯源失败，则终止溯源操作；如果s(fj,p,q)＝fk，表示安全网关fj对分组p进行溯源成功，找到源安全网关为fk，则d(fj,p)→d(fk,p)，表示阻断攻击包p的操作从安全网关fj转移到fk。

本发明的具体实施例如下：

①分组特征p＝{200.200.10.100,200.200.200.100}表示源地址为200.200.10.100，目的地址为200.200.200.100；

②互联控制协议p＝{200.200.20.100,200.200.30.100，v，p}表示分组特征为p，互联控制协议源地址为200.200.20.100和目的地址为200.200.30.100，验证值v为互联控制协议分组叠加网关通信加密密钥的md5值；

③安管系统已经把阻断指令下到地址为200.200.30.100的安全网关(简称“安全网关200.200.30.100”)，执行阻断分组特征为p的指令

d(0,p)→d(200.200.30.100,p)。

当收到了互联控制协议分组p时，安全网关200.200.30.100联防模块执行操作为：

(1)验证与特征抽取：对互联控制协议分组采用通信密钥进行验证，鉴别出伪造、不完整、瑕疵的分组，并进行丢弃处理。对真实、完整、正确的分组，抽取出分组特征p＝{200.200.10.100,200.200.200.100}。

(2)分组阻断：查询到阻断表中分组特征q＝{200.200.10.100,200.200.200.100}，验证得到p＝q，阻断该分组，向安管系统应答执行指令结果为1。

(3)分组溯源：在阻断的同时，对p进行溯源，执行s(200.200.30.100,p,q)＝s(fj,{fi,fj,v,p},q)＝200.200.20.100。

(4)转移阻断指令：安全网关200.200.30.100转移阻断指令到安全网关200.200.20.100，即d(200.200.30.100,p)→d(200.200.20.100,p)。

当收到了互联控制协议分组p时，安全网关200.200.20.100联防模块执行操作与安全网关200.200.20.100联防模块同，但差别在：安全网关200.200.20.100应答执行效果1给安管系统的同时，也给安全网关200.200.30.100反馈。安全网关200.200.30.100接到反馈后，解除对p的阻断指令。

如图5所示，是本发明安全网关联动防护机制的执行效果图。“接入网络3”处受到攻击时，安管系统在“安全接入网关3”上部署阻断攻击指令，同时要求“安全接入网关3”对攻击分组进行溯源。“安全接入网关3”溯源到攻击分组来自“网间安全互联网关1”，转移阻断指令到“网间安全互联网关1”，并要求“网间安全互联网关1”继续进行溯源。最后，一直溯源到“安全接入网关1”，并在“安全接入网关1”上阻断攻击，解除其它安全网关的阻断攻击，分散阻断任务，平衡负载。