一种基于三维的ip地址跳变图案生成方法及跳变控制器的制造方法

一种基于三维的ip地址跳变图案生成方法及跳变控制器的制造方法
【专利摘要】本发明适用于网络信息安全领域，提供一种基于三维的IP地址跳变图案生成方法及跳变控制器，本发明技术方案实现了跳变时间、主机地址、局域网交换设备WAN口信息的三维跳变图案框架，具体提供了一种跳变图案同步生成的机制和算法，提供了主机地址生成模型，实现了各跳变控制器的跳变图案生成密钥的同步，同时保证跳变图案生成密钥的安全性，另外，在优选方案中，提供了紧急状态下的同步机制，满足主动防御中IP地址动态变化的高安全性。
【专利说明】
一种基于三维的IP地址跳变图案生成方法及跳变控制器
技术领域
[0001]本发明属于网络信息安全领域，涉及主动目标防御中IP地址跳变通信，尤其涉及一种基于三维的IP地址跳变图案生成方法及跳变控制器。
【背景技术】
[0002]主动目标防御是近年来的一项重要安全防护技术，该技术不同以往的网络安全研究思路，它并不追求完善无暇的系统对抗攻击，而是移动要保护的对象(如主机IP地址、端口等)来达到防护目标的目的，通过不断的变化(或跳变)来增加攻击的难度和代价。
[0003]在基于IP地址跳变的通信过程中，如何保证通信双方IP地址信息的同步是系统能否运行的关键，这就要求有类似于跳频通信中的跳频图案来保证双方通信的同步。目前还未见具体涉及跳变图案生成和同步的技术方案，不能满足实际系统应用的要求。因此需要一种能够实现较高安全性和可用性的跳变图案生成方法及主机地址生成方法。

【发明内容】

[0004]鉴于上述问题，本发明的目的在于提供一种基于三维的IP地址跳变图案生成方法及跳变控制器，为实现IP地址跳变的各通信方提供一种高安全性跳变图案生成方案。
[0005]—方面，所述三维的IP地址跳变图案生成方法包括下述步骤:
[0006]跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段；
[0007]跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴；
[0008]跳变控制器生成本局域网的同步KEY值；
[0009]各跳变控制器将其KEY值同步至邻居跳变控制器；
[0010]各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；
[0011]基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。
[0012]另一方面，所述跳变控制器包括:
[0013]信息接收单元，用于接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN 口网段；
[0014]模型生成单元，用于根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴；
[0015]KEY值计算单元，用于生成本局域网的同步KEY值；
[0016]KEY值同步单元，用于将所述KEY值同步至邻居跳变控制器；
[0017]地址样本生成单元，用于根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；
[0018]图案生成单元，用于基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。
[0019]本发明的有益效果是:本发明技术方案实现了跳变时间、主机地址、局域网交换设备WAN 口信息的三维跳变图案框架，具体提供了一种跳变图案同步生成的机制和算法，提供了主机地址生成模型，实现了各跳变控制器的跳变图案生成密钥的同步，同时保证跳变图案生成密钥的安全性，另外，在优选方案中，提供了紧急状态下的同步机制，满足主动防御中IP地址动态变化的高安全性。
【附图说明】
[0020]图1是地址跳变通信模型；
[0021]图2是本发明第一实施例提供的三维的IP地址跳变图案生成方法的流程图；
[0022]图3是三维跳变图案框架的示意图；
[0023]图4是服务器主机IP地址生成示意图；
[0024]图5是服务器主机IP地址生成流程图；
[0025]图6是图案填充示意图；
[0026]图7是最终跳变图案的示意图；
[0027]图8是本发明第二实施例提供的跳变控制器的结构框图。
【具体实施方式】
[0028]为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
[0029]本发明技术方案主要是提供了一种生成三维的IP地址跳变图案的技术方案，基于图1所示的地址跳变通信模型，所述跳变控制器上游连接有用户配置和管理终端(图中未示出)，每个跳变控制器连接一个局域网，即图示中所示的可信内网，局域网内有多台服务器以及交换设备，交换设备有2个或多个WAN(Wide Area Network，广域网)口，不同的跳变控制器之间跳变图案需同步，保证各通信方的正常跳变通信。为了说明本发明所述的技术方案，下面通过具体实施例来进行说明。
[0030]实施例一:
[0031]图2示出了本发明实施例提供的三维的IP地址跳变图案生成方法的流程，为了便于说明仅示出了与本发明实施例相关的部分。
[0032]步骤S1、跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN 口网段。
[0033]首先，用户配置和管理终端下发新增地址跳变图案的请求信息，其中所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN 口网段。所述图案ID用于唯一标识一个跳变图案，这样通过图案ID可以区分存放于跳变控制器中多个跳变图案。所述跳变频率用来标识跳变的时间周期，每隔多长时间进行更换一次主机地址。跳变主机网段用来指定主机地址的范围，目前支持三种网段1-64、1-128、1-254。所有WAN口网段，标识了所有局域网可用的WAN 口网段。这里WAN 口 K和WAN 口 ι-2分别代表局域网I的两个WAN 口网段，WAN 口 2-jPWAN口 2-1则代表局域网2的两个WAN口网段。
[0034]步骤S2、跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴。
[0035]如图3所示的三维跳变图案框架，其中根据下发的请求信息中的网段1-64/1-128/1-254/来设置主机地址轴，根据根据下发的请求信息中的跳变频率来设置时间周期轴，假设跳变频率为t0，t0 = 2秒，图示中跳变时间轴的长度为10tO;根据根据根据下发的请求信息中可跳变的所有局域网交换设备的WAN 口信息来设置WAN 口轴。然后开始准备生成具体值，即填充图案。
[0036]步骤S3、跳变控制器生成本局域网的同步KEY值。
[0037]所述KEY值为跳变控制器的密钥，需要同步至各个跳变控制。具体包括下述步骤:
[0038]S31、获取当前系统时间。
[0039]每个局域网的跳变控制器都取当前系统时间，格式为“YYYYMMDD-hh_sss”
[0040]YYYY:年代，如 2015[0041 ] MM:月份，如 12
[0042]DD:天，如30
[0043]hh:小时，如 12
[0044]mm:分钟，如23
[0045]sss:毫秒，如123
[0046]S32、根据随机数算法随机生成一个与所述系统时间位数相同的随机数。
[0047]S33、将所述随机数与所述系统时间按位异或运算生成一个二进制格式串。
[0048]根据随机数算法生成一个随机数X(这里所述X为128位二进制格式)，和上述获取到的系统时间(系统时间为字符串，需要转成二进制格式，128位)进行异或运算后生成一个新一.进制格式串。
[0049]S34、所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。
[0050]采用MD5算法，将上述生成的二进制串作为算法输入，得到一个128位的摘要码，则这个摘要码就作为当前本局域网服务器主机所使用的同步Key值。生成公式如下:
[0051]KEY = MD5((ToBitValue( “YYYYMMDD-hhmmsss”))? X)，这里 ? 表示异或运算，T0BitValueO表示将字符串转成二进制格式，MD50表示进行MD5算法运算。生成的KEY值为一个128位的MD5摘要二进制串。
[0052]步骤S4、各跳变控制器将其KEY值同步至邻居跳变控制器，不限制带内或带外通道。
[0053]步骤S5、各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本。
[0054]所述本地噪音常量Noise为二进制格式的固定常量，有128位，内置于跳变控制器中。该常量不在任何通信中传送，仅参与本地主机地址样本生成。由于跳变控制器将各自的KEY值同步至其他邻居跳变控制器，因此每个跳变控制器都可以得到所有跳变控制器的KEY值，得到一个KEY集合(KEY1，KEY2，KEY3…)。然后通过所述KEY集合与本地噪音常量Noise生成主机地址样本。
[0055]具体实现时，包括下述步骤:
[0056]S51、针对每个跳变控制器，将所有跳变控制器的KEY值以及本地噪音常量统一进行异或运算，得到一个中间值。
[0057]首先将得到的多个KEY值，以及Noise参数进行异或运算，得到中间值M = KEYl οΚΕΥ2一ΚΕΥ3一Noise，这里假设有3个跳变控制器，那么就有3个KEY值。
[0058]S52、将所述中间值作为输入，通过MD5算法计算得到一个二进制串，该二进制串作为本次生成跳变图案的主机地址样本。
[0059]调用MD5算法执行N=MD5(M)，则N为一个128位的二进制串。将N作为本次图案生成的主机地址样本，所有的主机地址基于这个样本来进行选择。
[0060]步骤S6、基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。
[0061 ]图3中总共有100个跳变周期，在得到128b i t的二进制串N后，针对每个跳变周期，按照一定算法从主机地址样本中，选择各服务器的主机地址。作为一种可实现方式，包括下属步骤:
[0062]S61、根据网段确定当前样本地址的提取位数Q。
[0063]图中实例为1-254网段时的提取方式(以8位为单位来提取)，如果是1-64网段时，则提取方式为以6位为单位提取，如果是1-128网段时，则提取方式为以7位为单位提取。
[0064]S62、计算提取样本位置Pl = t/t0，其中t为当前的跳变时间，t0为跳变周期。
[0065]S63、在所述主机地址样本中从第Pl位开始的Q各比特位作为当前跳变时间t的主机跳变样本Nt。
[0066]S64、根据所述主机跳变样本Nt，为每个需跳变的服务器的可用WAN 口网段分配一个IP地址，并着色填充至当前的跳变时间t的该服务器主机的跳变图案中，分配规则如下:将主机跳变样本Nt作为第一个服务器主机的IP地址，然后将Nt首尾循环移动一位，将新的主机跳变样本作为第二个服务器主机的IP地址，依次循环移位，直至所有需跳变的服务器均分配一个IP地址。
[0067]S65、当所有图案着色完毕后，得到最终的跳变图案。
[0068]参照图4所示，假设当前跳变时间为第一个跳变周期t0，S卩Pl= I，从样本N的第一位开始选择8个比特位作为当前跳变时间的主机跳变样本Nt，然后将此Nt为为每个需跳变的服务器的可用WAN口网段分配一个IP地址，图示中UPH1-^别代表局域网I的主机I和主机2的地址，H2-JPH2-^别代表局域网2的主机I和主机2的地址。分配原则是主机跳变样本Nt每首尾循环移动一位为一个服务器主机分配一个IP地址。
[0069]当IP地址分配完成后，将具体的IP地址着色填充至当前的跳变时间t的该服务器主机的跳变图案中。然后进入下一跳变时间，循环上述过程，直至所有团着色完毕，得到最终的跳变图案。
[0070]具体的算法实现过程如图5所示，首先跳变时间t初始为t0，本实施例中提取位数为Q，从Pl = I位开始，从样本N中取Q个比特位作为Nt，然后选择第I个服务器主机H，令P2 =I，从Nt的P2位开始Q个比特位作为服务器H的地址，然后选择当前服务器可用的WAN口网段，生成该服务器的IP地址，并填到跳变时间t的该主机的图案中，例如，当t = tO时，4个服务器主机的地址的Nt样本为OOOOl 111，提取主机地址后为:
[0071]0000111 卜H1-1
[0072]1000011 卜 H1-2
[0073]IlOOOOn-H2-1
[0074]IHOOOO1-H2-2
[0075]填充过程如图6所示。
[0076]接着选择下一需要跳变的服务器P2累加I，继续从Nt的P2位开始Q个比特位作为服务器H的地址，位数不够从头部取，继续选择下一可用的WAN 口网段，继续生成该服务器的IP地址并填充，直至所有服务器的IP地址提取完成。接着进入第二个跳变周期，进行相同过程的选择提取，直至进入最后一个跳变周期，所有图案着色完成。每个局域网交换设备的WAN口有2个，采用间隔方式使用。t0时刻采用WAN 口 η，2t0时刻采用WAN 口 u，3t0时刻采用WAN口 2-1，4t0时刻采用WAND n……，依次使用，则着色后跳变图案如图7所示。
[0077]—般情况下，跳变控制器中内置有默认跳变图案，所述默认跳变图案由指定的网段、指定的各WAN口、指定的跳变时间(一般为第一个跳变周期t0)以及本地噪音常量生成，所述默认跳变图案仅在所有新跳变图案无法创建时使用；另外在紧急情况下，执行复位跳变后，也可强制使用默认跳变图案进行跳变。
[0078]实施例二:
[0079]图8示出了本发明实施例提供的跳变控制器的结构，为了便于说明仅示出了与本发明实施例相关的部分。
[0080]本实施例提供的跳变控制器包括:
[0081]信息接收单元81，用于接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN 口网段；
[0082]模型生成单元82，用于根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴；
[0083]KEY值计算单元83，用于生成本局域网的同步KEY值；
[0084]KEY值同步单元84，用于将所述KEY值同步至邻居跳变控制器；
[0085]地址样本生成单元85，用于根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；
[0086]图案生成单元86，用于基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。
[0087]具体实现时，所述KEY值计算单元83包括:
[0088]时间获取模块，用于获取当前系统时间；
[0089]随机生成模块，用于根据随机数算法随机生成一个与所述系统时间位数相同的随机数；
[0090]第一计算模块，用于将所述随机数与所述系统时间按位异或运算生成一个二进制格式串；
[0091]第二计算模块，用于将所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。
[0092]所述地址样本生成单元85具体包括:
[0093]第三计算模块，用于将所有跳变控制器的KEY值以及本地噪音常量统一进行异或运算，得到一个中间值；
[0094]第四计算模块，用于将所述中间值作为输入，通过MD5算法计算得到一个二进制串，该二进制串作为本次生成跳变图案的主机地址样本。
[0095]所述图案生成单元86具体包括:
[0096]位数确定模块，用于根据网段确定当前样本地址的提取位数Q;
[0097]第五计算模块，用于计算提取样本位置Pl= t/t0，其中t为当前的跳变时间，t0为跳变周期；
[0098]样本处理模块，用于在所述主机地址样本中从第Pl位开始的Q各比特位作为当前跳变时间t的主机跳变样本Nt ；
[0099]分配着色模块，用于根据所述主机跳变样本Nt，为每个需跳变的服务器的可用WAN口网段分配一个IP地址，并着色填充至当前的跳变时间t的该服务器主机的跳变图案中，分配规则如下:将主机跳变样本Nt作为第一个服务器主机的IP地址，然后将Nt首尾循环移动一位，将新的主机跳变样本作为第二个服务器主机的IP地址，依次循环移位，直至所有需跳变的服务器均分配一个IP地址。
[0100]上述各个功能单元和模块与实施例一中的各步骤一一对应，这里不再赘述。
[0101]本领域普通技术人员可以理解，实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以在存储于一计算机可读取存储介质中，所述的存储介质，如R0M/RAM、磁盘、光盘等。
[0102]以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【主权项】
1.一种基于三维的IP地址跳变图案生成方法，其特征在于，所述方法包括: 跳变控制器接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN 口网段； 跳变控制器根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴； 跳变控制器生成本局域网的同步KEY值； 各跳变控制器将其KEY值同步至邻居跳变控制器； 各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本；基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。2.如权利要求1所述方法，其特征在于，所述跳变控制器生成本局域网的同步KEY值步骤，具体包括: 获取当前系统时间； 根据随机数算法随机生成一个与所述系统时间位数相同的随机数； 然后将所述随机数与所述系统时间按位异或运算生成一个二进制格式串； 将所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。3.如权利要求2所述方法，其特征在于，所述各跳变控制器根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本步骤，具体包括: 针对每个跳变控制器，将所有跳变控制器的KEY值以及本地噪音常量统一进行异或运算，得到一个中间值； 将所述中间值作为输入，通过MD5算法计算得到一个二进制串，该二进制串作为本次生成跳变图案的主机地址样本。4.如权利要求3所述方法，其特征在于，所述基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案步骤，具体包括: 根据网段确定当前样本地址的提取位数Q; 计算提取样本位置Pl = t/tO，其中t为当前的跳变时间，to为跳变周期； 在所述主机地址样本中从第Pl位开始的Q各比特位作为当前跳变时间t的主机跳变样本Nt; 根据所述主机跳变样本Nt，为每个需跳变的服务器的可用WAN口网段分配一个IP地址，并着色填充至当前的跳变时间t的该服务器主机的跳变图案中，分配规则如下:将主机跳变样本Nt作为第一个服务器主机的IP地址，然后将Nt首尾循环移动一位，将新的主机跳变样本作为第二个服务器主机的IP地址，依次循环移位，直至所有需跳变的服务器均分配一个IP地址； 当所有图案着色完毕后，得到最终的跳变图案。5.如权利要求4所述方法，其特征在于，所述跳变控制器中内置有默认跳变图案，所述默认跳变图案由指定的网段、指定的各WAN口、指定的跳变时间以及本地噪音常量生成，所述默认跳变图案仅在所有新跳变图案无法创建时使用；另外在紧急情况下，执行复位跳变后，也可强制使用默认跳变图案进行跳变。6.一种跳变控制器，其特征在于，所述跳变控制器包括: 信息接收单元，用于接收用户配置和管理终端下发的新增地址跳变图案请求信息，所述请求信息包括图案ID、跳变频率、跳变主机网段、所有WAN口网段； 模型生成单元，用于根据所述请求信息，生成三维的跳变图案框架，所述跳变图案框架包括主机地址轴、时间周期轴以及WAN 口轴； KEY值计算单元，用于生成本局域网的同步KEY值； KEY值同步单元，用于将所述KEY值同步至邻居跳变控制器； 地址样本生成单元，用于根据本地噪音常量以及所有跳变控制器的KEY值，生成主机地址样本； 图案生成单元，用于基于所述主机地址样本选择每个跳变周期的各服务器的主机地址并在所述跳变图案框架中着色，所有图案着色完毕后，得到最终的跳变图案，每个局域网都有一份相同的跳变图案。7.如权利要求6所述跳变控制器，其特征在于，所述KEY值计算单元具体包括: 时间获取模块，用于获取当前系统时间； 随机生成模块，用于根据随机数算法随机生成一个与所述系统时间位数相同的随机数； 第一计算模块，用于将所述随机数与所述系统时间按位异或运算生成一个二进制格式串; 第二计算模块，用于将所述二进制格式串作为输入，通过MD5算法计算得到一个摘要码，所述摘要码即为当前本局域网主机所使用的同步KEY值。8.如权利要求7所述跳变控制器，其特征在于，所述地址样本生成单元具体包括: 第三计算模块，用于将所有跳变控制器的KEY值以及本地噪音常量统一进行异或运算，得到一个中间值； 第四计算模块，用于将所述中间值作为输入，通过MD5算法计算得到一个二进制串，该二进制串作为本次生成跳变图案的主机地址样本。9.如权利要求8所述跳变控制器，其特征在于，所述图案生成单元具体包括: 位数确定模块，用于根据网段确定当前样本地址的提取位数Q; 第五计算模块，用于计算提取样本位置Pl = t/tO，其中t为当前的跳变时间，to为跳变周期； 样本处理模块，用于在所述主机地址样本中从第Pl位开始的Q各比特位作为当前跳变时间t的主机跳变样本Nt ； 分配着色模块，用于根据所述主机跳变样本Nt，为每个需跳变的服务器的可用WAN 口网段分配一个IP地址，并着色填充至当前的跳变时间t的该服务器主机的跳变图案中，分配规则如下:将主机跳变样本Nt作为第一个服务器主机的IP地址，然后将Nt首尾循环移动一位，将新的主机跳变样本作为第二个服务器主机的IP地址，依次循环移位，直至所有需跳变的服务器均分配一个IP地址。10.如权利要求9所述跳变控制器，其特征在于，所述跳变控制器中内置有默认跳变图案，所述默认跳变图案由指定的网段、指定的各WAN 口、指定的跳变时间以及本地噪音常量生成，所述默认跳变图案仅在所有新跳变图案无法创建时使用；另外在紧急情况下，执行复位跳变后，也可强制使用默认跳变图案进行跳变。
【文档编号】H04L29/06GK106060184SQ201610307082
【公开日】2016年10月26日
【申请日】2016年5月11日
【发明人】刘建国, 付国宾, 余奇, 李晓, 王骁勇, 郭马坤
【申请人】中国人民解放军国防信息学院