本發明公開一種安全控制器及其實現方法，其中，該實現方法包括：安全控制功能接收終端業務請求，根據該請求分配應用服務器第一標識，并發送給安全執行功能，同時根據用戶信息及其他信息決策用戶訪問該業務的權限，并發送給安全執行功能；安全執行功能轉發該終端業務請求至DNS服務器，并接收DNS服務器返回的應用服務器第二標識，同時保存應用服務器第一標識和應用服務器第二標識的映射關系，以及用戶訪問該業務的權限；安全執行功能接收用戶/應用服務器發送的報文，進行報文處理。本發明通過安全控制器為應用服務器動態分配標識，并基于該標識設置訪問權限，實現資產隱藏，從而達到防范網絡掃描和DDoS攻擊等目的。

技術領域

本發明涉及網絡通信安全領域，尤其是一種安全控制器及其實現方法。

背景技術

隨著5G使能萬物互聯，物聯網和工業互聯網的興起，網絡承載的終端數量呈現指數級增長，應用類型不斷豐富，由此導致網絡攻擊事件頻發，安全威脅日益嚴重。DDoS(Distributed?Denial?of?Service，分布式拒絕服務)攻擊是一種常見的網絡攻擊，攻擊者通過控制大量終端向目標服務器同時發起大量訪問請求，致使網絡訪問鏈路發生擁塞或者目標服務器計算等處理資源耗盡癱瘓，從而達到攻擊目的。

關于用戶訪問業務的現有技術實現過程通常如圖1所示：

①終端獲取IP-a地址。

②用戶訪問業務，終端發送訪問目標業務的HTTP(HyperText?TransferProtocol，超文本傳輸協議)請求，攜帶目標業務的域名，DNS(Domain?Name?System，域名系統)服務接收該HTTP請求后進行域名解析，返回對應應用服務器地址IP-b。

③終端和應用服務器進行業務交互，雙方以各自IP地址作為地址標識，進行業務報文交互。

上述過程中，終端IP地址分配方式有多種，例如靜態配置，DHCP(Dynamic?HostConfiguration?Protocol，動態主機配置協議)方式和PPPoE(Point-to-Point?ProtocolOver?Ethernet，以太網上的點對點協議)等。應用服務器的IP地址通常固定，由DNS服務器進行域名解析后，將對應的應用服務器IP地址提供給終端。

由于暴露給終端的應用服務器IP地址通常固定，因此攻擊者可以向該IP地址發起大量訪問請求，形成DDoS攻擊，致使該IP地址對應的應用服務器癱瘓。

發明內容

為克服上述業務訪問過程的缺陷，本發明提供一種安全控制器及其實現方法，通過安全控制器為應用服務器動態分配標識，并基于該標識設置訪問權限，實現資產隱藏，從而達到防范網絡掃描和DDoS攻擊等目的。

為實現上述目的，本發明采用下述技術方案：

在本發明一實施例中，提出了一種安全控制器，該安全控制器包括：

安全控制功能模塊，用于接收終端業務請求，根據該請求分配應用服務器第一標識，并發送給安全執行功能模塊，同時安全控制功能模塊根據用戶信息及其他信息決策用戶訪問該業務的權限，并發送給安全執行功能模塊；

安全執行功能模塊，用于轉發該終端業務請求至DNS服務器，并接收DNS服務器返回的應用服務器第二標識，同時安全執行功能模塊保存應用服務器第一標識和應用服務器第二標識的映射關系，以及用戶訪問該業務的權限；還用于接收用戶/應用服務器發送的報文，進行報文處理。

進一步地，用戶信息包括用戶身份信息、用戶地址標識和用戶簽約業務信息；其他信息包括用戶接入位置、接入時間和業務提供商策略。

進一步地，安全執行功能模塊用于接收用戶/應用服務器發送的報文，進行報文處理，包括：

安全執行功能模塊用于接收用戶發送的報文，根據該報文目的地址和訪問權限進行報文處理；