本发明涉及网络安全领域,尤其是一种适用于专用网络的端口跳变通信方法及系统。
背景技术
传统的私有网络安全防范手段普遍采用被动加固的防御方法,例如在网络中增加防火墙、入侵检测和入侵防护等,其本质上属于滞后的被动防御,防御性能主要依赖于特征库、策略库的有效性和完备性,对攻击的成功防范需要两个前提条件:①攻击已经发生或者正在进行;②该攻击必须是已知方法或手段,并已完成攻击特征提取和对应防范策略的生成和部署。
在实际的部署和应用中,传统防御手段所需的前提条件对网络防护相当不利,因为被动的防御方法只有在被保护的重要服务器或者主机已经被攻击或者正在被攻击时才能触发防御策略,并且只有已知的攻击方法或攻击手段才能触发防御策略,这时已经严重滞后于攻击,导致被保护服务器或者主机遭受被控制或数据信息泄露的风险,网络和数据的安全防护无法得到应有的保障。
技术实现要素:
基于现有技术的上述缺陷,本发明实施例提供一种通过身份认证和主动端口跳变,以实现有效抵御网络通信中的信息探测扫描和基于固定服务端口的网络流量攻击的端口跳变通信方法及系统。
本发明能够以多种方式实现,包括方法、系统、设备、装置或计算机可读介质,在下面论述本发明的几个实施例。
一种适用于专用网络的端口跳变通信方法,控制中心执行以下步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。
一种适用于专用网络的端口跳变通信方法,服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。
一种适用于专用网络的端口跳变通信方法,客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
进一步地,步骤2-1)中控制中心接收并验证服务端的可用端口信息,验证通过则更新服务端ip地址,完成服务端可用端口信息同步,否则丢弃。
进一步地,步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。
进一步地,步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为
pn=(apn-1+b)mod(m)(1)
其中参数a、b、m为跳变初始参数,p为生成的端口号。
进一步地,步骤2-3)服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。
进一步地,步骤3-3)客户端收到控制中心返回的端口信息后,向服务端发送端口访问有效请求。
一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。
本发明实施例可实现的积极有益技术效果包括:通过在专用网络中设置控制中心,和在服务端部署跳变单元,解决了内网无法主动应对网络渗透中的端口信息扫描和拒绝服务攻击的问题,通过引入身份认证和主动端口跳变功能,可以有效干扰端口信息扫描,抵御基于固定端口的拒绝服务攻击,从而有效提升专用网络的安全性。
本发明的其他方面和优点根据下面结合附图的详细的描述而变得明显,所述附图通过示例说明本发明的原理。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明实施例提供的适用于专用网络的端口跳变通信方法流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。
图1为本发明实施例提供的适用于专用网络的端口跳变通信方法流程图,如图1所示,包括步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。
步骤1-1)控制中心生成身份认证证书和跳变初始参数,通过可信渠道分发给服务端和客户端,使之成为可信的通信服务端与客户端。
步骤2-1)控制中心收到服务端的可用端口信息后,验证可用端口信息是否合法,验证通过则更新服务端ip地址(internetprotocoladdress,互联网协议地址),完成服务端可用端口信息同步,否则丢弃。
步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。
一种适用于专用网络的端口跳变通信方法,其中,服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。
步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为
pn=(apn-1+b)mod(m)(1)
其中参数a、b、m为跳变初始参数,p为生成的端口号。
服务端通过同步单元与控制中心建立可信信道,发送当前可用端口信息给控制中心,完成可用端口信息同步。服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。
一种适用于专用网络的端口跳变通信方法,其中,客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
客户端通过同步单元与控制中心建立可信信道,发送访问服务端端口请求给控制中心;控制中心收到客户端发送的端口访问请求后,验证客户端身份,验证通过则向客户端返回端口信息,否则断开连接;客户端获取当前可用端口信息后,向服务端发起端口访问有效请求,服务端作出应答进行端口跳变,并与控制中心进行同步。
优化地,前述步骤中的身份认证和可信信道建立均采用标准的ssl(securesocketslayer安全套接层)身份认证。
具体实施实例
在一个包含2台主机(一台作为可信客户端,一台作为攻击者)、1台web服务器和1台控制中心服务器的小型私有局域网络中,主机即为客户端,web服务器即为服务端,控制中心服务器即为控制中心,利用本方法进行端口跳变通信并抵御端口探测扫描和dos攻击的具体步骤:
首先,在web服务器上部署认证单元、跳变单元和同步单元,在控制中心服务器和主机上部署认证单元和同步单元;
其次,控制中心服务器生成可信证书,人工安装于web服务器和可信客户端上。控制中心、web服务器和主机依次启动身份认证服务、端口跳变服务和同步服务,进行正常通信;
最后,攻击者作为第三方利用nmap(networkmapper)工具对web服务器进行端口探测扫描,明确计划攻击的目标端口。多次扫描发现目标web服务器开启了不同的端口,对扫描端口进行的dos(denialofservice,拒绝服务)攻击无效。
本发明的不同方面、实施例、实施方式或特征能够单独使用或任意组合使用。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。