一种基于Netfilter的地址、端口跳变通信实现方法
【技术领域】
[0001] 本发明主要涉及到网络安全防护的移动目标防御领域,特指一种基于Netfilter实现地址、端口跳变通信的方法,可以应用于移动目标防御方法。
【背景技术】
[0002] 网络安全防护是当前计算机技术研宄的一个热门领域。随着电子商务、电子政务、 网络新媒体等的快速发展,互联网已经融入到政治、经济、文化、生活等方方面面,互联网在 带给人们便利的同时,网络攻击活动所造成的影响和破坏也越来越巨大。因此,加强网络安 全防护、提高网络信息系统遭受网络攻击时的生存能力是当前及以后相当长一段时期内研 宄人员的一个重要研宄方向。
[0003] 传统的安全防护手段是以防火墙、入侵检测系统为代表,通过对已有的攻击方法 的分析研宄,获取攻击过程中的行为特征和流量特征,然后在防火墙上配置相应的规则;或 通过入侵检测系统对流量特征进行分析,检测并控制攻击活动。上述传统方法的缺点是:针 对已知攻击方式效果较好,对于未知攻击方式效果不理想,防护效果有限。由于传统方法主 要是基于对网络流量的分析,检测算法效率较低,高强度海量的攻击流量(DoS/DDoS攻击) 会导致算法性能急剧下降,甚至影响正常用户的访问。
[0004] 网络攻击活动在实施之前,攻击者往往通过地址、端口扫描,信息探测、搜集等技 术手段获取目标主机的相关配置信息,从而对目标发起有针对性的攻击。移动目标防御的 思想就是通过某种策略实现目标主机某些网络属性的动态变化,改变或者增加攻击面,增 加攻击成功的难度。IP地址是网络节点标识,传统网络中通常基于静态地址进行网络通信 和路由,因此攻击者可以方便地对主机进行扫描、探测进而发起攻击。传统网络中服务器通 常遵循静态周知端口的服务提供模式,服务所用端口是公开的,并且是固定不变的,这很容 易被攻击者利用并发起针对特定服务的攻击。地址、端口跳变能够实现地址、端口的动态变 化,使得攻击者在攻击侦察阶段获得的信息会很快失效,针对特定服务端口的指纹探测也 难以成功,这样就大大增加了攻击成功的难度。
[0005] 目前,实现地址、端口跳变的技术中具有代表性的有:
[0006] Henryc.J.Lee提出一种端口跳变技术,利用跳变函数实现跳变,系统时间、共享 密钥是跳变函数的参数。但是,它存在的问题是同步技术采用严格时钟同步,在拥塞和网络 延迟下适应性差。
[0007] DYNAT技术在网关添加代理实现地址的跳变,保护局域网主机;但是,它存在的问 题是当网络地址配置动态性较高的情况下,代理成为了系统的瓶颈。
[0008] OF-RHM技术实现SDN网络的地址变换,但是在传统网络难以部署,改进的RHM可以 在传统网络部署,实施难度较大。
[0009] 石乐义、贾春福等提出了一个基于端口和地址信息的服务跳变机制,以及基于时 间戳的同步机制,但是该方案不能防止监听攻击。为此,改进方案引入插件机制,但是插件 机制中的路由器有成为系统新的性能瓶颈。
[0010] 综上可以看出,虽然已有一些地址、端口跳变技术,但都存在一些问题,导致已有 技术未能大规模实施部署。
【发明内容】
[0011] 本发明要解决的技术问题就在于:针对现有技术存在的技术问题,本发明提供一 种原理简单、易实现和推广、安全性好的基于Netfilter的地址、端口跳变通信实现方法。
[0012] 为解决上述技术问题,本发明采用以下技术方案:
[0013] 一种基于Netfilter的地址、端口跳变通信实现方法,其步骤为:
[0014] 1)初始部署;
[0015] 2)管理人员配置服务器跳变参数,生成跳变密钥,并将配置参数和跳变密钥保存; 服务器将跳变参数发布到认证分发代理;
[0016] 3)客户端通过认证分发中心的认证,获取服务器跳变参数;
[0017] 4)客户端实现与服务器、地址跳变网关的时钟同步,计算服务器当前的跳变地址、 跳变端口,修改本机发出和收到的数据报文对应的地址及端口,实现与服务器的通信;
[0018] 5)地址跳变网关收到客户端和服务器的通信报文,地址跳变引擎根据地址跳变参 数获取服务器跳变地址,修改报文对应地址,完成报文的转发;
[0019] 6)服务器通过端口跳变引擎实现跳变端口,修改进出服务器报文对应的端口,完 成与客户端的通信。
[0020] 作为本发明的进一步改进:所述步骤1)包括:
[0021] 在通信的客户端部署:认证单元、跳变同步单元、跳变信息存储单元、端口跳变引 擎、地址跳变引擎;
[0022] 在服务器端部署:服务注册单元、跳变同步单元、密钥生成单元、跳变信息存储单 元、端口跳变引擎;
[0023] 在地址跳变网关部署:跳变信息存储单元、跳变同步单元、地址跳变引擎;
[0024] 在可信的第三方部署:认证分发代理。
[0025] 作为本发明的进一步改进:所述步骤2)的步骤为:
[0026] 2. 1)管理人员配置部分服务器跳变参数;
[0027] 所述跳变参数包括:地址跳变空间Aspaee、端口跳变空间Pspaee、跳变周期T和时隙重 叠因子T,其中〇〈T彡1/2 ;
[0028] 2. 2)由服务器的密钥生成单元生成跳变密钥K;
[0029] 所述跳变密钥包括地址跳变密钥Ka、端口跳变密钥Kp;
[0030] 2. 3)将步骤2. 1)中的地址跳变空间Aspara、端口跳变空间Pspare、跳变周期T和时隙 重叠因子T保存在跳变信息存储单元,密钥生成单元将步骤2. 2)中生成的跳变密钥K保 存在跳变信息存储单元;服务器的跳变信息存储单元中通过服务器跳变信息表保存以上参 数;
[0031] 2. 4)服务器的服务注册单元向认证分发中心发起认证;
[0032] 若认证通过,服务注册单元将跳变信息存储单元保存的跳变参数安全的发布到认 证分发中心,授权的客户端就可以访问服务器提供的服务了;同时,跳变信息存储单元将保 存的地址跳变参数发送给地址跳变网关;
[0033] 若认证失败,则服务器不能进行服务注册,客户端也不能访问相应的服务。
[0034] 作为本发明的进一步改进:所述步骤3)中,客户端通过认证单元与认证分发中心 建立安全通信,认证分发中心完成对客户端主机的认证,证明客户端主机是合法用户,然后 客户端从认证分发中心获取待访问服务器的跳变密钥、跳变周期、地址和端口跳变范围、真 实地址、时隙重叠因子参数。
[0035] 作为本发明的进一步改进:所述步骤4)的具体步骤为:
[0036] 4. 1)跳变同步单元实现客户端、地址跳变网关与服务器的时钟同步;
[0037] 4. 2)客户端将得到的服务器跳变密钥、跳变周期、跳变范围、真实地址、时隙重叠 因子参数传递到系统内核,保存在跳变信息存储单元,转入执行步骤4. 3);
[0038] 4. 3)客户端地址跳变引擎、端口跳变引擎从跳变信息存储单元获取服务器地址跳 变、端口跳变的参数信息,计算服务器当前的跳变地址、跳变端口,修改客户端主机发出和 收到的报文对应的地址和端口,实现与服务器通信。
[0039] 作为本发明的进一步改进:所述步骤4)中,对于报文地址、端口的处理有两种情 况:
[0040] (1)客户端发出的报文:通过Netfilter获取客户端发出的报文,端口跳变引擎将 报文的目的端口修改为跳变端口,地址跳变引擎将报文的目的地址修改为跳变地址,重新 校验后,将报文发送到互联网中;
[0041] (2)客户端收到的报文:通过Netfilter获取客户端收到的报文,地址跳变引擎将 报文的源地址修改为真实地址,端口跳变引擎将报文的源端口修改为真实端口,重新校验 后,将报文发送给上层协议栈。
[0042] 作为本发明的进一步改进:所述步骤5)的具体步骤为:
[0043] 5. 1)地址跳变网关通过跳变同步单元实现与客户端、服务器时钟同步;
[0044] 5. 2)地址跳变网关收到服务器发来的地址跳变参数,将其