4. 3. 11)通过Netfilter在内核PRE_R0UTINGHook点获取流经客户端的数据报 文,对报文进行缓存。
[0141] 4. 3. 12)检索地址、端口跳变记录表是否存在当前周期跳变地址为报文源地址的 记录。若不存在,说明报文源地址不是服务器当前周期跳变地址,转入执行步骤4. 3.15); 若存在这样的记录,说明报文源地址是服务器当前周期跳变地址。转入执行步骤4. 3.13);
[0142] 4. 3. 13)地址跳变引擎将报文的源地址修改为对应记录中保存的真实地址,然后 将报文发送给端口跳变引擎;
[0143] 4. 3. 14)端口跳变引擎将报文的源端口修改为对应记录的中保存的当前周期跳变 端口为报文源端口的选项对应的真实端口。转入执行步骤4. 3. 18);
[0144] 4. 3. 15)获取当前跳变周期的同步时钟t,在t跳变周期内,定义start区间、end 区间。start区间、end区间位置如图9所示:
【主权项】
1. 一种基于Netfilter的地址、端口跳变通信实现方法,其特征在于,步骤为: 1) 初始部署; 2) 配置服务器跳变参数,生成跳变密钥,并将配置参数和跳变密钥保存;服务器将跳 变参数发布到认证分发代理; 3) 客户端通过认证分发中心的认证,获取服务器跳变参数; 4) 客户端实现与服务器、地址跳变网关的时钟同步,计算服务器当前的跳变地址、跳变 端口,修改本机发出和收到的数据报文对应的地址及端口,实现与服务器的通信; 5) 地址跳变网关收到客户端和服务器的通信报文,地址跳变引擎根据地址跳变参数获 取服务器跳变地址,修改报文对应地址,完成报文的转发; 6) 服务器通过端口跳变引擎实现跳变端口,修改进出服务器报文对应的端口,完成与 客户端的通信。
2. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤1)包括: 在通信的客户端部署:认证单元、跳变同步单元、跳变信息存储单元、端口跳变引擎、地 址跳变引擎; 在服务器端部署:服务注册单元、跳变同步单元、密钥生成单元、跳变信息存储单元、端 口跳变引擎; 在地址跳变网关部署:跳变信息存储单元、跳变同步单元、地址跳变引擎; 在可信的第三方部署:认证分发代理。
3. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤2)的步骤为: 2. 1)管理人员配置部分服务器跳变参数; 所述跳变参数包括:地址跳变空间Asp_、端口跳变空间Pspara、跳变周期T和时隙重叠因 子T,其中〇〈 T彡1/2 ; 2. 2)由服务器的密钥生成单元生成跳变密钥K ; 所述跳变密钥包括地址跳变密钥Ka、端口跳变密钥Kp; 2. 3)将步骤2. 1)中的地址跳变空间Aspara、端口跳变空间Psp_、跳变周期T和时隙重叠 因子T保存在跳变信息存储单元,密钥生成单元将步骤2. 2)中生成的跳变密钥K保存在 跳变信息存储单元;服务器的跳变信息存储单元中通过服务器跳变信息表保存以上参数; 2. 4)服务器的服务注册单元向认证分发中心发起认证; 若认证通过,服务注册单元将跳变信息存储单元保存的跳变参数安全的发布到认证分 发中心,授权的客户端就可以访问服务器提供的服务了;同时,跳变信息存储单元将保存的 地址跳变参数发送给地址跳变网关; 若认证失败,则服务器不能进行服务注册,客户端也不能访问相应的服务。
4. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤3)中,客户端通过认证单元与认证分发中心建立安全通信,认证分发中心完 成对客户端主机的认证,证明客户端主机是合法用户,然后客户端从认证分发中心获取待 访问服务器的跳变密钥、跳变周期、地址和端口跳变范围、真实地址、时隙重叠因子参数。
5. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤4)的具体步骤为: 4. 1)跳变同步单元实现客户端、地址跳变网关与服务器的时钟同步; 4. 2)客户端将得到的服务器跳变密钥、跳变周期、跳变范围、真实地址、时隙重叠因子 参数传递到系统内核,保存在跳变信息存储单元,转入执行步骤4. 3); 4. 3)客户端地址跳变引擎、端口跳变引擎从跳变信息存储单元获取服务器地址跳变、 端口跳变的参数信息,计算服务器当前的跳变地址、跳变端口,修改客户端主机发出和收到 的报文对应的地址和端口,实现与服务器通信。
6. 根据权利要求5所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤4)中,对于报文地址、端口的处理有两种情况: (1) 客户端发出的报文:通过Netfilter获取客户端发出的报文,端口跳变引擎将报文 的目的端口修改为跳变端口,地址跳变引擎将报文的目的地址修改为跳变地址,重新校验 后,将报文发送到互联网中; (2) 客户端收到的报文:通过Netfilter获取客户端收到的报文,地址跳变引擎将报文 的源地址修改为真实地址,端口跳变引擎将报文的源端口修改为真实端口,重新校验后,将 报文发送给上层协议栈。
7. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤5)的具体步骤为: 5. 1)地址跳变网关通过跳变同步单元实现与客户端、服务器时钟同步; 5. 2)地址跳变网关收到服务器发来的地址跳变参数,将其保存在跳变信息存储单元; 5. 3)地址跳变网关的地址跳变引擎根据跳变信息存储单元保存的地址跳变参数,计算 服务器当前的跳变地址。
8. 根据权利要求7所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤5)中,对于地址跳变网关对报文的处理分两种情况: (1) 对于来自客户端的报文:地址跳变引擎通过Netfilter获取来自客户端的报文,将 报文的目的地址修改为服务器真实地址;重新对报文进行校验,将校验后的报文转发给服 务器; (2) 对于来自服务器的报文:地址跳变引擎通过Netfilter获取来自服务器的报文,将 报文的源地址修改为服务器的跳变地址;重新对报文进行校验,将校验后的报文发送到互 联网上。
9. 根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤6)的具体步骤为: 6. 1)服务器通过同步单元实现与客户端、地址跳变网关的时钟同步; 6. 2)服务器的端口跳变引擎通过跳变信息存储单元保存的服务器端口跳变参数,获取 服务器当前的跳变端口。
10. 根据权利要求9所述的基于Netfilter的地址、端口跳变通信实现方法,其特征在 于,所述步骤6)中,对于端口跳变引擎对报文的处理分为两种情况: (1)服务器发出的报文:端口跳变引擎通过Netfilter获取服务器发出的报文,端口跳 变引擎将报文的源端口修改为跳变端口,并对报文进行重新校验,然后将校验后的报文发 送给地址跳变网关;
【专利摘要】一种基于Netfilter的地址、端口跳变通信实现方法,步骤为:1)初始部署;2)配置服务器跳变参数,生成跳变密钥,并保存;服务器将跳变参数发布到认证分发代理;3)客户端通过认证分发中心的认证,获取服务器跳变参数;4)客户端与服务器、地址跳变网关的时钟同步,计算服务器当前的跳变地址、跳变端口,修改本机发出和收到的数据报文对应的地址及端口,实现通信;5)地址跳变网关收到客户端和服务器的通信报文,地址跳变引擎根据地址跳变参数获取服务器跳变地址,修改报文对应地址,完成报文的转发;6)服务器通过端口跳变引擎实现跳变端口,修改进出服务器报文对应的端口,完成通信。本发明具有原理简单、易实现和推广、安全性好等优点。
【IPC分类】H04L29-12, H04L29-06
【公开号】CN104853003
【申请号】CN201510217917
【发明人】胡晓峰, 王小峰, 苏金树, 白磊, 吴纯青, 赵锋, 陶静, 罗跃斌, 蔡桂林
【申请人】中国人民解放军国防科学技术大学
【公开日】2015年8月19日
【申请日】2015年4月30日