本发明专利技术适用于计算机网络安全防护技术领域,提供一种基于端状态迁移的网络安全防御方法,所述方法包括下述步骤:客户端、服务端在会话准备阶段时建立时间同步;从建立连接的时间开始,每经过一个时间间隔,客户端、服务端双方的端状态就发生一次迁移;客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求;服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务。本发明专利技术中,通信双方按照协定的策略随机地改变会话时的端状态信息,从而防止被攻击者发现,破坏攻击者的攻击和干扰,主动防护网络通信过程中的安全。
【技术实现步骤摘要】
一种基于端状态迁移的网络安全防御方法
本专利技术属于计算机网络安全防护
,尤其涉及一种基于端状态迁移的网络安全防御方法。
技术介绍
目前网络通讯是以最为常见的TCP/IP协议为基础,两端通讯的核心是双方的IP地址和端口号。服务端通常为固定IP和固定的监听端口,客户端通常具有固定或非固定IP和随机的访问端口。双方通讯时,客户端发起一个随机访问端口,向服务端IP和端口发起访问请求,其间可能经过多个路由器、代理的中转,但访问源和访问目标不变。服务器接收到客户端的访问请求后给予回应,建立双方通讯链路和会话,完成通讯。如客户端与服务端有路由、代理等中转,都会在其中保存会话信息,保证通讯进行。通讯完成后,会话撤销。这种传统安全防护都是基于固定服务地址和端口的防护,是被动的防御,难免被攻击者寻觅到可乘之机。
技术实现思路
鉴于上述问题,本专利技术的目的在于提供一种基于端状态迁移的网络安全防御方法及装置,旨在解决现有计算机网络内通信双方地址、端口固定易被侦测、分析和攻击的技术问题。所述基于端状态迁移的网络安全防御方法,适用于计算机信息网络,所述计算机信息网络包括若干客户端和若干服务端以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器,其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理,所述服务端端状态迁移管理器部用于负责承载对外服务的端状态,完成对外服务端状态与实际服务端端状态之间的转换和映射,所述方法包括下述步骤:客户端、服务端在会话准备阶段时建立时间同步;从建立连接的时间开始,每经过一个时间间隔,客户端、服务端双方的端状态就发生一次迁移;客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求;服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务。进一步的,所述客户端、服务端在会话准备阶段时建立时间同步步骤,具体包括:客户端和服务端均配置络时间协议NTP服务器;根据NTP协议,客户端和服务端直接进行设置实现双方时间同步。进一步的,客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求步骤,具体包括:设置客户端端信息三元组M(客户端内部端状态信息εsrc,服务端外部端信息εdest,客户端外部端状态信息εmap),其中εmap和εdest同步迁移;客户端需要向服务端发起服务请求时,客户端从一个新的内部端状态信息εsrc发出数据包到服务端外部端信息εdest,在经过客户端端状态迁移管理器的过程中,将客户端内部端状态信息εsrc替换为外部端状态信息εmap,并形成一条映射记录,用于记录相关的映射规则;户端根据映射记录可以找到当前客户端内部端状态信息εsrc所对应的映射后的外部端状态信息εmap,然后根据εmap和εdest同步迁移,即可找到数据包所要发送服务端的服务端外部端信息εdest。进一步的,所述服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务步骤,具体包括:设置服务端端信息三元组N(服务端内部端状态信息εin,客户端外部端状态信息εmap,服务端外部端状态信息空间集合εout);每当接收到客户端发出数据包到服务端外部端状态信息εdest时,会经过服务端端状态迁移管理器,判断εdest是否属于εout,即判断当前时间是否在开放窗口内,如果是,允许访问建立会话连接,并将εdest映射为相应的εin,如果不是,则拒绝提供服务。进一步的,所述服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务步骤之后,还包括:当服务端需要向客户端响应数据时,服务端端状态迁移管理器进行端状态信息转换,服务端端状态迁移管理器将内部端状态信息εin转换为εsrc,并返回响应数据包到客户端外部端状态信息εmap;客户端端状态迁移管理器接收到服务端发送的响应数据包后,比较εmap是否为当前客户端端状态空间内地址和端口,如果是,端状态迁移管理器会在其映射中寻找一条可用的映射记录,来将外部数据包映射为客户端内部数据包,即将外部端状态信息εmap映射为内部端状态信息εsrc;如果不是,则舍弃。本专利技术的有益效果是:本专利技术中,通信双方按照协定的策略随机地改变会话时的端状态(地址和端口)信息,从而防止被攻击者发现,破坏攻击者的攻击和干扰,主动防护网络通信过程中的安全。具体的,客户端端状态迁移管理器和服务端端状态迁移管理器采用基于时间同步的端状态迁移方法,控制客户端和服务端外部端状态迁移。通信双方协定一个共同的端状态迁移时间间隔,该时间间隔伪随机改变,从建立连接的时间开始,双方每过一个时间间隔,通信双方的端状态就发生一次迁移,对外呈现出网络中的多台不同机器在进行通信。即使是被攻击者所发现,由于其端状态都是动态变化的,等到攻击者有足够时间向服务端发起攻击时,主机的端状态已经发生了迁移,其攻击自然就失效。端状态迁移技术在主动防御网络安全方面具有良好的发展方向和应用前景。附图说明图1是计算机信息网络的结构图;图2是本专利技术实施例提供的基于端状态迁移的网络安全防御方法的流程图;图3是开放窗口示意图。具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本专利技术,并不用于限定本专利技术。本专利技术提供了一种基于端状态迁移的网络安全防御方法及装置,所述方法适用于计算机信息网络,如图1所示,所述计算机信息网络包括若干客户端1和若干服务端2以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器,其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理,所述服务端端状态迁移管理器部用于负责承载对外服务的端状态,完成对外服务端状态与实际服务端端状态之间的转换和映射。所述客户端与服务端之间通过局域网或广域网互联。客户端端状态迁移管理器部署于客户端,服务端端状态迁移管理器部署于服务器组中的一个服务端上,负责承载对外服务的端状态,完成对外服务端状态与实际服务端状态之间的转换和映射。需要说明的是,上述结构中仅列出了客户端与服务端会话的必要结构,但不否认该计算机信息网络还可以包括其他结构,比如防火墙、网关、数据库服务器、虚拟专网等。基于上述计算机信息网络,如图2所示,本实施例提供的基于端状态迁移的网络安全防御方法包括下述步骤:步骤S1、客户端、服务端在会话准备阶段时建立时间同步。本实施例中,首先客户端和服务端均配置络时间协议NTP服务器,通信双方采用NTP协议进行网内时间同步。NTP协议可以直接通过软件的方式在各种平台上实现,同步精度也较高,可以满足大量网络中存在的应用情形,其同步精度在局域网基本上可以达到1ms以内,而在广域网内也可以保持在50ms以内。对本文档来自技高网...
【技术保护点】
一种基于端状态迁移的网络安全防御方法,其特征在于,所述方法适用于计算机信息网络,所述计算机信息网络包括若干客户端和若干服务端以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器,其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理,所述服务端端状态迁移管理器部用于负责承载对外服务的端状态,完成对外服务端状态与实际服务端端状态之间的转换和映射,所述方法包括下述步骤:客户端、服务端在会话准备阶段时建立时间同步;从建立连接的时间开始,每经过一个时间间隔,客户端、服务端双方的端状态就发生一次迁移;客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求;服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务。
【技术特征摘要】
1.一种基于端状态迁移的网络安全防御方法,其特征在于,所述方法适用于计算机信息网络,所述计算机信息网络包括若干客户端和若干服务端以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器,其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理,所述服务端端状态迁移管理器部用于负责承载对外服务的端状态,完成对外服务端状态与实际服务端端状态之间的转换和映射,所述方法包括下述步骤:客户端、服务端在会话准备阶段时建立时间同步;从建立连接的时间开始,每经过一个时间间隔,客户端、服务端双方的端状态就发生一次迁移;客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求;服务端端状态迁移管理器接收到服务请求后,判断是否属于开放的服务端端状态空间,如果是,则提供相应的服务;如果不是,则拒绝提供服务。2.如权利要求1所述基于端状态迁移的网络安全防御方法,其特征在于,所述客户端、服务端在会话准备阶段时建立时间同步步骤,具体包括:客户端和服务端均配置络时间协议NTP服务器;根据NTP协议,客户端和服务端直接进行设置实现双方时间同步。3.如权利要求1所述基于端状态迁移的网络安全防御方法,其特征在于,客户端需要向服务端发起服务请求时,客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射,选择映射后的目的服务端端状态空间,发起访问服务请求步骤,具体包括:设置客户端端信息三元组M(客户端内部端状态信息εsrc,服务端外部端信息εdest,客户端外部端状态信息εmap),其中εmap和εdest同步迁移;客户端需要向服务端发起服务请求时,客户端从一个新的内部端状态信息εsrc发出数据包到服务端外部端信息εdest,...
【专利技术属性】
技术研发人员:付国宾,余奇,刘建国,李晓,戴昌裕,朱春祥,苏泽友,徐坤,胡佳,郑可,
申请(专利权)人:中国人民解放军国防信息学院,
类型:发明
国别省市:湖北,42
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。