本发明专利技术公开了一种适用于专用网络的端口跳变通信方法,其中控制中心执行以下步骤:1‑1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2‑1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3‑1)接收客户端端口访问请求,并向客户端作出访问请求应答。通过引入身份认证和主动端口跳变功能,可以有效干扰端口信息扫描,抵御基于固定端口的拒绝服务攻击,从而有效提升专用网络的安全性。
【技术实现步骤摘要】
一种适用于专用网络的端口跳变通信方法及系统
本专利技术涉及网络安全领域,尤其是一种适用于专用网络的端口跳变通信方法及系统。
技术介绍
传统的私有网络安全防范手段普遍采用被动加固的防御方法,例如在网络中增加防火墙、入侵检测和入侵防护等,其本质上属于滞后的被动防御,防御性能主要依赖于特征库、策略库的有效性和完备性,对攻击的成功防范需要两个前提条件:①攻击已经发生或者正在进行;②该攻击必须是已知方法或手段,并已完成攻击特征提取和对应防范策略的生成和部署。在实际的部署和应用中,传统防御手段所需的前提条件对网络防护相当不利,因为被动的防御方法只有在被保护的重要服务器或者主机已经被攻击或者正在被攻击时才能触发防御策略,并且只有已知的攻击方法或攻击手段才能触发防御策略,这时已经严重滞后于攻击,导致被保护服务器或者主机遭受被控制或数据信息泄露的风险,网络和数据的安全防护无法得到应有的保障。
技术实现思路
基于现有技术的上述缺陷,本专利技术实施例提供一种通过身份认证和主动端口跳变,以实现有效抵御网络通信中的信息探测扫描和基于固定服务端口的网络流量攻击的端口跳变通信方法及系统。本专利技术能够以多种方式实现,包括方法、系统、设备、装置或计算机可读介质,在下面论述本专利技术的几个实施例。一种适用于专用网络的端口跳变通信方法,控制中心执行以下步骤:1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。一种适用于专用网络的端口跳变通信方法,服务端执行以下步骤:1-2)接收控制中心发送的身份认证证书和跳变初始参数;2-2)根据跳变初始参数生成端口跳变序列;2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。一种适用于专用网络的端口跳变通信方法,客户端执行以下步骤:1-3)接收控制中心发送的身份认证证书和跳变初始参数;2-3)请求接入控制中心,完成身份认证;3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。进一步地,步骤2-1)中控制中心接收并验证服务端的可用端口信息,验证通过则更新服务端IP地址,完成服务端可用端口信息同步,否则丢弃。进一步地,步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。进一步地,步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为Pn=(aPn-1+b)mod(m)(1)其中参数a、b、m为跳变初始参数,P为生成的端口号。进一步地,步骤2-3)服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。进一步地,步骤3-3)客户端收到控制中心返回的端口信息后,向服务端发送端口访问有效请求。一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。本专利技术实施例可实现的积极有益技术效果包括:通过在专用网络中设置控制中心,和在服务端部署跳变单元,解决了内网无法主动应对网络渗透中的端口信息扫描和拒绝服务攻击的问题,通过引入身份认证和主动端口跳变功能,可以有效干扰端口信息扫描,抵御基于固定端口的拒绝服务攻击,从而有效提升专用网络的安全性。本专利技术的其他方面和优点根据下面结合附图的详细的描述而变得明显,所述附图通过示例说明本专利技术的原理。附图说明本专利技术将通过例子并参照附图的方式说明,其中:图1为本专利技术实施例提供的适用于专用网络的端口跳变通信方法流程图。具体实施方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。图1为本专利技术实施例提供的适用于专用网络的端口跳变通信方法流程图,如图1所示,包括步骤:1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。步骤1-1)控制中心生成身份认证证书和跳变初始参数,通过可信渠道分发给服务端和客户端,使之成为可信的通信服务端与客户端。步骤2-1)控制中心收到服务端的可用端口信息后,验证可用端口信息是否合法,验证通过则更新服务端IP地址(InternetProtocolAddress,互联网协议地址),完成服务端可用端口信息同步,否则丢弃。步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。一种适用于专用网络的端口跳变通信方法,其中,服务端执行以下步骤:1-2)接收控制中心发送的身份认证证书和跳变初始参数;2-2)根据跳变初始参数生成端口跳变序列;2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为Pn=(aPn-1+b)mod(m)(1)其中参数a、b、m为跳变初始参数,P为生成的端口号。服务端通过同步单元与控制中心建立可信信道,发送当前可用端口信息给控制中心,完成可用端口信息同步。服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。一种适用于专用网络的端口跳变通信方法,其中,客户端执行以下步骤:1-3)接收控制中心发送的身份认证证书和跳变初始参数;2-3)请求接入控制中心,完成身份认证;3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。客户端通过同步单元与控制中心建立可信信道,发送访问服务端端口请求给控制中心;控制中心收到客户端发送的端口访问请求后,验证客户端身份,验证通过则向客户端返回端口信息,否则断开连接;客户端获取当前可用端口信息后,向服务端发起端口访问有效请求,服务端作出应答进行端口跳变,并与控制中心进行同步。优化地,前述步骤中的身份认证和可信信道建立均采用标准的SSL(SecureSocketsLayer安全套接层)身份认证。具体实施实例在一个包含2台主机(一台作为可信客户端,一台作为攻击者)、1台web服务器和1台控制中心服务器的小型私有局域网络中,主机即为客户端,web服务器即为服务端,控制中心服务器本文档来自技高网...
【技术保护点】
1.一种适用于专用网络的端口跳变通信方法,其特征在于,控制中心执行以下步骤:1‑1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2‑1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3‑1)接收客户端端口访问请求,并向客户端作出访问请求应答。
【技术特征摘要】
1.一种适用于专用网络的端口跳变通信方法,其特征在于,控制中心执行以下步骤:1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。2.一种适用于专用网络的端口跳变通信方法,其特征在于,服务端执行以下步骤:1-2)接收控制中心发送的身份认证证书和跳变初始参数;2-2)根据跳变初始参数生成端口跳变序列;2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。3.一种适用于专用网络的端口跳变通信方法,其特征在于,客户端执行以下步骤:1-3)接收控制中心发送的身份认证证书和跳变初始参数;2-3)请求接入控制中心,完成身份认证;3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。4.根据权利要求1所述的一种适用于专用网络的端口跳变通信方法,其特征在于,步骤2-1)中控制中心接收并验证服务端的可用端口信息,验证通过则更新服...
【专利技术属性】
技术研发人员:王吉,张谦,顾杰,唐泽宇,梁一峰,
申请(专利权)人:中国电子科技集团公司第二十九研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。