一种网络敌我识别方法及系统技术方案

本发明专利技术公开了一种网络敌我识别方法及系统，属于网络安全防护技术领域。通过提出一种新型的端口认证和用户认证方法，有效解决当前方法在报文乱序、NAT开放等方面的不足，还提出了一种端口动态跳变的方法，即服务器通过一个随机端口响应合法用户的请求，在建立连接成功后将随机端口重定向至真正的服务端口，使得用户无法得知真正的服务端口只通过随机端口访问服务器，从而保护了服务器的真正的服务端口不受非法用户的攻击，另外通过提出一整套的网络敌我识别方法，综合身份认证、访问控制、端口随机化等方法，实现网络敌我识别的过程。

【技术实现步骤摘要】
一种网络敌我识别方法及系统
本专利技术涉及一种网络敌我识别方法及系统，属于网络安全防护

技术介绍
开放的应用服务端口容易受到攻击者的入侵。对于一些不需要对所有用户公开、只有有限数量人员访问的服务(如远程管理服务、分布式内部文件共享)来说，使端口持续处于开放状态，既无必要，也带来了极大的安全风险。这类只对特定用户提供的服务端口，往往也具有较高的攻击价值。攻击者通过远程探测扫描，发现开放的端口，使用各种手段对其进行渗透测试，一旦成功，则可获取管理员权限，修改安全策略和配置，访问敏感数据文件。给合法用户带来严重损失。当前限制服务端口访问给授权用户的方法是通过用户身份认证技术和防火墙技术相结合来实现。其中身份认证技术就是要求用户在授予访问权之前对其进行身份验证，当前主要有四类技术方法，一是口令认证技术；二是基于密钥的认证技术；三是基于凭证的认证技术；四是跨域认证和匿名认证技术。这些技术不可避免的存在攻击者获得未授权访问的缺陷；而防火墙技术通过基于源地址或其他方面的特性来选择性的接受或者拒绝来自外部的网络访问，只有拥有特定源地址的用户才能够通过远程访问内部服务端口，但攻击者很容易假冒并修改源地址，且一旦防火墙向某台主机开放了内部服务端口，那么攻击者就可以轻易绕开访问限制。通常可以通过端口碰撞(PortKnocking)技术来解决源地址被假冒修改的问题；端口碰撞是一种通过对事先商议好的端口进行碰撞以获得特殊授权的防火墙技术。碰撞是由试图访问服务器上一系列关闭端口的顺序组合而组成的，碰撞的过程将被数据包过滤器记录在日志里面，若是预先进行过设置，那么碰撞序列通过验证后服务器端的守护进程就会授权给客户端访问相应端口的权利。但该技术存在两个方面的问题，一是报文乱序问题，端口碰撞序列通常包含64至160位，并且通常以每个分组8位发送，大多数服务器对端口碰撞序列的正确解码取决于到达的顺序，在某些繁忙的因特网主干路由器上，20个突发中的至少一个分组的无序传递的概率可能大于90％。二是网络地址转换(NetworkAddressTranslation，NAT)，NAT是一种在IP封包通过路由器或防火墙时重写源IP地址或目的IP地址的技术，而数据包过滤器的作用是对所有进出的数据包进行检查，并阻止不符合既定规则数据包的传输，但对于应用层的数据是无法做出很好的响应。当端口碰撞的守护进程临时添加允许访问的过滤规则时，只能包含接受进入连接的IP地址、使用的协议类型、端口号、开放时间等信息。倘若客户端位于NAT设备之后，那么服务器端接收到的数据包的IP地址将显示为NAT设备外网的公有地址，当碰撞序列获得通过后，服务器将授予该公有地址在允许的时间窗口内合法的访问权，这就意味着与发送正确碰撞序列的客户端同处一个局域网中的所有主机都会获得服务器的合法授权，因为他们的公有地址都是一样的。
技术实现思路
为了解决目前存在的开放的应用服务端口容易受到攻击者的入侵的问题，本专利技术提供了一种网络敌我识别方法及系统，所述技术方案如下：本专利技术的第一个目的在于提供一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，所述方法应用于客户端，包括：在端口认证过程中，客户端向防火墙的指定端口发送基于特定规则的连接请求，以便防火墙在接收到连接请求后，判断是否符合特定规则，在判断结果为是的情况下向客户端返回代理端口信息；客户端接收防火墙发送的代理端口信息；在用户认证过程中，客户端通过代理端口与防火墙完成挑战应答过程；以便防火墙在挑战应答过程通过之后向服务器发送端口请求，并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端，同时防火墙配置动态规则，所述动态规则用于允许客户端通过随机端口访问服务器；在访问过程中，客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。可选的，所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种。可选的，所述特定规则还包括连接请求次数。可选的，所述通过代理端口与防火墙完成挑战应答过程，包括：与防火墙进行秘钥交换；向防火墙发送认证请求，所述认证请求至少包括客户端内网地址、客户端身份信息，以便防火墙在接收到所述认证请求后向客户端发送响应消息，所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码，所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出；接收防火墙发送的响应消息并验证所述第一消息验证码是否正确；在所述第一消息验证码验证正确后向防火墙发送第二消息验证码，所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出，以便防火墙验证所述第二验证码是否正确。可选的，所述与防火墙进行秘钥交换基于迪菲-赫尔曼密钥交换算法或者Oakley算法；本专利技术的第二个目的在于提供一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，所述方法应用于防火墙，包括：在端口认证过程中，防火墙接收客户端发送的基于特定规则的连接请求；防火墙判断接收到的连接请求是否符合特定规则，在判断结果为是的情况下向客户端发送代理端口信息；在用户认证过程中，防火墙通过代理端口与客户端完成挑战应答过程；在访问过程中，防火墙在挑战应答过程通过之后向服务器发送端口请求，以便服务器根据端口请求发送随机端口信息；防火墙将随机端口信息发送给客户端并配置动态规则，所述动态规则用于允许客户端通过随机端口访问服务器，以便客户端通过随机端口访问服务器。可选的，所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种；所述通过代理端口与客户端完成挑战应答过程，包括：与客户端进行秘钥交换；接收客户端发送的认证请求，所述认证请求至少包括客户端内网地址、客户端身份信息；向客户端发送响应消息，所述响应消息包括防火墙的公网地址、防火墙身份信息以及第一消息验证码，以便客户端在验证所示第一消息验证码正确后向防火墙发送第二消息验证码，所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出，所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出；验证所述第二消息验证码是否正确。可选的，所述特定规则还包括连接请求次数。可选的，所述方法还包括：在客户端对服务器的访问完成后删除动态规则。可选的，所述与客户端进行秘钥交换基于迪菲-赫尔曼密钥交换算法或者Oakley算法；本专利技术的第三个目的在于提供一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，所述方法应用于服务器，包括：服务器接收防火墙在所述端口认证过程和用户认证过程之后发送的端口请求；其中，所述端口认证基于特定规则；在访问过程中，服务器开启随机端口并将随机端口信息发送至防火墙，以便防火墙将随机端口信息发送至客户端，客户端通过随机端口访问服务器；服务器将发送至随机端口的数据重定向到固定服务端口，并通过随机端口与客户端完成访问过程。可选的，所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种，所述方法还包括：在客户端对服务器的访问完成后删除随机端口。可选的，所述特定规则还包括连接请求次数。本专利技术的第四个目的在于提供一种网络敌我识别系本文档来自技高网...

【技术保护点】
1.一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，其特征在于，所述方法应用于客户端，包括：在端口认证过程中，客户端向防火墙的指定端口发送基于特定规则的连接请求，以便防火墙在接收到连接请求后，判断是否符合特定规则，在判断结果为是的情况下向客户端返回代理端口信息；客户端接收防火墙发送的代理端口信息；在用户认证过程中，客户端通过代理端口与防火墙完成挑战应答过程；以便防火墙在挑战应答过程通过之后向服务器发送端口请求，并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端，同时防火墙配置动态规则，所述动态规则用于允许客户端通过随机端口访问服务器；在访问过程中，客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。

【技术特征摘要】
1.一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，其特征在于，所述方法应用于客户端，包括：在端口认证过程中，客户端向防火墙的指定端口发送基于特定规则的连接请求，以便防火墙在接收到连接请求后，判断是否符合特定规则，在判断结果为是的情况下向客户端返回代理端口信息；客户端接收防火墙发送的代理端口信息；在用户认证过程中，客户端通过代理端口与防火墙完成挑战应答过程；以便防火墙在挑战应答过程通过之后向服务器发送端口请求，并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端，同时防火墙配置动态规则，所述动态规则用于允许客户端通过随机端口访问服务器；在访问过程中，客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。2.根据权利要求1所述的方法，其特征在于，所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种。3.根据权利要求1所述的方法，其特征在于，所述通过代理端口与防火墙完成挑战应答过程，包括：与防火墙进行秘钥交换；向防火墙发送认证请求，所述认证请求至少包括客户端内网地址、客户端身份信息，以便防火墙在接收到所述认证请求后向客户端发送响应消息，所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码，所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出；接收防火墙发送的响应消息并验证所述第一消息验证码是否正确；在所述第一消息验证码验证正确后向防火墙发送第二消息验证码，所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出，以便防火墙验证所述第二验证码是否正确。4.一种网络敌我识别方法，包括端口认证过程、用户认证过程和访问过程，其特征在于，所述方法应用于防火墙，包括：在端口认证过程中，防火墙接收客户端发送的基于特定规则的连接请求；防火墙判断接收到的连接请求是否符合特定规则，在判断结果为是的情况下向客户端发送代理端口信息；在用户认证过程中，防火墙通过代理端口与客户端完成挑战应答过程；在访问过程中，防火墙在挑战应答过程通过之后向服务器发送端口请求，以便服务器根据端口请求发送随机端口信息；防火墙将随机端口信息发送给客户端并配置动态规则，所述动态规则用于允许客户端通过随机端口访问服务器，以便客户端通过随机端口访问服务器。5.根据权利要求4所述的方法，其特征在于，所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种；所述通过代理端口与客户端完成挑战应答过程，包括：与客户端进行秘钥交换；接收客户端发送的认证请求，所述认证请求至少包括客户端内网地址、客户端身份信息；向客户端发送响应消息，所述响应消息至少包括防火墙的公网地址、防火...

【专利技术属性】
技术研发人员：王传林，朱泽民，
申请(专利权)人：无锡宏创盛安科技有限公司，
类型：发明
国别省市：江苏,32