【技术实现步骤摘要】
一种网络敌我识别方法及系统
本专利技术涉及一种网络敌我识别方法及系统,属于网络安全防护
技术介绍
开放的应用服务端口容易受到攻击者的入侵。对于一些不需要对所有用户公开、只有有限数量人员访问的服务(如远程管理服务、分布式内部文件共享)来说,使端口持续处于开放状态,既无必要,也带来了极大的安全风险。这类只对特定用户提供的服务端口,往往也具有较高的攻击价值。攻击者通过远程探测扫描,发现开放的端口,使用各种手段对其进行渗透测试,一旦成功,则可获取管理员权限,修改安全策略和配置,访问敏感数据文件。给合法用户带来严重损失。当前限制服务端口访问给授权用户的方法是通过用户身份认证技术和防火墙技术相结合来实现。其中身份认证技术就是要求用户在授予访问权之前对其进行身份验证,当前主要有四类技术方法,一是口令认证技术;二是基于密钥的认证技术;三是基于凭证的认证技术;四是跨域认证和匿名认证技术。这些技术不可避免的存在攻击者获得未授权访问的缺陷;而防火墙技术通过基于源地址或其他方面的特性来选择性的接受或者拒绝来自外部的网络访问,只有拥有特定源地址的用户才能够通过远程访问内部服务端口,但攻击者很容易假冒并修改源地址,且一旦防火墙向某台主机开放了内部服务端口,那么攻击者就可以轻易绕开访问限制。通常可以通过端口碰撞(PortKnocking)技术来解决源地址被假冒修改的问题;端口碰撞是一种通过对事先商议好的端口进行碰撞以获得特殊授权的防火墙技术。碰撞是由试图访问服务器上一系列关闭端口的顺序组合而组成的,碰撞的过程将被数据包过滤器记录在日志里面,若是预先进行过设置,那么碰撞序列通过 ...
【技术保护点】
1.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于客户端,包括:在端口认证过程中,客户端向防火墙的指定端口发送基于特定规则的连接请求,以便防火墙在接收到连接请求后,判断是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息;客户端接收防火墙发送的代理端口信息;在用户认证过程中,客户端通过代理端口与防火墙完成挑战应答过程;以便防火墙在挑战应答过程通过之后向服务器发送端口请求,并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端,同时防火墙配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器;在访问过程中,客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。
【技术特征摘要】
1.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于客户端,包括:在端口认证过程中,客户端向防火墙的指定端口发送基于特定规则的连接请求,以便防火墙在接收到连接请求后,判断是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息;客户端接收防火墙发送的代理端口信息;在用户认证过程中,客户端通过代理端口与防火墙完成挑战应答过程;以便防火墙在挑战应答过程通过之后向服务器发送端口请求,并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端,同时防火墙配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器;在访问过程中,客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。2.根据权利要求1所述的方法,其特征在于,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种。3.根据权利要求1所述的方法,其特征在于,所述通过代理端口与防火墙完成挑战应答过程,包括:与防火墙进行秘钥交换;向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息,以便防火墙在接收到所述认证请求后向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;接收防火墙发送的响应消息并验证所述第一消息验证码是否正确;在所述第一消息验证码验证正确后向防火墙发送第二消息验证码,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,以便防火墙验证所述第二验证码是否正确。4.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于防火墙,包括:在端口认证过程中,防火墙接收客户端发送的基于特定规则的连接请求;防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端发送代理端口信息;在用户认证过程中,防火墙通过代理端口与客户端完成挑战应答过程;在访问过程中,防火墙在挑战应答过程通过之后向服务器发送端口请求,以便服务器根据端口请求发送随机端口信息;防火墙将随机端口信息发送给客户端并配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器,以便客户端通过随机端口访问服务器。5.根据权利要求4所述的方法,其特征在于,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种;所述通过代理端口与客户端完成挑战应答过程,包括:与客户端进行秘钥交换;接收客户端发送的认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火...
【专利技术属性】
技术研发人员:王传林,朱泽民,
申请(专利权)人:无锡宏创盛安科技有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。