CN104853003A - 一种基于Netfilter的地址、端口跳变通信实现方法 - Google Patents

Abstract

一种基于Netfilter的地址、端口跳变通信实现方法，步骤为：1)初始部署；2)配置服务器跳变参数，生成跳变密钥，并保存；服务器将跳变参数发布到认证分发代理；3)客户端通过认证分发中心的认证，获取服务器跳变参数；4)客户端与服务器、地址跳变网关的时钟同步，计算服务器当前的跳变地址、跳变端口，修改本机发出和收到的数据报文对应的地址及端口，实现通信；5)地址跳变网关收到客户端和服务器的通信报文，地址跳变引擎根据地址跳变参数获取服务器跳变地址，修改报文对应地址，完成报文的转发；6)服务器通过端口跳变引擎实现跳变端口，修改进出服务器报文对应的端口，完成通信。本发明具有原理简单、易实现和推广、安全性好等优点。

Description

一种基于Netfilter的地址、端口跳变通信实现方法

技术领域

本发明主要涉及到网络安全防护的移动目标防御领域，特指一种基于Netfilter实现地址、端口跳变通信的方法，可以应用于移动目标防御方法。

背景技术

网络安全防护是当前计算机技术研究的一个热门领域。随着电子商务、电子政务、网络新媒体等的快速发展，互联网已经融入到政治、经济、文化、生活等方方面面，互联网在带给人们便利的同时，网络攻击活动所造成的影响和破坏也越来越巨大。因此，加强网络安全防护、提高网络信息系统遭受网络攻击时的生存能力是当前及以后相当长一段时期内研究人员的一个重要研究方向。

传统的安全防护手段是以防火墙、入侵检测系统为代表，通过对已有的攻击方法的分析研究，获取攻击过程中的行为特征和流量特征，然后在防火墙上配置相应的规则；或通过入侵检测系统对流量特征进行分析，检测并控制攻击活动。上述传统方法的缺点是：针对已知攻击方式效果较好，对于未知攻击方式效果不理想，防护效果有限。由于传统方法主要是基于对网络流量的分析，检测算法效率较低，高强度海量的攻击流量(DoS/DDoS攻击)会导致算法性能急剧下降，甚至影响正常用户的访问。

网络攻击活动在实施之前，攻击者往往通过地址、端口扫描，信息探测、搜集等技术手段获取目标主机的相关配置信息，从而对目标发起有针对性的攻击。移动目标防御的思想就是通过某种策略实现目标主机某些网络属性的动态变化，改变或者增加攻击面，增加攻击成功的难度。IP地址是网络节点标识，传统网络中通常基于静态地址进行网络通信和路由，因此攻击者可以方便地对主机进行扫描、探测进而发起攻击。传统网络中服务器通常遵循静态周知端口的服务提供模式，服务所用端口是公开的，并且是固定不变的，这很容易被攻击者利用并发起针对特定服务的攻击。地址、端口跳变能够实现地址、端口的动态变化，使得攻击者在攻击侦察阶段获得的信息会很快失效，针对特定服务端口的指纹探测也难以成功，这样就大大增加了攻击成功的难度。

目前，实现地址、端口跳变的技术中具有代表性的有：

Henry c.J.Lee提出一种端口跳变技术，利用跳变函数实现跳变，系统时间、共享密钥是跳变函数的参数。但是，它存在的问题是同步技术采用严格时钟同步，在拥塞和网络延迟下适应性差。

DYNAT技术在网关添加代理实现地址的跳变，保护局域网主机；但是，它存在的问题是当网络地址配置动态性较高的情况下，代理成为了系统的瓶颈。

OF-RHM技术实现SDN网络的地址变换，但是在传统网络难以部署，改进的RHM可以在传统网络部署，实施难度较大。

石乐义、贾春福等提出了一个基于端口和地址信息的服务跳变机制，以及基于时间戳的同步机制，但是该方案不能防止监听攻击。为此，改进方案引入插件机制，但是插件机制中的路由器有成为系统新的性能瓶颈。

综上可以看出，虽然已有一些地址、端口跳变技术，但都存在一些问题，导致已有技术未能大规模实施部署。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理简单、易实现和推广、安全性好的基于Netfilter的地址、端口跳变通信实现方法。

为解决上述技术问题，本发明采用以下技术方案：

一种基于Netfilter的地址、端口跳变通信实现方法，其步骤为：

1)初始部署；

2)管理人员配置服务器跳变参数，生成跳变密钥，并将配置参数和跳变密钥保存；服务器将跳变参数发布到认证分发代理；

3)客户端通过认证分发中心的认证，获取服务器跳变参数；

4)客户端实现与服务器、地址跳变网关的时钟同步，计算服务器当前的跳变地址、跳变端口，修改本机发出和收到的数据报文对应的地址及端口，实现与服务器的通信；

5)地址跳变网关收到客户端和服务器的通信报文，地址跳变引擎根据地址跳变参数获取服务器跳变地址，修改报文对应地址，完成报文的转发；

6)服务器通过端口跳变引擎实现跳变端口，修改进出服务器报文对应的端口，完成与客户端的通信。

作为本发明的进一步改进：所述步骤1)包括：

在通信的客户端部署：认证单元、跳变同步单元、跳变信息存储单元、端口跳变引擎、地址跳变引擎；

在服务器端部署：服务注册单元、跳变同步单元、密钥生成单元、跳变信息存储单元、端口跳变引擎；

在地址跳变网关部署：跳变信息存储单元、跳变同步单元、地址跳变引擎；

在可信的第三方部署：认证分发代理。

作为本发明的进一步改进：所述步骤2)的步骤为：

2.1)管理人员配置部分服务器跳变参数；

所述跳变参数包括：地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ，其中0<τ≤1/2；

2.2)由服务器的密钥生成单元生成跳变密钥K；

所述跳变密钥包括地址跳变密钥K_A、端口跳变密钥K_P；

2.3)将步骤2.1)中的地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ保存在跳变信息存储单元，密钥生成单元将步骤2.2)中生成的跳变密钥K保存在跳变信息存储单元；服务器的跳变信息存储单元中通过服务器跳变信息表保存以上参数；

2.4)服务器的服务注册单元向认证分发中心发起认证；

若认证通过，服务注册单元将跳变信息存储单元保存的跳变参数安全的发布到认证分发中心，授权的客户端就可以访问服务器提供的服务了；同时，跳变信息存储单元将保存的地址跳变参数发送给地址跳变网关；

若认证失败，则服务器不能进行服务注册，客户端也不能访问相应的服务。

作为本发明的进一步改进：所述步骤3)中，客户端通过认证单元与认证分发中心建立安全通信，认证分发中心完成对客户端主机的认证，证明客户端主机是合法用户，然后客户端从认证分发中心获取待访问服务器的跳变密钥、跳变周期、地址和端口跳变范围、真实地址、时隙重叠因子参数。

作为本发明的进一步改进：所述步骤4)的具体步骤为：

4.1)跳变同步单元实现客户端、地址跳变网关与服务器的时钟同步；

4.2)客户端将得到的服务器跳变密钥、跳变周期、跳变范围、真实地址、时隙重叠因子参数传递到系统内核，保存在跳变信息存储单元，转入执行步骤4.3)；

4.3)客户端地址跳变引擎、端口跳变引擎从跳变信息存储单元获取服务器地址跳变、端口跳变的参数信息，计算服务器当前的跳变地址、跳变端口，修改客户端主机发出和收到的报文对应的地址和端口，实现与服务器通信。

作为本发明的进一步改进：所述步骤4)中，对于报文地址、端口的处理有两种情况：

(1)客户端发出的报文：通过Netfilter获取客户端发出的报文，端口跳变引擎将报文的目的端口修改为跳变端口，地址跳变引擎将报文的目的地址修改为跳变地址，重新校验后，将报文发送到互联网中；

(2)客户端收到的报文：通过Netfilter获取客户端收到的报文，地址跳变引擎将报文的源地址修改为真实地址，端口跳变引擎将报文的源端口修改为真实端口，重新校验后，将报文发送给上层协议栈。

作为本发明的进一步改进：所述步骤5)的具体步骤为：

5.1)地址跳变网关通过跳变同步单元实现与客户端、服务器时钟同步；

5.2)地址跳变网关收到服务器发来的地址跳变参数，将其保存在跳变信息存储单元；

5.3)地址跳变网关的地址跳变引擎根据跳变信息存储单元保存的地址跳变参数，计算服务器当前的跳变地址。

作为本发明的进一步改进：所述步骤5)中，对于地址跳变网关对报文的处理分两种情况：

(1)对于来自客户端的报文：地址跳变引擎通过Netfilter获取来自客户端的报文，将报文的目的地址修改为服务器真实地址；重新对报文进行校验，将校验后的报文转发给服务器；

(2)对于来自服务器的报文：地址跳变引擎通过Netfilter获取来自服务器的报文，将报文的源地址修改为服务器的跳变地址；重新对报文进行校验，将校验后的报文发送到互联网上。

作为本发明的进一步改进：所述步骤6)的具体步骤为：

6.1)服务器通过同步单元实现与客户端、地址跳变网关的时钟同步；

6.2)服务器的端口跳变引擎通过跳变信息存储单元保存的服务器端口跳变参数，获取服务器当前的跳变端口。

作为本发明的进一步改进：所述步骤6)中，对于端口跳变引擎对报文的处理分为两种情况：

(1)服务器发出的报文：端口跳变引擎通过Netfilter获取服务器发出的报文，端口跳变引擎将报文的源端口修改为跳变端口，并对报文进行重新校验，然后将校验后的报文发送给地址跳变网关；

(2)服务器收到的报文：端口跳变引擎通过Netfilter获取发送给服务器的报文，端口跳变引擎将报文目的端口修改为真实端口，并对报文进行重新校验，然后将校验后的报文发送给上层协议栈。

与现有技术相比，本发明的优点在于：

1、本发明为一种基于Netfilter机制的网络地址、端口跳变技术，网络地址及端口跳变的实现在系统内核空间实现，直接在内核空间对数据报文的网络地址及端口进行修改，可以避免数据报文在内核空间和用户空间的多次拷贝，提高了处理效率，能有效提高系统的安全性。

2、本发明在实现客户端、服务器和地址跳变网关的时钟同步时，采用时隙重叠技术，不要求严格的时钟同步，对网络延迟和拥塞有一定的容忍能力，对于真实网络有更强的适应性。

3、本发明在整个通信过程中服务器的真实地址、端口未在互联网中出现，保证了服务器的安全。服务器地址跳变在地址跳变网关完成，端口跳变在服务器端系统完成。通过地址跳变有效抵御来自互联网的攻击，通过端口跳变抵御来自服务器所在局域网的内部攻击。

4、本发明基于现有的Netfilter进行实现，不需要对现有协议栈进行修改，也不需要额外的协议支持，客户端和服务器应用程序可以不经修改地进行运行，部署实施简单，代价小。

5、本发明方法实现简单，通过直接在内核空间实现跳变，不需多次拷贝数据，处理效率高，采用时隙重叠技术，不要求严格的时间同步，能够容忍一定的网络延迟和拥塞，部署代价低且能兼容现有网络架构。

附图说明

图1是本发明在具体应用实例的流程示意图。

图2是本发明在具体应用实例中步骤2)服务器总体运行具体流程示意图。

图3是本发明在具体应用实例中步骤2)服务器跳变信息表结构示意图。

图4是本发明在具体应用实例中步骤3)客户端总体运行具体流程示意图。

图5是本发明在具体应用实例中步骤3)客户端同步跳变信息表结构示意图。

图6是本发明在具体应用实例中步骤4)离开客户端报文跳变处理具体流程示意图。

图7是本发明在具体应用实例中步骤4)客户端地址、端口跳变记录表结构示意图。

图8是本发明在具体应用实例中步骤4)到达客户端报文跳变处理具体流程示意图。

图9是本发明在具体应用实例中start区间、end区间位置的示意图。

图10是本发明在具体应用实例中步骤5)地址跳变网关总体运行具体流程示意图。

图11是本发明在具体应用实例中步骤5)地址跳变网关地址跳变信息表结构示意图。

图12是本发明在具体应用实例中步骤5)地址跳变网关对进入外网报文地址跳变处理具体流程示意图。

图13是本发明在具体应用实例中步骤5)地址跳变网关地址跳变记录表结构示意图。

图14是本发明在具体应用实例中步骤5)地址跳变网关对进入内网报文地址跳变处理具体流程示意图。

图15是本发明在具体应用实例中步骤6)离开服务器报文端口跳变处理具体流程示意图。

图16是本发明在具体应用实例中步骤6)服务器端口跳变记录表结构示意图。

图17是本发明在具体应用实例中步骤6)到达服务器报文端口跳变处理具体流程示意图。

具体实施方式

以下将结合说明书附图和具体实施例对本发明做进一步详细说明。

如图1所示，本发明的基于Netfilter的地址、端口跳变通信实现方法，步骤为：

1)初始部署；

2)管理人员配置部分服务器跳变参数，密钥生成单元生成跳变密钥，并将配置参数和跳变密钥保存在跳变信息存储单元。服务器通过服务注册单元将跳变参数发布到认证分发代理。

3)客户端通过认证分发中心的认证，获取服务器跳变参数。

4)客户端通过跳变同步单元实现与服务器、地址跳变网关的时钟同步，计算服务器当前的跳变地址、跳变端口，修改本机发出和收到的数据报文对应的地址及端口，实现与服务器的通信。

5)地址跳变网关收到客户端和服务器的通信报文，地址跳变引擎根据地址跳变参数获取服务器跳变地址，修改报文对应地址，完成报文的转发。

6)服务器通过端口跳变引擎实现跳变端口，修改进出服务器报文对应的端口，完成与客户端的通信。

上述步骤1)中的具体包括：

在通信的客户端部署：认证单元、跳变同步单元、跳变信息存储单元、端口跳变引擎、地址跳变引擎。

在服务器端部署：服务注册单元、跳变同步单元、密钥生成单元、跳变信息存储单元、端口跳变引擎。

在地址跳变网关部署：跳变信息存储单元、跳变同步单元、地址跳变引擎。

在可信的第三方部署：认证分发代理。

如图2所示，上述步骤2)的具体步骤如下：

2.1)管理人员配置部分服务器跳变参数；

所述跳变参数包括：地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ(0<τ≤1/2)；

2.2)由服务器的密钥生成单元生成跳变密钥K；

所述跳变密钥包括地址跳变密钥K_A、端口跳变密钥K_P；

2.3)将步骤2.1)中的地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ保存在跳变信息存储单元，密钥生成单元将步骤2.2)中生成的跳变密钥K保存在跳变信息存储单元；

服务器的跳变信息存储单元中有一张表——服务器跳变信息表，用以保存以上参数。服务器跳变信息表的结构如图3所示。服务器跳变信息表中保存了服务器的地址、端口跳变信息，包括服务器的真实地址D、地址跳变密钥K_A、端口跳变密钥K_P、地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ(0<τ≤1/2)，并将以上参数发送给用户空间的服务注册单元。

2.4)服务器的服务注册单元向认证分发中心发起认证。

若认证通过，服务注册单元将跳变信息存储单元保存的跳变参数安全的发布到认证分发中心，这样授权的客户端就可以访问服务器提供的服务了。同时，跳变信息存储单元将保存的地址跳变参数(服务器的真实地址D、地址跳变密钥K_A、地址跳变空间A_space、跳变周期T和时隙重叠因子τ(0<τ≤1/2))发送给地址跳变网关。若认证失败，则服务器不能进行服务注册，客户端也不能访问相应的服务。

如图4所示，上述步骤3)的具体步骤如下：

客户端通过认证单元与认证分发中心建立安全通信，认证分发中心完成对客户端主机的认证，证明客户端主机是合法用户；然后客户端从认证分发中心获取待访问服务器的跳变密钥、跳变周期、地址和端口跳变范围、真实地址、时隙重叠因子等参数。

3.1)客户端首先检查最近是否访问过待访问服务器。

客户端的跳变信息存储单元中有一张表——同步跳变信息表，用以保存服务器的地址、端口跳变参数，同步跳变信息表的格式如图5所示：

表中一条记录代表一个服务器的地址、端口跳变信息；记录关键字是服务器真实地址D。

客户端查看同步跳变信息表，近期是否有待访问服务器对应的记录。若存在这样的记录，则记录中保存有待访问服务器的跳变参数，不需重新访问认证分发中心以获取服务器跳变参数，这样就可以提高效率。直接转入执行步骤4)；若不存在这样的记录，说明客户端最近没有访问过该服务器，转入执行步骤3.2)；

3.2)客户端认证单元向认证分发中心发起认证请求。

若认证失败，则客户端不能获取服务器的跳变参数，因而不能访问服务器。若认证通过，转入执行步骤3.3)；

3.3)客户端认证通过后，认证分发中心会将服务器的跳变参数发送给客户端；

3.4)客户端收到认证分发中心发来的服务器跳变参数，将参数保存在跳变信息存储单元的同步跳变信息表中。

如图6所示，上述步骤4)的具体步骤如下：

4.1)客户端检测与服务器、地址跳变网关时钟是否同步。若同步，转入执行步骤4.3)；否则，转入执行步骤4.2)；

4.2)若客户端、服务器、地址跳变网关时钟不同步，通过位于客户端、服务器、地址跳变网关的同步单元实现客户端、服务器、地址跳变网关时钟同步，记录同步时钟t；

例如：将客户端、服务器、地址跳变网关的同步单元设置成自动与Internet同步时钟服务器保持同步，从而使得客户端、服务器、地址跳变网关实现粗粒度的时钟同步。

4.3)客户端地址跳变引擎、端口跳变引擎计算服务器当前跳变地址、跳变端口，修改客户端发出和收到的报文对应的地址和端口，实现与服务器的通信。

对于报文地址、端口的处理有两种情况：

(1)客户端发出的报文。通过Netfilter获取客户端发出的报文，端口跳变引擎将报文的目的端口修改为跳变端口，地址跳变引擎将报文的目的地址修改为跳变地址，重新校验后，将报文发送到互联网中。

(2)客户端收到的报文。通过Netfilter获取客户端收到的报文，地址跳变引擎将报文的源地址修改为真实地址，端口跳变引擎将报文的源端口修改为真实端口，重新校验后，将报文发送给上层协议栈。

本实施例中，在步骤4.3)中修改客户端发出报文对应地址和端口，具体步骤为：

4.3.1)客户端地址跳变引擎和端口跳变引擎维护一张表——地址、端口跳变记录表，地址、端口跳变记录表的结构如图7所示。首先判断是否存在该表，若不存在，先创建该表。若存在，转入执行步骤4.3.2)；

4.3.2)检索跳变记录表中是否有待访问服务器对应的跳变记录，依据表中是否存在某条记录真实地址选项与服务器真实地址相同进行判断。若不存在，说明客户端以前未访问过该服务器。转入执行步骤4.3.3)；若存在，说明客户端过去一段时间曾经访问过该服务器。转入执行步骤4.3.5)；

4.3.3)端口跳变引擎、地址跳变引擎从跳变信息存储单元获取服务器地址、端口跳变参数，并通过跳变参数获取当前周期和下一周期跳变地址、跳变端口。

服务器端口跳变参数包括：服务器的真实端口P_real，端口跳变密钥K_P、端口跳变空间P_space、跳变周期T，同步时钟t。

映射函数F₁:p_real→p_hopping，其中P_real是服务器真实端口(一般是服务的公开端口，比如http服务是80端口)，是服务器当前周期跳变端口，是服务器下一周期跳变端口，并且 $P_{\mathrm{hoppin}{g}_{t+T}}\&Element;P_{\mathrm{space}}.$

$F_1(K_P,T,t,P_{\mathrm{space}},p_{\mathrm{real}})=p_{\mathrm{hoppin}{g}_t},p_{h{\mathrm{opping}}_t}\&Element;P_{\mathrm{space}}$

$F_1(K_P,T,t+T,P_{\mathrm{space}},p_{\mathrm{real}})=p_{{\mathrm{hopping}}_{t+T}},p_{{\mathrm{hopping}}_{t+T}}\&Element;P_{\mathrm{space}}$

端口跳变引擎以同步时钟、端口跳变密钥K_P、服务器真实端口P_real为随机数种子，输入随机数生成函数，生成随机数，通过映射函数F₁将服务器真实端口P_real映射到端口跳变空间P_space中的某一随机端口。

服务器地址跳变参数包括：服务器的真实地址D，地址跳变密钥K_A、地址跳变空间A_space、跳变周期T，同步时钟t。

映射函数F₂:D→D_hopping，其中D是服务器真实地址，是服务器当前周期跳变地址，是服务器下一周期跳变地址，并且

$F_2(K_A,T,t,A_{\mathrm{space}},D)=D_{\mathrm{hopp}{\mathrm{ing}}_t},D_{{\mathrm{hopping}}_t}\&Element;A_{\mathrm{space}}$

$F_2(K_A,T,t+T,A_{\mathrm{space}},D)=D_{{\mathrm{hopping}}_{t+T}},D_{{\mathrm{hopping}}_{t+T}}\&Element;A_{\mathrm{space}}$

地址跳变引擎以同步时钟、地址跳变密钥K_A、服务器真实地址D为随机数种子，输入随机数生成函数，生成随机数，通过映射函数F₂将服务器真实地址D映射到地址跳变空间A_space中的某一随机地址。

4.3.4)在地址、端口跳变记录表中添加一条记录，关键字为服务器真实地址，将步骤4.3.3)中的当前周期跳变端口赋值给真实端口对应的当前周期跳变端口字段，当前周期跳变地址赋值给当前周期跳变地址字段，下一周期跳变端口赋值给真实端口对应的下一周期跳变端口字段，下一周期跳变地址赋值给下一周期跳变地址字段。转入执行步骤4.3.8)；

4.3.5)判断当前跳变周期是否结束。若没有结束，当前周期跳变端口、跳变地址仍然有效，转入执行步骤4.3.8)；若当前跳变周期结束，转入步骤4.3.6)；

4.3.6)将原当前周期跳变地址项和当前周期跳变端口项赋值给前一周期跳变地址项和前一周期跳变端口项，原下一周期跳变地址、跳变端口的值赋值给当前周期跳变地址项和当前周期跳变端口项；

4.3.7)端口跳变引擎、地址跳变引擎从跳变信息存储单元获取服务器地址、端口跳变参数，并通过跳变参数获取下一周期跳变端口和跳变地址。具体处理过程与步骤4.3.3)中获取下一周期跳变端口和跳变地址过程相同，将得到的下一周期跳变端口和跳变地址存入地址、端口跳变记录表；

4.3.8)通过Netfilter架构在内核LOCAL_OUT Hook点获取客户端发出的数据报文；

4.3.9)端口跳变引擎将报文目的端口修改为当前跳变端口，地址跳变引擎将报文目的地址修改为当前跳变地址；

4.3.10)重新对报文进行校验，将校验后的报文发送到网络中。对后续报文重复步骤4.3.5)至步骤4.3.10)，直至通信结束。

如图8所示，本实施例中，步骤4.3)中修改客户端收到报文对应地址和端口，具体步骤为：

4.3.11)通过Netfilter在内核PRE_ROUTING Hook点获取流经客户端的数据报文，对报文进行缓存。

4.3.12)检索地址、端口跳变记录表是否存在当前周期跳变地址为报文源地址的记录。若不存在，说明报文源地址不是服务器当前周期跳变地址，转入执行步骤4.3.15)；若存在这样的记录，说明报文源地址是服务器当前周期跳变地址。转入执行步骤4.3.13)；

4.3.13)地址跳变引擎将报文的源地址修改为对应记录中保存的真实地址，然后将报文发送给端口跳变引擎；

4.3.14)端口跳变引擎将报文的源端口修改为对应记录的中保存的当前周期跳变端口为报文源端口的选项对应的真实端口。转入执行步骤4.3.18)；

4.3.15)获取当前跳变周期的同步时钟t，在t跳变周期内，定义start区间、end区间。start区间、end区间位置如图9所示：

其中： ${\mathrm{start}}_t=[t,t+\frac{\mathrm{\&tau;}}{2}T],{\mathrm{end}}_t=[t+T-\frac{\mathrm{\&tau;}}{2}T,t+T],$ 这样就实现了时隙重叠，end_t-T&start_t是重叠的时隙，其中&表示相邻时间区间的联接，构成一段连续时间区间。

获取报文到达时刻系统时钟t'，若t'∈start_t，则检索地址、端口跳变记录表是否存在前一周期跳变地址与报文源地址相同的记录，若存在，转入执行步骤4.3.16)；若t'∈end_t，则检索地址、端口跳变记录表是否存在下一周期跳变地址与报文源地址相同的记录，若存在，转入执行步骤4.3.17)；若且则丢弃该数据报文。

4.3.16)地址跳变引擎将报文源地址修改为对应记录中的真实地址。端口跳变引擎将报文源端口修改为与源端口相同的前一周期跳变端口项对应的真实端口。转入执行步骤4.3.18)。

4.3.17)地址跳变引擎将报文源地址修改为对应记录中的真实地址。端口跳变引擎将报文源端口修改为与源端口相同的下一周期跳变端口对应的真实端口。转入执行步骤4.3.18)。

4.3.18)重新对数据报文进行校验，并将校验后的数据报文发送到上层协议栈。对后续报文重复步骤4.3.11)至步骤4.3.18)，直至通信结束。

如图10所示，本实施例中，上述步骤5)的具体步骤为：

5.1)地址跳变网关收到服务器发来的服务器地址跳变参数。地址跳变参数包括真实地址D、地址跳变密钥K_A、地址跳变空间A_space、跳变时隙T、时隙重叠因子τ(0<τ≤1/2)；

5.2)跳变信息存储单元中有一张表——地址跳变信息表，检索地址跳变信息表中是否存在待访问服务器地址对应的记录。若存在，转入执行步骤5.4)；若不存在这样的记录，转入执行步骤5.3)；地址跳变信息表的结构如图11所示；

5.3)在地址跳变信息表中添加一条记录，保存服务器地址跳变参数；

5.4)判断地址跳变网关与客户端、服务器时钟是否同步。如果三者已经同步，转入执行步骤5.5)；如果三者时钟不同步，通过同步单元实现三者同步。方法与步骤4.2)相同。

5.5)地址跳变网关通过地址跳变引擎实现报文跳变处理，完成报文转发。

地址跳变网关对报文的处理分两种情况：

(1)对于来自客户端的报文。地址跳变引擎通过Netfilter获取来自客户端的报文，将报文的目的地址修改为服务器真实地址。重新对报文进行校验，将校验后的报文转发给服务器。

(2)对于来自服务器的报文。地址跳变引擎通过Netfilter获取来自服务器的报文，将报文的源地址修改为服务器的跳变地址。重新对报文进行校验，将校验后的报文发送到互联网上。

如图12所示，本实施例中，步骤5.5)中对于服务器发送给客户端的报文的转发，具体步骤为：

5.5.1)判断是否有地址跳变记录表，若有，转入执行步骤5.5.2)；若没有，地址跳变引擎创建该表，地址跳变记录表的结构如图13所示；转入执行步骤5.5.2)；

5.5.2)地址跳变记录表中是否有服务器真实地址对应的记录。对于连接的第一个数据报文，此时地址跳变记录表中还没有对应服务器的记录。转入步骤执行5.5.3)；后续报文到达时，地址跳变记录表中已有对应服务器的记录，转入执行步骤5.5.6)；

5.5.3)在地址跳变记录表中添加一条新的记录，真实地址字段保存服务器的真实地址；

5.5.4)地址跳变引擎从跳变信息存储单元获得地址跳变的真实地址D、地址跳变密钥K_A、地址跳变空间A_space、跳变时隙T、时隙重叠因子τ(0<τ≤1/2)等参数，获取当前同步时钟t，并通过跳变参数获得当前周期和下一周期跳变地址。

地址跳变网关与客户端使用相同的映射函数，地址映射函数F₂，并且输入的参数也相同，因此生成的跳变地址相同。

$F_2(K_A,T,t,A_{\mathrm{space}},D)=D_{\mathrm{hopp}{\mathrm{ing}}_t},D_{{\mathrm{hopping}}_t}\&Element;A_{\mathrm{space}}$

$F_2(K_A,T,t+T,A_{\mathrm{space}},D)=D_{{\mathrm{hopping}}_{t+T}},D_{{\mathrm{hopping}}_{t+T}}\&Element;A_{\mathrm{space}}$

5.5.5)将得到的当前周期跳变地址赋值给新添加记录的当前周期跳变地址项，下一周期跳变地址赋值给新添加记录的下一周期跳变地址项。转入执行步骤5.5.9)；

5.5.6)判断当前跳变周期是否结束，如果跳变周期结束，需要更新跳变地址。转入执行步骤5.5.7)；如果跳变周期没有结束，当前周期跳变地址仍然有效，转入执行步骤5.5.9)；

5.5.7)将原当前周期跳变地址项赋值给前一周期跳变地址项，原下一周期跳变地址项赋值给当前周期跳变地址项；

5.5.8)地址跳变引擎从跳变信息存储单元获取服务器地址跳变参数，并通过跳变参数获取新的下一周期跳变地址。具体处理过程与步骤5.5.4)中获取下一周期跳变地址过程相同，将得到的下一周期跳变地址存入地址跳变记录表；

5.5.9)通过Netfilter在内网接口处(POST_ROUTING)获取服务器主机发出的数据报文，并对报文进行缓存。

5.5.10)地址跳变引擎将数据报文中的源地址(服务器真实地址)修改为当前周期跳变地址。

5.5.11)重新对报文进行校验，将校验后的报文发送到网络中。对后续报文重复步骤5.5.6)至步骤5.5.11)，直至通信结束。

如图14所示，本实施例中，步骤5.5)中对于客户端发送给服务器的报文的转发，具体步骤为：

5.5.12)通过Netfilter在外网接口处(PRE_ROUTING)获取发送给服务器的报文。

5.5.13)根据报文目的地址，检索地址跳变记录表中是否存在当前周期跳变地址为报文目的地址的记录。若存在，转入执行步骤5.5.14)；若不存在，转入执行步骤5.5.15)；

5.5.14)地址跳变引擎将报文的目的地址修改为对应记录中保存的真实地址。转入执行步骤5.5.17)；

5.5.15)获取报文到达时刻系统时钟t'，若t'∈start_t，则检索地址跳变记录表是否存在前一周期跳变地址项与报文目的地址相同的记录，若存在，转入执行步骤5.5.16)；若t'∈end_t，则检索地址跳变记录表是否存在下一周期跳变地址项与报文目的地址相同的记录，若存在，转入执行步骤5.5.17)；若且则丢弃该数据报文。

5.5.16)地址跳变引擎将报文目的地址修改为对应记录(前一周期跳变地址项与报文目的地址相同的记录)的真实地址。转入执行步骤5.5.18)；

5.5.17)地址跳变引擎将报文目的地址修改为对应记录(下一周期跳变地址项与报文目的地址相同的记录)的真实地址。转入执行步骤5.5.18)；

5.5.18)重新对数据报文进行校验，并将校验后的报文发送到对应服务器。对后续报文重复步骤5.5.12)至步骤5.5.18)，直至通信结束。

如图15所示，本实施例中，上述步骤6)的具体步骤为：

6.1)如果服务器与客户端、地址跳变网关时钟不同步，通过同步单元实现三者同步，方法与步骤4.2)相同。如果三者时钟同步，转入执行步骤6.2)；

6.2)服务器端口跳变引擎从跳变信息存储单元获取端口跳变参数，计算服务器当前的跳变端口，端口跳变引擎对服务器发出和收到的报文的端口进行修改，实现与客户端的通信。

本实施例中，步骤6.2)中对服务器发出的报文的处理，具体步骤为：

6.2.1)服务器是否存在端口跳变记录表，如果存在，转入执行步骤6.2.3)；如果不存在，转入执行步骤6.2.2)；

6.2.2)在服务器内核建立端口跳变记录表,端口跳变记录表的结构如图16所示。

6.2.3)端口跳变记录表中是否存在当前服务真实端口对应的记录。服务器发出第一个数据报文时，跳变记录表中没有所用端口跳变记录，转入执行步骤6.2.7)；服务器发出后续报文时，跳变记录表中已有所用端口的跳变记录，转入执行步骤6.2.4)；

6.2.4)当前跳变周期是否结束，如果跳变周期已结束，需要生成新的下一周期跳变端口，转入执行步骤6.2.5)；如果当前跳变周期还未结束，端口跳变记录表中的当前跳变端口仍然有效，转入执行步骤6.2.10)；

6.2.5)将服务所用端口对应记录当前周期跳变端口项赋值给前一周期跳变端口项，下一周期跳变端口项赋值给当前周期跳变端口项。

6.2.6)端口跳变引擎从跳变信息存储单元获得端口跳变参数，并通过跳变参数计算新的下一周期跳变端口；

服务器端口跳变参数包括：服务器的真实端口P_real、端口跳变密钥K_P、端口跳变空间P_space、跳变周期T，同步时钟t。

服务器与客户端使用相同的映射函数，并且输入的参数也相同，因此生成的下一周期跳变端口相同。

$F_1(K_P,T,t,P_{\mathrm{space}},p_{\mathrm{real}})=p_{\mathrm{hoppin}{g}_t},p_{h{\mathrm{opping}}_t}\&Element;P_{\mathrm{space}}$

$F_1(K_P,T,t+T,P_{\mathrm{space}},p_{\mathrm{real}})=p_{{\mathrm{hopping}}_{t+T}},p_{{\mathrm{hopping}}_{t+T}}\&Element;P_{\mathrm{space}}$

将得到的下一周期跳变端口赋值给对应记录的下一周期跳变端口。转入执行步骤6.2.10)；

6.2.7)在跳变记录表中添加一条服务所用真实端口对应的记录。

6.2.8)端口跳变引擎从跳变信息存储单元获得端口跳变参数，并通过跳变参数计算当前周期和下一周期跳变端口；

6.2.9)将当前周期跳变端口的值赋值给新添加记录的当前跳变端口项，将下一周期跳变端口的值赋值给新添加记录的下一周期跳变端口项。

6.2.10)通过Netfilter在内核LOCAL_OUT Hook点获取服务器发出的数据报文。

6.2.11)端口跳变引擎将数据报文中的源端口修改为当前周期跳变端口。

6.2.12)端口跳变引擎重新对数据报文进行校验，并将校验后的报文发送到地址跳变网关。对后续报文重复步骤6.2.4)至步骤6.2.12)，直至通信结束。

如图17所示，本实施例中，步骤6.2)中对服务器收到报文的处理，具体步骤为：

6.2.13)通过Netfilter在内核PRE_ROUTING Hook点获取到达服务器的报文。

6.2.14)检索端口跳变记录表中是否存在当前周期跳变端口为报文目的端口的记录。若存在，转入执行步骤6.2.15)；若不存在，转入执行步骤6.2.16)；

6.2.15)端口跳变引擎将报文的目的端口修改为对应记录中保存的真实端口。转入执行步骤6.2.19)；

6.2.16)获取报文到达时刻系统时钟t'，若t'∈start_t，则检索端口跳变记录表是否存在前一周期跳变端口项与报文目的端口相同的记录，若存在，转入执行步骤6.2.17)；若t'∈end_t，则检索端口跳变记录表是否存在下一周期跳变端口项与报文目的端口相同的记录，若存在，转入执行步骤6.2.18)；若且则丢弃该数据报文。

6.2.17)端口跳变引擎将报文目的端口修改为对应记录(前一周期跳变端口与报文目的端口相同的记录)的真实端口项的值。转入执行步骤6.2.19)；

6.2.18)端口跳变引擎将报文目的端口修改为对应记录(下一周期跳变端口与报文目的端口相同的记录)的真实端口项的值。转入执行步骤6.2.19)；

6.2.19)重新对数据报文进行校验，并将校验后的数据报文发送到上层协议栈。对后续报文重复步骤6.2.13)至步骤6.2.19)，直至通信结束。

端口跳变引擎对报文的处理分为两种情况：

(1)服务器发出的报文。端口跳变引擎通过Netfilter获取服务器发出的报文，端口跳变引擎将报文的源端口修改为跳变端口，并对报文进行重新校验，然后将校验后的报文发送给地址跳变网关。

(2)服务器收到的报文。端口跳变引擎通过Netfilter获取发送给服务器的报文，端口跳变引擎将报文目的端口修改为真实端口，并对报文进行重新校验，然后将校验后的报文发送给上层协议栈。

以上仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，应视为本发明的保护范围。

Claims (10)

1.一种基于Netfilter的地址、端口跳变通信实现方法，其特征在于，步骤为：

1)初始部署；

2)配置服务器跳变参数，生成跳变密钥，并将配置参数和跳变密钥保存；服务器将跳变参数发布到认证分发代理；

3)客户端通过认证分发中心的认证，获取服务器跳变参数；

4)客户端实现与服务器、地址跳变网关的时钟同步，计算服务器当前的跳变地址、跳变端口，修改本机发出和收到的数据报文对应的地址及端口，实现与服务器的通信；

5)地址跳变网关收到客户端和服务器的通信报文，地址跳变引擎根据地址跳变参数获取服务器跳变地址，修改报文对应地址，完成报文的转发；

6)服务器通过端口跳变引擎实现跳变端口，修改进出服务器报文对应的端口，完成与客户端的通信。

2.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤1)包括：

在通信的客户端部署：认证单元、跳变同步单元、跳变信息存储单元、端口跳变引擎、地址跳变引擎；

在服务器端部署：服务注册单元、跳变同步单元、密钥生成单元、跳变信息存储单元、端口跳变引擎；

在地址跳变网关部署：跳变信息存储单元、跳变同步单元、地址跳变引擎；

在可信的第三方部署：认证分发代理。

3.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤2)的步骤为：

2.1)管理人员配置部分服务器跳变参数；

所述跳变参数包括：地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ，其中0<τ≤1/2；

2.2)由服务器的密钥生成单元生成跳变密钥K；

所述跳变密钥包括地址跳变密钥K_A、端口跳变密钥K_P；

2.3)将步骤2.1)中的地址跳变空间A_space、端口跳变空间P_space、跳变周期T和时隙重叠因子τ保存在跳变信息存储单元，密钥生成单元将步骤2.2)中生成的跳变密钥K保存在跳变信息存储单元；服务器的跳变信息存储单元中通过服务器跳变信息表保存以上参数；

2.4)服务器的服务注册单元向认证分发中心发起认证；

若认证通过，服务注册单元将跳变信息存储单元保存的跳变参数安全的发布到认证分发中心，授权的客户端就可以访问服务器提供的服务了；同时，跳变信息存储单元将保存的地址跳变参数发送给地址跳变网关；

若认证失败，则服务器不能进行服务注册，客户端也不能访问相应的服务。

4.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤3)中，客户端通过认证单元与认证分发中心建立安全通信，认证分发中心完成对客户端主机的认证，证明客户端主机是合法用户，然后客户端从认证分发中心获取待访问服务器的跳变密钥、跳变周期、地址和端口跳变范围、真实地址、时隙重叠因子参数。

5.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤4)的具体步骤为：

4.1)跳变同步单元实现客户端、地址跳变网关与服务器的时钟同步；

4.2)客户端将得到的服务器跳变密钥、跳变周期、跳变范围、真实地址、时隙重叠因子参数传递到系统内核，保存在跳变信息存储单元，转入执行步骤4.3)；

4.3)客户端地址跳变引擎、端口跳变引擎从跳变信息存储单元获取服务器地址跳变、端口跳变的参数信息，计算服务器当前的跳变地址、跳变端口，修改客户端主机发出和收到的报文对应的地址和端口，实现与服务器通信。

6.根据权利要求5所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤4)中，对于报文地址、端口的处理有两种情况：

(1)客户端发出的报文：通过Netfilter获取客户端发出的报文，端口跳变引擎将报文的目的端口修改为跳变端口，地址跳变引擎将报文的目的地址修改为跳变地址，重新校验后，将报文发送到互联网中；

(2)客户端收到的报文：通过Netfilter获取客户端收到的报文，地址跳变引擎将报文的源地址修改为真实地址，端口跳变引擎将报文的源端口修改为真实端口，重新校验后，将报文发送给上层协议栈。

7.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤5)的具体步骤为：

5.1)地址跳变网关通过跳变同步单元实现与客户端、服务器时钟同步；

5.2)地址跳变网关收到服务器发来的地址跳变参数，将其保存在跳变信息存储单元；

5.3)地址跳变网关的地址跳变引擎根据跳变信息存储单元保存的地址跳变参数，计算服务器当前的跳变地址。

8.根据权利要求7所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤5)中，对于地址跳变网关对报文的处理分两种情况：

(1)对于来自客户端的报文：地址跳变引擎通过Netfilter获取来自客户端的报文，将报文的目的地址修改为服务器真实地址；重新对报文进行校验，将校验后的报文转发给服务器；

(2)对于来自服务器的报文：地址跳变引擎通过Netfilter获取来自服务器的报文，将报文的源地址修改为服务器的跳变地址；重新对报文进行校验，将校验后的报文发送到互联网上。

9.根据权利要求1所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤6)的具体步骤为：

6.1)服务器通过同步单元实现与客户端、地址跳变网关的时钟同步；

6.2)服务器的端口跳变引擎通过跳变信息存储单元保存的服务器端口跳变参数，获取服务器当前的跳变端口。

10.根据权利要求9所述的基于Netfilter的地址、端口跳变通信实现方法，其特征在于，所述步骤6)中，对于端口跳变引擎对报文的处理分为两种情况：

(1)服务器发出的报文：端口跳变引擎通过Netfilter获取服务器发出的报文，端口跳变引擎将报文的源端口修改为跳变端口，并对报文进行重新校验，然后将校验后的报文发送给地址跳变网关；

(2)服务器收到的报文：端口跳变引擎通过Netfilter获取发送给服务器的报文，端口跳变引擎将报文目的端口修改为真实端口，并对报文进行重新校验，然后将校验后的报文发送给上层协议栈。