CN108337222B - 区分访问终端身份的端口开放方法、设备及可读存储介质 - Google Patents

区分访问终端身份的端口开放方法、设备及可读存储介质 Download PDF

Info

Publication number
CN108337222B
CN108337222B CN201711214566.4A CN201711214566A CN108337222B CN 108337222 B CN108337222 B CN 108337222B CN 201711214566 A CN201711214566 A CN 201711214566A CN 108337222 B CN108337222 B CN 108337222B
Authority
CN
China
Prior art keywords
access terminal
terminal
port number
access
application service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711214566.4A
Other languages
English (en)
Other versions
CN108337222A (zh
Inventor
饶迎
王静平
翟易坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Electronic and Information Technology of CETC
Original Assignee
China Academy of Electronic and Information Technology of CETC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Electronic and Information Technology of CETC filed Critical China Academy of Electronic and Information Technology of CETC
Priority to CN201711214566.4A priority Critical patent/CN108337222B/zh
Publication of CN108337222A publication Critical patent/CN108337222A/zh
Application granted granted Critical
Publication of CN108337222B publication Critical patent/CN108337222B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/23Bit dropping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/29Flow control; Congestion control using a combination of thresholds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明介绍了一种区分访问终端身份的端口开放方法、设备及可读存储介质,该方法包括:接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。提高服务终端的安全性能,避免服务终端资源的浪费。

Description

区分访问终端身份的端口开放方法、设备及可读存储介质
技术领域
本发明涉及通信安全技术领域,尤其涉及一种区分访问终端身份的端口开放方法、设备及可读存储介质。
背景技术
在现有的因特网中,端口扮演着一个十分重要的角色,特别是一些为典型应用分配的知名端口,例如:HTTP(HyperText Transfer Protocol,超文本传输协议)使用的80端口。此外,当服务终端为特定应用提供服务时,服务终端将开放与该应用对应的端口,并监听与该应用相关的请求以及提供相应的应用服务。例如:网页服务器将开放80端口,监听HTTP请求并提供HTTP服务。不仅如此,一旦某台服务终端开放某个特定端口,即是将该端口开放给整个因特网的所有访问终端,且不会对访问终端的身份加以区分。因此,因特网中的任意访问终端都能将数据包发送至该台服务终端。
现有因特网采用的不区分访问终端身份的端口开放方法主要存在以下问题:在该方法的支持下,恶意访问终端能够通过端口扫描技术确认被扫描端口的开放状态并找到因特网中的脆弱服务终端,进而非法占用脆弱服务终端的资源或是将脆弱服务终端作为工具以实施后续的网络攻击。更糟糕的是,一旦某个端口开放,所有发往该端口的数据包均将会从网络层转发至运输层乃至应用层,而不论该数据包的来源是否是被信任的访问终端,这使得恶意访问终端更加容易消耗其它服务终端的资源,实现对其它服务终端的攻击。
发明内容
本发明的主要目的在于提出一种区分访问终端身份的端口开放方法、设备及可读存储介质,既可以提高服务终端的安全性能,又可以在一定程度上避免服务终端资源的浪费。
为实现上述目的,本发明提供了一种区分访问终端身份的端口开放方法,应用于服务终端,所述方法包括:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。
可选的,在所述为所述目的应用服务生成对应的模拟端口号之前,所述方法还包括:
判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述连接请求数据包;
若否,则为所述目的应用服务生成对应的模拟端口号。
可选的,所述为所述目的应用服务生成对应的模拟端口号,包括:
根据服务终端的IP(Internet Protocol,网络之间互连的协议)地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥,利用哈希算法,计算出所述模拟端口号。
可选的,在所述为所述目的应用服务生成对应的模拟端口号之后,所述方法还包括:
建立所述目的应用服务与所述模拟端口号的映射关系,并将所述映射关系存储到预设的映射关系表中。
可选的,在向所述访问终端发送连接允许数据包之后,所述方法还包括:
接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述应用服务数据包包括:访问端口号;
在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于所述映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
可选的,在所述判断所述访问端口号是否存在于所述映射关系表中之前,所述方法还包括:
判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述应用服务数据包;
若否,则判断所述访问端口号是否存在于所述映射关系表中。
可选的,按照以下方式判断所述访问终端是否为永久信任的访问终端:
判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
此外,为实现上述目的,本发明还提出一种区分访问终端身份的端口开放设备,应用于服务终端,所述设备包括:处理器、存储器及通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的区分访问终端身份的端口开放程序,实现以下步骤:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。
可选的,所述处理器还用于执行所述存储器中存储的区分访问终端身份的端口开放程序,实现以下步骤:
在向所述访问终端发送连接允许数据包之后,接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述应用服务数据包包括:访问端口号;
在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于所述映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
此外,为实现上述目的,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质存储有区分访问终端身份的端口开放程序;
当所述区分访问终端身份的端口开放程序被至少一个处理器执行时,导致所述至少一个处理器执行上述介绍的区分访问终端身份的端口开放方法的步骤。
本发明提出的区分访问终端身份的端口开放方法、设备及可读存储介质,与现有技术相比,在本发明提出的技术方案中,服务终端仅对其永久信任的访问终端无条件地开放端口,如此,非永久信任的访问终端无法通过常规的端口扫描技术确认被扫描端口的真实开放状态,被扫描服务终端的安全性将得到有效的保障。此外,服务终端仅在自身的资源使用量值未达到预设的最大阈值时,为其非永久信任的访问终端动态地分配用于获取该服务终端的应用服务的模拟端口号,且仅为其暂时信任的访客终端提供所需的应用服务,如此,不信任的访客终端无法将数据包传递至该服务终端的应用层,进而无法获取该服务终端提供的应用服务,无法过多地占用该服务终端的资源,难以实现对该服务终端的攻击。
附图说明
图1是本发明第一实施例的接收到连接请求数据包后的区分访问终端身份的端口开放方法的流程图;
图2是本发明第一实施例的接收到应用服务数据包后的区分访问终端身份的端口开放方法的流程图;
图3是本发明第二实施例的接收到连接请求数据包后的区分访问终端身份的端口开放方法的流程图;
图4是本发明第二实施例的接收到应用服务数据包后的区分访问终端身份的端口开放方法的流程图;
图5是本发明第三实施例的区分访问终端身份的端口开放设备的组成结构示意图。
具体实施方式
为更进一步阐述本发明为达成预定目的所采取的技术手段及功效,以下结合附图及较佳实施例,对本发明进行详细说明如后。
本发明第一实施例,提出了一种区分访问终端身份的端口开放方法,应用于服务终端,如图1所示,所述方法具体包括以下步骤:
步骤S101:接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端。
其中,所述连接请求数据包包括:目的应用服务的真实端口号、访问终端的IP地址(源IP地址)和服务终端的IP地址(目的IP地址)。
具体的,所述判断所述访问终端是否为永久信任的访问终端,包括:
步骤A1:从所述连接请求数据包中获取所述访问终端的IP地址;
步骤A2:判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
在所述永久信任终端列表中存储有所述服务终端永久信任的全部访问终端的IP地址。
步骤S102:在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务。
如果所述访问终端是所述服务终端的永久信任的访问终端,所述服务终端将端口无条件的开放给永久信任的访问终端。
步骤S103:在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。
具体的,在所述为所述目的应用服务生成对应的模拟端口号之前,所述方法还包括:
步骤B1:服务终端获取当前自身的资源使用量值;
其中,资源使用量值至少包括下列信息中的一种:宽带使用量值、CPU(CentralProcessing Unit,中央处理器)使用量值、内存使用量值。
步骤B2:服务终端判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述连接请求数据包;
若否,则为所述目的应用服务生成对应的模拟端口号。
其中,所述服务终端分别为宽带使用量值、CPU使用量值和内存使用量值设置对应的最大阈值。
在服务终端的负载过大的情况下,服务终端不处理非永久信任的访问终端的连接请求数据包。需要说明的是,在服务终端的负载过大的情况下,服务终端依旧处理永久信任的访问终端的连接请求数据包。
所述为所述目的应用服务生成对应的模拟端口号,包括:
步骤C1:获取自身的密钥,并从所述连接请求数据包中获取服务终端的IP地址、访问终端的IP地址以及目的应用服务的真实端口号;
步骤C2:根据所述服务终端的IP地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥,利用哈希算法,计算出所述模拟端口号。
在所述为所述目的应用服务生成对应的模拟端口号之后,所述方法还包括:
建立所述目的应用服务与所述模拟端口号的映射关系,并将所述映射关系存储到预设的映射关系表中。
如果所述访问终端是非永久信任的访问终端,所述服务终端会为访问终端所要访问的目的应用服务分配新的模拟端口号,访问终端只能通过所述模拟端口号才能访问所述目的应用服务。
进一步的,在向所述访问终端发送连接允许数据包之后,如图2所示,所述方法还包括:
步骤S201:接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端。
其中,所述应用服务数据包包括:访问终端的IP地址(源IP地址)、服务终端的IP地址(目的IP地址)和访问端口号。
具体的,所述判断所述访问终端是否为永久信任的访问终端,包括:
步骤D1:从所述应用服务数据包中获取所述访问终端的IP地址;
步骤D2:判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
在所述永久信任终端列表中存储有所述服务终端永久信任的全部访问终端的IP地址。
步骤S202:在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务。
如果所述访问终端是所述服务终端的永久信任的访问终端,所述访问终端可以通过应用服务数据包中的访问端口号直接访问对应的目的应用服务。需要说明的是,此时所述应用服务数据包中的访问端口号为目的应用服务的真实端口号。
步骤S203:在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于所述映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
具体的,在所述判断所述访问端口号是否存在于所述映射关系表中之前,所述方法还包括:
步骤E1:服务终端获取当前自身的资源使用量值;
其中,资源使用量值至少包括下列信息中的一种:宽带使用量值、CPU(CentralProcessing Unit,中央处理器)使用量值、内存使用量值。
步骤E2:服务终端判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述应用服务数据包;
若否,则判断所述访问端口号是否存在于所述映射关系表中。
其中,所述服务终端分别为宽带使用量值、CPU使用量值和内存使用量值设置对应的最大阈值。
在服务终端的负载过大的情况下,服务终端不处理非永久信任的访问终端的应用服务数据包。要说明的是,在服务终端的负载过大的情况下,服务终端依旧处理永久信任的访问终端的应用服务数据包。
如果所述访问终端是非永久信任的访问终端,进一步判断所述应用服务数据包中的访问端口号是否预设的映射关系表中,若是,则说明所述访问终端是所述服务终端的暂时信任的访问终端;若否,则丢弃所述应用服务数据包。在所述服务终端为暂时信任的访问终端的情况下,服务终端在所述映射关系表中查找到与所述访问端口号对应的目的应用服务,并向所述访问终端提供查找到的目的应用服务。需要说明的是,此时应用服务数据包中的访问端口号实际为之前所述服务终端为所述访问终端分配的新的模拟端口号。所述访问终端根据所述模拟端口号访问对应的目的应用服务。
本发明第二实施例,提出了一种区分访问终端身份的端口开放方法,如图3所示,所述方法具体包括以下步骤:
步骤S301:服务终端的网络层接收来自访问终端的连接请求数据包。
其中,所述连接请求数据包包括:目的应用服务的真实端口号(例如:80端口)、访问终端的IP地址(源IP地址)和服务终端的IP地址(目的IP地址)。
步骤S302:所述服务终端判断所述访问终端是否为永久信任的访问终端;若是,则执行步骤S303;若否,则执行步骤S305。
具体的,所述服务终端判断所述访问终端是否为永久信任的访问终端,包括:
步骤A1:所述服务终端从所述连接请求数据包中获取所述访问终端的IP地址;
步骤A2:所述服务终端判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
在所述永久信任终端列表中记录有所述服务终端永久信任的全部访问终端的IP地址。由于单个访问终端的IP地址占用32比特(IPv4地址)或是128比特(IPv6地址)的存储空间,因此,若是为服务终端永久信任的每个访问终端均分配32比特或是128比特的存储空间,当服务终端永久信任的访问终端数目过多时,服务终端需要耗费大量的存储空间记录服务终端永久信任的若干访问终端的IP地址,且服务终端需要耗费大量的计算资源与时间判断访问中的IP地址是否存在于服务终端的永久信任终端列表中。为缓解上述问题,所述服务终端采用Bloom Filter或Counting Bloom Filter存储服务终端的永久信任终端列表,从而记录服务终端永久信任的若干访问终端的IP地址。
步骤S303:所述服务终端将所述连接请求数据包从网络层转发至运输层。
步骤S304:所述服务终端的运输层根据所述连接请求数据包生成一个连接允许数据包,并将所述连接允许数据包发送至所述访问终端。
此时,服务终端将端口无条件的开放给了他永久信任的访问终端。
步骤S305:所述服务终端判断当前自身的资源使用量值是否达到预设的最大阈值;若是,则执行步骤S306;若否,则执行步骤S307。
其中,资源使用量值至少包括下列信息中的一种:宽带使用量值、CPU(CentralProcessing Unit,中央处理器)使用量值、内存使用量值。所述服务终端分别为宽带使用量值、CPU使用量值和内存使用量值设置对应的最大阈值。
在服务终端的负载过大的情况下,服务终端不处理非永久信任的访问终端的连接请求数据包。需要说明的是,在服务终端的负载过大的情况下,服务终端依旧处理永久信任的访问终端的连接请求数据包。
步骤S306:所述服务终端丢弃所述连接请求数据包。此时,所述终端服务在其自身的资源使用量值达到预设的最大阈值的情况下,终端服务不向非永久信任的访问终端开放任何端口。
步骤S307:所述服务终端将所述连接请求数据包从网络层转发至运输层。
步骤S308:所述服务终端的运输层根据所述连接请求数据包为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包。
具体的,所述根据所述连接请求数据包为所述目的应用服务生成对应的模拟端口号,包括:
步骤B1:获取自身的密钥K,并从所述连接请求数据包中获取服务终端的IP地址SIP、访问终端的IP地址CIP以及目的应用服务的真实端口号PT
步骤B2:按照如下公式计算出所述模拟端口号P:
P=hash(SIP,CIP,K,PT)mod 65535。
服务终端仅在自身的资源使用量值未达到预设的最大阈值的情况下,为其非永久信任的访问终端动态的分配用于获取所述目的应用服务的模拟端口号,从而有条件的为其非永久信任的访问终端开放特定的端口。
在所述根据所述连接请求数据包为所述目的应用服务生成对应的模拟端口号之后,所述方法还包括:
建立所述目的应用服务与所述模拟端口号的映射关系,并将所述映射关系存储到预设的映射关系表中。
如果所述访问终端是非永久信任的访问终端,所述服务终端会为访问终端所要访问的目的应用服务分配新的模拟端口号,访问终端只能通过所述模拟端口号才能访问所述目的应用服务。
进一步的,在向所述访问终端发送连接允许数据包之后,如图4所示,所述方法还包括:
步骤S401:服务终端的网络层接收来自访问终端的应用服务数据包。
其中,所述连接请求数据包包括:访问端口号、访问终端的IP地址(源IP地址)和服务终端的IP地址(目的IP地址)。
需要说明的是,所述访问端口号可以是应用服务的真实端口号,也可以是由服务终端为应用服务分配的模拟端口号。
步骤S402:所述服务终端判断所述访问终端是否为永久信任的访问终端;若是,则执行步骤S403;若否,则执行步骤S405。
具体的,所述服务终端判断所述访问终端是否为永久信任的访问终端,包括:
步骤C1:所述服务终端从所述应用服务数据包中获取所述访问终端的IP地址;
步骤C2:所述服务终端判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
步骤S403:所述服务终端将所述应用服务数据包从网络层先后转发至运输层和应用层。
步骤S404:所述服务终端在应用层根据所述应用服务数据包中的访问端口号为所述访问终端提供对应的目的应用服务。
此时,所述服务终端将端口无条件的开放给了其永久信任的访问终端。
步骤S405:所述服务终端判断当前自身的资源使用量值是否达到预设的最大阈值;若是,则执行步骤S406;若否,则执行步骤S407。
其中,资源使用量值至少包括下列信息中的一种:宽带使用量值、CPU(CentralProcessing Unit,中央处理器)使用量值、内存使用量值。所述服务终端分别为宽带使用量值、CPU使用量值和内存使用量值设置对应的最大阈值。
在服务终端的负载过大的情况下,服务终端不处理非永久信任的访问终端的应用服务数据包。需要说明的是,在服务终端的负载过大的情况下,服务终端依旧处理永久信任的访问终端的应用服务数据包。
步骤S406:所述服务终端丢弃所述应用服务数据包。此时,所述终端服务在其自身的资源使用量值达到预设的最大阈值的情况下,终端服务不向非永久信任的访问终端开放任何端口。
步骤S407:所述服务终端判断所述应用服务数据包中的访问端口号是否存在于所述映射关系表中;若是,则执行步骤S408;若否,则执行步骤S410。
步骤S408:所述服务终端将所述应用服务数据包从网络层先后转发至运输层和应用层。
步骤S409:所述服务终端的运输层根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
此时,访问终端仅在自身的资源使用量值未达到预设的最大阈值的情况下,有条件的为其暂时信任的访问终端开放特定的端口,进而为其暂时信任的访问终端提供所需要的应用服务。
步骤S410:所述服务终端丢弃所述应用服务数据包。
在本发明实施例中,访问终端的身份分为两大类别:永久信任的访问终端与非永久信任的访问终端。判断访问终端的身份类别的依据,是该访问终端的IP地址是否存在于服务终端的永久信任终端列表中。若是,访问终端的身份类别为永久信任的终端主机;否则,访问终端的身份类别为非永久信任的终端主机。此外,非永久信任的访问终端还将细分为两个子类别:暂时信任的访问终端与不信任的访问终端。判断访问终端的身份子类别的依据,是该访问终端所发送应用服务数据包中携带的访问端口号,是否是接收该应用服务数据包的服务终端为其分配的模拟端口号。若是,访问终端的身份子类别为暂时信任的访问终端;否则,终端主机的身份子类别是不信任的访问终端。
在本发明实施例中,当服务终端的网络层接收到发往该服务终端某个端口的连接请求数据包时,它将首先检查该连接请求数据包的来源,判断发送连接请求数据包的访问终端的身份类别。若访问终端的身份类别是永久信任的访问终端,该连接请求数据包将被转发至服务终端的运输层。在运输层接受该次连接请求后,服务终端将返回一个连接允许数据包至访问终端。若访问终端的身份类别是非永久信任的访问终端,服务终端将继续判断自身的资源使用量值是否达到预设定的最大阈值。若是,服务终端将丢弃该连接请求数据包。否则,该连接请求数据包将被转发至服务终端的运输层。在运输层接受该次连接请求,并为资源使用量值动态地分配一个用于后续应用服务的模拟端口号后,服务终端将返回一个携带后续应用服务可用的模拟端口号的连接允许数据包至资源使用量值。在此,服务终端可自行选择或设计哈希函数,将服务终端的IP地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥等信息映射成用于后续应用服务的模拟端口号。
在本发明实施例中,当服务终端的网络层接收到发往该服务终端某个端口的应用服务数据包时,它将首先检查该应用服务数据包的来源,判断发送应用服务数据包的访问终端的身份类别。若访问终端的身份类别是永久信任的访问终端,该应用服务数据包将被先后转发至服务终端的运输层与应用层,交由应用层继续提供访问终端后续所需的应用服务。若访问终端的身份类别是非永久信任的访问终端,服务终端将继续判断自身的资源使用量值是否达到预设定的最大阈值。若是,服务终端将丢弃该应用服务数据包。否则,服务终端将继续判断访问终端的身份子类别。若访问终端的身份子类别是暂时信任的访问终端,该应用服务数据包将被先后转发至服务终端的运输层与应用层,交由应用层继续提供访问终端后续所需的应用服务。若访问终端的身份子类别是不信任的访问终端,该应用服务数据包将被丢弃。
本发明第三实施例,提出了一种区分访问终端身份的端口开放设备,应用于服务终端,如图5所示,所述设备包括:处理器501、存储器502及通信总线;
通信总线用于实现处理器501和存储器502之间的连接通信;
处理器501用于执行存储器502中存储的区分访问终端身份的端口开放程序,以实现以下步骤:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。
具体的,处理器501还用于执行存储器502中存储的区分访问终端身份的端口开放程序,实现以下步骤:
在所述为所述目的应用服务生成对应的模拟端口号之前,判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述连接请求数据包;若否,则为所述目的应用服务生成对应的模拟端口号。
具体的,处理器501在执行所述为所述目的应用服务生成对应的模拟端口号的步骤时,具体包括:
根据服务终端的IP地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥,利用哈希算法,计算出所述模拟端口号。
进一步的,处理器501还用于执行存储器502中存储的区分访问终端身份的端口开放程序,实现以下步骤:
在所述为所述目的应用服务生成对应的模拟端口号之后,建立所述目的应用服务与所述模拟端口号的映射关系,并将所述映射关系存储到预设的映射关系表中。
进一步的,处理器501还用于执行存储器502中存储的区分访问终端身份的端口开放程序,实现以下步骤:
接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述应用服务数据包包括:访问端口号;
在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于所述映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
进一步的,处理器501还用于执行存储器502中存储的区分访问终端身份的端口开放程序,实现以下步骤:
在所述判断所述访问端口号是否存在于所述映射关系表中之前,判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述应用服务数据包;若否,则判断所述访问端口号是否存在于所述映射关系表中。
进一步的,处理器501按照以下方式判断所述访问终端是否为永久信任的访问终端:
判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
本发明第四实施例,提出了一种计算机可读存储介质,应用于服务终端,所述计算机可读存储介质存储有区分访问终端身份的端口开放程序;
当所述区分访问终端身份的端口开放程序被至少一个处理器执行时,导致所述至少一个处理器执行以下步骤操作:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务。
本发明实施例中介绍的区分访问终端身份的端口开放方法、设备及可读存储介质,与现有技术相比,在本发明提出的技术方案中,服务终端仅对其永久信任的访问终端无条件地开放端口,如此,非永久信任的访问终端无法通过常规的端口扫描技术确认被扫描端口的真实开放状态,被扫描服务终端的安全性将得到有效的保障。此外,服务终端仅在自身的资源使用量值未达到预设的最大阈值时,为其非永久信任的访问终端动态地分配用于获取该服务终端的应用服务的模拟端口号,且仅为其暂时信任的访客终端提供所需的应用服务,如此,不信任的访客终端无法将数据包传递至该服务终端的应用层,进而无法获取该服务终端提供的应用服务,无法过多地占用该服务终端的资源,难以实现对该服务终端的攻击。
通过具体实施方式的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。

Claims (9)

1.一种区分访问终端身份的端口开放方法,其特征在于,应用于服务终端,所述方法包括:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务,所述为所述目的应用服务生成对应的模拟端口号,包括:根据服务终端的IP地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥,利用哈希算法,计算出所述模拟端口号。
2.根据权利要求1所述的区分访问终端身份的端口开放方法,其特征在于,在所述为所述目的应用服务生成对应的模拟端口号之前,所述方法还包括:
判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述连接请求数据包;
若否,则为所述目的应用服务生成对应的模拟端口号。
3.根据权利要求1所述的区分访问终端身份的端口开放方法,其特征在于,在所述为所述目的应用服务生成对应的模拟端口号之后,所述方法还包括:
建立所述目的应用服务与所述模拟端口号的映射关系,并将所述映射关系存储到预设的映射关系表中。
4.根据权利要求3所述的区分访问终端身份的端口开放方法,其特征在于,在向所述访问终端发送连接允许数据包之后,所述方法还包括:
接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述应用服务数据包包括:访问端口号;
在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于所述映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
5.根据权利要求4所述的区分访问终端身份的端口开放方法,其特征在于,在所述判断所述访问端口号是否存在于所述映射关系表中之前,所述方法还包括:
判断当前自身的资源使用量值是否达到预设的最大阈值;
若是,则丢弃所述应用服务数据包;
若否,则判断所述访问端口号是否存在于所述映射关系表中。
6.根据权利要求1~5中任一项所述的区分访问终端身份的端口开放方法,其特征在于,按照以下方式判断所述访问终端是否为永久信任的访问终端:
判断所述访问终端的IP地址是否存在于预设的永久信任终端列表中;
若是,则所述访问终端是永久信任的访问终端;
若否,则所述访问终端是非永久信任的访问终端。
7.一种区分访问终端身份的端口开放设备,其特征在于,应用于服务终端,所述设备包括:处理器、存储器及通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的连接通信;
所述处理器用于执行所述存储器中存储的区分访问终端身份的端口开放程序,实现以下步骤:
接收访问终端发送来的连接请求数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述连接请求数据包包括:目的应用服务的真实端口号;
在所述访问终端是永久信任的访问终端的情况下,向所述访问终端发送连接允许数据包,以供所述访问终端根据所述真实端口号访问所述目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,为所述目的应用服务生成对应的模拟端口号,并向所述访问终端发送包含所述模拟端口号的连接允许数据包,以供所述访问终端根据所述模拟端口号访问所述目的应用服务,所述为所述目的应用服务生成对应的模拟端口号,包括:根据服务终端的IP地址、访问终端的IP地址、目的应用服务的真实端口号以及服务终端的密钥,利用哈希算法,计算出所述模拟端口号。
8.根据权利要求7所述的区分访问终端身份的端口开放设备,其特征在于,所述处理器还用于执行所述存储器中存储的区分访问终端身份的端口开放程序,实现以下步骤:
在向所述访问终端发送连接允许数据包之后,接收所述访问终端发送来的应用服务数据包,并判断所述访问终端是否为永久信任的访问终端;其中,所述应用服务数据包包括:访问端口号;
在所述访问终端是永久信任的访问终端的情况下,根据所述访问端口号向所述访问终端提供对应的目的应用服务;
在所述访问终端是非永久信任的访问终端的情况下,判断所述访问端口号是否存在于映射关系表中,若是,则根据所述映射关系表,向所述访问终端提供与所述访问端口号对应的目的应用服务。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有区分访问终端身份的端口开放程序;
当所述区分访问终端身份的端口开放程序被至少一个处理器执行时,导致所述至少一个处理器执行权利要求1至6中任一项所述的区分访问终端身份的端口开放方法的步骤。
CN201711214566.4A 2017-11-28 2017-11-28 区分访问终端身份的端口开放方法、设备及可读存储介质 Active CN108337222B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711214566.4A CN108337222B (zh) 2017-11-28 2017-11-28 区分访问终端身份的端口开放方法、设备及可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711214566.4A CN108337222B (zh) 2017-11-28 2017-11-28 区分访问终端身份的端口开放方法、设备及可读存储介质

Publications (2)

Publication Number Publication Date
CN108337222A CN108337222A (zh) 2018-07-27
CN108337222B true CN108337222B (zh) 2022-02-25

Family

ID=62922348

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711214566.4A Active CN108337222B (zh) 2017-11-28 2017-11-28 区分访问终端身份的端口开放方法、设备及可读存储介质

Country Status (1)

Country Link
CN (1) CN108337222B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111262813A (zh) * 2018-11-30 2020-06-09 中国移动通信集团安徽有限公司 应用服务的提供方法、装置、设备及介质
CN112637244B (zh) * 2021-01-08 2023-07-07 江苏天翼安全技术有限公司 一种针对常见与工控协议及端口的威胁检测方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296182A (zh) * 2008-05-20 2008-10-29 华为技术有限公司 一种数据传输控制方法以及数据传输控制装置
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
CN104917779A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 一种基于云的cc攻击的防护方法、装置及系统
CN105681353A (zh) * 2016-03-22 2016-06-15 浙江宇视科技有限公司 防御端口扫描入侵的方法及装置
CN106330911A (zh) * 2016-08-25 2017-01-11 广东睿江云计算股份有限公司 一种cc攻击的防护方法及装置
CN106789858A (zh) * 2015-11-25 2017-05-31 广州市动景计算机科技有限公司 一种访问控制方法和装置以及服务器

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4320603B2 (ja) * 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101296182A (zh) * 2008-05-20 2008-10-29 华为技术有限公司 一种数据传输控制方法以及数据传输控制装置
CN101378395A (zh) * 2008-10-10 2009-03-04 福建星网锐捷网络有限公司 一种防止拒绝访问攻击的方法及装置
CN104917779A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 一种基于云的cc攻击的防护方法、装置及系统
CN106789858A (zh) * 2015-11-25 2017-05-31 广州市动景计算机科技有限公司 一种访问控制方法和装置以及服务器
CN105681353A (zh) * 2016-03-22 2016-06-15 浙江宇视科技有限公司 防御端口扫描入侵的方法及装置
CN106330911A (zh) * 2016-08-25 2017-01-11 广东睿江云计算股份有限公司 一种cc攻击的防护方法及装置

Also Published As

Publication number Publication date
CN108337222A (zh) 2018-07-27

Similar Documents

Publication Publication Date Title
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
US20130322438A1 (en) System and method for identifying frames
US11314614B2 (en) Security for container networks
US8254286B2 (en) Method and system for detection of NAT devices in a network
Alharbi et al. Securing ARP in software defined networks
US8082333B2 (en) DHCP proxy for static host
Shue et al. On building inexpensive network capabilities
CN108337222B (zh) 区分访问终端身份的端口开放方法、设备及可读存储介质
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
CN110971701B (zh) 物联网通信方法及装置
JP2004260295A (ja) 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム
Yoganguina et al. Proposition of a model for securing the neighbor discovery protocol (NDP) in IPv6 environment
US20120047271A1 (en) Network address translation device and method of passing data packets through the network address translation device
US20200274847A1 (en) Access device for analysis of physical links and method thereof
JP5622088B2 (ja) 認証システム、認証方法
CN111262813A (zh) 应用服务的提供方法、装置、设备及介质
Zhong et al. IPv6 Security Test Model Research based on Cloud Computing Environment
CN110768983B (zh) 一种报文处理方法和装置
CN112601229B (zh) 检测非法的装置和检测非法的方法
CN111953807B (zh) 一种报文标识处理方法、装置及存储介质
CN115442328B (zh) 一种网络地址转换方法、装置、网关、介质和设备
JapneetKaur ARP Spoofing-Based MITM Attack in Data Link Layer Using the Hybrid Method-CONVLSTM-ECC
CN113872953A (zh) 一种访问报文处理方法及装置
AU2015100002A4 (en) Next generation firewalls using physical layer firewall solution and bit filter
Kaur et al. ARP Spoofing-Based MITM Attack in Data Link Layer Using the Hybrid Method-CONVLSTM-ECC

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant