CN108924122B - 一种网络敌我识别方法及系统 - Google Patents

一种网络敌我识别方法及系统 Download PDF

Info

Publication number
CN108924122B
CN108924122B CN201810690096.7A CN201810690096A CN108924122B CN 108924122 B CN108924122 B CN 108924122B CN 201810690096 A CN201810690096 A CN 201810690096A CN 108924122 B CN108924122 B CN 108924122B
Authority
CN
China
Prior art keywords
firewall
client
port
message
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810690096.7A
Other languages
English (en)
Other versions
CN108924122A (zh
Inventor
王传林
朱泽民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wuxi Hongchuang Shengan Technology Co ltd
Original Assignee
Wuxi Hongchuang Shengan Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuxi Hongchuang Shengan Technology Co ltd filed Critical Wuxi Hongchuang Shengan Technology Co ltd
Priority to CN201810690096.7A priority Critical patent/CN108924122B/zh
Publication of CN108924122A publication Critical patent/CN108924122A/zh
Application granted granted Critical
Publication of CN108924122B publication Critical patent/CN108924122B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种网络敌我识别方法及系统,属于网络安全防护技术领域。通过提出一种新型的端口认证和用户认证方法,有效解决当前方法在报文乱序、NAT开放等方面的不足,还提出了一种端口动态跳变的方法,即服务器通过一个随机端口响应合法用户的请求,在建立连接成功后将随机端口重定向至真正的服务端口,使得用户无法得知真正的服务端口只通过随机端口访问服务器,从而保护了服务器的真正的服务端口不受非法用户的攻击,另外通过提出一整套的网络敌我识别方法,综合身份认证、访问控制、端口随机化等方法,实现网络敌我识别的过程。

Description

一种网络敌我识别方法及系统
技术领域
本发明涉及一种网络敌我识别方法及系统,属于网络安全防护技术领域。
背景技术
开放的应用服务端口容易受到攻击者的入侵。对于一些不需要对所有用户公开、只有有限数量人员访问的服务(如远程管理服务、分布式内部文件共享)来说,使端口持续处于开放状态,既无必要,也带来了极大的安全风险。这类只对特定用户提供的服务端口,往往也具有较高的攻击价值。攻击者通过远程探测扫描,发现开放的端口,使用各种手段对其进行渗透测试,一旦成功,则可获取管理员权限,修改安全策略和配置,访问敏感数据文件。给合法用户带来严重损失。
当前限制服务端口访问给授权用户的方法是通过用户身份认证技术和防火墙技术相结合来实现。其中身份认证技术就是要求用户在授予访问权之前对其进行身份验证,当前主要有四类技术方法,一是口令认证技术;二是基于密钥的认证技术;三是基于凭证的认证技术;四是跨域认证和匿名认证技术。这些技术不可避免的存在攻击者获得未授权访问的缺陷;
而防火墙技术通过基于源地址或其他方面的特性来选择性的接受或者拒绝来自外部的网络访问,只有拥有特定源地址的用户才能够通过远程访问内部服务端口,但攻击者很容易假冒并修改源地址,且一旦防火墙向某台主机开放了内部服务端口,那么攻击者就可以轻易绕开访问限制。通常可以通过端口碰撞(Port Knocking)技术来解决源地址被假冒修改的问题;端口碰撞是一种通过对事先商议好的端口进行碰撞以获得特殊授权的防火墙技术。碰撞是由试图访问服务器上一系列关闭端口的顺序组合而组成的,碰撞的过程将被数据包过滤器记录在日志里面,若是预先进行过设置,那么碰撞序列通过验证后服务器端的守护进程就会授权给客户端访问相应端口的权利。但该技术存在两个方面的问题,一是报文乱序问题,端口碰撞序列通常包含64至160位,并且通常以每个分组8位发送,大多数服务器对端口碰撞序列的正确解码取决于到达的顺序,在某些繁忙的因特网主干路由器上,20个突发中的至少一个分组的无序传递的概率可能大于90%。二是网络地址转换(Network Address Translation,NAT),NAT是一种在IP封包通过路由器或防火墙时重写源IP地址或目的IP地址的技术,而数据包过滤器的作用是对所有进出的数据包进行检查,并阻止不符合既定规则数据包的传输,但对于应用层的数据是无法做出很好的响应。当端口碰撞的守护进程临时添加允许访问的过滤规则时,只能包含接受进入连接的IP地址、使用的协议类型、端口号、开放时间等信息。倘若客户端位于NAT设备之后,那么服务器端接收到的数据包的IP地址将显示为NAT设备外网的公有地址,当碰撞序列获得通过后,服务器将授予该公有地址在允许的时间窗口内合法的访问权,这就意味着与发送正确碰撞序列的客户端同处一个局域网中的所有主机都会获得服务器的合法授权,因为他们的公有地址都是一样的。
发明内容
为了解决目前存在的开放的应用服务端口容易受到攻击者的入侵的问题,本发明提供了一种网络敌我识别方法及系统,所述技术方案如下:
本发明的第一个目的在于提供一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,所述方法应用于客户端,包括:
在端口认证过程中,客户端向防火墙的指定端口发送基于特定规则的连接请求,以便防火墙在接收到连接请求后,判断是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息;
客户端接收防火墙发送的代理端口信息;
在用户认证过程中,客户端通过代理端口与防火墙完成挑战应答过程;以便防火墙在挑战应答过程通过之后向服务器发送端口请求,并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端,同时防火墙配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器;
在访问过程中,客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器。
可选的,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种。
可选的,所述特定规则还包括连接请求次数。
可选的,所述通过代理端口与防火墙完成挑战应答过程,包括:
与防火墙进行秘钥交换;
向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息,以便防火墙在接收到所述认证请求后向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
接收防火墙发送的响应消息并验证所述第一消息验证码是否正确;
在所述第一消息验证码验证正确后向防火墙发送第二消息验证码,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,以便防火墙验证所述第二验证码是否正确。
可选的,所述与防火墙进行秘钥交换基于迪菲-赫尔曼密钥交换算法或者Oakley算法;
本发明的第二个目的在于提供一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,所述方法应用于防火墙,包括:
在端口认证过程中,防火墙接收客户端发送的基于特定规则的连接请求;
防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端发送代理端口信息;
在用户认证过程中,防火墙通过代理端口与客户端完成挑战应答过程;
在访问过程中,防火墙在挑战应答过程通过之后向服务器发送端口请求,以便服务器根据端口请求发送随机端口信息;
防火墙将随机端口信息发送给客户端并配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器,以便客户端通过随机端口访问服务器。
可选的,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种;所述通过代理端口与客户端完成挑战应答过程,包括:
与客户端进行秘钥交换;
接收客户端发送的认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;
向客户端发送响应消息,所述响应消息包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,以便客户端在验证所示第一消息验证码正确后向防火墙发送第二消息验证码,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
验证所述第二消息验证码是否正确。
可选的,所述特定规则还包括连接请求次数。
可选的,所述方法还包括:
在客户端对服务器的访问完成后删除动态规则。
可选的,所述与客户端进行秘钥交换基于迪菲-赫尔曼密钥交换算法或者Oakley算法;
本发明的第三个目的在于提供一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,所述方法应用于服务器,包括:
服务器接收防火墙在所述端口认证过程和用户认证过程之后发送的端口请求;其中,所述端口认证基于特定规则;
在访问过程中,服务器开启随机端口并将随机端口信息发送至防火墙,以便防火墙将随机端口信息发送至客户端,客户端通过随机端口访问服务器;
服务器将发送至随机端口的数据重定向到固定服务端口,并通过随机端口与客户端完成访问过程。
可选的,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,所述方法还包括:
在客户端对服务器的访问完成后删除随机端口。
可选的,所述特定规则还包括连接请求次数。
本发明的第四个目的在于提供一种网络敌我识别系统,所述系统包括客户端、防火墙和服务器,所述系统中,客户端向防火墙的指定端口发送基于特定规则的连接请求,防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息,客户端通过代理端口与防火墙完成挑战应答过程,防火墙在挑战应答过程通过之后向服务器发送端口请求,服务器根据端口请求开启随机端口并将随机端口信息发送给防火墙,同时将发送至随机端口的数据重定向到固定服务端口;防火墙根据随机端口信息配置动态规则并将随机端口信息发送给客户端,客户端接收到随机端口信息并通过随机端口访问服务器,其中,所述动态规则用于允许客户端通过随机端口访问服务器。
可选的,所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,所述客户端通过代理端口与防火墙完成挑战应答过程,包括:
防火墙与与客户端进行秘钥交换;客户端向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;防火墙根据接收到的认证请求向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,客户端在验证所述第一消息验证码正确的情况下向防火墙发送第二消息验证码,防火墙验证所述第二消息验证码是否正确;其中,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出。
可选的,所述特定规则还包括连接请求次数。
可选的,所述系统中,防火墙在客户端对服务器的访问完成后删除动态规则;
可选的,所述系统中,服务器在客户端对服务器的访问完成后删除随机端口;
可选的,所述防火墙与与客户端进行秘钥交换基于迪菲-赫尔曼密钥交换算法或者Oakley算法。
本发明有益效果是:
通过提出一种新型的端口认证和用户认证方法,有效解决当前方法在报文乱序、NAT开放等方面的不足,还提出了一种端口动态跳变的方法,即服务器通过一个随机端口响应合法用户的请求,在建立连接成功后将随机端口重定向至真正的服务端口,使得用户无法得知真正的服务端口只通过随机端口访问服务器,从而保护了服务器的真正的服务端口不受非法用户的攻击,另外通过提出一整套的网络敌我识别方法,综合身份认证、访问控制、端口随机化等方法,实现网络敌我识别的过程。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是基于动态端口的网络敌我识别技术示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一:
本实施例提供一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,参见图1,具体实施过程中,客户端可以是台式电脑、平板电脑、手机等智能电子设备,服务器可以是单独的服务器,也可以是服务器集群;本实施例中客户端以使用上述智能电子设备的远程用户为例进行说明;
在端口认证过程中,客户端向防火墙的指定端口发送基于特定规则的连接请求;防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息;特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种;
在用户认证过程中,客户端通过代理端口与防火墙完成挑战应答过程;
在访问过程中,防火墙在挑战应答过程通过之后向服务器发送端口请求,服务器根据端口请求开启随机端口并将随机端口信息发送给防火墙,同时将发送至随机端口的数据重定向到固定服务端口;防火墙根据随机端口信息配置动态规则并将随机端口信息发送给客户端,客户端接收到随机端口信息并通过随机端口访问服务器,其中,所述动态规则用于允许客户端通过随机端口访问服务器;
所述客户端通过代理端口与防火墙完成挑战应答过程,包括:
防火墙与与客户端进行秘钥交换;客户端向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;防火墙根据接收到的认证请求向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,客户端在验证所述第一消息验证码正确的情况下向防火墙发送第二消息验证码,防火墙验证所述第二消息验证码是否正确;其中,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出。
具体的,当远程客户需要访问服务器时,远程客户所在的客户端向服务器端的防火墙的某一特定端口发送连接请求,该连接请求是基于特定规则的,特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,特定规则还可能包括连接请求次数;比如,若特定规则为连接间隔规律和连接请求次数,其内容为N次连接请求中第一次和第二次连接请求的间隔时间为1s,第二次与第三次连接请求的间隔时间为2s,第三次与第四次连接请求的间隔时间为3s,之后依次增加,或者每次时间间隔为相同时间,或者是其他规律,那么防火墙在接收到前N-1次连接请求时均拒绝,在第N次连接请求时发现N次连接请求间隔符合特定规则,那么防火墙向该客户端返回代理端口信息,并通过该代理端口与客户端进行挑战应答过程,即在端口认证成功后进行用户验证过程;若特定规则为报文长度规律,其内容为N次连接请求中第一次连接请求的报文长度为64字节,第二次报文长度为128字节,之后N-2次连接请求的报文长度依次限定,具体报文长度值可在允许范围内任意设置,则防火墙在接收到前N-1次连接请求时均拒绝,在第N次连接请求时发现N次连接请求间隔符合特定规则,那么防火墙向该客户端返回代理端口信息,并通过该代理端口与客户端进行挑战应答过程,即在端口认证成功后进行用户验证过程;若特定规则为报文内容,则每次连接请求中的报文中前5个字节都为某一固定值,或者报文中其他指定位置为某一固定值,那么防火墙在接收到一定次数的连接请求后发现其报文内容都符合上述规则,则向该客户端返回代理端口信息,并通过该代理端口与客户端进行挑战应答过程,即在端口认证成功后进行用户验证过程。
需要进行说明的是,上述特定规则为服务器与合法用户预先约定好的规则,可以为基于上述连接间隔规律、报文长度规律、报文内容中和连接请求次数的任意组合设置;
需要进行说明的是:为了更进一步的提高安全性,特定规则可以根据时间和客户端的不同进行不同的设置,而且当非法用户企图通过尝试的方法进行连接时,超过连接的门限值次数,防火墙即将其列为禁止访问的客户端。门限值可以根据实际经验进行设定也可以人为设定。
在用户验证过程中,防火墙与与客户端进行秘钥交换,二者也可以基于其他现有算法进行秘钥交换,本实施例以采用基于迪菲-赫尔曼交换算法进行秘钥交换为例进行说明;
客户端向防火墙发送认证请求,所述认证请求包括客户端内网地址、客户端身份信息,还可能包括认证算法等;
防火墙在接收到认证请求后根据该认证请求向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
客户端在验证所述第一消息验证码正确的情况下向防火墙发送第二消息验证码;
由于客户端和防火墙已经进行了秘钥交换,所以,客户端在接收到响应信息后验证防火墙发送的第一消息验证码和客户端计算出的第一消息验证码是否一致,一致则说明正确,为真实的防火墙;不一致则说明不正确,为假冒的防火墙;在验证该防火墙为真实的防火墙后向其发送第二消息验证码,第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
防火墙验证所述第二消息验证码是否正确;
同样因为客户端和防火墙已经进行了秘钥交换,所以防火墙在收到客户端发送的第二消息验证码之后,和防火墙计算出的第二验证码是否一致,如果一致则说明为合法用户,反之为非法用户;
在端口认证和用户认证均通过后,防火墙认为客户端为合法用户,从而向服务器发送端口请求,服务器在接收到端口请求后,开放一个随机端口,并将随机端口的信息发送至防火墙,由防火墙再发送给客户端,同时,防火墙配置动态规则,即允许将客户端的信息转发至该随机端口,客户端在收到随机端口信息之后通过随机端口访问服务器,服务器内部将发送至该随机端口的数据重定向至固定服务端口;
比如分配了6666端口,客户端地址为20.20.20.20,服务器地址为30.30.30.30则防火墙配置动态规则即为允许源地址为20.20.20.20,目的地址为30.30.30.30,目的端口为6666的报文通过防火墙,且此规则的生效时间为30s。
上述所有数据交互过程中,采用UDP报文发送,每个UDP报文负载中增加序列号信息,以及根据预共享密码和报文发送时间计算的验证码,可以有效防止报文重放攻击;
在客户端对服务器的访问完成之后,防火墙删除所配置的动态规则,服务器删除随机端口,在上述访问过程中,非法用户即使获知了随机端口的信息,由于其并不知道真正的服务端口的信息,所以并不能非法攻击真正的服务端口,而在访问完成之后,随机端口即被删除,所以,非法用户更加无法对服务器进行攻击,从而更进一步的提高了安全性。
本发明通过提出一种新型的端口认证和用户认证方法,有效解决当前方法在报文乱序、NAT开放等方面的不足,还提出了一种端口动态跳变的方法,即服务器通过一个随机端口响应合法用户的请求,在建立连接成功后将随机端口重定向至固定服务端口,使得用户无法得知真正的服务端口只通过随机端口访问服务器,从而保护了服务器的真正的服务端口不受非法用户的攻击,另外通过提出一整套的网络敌我识别方法,综合身份认证、访问控制、端口随机化等方法,实现网络敌我识别的过程。
实施例二
本实施例提供一种基于动态端口的网络敌我识别系统,包括客户端、防火墙和服务器,如图1所示,具体实施过程中,客户端可以是台式电脑、平板电脑、手机等智能电子设备,服务器可以是单独的服务器,也可以是服务器集群;本实施例中客户端以使用上述智能电子设备的远程用户为例进行说明;
1、端口认证;
当需要连接时,远程用户客户端会基于特定规则尝试连接预先定义的代理端口,防火墙会拒绝并记录每一次请求,当发现符合特定规则的连接请求序列时,防火墙会开启代理端口,利用该代理端口完成与客户端的挑战-应答流程;
在发送端口认证序列中,使用UDP报文来发送,报文负载中需要含有序列号信息,以防止乱序。使用UDP报文的优势在于它是无状态的,不会给防火墙带来很大的开销。每个UDP报文中,含有序列号信息,以及根据预共享密码和报文发送时间计算的验证码,防止报文重放攻击。即在接收到具有相同的验证码的UDP报文时,可以将其丢弃,以防止报文重复发送产生的攻击。
为了提高安全性,特定规则可以根据时间和客户端的不同进行不同的设置,并且当输入错误序列的次数超过门限值后,防火墙将添加规则禁止客户端IP访问。
2、用户认证过程
端口认证仅是远程用户可信认证的第一阶段;防火墙响应正确端口认证序列之后,向客户端发起挑战请求,并等待客户端给出恰当的响应,其过程为:
(1)客户端和防火墙基于迪菲-赫尔曼密钥交换算法或者Oakley算法进行密钥材料交换;
需要说明的是,客户端与防火墙之间的秘钥材料交换可以是基于其他现有算法进行的,这里仅仅是以基于迪菲-赫尔曼密钥交换算法为例进行说明;
(2)客户端向防火墙发送认证请求,认证请求的内容包括但不限于:客户端内网地址,客户端身份信息;
(3)防火墙向客户端发送响应消息,响应消息的内容包括但不限于:防火墙的公网地址、防火墙身份信息和第一消息验证码,其中,第一消息验证码根据密钥和防火墙的公网地址、客户端内网地址、防火墙身份信息计算得出;
(4)客户端向防火墙发送第二消息验证码,第二消息验证码根据密钥和防火墙身份信息、客户端内网地址、防火墙公网地址计算得出。
上述过程可以解决NAT带来的问题,并防止重放攻击。
3、服务器打开一个随机端口;
防火墙在端口认证和用户认证成功后,请求服务器打开一个随机端口,该随机端口可认为是一个中转端口。
4、防火墙将随机端口信息发送给客户端;
防火墙将打开的随机端口的信息发送给客户端,同时配置一条动态规则,允许远程客户端访问该随机端口。
5、客户端访问随机端口
客户端穿透防火墙,访问服务器打开的随机端口。
6、随机端口重定向
服务器将发送到随机中转端口的数据重定向到真实的固定服务端口。
为进一步提高安全性,服务器打开的随机端口和防火墙配置的动态规则在连接建立成功之后,立即删除。
本发明通过提出一种新型的端口认证和用户认证方法,有效解决当前方法在报文乱序、NAT开放等方面的不足,还提出了一种端口动态跳变的方法,即服务器通过一个随机端口响应合法用户的请求,在建立连接成功后将随机端口重定向至真正的服务端口,使得用户无法得知真正的服务端口只通过随机端口访问服务器,从而保护了服务器的真正的服务端口不受非法用户的攻击,另外通过提出一整套的网络敌我识别方法,综合身份认证、访问控制、端口随机化等方法,实现网络敌我识别的过程。
本发明实施例中的部分步骤,可以利用软件实现,相应的软件程序可以存储在可读取的存储介质中,如光盘或硬盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于客户端,包括:
在端口认证过程中,客户端向防火墙的指定端口发送基于特定规则的连接请求,以便防火墙在接收到连接请求后,判断是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息;
客户端接收防火墙发送的代理端口信息;
在用户认证过程中,客户端通过代理端口与防火墙完成挑战应答过程;以便防火墙在挑战应答过程通过之后向服务器发送端口请求,并在接收到服务器发送的随机端口信息之后将所述随机端口信息发送给客户端,同时防火墙配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器;
在访问过程中,客户端接收防火墙发送的随机端口信息并通过随机端口访问服务器;
所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种;所述连接间隔规律指N次连接请求中相邻连接请求的间隔时间的规律,所述报文长度规律指N次连接请求中相邻连接请求的报文长度的规律,所述报文内容指N次连接请求中每次连接请求的报文中相同位置处的内容为固定值;
所述通过代理端口与防火墙完成挑战应答过程,包括:
与防火墙进行秘钥交换;
向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息,以便防火墙在接收到所述认证请求后向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
接收防火墙发送的响应消息并验证所述第一消息验证码是否正确;
在所述第一消息验证码验证正确后向防火墙发送第二消息验证码,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,以便防火墙验证所述第二消息验证码是否正确。
2.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于防火墙,包括:
在端口认证过程中,防火墙接收客户端发送的基于特定规则的连接请求;
防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端发送代理端口信息;
在用户认证过程中,防火墙通过代理端口与客户端完成挑战应答过程;
在访问过程中,防火墙在挑战应答过程通过之后向服务器发送端口请求,以便服务器根据端口请求发送随机端口信息;
防火墙将随机端口信息发送给客户端并配置动态规则,所述动态规则用于允许客户端通过随机端口访问服务器,以便客户端通过随机端口访问服务器;
所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,所述连接间隔规律指N次连接请求中相邻连接请求的间隔时间的规律,所述报文长度规律指N次连接请求中相邻连接请求的报文长度的规律,所述报文内容指N次连接请求中每次连接请求的报文中相同位置处的内容为固定值;所述通过代理端口与客户端完成挑战应答过程,包括:
与客户端进行秘钥交换;
接收客户端发送的认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;
向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,以便客户端在验证所示第一消息验证码正确后向防火墙发送第二消息验证码,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出;
验证所述第二消息验证码是否正确。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在客户端对服务器的访问完成后删除动态规则。
4.一种网络敌我识别方法,包括端口认证过程、用户认证过程和访问过程,其特征在于,所述方法应用于服务器,包括:
接收防火墙在端口认证过程和用户认证过程之后发送的端口请求;其中,所述端口认证基于特定规则;
在访问过程中,服务器开启随机端口并将随机端口信息发送至防火墙,以便防火墙将随机端口信息发送至客户端,客户端通过随机端口访问服务器;
服务器将发送至随机端口的数据重定向到固定服务端口,并通过随机端口与客户端完成访问过程;
所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,所述连接间隔规律指N次连接请求中相邻连接请求的间隔时间的规律,所述报文长度规律指N次连接请求中相邻连接请求的报文长度的规律,所述报文内容指N次连接请求中每次连接请求的报文中相同位置处的内容为固定值;所述方法还包括:
在客户端对服务器的访问完成后删除随机端口。
5.一种网络敌我识别系统,所述系统包括客户端、防火墙和服务器,其特征在于,所述系统中,客户端向防火墙的指定端口发送基于特定规则的连接请求,防火墙判断接收到的连接请求是否符合特定规则,在判断结果为是的情况下向客户端返回代理端口信息,客户端通过代理端口与防火墙完成挑战应答过程,防火墙在挑战应答过程通过之后向服务器发送端口请求,服务器根据端口请求开启随机端口并将随机端口信息发送给防火墙,同时将发送至随机端口的数据重定向到固定服务端口;防火墙根据随机端口信息配置动态规则并将随机端口信息发送给客户端,客户端接收到随机端口信息并通过随机端口访问服务器,其中,所述动态规则用于允许客户端通过随机端口访问服务器;
所述特定规则包括连接间隔规律、报文长度规律、报文内容中的至少一种,所述连接间隔规律指N次连接请求中相邻连接请求的间隔时间的规律,所述报文长度规律指N次连接请求中相邻连接请求的报文长度的规律,所述报文内容指N次连接请求中每次连接请求的报文中相同位置处的内容为固定值;所述客户端通过代理端口与防火墙完成挑战应答过程,包括:
防火墙与与客户端进行秘钥交换;客户端向防火墙发送认证请求,所述认证请求至少包括客户端内网地址、客户端身份信息;防火墙根据接收到的认证请求向客户端发送响应消息,所述响应消息至少包括防火墙的公网地址、防火墙身份信息以及第一消息验证码,客户端在验证所述第一消息验证码正确的情况下向防火墙发送第二消息验证码,防火墙验证所述第二消息验证码是否正确;其中,所述第一消息验证码根据防火墙端密钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出,所述第二消息验证码根据客户端秘钥、防火墙的公网地址、客户端内网地址和防火墙身份信息计算得出。
CN201810690096.7A 2018-06-28 2018-06-28 一种网络敌我识别方法及系统 Active CN108924122B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810690096.7A CN108924122B (zh) 2018-06-28 2018-06-28 一种网络敌我识别方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810690096.7A CN108924122B (zh) 2018-06-28 2018-06-28 一种网络敌我识别方法及系统

Publications (2)

Publication Number Publication Date
CN108924122A CN108924122A (zh) 2018-11-30
CN108924122B true CN108924122B (zh) 2021-01-08

Family

ID=64423412

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810690096.7A Active CN108924122B (zh) 2018-06-28 2018-06-28 一种网络敌我识别方法及系统

Country Status (1)

Country Link
CN (1) CN108924122B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110995715B (zh) * 2019-12-06 2021-11-19 杭州顺网科技股份有限公司 一种内网https服务的透析访问方法及系统
CN113014565B (zh) * 2021-02-19 2022-04-01 北京天维信通科技有限公司 实现防端口扫描的零信任架构及服务端口访问方法和设备
CN114640495B (zh) * 2021-11-15 2023-03-17 江苏云涌电子科技股份有限公司 一种基于通用浏览器的零信任单包认证系统及方法
CN114244589A (zh) * 2021-12-07 2022-03-25 国网福建省电力有限公司 一种基于aaa认证、授权信息的智能防火墙及方法
CN114666130B (zh) * 2022-03-23 2024-06-07 北京从云科技有限公司 一种web安全反向代理方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975044B1 (en) * 2005-12-27 2011-07-05 At&T Intellectual Property I, L.P. Automated disambiguation of fixed-serverport-based applications from ephemeral applications
CN102136910A (zh) * 2010-01-25 2011-07-27 索尼公司 端口扩展设备和代理认证方法
WO2013165766A1 (en) * 2012-05-01 2013-11-07 Harris Corporation Systems and methods for spontaneously configuring a computer network
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
CN105262597A (zh) * 2015-11-30 2016-01-20 中国联合网络通信集团有限公司 网络接入认证方法、客户终端、接入设备及认证设备
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7975044B1 (en) * 2005-12-27 2011-07-05 At&T Intellectual Property I, L.P. Automated disambiguation of fixed-serverport-based applications from ephemeral applications
CN102136910A (zh) * 2010-01-25 2011-07-27 索尼公司 端口扩展设备和代理认证方法
WO2013165766A1 (en) * 2012-05-01 2013-11-07 Harris Corporation Systems and methods for spontaneously configuring a computer network
CN104853003A (zh) * 2015-04-30 2015-08-19 中国人民解放军国防科学技术大学 一种基于Netfilter的地址、端口跳变通信实现方法
CN105262597A (zh) * 2015-11-30 2016-01-20 中国联合网络通信集团有限公司 网络接入认证方法、客户终端、接入设备及认证设备
CN107707559A (zh) * 2017-11-01 2018-02-16 中国石油大学(华东) 一种用于端信息高速跳变的跳扩混合同步方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
《Network address hopping: a mechanism to enhance data protection for packet communications》;M. Sifalakis等;《IEEE International Conference on Communications, 2005》;20050815;全文 *
《基于端信息跳变的主动网络防护研究》;石乐义等;《通信学报》;20080229;第29卷(第2期);全文 *

Also Published As

Publication number Publication date
CN108924122A (zh) 2018-11-30

Similar Documents

Publication Publication Date Title
CN108924122B (zh) 一种网络敌我识别方法及系统
US10264001B2 (en) Method and system for network resource attack detection using a client identifier
US10764264B2 (en) Technique for authenticating network users
US7716729B2 (en) Method for responding to denial of service attacks at the session layer or above
US7552323B2 (en) System, apparatuses, methods, and computer-readable media using identification data in packet communications
Butcher et al. Security challenge and defense in VoIP infrastructures
US20170302644A1 (en) Network user identification and authentication
Sinha et al. Information Security threats and attacks with conceivable counteraction
US7752320B2 (en) Method and apparatus for content based authentication for network access
US20070294759A1 (en) Wireless network control and protection system
Baitha et al. Session hijacking and prevention technique
US20050198501A1 (en) System and method of providing credentials in a network
US11451959B2 (en) Authenticating client devices in a wireless communication network with client-specific pre-shared keys
US10050938B2 (en) Highly secure firewall system
WO2009140889A1 (zh) 一种数据传输控制方法以及数据传输控制装置
AU2003294304B2 (en) Systems and apparatuses using identification data in network communication
US7594268B1 (en) Preventing network discovery of a system services configuration
CN113904826B (zh) 数据传输方法、装置、设备和存储介质
CN115333840A (zh) 资源访问方法、系统、设备及存储介质
Murthy et al. Firewalls for security in wireless networks
Abdul-Mumin Detection of man-in-the-middle attack in IEEE 802.11 networks
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
Ylli et al. Man in the Middle: Attack and Protection.
CN114915534A (zh) 面向信任增强的网络部署架构及其网络访问方法
Ahmad et al. SECURITY ENHANCEMENT & SOLUTION FOR AUTHENTICATION IN CORPORATE NETWORK WITH FIREWALL CONFIGURATION AND AUTHENTICATION FOR SERVER PROTOCOL

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant