CN108989316B - 一种适用于专用网络的端口跳变通信方法及系统 - Google Patents
一种适用于专用网络的端口跳变通信方法及系统 Download PDFInfo
- Publication number
- CN108989316B CN108989316B CN201810832210.5A CN201810832210A CN108989316B CN 108989316 B CN108989316 B CN 108989316B CN 201810832210 A CN201810832210 A CN 201810832210A CN 108989316 B CN108989316 B CN 108989316B
- Authority
- CN
- China
- Prior art keywords
- port
- client
- control center
- identity authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种适用于专用网络的端口跳变通信方法,其中控制中心执行以下步骤:1‑1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;2‑1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;3‑1)接收客户端端口访问请求,并向客户端作出访问请求应答。通过引入身份认证和主动端口跳变功能,可以有效干扰端口信息扫描,抵御基于固定端口的拒绝服务攻击,从而有效提升专用网络的安全性。
Description
技术领域
本发明涉及网络安全领域,尤其是一种适用于专用网络的端口跳变通信方法及系统。
背景技术
传统的私有网络安全防范手段普遍采用被动加固的防御方法,例如在网络中增加防火墙、入侵检测和入侵防护等,其本质上属于滞后的被动防御,防御性能主要依赖于特征库、策略库的有效性和完备性,对攻击的成功防范需要两个前提条件:①攻击已经发生或者正在进行;②该攻击必须是已知方法或手段,并已完成攻击特征提取和对应防范策略的生成和部署。
在实际的部署和应用中,传统防御手段所需的前提条件对网络防护相当不利,因为被动的防御方法只有在被保护的重要服务器或者主机已经被攻击或者正在被攻击时才能触发防御策略,并且只有已知的攻击方法或攻击手段才能触发防御策略,这时已经严重滞后于攻击,导致被保护服务器或者主机遭受被控制或数据信息泄露的风险,网络和数据的安全防护无法得到应有的保障。
发明内容
基于现有技术的上述缺陷,本发明实施例提供一种通过身份认证和主动端口跳变,以实现有效抵御网络通信中的信息探测扫描和基于固定服务端口的网络流量攻击的端口跳变通信方法及系统。
本发明能够以多种方式实现,包括方法、系统、设备、装置或计算机可读介质,在下面论述本发明的几个实施例。
一种适用于专用网络的端口跳变通信方法,控制中心执行以下步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。
一种适用于专用网络的端口跳变通信方法,服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。
一种适用于专用网络的端口跳变通信方法,客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
进一步地,步骤2-1)中控制中心接收并验证服务端的可用端口信息,验证通过则更新服务端IP地址,完成服务端可用端口信息同步,否则丢弃。
进一步地,步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。
进一步地,步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为
Pn=(aPn-1+b)mod(m) (1)
其中参数a、b、m为跳变初始参数,P为生成的端口号。
进一步地,步骤2-3)服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。
进一步地,步骤3-3)客户端收到控制中心返回的端口信息后,向服务端发送端口访问有效请求。
一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。
本发明实施例可实现的积极有益技术效果包括:通过在专用网络中设置控制中心,和在服务端部署跳变单元,解决了内网无法主动应对网络渗透中的端口信息扫描和拒绝服务攻击的问题,通过引入身份认证和主动端口跳变功能,可以有效干扰端口信息扫描,抵御基于固定端口的拒绝服务攻击,从而有效提升专用网络的安全性。
本发明的其他方面和优点根据下面结合附图的详细的描述而变得明显,所述附图通过示例说明本发明的原理。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为本发明实施例提供的适用于专用网络的端口跳变通信方法流程图。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
一种适用于专用网络的端口跳变通信系统,包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道。
图1为本发明实施例提供的适用于专用网络的端口跳变通信方法流程图,如图1所示,包括步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答。
步骤1-1)控制中心生成身份认证证书和跳变初始参数,通过可信渠道分发给服务端和客户端,使之成为可信的通信服务端与客户端。
步骤2-1)控制中心收到服务端的可用端口信息后,验证可用端口信息是否合法,验证通过则更新服务端IP地址(Internet Protocol Address,互联网协议地址),完成服务端可用端口信息同步,否则丢弃。
步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。
一种适用于专用网络的端口跳变通信方法,其中,服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变。
步骤2-2)服务端根据跳变初始参数生成的端口跳变序列为
Pn=(aPn-1+b)mod(m) (1)
其中参数a、b、m为跳变初始参数,P为生成的端口号。
服务端通过同步单元与控制中心建立可信信道,发送当前可用端口信息给控制中心,完成可用端口信息同步。服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。
一种适用于专用网络的端口跳变通信方法,其中,客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
客户端通过同步单元与控制中心建立可信信道,发送访问服务端端口请求给控制中心;控制中心收到客户端发送的端口访问请求后,验证客户端身份,验证通过则向客户端返回端口信息,否则断开连接;客户端获取当前可用端口信息后,向服务端发起端口访问有效请求,服务端作出应答进行端口跳变,并与控制中心进行同步。
优化地,前述步骤中的身份认证和可信信道建立均采用标准的SSL(SecureSockets Layer安全套接层)身份认证。
具体实施实例
在一个包含2台主机(一台作为可信客户端,一台作为攻击者)、1台web服务器和1台控制中心服务器的小型私有局域网络中,主机即为客户端,web服务器即为服务端,控制中心服务器即为控制中心,利用本方法进行端口跳变通信并抵御端口探测扫描和DoS攻击的具体步骤:
首先,在web服务器上部署认证单元、跳变单元和同步单元,在控制中心服务器和主机上部署认证单元和同步单元;
其次,控制中心服务器生成可信证书,人工安装于web服务器和可信客户端上。控制中心、Web服务器和主机依次启动身份认证服务、端口跳变服务和同步服务,进行正常通信;
最后,攻击者作为第三方利用Nmap(Network Mapper)工具对Web服务器进行端口探测扫描,明确计划攻击的目标端口。多次扫描发现目标Web服务器开启了不同的端口,对扫描端口进行的DoS(Denial of Service,拒绝服务)攻击无效。
本发明的不同方面、实施例、实施方式或特征能够单独使用或任意组合使用。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (7)
1.一种适用于专用网络的端口跳变通信方法,其特征在于,控制中心执行以下步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答;
服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变;
客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
2.根据权利要求1所述的一种适用于专用网络的端口跳变通信方法,其特征在于,步骤2-1)中控制中心接收并验证服务端的可用端口信息,验证通过则更新服务端IP地址,完成服务端可用端口信息同步,否则丢弃。
3.根据权利要求1所述的一种适用于专用网络的端口跳变通信方法,其特征在于,步骤3-1)控制中心接收客户端端口访问请求后,验证客户端身份信息是否合法,是则向客户端返回端口信息,否则断开连接。
5.根据权利要求1所述的一种适用于专用网络的端口跳变通信方法,其特征在于,服务端执行以下步骤:步骤2-3)服务端启动端口跳变服务后,持续与控制中心保持端口跳变信息同步更新。
6.根据权利要求1所述的一种适用于专用网络的端口跳变通信方法,其特征在于,步骤3-3)客户端收到控制中心返回的端口信息后,向服务端发送端口访问有效请求。
7.一种适用于专用网络的端口跳变通信系统,其特征在于包括控制中心、服务端和客户端,所述控制中心部署有认证单元、跳变单元和同步单元,所述服务端部署有跳变单元和同步单元,所述客户端部署有跳变单元和同步单元,所述服务端与所述客户端分别通过各自同步单元与控制中心建立可信信道;
控制中心执行以下步骤:
1-1)生成身份认证证书和跳变初始参数,并分发给服务端和客户端;
2-1)接收服务端接入请求,完成服务端身份认证和可用端口信息同步,接收客户端接入请求,完成客户端身份认证;
3-1)接收客户端端口访问请求,并向客户端作出访问请求应答;
服务端执行以下步骤:
1-2)接收控制中心发送的身份认证证书和跳变初始参数;
2-2)根据跳变初始参数生成端口跳变序列;
2-3)请求接入控制中心,完成身份认证和可用端口信息同步,启动端口跳变服务;
2-4)接收客户端端口访问有效请求,并根据所述有效请求完成端口跳变;
客户端执行以下步骤:
1-3)接收控制中心发送的身份认证证书和跳变初始参数;
2-3)请求接入控制中心,完成身份认证;
3-3)向控制中心发送端口访问请求,等待接收控制中心返回端口信息,并根据所述端口信息访问服务端端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832210.5A CN108989316B (zh) | 2018-07-26 | 2018-07-26 | 一种适用于专用网络的端口跳变通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810832210.5A CN108989316B (zh) | 2018-07-26 | 2018-07-26 | 一种适用于专用网络的端口跳变通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108989316A CN108989316A (zh) | 2018-12-11 |
CN108989316B true CN108989316B (zh) | 2021-01-22 |
Family
ID=64551283
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810832210.5A Active CN108989316B (zh) | 2018-07-26 | 2018-07-26 | 一种适用于专用网络的端口跳变通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108989316B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112039915A (zh) * | 2020-09-08 | 2020-12-04 | 中国石油大学(华东) | 一种基于端信息跳变的嵌入式工控网络指令传输方法 |
CN115189955B (zh) * | 2022-07-15 | 2024-01-30 | 中国电信股份有限公司 | 数据通信方法及电子设备、存储介质 |
CN115580410B (zh) * | 2022-10-19 | 2024-03-29 | 中国石油大学(华东) | 一种基于认证同步的端信息跳变主动防御方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8793792B2 (en) * | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
CN105978875A (zh) * | 2016-05-11 | 2016-09-28 | 中国人民解放军国防信息学院 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
-
2018
- 2018-07-26 CN CN201810832210.5A patent/CN108989316B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8793792B2 (en) * | 2010-05-07 | 2014-07-29 | Raytheon Company | Time-key hopping |
CN105978875A (zh) * | 2016-05-11 | 2016-09-28 | 中国人民解放军国防信息学院 | 一种基于服务跳变和智能清洗的动态服务实现方法及系统 |
CN106657053A (zh) * | 2016-12-19 | 2017-05-10 | 中国人民解放军国防信息学院 | 一种基于端状态迁移的网络安全防御方法 |
Non-Patent Citations (3)
Title |
---|
基于端信息跳变的主动网络防护研究;石乐义;《通信学报》;20080215;106-110 * |
石乐义.基于端信息跳变的主动网络防护研究.《通信学报》.2008, * |
端信息跳变系统自适应策略研究;赵春蕾;《中国博士学位论文全文数据库 信息科技辑》;20130715;24-26,36,61-65 * |
Also Published As
Publication number | Publication date |
---|---|
CN108989316A (zh) | 2018-12-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2854361B1 (en) | Apparatus and method for protecting communication pattern of network traffic | |
US9438592B1 (en) | System and method for providing unified transport and security protocols | |
Itkin et al. | A security analysis and revised security extension for the precision time protocol | |
Ahmed et al. | IPv6 neighbor discovery protocol specifications, threats and countermeasures: a survey | |
CN101536455B (zh) | 用于在一个或多个分组网络中恶意攻击期间递送控制消息的方法和设备 | |
US8631484B2 (en) | Systems and methods for inhibiting attacks with a network | |
US8418242B2 (en) | Method, system, and device for negotiating SA on IPv6 network | |
CN108989316B (zh) | 一种适用于专用网络的端口跳变通信方法及系统 | |
Liu et al. | Efficient and Secure Source Authentication with Packet Passports. | |
WO2010048865A1 (zh) | 一种防止网络攻击的方法及装置 | |
WO2010000171A1 (zh) | 一种通信的建立方法、系统和装置 | |
CN113206858B (zh) | 基于物联网DDoS攻击的移动目标防御方法 | |
Krylov et al. | DDoS attack and interception resistance IP fast hopping based protocol | |
Birge-Lee et al. | Using BGP to acquire bogus TLS certificates | |
CN115051836A (zh) | 基于sdn的apt攻击动态防御方法及系统 | |
CN114726513A (zh) | 数据传输方法、设备、介质及产品 | |
Krylov et al. | IP fast hopping protocol design | |
Krylov et al. | SDI defense against DDoS attacks based on IP Fast Hopping method | |
Khan et al. | Performance evaluation of widely used portknoking algorithms | |
CN115174264A (zh) | 一种安全优化的单包认证方法及系统 | |
Nobakht et al. | A Distributed Security Approach against ARP Cache Poisoning Attack | |
Kaur et al. | Secure Overlay Services (SOS): a critical analysis | |
CN115996210B (zh) | 一种源变模式的地址端口跳变方法 | |
Presekal et al. | Performance comparison of host identity protocol and TCP/IP with firewall against denial of services | |
WO2009124716A2 (en) | Protection mechanism against denial-of-service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |