CN112600855A - 一种基于socket参数变换的安全应用方法 - Google Patents

Abstract

本发明公开了一种基于SOCKET参数变换的安全应用方法，包括如下步骤，S001,对SPCD进行配置，同时确定转换规则;S002,构建应用连接，形成应用环境;S003,SACP发出到SOCKET，由SPCD进行转换；S004,SASP接收来SACP请求的SOCKET，由SPCD设备进行转换；S005,基于SACP和SASP的需求，设置SPCD的转换规则，然后安装到SACP和SASP上；S006,按照SPCD接收并发包异常，通知管理员处理。本发明克服了硬件提升需要的巨大成本，以及各种软件/硬件配置所需要的巨大工作量，还有提升安保水平带来的管理费用，有效的解决了关键应用程序的安全问题。

Description

一种基于SOCKET参数变换的安全应用方法

技术领域

本发明涉及计算机技术领域，具体为一种基于SOCKET参数变换的安全应用方法。

背景技术

随着市场的演变，技术的进步，基于软件和硬件的改进，或加强安保措施，去提升应用程序的安全性，变得越来越困难。采取专线传输数据，增加防火墙（路由器），进行24小时安保，这些做法很有效，但还是无法100%的杜绝恶意访问。

通常，市场对应用程序的安全性要求很高，但却无法支付高昂的费用去实施保护，因此，不得不继续使用有潜在风险的系统来提供服务。目前，现场人员缺乏培训和经验，即使系统中存在病毒/木马、恶意访问、恶意登录、恶意数据篡改等问题，他们也是茫然无知。但是，许多关键应用程序，越来越需要保证其安全性，由于受到攻击而泄密会破坏服务系统的安全风险，导致重大问题的发生，因此，如何防止被恶意攻击，就变得非常重要。

发明内容

本发明的目的在于提供一种基于SOCKET参数变换的安全应用方法，它克服了硬件提升需要的巨大成本，以及各种软件/硬件配置所需要的巨大工作量，还有提升安保水平带来的管理费用，有效的解决了关键应用程序的安全问题。

为实现上述目的，本发明采用的技术方案是：提供一种基于SOCKET参数变换的安全应用方法，包括如下步骤，

S001,对SPCD进行配置，同时确定转换规则;

S002,构建应用连接，形成应用环境;

S003,SACP发出到SOCKET，由SPCD进行X→X1的转换；

SOCKET的变换集合X只能是{SIP，SPORT，DPORT}，DIP不能变换，我们将X转换为X1，可以是{SIP^0x01020304，SPORT^0x0102，DPORT^0x0304}，当然，这种X→X1的变换是任意的，只要在接收端，进行恢复即可；本处，再次执行{SIP^0x01020304，SPORT^0x0102，DPORT^0x0304}即可。

S004,SASP接收来SACP请求的SOCKET，由SPCD设备进行X1→X的转换；

S005,基于SACP和SASP的需求，设置SPCD的X→X1转换规则，然后安装到SACP和SASP上；

S006,按照SPCD接收并发包异常，通知管理员处理；

其中，SPCD为SOCKET参数变换设备；SACP为安全应用客户端；SASP为安全应用服务端；X为原始SOCKET，X1为变换后SOCKET；SOCKET包括了源IP--SIP，源端口--SPORT；目的IP--DIP，目的端口--DPORT。由于需要通过一系列路由器才能到达目标IP，因此，目标IP不能参与变换，我们的变换集合X只能是{SIP，SPORT，DPORT}。

优选的，在本技术方案中，所述SOCKET参数变换设备是FPGA、FPGA+ARM核、ASIC、CPLD、DSP、单片机、ARM芯片、RISC-V芯片、PC系统及手机系统中的任一种；

所述SOCKET参数变换设备的通信接口是：USB、并口、串口、双口SRAM、网口、光纤、WIFI、红外LED、激光、4G/5G模块链路中的任一种。

优选的，在本技术方案中，所述安全应用客户端包括PC服务器、PC客户端、ARM服务器、ARM客户端、RISC-V服务器、RISC-V客户端、平板、手机、计算盒、单片机系统、AI摄像头及AI面板机中的任一种硬件及硬件上自身装载的运行系统；

所述硬件上装载运行系统为Linux、Windows、Android、iOS、UNIX、UOS、麒麟、鸿蒙中的任一种。

优选的，在本技术方案中，在所述步骤S001中，所述SOCKET参数变换设备对内连接的为接口P1，连接到外网的为接口P2；从接口P1传递到接口P2时的端口执行X→X1变换规则，反之，接口P2传递到接口P1时，执行X1→X的变换规则。

优选的，在本技术方案中，在所述步骤S002中，构建应用连接，形成应用环境是将所述安全应用客户端和所述安全应用服务端与所述SOCKET参数变换设备的接口P1连接，再由所述SOCKET参数变换设备的接口P2连接到外网。

与现有技术对比，本发明具备以下有益效果：

本发明通过设计了SOCKET参数变换设备(SPCD)、安全应用客户端(SACP)、安全应用服务端（SASP），简单有效的保护了系统中的应用安全。在本技术方案中，可以提升任意基于操作系统的服务应用的安全性。它独立于已有的防火墙、操作系统、安保措施，简单有效，并降低了对现场技术人员的要求。

附图说明

图1是本发明的方法流程图；

图2是本发明SOCKET参数变换设备(SPCD)的组成示意图；

图3是本发明应用场景的示意图；

图4是本发明SOCKET参数变换设备(SPCD)的设置连接示意图；

图5是本发明SPCD连接↔安全应用客户端的连接示意图；

图6是本发明SPCD连接↔安全应用服务端的连接示意图；

图7是本发明安全应用客户端(SACP)的变换示意图；

图8是本发明安全应用服务端（SASP）的变换示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等（如果存在）是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本发明中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含，“包含A、B或C”是指包含A、B、C三者之一，“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。

应当理解，在本发明中，“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”，表示B与A相关联，根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其他信息确定B。A与B的匹配，是A与B的相似度大于或等于预设的阈值。

取决于语境，如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例；对于相同或相似的概念或过程可能在某些实施例不再赘述。

涉及本发明一种基于SOCKET参数变换的安全应用方法的技术术语说明：

SOCKET参数变换设备(Socket Para Convert Device以下简称SPCD)，它可以是FPGA、FPGA（+ARM核）、ASIC、CPLD、DSP、单片机、ARM芯片、RISC-V芯片、PC系统、手机系统、定制硬件中的任一种，包括但不限于所述类型。本申请的SOCKET参数变换设备(SPCD)还包括通信接口，通信接口可以是：USB、并口、串口、双口SRAM、网口、光纤、WIFI、红外LED、激光、4G/5G模块链路中的任一种，包括但不限于所述接口。接口的数量可以是：1-N个输入接口和1-M个输出接口。在以下的具体实施例子中，假设SOCKET参数变换设备(SPCD)有两个接口，记为第一接口1（简称P1）和第二接口2（简称P2）。更具体的是，例如OCKET参数变换设备(SPCD)的为FPGA，是SPCD最简单的实现方式，仅仅是由FPGA和两个以太网接口组成，两个以太网接口记为P1和P2，采用本发明的方法时通过P1_RX→P2_TX→设备方式，具体是在FPGA上对收到的消息，基于规则，调整除了目标IP地址之外的其他三项参数（可以是之一），即可实现应用的安全。具体是X为原始SOCKET，X1为变换后SOCKET；SOCKET包括了源IP--SIP，源端口--SPORT；目的IP--DIP，目的端口--DPORT。由于需要通过一系列路由器才能到达目标IP，因此，目标IP不能参与变换，我们的变换集合X只能是其他的三项或其中之一，即{SIP，SPORT，DPORT}中之一。

安全应用客户端(Safe Application Client Part以下简称SACP)，它可以是：PC服务器、PC客户端、ARM服务器、ARM客户端、RISC-V服务器、RISC-V客户端、平板、手机、计算盒、单片机系统、各类定制硬件、AI摄像头及AI面板机中的任一种硬件及硬件上自身装载的运行系统，包括但不限于所述的硬件形态。我们讲述硬件上装载运行系统时，包括了：Linux、Windows、Android、iOS、UNIX、UOS、麒麟、鸿蒙等，包括但不限于所述系统。

安全应用服务端（Safe Application Service Part以下简称SASP），它可以是：PC服务器、PC客户端、ARM服务器、ARM客户端、RISC-V服务器、RISC-V客户端、平板、手机、计算盒、单片机系统、各类定制硬件、AI摄像头及AI面板机中的任一种硬件及硬件上自身装载的运行系统，包括但不限于所述的硬件形态。硬件上装载运行系统，包括：Linux、Windows、Android、iOS、UNIX、UOS、麒麟、鸿蒙等，包括但不限于所述系统。

请参阅图1-2，本发明的一种基于SOCKET参数变换的安全应用方法，包括如下步骤：

S001,对SPCD进行配置，同时确定转换规则;

具体是，对SOCKET参数变换设备（SPCD）分配ID，连接通信接口，对通信接口进行定义。例如图2所示，默认直连SOCKET参数变换设备(SPCD)的为接口P1，连接到外网的为接口P2,而后对连接的数据信息转换的规则进行定义，具体是基于从接口P1传递到接口P2时（记为P1→P2）的端口执行X→X1变换规则，反之，接口P2传递到接口P1时（记为P2→P1）执行X1→X的变换规则，其中,X为原始SOCKET，X1为变换后SOCKET；SOCKET包括了源IP--SIP，源端口--SPORT；目的IP--DIP，目的端口--DPORT。由于需要通过一系列路由器才能到达目标IP，因此，目标IP不能参与变换，我们的变换集合X只能是其他的三项或其中之一，{SIP，SPORT，DPORT}。

需要说明的是在确定转化规则是，转换的规则不仅仅是简单的参数加1，还可以是：（一）按当前时间的月份日期值调整，譬如今天是某个月份的27号，则参数加1转变为加27；（二）按某种格式规则调整，譬如，端口号<1000，如=888端口，我们可以直接在高位增加一个随机数，譬如33888，只要去掉高位随机数33即可；（三）按源端口调整，将源端口mod256后，计算参数，直接将本参数加到目标端口和源IP地址的每一字节上。

S002,构建应用连接，形成应用环境;

具体是如图4和图5将安全应用客户端(SACP)和安全应用服务端（SASP）与SOCKET参数变换设备（SPCD）的接口P1连接，再由SOCKET参数变换设备（SPCD）的接口P2连接到外网。

S003,SACP发出到SOCKET，由SPCD进行X→X1的转换；

具体是，安全应用客户端(SACP)发出到远端应用服务端的SOCKET，均由直连的SOCKET参数变换设备（SPCD）做X→X1的转换；

SOCKET的变换集合X只能是{SIP，SPORT，DPORT}，DIP不能变换，我们将X转换为X1，可以是{SIP^0x01020304，SPORT^0x0102，DPORT^0x0304}，当然，这种X→X1的变换是任意的，只要在接收端，进行恢复即可；本处，再次执行{SIP^0x01020304，SPORT^0x0102，DPORT^0x0304}即可。

S004,SASP接收来SACP请求的SOCKET，由SPCD设备进行X1→X的转换；

具体是，安全应用服务端（SASP）接收来自远端应用客户端（SACP）请求的SOCKET，均由直连的SOCKET参数变换设备（SPCD）做X1→X的转换。

S005,基于SACP和SASP的需求，设置SPCD的X→X1转换规则，然后安装到SACP和SASP上；

具体是，生产环节基于安全应用客户端(SACP)和安全应用服务端（SASP）的需求，设置SOCKET参数变换设备（SPCD）的X→X1转换规则，然后安装到SACP和SASP上。

SOCKET参数变换设备(SPCD)的规则定义，在任意的一组互相连接的安全应用客户端(SACP)和安全应用服务端（SASP）上是保持一致；在不同的组之间，可以不一致

S006,按照SPCD接收并发包异常，通知管理员处理。

具体是，出现异常时，按照SOCKET参数变换设备(SPCD)接收异常，SOCKET参数变换设备(SPCD)发包异常等，通知管理员处理

本发明的方法结合图1-7对具体应用进行个别举例说明如下：

SOCKET参数变换设备(SPCD)为SPCD-CLIENT；

安全应用客户端(SACP)为客户机；

安全应用服务端（SASP）为目标服务器。

应用前设置客户机=10.1.1.8（端口1008），发出请求，目标服务器=10.1.1.10（端口80）。socket=10.1.1.8/1008→10.1.1.100/80；

与客户机直连的SPCD-CLIENT接收消息后，将socket实时调整为11.2.2.9/1009→10.1.1.100/81；

服务器的直连的SPCD-SERVER接收到消息，将socket实时调整为10.1.1.8/1009→10.1.1.10/80，并提交给服务器网口。

服务器由网口回给客户端（客户机）的响应消息，其socket=10.1.1.100/80→10.1.1.8/1008，将由服务器的直连的SPCD-SERVER接收后，将socket实时调整为11.2.2.101/81→10.1.1.8/1009，在客户机的直连的SPCD-CLIENT接收消息后，将socket实时调整为10.1.1.100/80→10.1.1.8/1008，并提交给客户机网口。

需要说明的是对于原始的客户机和服务器的SOCKET通讯而言，不需要知道这种SOCKET变换。但是，对于试图从互联网上对系统进行远程攻击的恶意用户而言，发出的请求要么就不能被服务器接收，要么就不能获得响应。当然，从安全的角度而言，只要该策略的包不被第三方仔细分析，应用的安全性将是无与伦比的，远超目前的防火墙、路由器等机制。

综上所述，在本发明中，首先，配置SOCKET参数变换设备（SPCD），假设它有两个接口，我们称为接口1（简称P1）和接口2（简称P2）。我们假设，客户端（SACP）将发到远端服务器的请求，提交给直连的SPCD-Client，进行转换；远端服务器，基于直连的SPCD-Server接收消息，并由SPCD-Server进行逆向转换，再提交给服务器。或者说，客户端和服务端，都需要直连自己的SOCKET参数变换设备（SPCD），才能建立有效的SOCKET链接，以实现应用的安全。

其次，配置安全应用客户端(SACP)，使其将所有到安全应用服务（SASP）的请求，前置一个SOCKET参数变换设备（SPCD）发出，连接方式为：客户端↔SPCD↔，此时，客户端SPCD-CLIETN对SOCKET进行转换，然后再发出去。

再次，配置安全应用服务端（SASP），使其将所有来自于安全应用客户(SACP)请求，前置一个SOCKET参数变换设备（SPCD）接收，连接方式为：↔SPCD↔服务端，此时，服务端的SPCD-SERVER对SOCKET做转换再提交。

最后，数据在互联网上的传输，由于调整规则是隐含的，请求的端口号，总是基于规则，被动态转变，如此，使得不了解规则的第三方攻击者，无法发起攻击，要么服务器接收不到请求，要么攻击者接收不到回报消息。这就极大提升了服务系统的安全性。

由上表明，本发明通过设计了SOCKET参数变换设备(SPCD)、安全应用客户端(SACP)、安全应用服务端（SASP），简单有效的保护了系统中的应用安全。在本技术方案中，可以提升任意基于操作系统的服务应用的安全性。它独立于已有的防火墙、操作系统、安保措施，简单有效，并降低了对现场技术人员的要求。

在本实施例子中未说明的部件结构、连接关系、工作原理等均采用现有技术来实现，在此不再重复累述。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (5)

1.一种基于SOCKET参数变换的安全应用方法，其特征在于，包括如下步骤，S001,对SPCD进行配置，同时确定转换规则;

S002,构建应用连接，形成应用环境;

S003,SACP发出到SOCKET，由SPCD进行X→X1的转换；

S004,SASP接收来SACP请求的SOCKET，由SPCD设备进行X1→X的转换；

S005,基于SACP和SASP的需求，设置SPCD的X→X1转换规则，然后安装到SACP和SASP上；

S006,按照SPCD接收并发包异常，通知管理员处理；

其中，SPCD为SOCKET参数变换设备；SACP为安全应用客户端；SASP为安全应用服务端；X为原始SOCKET，X1为变换后SOCKET；SOCKET包括了源IP--SIP，源端口--SPORT；目的IP--DIP，目的端口--DPORT。

2.根据权利要求1所述的基于SOCKET参数变换的安全应用方法，其特征在于，所述SOCKET参数变换设备是FPGA、FPGA+ARM核、ASIC、CPLD、DSP、单片机、ARM芯片、RISC-V芯片、PC系统及手机系统中的任一种；

所述SOCKET参数变换设备的通信接口是：USB、并口、串口、双口SRAM、网口、光纤、WIFI、红外LED、激光、4G/5G模块链路中的任一种。

3.根据权利要求1所述的基于SOCKET参数变换的安全应用方法，其特征在于，所述安全应用客户端包括PC服务器、PC客户端、ARM服务器、ARM客户端、RISC-V服务器、RISC-V客户端、平板、手机、计算盒、单片机系统、AI摄像头及AI面板机中的任一种硬件及硬件上自身装载的运行系统；

所述硬件上装载运行系统为Linux、Windows、Android、iOS、UNIX、UOS、麒麟、鸿蒙中的任一种。

4.根据权利要求1所述的基于SOCKET参数变换的安全应用方法，其特征在于，在所述步骤S001中，所述SOCKET参数变换设备对内连接的为接口P1，连接到外网的为接口P2；从接口P1传递到接口P2时的端口执行X→X1变换规则，反之，接口P2传递到接口P1时，执行X1→X的变换规则。

5.根据权利要求1所述的基于SOCKET参数变换的安全应用方法，其特征在于，在所述步骤S002中，构建应用连接，形成应用环境是将所述安全应用客户端和所述安全应用服务端与所述SOCKET参数变换设备的接口P1连接，再由所述SOCKET参数变换设备的接口P2连接到外网。

Images