CN115348118B - 一种基于密码技术的网络地址和端口号隐藏方法 - Google Patents

一种基于密码技术的网络地址和端口号隐藏方法 Download PDF

Info

Publication number
CN115348118B
CN115348118B CN202211283422.5A CN202211283422A CN115348118B CN 115348118 B CN115348118 B CN 115348118B CN 202211283422 A CN202211283422 A CN 202211283422A CN 115348118 B CN115348118 B CN 115348118B
Authority
CN
China
Prior art keywords
value
information
port
address information
cryptographic algorithm
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211283422.5A
Other languages
English (en)
Other versions
CN115348118A (zh
Inventor
杨林
吴海涛
马琳茹
李鉴
王强
谢卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Institute of Systems Engineering of PLA Academy of Military Sciences
Original Assignee
CETC 30 Research Institute
Institute of Systems Engineering of PLA Academy of Military Sciences
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute, Institute of Systems Engineering of PLA Academy of Military Sciences filed Critical CETC 30 Research Institute
Priority to CN202211283422.5A priority Critical patent/CN115348118B/zh
Publication of CN115348118A publication Critical patent/CN115348118A/zh
Application granted granted Critical
Publication of CN115348118B publication Critical patent/CN115348118B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

本发明提出一种基于密码技术的网络地址和端口号隐藏方法,属于网络控制技术领域。所述方法包括:位于中继域的第一边缘交换设备接收来自第一用户域的数据包,数据包的原始报文格式包括以太网头部、IP头部、TCP/UDP头部和流量数据净荷;所述第一边缘交换设备在所述IP头部中配置IP头部选项字段;基于所述经配置的IP头部选项字段确定所述IP地址信息的替换值和所述端口信息的替换值,以填充覆盖各自的原始值,将经填充覆盖处理的数据包转发至位于所述中继域的第二边缘交换设备。所述方法用于实现对外隐藏内部地址和端口,可有效提升内部网络安全性。

Description

一种基于密码技术的网络地址和端口号隐藏方法
技术领域
本发明属于网络控制技术领域,尤其涉及一种基于密码技术的网络地址和端口号隐藏方法。
背景技术
随着互联网的急剧膨胀,加之复杂网络环境的异构性、动态性、欺骗性等特点,网络的信息安全问题日益突出。由于业务流量在网络中处于基础性地位,因此针对网络业务关键数据的保护备受广泛关注,关键数据的隐藏一方面能够为攻击行为掩盖身份、躲避监管;另一方面可保障正常通信意图、混淆窃取者视听,从而实现对流量报文的安全保障。
流量伪装技术逐渐成为新的研究热点,流量伪装旨在通过对网络流量通信行为进行隐藏,对通信路线上路由和端口信息跳变等,对流量模式进行填充跳变分散混杂等,防止流量分析流量监管等工具发现网络通信行为完整截获,并正确归类网络通信数据包追踪其通信源头和目的地分析其流量模式等进而提取出有价值的信息。
近年来,国内外许多组织和个人着重在流量数据的分析和改造上提升了整个网络通信系统的安全能力,许多成果已应用于各类网络系统中。通过对目前的公开文献和技术资料进行梳理可以发现国内外对流量关键数据的安全防护主要集中在三方面策略:一是针对IP地址跳变分配地址池,实现有限的IP地址映射变换,此种方法需要两端设备同时配置相关地址映射关系,且受IP地址池限制跳变IP地址有限,可通过流量分析等工具进一步发现网络通信行为规律,尚存在操作繁琐和安全隐患;二是针对源/目的IP地址和端口号进行加解密处理,实现IP地址、端口号的隐藏,此种方法需要各节点间定期通过多轮协商确定密钥,节点间新增了交互消息处理,同时引入了新的安全隐患;三是大部分研究针对物理端口做相关处理,缺乏细粒度的控制能力,无法满足现阶段精准管控的网络需求。
发明内容
安全、可靠、高效的通信设备是构建高安全可靠网络的基础设施;为解决上述技术问题,本发明提供一种局域网交换设备接入认证与可信组网的方法。
本发明公开了一种基于密码技术的网络地址和端口号隐藏方法。所述方法包括:步骤S1、位于中继域的第一边缘交换设备接收来自第一用户域的数据包;其中,所述数据包的原始报文格式包括以太网头部、IP头部、TCP/UDP头部和流量数据净荷,所述IP头部中包括IP地址信息的原始值,所述TCP/UDP头部包括端口信息的原始值;步骤S2、所述第一边缘交换设备在所述IP头部中配置IP头部选项字段;其中,经配置的所述IP头部选项字段包括随机数、密码算法信息、IP跳变参数、端口跳变参数、IP校验值和端口校验值;步骤S3、所述第一边缘交换设备基于所述经配置的IP头部选项字段确定所述IP地址信息的替换值和所述端口信息的替换值,以填充覆盖各自的原始值,将经填充覆盖处理的数据包转发至位于所述中继域的第二边缘交换设备。
具体地,在所述步骤S3中,确定所述IP地址信息的替换值具体包括:(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述IP跳变参数;(2)判断所述随机数是否为0;当所述随机数不为零时,基于所述IP地址信息的原始值、所述随机数和所述IP跳变参数计算所述IP地址信息的第一替换值;当所述随机数为零时,不对所述IP地址信息的原始值执行基于所述随机数的跳变,将所述IP地址信息的原始值直接作为所述IP地址信息的第一替换值;(3)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的第一替换值进行加密处理,得到所述IP地址信息的第二替换值;当所述密码算法信息为零时,不对所IP地址信息的第一替换值执行加密处理,将所述IP地址信息的第一替换值直接作为所述IP地址信息的第二替换值;(4)以所述IP地址信息的第二替换值作为所述IP地址信息的替换值以填充覆盖所述IP地址信息的原始值。
具体地,在所述步骤S3中,确定所述端口信息的替换值具体包括:(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述端口跳变参数;(2)判断所述随机数是否为0;当所述随机数不为零时,基于所述端口信息的原始值、所述随机数和所述端口跳变参数计算所述端口信息的第一替换值;当所述随机数为零时,不对所述端口信息执行基于所述随机数的跳变,将所述端口信息的原始值直接作为所述端口信息的第一替换值(3)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的第一替换值进行加密处理,得到所述端口信息的第二替换值;当所述密码算法信息为零时,不对所端口信息的第一替换值执行加密处理,将所述端口信息的第一替换值直接作为所述端口信息的第二替换值;(4)以所述端口信息的第二替换值作为所述端口信息的替换值以填充覆盖所述端口信息的原始值。
具体地,获取所述中继域的路由转发表,基于所述路由转发表将所述经填充覆盖处理的数据包从所述第一边缘交换设备转发至所述第二边缘交换设备。
具体地,所述第二边缘交换设备在接收到所述经填充覆盖处理的数据包后:(1)从所述经填充覆盖处理的数据包中提取出:所述IP地址信息的接收值、所述端口信息的接收值、所述IP头部选项字段包括的所述随机数、所述密码算法信息、所述IP跳变参数和所述端口跳变参数;(2)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的接收值进行解密处理,得到所述IP地址信息的第一恢复值,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的接收值进行解密处理,得到所述端口信息的第一恢复值;当所述密码算法信息为零时,不对所述IP地址信息的接收值以及所述端口信息的接收值执行解密处理,将所述IP地址信息的接收值直接作为所述IP地址信息的第一恢复值,将所述端口信息的接收值直接作为所述端口信息的第一恢复值;(3)判断所述随机数是否为0;当所述随机数不为零时,基于所述随机数和所述IP跳变参数对所述IP地址信息的第一恢复值进行解跳变处理,得到所述IP地址信息的第二恢复值,基于所述随机数和所述端口跳变参数对所述端口信息的第一恢复值进行解跳变处理,得到所述端口信息的第二恢复值;当所述随机数为零时,不对所述IP地址信息的第一恢复值以及所述端口信息的第一恢复值执行解密处理,将所述IP地址信息的第二恢复值直接作为所述IP地址信息的恢复值,将所述端口信息的第二恢复值直接作为所述端口信息的恢复值。
具体地,所述IP校验值为所述IP地址信息的摘要值,所述端口校验值为所述端口信息的摘要值。
具体地,所述第二边缘交换设备在获取所述IP地址信息的恢复值和所述端口信息的恢复值后:计算所述IP地址信息的恢复值的摘要值以及所述端口信息的恢复值的摘要值;判断所述IP地址信息的恢复值的摘要值与所述IP校验值是否一致;若是,则判断所述端口信息的恢复值的摘要值与所述端口校验值是否一致;若是,则通过校验。
具体地,通过所述校验后,所述第二边缘交换设备以将所述IP地址信息的恢复值覆盖填充所述IP地址信息的接收值,以所述端口信息的恢复值覆盖填充所述端口信息的接收值,随后将经以上处理的数据包转发至第二用户域。
可见,所述方法结合随机数和密码算法实现对报文源/目的IP地址和端口号的随机加密隐藏,最终实现对外隐藏内部地址和端口,可有效提升内部网络安全性。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为根据本发明实施例的边缘交换设备之间的交互示意图;
图2为根据本发明实施例的经配置的报文格式的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明第一方面公开了一种基于密码技术的网络地址和端口号隐藏方法。所述方法针对通信网络解决如下问题:(1)提升网络安全性,报文中植入随机因子,实现对报文源/目的IP和端口的随机跳变;结合密码算法,实现对报文源/目的IP和端口的进一步加密隐藏;有效防止非法窥探网络分布发起有针对性的攻击。(2)保障网络可靠性,增加报文IP地址和端口号参数完整性校验,防止因密码算法计算错误或恶意篡改导致加解密两端数据不一致现象,有效保障网络可靠性。(3)自适应的网络IP地址和端口隐藏处理机制,设备间端到端的业务传输,通过报文携带的自定义字段自动判断是否需要进行网络IP地址和端口隐藏功能处理,有效避免了因两端设备配置差异造成的业务中断,提升了设备的自适应能力。(4)支持逐包和逐流的细粒度控制,提升了网络系统的精准控制能力。
图1为根据本发明实施例的边缘交换设备之间的交互示意图;如图1所示,所述方法包括:步骤S1、位于中继域的第一边缘交换设备接收来自第一用户域的数据包;其中,所述数据包的原始报文格式包括以太网头部、IP头部、TCP/UDP头部和流量数据净荷,所述IP头部中包括IP地址信息的原始值,所述TCP/UDP头部包括端口信息的原始值;步骤S2、所述第一边缘交换设备在所述IP头部中配置IP头部选项字段;其中,经配置的所述IP头部选项字段包括随机数、密码算法信息、IP跳变参数、端口跳变参数、IP校验值和端口校验值;步骤S3、所述第一边缘交换设备基于所述经配置的IP头部选项字段确定所述IP地址信息的替换值和所述端口信息的替换值,以填充覆盖各自的原始值,将经填充覆盖处理的数据包转发至位于所述中继域的第二边缘交换设备。
图2为根据本发明实施例的经配置的报文格式的示意图;如图2所示,网络IP地址和端口隐藏流量报文在标准以太网格式上拓展了IP头部的选项字段。
IP:IP头部中等待跳变/加解密处理的源/目的IP地址数据,在发送端采用随机数进行跳变处理,采用密码算法信息进行加密处理;在接收端采用随机数进行反向解析,采用密码算法信息进行解密处理。随机数:任意生成的随机值,用于与IP地址和端口号进行计算得到跳变随机值。当为0时,表示未使能网络IP地址和端口隐藏功能。密码算法信息选择:当为0时,表示未使能加解密功能。IP跳变:标志源/目的IP是否需要隐藏处理。端口跳变:标志源/目的端口是否需要隐藏处理。IP校验:针对IP头部中源/目的IP地址数据计算出有效摘要。端口校验:针对TCP/UDP头部中源/目的端口号数据计算出有效摘要。端口:TCP/UDP头部中等待跳变/加解密处理的源/目的端口数据,在发送端采用随机数进行跳变处理,采用密码算法进行加密处理;在接收端采用随机数进行反向解析,采用密码算法进行解密处理。
在一些实施例中,在所述步骤S3中,确定所述IP地址信息的替换值具体包括:(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述IP跳变参数;(2)判断所述随机数是否为0;当所述随机数不为零时,基于所述IP地址信息的原始值、所述随机数和所述IP跳变参数计算所述IP地址信息的第一替换值;当所述随机数为零时,不对所述IP地址信息的原始值执行基于所述随机数的跳变,将所述IP地址信息的原始值直接作为所述IP地址信息的第一替换值;(3)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的第一替换值进行加密处理,得到所述IP地址信息的第二替换值;当所述密码算法信息为零时,不对所IP地址信息的第一替换值执行加密处理,将所述IP地址信息的第一替换值直接作为所述IP地址信息的第二替换值;(4)以所述IP地址信息的第二替换值作为所述IP地址信息的替换值以填充覆盖所述IP地址信息的原始值。
在一些实施例中,在所述步骤S3中,确定所述端口信息的替换值具体包括:(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述端口跳变参数;(2)判断所述随机数是否为0;当所述随机数不为零时,基于所述端口信息的原始值、所述随机数和所述端口跳变参数计算所述端口信息的第一替换值;当所述随机数为零时,不对所述端口信息执行基于所述随机数的跳变,将所述端口信息的原始值直接作为所述端口信息的第一替换值(3)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的第一替换值进行加密处理,得到所述端口信息的第二替换值;当所述密码算法信息为零时,不对所端口信息的第一替换值执行加密处理,将所述端口信息的第一替换值直接作为所述端口信息的第二替换值;(4)以所述端口信息的第二替换值作为所述端口信息的替换值以填充覆盖所述端口信息的原始值。
在一些实施例中,获取所述中继域的路由转发表,基于所述路由转发表将所述经填充覆盖处理的数据包从所述第一边缘交换设备转发至所述第二边缘交换设备。
在一些实施例中,所述第二边缘交换设备在接收到所述经填充覆盖处理的数据包后:(1)从所述经填充覆盖处理的数据包中提取出:所述IP地址信息的接收值、所述端口信息的接收值、所述IP头部选项字段包括的所述随机数、所述密码算法信息、所述IP跳变参数和所述端口跳变参数;(2)判断所述密码算法信息是否为0;当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的接收值进行解密处理,得到所述IP地址信息的第一恢复值,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的接收值进行解密处理,得到所述端口信息的第一恢复值;当所述密码算法信息为零时,不对所述IP地址信息的接收值以及所述端口信息的接收值执行解密处理,将所述IP地址信息的接收值直接作为所述IP地址信息的第一恢复值,将所述端口信息的接收值直接作为所述端口信息的第一恢复值;(3)判断所述随机数是否为0;当所述随机数不为零时,基于所述随机数和所述IP跳变参数对所述IP地址信息的第一恢复值进行解跳变处理,得到所述IP地址信息的第二恢复值,基于所述随机数和所述端口跳变参数对所述端口信息的第一恢复值进行解跳变处理,得到所述端口信息的第二恢复值;当所述随机数为零时,不对所述IP地址信息的第一恢复值以及所述端口信息的第一恢复值执行解密处理,将所述IP地址信息的第二恢复值直接作为所述IP地址信息的恢复值,将所述端口信息的第二恢复值直接作为所述端口信息的恢复值。
在一些实施例中,所述IP校验值为所述IP地址信息的摘要值,所述端口校验值为所述端口信息的摘要值。
在一些实施例中,所述第二边缘交换设备在获取所述IP地址信息的恢复值和所述端口信息的恢复值后:计算所述IP地址信息的恢复值的摘要值以及所述端口信息的恢复值的摘要值;判断所述IP地址信息的恢复值的摘要值与所述IP校验值是否一致;若是,则判断所述端口信息的恢复值的摘要值与所述端口校验值是否一致;若是,则通过校验。
在一些实施例中,通过所述校验后,所述第二边缘交换设备以将所述IP地址信息的恢复值覆盖填充所述IP地址信息的接收值,以所述端口信息的恢复值覆盖填充所述端口信息的接收值,随后将经以上处理的数据包转发至第二用户域。
在另一些可行的实施例中,网络IP地址和端口隐藏封装(出方向)处理流程如下:进入该处理流程前,可结合策略配置进一步实现逐包、逐流的业务流量细粒度管控。
步骤1:业务流量IP头选项字段中,头首部添加8bit随机数字段。
步骤2:业务流量IP头选项字段中,在随机数字段后添加4bit密码算法信息配置字段。
步骤3:业务流量IP头选项字段中,在末尾添加固定长度的IP地址和端口号摘要值。
步骤4:业务流量IP头选项字段中,在密码算法信息配置字段后添加4bit的源/目的IP地址、端口号跳变配置字段。
步骤5:根据业务流量IP头选项字段中随机数值判断是否进行网络IP地址和端口隐藏随机跳变封装,若值为0,则表示不进行随机跳变处理,按照正常报文转发,进入步骤9;若值大于0,则表示需要进行随机跳变处理,进入步骤6。
步骤6:根据业务流量IP头选项字段中源/目的IP地址、端口号跳变配置参数,结合随机数对流量报文IP头的IP地址和TCP/UDP头的端口号进行随机跳变处理,并填入报文相应字段中。
步骤7:根据业务流量IP头选项字段中密码算法信息字段判断是否进行IP地址和端口号的加密处理,若值为0,则表示不进行加密处理,按照正常报文转发,进入步骤9;若值大于0,则表示需要进行加密处理,进入步骤8。
步骤8:进一步根据业务流量IP头选项字段中源/目的IP地址、端口号跳变配置参数,结合与密码算法信息对应的密码算法对随机跳变后的IP地址和端口号进行对称加密处理,并填入报文相应字段中。
步骤9:得到处理后流量报文,进行转发处理。
在另一些可行的实施例中,网络IP地址和端口隐藏解析(入方向)处理流程如下。
步骤1:定位流量报文IP头的选项字段,获取随机数、密码算法信息、IP地址、端口号等配置。
步骤2:首先判断随机数字段是否生效,若值为0,则表示不需要进行网络IP地址和端口隐藏解析处理,按照正常报文转发,进入步骤7;若值大于0,则表示需要进行网络IP地址和端口隐藏解析处理,进入步骤3。
步骤3:判断密码算法信息是否生效,若值为0,则表示不需要进行解密处理,按照正常报文转发,进入步骤5;若值大于0,则表示需要进行解密处理,计入步骤4。
步骤4:根据源/目的IP地址、端口号跳变配置参数和对应密码算法,对业务流量IP头的IP地址和TCP/UDP头的端口号进行解密处理,填入相应字段。
步骤5:根据源/目的IP地址、端口号跳变配置参数,结合随机数对IP地址和端口号进行反向跳变,填入相应字段。
步骤6:对完成解析的IP地址和端口号进行摘要计算,并与流量报文IP头的选项字段末尾的IP地址和端口号摘要进行校验,若校验失败,则丢弃次流量报文;若校验成功,则进入步骤7。
步骤7:得到正常流量报文,进行转发处理。
综上,本发明提供的方法实现网络设备间端到端的业务安全传输,通过报文携带的自定义字段来判断是否需要进行网络IP地址和端口隐藏业务交互功能,进一步结合自定义字段标志位实现IP地址、端口号的随机跳变和加解密处理,并根据校验码实现业务流量的有效保障,提升整个通信网络的高安全性和高可靠性;更进一步通过策略配置可实现逐包或逐流的网络IP地址和端口隐藏处理,实现细粒度的网络管控能力。其中,密码算法可支持国密、商密、军密等多种类;网络IP地址和端口隐藏是指将报文中原始IP地址和端口号做随机跳变和加密处理,实现真实网络IP地址和端口号的隐藏。
本发明提供的方法带来的显著改进和技术效果包括:(1)提升网络系统安全性;业务流量关键字段随机性跳变+加密隐藏,有效防止非法窥探网络分布发起有针对性的攻击,极大的提升了网络系统的安全性。(2)保障网络系统可靠性;业务流量关键字段在隐藏的同时引入了完整性校验,因此整个过程中能够很好地保障业务流量的可靠性。(3)网络IP地址和端口隐藏功能自适应;设备间端到端业务传输,仅需在发起端配置网络IP地址和端口隐藏相关功能,终止端无需任何配置即可实现单向的网络IP地址和端口隐藏处理,全程0协商消息交互,实现极简操作的同时有效保障了业务流量的0中断,进一步提升了设备的自适应能力。(4)提升网络精准控制能力;支持逐包、逐流的细粒度策略控制机制,提升了网络的精准控制能力,满足现阶段网络细粒度管控需求。
本发明提供的方法大幅提升了业务流量的安全性,同时提升了设备的主动防护能力,保证整个网络的高安全性和高可靠性要求,适用于军队通信高安全需求场景,同时在防范网络信息攻击等高安全目标领域也有重要应用前景。
请注意,以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。

Claims (6)

1.一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,所述方法包括:
步骤S1、位于中继域的第一边缘交换设备接收来自第一用户域的数据包;其中,所述数据包的原始报文格式包括以太网头部、IP头部、TCP/UDP头部和流量数据净荷,所述IP头部中包括IP地址信息的原始值,所述TCP/UDP头部包括端口信息的原始值;
步骤S2、所述第一边缘交换设备在所述IP头部中配置IP头部选项字段;其中,经配置的所述IP头部选项字段包括随机数、密码算法信息、IP跳变参数、端口跳变参数、IP校验值和端口校验值;
步骤S3、所述第一边缘交换设备基于所述经配置的IP头部选项字段确定所述IP地址信息的替换值和所述端口信息的替换值,以填充覆盖各自的原始值,将经填充覆盖处理的数据包转发至位于所述中继域的第二边缘交换设备;
其中,在所述步骤S3中,确定所述IP地址信息的替换值具体包括:
(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述IP跳变参数;
(2)判断所述随机数是否为0;
当所述随机数不为零时,基于所述IP地址信息的原始值、所述随机数和所述IP跳变参数计算所述IP地址信息的第一替换值;
当所述随机数为零时,不对所述IP地址信息的原始值执行基于所述随机数的跳变,将所述IP地址信息的原始值直接作为所述IP地址信息的第一替换值;
(3)判断所述密码算法信息是否为0;
当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的第一替换值进行加密处理,得到所述IP地址信息的第二替换值;
当所述密码算法信息为零时,不对所IP地址信息的第一替换值执行加密处理,将所述IP地址信息的第一替换值直接作为所述IP地址信息的第二替换值;
(4)以所述IP地址信息的第二替换值作为所述IP地址信息的替换值以填充覆盖所述IP地址信息的原始值;
其中,在所述步骤S3中,确定所述端口信息的替换值具体包括:
(1)提取所述IP头部选项字段包括的所述随机数、所述密码算法信息和所述端口跳变参数;
(2)判断所述随机数是否为0;
当所述随机数不为零时,基于所述端口信息的原始值、所述随机数和所述端口跳变参数计算所述端口信息的第一替换值;
当所述随机数为零时,不对所述端口信息执行基于所述随机数的跳变,将所述端口信息的原始值直接作为所述端口信息的第一替换值;
(3)判断所述密码算法信息是否为0;
当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的第一替换值进行加密处理,得到所述端口信息的第二替换值;
当所述密码算法信息为零时,不对所端口信息的第一替换值执行加密处理,将所述端口信息的第一替换值直接作为所述端口信息的第二替换值;
(4)以所述端口信息的第二替换值作为所述端口信息的替换值以填充覆盖所述端口信息的原始值。
2.根据权利要求1所述的一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,获取所述中继域的路由转发表,基于所述路由转发表将所述经填充覆盖处理的数据包从所述第一边缘交换设备转发至所述第二边缘交换设备。
3.根据权利1-2任一项所述的一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,所述第二边缘交换设备在接收到所述经填充覆盖处理的数据包后:
(1)从所述经填充覆盖处理的数据包中提取出:所述IP地址信息的接收值、所述端口信息的接收值、所述IP头部选项字段包括的所述随机数、所述密码算法信息、所述IP跳变参数和所述端口跳变参数;
(2)判断所述密码算法信息是否为0;
当所述密码算法信息不为零时,基于与所述密码算法信息对应的密码算法和所述IP跳变参数对所述IP地址信息的接收值进行解密处理,得到所述IP地址信息的第一恢复值,基于与所述密码算法信息对应的密码算法和所述端口跳变参数对所述端口信息的接收值进行解密处理,得到所述端口信息的第一恢复值;
当所述密码算法信息为零时,不对所述IP地址信息的接收值以及所述端口信息的接收值执行解密处理,将所述IP地址信息的接收值直接作为所述IP地址信息的第一恢复值,将所述端口信息的接收值直接作为所述端口信息的第一恢复值;
(3)判断所述随机数是否为0;
当所述随机数不为零时,基于所述随机数和所述IP跳变参数对所述IP地址信息的第一恢复值进行解跳变处理,得到所述IP地址信息的第二恢复值,基于所述随机数和所述端口跳变参数对所述端口信息的第一恢复值进行解跳变处理,得到所述端口信息的第二恢复值;
当所述随机数为零时,不对所述IP地址信息的第一恢复值以及所述端口信息的第一恢复值执行解密处理,将所述IP地址信息的第二恢复值直接作为所述IP地址信息的恢复值,将所述端口信息的第二恢复值直接作为所述端口信息的恢复值。
4.根据权利要求3所述的一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,所述IP校验值为所述IP地址信息的摘要值,所述端口校验值为所述端口信息的摘要值。
5.根据权利要求4所述的一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,所述第二边缘交换设备在获取所述IP地址信息的恢复值和所述端口信息的恢复值后:
计算所述IP地址信息的恢复值的摘要值以及所述端口信息的恢复值的摘要值;
判断所述IP地址信息的恢复值的摘要值与所述IP校验值是否一致;若是,则判断所述端口信息的恢复值的摘要值与所述端口校验值是否一致;若是,则通过校验。
6.根据权利要求5所述的一种基于密码技术的网络地址和端口号隐藏方法,其特征在于,通过所述校验后,所述第二边缘交换设备以将所述IP地址信息的恢复值覆盖填充所述IP地址信息的接收值,以所述端口信息的恢复值覆盖填充所述端口信息的接收值,随后将经以上处理的数据包转发至第二用户域。
CN202211283422.5A 2022-10-20 2022-10-20 一种基于密码技术的网络地址和端口号隐藏方法 Active CN115348118B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211283422.5A CN115348118B (zh) 2022-10-20 2022-10-20 一种基于密码技术的网络地址和端口号隐藏方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211283422.5A CN115348118B (zh) 2022-10-20 2022-10-20 一种基于密码技术的网络地址和端口号隐藏方法

Publications (2)

Publication Number Publication Date
CN115348118A CN115348118A (zh) 2022-11-15
CN115348118B true CN115348118B (zh) 2023-02-17

Family

ID=83957552

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211283422.5A Active CN115348118B (zh) 2022-10-20 2022-10-20 一种基于密码技术的网络地址和端口号隐藏方法

Country Status (1)

Country Link
CN (1) CN115348118B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111464503A (zh) * 2020-03-11 2020-07-28 中国人民解放军战略支援部队信息工程大学 基于随机多维变换的网络动态防御方法、装置及系统
CN112073380A (zh) * 2020-08-13 2020-12-11 中国电子科技集团公司第三十研究所 一种基于双处理器kvm切换与密码隔离的安全计算机架构
CN114844729A (zh) * 2022-07-04 2022-08-02 中国人民解放军国防科技大学 一种网络信息隐藏方法及系统
US11444981B1 (en) * 2019-06-05 2022-09-13 Cyber Ip Holdings, Llc Zero network-profile cryptographically secure network port access

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9083705B2 (en) * 2012-11-22 2015-07-14 Telefonaktiebolaget L M Ericsson (Publ) Identifying NATed devices for device-specific traffic flow steering
US11190493B2 (en) * 2019-12-16 2021-11-30 Vmware, Inc. Concealing internal applications that are accessed over a network
CN114629667A (zh) * 2020-11-27 2022-06-14 国家计算机网络与信息安全管理中心 一种基于ip大范围变换的链路动态变化方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11444981B1 (en) * 2019-06-05 2022-09-13 Cyber Ip Holdings, Llc Zero network-profile cryptographically secure network port access
CN111464503A (zh) * 2020-03-11 2020-07-28 中国人民解放军战略支援部队信息工程大学 基于随机多维变换的网络动态防御方法、装置及系统
CN112073380A (zh) * 2020-08-13 2020-12-11 中国电子科技集团公司第三十研究所 一种基于双处理器kvm切换与密码隔离的安全计算机架构
CN114844729A (zh) * 2022-07-04 2022-08-02 中国人民解放军国防科技大学 一种网络信息隐藏方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于内部安全隧道防止节点隐藏木马的新方法;李大双等;《中国电子科学研究院学报》;20150820(第04期);全文 *

Also Published As

Publication number Publication date
CN115348118A (zh) 2022-11-15

Similar Documents

Publication Publication Date Title
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
JP3688830B2 (ja) パケット転送方法及びパケット処理装置
CN102347870B (zh) 一种流量安全检测方法、设备和系统
US8806572B2 (en) Authentication via monitoring
US8862871B2 (en) Network with protocol, privacy preserving source attribution and admission control and method
US7434045B1 (en) Method and apparatus for indexing an inbound security association database
Shi et al. Dynamic distributed honeypot based on blockchain
Lucena et al. Syntax and semantics-preserving application-layer protocol steganography
KR100839941B1 (ko) IPSec 설정정보와 세션정보를 이용한 비정상IPSec 트래픽 제어 시스템 및 그 제어 방법
US8671451B1 (en) Method and apparatus for preventing misuse of a group key in a wireless network
US10972501B2 (en) Method and system for improving network and software security using shared trust and an egress man-in-the-middle (MITM) algorithm for performing clandestine traffic modification
Foroushani et al. Deterministic and authenticated flow marking for IP traceback
Malekzadeh et al. A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks
CA2506418C (en) Systems and apparatuses using identification data in network communication
Rothenberg et al. Self-routing denial-of-service resistant capabilities using in-packet Bloom filters
CN108712364A (zh) 一种sdn网络的安全防御系统及方法
CN114389835A (zh) 一种IPv6选项显式源地址加密安全验证网关及验证方法
US20080072033A1 (en) Re-encrypting policy enforcement point
Aghaei-Foroushani et al. IP traceback through (authenticated) deterministic flow marking: an empirical evaluation
US20210211413A1 (en) Device and method for data transmission
CN109246124B (zh) 一种加密信息的主动防御方法
CN115348118B (zh) 一种基于密码技术的网络地址和端口号隐藏方法
CN108282337B (zh) 一种基于可信密码卡的路由协议加固方法
JP4647481B2 (ja) 暗号化通信装置
Bejarano et al. Security in IP satellite networks: COMSEC and TRANSEC integration aspects

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant