亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法

文檔序號:8530460閱讀:633來源:國知局
一種基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明主要涉及到網(wǎng)絡(luò)安全防護(hù)的移動目標(biāo)防御領(lǐng)域,特指一種基于Netfilter實(shí)現(xiàn)地址、端口跳變通信的方法,可以應(yīng)用于移動目標(biāo)防御方法。
【背景技術(shù)】
[0002] 網(wǎng)絡(luò)安全防護(hù)是當(dāng)前計(jì)算機(jī)技術(shù)研宄的一個熱門領(lǐng)域。隨著電子商務(wù)、電子政務(wù)、 網(wǎng)絡(luò)新媒體等的快速發(fā)展,互聯(lián)網(wǎng)已經(jīng)融入到政治、經(jīng)濟(jì)、文化、生活等方方面面,互聯(lián)網(wǎng)在 帶給人們便利的同時,網(wǎng)絡(luò)攻擊活動所造成的影響和破壞也越來越巨大。因此,加強(qiáng)網(wǎng)絡(luò)安 全防護(hù)、提高網(wǎng)絡(luò)信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊時的生存能力是當(dāng)前及以后相當(dāng)長一段時期內(nèi)研 宄人員的一個重要研宄方向。
[0003] 傳統(tǒng)的安全防護(hù)手段是以防火墻、入侵檢測系統(tǒng)為代表,通過對已有的攻擊方法 的分析研宄,獲取攻擊過程中的行為特征和流量特征,然后在防火墻上配置相應(yīng)的規(guī)則;或 通過入侵檢測系統(tǒng)對流量特征進(jìn)行分析,檢測并控制攻擊活動。上述傳統(tǒng)方法的缺點(diǎn)是:針 對已知攻擊方式效果較好,對于未知攻擊方式效果不理想,防護(hù)效果有限。由于傳統(tǒng)方法主 要是基于對網(wǎng)絡(luò)流量的分析,檢測算法效率較低,高強(qiáng)度海量的攻擊流量(DoS/DDoS攻擊) 會導(dǎo)致算法性能急劇下降,甚至影響正常用戶的訪問。
[0004] 網(wǎng)絡(luò)攻擊活動在實(shí)施之前,攻擊者往往通過地址、端口掃描,信息探測、搜集等技 術(shù)手段獲取目標(biāo)主機(jī)的相關(guān)配置信息,從而對目標(biāo)發(fā)起有針對性的攻擊。移動目標(biāo)防御的 思想就是通過某種策略實(shí)現(xiàn)目標(biāo)主機(jī)某些網(wǎng)絡(luò)屬性的動態(tài)變化,改變或者增加攻擊面,增 加攻擊成功的難度。IP地址是網(wǎng)絡(luò)節(jié)點(diǎn)標(biāo)識,傳統(tǒng)網(wǎng)絡(luò)中通常基于靜態(tài)地址進(jìn)行網(wǎng)絡(luò)通信 和路由,因此攻擊者可以方便地對主機(jī)進(jìn)行掃描、探測進(jìn)而發(fā)起攻擊。傳統(tǒng)網(wǎng)絡(luò)中服務(wù)器通 常遵循靜態(tài)周知端口的服務(wù)提供模式,服務(wù)所用端口是公開的,并且是固定不變的,這很容 易被攻擊者利用并發(fā)起針對特定服務(wù)的攻擊。地址、端口跳變能夠?qū)崿F(xiàn)地址、端口的動態(tài)變 化,使得攻擊者在攻擊偵察階段獲得的信息會很快失效,針對特定服務(wù)端口的指紋探測也 難以成功,這樣就大大增加了攻擊成功的難度。
[0005] 目前,實(shí)現(xiàn)地址、端口跳變的技術(shù)中具有代表性的有:
[0006] Henryc.J.Lee提出一種端口跳變技術(shù),利用跳變函數(shù)實(shí)現(xiàn)跳變,系統(tǒng)時間、共享 密鑰是跳變函數(shù)的參數(shù)。但是,它存在的問題是同步技術(shù)采用嚴(yán)格時鐘同步,在擁塞和網(wǎng)絡(luò) 延遲下適應(yīng)性差。
[0007] DYNAT技術(shù)在網(wǎng)關(guān)添加代理實(shí)現(xiàn)地址的跳變,保護(hù)局域網(wǎng)主機(jī);但是,它存在的問 題是當(dāng)網(wǎng)絡(luò)地址配置動態(tài)性較高的情況下,代理成為了系統(tǒng)的瓶頸。
[0008] OF-RHM技術(shù)實(shí)現(xiàn)SDN網(wǎng)絡(luò)的地址變換,但是在傳統(tǒng)網(wǎng)絡(luò)難以部署,改進(jìn)的RHM可以 在傳統(tǒng)網(wǎng)絡(luò)部署,實(shí)施難度較大。
[0009] 石樂義、賈春福等提出了一個基于端口和地址信息的服務(wù)跳變機(jī)制,以及基于時 間戳的同步機(jī)制,但是該方案不能防止監(jiān)聽攻擊。為此,改進(jìn)方案引入插件機(jī)制,但是插件 機(jī)制中的路由器有成為系統(tǒng)新的性能瓶頸。
[0010] 綜上可以看出,雖然已有一些地址、端口跳變技術(shù),但都存在一些問題,導(dǎo)致已有 技術(shù)未能大規(guī)模實(shí)施部署。

【發(fā)明內(nèi)容】

[0011] 本發(fā)明要解決的技術(shù)問題就在于:針對現(xiàn)有技術(shù)存在的技術(shù)問題,本發(fā)明提供一 種原理簡單、易實(shí)現(xiàn)和推廣、安全性好的基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法。
[0012] 為解決上述技術(shù)問題,本發(fā)明采用以下技術(shù)方案:
[0013] 一種基于Netfilter的地址、端口跳變通信實(shí)現(xiàn)方法,其步驟為:
[0014] 1)初始部署;
[0015] 2)管理人員配置服務(wù)器跳變參數(shù),生成跳變密鑰,并將配置參數(shù)和跳變密鑰保存; 服務(wù)器將跳變參數(shù)發(fā)布到認(rèn)證分發(fā)代理;
[0016] 3)客戶端通過認(rèn)證分發(fā)中心的認(rèn)證,獲取服務(wù)器跳變參數(shù);
[0017] 4)客戶端實(shí)現(xiàn)與服務(wù)器、地址跳變網(wǎng)關(guān)的時鐘同步,計(jì)算服務(wù)器當(dāng)前的跳變地址、 跳變端口,修改本機(jī)發(fā)出和收到的數(shù)據(jù)報(bào)文對應(yīng)的地址及端口,實(shí)現(xiàn)與服務(wù)器的通信;
[0018] 5)地址跳變網(wǎng)關(guān)收到客戶端和服務(wù)器的通信報(bào)文,地址跳變引擎根據(jù)地址跳變參 數(shù)獲取服務(wù)器跳變地址,修改報(bào)文對應(yīng)地址,完成報(bào)文的轉(zhuǎn)發(fā);
[0019] 6)服務(wù)器通過端口跳變引擎實(shí)現(xiàn)跳變端口,修改進(jìn)出服務(wù)器報(bào)文對應(yīng)的端口,完 成與客戶端的通信。
[0020] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟1)包括:
[0021] 在通信的客戶端部署:認(rèn)證單元、跳變同步單元、跳變信息存儲單元、端口跳變引 擎、地址跳變引擎;
[0022] 在服務(wù)器端部署:服務(wù)注冊單元、跳變同步單元、密鑰生成單元、跳變信息存儲單 元、端口跳變引擎;
[0023] 在地址跳變網(wǎng)關(guān)部署:跳變信息存儲單元、跳變同步單元、地址跳變引擎;
[0024] 在可信的第三方部署:認(rèn)證分發(fā)代理。
[0025] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟2)的步驟為:
[0026] 2. 1)管理人員配置部分服務(wù)器跳變參數(shù);
[0027] 所述跳變參數(shù)包括:地址跳變空間Aspaee、端口跳變空間Pspaee、跳變周期T和時隙重 疊因子T,其中〇〈T彡1/2 ;
[0028] 2. 2)由服務(wù)器的密鑰生成單元生成跳變密鑰K;
[0029] 所述跳變密鑰包括地址跳變密鑰Ka、端口跳變密鑰Kp;
[0030] 2. 3)將步驟2. 1)中的地址跳變空間Aspara、端口跳變空間Pspare、跳變周期T和時隙 重疊因子T保存在跳變信息存儲單元,密鑰生成單元將步驟2. 2)中生成的跳變密鑰K保 存在跳變信息存儲單元;服務(wù)器的跳變信息存儲單元中通過服務(wù)器跳變信息表保存以上參 數(shù);
[0031] 2. 4)服務(wù)器的服務(wù)注冊單元向認(rèn)證分發(fā)中心發(fā)起認(rèn)證;
[0032] 若認(rèn)證通過,服務(wù)注冊單元將跳變信息存儲單元保存的跳變參數(shù)安全的發(fā)布到認(rèn) 證分發(fā)中心,授權(quán)的客戶端就可以訪問服務(wù)器提供的服務(wù)了;同時,跳變信息存儲單元將保 存的地址跳變參數(shù)發(fā)送給地址跳變網(wǎng)關(guān);
[0033] 若認(rèn)證失敗,則服務(wù)器不能進(jìn)行服務(wù)注冊,客戶端也不能訪問相應(yīng)的服務(wù)。
[0034] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟3)中,客戶端通過認(rèn)證單元與認(rèn)證分發(fā)中心 建立安全通信,認(rèn)證分發(fā)中心完成對客戶端主機(jī)的認(rèn)證,證明客戶端主機(jī)是合法用戶,然后 客戶端從認(rèn)證分發(fā)中心獲取待訪問服務(wù)器的跳變密鑰、跳變周期、地址和端口跳變范圍、真 實(shí)地址、時隙重疊因子參數(shù)。
[0035] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟4)的具體步驟為:
[0036] 4. 1)跳變同步單元實(shí)現(xiàn)客戶端、地址跳變網(wǎng)關(guān)與服務(wù)器的時鐘同步;
[0037] 4. 2)客戶端將得到的服務(wù)器跳變密鑰、跳變周期、跳變范圍、真實(shí)地址、時隙重疊 因子參數(shù)傳遞到系統(tǒng)內(nèi)核,保存在跳變信息存儲單元,轉(zhuǎn)入執(zhí)行步驟4. 3);
[0038] 4. 3)客戶端地址跳變引擎、端口跳變引擎從跳變信息存儲單元獲取服務(wù)器地址跳 變、端口跳變的參數(shù)信息,計(jì)算服務(wù)器當(dāng)前的跳變地址、跳變端口,修改客戶端主機(jī)發(fā)出和 收到的報(bào)文對應(yīng)的地址和端口,實(shí)現(xiàn)與服務(wù)器通信。
[0039] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟4)中,對于報(bào)文地址、端口的處理有兩種情 況:
[0040] (1)客戶端發(fā)出的報(bào)文:通過Netfilter獲取客戶端發(fā)出的報(bào)文,端口跳變引擎將 報(bào)文的目的端口修改為跳變端口,地址跳變引擎將報(bào)文的目的地址修改為跳變地址,重新 校驗(yàn)后,將報(bào)文發(fā)送到互聯(lián)網(wǎng)中;
[0041] (2)客戶端收到的報(bào)文:通過Netfilter獲取客戶端收到的報(bào)文,地址跳變引擎將 報(bào)文的源地址修改為真實(shí)地址,端口跳變引擎將報(bào)文的源端口修改為真實(shí)端口,重新校驗(yàn) 后,將報(bào)文發(fā)送給上層協(xié)議棧。
[0042] 作為本發(fā)明的進(jìn)一步改進(jìn):所述步驟5)的具體步驟為:
[0043] 5. 1)地址跳變網(wǎng)關(guān)通過跳變同步單元實(shí)現(xiàn)與客戶端、服務(wù)器時鐘同步;
[0044] 5. 2)地址跳變網(wǎng)關(guān)收到服務(wù)器發(fā)來的地址跳變參數(shù),將其
當(dāng)前第1頁1 2 3 4 
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1