CN107707559A - 一种用于端信息高速跳变的跳扩混合同步方法 - Google Patents

一种用于端信息高速跳变的跳扩混合同步方法 Download PDF

Info

Publication number
CN107707559A
CN107707559A CN201711053037.0A CN201711053037A CN107707559A CN 107707559 A CN107707559 A CN 107707559A CN 201711053037 A CN201711053037 A CN 201711053037A CN 107707559 A CN107707559 A CN 107707559A
Authority
CN
China
Prior art keywords
port
sequence
seq
client
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201711053037.0A
Other languages
English (en)
Inventor
石乐义
李剑蓝
崔玉文
郭宏彬
吕献勇
孙慧
薛智宇
单宝颖
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China University of Petroleum East China
Original Assignee
China University of Petroleum East China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China University of Petroleum East China filed Critical China University of Petroleum East China
Priority to CN201711053037.0A priority Critical patent/CN107707559A/zh
Publication of CN107707559A publication Critical patent/CN107707559A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5092Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供了一种用于端信息高速跳变的跳扩混合同步方法,该方法采用端口地址认证的方式实现端信息扩展思想。客户端利用端口地址认证数据包的形式发送端信息扩展序列至端信息跳变服务器。端信息跳变服务器利用监听进程捕获数据包,通过解析数据包获得目的地址与目的端口、源地址与源端口,解析并进而验证端信息扩展序列的合法性。通过验证的客户端即可与端信息跳变服务器建立连接并获取服务。该方法通过客户端的序列编码和服务器端的解码验证,实现了将传统的单一身份验证信息扩展为多条信息的组合序列。攻击者对扩展序列中某一条信息的捕获与解析无法获取完整的端信息扩展序列,从而有效保障了通信的隐蔽性和安全性。

Description

一种用于端信息高速跳变的跳扩混合同步方法
技术领域
本发明涉及一种用于端信息高速跳变的跳扩混合同步方法,针对端信息高速跳变下同步认证问题,受扩频思想启发,提出端信息扩展概念,采用扩展序列的形式表示认证信息。描述了基于端信息扩展的跳变与同步策略,实现了端信息跳变策略与同步策略的分离,并具有很高的隐蔽性。
背景技术
随着网络攻击技术的不断发展,***的攻击方式使得网络安全问题频发。传统的网络防御策略多以静态防御为主,其在攻击者发起进攻之时被动的采取防御措施,使得防御者在信息战中十分被动。
端信息跳变是一种主动网络防御技术,它借鉴军事跳频通信的思想,通过不断改变地址、端口、协议、加密算法等端信息,能够有效隐藏真实服务信息以迷惑攻击者,使攻击者在攻击准备阶段无法准确定位攻击目标,从而增加攻击成本及复杂度,降低攻击成功的概率,保障***的安全性。
端信息跳变同步策略能够实现在端信息动态变化的过程中,攻击者无法准确知晓服务器当前端信息,而可信客户端可以正常进行认证和通信。传统跳变同步策略中客户端往往是通过对当前端信息进行服务请求以建立连接,由于需要知晓当前端信息的跳变情况,因此受跳变策略中跳变时隙、跳变算法的影响。当跳变速度较快时,难以在有效时间内对当前端信息发起准确请求,限制了端信息跳变在高速跳变环境下的应用。由于低速跳变时隐蔽性低,易被攻击者发现并在当前端信息的有效时隙内发起攻击,因此在安全性能要求较高的网络通信中,仍需要满足高速跳变下的同步认证以实现隐蔽通信,使攻击者对跳变服务无计可施。
针对端信息高速跳变下同步认证问题,本发明提出一种跳扩混合同步方法,将认证信息采用端信息扩展序列的形式表示,通信双方通过共享密钥生成与识别扩展序列进行同步认证,能够适用于高度隐蔽性要求下的高速跳变同步问题。
发明内容
为解决高速跳变下的同步认证难的问题,本发明提出了一种用于端信息高速跳变的跳扩混合同步方法。受扩频思想启发,提出端信息扩展概念,采用扩展序列的形式表示认证信息。其特征在于以下步骤:
(1)端信息跳变服务器进行跳变初始化。在跳变地址池IPhop中随机选取跳变地址,并在Porthop范围内随机选取跳变端口,确定跳变服务以及合理的跳变时隙;
(2)端信息跳变服务器启动跳变模式。服务器以当前跳变时隙,不断地在跳变地址池以及跳变端口范围内随机选取跳变端信息,提供跳变服务。同时,启动数据包捕获进程,监听客户端发送端址序列;
(3)客户端利用端信息扩展序列生成算法从地址池IPpool中选择扩展地址并通过校验函数得出扩展端口号序列从而确定本次服务请求的端信息扩展序列Seq;
(4)客户端将生成的地址与端口作为目的地址、目的端口号,结合源地址与端口号组成本次端址序列Kseq。并将序列中地址与端口号封装在数据包中,根据序列逐个发送;
(5)端信息跳变服务器通过数据包捕获进程监听数据包,对数据包过滤解析,根据解析内容利用地址验证算法进行地址的识别,并通过校验算法验证端口号,进而对数据包组合进行序列认证;
(6)通过认证后的客户端,即可与端信息跳变服务器建立连接并获取服务。
端信息跳扩混合同步策略能够有效完成在高速跳变下可信客户端的同步认证,同时针对常见网络攻击有良好的防御效果,能够实现跳变服务的高度隐蔽性,实现隐蔽通信,达到主动网络防御的目的。
附图说明
为了更清楚的说明本发明实施例中的技术方案,下面结合附图与具体实施方案对本发明做进一步说明:
图1是端信息扩展示意图。
图2是端信息跳扩混合同步认证流程图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
本发明采用端口地址认证的方式实现端信息扩展思想。端口认证是一种可以在端口关闭的情况下在主机之间建立连接的技术。通过后台进程把对关闭端口的尝试访问序列记录下来,为符合预先设置序列的可信客户端开放服务。地址认证技术通过获取认证序列的IP地址进行验证判断是否为合法的请求,从而为其开放服务。为保证认证的可靠性与隐蔽性,本方法中将端口认证与地址认证相结合,利用端信息扩展的方式实现无需真实目标端信息的服务请求,因此通过端信息扩展序列认证的方式能够实现在服务器端信息跳变的情况下的同步请求。该发明主要包含以下几个步骤:
a.端信息跳变服务器进行跳变初始化。在跳变地址池IPhop中随机选取跳变地址,并在Porthop范围内随机选取跳变端口,确定跳变服务以及合理的跳变时隙;
b.端信息跳变服务器启动跳变模式。跳变服务器以当前跳变时隙,不断地在跳变地址池以及跳变端口范围内随机选取跳变端信息,提供跳变服务。同时,启动数据包捕获进程,监听客户端发送端址序列;
c.客户端确定本次服务请求的端信息扩展序列Seq,首先,通信双方共享地址池IPpool={ip1,ip2...ipk},通过地址选取算法ipm=g(IPpool,m)从地址池IPpool中选取m个扩展地址组成地址序列IPseq={ip1,ip2...ipm},利用选中的扩展地址序列通过端口序列生成算法portm=f(IPseq,key,m)计算得出本次扩展端口号序列Portseq={port1,port2...portm},f为对扩展地址进行校验的端口生成函数,key为动态共享密钥,服务器维护一个源IP-key键值表,不在此表中的可信客户端key值为初始值,每次认证成功后对应客户端与服务器的key值同时进行等量变换。故本次端信息扩展序列为Seq={(ip1,port1),(ip2,port2)...(ipm,portm)}。
d.客户端将生成的地址与端口作为目的地址、目的端口号,结合源地址与端口号组成本次端址序列:
Kseq={(dip1,dport1,sip1,sport1),(dip2,dport2,sip2,sport2)...(dipm,dportm,sipm,sportm)},并将序列中地址与端口号封装在数据包中,根据序列逐个发送;
e.端信息跳变服务器通过数据包捕获进程获取数据包,对数据包组合进行序列认证,通过解析数据包获得目的地址与目的端口、源地址与源端口,地址验证算法为ipm=g′(IPpool,m),利用其得到IP序列,并用端口号校验函数portm=f′(IPseq,key,m)进行校验,然后用序列验证算法Check(IPseq,Portseq,m,τ),其中,τ为序列容错率,验证监听到的合法数据包组合是否符合端信息扩展序列。
f.通过认证后的客户端,即可与端信息跳变服务器建立连接并获取服务。
本发明主要针对端信息高速跳变过程中的同步问题而提出,端信息跳扩混合同步能够满足高速跳变下的认证效率,隐蔽通信及安全性,有效实现主动网络防御。

Claims (4)

1.一种用于端信息高速跳变的跳扩混合同步方法,其特征在于包含以下步骤:
a.端信息服务器进行跳变初始化;
b.端信息服务器启动跳变模式;
c.客户端确定本次服务请求的端信息扩展序列Seq;
d.客户端生成本次端口地址认证序列Kseq,并将序列中地址与端口号封装在数据包中,根据序列逐个发送;
e.端信息跳变服务器监听到达的数据包序列并进行认证;
f.通过认证后的客户端,即可与跳变服务器建立连接并获取服务。
2.根据权利要求1所述的一种用于端信息高速跳变的跳扩混合同步方法,其特征在于:
所述步骤c中,端信息扩展序列Seq可描述为:
IPpool={ip1,ip2...ipk},IPpool为双方共享地址池;
ipm=g(IPpool,m),g为地址选取算法,m为选取的地址序号;
IPseq={ip1,ip2...ipm},IPseq为组成的扩展地址序列;
portm=f(IPseq,key,m),f为对地址进行校验的端口生成函数,key为动态共享密钥,m为选取的端口序号;
Portseq={port1,port2...portm},Portseq为扩展端口号序列;
Seq={(ip1,port1),(ip2,port2)...(ipm,portm)},Seq为端信息扩展序列。
3.根据权利要求1所述的一种用于端信息高速跳变的跳扩混合同步方法,其特征在于:
所述步骤d中,端址序列Kseq可描述为:
Kseq={(dip1,dport1,sip1,sport1),(dip2,dport2,sip2,sport2)...(dipm,dportm,sipm,sportm)},
其中,dipm,dportm是端信息扩展序列Seq中的IP和端口作为目的IP和目的端口,sipm,sportm是源IP和源端口。
4.根据权利要求1所述的一种用于端信息高速跳变的跳扩混合同步方法,其特征在于:
所述步骤e中,序列认证可描述为:
服务端收到端址序列后,利用地址验证算法ipm=g′(IPpool,m)和端口号校验函数portm=f′(IPseq,key,m)分别得到IP序列和端口序列,并利用序列验证算法Check(IPseq,Portseq,m,τ)对实际认证情况进行验证,判断是否认证通过。
CN201711053037.0A 2017-11-01 2017-11-01 一种用于端信息高速跳变的跳扩混合同步方法 Pending CN107707559A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711053037.0A CN107707559A (zh) 2017-11-01 2017-11-01 一种用于端信息高速跳变的跳扩混合同步方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711053037.0A CN107707559A (zh) 2017-11-01 2017-11-01 一种用于端信息高速跳变的跳扩混合同步方法

Publications (1)

Publication Number Publication Date
CN107707559A true CN107707559A (zh) 2018-02-16

Family

ID=61177406

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711053037.0A Pending CN107707559A (zh) 2017-11-01 2017-11-01 一种用于端信息高速跳变的跳扩混合同步方法

Country Status (1)

Country Link
CN (1) CN107707559A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108924122A (zh) * 2018-06-28 2018-11-30 无锡宏创盛安科技有限公司 一种网络敌我识别方法及***
CN110113365A (zh) * 2019-06-05 2019-08-09 中国石油大学(华东) 一种用于Web服务的移动目标防御***协同控制方法
CN110798423A (zh) * 2018-08-01 2020-02-14 阿里巴巴集团控股有限公司 消息处理方法及装置、安全防护设备及终端设备
CN111447588A (zh) * 2020-04-03 2020-07-24 成都信息工程大学 一种基于端信息跳变的车联网安全通信方法、***及应用
CN111525942A (zh) * 2019-12-27 2020-08-11 中国石油大学(华东) 一种基于端信息扩展序列与m序列的安全通信方法
CN111614606A (zh) * 2019-12-27 2020-09-01 中国石油大学(华东) 一种基于端信息扩展序列与切比雪夫多项式的身份认证方法
CN113014682A (zh) * 2019-12-20 2021-06-22 中兴通讯股份有限公司 实现网络动态性的方法、***、终端设备及存储介质
CN115580410A (zh) * 2022-10-19 2023-01-06 中国石油大学(华东) 一种基于认证同步的端信息跳变主动防御方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101571587A (zh) * 2009-05-22 2009-11-04 哈尔滨工程大学 扩跳频体制的无线电导航***
CN105245248A (zh) * 2015-10-27 2016-01-13 国网辽宁省电力有限公司营口供电公司 一种在强电磁干扰环境下实现跳频通信的方法
CN105262737A (zh) * 2015-09-24 2016-01-20 西安电子科技大学 一种基于跳通道模式的抵御ddos攻击的方法
CN106790641A (zh) * 2017-01-11 2017-05-31 中国人民解放军国防信息学院 一种端信息跳变Web服务访问控制方法及装置
CN107248911A (zh) * 2017-06-02 2017-10-13 中国石油大学(华东) 一种基于地址敲门的扩展序列隐蔽认证方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101571587A (zh) * 2009-05-22 2009-11-04 哈尔滨工程大学 扩跳频体制的无线电导航***
CN105262737A (zh) * 2015-09-24 2016-01-20 西安电子科技大学 一种基于跳通道模式的抵御ddos攻击的方法
CN105245248A (zh) * 2015-10-27 2016-01-13 国网辽宁省电力有限公司营口供电公司 一种在强电磁干扰环境下实现跳频通信的方法
CN106790641A (zh) * 2017-01-11 2017-05-31 中国人民解放军国防信息学院 一种端信息跳变Web服务访问控制方法及装置
CN107248911A (zh) * 2017-06-02 2017-10-13 中国石油大学(华东) 一种基于地址敲门的扩展序列隐蔽认证方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
LEYI SHI ; CHUNFU JIA ; SHUWANG LU: "Full Service Hopping for Proactive Cyber-Defense", 《2008 IEEE INTERNATIONAL CONFERENCE ON NETWORKING, SENSING AND CONTROL》 *
刘杰; 刘建国; 朱春祥: "一种基于主动防御技术的跳扩混合Web应用***设计", 《重庆理工大学学报》 *

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108924122B (zh) * 2018-06-28 2021-01-08 无锡宏创盛安科技有限公司 一种网络敌我识别方法及***
CN108924122A (zh) * 2018-06-28 2018-11-30 无锡宏创盛安科技有限公司 一种网络敌我识别方法及***
CN110798423B (zh) * 2018-08-01 2022-04-15 阿里巴巴集团控股有限公司 消息处理方法及装置、安全防护设备及终端设备
CN110798423A (zh) * 2018-08-01 2020-02-14 阿里巴巴集团控股有限公司 消息处理方法及装置、安全防护设备及终端设备
CN110113365A (zh) * 2019-06-05 2019-08-09 中国石油大学(华东) 一种用于Web服务的移动目标防御***协同控制方法
CN113014682A (zh) * 2019-12-20 2021-06-22 中兴通讯股份有限公司 实现网络动态性的方法、***、终端设备及存储介质
CN113014682B (zh) * 2019-12-20 2023-09-15 中兴通讯股份有限公司 实现网络动态性的方法、***、终端设备及存储介质
CN111525942A (zh) * 2019-12-27 2020-08-11 中国石油大学(华东) 一种基于端信息扩展序列与m序列的安全通信方法
CN111614606A (zh) * 2019-12-27 2020-09-01 中国石油大学(华东) 一种基于端信息扩展序列与切比雪夫多项式的身份认证方法
CN111614606B (zh) * 2019-12-27 2021-05-25 中国石油大学(华东) 一种基于端信息扩展序列与切比雪夫多项式的身份认证方法
CN111447588A (zh) * 2020-04-03 2020-07-24 成都信息工程大学 一种基于端信息跳变的车联网安全通信方法、***及应用
CN115580410A (zh) * 2022-10-19 2023-01-06 中国石油大学(华东) 一种基于认证同步的端信息跳变主动防御方法
CN115580410B (zh) * 2022-10-19 2024-03-29 中国石油大学(华东) 一种基于认证同步的端信息跳变主动防御方法

Similar Documents

Publication Publication Date Title
CN107707559A (zh) 一种用于端信息高速跳变的跳扩混合同步方法
CN103581173B (zh) 一种基于工业以太网的数据安全传输方法、***及装置
CN111585890B (zh) 基于SRv6的网络路径验证方法及***
CN111464503B (zh) 基于随机多维变换的网络动态防御方法、装置及***
CN108632231A (zh) 一种物联网设备、物联网认证平台、认证方法及***
CN106936570A (zh) 一种密钥配置方法及密钥管理中心、网元
CN108574668B (zh) 一种基于机器学习的DDoS攻击流量峰值预测方法
CN107508847A (zh) 一种连接建立方法、装置和设备
CN105578463B (zh) 一种双连接安全通讯的方法及装置
CN104917765A (zh) 一种防范攻击的方法和设备
Malekzadeh et al. A new security model to prevent denial‐of‐service attacks and violation of availability in wireless networks
CN106850207A (zh) 无ca的身份认证方法和***
CN107342964B (zh) 一种报文解析方法及设备
CN107819730A (zh) 数据传输方法、安全隔离装置及车载以太网***
CN108777650A (zh) 一种基于受控节点的匿名网络溯源方法
CN107508822A (zh) 访问控制方法及装置
CN114071462B (zh) 一种无人机群防御卫星导航诱骗方法
CN110519052A (zh) 基于物联网操作***的数据交互方法和装置
CN105262737A (zh) 一种基于跳通道模式的抵御ddos攻击的方法
CN103051598B (zh) 安全接入互联网业务的方法、用户设备和分组接入网关
Eikemeier et al. History-free aggregate message authentication codes
CN113849815A (zh) 一种基于零信任和机密计算的统一身份认证平台
CN106454814A (zh) 一种用于gtp隧道通信的***与方法
CN107835168A (zh) 一种基于端信息扩展序列矩阵转置相乘的认证方法
CN115051836A (zh) 基于sdn的apt攻击动态防御方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20180216