[发明专利]一种基于地址敲门的扩展序列隐蔽认证方法

说明书

本发明实施例提供了一种基于地址敲门的扩展序列隐蔽认证方法。客户端通过地址敲门扩展序列的方式进行访问，服务器记录尝试访问序列，并对数据包中地址字段进行提取并认证。本发明将地址敲门序列采用二进制序列的方式表示，通过转化隐藏于源端口字段进行敲门序列的自携带，利用矩阵转置相乘的原理将尝试访问序列与解析得到的序列进行匹配，匹配通过的可信客户端将获取服务或进行通信。

技术领域

本发明为网络安全领域，涉及一种端口关闭时通信或服务双方身份认证问题，从端口的安全性及身份认证的隐蔽性角度出发设计实现一种基于端址敲门的扩展序列隐蔽认证方法。

背景技术

随着互联网的不断发展，网络信息的不安全性以及系统存在的漏洞导致网络安全问题频发，合理的网络防御策略对保护网络通信双方信息与系统安全具有重要意义。防火墙作为网络防御的第一道屏障通过一定的控制策略对流入流出的网络流量进行控制，正常的网络通信与服务是通过防火墙开放端口进行的。客户端通过固定的端口向服务器发起请求，获取服务或进行信息交换，但开放的端口同时为攻击者提供了便利。攻击者通过扫描获取当前端口信息，进而监听开放的端口窃取信息或发起攻击等，因此端口安全问题引起了研究者的广泛关注。

端口敲门是由M.Krzywinski提出的一种绕过防火墙等安全措施进行认证的方法，可以在端口关闭的情况下进行身份的认证，进而在主机之间建立连接。所谓的敲门是由一个尝试访问系统上关闭端口的序列组成，这些尝试访问的过程被后台进程记录下来，如果尝试序列与预先设定的序列相符合，就可以打开某个端口进行服务与通信。这就像我们要去敲朋友家的门，事先约定暗号，先敲几下，再敲几下，如果敲门序列动作符合我们事先的约定，门则打开，否则就保持关闭，由此实现了在端口关闭的情况下进行身份的认证，从而保证保护端口的安全。但端口敲门是与上层协议有关的一种敲门方式，需要记录对上层端口访问进行验证。地址敲门技术与端口敲门相比最大的优点是与上层协议无关，当敲门尝试到达时，即可通过获取敲门序列的目的地址字段进行验证判断是否为合法的请求。同时地址敲门中采用虚假地址池的方式，从中选择并利用虚假的目的地址进行访问，攻击者无法获取真实地址，保证了被访问服务器的安全。地址敲门是对于一个完整序列的验证，此方式进行服务的请求与通信使网络流量增大且杂乱无章，相对于传统的请求认证方式来说隐蔽性强，同时定期更换虚假地址池能够达到更好地迷惑攻击者的目的。

采用敲门序列进行认证的优点是其伪装成正常的访问尝试对关闭的端口进行访问，在攻击者看来是不可达的访问，实现了认证的隐蔽性与安全性；当攻击者进行截获攻击获取某一序列元素时，由于不能在大量访问中准确识别出完整的敲门序列，部分信息的获取对其来说并无价值，从而抵抗截获攻击；利用敲门序列进行服务的获取，传统的连接方式无法进行访问，从而保证了服务的隐蔽性与安全性。

发明内容

针对上述利用地址敲门进行身份认证的方法，本发明提供了一种地址敲门序列的生成与验证方法，以实现快速识别敲门序列的目的，应用于可信双方通信过程中。地址敲门序列的生成采取随机选取的方式，通信双方共享秘密地址池和秘密数，并从中选取生成随机地址序列，通过序列自携带的方式进行目标序列的设定，无需提前协商固定序列，增加序列灵活性。地址敲门序列的验证利用矩阵转置相乘原理，将尝试访问序列与敲门序列进行匹配，提高验证速度，保证验证的安全性与隐蔽性。

为达到上述目的，提出的一种基于地址敲门的扩展序列隐蔽认证方法，主要包括服务器端和客户端两部分：

客户端部分含有以下几个模块：

地址敲门序列生成模块：从秘密地址池中随机选取随机数量的地址作为敲门序列，将序列转化为二进制形式，即将被选中地址的对应位置置为1；

地址敲门模块：通过序列自携带的方式将秘密数处理后的十进制数作为源端口封装在敲门数据包中，通过发送敲门数据包进行地址敲门；

通信模块：发送请求验证通过后与服务器进行通信；

服务器端部分含有以下几个模块：