[发明专利]一种基于端信息扩展序列的源端口隐藏自携带认证方法

说明书

技术领域

本发明涉及一种基于端信息扩展序列的源端口隐藏自携带认证方法，与传统端址认证中预先协商好端信息序列不同，本发明采用端信息扩展序列自携带的方式进行扩展序列的共享，即端信息扩展序列由客户端随机生成并将其进行加密后隐藏在源端口中，通过序列自携带的方式告知服务器端，保证了端信息扩展同步过程的动态性、隐蔽性、安全性。

背景技术

随着网络技术的发展，网络环境不断地动态变化，新的协议、应用、操作系统的发布带来了一系列漏洞和安全隐患，鉴于传统的防御措施的不足，主动网络防御手段应运而生。

端信息扩展是借鉴扩频通信的思想而提出的概念，将单一端信息用扩展序列的方式表示，通过端口地址扩展序列认证的方式实现端信息扩展。利用端信息扩展的方式实现身份认证，能够增加攻击成本，降低攻击成功率，达到主动网络防御的目的。

传统的端信息扩展认证方法是通信双方预先协商好端址序列，并按照一定规律变化端址序列，攻击者通过截获大量报文分析即可找出规律，从而伪造客户端进行认证。面对传统认证方法带来的问题，基于端信息扩展序列的源端口隐藏自携带认证方法更能够保证端信息扩展同步过程的动态性、隐蔽性、安全性。

发明内容

与传统端口认证方法中预先协商好端口序列不同，本方法采用端信息扩展序列自携带的方式进行扩展序列的共享，即端信息扩展序列由客户端随机生成并将其进行加密后隐藏在源端口中，通过序列自携带的方式告知服务器端。服务器通过解密获取本次端信息扩展的序列并通过此序列进行客户端身份的识别，实现无需预先设定认证序列的同步认证。

端信息扩展序列加密过程可描述为：

a.从地址池IP_pool＝{ip₁,ip₂...ip_s}中随机选择若干地址，形成本次扩展地址序列IP_pool1＝{0,0,...,ip_d,...,ip_i,ip_j,...,0,0}；

b.将地址序列转换为二进制0,1表示的形式，即1表示选中某一地址，0表示未选中，则序列为IP′_pool1＝{0,0,...,1,...,1,1,...,0,0}。

c.将二进制序列00...1...11...00进行计算转换为十进制数，并通过密钥key进行加密，即由此得出端信息扩展序列的源端口号，从而将端信息扩展序列隐藏在源端口中。

服务器端解密可描述为：

服务器维护一个源IP-key键值表，不在此表中的可信客户端key值为初始值，每次认证成功后对应客户端与服务器的key值同时进行等量变换。服务器利用捕获到的源端口信息和key值反向推导得到端信息扩展序列。

附图说明

为了更清楚的说明本发明实施例中的技术方案，下面结合附图与具体实施方案对本发明做进一步说明：

图1是跳变Web客户端系统的访问示意图。

图2是跳变Web客户端系统的访问流程图。

具体实施方式

下面结合附图对本发明作进一步详细的描述。

本方法中通过将选中地址对应地址池中的位置转换成二进制的方式，用二进制序列来表示地址序列。利用二进制与十进制数字的对应关系，将地址序列以数字的形式表示，并用密钥key进行加密转换后作为源端口号，从而将端信息扩展序列隐藏在源端口中。源端口字段在网络中是本地端口，用于接收服务器返回的消息，通常为系统自动生成，在网络攻击中少有针对源端口的攻击，因此将端信息扩展序列的信息隐藏在源端口中具有一定的隐蔽性。具体实现方案如下：

(1)首先通过随机生成序列的方式在大小为s的地址池IP_pool＝{ip₁,ip₂...ip_s}中选择m个地址，若对应位置分别为i,j,q(假设m＝3)，则本次扩展地址序列为

IP_pool1＝{0,0,...,ip_q,...,ip_i,ip_j,...,0,0}。

(2)将地址序列转换为二进制0,1表示的形式，即1表示选中某一地址，0表示未选中，则序列为IP′_pool1＝{0,0,...,1,...,1,1,...,0,0}。