技術領域

本發明涉及計算機網絡技術數據安全保護領域，尤其涉及一種IP地址默 認端口轉移加密和端口管道服務方法及裝置。

背景技術

Internet應用層服務器及其支持設備作為信息收集、分配、存儲、處理的 重要載體，是計算機應用系統發揮作用的核心，其服務器數據的安全防泄漏 管理變得越來越重要，借助各種技術手段對開放在廣域網狀態下的服務器及其 支持設備進行主動有效的保護。是安全、有效和具有可主動操作的保密協議建 設的基礎。但是，目前我國使用的數據庫服務器、WEB服務器、網絡存儲服 務器和郵件服務器等Internet應用層服務器基本上使用國外的操作系統和相應 的支持管理軟件，這些服務器管理軟件使用公認端口，也稱默認端口。這類端 口包括0～1023號端口，它們緊密地綁定一些特定的服務。通常，這些端口的 通信明確地表明了某種服務的協議，這類端口不可再重新定義它的作用對象。 另外，各類管理軟件還可以根據自己的軟件需求使用注冊端口，包括 1024～49151號端口，它們松散地綁定了一些服務。也就是說，有許多服務綁定 于這些端口，這些端口同樣用于許多其他的目的。這些端口多數沒有明確定義 的服務對象，不同程序可以根據實際需要自己定義。這些服務端口國外軟件提 供商也沒有給出明確的管理定義，這些端口有48127個之多，不能定位應用層 服務器開那些端口，也就不能知道服務器影射到廣域網上有多少個可以進入的 “門”這些端口都提供怎樣的對外服務。

目前，我國主要通過防火墻等外部服務器支持設備監視和管理服務端口的 狀態變化，并進行偵聽和管理。一般是采用MAC地址綁定技術、VLINE劃分 技術和交換機端口保護命令的配置，被動對Internet應用層服務器和Internet 應用層交換機實現保護。由于網絡用戶的多樣性，被動的端口保護措施可能受 到授權使用范圍內和非授權范圍內網絡客戶端各種形式的主動和被動攻擊。

開放式廣域互聯網基礎上執行C/S或B/S網絡構架下的實時數據的生產、 存儲、修改、統計、分析是目前互聯網應用中的重要組成部分，在廣域網上部 署的信息應用和服務系統，保證信息的保密性、真實性、完整性、未授權拷貝 和所寄生系統的安全性。越來越顯得十分重要。由于IP地址是TCP/IP網絡服 務機構和公共網絡服務商提供網絡連接通道的基礎，網絡應用終端只能使用 TCP/IP網絡服務機構和像聯通、電信和移動等下級間接服務商提供的固定IP 地址或浮動IP地址。末端Internet應用層只能被動的保護所屬IP地址的安全 運行。端口就是計算機和外界連接的通道，端口按照端口號的分布可分為默認 端口、注冊端口以及未開放端口。

數據庫管理系統(SQL，MicrosoftSQLServer)數據應用層管理服務器默認 端口為1433端口，是SQLServer默認端口，SQLServer服務使用兩個端口： TCP-1433、UDP-1434。其中1433用于供SQLServer對外提供服務，1434用 于向請求者返回SQLServer使用了哪個TCP/IP端口。在實際數據庫部署過程 中，跟多技術人員把SQLServer配置的1433端口改變，認為這樣就對數據庫 的端口進行了轉移和保護。可惜，通過UDP-1434端口的UDP探測可以很容 易的知道SQLServer使用了什么TCP/IP端口。仍然不能保證(MicrosoftSQL Server數據庫服務實際使用端口的保密性。

發明內容

本發明實施例提供一種IP地址默認端口轉移加密和端口管道服務方法及 裝置，用以解決現有技術中應用層服務器使用默認端口容易被黑客攻擊導致數 據服務安全性低的問題；解決國家、集團、企業信息自我規則的制定，避免服 務器軟件生產方對數據的非法占有問題。

本發明實施例提供一種IP地址默認端口轉移加密和端口管道服務方法及 裝置。

第一方面，一種IP地址默認端口轉移加密和端口管道服務方法，該方法 包括：

應用層服務器與用戶之間進行數據傳輸時，將應用層服務器所采用的本地 網協IP地址的默認端口轉移至未開放端口，并且將未開放端口進行加密；

按照設定IP地址的端口轉移規則建立端口傳輸的限制管道，并驗證加密 后的未開放端口是否符合設定IP地址的端口轉移規則，在符合設定IP地址的 端口轉移規則時，通過限制管道使用本地IP地址和加密后的未開放端口進行 數據傳輸。