本發明實施例提供了一種基于地址敲門的擴展序列隱蔽認證方法。客戶端通過地址敲門擴展序列的方式進行訪問，服務器記錄嘗試訪問序列，并對數據包中地址字段進行提取并認證。本發明將地址敲門序列采用二進制序列的方式表示，通過轉化隱藏于源端口字段進行敲門序列的自攜帶，利用矩陣轉置相乘的原理將嘗試訪問序列與解析得到的序列進行匹配，匹配通過的可信客戶端將獲取服務或進行通信。

技術領域

本發明為網絡安全領域，涉及一種端口關閉時通信或服務雙方身份認證問題，從端口的安全性及身份認證的隱蔽性角度出發設計實現一種基于端址敲門的擴展序列隱蔽認證方法。

背景技術

隨著互聯網的不斷發展，網絡信息的不安全性以及系統存在的漏洞導致網絡安全問題頻發，合理的網絡防御策略對保護網絡通信雙方信息與系統安全具有重要意義。防火墻作為網絡防御的第一道屏障通過一定的控制策略對流入流出的網絡流量進行控制，正常的網絡通信與服務是通過防火墻開放端口進行的。客戶端通過固定的端口向服務器發起請求，獲取服務或進行信息交換，但開放的端口同時為攻擊者提供了便利。攻擊者通過掃描獲取當前端口信息，進而監聽開放的端口竊取信息或發起攻擊等，因此端口安全問題引起了研究者的廣泛關注。

端口敲門是由M.Krzywinski提出的一種繞過防火墻等安全措施進行認證的方法，可以在端口關閉的情況下進行身份的認證，進而在主機之間建立連接。所謂的敲門是由一個嘗試訪問系統上關閉端口的序列組成，這些嘗試訪問的過程被后臺進程記錄下來，如果嘗試序列與預先設定的序列相符合，就可以打開某個端口進行服務與通信。這就像我們要去敲朋友家的門，事先約定暗號，先敲幾下，再敲幾下，如果敲門序列動作符合我們事先的約定，門則打開，否則就保持關閉，由此實現了在端口關閉的情況下進行身份的認證，從而保證保護端口的安全。但端口敲門是與上層協議有關的一種敲門方式，需要記錄對上層端口訪問進行驗證。地址敲門技術與端口敲門相比最大的優點是與上層協議無關，當敲門嘗試到達時，即可通過獲取敲門序列的目的地址字段進行驗證判斷是否為合法的請求。同時地址敲門中采用虛假地址池的方式，從中選擇并利用虛假的目的地址進行訪問，攻擊者無法獲取真實地址，保證了被訪問服務器的安全。地址敲門是對于一個完整序列的驗證，此方式進行服務的請求與通信使網絡流量增大且雜亂無章，相對于傳統的請求認證方式來說隱蔽性強，同時定期更換虛假地址池能夠達到更好地迷惑攻擊者的目的。

采用敲門序列進行認證的優點是其偽裝成正常的訪問嘗試對關閉的端口進行訪問，在攻擊者看來是不可達的訪問，實現了認證的隱蔽性與安全性；當攻擊者進行截獲攻擊獲取某一序列元素時，由于不能在大量訪問中準確識別出完整的敲門序列，部分信息的獲取對其來說并無價值，從而抵抗截獲攻擊；利用敲門序列進行服務的獲取，傳統的連接方式無法進行訪問，從而保證了服務的隱蔽性與安全性。

發明內容

針對上述利用地址敲門進行身份認證的方法，本發明提供了一種地址敲門序列的生成與驗證方法，以實現快速識別敲門序列的目的，應用于可信雙方通信過程中。地址敲門序列的生成采取隨機選取的方式，通信雙方共享秘密地址池和秘密數，并從中選取生成隨機地址序列，通過序列自攜帶的方式進行目標序列的設定，無需提前協商固定序列，增加序列靈活性。地址敲門序列的驗證利用矩陣轉置相乘原理，將嘗試訪問序列與敲門序列進行匹配，提高驗證速度，保證驗證的安全性與隱蔽性。

為達到上述目的，提出的一種基于地址敲門的擴展序列隱蔽認證方法，主要包括服務器端和客戶端兩部分：

客戶端部分含有以下幾個模塊：

地址敲門序列生成模塊：從秘密地址池中隨機選取隨機數量的地址作為敲門序列，將序列轉化為二進制形式，即將被選中地址的對應位置置為1；

地址敲門模塊：通過序列自攜帶的方式將秘密數處理后的十進制數作為源端口封裝在敲門數據包中，通過發送敲門數據包進行地址敲門；

通信模塊：發送請求驗證通過后與服務器進行通信；

服務器端部分含有以下幾個模塊：