技術領域

本發明涉及一種基于端信息擴展序列的源端口隱藏自攜帶認證方法，與傳統端址認證中預先協商好端信息序列不同，本發明采用端信息擴展序列自攜帶的方式進行擴展序列的共享，即端信息擴展序列由客戶端隨機生成并將其進行加密后隱藏在源端口中，通過序列自攜帶的方式告知服務器端，保證了端信息擴展同步過程的動態性、隱蔽性、安全性。

背景技術

隨著網絡技術的發展，網絡環境不斷地動態變化，新的協議、應用、操作系統的發布帶來了一系列漏洞和安全隱患，鑒于傳統的防御措施的不足，主動網絡防御手段應運而生。

端信息擴展是借鑒擴頻通信的思想而提出的概念，將單一端信息用擴展序列的方式表示，通過端口地址擴展序列認證的方式實現端信息擴展。利用端信息擴展的方式實現身份認證，能夠增加攻擊成本，降低攻擊成功率，達到主動網絡防御的目的。

傳統的端信息擴展認證方法是通信雙方預先協商好端址序列，并按照一定規律變化端址序列，攻擊者通過截獲大量報文分析即可找出規律，從而偽造客戶端進行認證。面對傳統認證方法帶來的問題，基于端信息擴展序列的源端口隱藏自攜帶認證方法更能夠保證端信息擴展同步過程的動態性、隱蔽性、安全性。

發明內容

與傳統端口認證方法中預先協商好端口序列不同，本方法采用端信息擴展序列自攜帶的方式進行擴展序列的共享，即端信息擴展序列由客戶端隨機生成并將其進行加密后隱藏在源端口中，通過序列自攜帶的方式告知服務器端。服務器通過解密獲取本次端信息擴展的序列并通過此序列進行客戶端身份的識別，實現無需預先設定認證序列的同步認證。

端信息擴展序列加密過程可描述為：

a.從地址池IP_pool＝{ip₁,ip₂...ip_s}中隨機選擇若干地址，形成本次擴展地址序列IP_pool1＝{0,0,...,ip_d,...,ip_i,ip_j,...,0,0}；

b.將地址序列轉換為二進制0,1表示的形式，即1表示選中某一地址，0表示未選中，則序列為IP′_pool1＝{0,0,...,1,...,1,1,...,0,0}。

c.將二進制序列00...1...11...00進行計算轉換為十進制數，并通過密鑰key進行加密，即由此得出端信息擴展序列的源端口號，從而將端信息擴展序列隱藏在源端口中。

服務器端解密可描述為：

服務器維護一個源IP-key鍵值表，不在此表中的可信客戶端key值為初始值，每次認證成功后對應客戶端與服務器的key值同時進行等量變換。服務器利用捕獲到的源端口信息和key值反向推導得到端信息擴展序列。

附圖說明

為了更清楚的說明本發明實施例中的技術方案，下面結合附圖與具體實施方案對本發明做進一步說明：

圖1是跳變Web客戶端系統的訪問示意圖。

圖2是跳變Web客戶端系統的訪問流程圖。

具體實施方式

下面結合附圖對本發明作進一步詳細的描述。

本方法中通過將選中地址對應地址池中的位置轉換成二進制的方式，用二進制序列來表示地址序列。利用二進制與十進制數字的對應關系，將地址序列以數字的形式表示，并用密鑰key進行加密轉換后作為源端口號，從而將端信息擴展序列隱藏在源端口中。源端口字段在網絡中是本地端口，用于接收服務器返回的消息，通常為系統自動生成，在網絡攻擊中少有針對源端口的攻擊，因此將端信息擴展序列的信息隱藏在源端口中具有一定的隱蔽性。具體實現方案如下：

(1)首先通過隨機生成序列的方式在大小為s的地址池IP_pool＝{ip₁,ip₂...ip_s}中選擇m個地址，若對應位置分別為i,j,q(假設m＝3)，則本次擴展地址序列為

IP_pool1＝{0,0,...,ip_q,...,ip_i,ip_j,...,0,0}。

(2)將地址序列轉換為二進制0,1表示的形式，即1表示選中某一地址，0表示未選中，則序列為IP′_pool1＝{0,0,...,1,...,1,1,...,0,0}。