本發明涉及一種合法端信息擴展序列的驗證方法，所述方法在客戶端采用抗重放攻擊算法利用時間戳，生成套接字數據包使用的端信息SrcIP，此端信息所具有時效性能夠提高端信息擴展序列的抗重放攻擊能力。為了提高單條端信息擴展數據包在復雜網絡環境中的生存能力，本發明將端信息DstPort進行端口離散并經過DstIP選擇算法確定另一端信息DstIP,接收方只需驗證DstPort與DstIP的正確性即可完成對合法端信息擴展數據包的驗證。本發明提高了合法端信息擴展序列的驗證效率以及過濾無效數據包的能力，使得端信息擴展序列能夠更好地適應于復雜網絡環境。

技術領域

本發明涉及一種合法端信息擴展序列的驗證方法，旨在實現復雜網絡環境下合法端信息擴展序列的識別與驗證，屬于網絡安全技術領域。

背景技術

網絡套接字(socket)是用于訪問底層網絡協議的接口，是網絡中兩個不同主機進程之間進行通信的基石，位于應用層與傳輸層之間。套接字產生的數據包中包含源地址、源端口號、目的地址、目的端口號以及通信協議等，其中地址與端口號用于識別網絡中具體主機上的具體服務。套接字在使用的過程中將通信雙方分為服務器端和客戶端，其中服務器端通過創建套接字的方式將需要傳輸的數據寫入套接字數據包中并發送至網絡環境中，經過網絡傳輸后到達客戶端，客戶端進程通過識別并解析套接字數據包而獲取信息。

端信息擴展是指將通信內容或合法身份信息通過端信息擴展算法進行轉換，用多項端信息組成序列的方式表示一條信息，各項端信息與所傳遞的信息本身無關。發送方將通信內容或者合法身份認證信息通過端信息擴展算法進行轉換，將通信內容或合法身份認證信息隱藏在端信息擴展序列中并發送至網絡，接收方通過監聽網絡數據流并識別出可信客戶端或解析出發送方發出的通信內容。

端信息擴展序列具有良好的隱蔽性和抗分析能力。但現有的端信息擴展序列生成算法所產生的端信息擴展序列間具有較強的關聯性且抗重放攻擊能力差、認證效率低。本發明采用抗重放攻擊算法利用時間戳提高端信息擴展序列的抗重放攻擊能力，利用端口離散化算法與DstIP選擇算法實現合法端信息擴展序列的識別與驗證，降低端信息擴展序列間的關聯性，提高單條端信息擴展數據包在復雜網絡環境中生存能力的同時提高服務器對合法端信息擴展序列的驗證效率。

發明內容

為了提高端信息擴展序列的抗重放攻擊能力，本發明采用抗重放攻擊算法利用時間戳，生成套接字數據包使用的端信息SrcIP，此端信息所具有時效性能夠提高端信息擴展序列的抗重放攻擊能力；為了提高單條端信息擴展數據包在復雜網絡環境中的生存能力，本發明將端信息DstPort進行端口離散并經過DstIP選擇算法確定另一端信息DstIP,接收方只需驗證DstPort與DstIP的正確性即可對合法端信息擴展數據包進行驗證，從而提高驗證效率以及提高過濾無效數據包的能力。其特征在于以下步驟：

(1)客戶端采用抗重放攻擊算法，利用時間戳生成端信息SrcIP；

(2)將通信內容Msg或者合法身份認證信息IDMsg通過端信息擴展算法生成端信息DstPort，隨后對DstPort進行端口離散并經過DstIP選擇算法確定另一端信息DstIP；

(3)將(1)(2)中生成的端信息SrcIP、DstPort、DstIP加載到套接字數據包中，從而得到端信息擴展序列{ExtendSeq1，ExtendSeq2，……，ExtendSeqN}，使用socket套接字發送到網絡環境中；

(4)服務器端進行初始化配置并監聽網絡環境中的數據包；

(5)對監聽到數據包進行抗重放攻擊檢測，若通過則對數據包執行步驟(6)，否則舍棄數據包并持續監聽；

(6)對數據包進行合法端信息擴展序列檢測，通過則認定該條數據包屬于合法的端信息擴展序列并執行步驟(7)，否則舍棄數據包并持續監聽；