本發明提供一種基于網絡隱身下高效并發訪問的控制方法及系統，包括以下步驟：服務器端獲取客戶端發起的授權認證請求，服務器開啟非著名端口做服務偵聽，并對授權申請進行認證，成功后放行；服務器端部署數據庫，服務器對放行規則與數據庫進行比較，確保是新的非重復規則，添加到數據庫并貼標簽；對于重復申請的規則，在數據庫更新超時時間；服務器定時查看數據庫，從數據庫添加新規則到防火墻后刪除新規則標簽，刪除超時規則。本發明解決單包授權模型中的性能問題，規避防火墻軟件帶來的規則數量導致的性能下降，極大提高可容納最大規則數量，極大提高防火墻規則的操作速度，避免客戶端感覺到授權延遲。

技術領域

本發明屬于計算機安全通信技術領域，具體涉及一種基于網絡隱身下高效并發訪問的控制方法及系統。

背景技術

現行的絕大多數企業安全模型基本都是物理防火墻之外，再部署軟件防火墻，同時在軟件防火墻之上部署單包授權來保護業務將要打開的端口，以避免業務端口的長期打開帶來的危險。此時的軟件防火墻是受單包授權CS服務來進行端口控制的，當客戶端要訪問某個業務端口時，通過單包授權申請開啟對應業務端口，當客戶端身份驗證成功之后，服務器端控制軟件防火墻打開對應端口。這個方案有效的保護了業務端口不被掃描，極大提升了安全性，但存在以下缺陷：

1、傳統的單包授權服務，server端只是做身份認證，訪問規則的記錄，添加，刪除等操作都是通過防火墻來進行，所以其部署依賴于防火墻的環境，iptables, firewalld等不同的防火墻軟件導致單包授權服務的性能差距；

2、重復授權問題，同一合法用戶可能發送多次訪問授權請求，當然合法用戶都是可以認證通過的，然而規則的管理是由防火墻軟件來執行的，其并不會做重復驗證，會致使出現大量相同重復的規則，當數量達到一定規模，會影響單包授權服務和防火墻的交互效率；

3、軟件性能問題，由于訪問規則是由軟件防火墻記錄和操作的，當有大量用戶同時訪問時，訪問性能就會受到軟件防火墻性能的限制，當防火墻規則達到千條之多時，交互性能會變得極低，這就導致新規則添加會有很大延遲，或者甚至無法添加；

4、消息阻塞問題，由于消息處理和規則控制是線性的，當有大量請求時，處理消息的過程中會造成部分消息無法接收而被忽略，消息量越大，問題越明顯。

發明內容

本發明的目的是提供一種基于網絡隱身下高效并發訪問的控制方法及系統，解決單包授權模型中的性能問題，規避防火墻軟件帶來的規則數量導致的性能下降，極大提高可容納最大規則數量，極大提高防火墻規則的操作速度，避免客戶端感覺到授權延遲；

本發明提供了如下的技術方案：

一種基于網絡隱身下高效并發訪問的控制方法，包括以下步驟：

服務器端獲取客戶端發起的授權認證請求，服務器開啟非著名端口做服務偵聽，并對授權申請進行認證，成功后放行；

服務器端部署數據庫，服務器對放行規則與數據庫進行比較，確保是新的非重復規則，添加到數據庫并貼標簽；對于重復申請的規則，在數據庫更新超時時間；服務器定時查看數據庫，從數據庫添加新規則到防火墻后刪除新規則標簽，刪除超時規則；

優選的，客戶端發起授權請求到服務器端包括步驟：當客戶端需要進行訪問時，收集必要的客戶端信息，所述必要的客戶端信息包括時間戳、用戶名、本機地址和硬件特征碼隨機數，組包進行授權認證請求，發送UDP認證包到服務器端，服務器開啟非著名端口做服務偵聽，對于合法客戶端請求，做授權處理，對非法請求包則丟棄；