本發明涉及計算機技術領域，具體涉及一種動態隱藏網絡接口方法，包括：接收由SDP客戶端發送的驗證請求數據包；驗證請求數據包包括：SDP客戶端的源IP地址、源MAC地址、設備序列號和數字證書；SDP控制器基于驗證請求數據包進行驗證，驗證未通過則丟棄該數據包且不進行回應，驗證通過則基于SDP控制器內部記錄的訪問信息判斷SDP客戶端的受信任等級，基于受信任等級確定網絡接口的動態開放時長。本發明通過基于SDP技術對SDP客戶端用戶的合法身份進行驗證，驗證通過則開放網絡接口，驗證未通過則丟棄驗證請求數據包，且不進行回應，以此實現網絡隱身，縮小網絡攻擊面，同時，避免了合法用戶SDP客戶端IP地址被盜用的風險，從而提高網絡接口連接過程中的安全性。

技術領域

本發明涉及計算機技術領域，具體而言，涉及一種動態隱藏網絡接口方法。

背景技術

目前，為了適應企業辦公系統的復雜度和不斷發展，國內外越來越多的企業開始注重企業互聯網辦公技術平臺的建設?！傲阈湃巍奔夹g是以身份認證為中心，最小化授權原則，通過多維度動態信任授權、持續信任評估，用軟件定義邊界，結合其全面靈活的網絡訪問策略和安全策略可有效減少網絡安全隱患，且不對外暴露任何TCP端口，避免因為網絡協議自身漏洞造成的攻擊，從而可有效減少互聯網暴露面，有效地保護網絡通信和業務訪問。通過與集團辦公系統結合，不僅可提高遠程辦公的工作效率及數據安全性，還可以降低了集團辦公系統研發成本和安全風險。

SDP技術是用來實現零信任理念的最好的技術框架之一。可以把攻擊面降低到最小，甚至完全不暴露端口，實現“零”攻擊面。一個網站需要把端口映射到互聯網上，才能被外部用戶訪問。而SDP可以做到讓一個網站只對合法用戶映射端口，不對非法用戶映射端口。

在驗證合法用戶的過程中，主要是依靠對客戶端IP地址的驗證，而IP地址存在被盜用的風險，因此急需一種動態隱藏網絡接口方法來解決上述問題。

發明內容

鑒于此，本發明提出了一種動態隱藏網絡接口方法，主要是為了解決現有技術在合法用戶的IP地址存在盜用風險，進而使得合法用戶的驗證過程存在風險的問題。

一個方面，本發明提出了一種動態隱藏網絡接口方法，該方法包括：

接收由SDP客戶端發送的驗證請求數據包；

驗證請求數據包包括：SDP客戶端的源IP地址、源MAC地址、設備序列號和數字證書；

SDP控制器基于驗證請求數據包進行驗證，驗證未通過則丟棄該數據包且不進行回應，驗證通過則基于SDP控制器內部記錄的訪問信息判斷SDP客戶端的受信任等級，基于受信任等級確定網絡接口的動態開放時間。

在本申請的一些實施例中，在SDP控制器基于驗證請求數據包進行驗證時，包括第一驗證，具體包括：

提取SDP客戶端的源IP地址信息，根據SDP控制器中預存的受信IP地址列表進行比對，若存在一致IP地址信息，則驗證通過，若不存在一致IP地址信息，則驗證未通過，丟棄驗證請求數據包且不進行回應。

在本申請的一些實施例中，第一驗證通過后還包括第二驗證，具體包括：

提取SDP客戶端的源MAC地址信息，根據SDP控制器中預存的受信MAC地址列表盡心比對，若存在一致MAC地址信息，則驗證通過，若不存在一致MAC地址信息，則驗證未通過，丟棄驗證請求數據包且不進行回應。

在本申請的一些實施例中，第二驗證通過后還包括第三驗證，具體包括：

基于SDP控制器獲取ARP對應關系表，比對源IP地址與源MAC地址是否存在對應關系，若存在對應關系，則驗證通過，若不存在對應關系，則驗證未通過，丟棄驗證請求數據包且不進行回應。

在本申請的一些實施例中，第三驗證通過后還包括第四驗證，具體包括：