公开/公告号CN111031075A
专利类型发明专利
公开/公告日2020-04-17
原文格式PDF
申请/专利权人 网御安全技术(深圳)有限公司;
申请/专利号CN202010137394.0
发明设计人 不公告发明人;
申请日2020-03-03
分类号
代理机构深圳君信诚知识产权代理事务所(普通合伙);
代理人刘伟
地址 518000 广东省深圳市南山区粤海街道高新区社区粤兴三道9号华中科技大学深圳产学研基地大楼A305
入库时间 2023-12-17 09:38:14
法律状态公告日
法律状态信息
法律状态
2020-06-23
授权
授权
2020-05-12
实质审查的生效 IPC(主分类):H04L29/06 申请日:20200303
实质审查的生效
2020-04-17
公开
公开
技术领域
本发明涉及信息安全技术领域,特别涉及一种基于局域网的网络服务安全访问方法、终端、系统和计算机可读存储介质。
背景技术
在安全性要求较高或具有特殊应用场景的局域网中,通常会由其中某一个或一部分网络节点向其它符合要求的节点提供特定的网络服务。例如,在企业内部,某部门的局域网中只有一台计算机开放数据资料下载服务,只有具备下载权限的网内计算机才能访问该服务;又如,在某些工业生产区域的内部网络中,只有一台出口计算机具备访问其它区域网络的权限,其需要汇总本区域内生产环境中的各项监测数据并将其传输至其它区域,因此,出口计算机需要在内部网络中开放数据服务端口,允许负责监测数据采集的计算机通过访问开放的数据服务完成监测数据的汇总。
目前,在与上述应用场景类似的网络通信方案中,通信的安全防护通常是利用密码学的方式,对通信双方设备进行认证并对通信数据进行加密的。但是,由于特定网络服务的开放性,在企业或家庭内部网络,即局域网中,部分计算机需要作为服务器提供特定网络服务,提供网络服务的计算机需要在局域网内暴露自身的IP地址和服务端口,即服务器由于开放网络服务而暴露出自身的IP地址及端口号,这就带来了安全隐患,使服务器很容易成为网络攻击的目标,为黑客攻击打开了方便之门,而现有的加密及认证方法具有局限性,无法改变这一现状。针对这一问题,现有技术也有很多相应的改进方案,具体如下:
申请号为201710211600.6的专利:一种身份认证的方法、系统及服务器和终端,主要公开了一种身份认证的方法,使得终端在进行认证时,可通过对比对方的版本号进行身份验证,提高了验证的效率。
申请号为201910016548.8的专利:一种网络通信方法、服务器、客户端及系统,主要公开了一种方法实现服务器对向其上传工作数据的客户端的可信认证,进而确保了服务器接收客户端上传的工作数据的可靠性。
申请号为201610503974.0的专利:多组合动态加密通信认证方法及系统,提供了一种加密方式,结合了动态随机数和多位密码,保证了通信的安全可靠。
上述专利主要目标是解决认证方法的效率及可靠性问题,并不能解决内网中的特定网络服务器容易成为其它内网用户攻击目标的问题、也不能降低特定网络服务被攻击的风险。
申请号为201610062939.X的专利:基于动态变换的网络安全防御系统和网络,提供了基于动态变换的网络安全防御系统和方法,通过动态变换内网中网络终端的IP地址信息,使得攻击者无法获得内网的拓扑结构,无法准确获得内网中网络终端的真实信息,从而有效防御了内网攻击行为。
该专利提供的方法实现的功能是通过每隔一段时间改变整个内网的拓扑结构来防止攻击者获取网络终端信息。但是这种改变不是实时进行的,在一个窗口期内,网络结构维持不变。同时这种变换也仅限于改变终端IP地址,不能改变服务端口号,这意味着熟知网络服务仍有可能被感知。对于网络内部的恶意终端用户,依然有机会在一个窗口期内完成攻击。另一方面,这种改变整个网络拓扑结构的方案比较复杂,既影响网络的稳定性,也会影响网络服务效率。而且其专利的有益效果3中描述:“内网中用户仍然能够按原来的方式使用静态的IP地址访问网络打印机、服务器等特定终端,在保证网络安全的同时,提高了对特定终端的内网访问效率”,从该专利对自身有益效果的描述中可以看出,在该方案中,对于特定终端提供的特定网络服务的访问仍更倾向于使用静态IP地址的方式以提高访问效率,并没有真正隐藏保护网络服务提供者。
所以,在局域网中,如何降低提供特定网络服务的服务器成为网络攻击目标对象的风险,仍是本领域技术人员的亟待解决的问题。
发明内容
本发明实施方式的目的在于提供一种基于局域网的网络服务安全访问方法、网络服务安全访问终端、网络服务安全访问系统和计算机可读存储介质,能够实现对除预设的特定网络服务访问者外的其它用户隐藏本应公开的特定网络服务,进而达到安全访问特定网络服务的目的,既不影响正常网络通信,又降低了提供特定网络服务的服务器被攻击的风险。
为解决上述技术问题,本发明采用以下技术方案:
第一方面,提供一种基于局域网的网络服务安全访问方法,包括:
基于局域网监测网络通信数据的处理事件,当监测到所述处理事件,则暂停执行所述处理事件并获取所述处理事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述处理事件对应的处理终端的身份信息;其中,所述处理事件包括发送网络通信数据事件或接收网络通信数据事件,所述处理终端包括发送终端和接收终端,所述身份信息包括IP地址和端口号;
若根据所述身份信息确定所述处理终端为可访问特定网络服务的预设终端,则获取所述处理终端按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
根据所述共享密匙和所述身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述网络通信数据处理事件。
优选地,所述网络服务安全访问方法,应用于客户端,包括:
基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
优选地,所述判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致之后,还包括,若不是则继续执行所述发送网络通信数据事件;
所述判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致之后,还包括:
若不是则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;
若是则根据解析出的所述客户端的IP地址和端口号查询对应的进程是否被允许访问特定网络服务,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙,若不是则不执行所述发送网络通信数据事件并向网管报告;
所述判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致之后,还包括,若是,则继续执行所述接收网络通信数据事件;
所述按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息之后,还包括:
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址不一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告;
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告;
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址不一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告。
优选地,所述网络服务安全访问方法,应用于服务器,包括:
基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件。
优选地,所述判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致之后,还包括:
若不是,则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;
若是则判断解析出的所述接收终端的端口号与所述一终端的端口号是否一致,若不是则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;若是则根据解析出的所述接收终端的IP地址和端口号查询对应的进程是否被允许访问特定网络服务,若是则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙,若不是则不执行所述发送网络通信数据事件并向网管报告;
所述判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致之后,还包括,若是则继续执行所述接收网络通信数据事件;
所述按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息之后,还包括:
若所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,而所述发送终端的新身份信息的IP地址与所述一终端的IP地址不一致,则将所述发送终端的新身份信息的IP地址与所述预设合法终端群组内的其他终端的IP地址逐一进行匹配;
若所述发送终端的新身份信息的IP地址与所述其他终端中的一个终端的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件;
若所述发送终端的新身份信息的IP地址与所述预设合法终端群组内的所有终端的IP地址均不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告。
第二方面,提供一种基于局域网的网络服务安全访问终端,包括:
网络接口单元,用于基于局域网监测网络通信数据的处理事件,当监测到所述处理事件,则暂停执行所述处理事件并获取所述处理事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述处理事件对应的处理终端的身份信息;其中,所述处理事件包括发送网络通信数据事件或接收网络通信数据事件,所述处理终端包括发送终端和接收终端,所述身份信息包括IP地址和端口号;
秘密共享单元,用于若根据所述身份信息确定所述处理终端为可访问特定网络服务的预设终端,则获取所述处理终端按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
安全计算单元,用于根据所述共享密匙和所述身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述网络通信数据处理事件。
优选地,所述网络服务安全访问终端为客户端,所述客户端包括客户端网络接口单元、客户端秘密共享单元和客户端安全计算单元;
所述客户端网络接口单元,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元,用于判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元,用于根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
所述客户端网络接口单元,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元,还用于判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元,还用于根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
优选地,所述网络服务安全访问终端为服务器,所述服务器包括服务器网络接口单元、服务器秘密共享单元和服务器安全计算单元;
所述服务器网络接口单元,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元,用于判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元,用于根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
所述服务器网络接口单元,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元,还用于判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元,还用于根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件。
第三方面,提供一种基于局域网的网络服务安全访问系统,包括客户端和服务器,所述客户端包括客户端网络接口单元、客户端秘密共享单元和客户端安全计算单元;所述服务器包括服务器网络接口单元、服务器秘密共享单元和服务器安全计算单元;
所述客户端网络接口单元,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元,用于判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元,用于根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
所述服务器网络接口单元,用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元,用于判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元,用于根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件;
或;
所述服务器网络接口单元,还用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元,还用于判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元,还用于根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
所述客户端网络接口单元,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元,还用于判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元,还用于根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
第四方面,提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现如第一方面所述的基于局域网的网络服务安全访问方法的步骤。
本发明的有益效果是:一种基于局域网的网络服务安全访问方法、网络服务安全访问终端、网络服务安全访问系统和计算机可读存储介质,所述网络服务安全访问方法包括:基于局域网监测网络通信数据的处理事件,当监测到所述处理事件,则暂停执行所述处理事件并获取所述处理事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述处理事件对应的处理终端的身份信息;其中,所述处理事件包括发送网络通信数据事件或接收网络通信数据事件,所述处理终端包括发送终端和接收终端,所述身份信息包括IP地址和端口号;若根据所述身份信息确定所述处理终端为可访问特定网络服务的预设终端,则获取所述处理终端按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;根据所述共享密匙和所述身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述网络通信数据处理事件。该基于局域网的网络服务安全访问方法、网络服务安全访问终端、网络服务安全访问系统和计算机可读存储介质,对访问特定网络服务的客户端进行了划分,将授权访问的客户端和未授权访问的客户端进行逻辑隔离,并将授权访问的客户端预先设置为预设的特定网络服务访问者,另外,通过用预设计算方法计算出随机化的新身份信息替换原来的身份信息的方式,在局域网内隐藏提供特定网络服务的服务器的真实IP地址和端口号,实现对除预设的特定网络服务访问者外的其它用户隐藏本应公开的特定网络服务,使得只有通过认证的指定网络节点能够使用该特定网络服务,进而达到安全访问特定网络服务的目的,既不影响正常网络通信,又降低了提供特定网络服务的服务器被攻击的风险。
附图说明
一个或多个实施例通过与之对应的附图中的图片进行示例性说明,这些示例性说明并不构成对实施例的限定,附图中具有相同参考数字标号的元件表示为类似的元件,除非有特别申明,附图中的图不构成比例限制。
图1是本发明的第一实施方式的基于局域网的网络服务安全访问方法的流程图;
图2是本发明的第二实施方式的基于局域网的网络服务安全访问方法的流程图;
图3是本发明的第三实施方式的基于局域网的网络服务安全访问方法的流程图;
图4是本发明的第四实施方式的基于局域网的网络服务安全访问方法的流程图;
图5是本发明的第五实施方式的基于局域网的网络服务安全访问方法的流程图;
图6是本发明的第六实施方式的基于局域网的网络服务安全访问终端的结构示意图;
图7是本发明的第七实施方式的基于局域网的网络服务安全访问终端的结构示意图;
图8是本发明的第八实施方式的基于局域网的网络服务安全访问终端的结构示意图;
图9是本发明的第九实施方式的基于局域网的网络服务安全访问系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的各实施方式进行详细的阐述。然而,本领域的普通技术人员可以理解,在本发明各实施方式中,为了使读者更好地理解本申请而提出了许多技术细节。但是,即使没有这些技术细节和基于以下各实施方式的种种变化和修改,也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便,不应对本发明的具体实现方式构成任何限定,各个实施例在不矛盾的前提下可以相互结合相互引用。
请参考图1,其是本发明的第一实施方式的基于局域网的网络服务安全访问方法的流程图。
该基于局域网的网络服务安全访问方法,包括:
步骤S101:基于局域网监测网络通信数据的处理事件,当监测到所述处理事件,则暂停执行所述处理事件并获取所述处理事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述处理事件对应的处理终端的身份信息。
其中,所述处理事件包括发送网络通信数据事件或接收网络通信数据事件,所述处理终端包括发送终端和接收终端,所述身份信息包括IP地址和端口号。
步骤S102:若根据所述身份信息确定所述处理终端为可访问特定网络服务的预设终端,则获取所述处理终端按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙。
其中,可访问特定网络服务的预设终端的建立过程包括:将局域网内除特定网络服务提供者对应的服务器S外,其它客户端计算机划分为可访问特定网络服务群组A,其中可能包含n台客户端计算机(a1,a2,……,an),每台客户端计算机中只有部分进程被允许访问该网络服务;不可访问特定网络服务群组B,其中可能包含m台客户端计算机(b1,b2,……,bm)。在服务器S提供特定网络服务的情况下,服务器S的IP地址IPs和特定网络服务开放的端口号Ps对网群组A公开。
其中,按照预设共享密钥方法预先建立访问特定网络服务的共享密匙的过程包括:在进行网络通信前,所述服务器S与群组A中各客户端计算机分别共享秘密信息,即密钥ksa1,ksa2,……,ksan。此处需要说明的是,所述共享秘密信息的过程一般可依托普遍使用的PKI架构进行;也可以采用简单的共享方式,在各设备存储区中预先存储较长秘密信息。秘密信息共享所使用的具体方法不限,但需要能保证在进行网络通信前,服务器S与某一客户端计算机an已经产生了共享秘密信息ksan。
步骤S103:根据所述共享密匙和所述身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述网络通信数据处理事件。
其中,本发明实施方式的基于局域网的网络服务安全访问方法,需要保护的是其中体现出的将密码学中的认证技术与移动目标防御手段相结合,来保护访问特定网络服务的思想。本方法中使用认证技术的目的是利用认证实现划分群组(可访问特定网络服务的群组和不可访问特定网络服务的群组)并为可访问特定网络服务的群组中的客户端计算机与服务器之间建立共享密钥,对认证技术本身的先进性不做特别要求,只要可以实现密钥共享即可。
本方法与背景技术中申请号为201610062939.X的专利的不同之处在于:本方法的目的不是改变网络拓扑结构,只是保护网络中某一特定服务。本方法的方案中,所有网络终端在不访问特定网络服务时,网络通信过程不做任何变化,只有在访问特定网络服务时,简单地使用与网络服务器共享的密钥信息对自身IP地址、端口号和服务器IP地址、端口号进行随机化操作。这样,除共享密钥信息的服务提供者与访问者外,其它任何网络终端用户都无法恢复出网络服务提供者的IP地址与端口号,从而用一种比上述专利方案小得多的代价实现了对特定网络服务地址及端口的隐藏及保护。所以,本方法的核心思想是通过结合认证技术和移动目标防御技术,实现对特定服务访问者外的其它用户隐藏本应公开的特定网络服务,进而达到安全访问特定网络服务的目的。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问方法,对访问特定网络服务的客户端进行了划分,将授权访问的客户端和未授权访问的客户端进行逻辑隔离,并将授权访问的客户端预先设置为预设的特定网络服务访问者,另外,通过用预设计算方法计算出随机化的新身份信息替换原来的身份信息的方式,在局域网内隐藏提供特定网络服务的服务器的真实IP地址和端口号,实现对除预设的特定网络服务访问者外的其它用户隐藏本应公开的特定网络服务,使得只有通过认证的指定网络节点能够使用该特定网络服务,进而达到安全访问特定网络服务的目的,既不影响正常网络通信,又降低了提供特定网络服务的服务器被攻击的风险。
请参考图2,其是本发明的第二实施方式的基于局域网的网络服务安全访问方法的流程图。本发明的第二实施方式在第一实施方式的基础上,限定一种基于局域网的网络服务安全访问方法的应用终端为客户端,限定一种基于局域网的网络服务安全访问方法的应用场景为客户端的发送网络通信数据事件,并针对每一次判断过程做了更进一步的说明。
该基于局域网的网络服务安全访问方法,包括:
步骤S201:基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息。
其中,所述身份信息包括IP地址和端口号。
具体地,所述客户端计算机an作为发送者产生网络通信数据时,在网卡将生成的MAC帧发送至局域网前,提取MAC帧中包含的源IP地址sIPan、源端口号sPan、目的IP地址dIPan和目的端口号dPan。
步骤S202:判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙。
其中,所述判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致之后,还包括,若不是则继续执行所述发送网络通信数据事件。
其中,所述判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致之后,还包括:
若不是则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;
若是则根据解析出的所述客户端的IP地址和端口号查询对应的进程是否被允许访问特定网络服务,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙,若不是则不执行所述发送网络通信数据事件并向网管报告;
具体地,对提取出的信息需要进行下述检查:如果MAC帧中目的IP地址dIPan及目的端口号dPan与预设的服务器S的IP地址IPs及服务端口号Ps不同,则无需做任何处理,直接将该数据包交付网络;如果网络数据包中目的IP地址dIPan及目的端口号dPan与预设的服务器S的IP地址IPs及服务端口号Ps一致,则检查网络数据包中的源IP地址sIPan和源端口号sPan,根据源IP地址sIPan和源端口号sPan查询对应的进程是否被允许访问该网络服务。如果不允许,则判定为异常情况,不向服务器S发送数据包,并向网管报告。如果允许,则继续执行后续步骤。
步骤S203:根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件。
具体地,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息的过程包括:客户端计算机an基于共享秘密信息ksan生成随机比特串rsn,根据网络中的掩码为0的位数q,即IP地址中的主机号长度,从随机比特串rsn中选择两个q位长子串,分别与sIPan和sIPs中的主机号部分做异或运算,生成主机号变换后的IP地址IP’an和IP’s;再从随机比特串rsn中选择两个16位长子串,分别与sPan和dPan(源IP地址sIPan、源端口号sPan、)进行异或运算,生成变换后的端口号P’an和P’s。用所述新身份信息IP’an、P’an、IP’s、P’s分别替换原MAC帧中的所述身份信息源IP地址sIPan、源端口号sPan、目的IP地址dIPan和目的端口号dPan,并将完成部分数据替换后的新MAC帧发送至网络。
需要说明的是,上述利用随机比特串进行异或运算生成所述新身份信息IP’an、P’an、IP’s、P’s的方法只是将所述身份信息IP地址和端口号进行随机化的一种方法,也可以采用其它方式实现IP地址和端口号的随机化。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问方法,限定应用终端为客户端,限定应用场景为客户端的发送网络通信数据事件,并对预设计算方法进行了详细说明,适应性广。
请参考图3,其是本发明的第三实施方式的基于局域网的网络服务安全访问方法的流程图。本发明的第三实施方式在第一实施方式的基础上,限定一种基于局域网的网络服务安全访问方法的应用终端为客户端,限定一种基于局域网的网络服务安全访问方法的应用场景为客户端的接收网络通信数据事件,并针对每一次判断过程均做了更进一步的说明。
该基于局域网的网络服务安全访问方法,包括:
步骤S301:基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息。
其中,所述身份信息包括IP地址和端口号。
步骤S302:判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙。
其中,所述判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致之后,还包括,若是,则继续执行所述接收网络通信数据事件。
步骤S303:根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
其中,所述按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息之后,还包括:
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址不一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告;
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告;
若所述发送终端的新身份信息的IP地址与预设服务器的IP地址不一致且所述客户端的新身份信息的IP地址与所述客户端自身的IP地址不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告。
其中,所述客户端计算机an作为接收者收到网络通信数据时,使用预设计算方法,基于共享秘密信息ksan生成随机比特串rsn,再用相同方法选择两个q位长子串和两个16位长子串,分别与其接收到网络数据包中的源IP地址sIPs、源端口号sPs、目的IP地址dIPs和目的端口号dPs进行异或运算,如运算后得到的源IP地址、目的IP地址和目的端口号分别与真实的服务器S的IP地址IPs、服务器S自身IP地址IPs和服务端口号Ps一致,则说明是服务器S发送的网络通信数据的数据包,并依运算后得到的源IP地址、目的IP地址、源端口号、目的端口号对数据包进行接收、处理;如有某一项不一致,则正常处理原始网络通信数据的数据包。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问方法,限定应用终端为客户端,限定应用场景为客户端的接收网络通信数据事件,并对接收网络通信数据事件进行了详细说明,适应性广。
请参考图4,其是本发明的第四实施方式的基于局域网的网络服务安全访问方法的流程图。本发明的第四实施方式在第一实施方式的基础上,限定一种基于局域网的网络服务安全访问方法的应用终端为服务器,限定一种基于局域网的网络服务安全访问方法的应用场景为服务器的发送网络通信数据事件,并针对每一次判断过程做了更进一步的说明。
该基于局域网的网络服务安全访问方法,包括:
步骤S401:基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息。
其中,所述身份信息包括IP地址和端口号。
步骤S402:判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙。
其中,所述判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致之后,还包括:
若不是,则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;
若是则判断解析出的所述接收终端的端口号与所述一终端的端口号是否一致,若不是则判定为异常情况,不执行所述发送网络通信数据事件并向网管报告;若是则根据解析出的所述接收终端的IP地址和端口号查询对应的进程是否被允许访问特定网络服务,若是则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙,若不是则不执行所述发送网络通信数据事件并向网管报告。
步骤S403:根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件。
其中,所述服务器S作为发送者产生网络通信数据时,在网卡将生成的MAC帧发送至局域网前,提取MAC帧中包含的源IP地址sIPs、源端口号sPs、目的IP地址dIPs和目的端口号dPs,并对提取出的信息进行下述检查:如果MAC帧中目的IP地址dIPs对应的计算机不包含在群组A内,则判定为异常情况,不发送该数据包,并向网管报告;如果dIPs对应的计算机包含在群组A内,则根据源端口号sPs查询对应的进程是否被允许访问网络。如果不允许,则判定为异常情况,不发送该数据包,并向网管报告。如果允许,则继续执行后续步骤。
具体地,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息的过程包括:服务器S基于与目的IP地址dIPs对应计算机an的共享秘密信息ksan生成随机比特串rsn,根据网络中的掩码为0的位数q,即IP地址中的主机号长度,从随机比特串rsn中选择两个q位长子串,分别与sIPs和dIPs中的主机号部分做异或运算,生成主机号变换后的IP地址sIP’s和dIP’s;再从随机比特串rsn中选择两个16位长子串,分别与sPs和dPs进行异或运算,生成变换后的端口号sP’s和dP’s。用所述新身份信息sIP’s、sP’s、dIP’s、dP’s分别替换原MAC帧中的所述身份信息源IP地址sIPs、源端口号sPs、目的IP地址dIPs和目的端口号dPs,并将完成部分数据替换后的新MAC帧发送至网络。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问方法,限定应用终端为服务器,限定应用场景为服务器的发送网络通信数据事件,并对接收网络通信数据事件和预设计算方法进行了详细说明,适应性广。
请参考图5,其是本发明的第五实施方式的基于局域网的网络服务安全访问方法的流程图。本发明的第五实施方式在第一实施方式的基础上,限度一种基于局域网的网络服务安全访问方法的应用终端为服务器,限度一种基于局域网的网络服务安全访问方法的应用场景为服务器的接收网络通信数据事件,并针对每一次判断过程做了更进一步的说明。
该基于局域网的网络服务安全访问方法,包括:
步骤S501:基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息。
其中,所述身份信息包括IP地址和端口号。
步骤S502:判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙。
其中,所述判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致之后,还包括,若是则继续执行所述接收网络通信数据事件。
步骤S503:根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件。
其中,所述按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息之后,还包括:
若所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,而所述发送终端的新身份信息的IP地址与所述一终端的IP地址不一致,则将所述发送终端的新身份信息的IP地址与所述预设合法终端群组内的其他终端的IP地址逐一进行匹配;
若所述发送终端的新身份信息的IP地址与所述其他终端中的一个终端的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件;
若所述发送终端的新身份信息的IP地址与所述预设合法终端群组内的所有终端的IP地址均不一致,则判定为异常情况,不执行所述接收网络通信数据事件并向网管报告。
其中,所述服务器S接收到网络通信数据时,使用预设计算方法,基于共享秘密信息ksan生成随机比特串rsn,再用相同方法选择两个q位长子串和两个16位长子串,分别与其接收到网络数据包中的源IP地址sIPan、源端口号sPan、目的IP地址dIPan和目的端口号dPan进行异或运算,如运算后得到的源IP地址、目的IP地址和目的端口号分别与真实的客户端计算机a nIP地址IPan、服务器S自身IP地址IPs和服务端口号Ps一致,则说明是群组A中客户端计算机an发送的数据包,并依运算后的IP地址及端口号对其进行接收、处理;如有某一项不一致,则基于与群组A中其它客户端计算机的共享秘密信息通过相同方法生成随机比特串,采用相同方式检查是否为群组A中其它客户端计算机发送的正常数据包,如果是,则也进行正常接收处理;如果全部检查完成后仍有不一致项,则判定为异常情况,不接收、处理该网络通信数据的数据包并向网管报告。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问方法,限定应用终端为服务器,限定应用场景为服务器的接收网络通信数据事件,并对预设计算方法进行了详细说明,适应性广。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
以下为本发明提供的基于局域网的网络服务安全访问终端的实施方式。基于局域网的网络服务安全访问终端的实施方式与上述的基于局域网的网络服务安全访问方法的实施方式属于同一构思,基于局域网的网络服务安全访问终端的实施方式中未详尽描述的细节内容,可以参考上述基于局域网的网络服务安全访问方法的实施方式。
请参考图6,其是本发明的第六实施方式的基于局域网的网络服务安全访问终端的结构示意图。
该基于局域网的网络服务安全访问终端,包括:
网络接口单元110,用于基于局域网监测网络通信数据的处理事件,当监测到所述处理事件,则暂停执行所述处理事件并获取所述处理事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述处理事件对应的处理终端的身份信息;其中,所述处理事件包括发送网络通信数据事件或接收网络通信数据事件,所述处理终端包括发送终端和接收终端,所述身份信息包括IP地址和端口号;
秘密共享单元120,用于若根据所述身份信息确定所述处理终端为可访问特定网络服务的预设终端,则获取所述处理终端按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
安全计算单元130,用于根据所述共享密匙和所述身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述网络通信数据处理事件。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问终端,对访问特定网络服务的客户端进行了划分,将授权访问的客户端和未授权访问的客户端进行逻辑隔离,并将授权访问的客户端预先设置为预设的特定网络服务访问者,另外,通过用预设计算方法计算出随机化的新身份信息替换原来的身份信息的方式,在局域网内隐藏提供特定网络服务的服务器的真实IP地址和端口号,实现对除预设的特定网络服务访问者外的其它用户隐藏本应公开的特定网络服务,使得只有通过认证的指定网络节点能够使用该特定网络服务,进而达到安全访问特定网络服务的目的,既不影响正常网络通信,又降低了提供特定网络服务的服务器被攻击的风险。
请参考图7,其是本发明的第七实施方式的基于局域网的网络服务安全访问终端的结构示意图。本发明的第七实施方式在第六实施方式的基础上,限定一种基于局域网的网络服务安全访问终端为客户端,该客户端包括客户端网络接口单元210、客户端秘密共享单元220和客户端安全计算单元230,并针对每一个单元的功能做了进一步说明。
该基于局域网的网络服务安全访问终端,所述网络服务安全访问终端为客户端,所述客户端包括客户端网络接口单元210、客户端秘密共享单元220和客户端安全计算单元230;
所述客户端网络接口单元210,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元220,用于判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元230,用于根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
所述客户端网络接口单元210,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元220,还用于判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元230,还用于根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问终端,限定应用终端为客户端,限定应用场景为客户端的发送网络通信数据事件或接收网络通信数据事件,并对客户端的发送网络通信数据事件和接收网络通信数据事件进行了详细说明,适应性广。
请参考图8,其是本发明的第八实施方式的基于局域网的网络服务安全访问终端的结构示意图。本发明的第八实施方式在第六实施方式的基础上,限定一种基于局域网的网络服务安全访问终端为服务器,该服务器包括服务器网络接口单元310、服务器秘密共享单元320和服务器安全计算单元330,并针对每一个单元的功能做了进一步说明。
该基于局域网的网络服务安全访问终端,所述网络服务安全访问终端为服务器,所述服务器包括服务器网络接口单元310、服务器秘密共享单元320和服务器安全计算单元330;
所述服务器网络接口单元310,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元320,用于判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元330,用于根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
或;
所述服务器网络接口单元310,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元320,还用于判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元330,还用于根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问终端,限定应用终端为服务器,限定应用场景为服务器的发送网络通信数据事件或接收网络通信数据事件,并对服务器的发送网络通信数据事件和接收网络通信数据事件进行了详细说明,适应性广。
以下为本发明提供的基于局域网的网络服务安全访问系统的实施方式。基于局域网的网络服务安全访问系统的实施方式与上述的基于局域网的网络服务安全访问方法的实施方式属于同一构思,基于局域网的网络服务安全访问系统的实施方式中未详尽描述的细节内容,可以参考上述基于局域网的网络服务安全访问方法的实施方式。
请参考图9,其是本发明的第九实施方式的基于局域网的网络服务安全访问系统的结构示意图。
该基于局域网的网络服务安全访问系统,包括客户端200和服务器300,所述客户端200包括客户端网络接口单元210、客户端秘密共享单元220和客户端安全计算单元230;所述服务器300包括服务器网络接口单元310、服务器秘密共享单元320和服务器安全计算单元330;
所述客户端网络接口单元210,用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的客户端和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元220,用于判断解析出的所述接收终端的IP地址与预设服务器的IP地址是否一致,若是则判断解析出的所述接收终端的端口号与预设服务器的端口号是否一致,若是则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元230,用于根据所述共享密匙、所述客户端的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
所述服务器网络接口单元310,用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的服务器和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元320,用于判断解析出的所述服务器的IP地址与所述服务器自身的IP地址是否一致,若不是,则获取所述服务器与预设合法终端群组内的一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元330,用于根据所述共享密匙、所述服务器的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与所述一终端的IP地址一致,所述服务器的新身份信息的IP地址与所述服务器自身的IP地址一致,且所述服务器的新身份信息的端口号与所述服务器自身的端口号一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述新身份信息继续执行所述接收网络通信数据事件;
或;
所述服务器网络接口单元310,还用于基于局域网监测发送网络通信数据事件,当监测到所述发送网络通信数据事件,则暂停执行所述发送网络通信数据事件并获取所述发送网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述发送网络通信数据事件对应的服务器和接收终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述服务器秘密共享单元320,还用于判断解析出的所述接收终端的IP地址与预设合法终端群组内的一终端的IP地址是否一致,若是,则获取所述服务器与所述一终端之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述服务器安全计算单元330,还用于根据所述共享密匙、所述服务器的身份信息和所述接收终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述服务器和所述接收终端的新身份信息,将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述服务器和所述接收终端的新身份信息继续执行所述发送网络通信数据事件;
所述客户端网络接口单元210,还用于基于局域网监测接收网络通信数据事件,当监测到所述接收网络通信数据事件,则暂停执行所述接收网络通信数据事件并获取所述接收网络通信数据事件对应的网络通信数据的MAC帧,根据所述MAC帧解析出所述接收网络通信数据事件对应的客户端和发送终端的身份信息;其中,所述身份信息包括IP地址和端口号;
所述客户端秘密共享单元220,还用于判断解析出的所述客户端的IP地址与所述客户端自身的IP地址是否一致,若不是,则获取所述客户端与预设服务器之间按照预设共享密钥方法预先建立的访问特定网络服务的共享密匙;
所述客户端安全计算单元230,还用于根据所述共享密匙、所述客户端的身份信息和所述发送终端的身份信息,按照预设计算方法计算出与所述身份信息对应的随机化的所述客户端和所述发送终端的新身份信息;若所述发送终端的新身份信息的IP地址与预设服务器的IP地址一致且所述客户端的新身份信息的IP地址和所述客户端自身的IP地址一致,则将所述新身份信息替换所述身份信息,以便所述网络通信数据携带所述客户端和所述发送终端的新身份信息继续执行所述接收网络通信数据事件。
具体地,所述客户端网络接口单元210截获客户端计算机发送和接收到的网络通信数据的数据包,提取该数据包中MAC帧中包含的源IP地址、源端口号、目的IP地址和目的端口号并提交给客户端安全计算单元230,等待客户端安全计算单元230返回新的源IP地址、源端口号、目的IP地址和目的端口号后,将根据新的IP地址和端口号重新封装并发送或接收MAC帧。
所述客户端秘密共享单元220与所述服务器秘密共享单元320进行秘密协商,共享秘密信息。
所述客户端安全计算单元230依上述判断方法对客户端网络接口单元210提供的IP地址和端口地址进行检查,如通过检查,则根据客户端秘密共享单元220提供的秘密信息依上述预设计算方法生成新的IP地址和端口地址并提交至客户端网络接口单元210。
所述服务器网络接口单元310截获服务器计算机发送和接收到的网络通信数据的数据包,提取该数据包中MAC帧中包含的源IP地址、源端口号、目的IP地址和目的端口号并提交给服务器安全计算单元330,等待服务器安全计算单元330返回新的源IP地址、源端口号、目的IP地址和目的端口号后,将根据新的IP地址和端口号重新封装并发送或接收MAC帧。
所述服务器秘密共享单元320与客户端秘密共享单元220进行秘密协商,共享秘密信息。
所述服务器安全计算单元330依上述判断方法对服务器网络接口单元310提供的IP地址和端口地址进行检查,如通过检查,则根据服务器秘密共享单元320提供的秘密信息依上述预设计算方法生成新的IP地址和端口地址并提交至服务器网络接口单元310。
与现有技术相比,本发明实施方式的基于局域网的网络服务安全访问系统,对访问特定网络服务的客户端进行了划分,将授权访问的客户端和未授权访问的客户端进行逻辑隔离,并将授权访问的客户端预先设置为预设的特定网络服务访问者,另外,通过用预设计算方法计算出随机化的新身份信息替换原来的身份信息的方式,在局域网内隐藏提供特定网络服务的服务器的真实IP地址和端口号,实现对除预设的特定网络服务访问者外的其它用户隐藏本应公开的特定网络服务,使得只有通过认证的指定网络节点能够使用该特定网络服务,进而达到安全访问特定网络服务的目的,既不影响正常网络通信,又降低了提供特定网络服务的服务器被攻击的风险。
本发明的有益效果是:
1.对访问特定网络服务的客户端进行了划分,将授权访问的客户端计算机和未授权访问的客户端计算机进行逻辑隔离,只有与服务器共享秘密信息的客户端才能正常访问网络服务。
2.在访问特定网络服务的过程中隐藏了网络服务的IP地址与端口地址,即便黑客入侵了内网中的未授权客户端计算机,也无法通过扫描、嗅探等手段获取特定网络服务位置。
3.由于每次通信过程中特定网络服务的IP地址与端口地址都进行了随机化处理,未授权客户端即便明确了特定网络服务的真实IP地址与端口地址,在没有与服务器共享秘密信息的情况下,也依然无法访问网络服务或是利用该服务漏洞发起攻击。
以下举例具体说明基于局域网的网络服务安全访问系统的工作流程:
设定客户端计算机IP地址为192.168.1.7,服务器IP地址为192.168.1.77,开放特定网络服务端口为1011,局域网为C类网络,子网掩码为255.255.255.0。基于局域网的网络服务安全访问系统包括两部分,一部分是客户端对应的客户端子系统,一部分是服务器对应的服务器子系统。在具体实施过程中,客户端子系统、服务器子系统均既可以作为独立设备,通过网线及光纤等线缆与客户端计算机相连,又可作为附加设备,例如以PCIE卡或USB卡的形式插入客户端计算机/服务器计算机主板中。在本实施例中,客户端子系统和服务器子系统均作为附加设备,通过PCI-E卡插入客户端计算机/服务器计算机主板中。
所述客户端包含客户端网络接口单元210、客户端秘密共享单元220、客户端安全计算单元230;所述服务器包含服务器网络接口单元310、服务器秘密共享单元320、服务器安全计算单元330。以下分客户端发送网络通信数据、客户端接收网络通信数据、服务器发送网络通信数据、服务器接收网络通信数据4种情况,说明各子系统及单元的功能及工作流程。
客户端发送网络通信数据时,客户端子系统工作流程如下:
S10:当客户端计算机内应用程序产生网络通信数据的数据包并封装成MAC帧后,网络接口单元210拦截操作系统待发送的MAC帧,并从所述MAC帧中解析出源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,本实施例中,设定本次解析出的源IP地址sIP为192.168.1.7、源端口号sP为16356、目的IP地址dIP为192.168.1.77及目的端口号dP为1011。随后,网络接口单元210将解析出的sIP、sP、dIP和dP发送至客户端安全计算单元230。
S11:客户端安全计算单元230接收到sIP、sP、dIP和dP后,检查dIP和dP,发现dIP和dP与预设服务器IP地址和端口号一致,则向客户端秘密共享单元220请求共享密钥。
S11’:若S11中检查发现dIP和服务器IP地址不一致,则通知客户端网络接口单元210直接发送原始MAC帧;若S11中检查发现dIP与预设服务器IP地址一致,dP与预设服务器开放服务端口号不一致,则通知客户端网络接口单元210将这一事件发送至网管。
S12:客户端秘密共享单元220收到客户端安全计算单元230的共享密钥请求后,将其与服务器秘密共享单元320建立的共享密钥k发送至客户端安全计算单元230。本实施例中,客户端计算机和服务器计算机依托公钥基础设施建立共享密钥,存在大量成熟技术方案,故本说明中不再描述具体过程。
S13:客户端安全计算单元230利用SHA-1对密钥k进行哈希运算,得到一个160位的随机数,设该随机数1至8位组成的子串R1为11010101,9至16位组成的子串R2为10101011,17至32位组成的子串R3为0101101010101010,33至48位组成的子串R4为1101110101011010。客户端安全计算单元230分别计算R1
S14:客户端网络接口单元210用接收到的sIP、sP、dIP和dP分别替换原网络通信数据中的源IP地址、源端口号、目的IP地址和目的端口号,并重新封装成帧后通过网络发送。
客户端接收网络通信数据时,客户端子系统工作流程如下:
S20:当客户端计算机操作系统接收到网络通信数据的数据包时,客户端网络接口单元210拦截操作系统待处理的数据包并从中解析出源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,并发送至客户端安全计算单元230。
S21:客户端安全计算单元230检查目的IP地址dIP是否与自身IP地址192.168.1.7相同,若相同,则通知客户端网络接口单元210将该数据包交由操作系统正常处理;若不同,则向客户端秘密共享单元220请求共享密钥。
S22:客户端秘密共享单元220将其与服务器秘密共享单元320建立的共享密钥k发送至客户端安全计算单元230。
S23:客户端安全计算单元230采用与S13中所述相同的方法计算新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,若新的源IP地址sIP和目的IP地址dIP分别与服务器IP地址192.168.1.77和客户端自身IP地址192.168.1.7一致,则将新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP发送给客户端网络接口单元210。否则,通知客户端网络接口单元210将这一事件通知网管。
S24:客户端网络接口单元210用接收到的sIP、sP、dIP和dP分别替换原网络通信数据中的源IP地址、源端口号、目的IP地址和目的端口号,并重新封装成帧后交由操作系统正常处理。
服务器发送网络通信数据时,服务器子系统工作流程如下:
S30:当服务器计算机内应用程序产生网络通信数据的数据包并封装成MAC帧后,服务器网络接口单元310拦截操作系统待发送的MAC帧,并从所述MAC帧中解析出源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP发送至服务器安全计算单元330。
S31:服务器安全计算单元330接收到sIP、sP、dIP和dP后,向服务器秘密共享单元320请求共享密钥。
S32:服务器秘密共享单元320将其与客户端秘密共享单元220建立的共享密钥k发送至服务器安全计算单元330。
S33:服务器安全计算单元330采用与S13中所述相同的方法计算新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,将新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP发送给服务器网络接口单元310。
S34:服务器网络接口单元310用接收到的sIP、sP、dIP和dP分别替换原数据包中的源IP地址、源端口号、目的IP地址和目的端口号,并重新封装成帧后通过网络发送。
服务器接收网络通信数据时,服务器子系统工作流程如下:
S40:当服务器计算机操作系统接收到网络通信数据的数据包时,服务器网络接口单元310拦截操作系统待处理的数据包并从中解析出源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,并发送至服务器安全计算单元330。
S41:服务器安全计算单元330向服务器秘密共享单元320请求共享密钥。
S42:服务器秘密共享单元320将其与客户端秘密共享单元220建立的共享密钥k发送至服务器安全计算单元330。
S43:服务器安全计算单元330采用与S13中所述相同的方法计算新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP,并检查目的IP地址dIP、目的端口号dP和源IP地址sIP与自身IP地址192.168.1.77、服务端口号1011和客户端IP地址192.168.1.7是否一致,若一致,将计算得出的新的源IP地址sIP、源端口号sP、目的IP地址dIP和目的端口号dP发送给服务器网络接口单元310。若不一致,通知服务器网络接口单元310向网管报告这一事件。
S44:服务器网络接口单元310用接收到的sIP、sP、dIP和dP分别替换原数据包中的源IP地址、源端口号、目的IP地址和目的端口号,并重新封装成帧后交由操作系统正常处理。
以下为本发明提供的计算机可读存储介质的实施方式。计算机可读存储介质的实施方式与上述的基于局域网的网络服务安全访问方法的实施方式属于同一构思,计算机可读存储介质的实施方式中未详尽描述的细节内容,可以参考上述基于局域网的网络服务安全访问方法的实施方式。
该计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现如上述基于局域网的网络服务安全访问方法的步骤。
即,本领域技术人员可以理解,实现上述实施方式方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域的普通技术人员可以理解,上述各实施方式是实现本发明的具体实施例,而在实际应用中,可以在形式上和细节上对其作各种改变,而不偏离本发明的精神和范围。
机译: 可穿戴式终端,与该终端协作的网络服务系统,显示方法和计算机可读存储介质
机译: 可与ARM配合使用的可穿戴终端,网络服务系统,显示方法和计算机可读存储介质
机译: COPY管理系统,存储客户终端信息处理程序中的计算机可读存储介质,存储管理服务器信息处理程序中的计算机可读存储介质,客户机终端信息处理程序,信息处理服务器管理程序客户终端的方法,信息处理方法和管理服务器的信息处理方法
