[发明专利]一种基于端状态迁移的网络安全防御方法

说明书

本发明适用于计算机网络安全防护技术领域，提供一种基于端状态迁移的网络安全防御方法，所述方法包括下述步骤：客户端、服务端在会话准备阶段时建立时间同步；从建立连接的时间开始，每经过一个时间间隔，客户端、服务端双方的端状态就发生一次迁移；客户端需要向服务端发起服务请求时，客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射，选择映射后的目的服务端端状态空间，发起访问服务请求；服务端端状态迁移管理器接收到服务请求后，判断是否属于开放的服务端端状态空间，如果是，则提供相应的服务；如果不是，则拒绝提供服务。本发明中，通信双方按照协定的策略随机地改变会话时的端状态信息，从而防止被攻击者发现，破坏攻击者的攻击和干扰，主动防护网络通信过程中的安全。

技术领域

本发明属于计算机网络安全防护技术领域，尤其涉及一种基于端状态迁移的网络安全防御方法。

背景技术

目前网络通讯是以最为常见的TCP/IP协议为基础，两端通讯的核心是双方的IP地址和端口号。服务端通常为固定IP和固定的监听端口，客户端通常具有固定或非固定IP和随机的访问端口。双方通讯时，客户端发起一个随机访问端口，向服务端IP和端口发起访问请求，其间可能经过多个路由器、代理的中转，但访问源和访问目标不变。服务器接收到客户端的访问请求后给予回应，建立双方通讯链路和会话，完成通讯。如客户端与服务端有路由、代理等中转，都会在其中保存会话信息，保证通讯进行。通讯完成后，会话撤销。这种传统安全防护都是基于固定服务地址和端口的防护，是被动的防御，难免被攻击者寻觅到可乘之机。

发明内容

鉴于上述问题，本发明的目的在于提供一种基于端状态迁移的网络安全防御方法及装置，旨在解决现有计算机网络内通信双方地址、端口固定易被侦测、分析和攻击的技术问题。

所述基于端状态迁移的网络安全防御方法，适用于计算机信息网络，所述计算机信息网络包括若干客户端和若干服务端以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器，其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理，所述服务端端状态迁移管理器部用于负责承载对外服务的端状态，完成对外服务端状态与实际服务端端状态之间的转换和映射，所述方法包括下述步骤：

客户端、服务端在会话准备阶段时建立时间同步；

从建立连接的时间开始，每经过一个时间间隔，客户端、服务端双方的端状态就发生一次迁移；

客户端需要向服务端发起服务请求时，客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射，选择映射后的目的服务端端状态空间，发起访问服务请求；

服务端端状态迁移管理器接收到服务请求后，判断是否属于开放的服务端端状态空间，如果是，则提供相应的服务；如果不是，则拒绝提供服务。

进一步的，所述客户端、服务端在会话准备阶段时建立时间同步步骤，具体包括：

客户端和服务端均配置络时间协议NTP服务器；

根据NTP协议，客户端和服务端直接进行设置实现双方时间同步。

进一步的，客户端需要向服务端发起服务请求时，客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射，选择映射后的目的服务端端状态空间，发起访问服务请求步骤，具体包括：

设置客户端端信息三元组M(客户端内部端状态信息εsrc,服务端外部端信息εdest,客户端外部端状态信息εmap)，其中εmap和εdest同步迁移；

客户端需要向服务端发起服务请求时，客户端从一个新的内部端状态信息εsrc发出数据包到服务端外部端信息εdest，在经过客户端端状态迁移管理器的过程中，将客户端内部端状态信息εsrc替换为外部端状态信息εmap，并形成一条映射记录，用于记录相关的映射规则；