[发明专利]一种实现将网络中的主机隐藏的系统及方法

说明书

本申请属于信息技术处理领域，特别涉及一种实现将网络中的主机隐藏的系统及方法，包括客户端模块：用于向内核安全模块发送加密的IP访问认证请求；内核安全模块：用于对客户端模块的请求内容进行安全认证；配置模块：用于对内核安全模块进行配置；所述内核安全模块与配置模块部署在服务器，客户端模块部署在客户端，所述内核安全模块分别于配置模块和客户端模块信号相连。本发明在IP层做访问控制，适用于对任何应用主机的防护，服务器只对信任的IP发起的TCP连接请求做回应，而对非信任IP发起的TCP连接请求不会做任何回应，通过端口扫描的方式发现不了主机，并且不需要再增加额外的认证服务器。

技术领域

本申请属于信息技术处理领域，特别涉及一种实现将网络中的主机隐藏的系统及方法。

背景技术

对于暴露在公网的网络服务器，任何客户端都能向它发起网络访问，存在被网络攻击的风险，而传统的安全解决方案是在服务器的前端部署防火墙或IDS设备，让数据包经过防火墙或IDS设备过滤后再到主机，或者是对服务器主机进行加固，对主机的资源进行访问控制。但这些解决方案只对已知的攻击有效，由于对开放的端口没有做IP访问控制，任何外部IP都能对开放的端口进行扫描发现安全漏洞，新型的攻击方法层出不穷，难以杜绝来自网络的攻击。

现有相关专利申请如专利申请号为201010291551.X，名称为《防范CC 攻击的方法和装置》的发明专利，以及专利申请号为201410409718.6，名称为《基于APP 应用的Portal认证方法及其装置》的发明专利，上述专利是在应用层做访问控制，只限于对WEB服务器的防护，是服务器对客户端发起的所有的TCP连接请求都会有回应，解决不了防端口扫描的问题，并且需要一个专门的认证服务器做认证。

发明内容

为解决现有的公网上的主机开放网络端口后，不能对这些网络端口做IP访问控制等问题，现在提出一种将服务器主机进行隐藏从而减少甚至杜绝来自网络攻击的实现将网络中的主机隐藏的系统及方法。

为实现上述目的，本申请的具体方案为：

一种实现将网络中的主机隐藏的系统，其特征在于：包括

客户端模块：用于向内核安全模块发送加密的IP访问认证请求；

内核安全模块：用于对客户端模块的请求内容进行安全认证；

配置模块：用于对内核安全模块进行配置；

所述内核安全模块与配置模块部署在服务器，客户端模块部署在客户端，所述内核安全模块分别于配置模块和客户端模块信号相连。

一种实现将网络中的主机隐藏的方法，其特征在于，包括如下步骤：

（1）通过配置模块对内核安全模块进行配置，比如配置IP白名单、解密key参数、超时参数、安全模块的端口。内核安全模块只允许信任IP与服务器进行通信，其他的IP通信包一律丢掉；

（2）客户端模块向内核安全模块发送加密的IP访问认证请求；

（3）内核安全模块收到IP访问认证请求后，解密请求消息并提取该请求的信息，如果认证请求的字段都为合法，则认证通过，将该客户端的IP加到受信任的IP列表，并记录其UUID和序列号 ID，开始计时；

（4）客户端模块向服务器发起正常的IP通信，IP包达到内核安全模块后，由于客户端的IP已经在信任IP列表中，不会被安全模块过滤，内核安全模块将IP数据包交由协议栈和应用处理。

（5）如果客户端与服务器在超时时间内没有数据通信，内核安全模块将客户端IP从信任IP列表中移除。

所述步骤（2）中的IP认证请求消息包含客户端的时间戳、UUID和序列号ID，每次发送将序列号ID进行加1。

所述步骤（3），如果认证请求不合法，则将包丢掉。