提升本地网络制造技术

本发明专利技术涉及在本地网络中提升

【技术实现步骤摘要】
提升本地网络Web服务的合规性和安全性的方法及系统


[0001]本专利技术涉及在本地网络中提升
Web
安全服务的
，具体为一种提升本地网络
Web
服务的合规性和安全性的方法及系统
。

技术介绍

[0002]在工业场景下的网络设备和网络安全设备，都需要通过
HTTP
来向外提供管理界面，以
B/S
的模式 ，让最终客户进行操作维护
。
用户打开浏览器，在地址栏输入目标机器的
IP
地址，就可以打开管理界面，登录后可以按照权限进行各种操作
。
[0003]在某些工业场景中，因为合规性的要求，不允许开放
HTTP
，
HTTP
也包括
HTTPS
服务， Web
服务器
。
比如
《
国能安全
[2015] 36
号文
》
明确要求，在某些特定电力场景下，不可以使用
HTTP
服务
。
这个要求对设备制造商造成很大负担，一方面，设备提供商需要开发客户端，以提供操作维护的管理界面，更重要的是需要修改后端接口，不能再以
HTTP
服务的方式提供
Web API。
由于会通过等保检查工具箱等安全工具进行检查，即使修改了
HTTP
的标准接口，如
80
和
443
也一样不能合规
。
目前常见的后端服务几乎都是基于
HTTP
协议开发的，如果要全部修改，需要耗费大量的人力物力财力和时间成本
。
[0004]端口敲门技术可以在一定程度上避免上述
HTTP
服务被检查到， 但是常规的端口敲门还存在一些不完备性，不能保证完全解决
。
比如在端口敲门后正好开始合规性检查，由于服务端口正好开启，就被检查出来了
。
同时，攻击者可以通过
MITM
的方式抓取报文，然后用报文重放的方式来骗取服务器开启服务，以取得合法地位，进行攻击尝试
。

技术实现思路

[0005]本专利技术主要是提供一种提升本地网络
Web
服务的合规性和安全性的方法及系统，用以解决在常规的端口敲门存在不能有效避免开放的
Web
服务被合规检查工具检查到，也不能避免开放的
Web
服务被恶意程序攻击
。
同时常见的后端服务几乎都是基于
HTTP
协议开发的，如果要全部修改，需要耗费大量的人力物力财力和时间成本的问题
。
[0006]为了解决上述技术问题，本专利技术采用如下技术方案：
[0007]第一方面，一种提升本地网络
Web
服务的合规性和安全性的方法，包括，
[0008]服务器关闭提供
Web
服务的端口，生成时间随机端口序列；
[0009]合法客户端基于生成的所述时间随机端口序列，请求与所述服务器连接；
[0010]所述服务器收到向所有所述时间随机端口序列发起的连接请求后，临时打开真实敲门的端口，时间随机端口通过发送报文对临时打开真实敲门的端口进行敲门；
[0011]将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接
。
[0012]进一步的，所述服务器和所述合法客户端使用相同的算法，且提供
Web
服务的端口序列随着时间的变化而变化
。
[0013]进一步的，在将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端
口，合法的客户端在时间有效期内可以正常连接，包括，
[0014]所述服务器修改所述服务器的端口号，使用非标准端口号来提供给服务器
。
[0015]进一步的，在将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接，还包括，
[0016]所述服务器限制连接客户端的
IP
，当客户端敲门成功，给对应的客户端开放服务端口的连接请求，其它的客户端连接同样被拒绝
。
[0017]进一步的，在合法客户端基于生成的所述时间随机端口序列，请求所述服务器连接中，包括，
[0018]客户端在连接时带上自己的证书信息，所述服务器反向校验客户端证书的合法性，若证书非法或者没有证书，则拒绝提供服务
。
[0019]第二方面，一种提升本地网络
Web
服务的合规性和安全性的系统，包括，
[0020]时间随机端口序列生成模块，用于服务器关闭提供
Web
服务的端口，生成时间随机端口序列；
[0021]服务器与合法客户端连接模块，合法客户端基于生成的所述时间随机端口序列，用于请求与所述服务器连接；
[0022]服务端口敲门模块，用于所述服务器收到向所有所述时间随机端口序列发起的连接请求后，临时打开真实敲门的端口，时间随机端口通过发送报文对临时打开真实敲门的端口进行敲门；
[0023]服务器强化模块，用于将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接
。
[0024]进一步的，所述服务器和所述合法客户端使用相同的算法，且提供
Web
服务的端口序列随着时间的变化而变化
。
[0025]进一步的，所述服务器强化模块，包括，
[0026]服务器端口号修改单元，用于所述服务器修改所述服务器的端口号，使用非标准端口号来提供给服务器
。
[0027]进一步的，所述服务器强化模块，包括，
[0028]限制连接客户端的
IP
单元，用于所述服务器限制连接客户端的
IP
，当客户端敲门成功，给对应的客户端开放服务端口的连接请求，其它的客户端连接同样被拒绝
。
[0029]进一步的，所述服务器与合法客户端连接模块，包括，
[0030]反向证书校验单元，用于客户端在连接时带上自己的证书信息，所述服务器反向校验客户端证书的合法性，若证书非法或者没有证书，则拒绝提供服务
。
[0031]有益效果：
[0032]1、
一种提升本地网络
Web
服务的合规性和安全性的方法通过采用增强型的端口敲门技术，在合规的前提下，通过使用时间随机端口序列进行敲门，并通过修改
Web
服务的端口并限制客户端
IP
进一步提升安全性和合规性，安全地使用
HTTP
服务，从而有效的减少设备提供商的人力物力财力以及时间成本；
[0033本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种提升本地网络
Web
服务的合规性和安全性的方法，其特征在于，包括，服务器关闭提供
Web
服务的端口，生成时间随机端口序列；合法客户端基于生成的所述时间随机端口序列，请求与所述服务器连接；所述服务器收到向所有所述时间随机端口序列发起的连接请求后，临时打开真实敲门的端口，时间随机端口通过发送报文对临时打开真实敲门的端口进行敲门；将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接
。2.
根据权利要求1所述的一种提升本地网络
Web
服务的合规性和安全性的方法，其特征在于，包括，所述服务器和所述合法客户端使用相同的算法，且提供
Web
服务的端口序列随着时间的变化而变化
。3.
根据权利要求1所述的一种提升本地网络
Web
服务的合规性和安全性的方法，其特征在于，在将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接，包括，所述服务器修改所述服务器的端口号，使用非标准端口号来提供给服务器
。4.
根据权利要求1所述的一种提升本地网络
Web
服务的合规性和安全性的方法，其特征在于，在将真实提供服务的端口敲门成功之后，所述服务器正常开启服务端口，合法的客户端在时间有效期内可以正常连接，还包括，所述服务器限制连接客户端的
IP
，当客户端敲门成功，给对应的客户端开放服务端口的连接请求，其它的客户端连接同样被拒绝
。5.
根据权利要求1所述的一种提升本地网络
Web
服务的合规性和安全性的方法，其特征在于，在合法客户端基于生成的所述时间随机端口序列，请求所述服务器连接中，包括，客户端在连接时带上自己的证书信息，所述服务器反向校验客户端证书的合法性，若证书非法或者没有证书，则拒绝提供服务
。6....

【专利技术属性】
技术研发人员：李斌，
申请(专利权)人：北京网藤科技有限公司，
类型：发明
国别省市：