[发明专利]一种IP地址默认端口转移加密和端口管道服务方法及装置

说明书

技术领域

本发明涉及计算机网络技术数据安全保护领域，尤其涉及一种IP地址默 认端口转移加密和端口管道服务方法及装置。

背景技术

Internet应用层服务器及其支持设备作为信息收集、分配、存储、处理的 重要载体，是计算机应用系统发挥作用的核心，其服务器数据的安全防泄漏 管理变得越来越重要，借助各种技术手段对开放在广域网状态下的服务器及其 支持设备进行主动有效的保护。是安全、有效和具有可主动操作的保密协议建 设的基础。但是，目前我国使用的数据库服务器、WEB服务器、网络存储服 务器和邮件服务器等Internet应用层服务器基本上使用国外的操作系统和相应 的支持管理软件，这些服务器管理软件使用公认端口，也称默认端口。这类端 口包括0～1023号端口，它们紧密地绑定一些特定的服务。通常，这些端口的 通信明确地表明了某种服务的协议，这类端口不可再重新定义它的作用对象。 另外，各类管理软件还可以根据自己的软件需求使用注册端口，包括 1024～49151号端口，它们松散地绑定了一些服务。也就是说，有许多服务绑定 于这些端口，这些端口同样用于许多其他的目的。这些端口多数没有明确定义 的服务对象，不同程序可以根据实际需要自己定义。这些服务端口国外软件提 供商也没有给出明确的管理定义，这些端口有48127个之多，不能定位应用层 服务器开那些端口，也就不能知道服务器影射到广域网上有多少个可以进入的 “门”这些端口都提供怎样的对外服务。

目前，我国主要通过防火墙等外部服务器支持设备监视和管理服务端口的 状态变化，并进行侦听和管理。一般是采用MAC地址绑定技术、VLINE划分 技术和交换机端口保护命令的配置，被动对Internet应用层服务器和Internet 应用层交换机实现保护。由于网络用户的多样性，被动的端口保护措施可能受 到授权使用范围内和非授权范围内网络客户端各种形式的主动和被动攻击。

开放式广域互联网基础上执行C/S或B/S网络构架下的实时数据的生产、 存储、修改、统计、分析是目前互联网应用中的重要组成部分，在广域网上部 署的信息应用和服务系统，保证信息的保密性、真实性、完整性、未授权拷贝 和所寄生系统的安全性。越来越显得十分重要。由于IP地址是TCP/IP网络服 务机构和公共网络服务商提供网络连接通道的基础，网络应用终端只能使用 TCP/IP网络服务机构和像联通、电信和移动等下级间接服务商提供的固定IP 地址或浮动IP地址。末端Internet应用层只能被动的保护所属IP地址的安全 运行。端口就是计算机和外界连接的通道，端口按照端口号的分布可分为默认 端口、注册端口以及未开放端口。

数据库管理系统(SQL，MicrosoftSQLServer)数据应用层管理服务器默认 端口为1433端口，是SQLServer默认端口，SQLServer服务使用两个端口： TCP-1433、UDP-1434。其中1433用于供SQLServer对外提供服务，1434用 于向请求者返回SQLServer使用了哪个TCP/IP端口。在实际数据库部署过程 中，跟多技术人员把SQLServer配置的1433端口改变，认为这样就对数据库 的端口进行了转移和保护。可惜，通过UDP-1434端口的UDP探测可以很容 易的知道SQLServer使用了什么TCP/IP端口。仍然不能保证(MicrosoftSQL Server数据库服务实际使用端口的保密性。

发明内容

本发明实施例提供一种IP地址默认端口转移加密和端口管道服务方法及 装置，用以解决现有技术中应用层服务器使用默认端口容易被黑客攻击导致数 据服务安全性低的问题；解决国家、集团、企业信息自我规则的制定，避免服 务器软件生产方对数据的非法占有问题。

本发明实施例提供一种IP地址默认端口转移加密和端口管道服务方法及 装置。

第一方面，一种IP地址默认端口转移加密和端口管道服务方法，该方法 包括：

应用层服务器与用户之间进行数据传输时，将应用层服务器所采用的本地 网协IP地址的默认端口转移至未开放端口，并且将未开放端口进行加密；

按照设定IP地址的端口转移规则建立端口传输的限制管道，并验证加密 后的未开放端口是否符合设定IP地址的端口转移规则，在符合设定IP地址的 端口转移规则时，通过限制管道使用本地IP地址和加密后的未开放端口进行 数据传输。