[发明专利]一种基于端状态迁移的网络安全防御方法

权利要求书

1.一种基于端状态迁移的网络安全防御方法，其特征在于，所述方法适用于计算机信息网络，所述计算机信息网络包括若干客户端和若干服务端以及相应的客户端端状态迁移管理器和服务端端状态迁移管理器，其中所述客户端端状态迁移管理器用于负责客户端端状态、目的服务端端状态以及自身外网端状态的映射管理，所述服务端端状态迁移管理器部用于负责承载对外服务的端状态，完成对外服务端状态与实际服务端端状态之间的转换和映射，所述方法包括下述步骤：

客户端、服务端在会话准备阶段时建立时间同步；

从建立连接的时间开始，每经过一个时间间隔，客户端、服务端双方的端状态就发生一次迁移；

客户端需要向服务端发起服务请求时，客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射，选择映射后的目的服务端端状态空间，发起访问服务请求；

服务端端状态迁移管理器接收到服务请求后，判断是否属于开放的服务端端状态空间，如果是，则提供相应的服务；如果不是，则拒绝提供服务；

其中，客户端需要向服务端发起服务请求时，客户端端状态迁移管理器根据端状态迁移算法进行自身外部端状态以及目的服务端端状态映射，选择映射后的目的服务端端状态空间，发起访问服务请求步骤，具体包括：

设置客户端端信息三元组M，所述客户端端信息三元组M包括客户端内部端状态信息εsrc、服务端外部端信息εdest以及客户端外部端状态信息εmap，其中εmap和εdest同步迁移；

客户端需要向服务端发起服务请求时，客户端从一个新的内部端状态信息εsrc发出数据包到服务端外部端信息εdest，在经过客户端端状态迁移管理器的过程中，将客户端内部端状态信息εsrc替换为外部端状态信息εmap，并形成一条映射记录，用于记录相关的映射规则；

户端根据映射记录可以找到当前客户端内部端状态信息εsrc所对应的映射后的外部端状态信息εmap，然后根据εmap和εdest同步迁移，即可找到数据包所要发送服务端的服务端外部端信息εdest；

其中，所述服务端端状态迁移管理器接收到服务请求后，判断是否属于开放的服务端端状态空间，如果是，则提供相应的服务；如果不是，则拒绝提供服务步骤，具体包括：

设置服务端端信息三元组N，所述服务端端信息三元组N包括服务端内部端状态信息εin、客户端外部端状态信息εmap以及服务端外部端状态信息空间集合εout；

每当接收到客户端发出数据包到服务端外部端状态信息εdest时，会经过服务端端状态迁移管理器，判断εdest是否属于εout，即判断当前时间是否在开放窗口内，如果是，允许访问建立会话连接，并将εdest映射为相应的εin，如果不是，则拒绝提供服务。

2.如权利要求1所述基于端状态迁移的网络安全防御方法，其特征在于，所述客户端、服务端在会话准备阶段时建立时间同步步骤，具体包括：

客户端和服务端均配置络时间协议NTP服务器；

根据NTP协议，客户端和服务端直接进行设置实现双方时间同步。

3.如权利要求1所述基于端状态迁移的网络安全防御方法，其特征在于，所述服务端端状态迁移管理器接收到服务请求后，判断是否属于开放的服务端端状态空间，如果是，则提供相应的服务；如果不是，则拒绝提供服务步骤之后，还包括：

当服务端需要向客户端响应数据时，服务端端状态迁移管理器进行端状态信息转换，服务端端状态迁移管理器将内部端状态信息εin转换为εsrc，并返回响应数据包到客户端外部端状态信息εmap；

客户端端状态迁移管理器接收到服务端发送的响应数据包后，比较εmap是否为当前客户端端状态空间内地址和端口，如果是，端状态迁移管理器会在其映射中寻找一条可用的映射记录，来将外部数据包映射为客户端内部数据包，即将外部端状态信息εmap映射为内部端状态信息εsrc；如果不是，则舍弃。