(19)中华 人民共和国 国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111352075.2 (22)申请日 2021.11.16 (65)同一申请的已公布的文献号 申请公布号 CN 113794739 A (43)申请公布日 2021.12.14 (73)专利权人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 马腾超　许长桥　杨树杰　关建峰　 黄毅婷　 (74)专利代理 机构 北京路浩知识产权代理有限 公司 11002 代理人 任少瑞 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01)(56)对比文件 US 2014189842 A1,2014.07.0 3 US 2014282891 A1,2014.09.18 WO 2016039643 A1,2016.0 3.17 WO 20180 59480 A1,2018.04.0 5 审查员 刘承恩 (54)发明名称 针对中间人攻击的双层主动防御的方法及 装置 (57)摘要 本发明公开了针对中间人攻击的双层主动 防御的方法及装置， 包括： 在迁移到新地址并将 第一网络标识切换为第二网络标识后， 向客户端 发送非探测帧； 由第一服务器通信标识切换为第 二服务器通信标识并向客户端发送第二服务器 通信标识； 获取来自客户端的第二客户端通信标 识； 将预先存储的第一客户端通信标识修改为第 二客户端通信标识； 通过第二服务器通信标识以 及第二客户端通信标识与客户端会话。 本发明通 过将网络标识跳变与通信标识跳变结合起来， 通 过不可预知的快速变化， 抵御了面向服务的MITM 攻击以及面向节点的MITM攻击， 通过双重随机跳 变对中间人攻击有很好的防御效果， 具有较高的 保密性安全性。 权利要求书2页 说明书12页 附图7页 CN 113794739 B 2022.04.12 CN 113794739 B 1.一种针对中间人攻击的双 层主动防御的方法， 其特 征在于， 包括： 服务端在迁移到新地址并将第 一网络标识切换为第 二网络标识后， 向客户端发送非探 测帧； 所述服务端在所述客户端响应后通过预先存储的第一服务器通信标识与第一客户端 通信标识与所述 客户端完成地址验证； 所述服务端由所述第一服务器通信标识切换为第二服务器通信标识并向所述客户端 发送所述第二 服务器通信标识； 所述服务端获取来自所述客户端的第 二客户端通信标识； 所述第 二客户端通信标识由 所述客户端刷新所述第一 客户端通信标识得到； 所述服务端将预 先存储的所述第一 客户端通信标识修改为所述第二 客户端通信标识； 所述服务端通过所述第二服务器通信标识以及所述第二客户端通信标识与所述客户 端会话。 2.根据权利要求1所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 所述通 过预先存储的第一服务器通信标识与第一客户端通信标识与所述客户端完成地址验证， 包 括： 获取来自所述 客户端的探测包； 所述探测包 包含第一随机值； 向所述客户端发送包 含所述第一随机值的探测包； 向所述客户端发送包 含第二随机值的探测包； 根据所述 客户端的响应判断地址验证是否通过。 3.根据权利要求1所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 在所述 迁移到新 地址之前， 还 包括： 采用预设的地址 跳变算法确定新 地址对应的第二网络标识。 4.根据权利要求3所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 所述采 用预设的地址 跳变算法确定新 地址对应的第二网络标识， 包括： 获取第一 地址集合、 保留地址、 占用地址以及风险地址； 根据所述保留地址、 所述占用地址以及所述风险地址对所述第 一地址集合中的地址进 行筛选， 得到第二 地址集合； 根据所述第二 地址集合确定当前时刻的地址 跳变列表； 根据所述 地址跳变列表确定第二网络标识。 5.根据权利要求4所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 所述当 前时刻的地址 跳变列表在距离当前时刻地址 跳变间隔的时刻预 先生成。 6.根据权利要求1所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 采用第 一切换周期将所述第一网络标识切换为所述第二网络标识， 采用第二切换周期由所述第一 服务器通信标识切换为所述第二服务器通信标识； 所述第一切换周期为所述第二切换周期 的整数倍。 7.根据权利要求3所述的针对中间人攻击的双层主动防御的方法， 其特征在于， 在所述 采用预设的地址 跳变算法确定新 地址对应的第二网络标识之前， 还 包括： 与所述客户端基于QUIC协议完成握 手过程。 8.一种针对中间人攻击的双 层主动防御的装置， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 113794739 B 2地址跳变模块， 用于在迁移到新地址并将第一网络标识切换为第二网络标识后， 向客 户端发送非探测帧； 在所述客户端响应后通过预先存储的第一服务器通信标识与第一客户 端通信标识与所述 客户端完成地址验证； 通信标识跳变模块， 用于由所述第 一服务器通信标识切换为第 二服务器通信标识并向 所述客户端发送所述第二服务器通信标识； 获取来自所述客户端的第二客户端通信标识； 所述第二客户端通信标识由所述客户端刷新所述第一客户端通信标识得到； 将预先存储的 所述第一客户端通信标识修改为所述第二客户端通信标识； 通过所述第二服务器通信标识 以及所述第二 客户端通信标识与所述 客户端会话。 9.一种电子设备， 包括存储器、 处理器及存储在所述存储器上并可在所述处理器上运 行的计算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求1至7任一项所 述方法的步骤。 10.一种非暂态计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算 机程序被处 理器执行时实现如权利要求1至7任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 113794739 B 3