一种保护TCP/IP会话安全性的方法及系统技术方案

本发明专利技术公开了一种保护TCP/IP会话安全性的方法和系统，方法包括以下步骤：步骤1、在TCP/IP客户端获取设备指纹并建立TCP/IP服务列表；在TCP/IP服务端建立设备指纹白名单加入至TCP/IP服务列表；步骤2、TCP/IP客户端在成握手请求数据包的syn报文附加SPA信息发送至TCP/IP服务端；步骤3、TCP/IP服务端判断SPA信息是否有效、设备指纹是否在所述设备指纹白名单内，若是则生成握手响应发送至TCP/IP客户端；系统包括分别存储于TCP/IP客户端和TCP/IP服务端的程序模块，用于执行步骤1

【技术实现步骤摘要】
一种保护TCP/IP会话安全性的方法及系统


[0001]本专利技术涉及通信方法领域，具体是一种保护TCP/IP会话安全性的方法及系统。

技术介绍

[0002]现有基于TCP/IP协议的会话通信系统中，TCP/IP客服端(计算机设备)与TCP/IP服务端(服务器)之间基于TCP/IP协议进行通信，通信时首先TCP/IP客服端与TCP/IP服务端进行握手阶段，一般经过三次握手后，TCP/IP客服端再与TCP/IP服务端实现正式的数据交互。现有TCP/IP会话进行通信时，由于无法在TCP协议的握手阶段对TCP请求发起端的身份进行识别，从而导致TCP/IP服务在握手阶段很容易成为互联网黑客/犯罪分子的攻击目标，进而导致给企业/组织造成严重安全损失的问题。

技术实现思路

[0003]本专利技术的目的是提供一种保护TCP/IP会话安全性的方法及系统，以解决现有技术TCP/IP会话通信时无法在握手阶段实现身份识别的问题。
[0004]为了达到上述目的，本专利技术所采用的技术方案为：
[0005]一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信，包括以下步骤：
[0006]步骤1、在TCP/IP客户端获取TCP/IP客户端的设备指纹，并在TCP/IP客户端中将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；
[0007]在TCP/IP服务端建立所述设备指纹的白名单，并在TCP/IP服务端将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；
[0008]步骤2、所述TCP/IP客户端生成握手请求数据包，并向握手请求数据包中的syn报文附加SPA信息，所述SPA信息中包含TCP/IP客户端的设备指纹，并由TCP/IP客户端基于TCP/IP服务将附加有SPA信息的握手请求数据包发送至TCP/IP服务端；
[0009]步骤3、所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时，判断其中的SPA信息是否有效，以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内，若SPA信息有效且设备指纹在设备指纹白名单内，则TCP/IP服务端放行握手请求数据包并生成握手响应发送至TCP/IP客户端，否则TCP/IP服务端丢弃该握手请求数据包。
[0010]进一步的，步骤1中，在TCP/IP客户端中，计算客户端设备的若干个系统固定不变的因子，以及MAC地址、Machine
‑
ID，并计算后得到设备的特征码，然后再计算所述设备特征码的MD5或者HASH值，得到所述设备指纹。
[0011]进一步的，步骤2中，所述SPA信息还包含时间戳、随机生成的字符串，确保该SPA信息不会被窃取，以及由设备指纹以及时间戳、随机字符串等组合而成的二进制内容的crc值。
[0012]进一步的，所述TCP/IP客户端、TCP/IP服务端均采用Linux操作系统，步骤2中TCP/IP客户端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有出栈的
握手请求数据包以附加SPA信息，步骤(3)中TCP/IP服务端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有入栈的握手请求数据包以进行判断。
[0013]步骤2中，TCP/IP客户端通过NetFilter框架的NF_INET_POST_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Egress钩子向syn包中附加SPA信息。
[0014]步骤3中，TCP/IP服务端通过NetFilter框架的NF_INET_PRE_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Ingress钩子对SPA信息和设备指纹进行判断。
[0015]一种实现保护TCP/IP会话安全性方法的系统，包括：
[0016]第一模块，设于TCP/IP客户端，用于执行步骤1以获取TCP/IP客户端设备的设备指纹；
[0017]第二模块，设于TCP/IP客户端，用于执行步骤1将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；
[0018]第三模块，设于TCP/IP客户端，用于执行步骤2添加SPA信息并发送握手请求数据包；
[0019]第四模块，设于TCP/IP服务端，用于执行步骤1建立所述设备指纹的白名单，以及将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；
[0020]第五模块，设于TCP/IP服务端，用于执行步骤3接收握手请求数据包后的判断。
[0021]与现有技术相比，本专利技术的优点为：
[0022](1)本专利技术中，根据TCP/IP协议规范以及Linux操作系统NetFilter框架和eBPF框架的TC子系统的处理逻辑，通过在TCP/IP的客户端构造SPA信息的syn报文，以及在TCP/IP的服务端对syn报文的SPA信息进行验证和识别，通过验证和识别的syn报文才会被放行，为通过验证和识别的syn报文会被丢弃，在TCP握手阶段就能阻拦非法请求，因此能够解决现有采用TCP/IP会话进行通信的计算机设备由于无法在TCP协议的握手阶段对TCP请求发起者的身份进行识别，而导致TCP/IP服务很容易成为互联网黑客/犯罪分子的攻击目标，从而给企业/组织造成严重安全损失的技术问题。
[0023](2)本专利技术中能够根据需要动态调整TCP/IP服务端的TCP/IP服务列表，以及设备指纹白名单，大大提高了安全保护的效率。
[0024](3)本专利技术中，在握手阶段就完成了TCP/IP服务端对TCP/IP客户端的身份识别也验证，因此上层的TCP/IP服务不需要做任何改动，同时也无需借助其他技术(比如Port Knocking，iptables)来保护TCP/IP通信的安全性，更能实现设备级的TCP/IP安全保护。
附图说明
[0025]图1是本专利技术实施例中TCP/IP客户端网络报文处理流程图。
[0026]图2是本专利技术实施例中TCP/IP服务端网络报文处理流程图。
具体实施方式
[0027]下面结合附图和实施例对本专利技术进一步说明。
[0028]本实施例一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信。其中TCP/IP客户端是通过TCP/IP通信协议向TCP/IP服务端发送TCP/IP会话请求并获取响应的设备，如计算机等；TCP/IP服务端是通过TCP/IP通
信协议接受TCP/IP客户端的TCP/IP会话请求并返回响应的设备，如服务器等。本实施例以采用Linux操作系统的TCP/IP客户端、TCP/IP服务端为例进行说明，包括以下步骤：
[0029]步骤(1)、获取TCP/IP客户端的设备指纹，在TCP/IP客户端本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信，其特征在于，包括以下步骤：步骤1、在TCP/IP客户端获取TCP/IP客户端的设备指纹，并在TCP/IP客户端中将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；在TCP/IP服务端建立所述设备指纹的白名单，并在TCP/IP服务端将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；步骤2、所述TCP/IP客户端生成握手请求数据包，并向握手请求数据包中的syn报文附加SPA信息，所述SPA信息中包含TCP/IP客户端的设备指纹，并由TCP/IP客户端基于TCP/IP服务将附加有SPA信息的握手请求数据包发送至TCP/IP服务端；步骤3、所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时，判断其中的SPA信息是否有效，以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内，若SPA信息有效且设备指纹在设备指纹白名单内，则TCP/IP服务端放行握手请求数据包并生成握手响应发送至TCP/IP客户端，否则TCP/IP服务端丢弃该握手请求数据包。2.根据权利要求1所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤1中，在TCP/IP客户端中，计算客户端设备的若干个系统固定不变的因子，以及MAC地址、Machine
‑
ID，并进行计算后得到设备的特征码，然后再计算所述设备特征码的MD5或者HASH值，得到所述设备指纹。3.根据权利要求1所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤2中，所述SPA信息还包含时间戳、随机生成的字符串，以及由设备指纹以及时间戳、随机字符串等组合而成的二进制内容的crc值，保证SPA数据的完整性，防止被篡改。4.根据权利要求1所述的...

【专利技术属性】
技术研发人员：包风华，
申请(专利权)人：包风华，
类型：发明
国别省市：