一种基于TCP选项的单包授权验证方法技术

本发明专利技术涉及网络安全技术领域，其公开了一种基于TCP选项的单包授权验证方法，解决在软件定义边界的场景下引入单包授权验证导致交互时间增加、TCP应用流程改造度较大、无法较好隐藏服务主机TCP目标端口的问题。本发明专利技术通过在TCP客户端中安装的TCP客户端SPA内核模块检测从客户主机发出的TCPSYN报文，将SPA认证负荷添加到符合需求的TCPSYN报文的TCP选项中，并重新计算报文校验和，发送给服务主机；通过在TCP服务端中安装的TCP服务端SPA内核模块检测服务主机收到的TCP报文，基于五元组信息快速放行已验证会话，并基于TCPSYN报文中自定义选项，检测TCP客户端SPA内核模块的流量，提取TCP选项中SPA认证负荷并验证，验证通过则放行TCPSYN报文建立完整TCP连接，验证失败则丢弃TCPSYN报文。TCPSYN报文。TCPSYN报文。

【技术实现步骤摘要】
一种基于TCP选项的单包授权验证方法


[0001]本专利技术涉及网络安全
，具体涉及一种基于TCP(传输控制协议)选项的单包授权验证方法。

技术介绍

[0002]目前在软件定义边界(SDP)的单包授权验证(SPA)场景下，通常采用以下几种方式验证TCP客户端的身份和权限：
[0003]一、客户主机生成SPA认证负荷，将SPA认证负荷作为UDP协议或者ICMP协议的传输负荷，将SPA所在报文发送给服务主机进行验证授权，授权验证通过后服务主机会允许认证来源TCP客户端允许访问的目标端口，TCP客户端发起对目标端口的TCP连接请求资源。
[0004]该方案由于在TCP客户端初始化TCP连接前，增加独立的UDP协议或者ICMP协议报文进行SPA认证步骤，导致客户主机与服务主机交互时间增加。
[0005]二、客户主机与服务主机完成三次TCP握手，基于已建立的TCP连接生成SPA认证负荷，将SPA所在报文发送给服务主机进行验证授权，授权通过后后续TCP报文允许认证来源TCP客户端能够请求资源，否则断开TCP连接。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于TCP选项的单包授权验证方法，应用于包括客户主机和服务主机的系统中，其特征在于，所述客户主机中部署有TCP客户端，所述TCP客户端中安装有TCP客户端SPA内核模块；所述服务主机中部署有TCP服务端，所述TCP服务端中安装有TCP服务端SPA内核模块；该方法包括以下步骤：S1、通过TCP客户端输入访问TCP服务端的地址和端口，发起TCP连接的初始化操作，生成TCP SYN报文；S2、TCP客户端SPA内核模块检测到TCP SYN报文，当基于策略判断需要对该TCP SYN报文添加SPA认证负荷时，生成SPA认证负荷填充至TCP自定义选项，重新计算报文的校验和填充，然后将报文发送给服务主机；S3、TCP服务端SPA内核模块接收到TCP报文时，验证该连接是否已通过校验，若是，则进入步骤，否则，进入步骤S4；S4、TCP服务端SPA内核模块判定当前TCP报文为TCP SYN报文时，则对TCP报文信息中SPA认证负荷进行提取，若提取到SPA认证负荷，则进入步骤S5，否则，根据当前场景配置对该TCP报文执行对应的操作；S5、TCP服务端SPA内核模块验证提取到的所述SPA认证负荷，若验证通过，则进入步骤S6，否则，根据当前场景配置对该TCP报文执行对应的操作；S6、TCP服务端SPA内核模块将对应TCP连接加入到已通过校验哈希表中，并放行该TCP报文；S7、TCP客户端与TCP服务端进行握手...

【专利技术属性】
技术研发人员：龚致，
申请(专利权)人：四川启睿克科技有限公司，
类型：发明
国别省市：