本申请涉及TCP连接的预认证方法、装置和系统,所述方法包括:在TCP SYN报文通过TCP协议栈被发送到服务端口之前,抓取TCP SYN报文;其中,TCP SYN报文中携带客户端发送给服务端口的TCP选项;对抓取的TCP SYN报文进行校验匹配,验证TCP SYN报文是否认证通过;若判断为认证通过,将TCP SYN报文送回TCP协议栈,完成后续的建链流程。本发明专利技术通过对报文预认证,丢弃不匹配规则报文解决采用单包授权(SPA)方法认证报文,建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题。
【技术实现步骤摘要】
TCP连接的预认证方法、装置和系统
本申请涉及通信
,特别是涉及TCP连接的预认证方法、装置和系统。
技术介绍
基于网络安全体系架构上,传统企业除了部署物理防火墙外,也会部署安全网关或者软件防火墙来进行外网的访问控制;按照此部署可以在防火墙上通过打开指定端口对外提供必要服务,但是会带来被攻击的风险;相反如果关闭服务端所有公网端口能够保障安全,但无法对外提供服务。为了兼顾应用性和安全性,需要提供一种端口默认关闭场景下保证内部应用能够被可信终端安全访问的方案。业界普遍采用单包授权(SPA)方法来实现:通过默认关闭服务端口,实现服务端网络隐身,从网络上无法连接、无法扫描。如果需要使用服务,则通过特定客户端发送认证报文信息给服务器,服务器认证该报文后,对该客户端打开相关的服务,建立TCP连接。然而,这样的处理方式至少存在以下缺陷:1、授权信息承载在TCP/UDP报文之上,服务器端仍然需要打开传输层的端口来接受单包授权报文,增加安全风险。对于外部访问组织内部资源服务起时,需要在组织的边界出口防火强增加端口规则,这样会增加运维改造的难度2、应用服务前部署LB,WAF类安全设备之后,敲门报文无法穿透这类设备,通过单包方式无法实现服务端口打开。目前针对相关技术中采用单包授权(SPA)方法认证报文,建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题,尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了TCP连接的预认证方法、装置和系统,以至少解决采用单包授权(SPA)方法认证报文,建立TCP连接的方法存在的安全风险高、运维改造的难度大、无法让敲门报文穿透等问题。第一方面,本申请实施例提供了TCP连接的预认证方法,所述方法包括:在TCPSYN报文通过TCP协议栈被发送到服务端口之前,抓取TCPSYN报文;其中,TCPSYN报文中携带客户端发送给服务端口的TCP选项;对抓取的TCPSYN报文进行校验匹配,验证TCPSYN报文是否认证通过;若判断为认证通过,将TCPSYN报文送回TCP协议栈,完成后续的建链流程。在其中一些实施例中,对抓取的TCPSYN报文进行校验匹配,验证TCPSYN报文是否认证通过包括:解密:对抓取的TCPSYN报文进行识别处理,若识别结果为合法,对TCPSYN报文进行解密,提取出认证信息;认证:对认证信息进行各维度校验;控制:对终端设备的业务访问放行和控制,其中,终端设备包括当前发起TCP连接的服务端。在其中一些实施例中,TCPSYN报文中携带客户端发送给服务端口的TCP选项,解密过程包括:检查TCP选项是否携带快速标识,若携带,根据预设规则将TCP选项拆分成密文和HMAC;通过服务器存储的秘钥对密文进行数字签名,验证HMAC是否匹配,若匹配,通过秘钥对密文进行解密,得到认证信息、携带的摘要;对认证信息进行摘要计算,比对计算得到的摘要与携带的摘要是否相同;若相同,提取出认证信息。在其中一些实施例中,认证信息包括随机数、硬件特征码、用户ID、服务端端口信息的一种或多种;认证过程包括以下步骤的一种或多种:比对提取出的随机数与服务端存储的映射是否冲突;若不冲突,对设备特征码(硬件特征码)和用户ID进行用户访问认证;若认证通过,将服务端端口信息与TCPSYN报文的目的端口进行匹配,得到匹配结果。在其中一些实施例中,对终端设备的业务访问放行和控制具体为:在解密、认证过程中,若规则不匹配,直接丢弃TCPSYN报文,不作任何响应;否则,将TCPSYN报文送回TCP协议栈。在其中一些实施例中,所述方法还包括:获取客户端的认证信息;将认证信息进行哈希计算得到摘要,对认证信息和摘要进行加密得到密文;为密文添加HMAC,将密文和HMAC作为TCP选项封装在TCPSYN报文中,发送给服务端。第二方面,本申请实施例提供了一种TCP连接的预认证的系统,包括加密装置:用于获取客户端的认证信息;将认证信息进行哈希计算得到摘要,对认证信息和摘要进行加密得到密文;为密文添加HMAC,将密文和HMAC作为TCP选项封装在TCPSYN报文中,发送给服务端;认证设备:抓取TCPSYN报文并包括解密模块,用于对抓取的TCPSYN报文进行识别处理,若识别结果为合法,对TCPSYN报文进行解密,提取出认证信息;认证模块:用于对认证信息进行各维度校验;控制模块:用于对终端设备的业务访问放行和控制。第三方面,本申请实施例提供了一种TCP连接的预认证的装置,包括获取模块,用于在TCPSYN报文通过TCP协议栈被发送到服务端口之前,抓取TCPSYN报文;预认证模块,用于对抓取的TCPSYN报文进行校验匹配,验证TCPSYN报文是否认证通过;处理模块,用于当判断为认证通过后,将TCPSYN报文送回TCP协议栈,完成后续的建链流程。第四方面,本申请实施例提供了一种电子装置,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的TCP连接的预认证方法。第五方面,本申请实施例提供了一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的TCP连接的预认证方法。相比于相关技术中的单包授权方法,本申请实施例提供的TCP连接的预认证方法、装置和系统,将访问授权信息封装到TCPSYN报文的选项字段,在服务端解开选项信息,根据授权信息,确定是否允许客户端的接入。通过这种方式,可以避免额外增加服务端口,也无需改变服务端原有的安全策略规则,同时可以达到缩小攻击面的能力,避免SYNFlood和端口扫描类攻击。本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。附图说明此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:图1是根据本申请实施例的预认证信息加密流程图;图2是根据本申请实施例的TCP选项封装示意图;图3是根据本申请实施例的通过服务端预认证的模块框架图;图4是根据本申请实施例的对报文进行预认证处理的流程图;图5是根据本申请实施例的TCP连接的预认证方法的流程图;图6是根据本申请实施例的电子装置的硬件结构示意图;图7是根据本申请实施例的TCP连接的预认证的装置的结构框图。具体实施方式这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本说明书一个或多个实施例相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本说明书一个或多个实施例的一些方面相一致的装置和方法的例子。需要说明的是:在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤本文档来自技高网...
【技术保护点】
1.一种TCP连接的预认证方法,其特征在于,该方法包括:/n在TCP SYN报文通过TCP协议栈被发送到服务端口之前,抓取TCP SYN报文;其中,TCPSYN报文中携带客户端发送给服务端口的TCP选项;/n对抓取的TCP SYN报文进行校验匹配,验证TCP SYN报文是否认证通过;/n若判断为认证通过,将TCP SYN报文送回TCP协议栈,完成后续的建链流程。/n
【技术特征摘要】
1.一种TCP连接的预认证方法,其特征在于,该方法包括:
在TCPSYN报文通过TCP协议栈被发送到服务端口之前,抓取TCPSYN报文;其中,TCPSYN报文中携带客户端发送给服务端口的TCP选项;
对抓取的TCPSYN报文进行校验匹配,验证TCPSYN报文是否认证通过;
若判断为认证通过,将TCPSYN报文送回TCP协议栈,完成后续的建链流程。
2.根据权利要求1所述的TCP连接的预认证方法,其特征在于,对抓取的TCPSYN报文进行校验匹配,验证TCPSYN报文是否认证通过包括:
解密:对抓取的TCPSYN报文进行识别处理,若识别结果为合法,对TCPSYN报文进行解密,提取出认证信息;
认证:对认证信息进行各维度校验;
控制:对终端设备的业务访问放行和控制,其中,终端设备包括当前发起TCP连接的服务端。
3.根据权利要求2所述的TCP连接的预认证方法,其特征在于,TCPSYN报文中携带客户端发送给服务端口的TCP选项,
解密过程包括:
检查TCP选项是否携带快速标识,若携带,根据预设规则将TCP选项拆分成密文和HMAC;通过服务器存储的秘钥对密文进行数字签名,验证HMAC是否匹配,若匹配,通过秘钥对密文进行解密,得到认证信息、携带的摘要;
对认证信息进行摘要计算,比对计算得到的摘要与携带的摘要是否相同;
若相同,提取出认证信息。
4.根据权利要求2所述的TCP连接的预认证方法,其特征在于,认证信息包括随机数、硬件特征码、用户ID、服务端端口信息的一种或多种;
认证过程包括以下步骤的一种或多种:
比对提取出的随机数与服务端存储的映射是否冲突;
若不冲突,对设备特征码(硬件特征码)和用户ID进行用户访问认证;
若认证通过,将服务端端口信息与TCPSYN报文的目的端口进行匹配,得到匹配结果。
5.根据权利要求2所述的TCP连接的预认证方法,其特征在...
【专利技术属性】
技术研发人员:秦益飞,闻权,杨正权,
申请(专利权)人:杭州易安联科技有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。