(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211084777.1 (22)申请日 2022.09.06 (71)申请人 包风华 地址 310000 浙江省杭州市余杭区良渚街 道亲亲家园三期崇文坊3 -3-201 (72)发明人 包风华　 (74)专利代理 机构 合肥超通知识产权代理事务 所(普通合伙) 3413 6 专利代理师 余红 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/16(2022.01) (54)发明名称 一种保护TCP/IP会话 安全性的方法及系统 (57)摘要 本发明公开了一种保护TCP/IP会话安全性 的方法和系统， 方法包括以下步骤： 步骤1、 在 TCP/IP客户端获取设备指纹并建立TCP/IP服务 列表； 在TCP/IP服务端建立设备指纹白名单加入 至TCP/IP服务列表； 步骤2、 TCP/IP客户端在成握 手请求数据包的syn报文附加SPA信息发送至 TCP/IP服务端； 步骤3、 TCP/IP服务端判断SPA信 息是否有效、 设备指纹是否在所述设备指纹白名 单内， 若是则生成握手响应发送至TCP/IP客户 端； 系统包 括分别存储于TCP/IP客户端和TCP/IP 服务端的程序模块， 用于 执行步骤1 ‑3。 本发明能 够提高TCP/IP通信时的安全性。 权利要求书2页 说明书5页 附图2页 CN 115473720 A 2022.12.13 CN 115473720 A 1.一种保护TCP/IP会话安全性的方法， 用于TCP/IP客户端、 TCP/IP服务端之间通过 TCP/IP协议实现安全通信， 其特 征在于， 包括以下步骤： 步骤1、 在TCP/IP客户端 获取TCP/IP客户端的设备指纹， 并在TCP/IP客户端中将TCP/IP 服务加入到TCP/IP客户端的TCP/IP服 务列表； 在TCP/IP服务端建立所述设备指纹的白名单， 并在TCP/IP服务端将包含设备指纹白名 单的TCP/IP服 务加入到TCP/IP服 务端的TCP/IP服 务列表； 步骤2、 所述TCP/IP客户端生成握手请求数据包， 并向握手请求数据包中的syn报文附 加SPA信息， 所述SPA信息中包含TCP/IP客户端的设备指纹， 并由TCP/IP客户端基于TCP/IP 服务将附加有S PA信息的握 手请求数据包发送至TCP/IP服 务端； 步骤3、 所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时， 判断 其中的SPA信息是否有效， 以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内， 若SPA信息有效且设备指纹在设备指纹白名单内， 则TCP/IP服务端放行握手请求数据包并 生成握手响应发送至TCP/IP客户端， 否则TCP/IP服 务端丢弃 该握手请求数据包。 2.根据权利 要求1所述的一种保护 TCP/IP会话安全性的方法， 其特征在于， 步骤1中， 在 TCP/IP客户端中， 计算客户端设备的若干个系统固定不变的因子， 以及MAC地址、 Machine ‑ ID， 并进行计算后得到设备的特征码， 然后再计算所述设备特征码的MD5或者HASH值， 得到 所述设备指纹。 3.根据权利 要求1所述的一种保护 TCP/IP会话安全性的方法， 其特征在于， 步骤2中， 所 述SPA信息还包含时间戳、 随机生成的字符串， 以及由设备指纹以及时间戳、 随机字符串等 组合而成的二进制内容的crc值， 保证S PA数据的完整性， 防止被篡改。 4.根据权利 要求1所述的一种保护TCP/IP会话安全性的方法， 其特征在于， 所述TCP/IP 客户端、 TCP/IP服务端均采用Linux操作系统， 步骤2中TCP/IP客户端通过Linux操作系统的 NetFilter框架或者eBPF框架的TC子系统截获所有出栈的握手请求数据包以附加SPA信息， 步骤3中TCP/IP服务端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获 所有入栈的握手请求数据包以进行判断。 5.根据权利要求4所述的一种保护TCP/IP会话安全性的方法， 其特征在于， 步骤2中， TCP/IP客户端 通过NetFilter框架的NF_INET_POS T_ROUTING钩子点挂载钩子函数或者eBPF 框架的TC 子系统中的Egres s钩子点向syn包中附加S PA信息。 6.根据权利要求4所述的一种保护TCP/IP会话安全性的方法， 其特征在于， 步骤3中， TCP/IP服务端通过NetFilter框架的NF_INET_PRE_ROUTING钩子点挂载钩子函数或者eBPF 框架的TC 子系统中的I ngress钩子函数对S PA信息和设备指纹进行判断。 7.一种实现权利 要求1‑6中任意一项保护TCP/IP会话安全性方法的系统， 其特征在于， 包括： 第一模块， 设于TCP/IP客户端， 用于执 行步骤1以获取TCP/IP客户端设备的设备指纹； 第二模块， 设于TCP/IP客户端， 用于执行步骤1将TCP/IP服务加入到TCP/IP客户端的 TCP/IP服 务列表； 第三模块， 设于TCP/IP客户端， 用于执 行步骤2添加S PA信息并发送握 手请求数据包； 第四模块， 设于TCP/IP服务端， 用于执行步骤1建立所述设备指纹的白名单， 以及将包 含设备指纹白名单的TCP/IP服 务加入到TCP/IP服 务端的TCP/IP服 务列表；权　利　要　求　书 1/2 页 2 CN 115473720 A 2第五模块， 设于TCP/IP服 务端， 用于执 行步骤3接收握手请求数据包后的判断。权　利　要　求　书 2/2 页 3 CN 115473720 A 3