(19)国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202211084777.1
(22)申请日 2022.09.06
(71)申请人 包风华
地址 310000 浙江省杭州市余杭区良渚街
道亲亲家园三期崇文坊3 -3-201
(72)发明人 包风华
(74)专利代理 机构 合肥超通知识产权代理事务
所(普通合伙) 3413 6
专利代理师 余红
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 69/16(2022.01)
(54)发明名称
一种保护TCP/IP会话 安全性的方法及系统
(57)摘要
本发明公开了一种保护TCP/IP会话安全性
的方法和系统, 方法包括以下步骤: 步骤1、 在
TCP/IP客户端获取设备指纹并建立TCP/IP服务
列表; 在TCP/IP服务端建立设备指纹白名单加入
至TCP/IP服务列表; 步骤2、 TCP/IP客户端在成握
手请求数据包的syn报文附加SPA信息发送至
TCP/IP服务端; 步骤3、 TCP/IP服务端判断SPA信
息是否有效、 设备指纹是否在所述设备指纹白名
单内, 若是则生成握手响应发送至TCP/IP客户
端; 系统包 括分别存储于TCP/IP客户端和TCP/IP
服务端的程序模块, 用于 执行步骤1 ‑3。 本发明能
够提高TCP/IP通信时的安全性。
权利要求书2页 说明书5页 附图2页
CN 115473720 A
2022.12.13
CN 115473720 A
1.一种保护TCP/IP会话安全性的方法, 用于TCP/IP客户端、 TCP/IP服务端之间通过
TCP/IP协议实现安全通信, 其特 征在于, 包括以下步骤:
步骤1、 在TCP/IP客户端 获取TCP/IP客户端的设备指纹, 并在TCP/IP客户端中将TCP/IP
服务加入到TCP/IP客户端的TCP/IP服 务列表;
在TCP/IP服务端建立所述设备指纹的白名单, 并在TCP/IP服务端将包含设备指纹白名
单的TCP/IP服 务加入到TCP/IP服 务端的TCP/IP服 务列表;
步骤2、 所述TCP/IP客户端生成握手请求数据包, 并向握手请求数据包中的syn报文附
加SPA信息, 所述SPA信息中包含TCP/IP客户端的设备指纹, 并由TCP/IP客户端基于TCP/IP
服务将附加有S PA信息的握 手请求数据包发送至TCP/IP服 务端;
步骤3、 所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时, 判断
其中的SPA信息是否有效, 以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内,
若SPA信息有效且设备指纹在设备指纹白名单内, 则TCP/IP服务端放行握手请求数据包并
生成握手响应发送至TCP/IP客户端, 否则TCP/IP服 务端丢弃 该握手请求数据包。
2.根据权利 要求1所述的一种保护 TCP/IP会话安全性的方法, 其特征在于, 步骤1中, 在
TCP/IP客户端中, 计算客户端设备的若干个系统固定不变的因子, 以及MAC地址、 Machine ‑
ID, 并进行计算后得到设备的特征码, 然后再计算所述设备特征码的MD5或者HASH值, 得到
所述设备指纹。
3.根据权利 要求1所述的一种保护 TCP/IP会话安全性的方法, 其特征在于, 步骤2中, 所
述SPA信息还包含时间戳、 随机生成的字符串, 以及由设备指纹以及时间戳、 随机字符串等
组合而成的二进制内容的crc值, 保证S PA数据的完整性, 防止被篡改。
4.根据权利 要求1所述的一种保护TCP/IP会话安全性的方法, 其特征在于, 所述TCP/IP
客户端、 TCP/IP服务端均采用Linux操作系统, 步骤2中TCP/IP客户端通过Linux操作系统的
NetFilter框架或者eBPF框架的TC子系统截获所有出栈的握手请求数据包以附加SPA信息,
步骤3中TCP/IP服务端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获
所有入栈的握手请求数据包以进行判断。
5.根据权利要求4所述的一种保护TCP/IP会话安全性的方法, 其特征在于, 步骤2中,
TCP/IP客户端 通过NetFilter框架的NF_INET_POS T_ROUTING钩子点挂载钩子函数或者eBPF
框架的TC 子系统中的Egres s钩子点向syn包中附加S PA信息。
6.根据权利要求4所述的一种保护TCP/IP会话安全性的方法, 其特征在于, 步骤3中,
TCP/IP服务端通过NetFilter框架的NF_INET_PRE_ROUTING钩子点挂载钩子函数或者eBPF
框架的TC 子系统中的I ngress钩子函数对S PA信息和设备指纹进行判断。
7.一种实现权利 要求1‑6中任意一项保护TCP/IP会话安全性方法的系统, 其特征在于,
包括:
第一模块, 设于TCP/IP客户端, 用于执 行步骤1以获取TCP/IP客户端设备的设备指纹;
第二模块, 设于TCP/IP客户端, 用于执行步骤1将TCP/IP服务加入到TCP/IP客户端的
TCP/IP服 务列表;
第三模块, 设于TCP/IP客户端, 用于执 行步骤2添加S PA信息并发送握 手请求数据包;
第四模块, 设于TCP/IP服务端, 用于执行步骤1建立所述设备指纹的白名单, 以及将包
含设备指纹白名单的TCP/IP服 务加入到TCP/IP服 务端的TCP/IP服 务列表;权 利 要 求 书 1/2 页
2
CN 115473720 A
2第五模块, 设于TCP/IP服 务端, 用于执 行步骤3接收握手请求数据包后的判断。权 利 要 求 书 2/2 页
3
CN 115473720 A
3
专利 一种保护TCP IP会话安全性的方法及系统
安全报告 >
其他 >
文档预览
中文文档
10 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共10页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 03:02:44上传分享