CN103546475A - 网络通信主体确认方法及系统 - Google Patents

网络通信主体确认方法及系统 Download PDF

Info

Publication number
CN103546475A
CN103546475A CN201310518278.3A CN201310518278A CN103546475A CN 103546475 A CN103546475 A CN 103546475A CN 201310518278 A CN201310518278 A CN 201310518278A CN 103546475 A CN103546475 A CN 103546475A
Authority
CN
China
Prior art keywords
party
sequence number
ack msg
msg bag
number field
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201310518278.3A
Other languages
English (en)
Inventor
冯丽娟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to CN201310518278.3A priority Critical patent/CN103546475A/zh
Publication of CN103546475A publication Critical patent/CN103546475A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种网络通信主体确认方法,包括:当甲方向乙方发起TCP连接时,截获甲方待发送的SYN数据包,对SYN数据包进行等长度的加密,然后将SYN数据包发送给乙方;在乙方收到SYN数据包后,对SYN数据包进行解密;当乙方向甲方发送ACK数据包时,截获乙方待发送的ACK数据包,对ACK数据包进行等长度加密,然后将ACK数据包发送给甲方;在甲方收到ACK数据包后,对ACK数据包进行解密;在甲方向乙方发送ACK数据包时,截获甲方待发送的ACK数据包,对ACK数据包进行等长度加密,然后将ACK数据包发送给乙方;在乙方收到ACK数据包后,对ACK数据包进行解密。本发明在握手阶段实现对数据包的认证与防护。

Description

网络通信主体确认方法及系统
技术领域
本发明涉及计算机网络安全领域,尤其涉及一种网络通信主体确认方法及系统。
背景技术
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
TCP(Transmission Control Protocol)传输控制协议,提供可靠的连接服务。
TCP标志位(即位码)有6种标识:SYN(synchronous建立连接)、ACK(acknowledgement确认)、PSH(push传送)、FIN(finish结束)、RST(reset重置)、URG(urgent紧急)。另外,还有两个术语为顺序号码(sequence number)和确认号码(acknowledge number)。
TCP采用三次握手确认建立一个连接;例如主机A与主机B之间的连接:
第一次握手:主机A发送位码为syn=1,随机产生seq number=(主机A的seq)的数据包到服务器,主机B由syn=1知道,A要求建立连接;
第二次握手:主机B收到请求后要确认连接信息,向A发送acknumber=(主机A的seq+1),syn=1,ack=1,随机产生seq number=(主机B的seq)的包;
第三次握手:主机A收到后检查ack number是否正确,即第一次发送的seq number+1,以及位码ack是否为1,若正确,主机A会再发送acknumber=(主机B的seq+1),ack=1,主机B收到后确认seq值与ack=1则连接建立成功。
完成三次握手,主机A与主机B开始传送数据。
上述握手过程易受到网络拦截,以至于恶意程序伪装成通信主体与目标主体进行通信,不利于网络安全防护。
发明内容
本发明要解决的技术问题是,针对现有技术的不足,提供一种网络通信主体确认方法及系统,在握手阶段实现对数据包的认证与防护,实现网络通信主体确认。
根据本发明一个方面,提供一种请求方的网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,该方法包括:
截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包发送给乙方;
在收到来自乙方的ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层;
截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方。
根据本发明另一个方面,提供一种被请求方的网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,该方法包括:
对乙方收到的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层;
截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
对从甲方接收的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层。
根据本发明另一个方面,提供一种网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,该方法包括:
当甲方向乙方发起TCP连接时,截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包发送给乙方;
在乙方收到SYN数据包后,对SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层;
当乙方向甲方发送ACK数据包时,截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
在甲方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给本机的协议层;
在甲方向乙方发送ACK数据包时,截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方;
在乙方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层。
根据本发明另一个方面,提供一种请求方的网络通信主体确认装置,包括:
数据包截获单元,与驱动单元耦接,适于截获待发送的SYN数据包和ACK数据包;
请求方加解密单元,分别与数据包截获单元和驱动单元耦接,适于对SYN数据包或SYN数据包中的序号字段、对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,还适于对被请求方发送的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元;
数据包收发单元,分别与请求方加解密单元和网卡耦接,适于将请求方加解密单元加密后的数据包通过网卡发送给被请求方,还适于将网卡接收到的被请求方的ACK数据包发送给请求方加解密单元。
根据本发明另一个方面,提供一种被请求方的网络通信主体确认装置,包括:
数据包截获单元,与驱动单元耦接,适于截获待发送的ACK数据包;
被请求方加解密单元,分别与数据包截获单元和驱动单元耦接,适于对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密;还适于对请求方的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元,如果解密失败,SYN数据包就会被丢弃;还适于对请求方的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元;
数据包收发单元,分别与被请求方加解密单元和网卡耦接,适于将被请求方加解密单元加密后的数据包通过网卡发送给请求方,还适于将网卡接收到的请求方的ACK数据包或SYN数据包发送给被请求方加解密单元。
根据本发明另一个方面,提供一种网络通信主体确认系统,包括:上述请求方的网络通信主体确认装置;和上述被请求方的网络通信主体确认装置。
与现有技术相比,本发明公开的实施例在握手阶段实现对数据包的认证与防护,实现网络通信主体确认。
附图说明
图1是根据本发明一个实施例提供的TCP通信握手阶段示意图;
图2是根据本发明一个实施例提供的网络通信主体确认方法流程图;
图3是根据本发明一个实施例提供的计算设备网络层次示意图;
图4是根据本发明一个实施例提供的请求方客户端;
图5是根据本发明一个实施例提供的被请求方客户端。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图,对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
通信握手过程
发明人经分析发现,如图1所示:
其中,请求方简称甲方,被请求方简称乙方;
(1)在TCP通讯开始时,甲方会发送一个控制位(即位码)syn为1,并包含本机随机序号(即顺序号码)seq=x的数据包,给乙方;
(2)乙方接收到控制位syn为1的数据包后,将构造一个ack的数据包,其中,序号字段是乙方随机生成的序号seq=y,并将甲方的序号加1后填写到确认序号(即确认号码)字段ACK=x+1,并将控制位syn和ack均置为1,发送给甲方;
(3)甲方接收到乙方发送来的控制位syn和ack均置为1的数据包后,将构造一个ack数据包,其中,序号字段是自己随机产生的序号值加1,而将乙方发生过来的序号字段加1写入确认序号字段ACK=y+1,并将控制位ack置为1,发送给乙方。
此时,三次握手结束。
发明人经研究发现:如果在握手阶段实现对数据包的认证与防护,能够实现网络通信主体确认,从而提高网络安全防护的能力。
网络通信主体确认过程
基于上述分析和发现,根据本发明一个实施例,发明人设计了如下的网络通信主体确认过程:
其中,请求方简称甲方,被请求方简称乙方;
P11、当甲方准备向乙方发起TCP连接时,甲方对待发送的SYN数据包中的本机生成的序号字段进行等长度的加密,然后将SYN数据包发送给乙方;
具体的,当甲方准备向乙方发起TCP连接时,甲方会产生一个请求数据包(即SYN数据包),并且请求方会随机产生一个本机的序号,称为本机的初始序号,用于标识本次TCP连接后双方发送字节数计数的一个起始值。此初始序号会填写到请求数据包中的相应数据域中。
另外,在甲方将SYN数据包发送给乙方后,等待接收被请求方发送确认数据包(又称为第二握手包)。
P12、乙方收到SYN数据包后,对数据包中的序号字段进行解密,如果解密成功,则将解密后的数据根据协议(即TCP/IP协议)向上发送给应用程序,如果解密失败,SYN数据包就会被丢弃;
P13、乙方对待发送给甲方的ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
具体的,乙方组装一个ACK数据包(又称为确认数据包、第二握手包),生成一个本机的序号,填写到确认数据包中的本机序号字段。同时,将请求方发送来的本机序号加1,填写到确认序号字段中,最后对被请求方产生的本机序号和确认序号字段的两个字段值进行加密。
然后,乙方等待接收甲方发送确认数据包(又称为第三握手包)。
P14、甲方收到乙方发送来的ACK数据包后,对ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给应用程序,如果解密失败,ACK数据包就会被丢弃;
具体的,甲方的应用程序(即本机的协议层)接收到乙方的ACK数据包后,会产生一个确认数据包(又称为第三握手包),包括本地序号和确认序号,其中,确认序号是取自乙方发送来的ACK数据包中的本机序号字段加1,填写到确认序号字段中。
P15、甲方对待发送给乙方的ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方;
P16、乙方收到甲方发送来的ACK数据包后,对其中的序号字段和确认序号字段进行解密,并向上层发送给应用程序;如果解密成功,则将解密后的数据根据协议向上发送给应用程序,如果解密失败,ACK数据包就会被丢弃;
此时,握手包的防护处理完毕;上述过程在握手阶段实现对数据包的认证与防护,实现网络通信主体确认,提高了网络通信的安全性。
根据本发明一个实施例,上述等长度加密算法为异或算法,例如,以一个32位长度的数值为例,等长度加密的过程描述如下:
(1)假设数值ULONG uNum=0xF1AB9759;
(2)使用数值0x39作为异或值的种子;
(3)对uNum进行逐字节的异或处理;
(4)得到新的一个值uNumNew:0xC892AE60。
此时,完成了对原始数值uNum的等长度的加密工作。
根究本发明另一个实施例,上述各个步骤中对数据包中某个字段进行加解密的方法可以适用于对于整个数据包进行加解密的过程。例如,在P11中,甲方对待发送的SYN数据包进行等长度加密,然后将加密后的SYN数据包发送给乙方;在P12中,乙方收到SYN数据包后,对数据包进行解密。
网络通信主体确认方法
根据上述的网络通信主体确认过程,根据本发明一个实施例,提供一种网络通信主体确认方法。如图2所示,该方法包括:
其中,请求方简称甲方,被请求方简称乙方;
S11、当甲方向乙方发起TCP连接时,截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包(又称为第一握手包)发送给乙方;
S12、在乙方收到SYN数据包后,对SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层,如果解密失败,SYN数据包就会被丢弃;
S13、当乙方向甲方发送ACK数据包时,截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包(又称为第二握手包)发送给甲方;
S14、在甲方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议(即TCP/IP协议)向上发送给本机的协议层,如果解密失败,ACK数据包就会被丢弃;
S15、在甲方向乙方发送ACK数据包时(又称为第三握手包),截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方;
S16、在乙方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层,如果解密失败,ACK数据包就会被丢弃。
此时,TCP连接建立成功。
经过上面的步骤,(1)通过对握手包的加解密,可以确认通信双方的主体为真实主体;(2)通过等长度加密,不会改变现有的TCP/IP协议内容和现存的应用软件;(3)其他在网络上对握手阶段数据包进行拦截的恶意程序无法再冒充通信主体。
请求方方法
基于上述网络通信主体确认方法,根据本发明一个实施例,提供一种请求方的网络通信主体确认方法。该方法包括:
其中,请求方简称甲方,被请求方简称乙方;
S21、截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包(又称为第一握手包)发送给乙方;
S22、在收到来自乙方的ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给本机的协议层,如果解密失败,ACK数据包就会被丢弃;
S23、截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方。
被请求方方法
基于上述网络通信主体确认方法,根据本发明一个实施例,提供一种被请求方的网络通信主体确认方法。该方法包括:
其中,请求方简称甲方,被请求方简称乙方;
S31、对乙方收到的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层,如果解密失败,SYN数据包就会被丢弃;
S32、截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
S33、对从甲方接收的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层,如果解密失败,ACK数据包就会被丢弃。
计算设备运行环境
为了更好的理解本发明,根据本发明一个实施例,提供一种计算设备网络层次示意图。如图3所示,计算设备网络层次从底向上依次包括:
物理层34、链路层33、网络层32和应用层31;
具体的,网络层32包括协议驱动321和IM驱动322(在操作系统内核部分实现),链路层33包括miniport驱动331(在操作系统内核部分实现),物理层34包括网卡341。其中,IM驱动为中间媒介层驱动(或简称中间层驱动),miniport驱动为微端口驱动(或小端口驱动)。
根据本发明一个实施例,上述如图2所示的网络通信主体确认方法可以通过修改TCP/IP协议来实现,即由协议驱动321完成网络通信主体确认方法。
为了不影响网络通信协议的内容,根据本发明一个实施例,上述如图2所示的网络通信主体确认方法可以通过IM驱动322完成,即在IM驱动322中实现。
为了不影响网络通信协议的内容,根据本发明另一个实施例,上述如图2所示的网络通信主体确认方法可以通过miniport驱动331完成,即在miniport驱动331中实现。
为了不影响现有计算机层次结构和实现方式,根据本发明另一个实施例,上述如图2所示的网络通信主体确认方法由单独的驱动程序实现,并在IM驱动322或miniport驱动331中添加对该驱动程序的调用。
本领域技术人员可以理解,上述网络通信主体确认方法也可以在其他合适的计算机层次模块中实现,本发明不再一一列举。
网络通信主体确认装置
与上述方法相应地,根据本发明一个实施例,提供一种请求方客户端。如图4所示,该请求方客户端包括:
数据包截获单元41,与驱动单元401耦接,适于截获待发送的SYN数据包和ACK数据包;
请求方加解密单元42,分别与数据包截获单元41和驱动单元401耦接,适于对SYN数据包或SYN数据包中的序号字段、对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,还适于对被请求方发送的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元401,如果解密失败,ACK数据包就会被丢弃;
数据包收发单元43,分别与请求方加解密单元42和网卡402耦接,适于将请求方加解密单元42加密后的数据包通过网卡402发送给被请求方,还适于将网卡402接收到的被请求方的ACK数据包发送给请求方加解密单元42。
与上述方法相应地,根据本发明另一个实施例,提供一种被请求方客户端。如图5所示,该被请求方客户端包括:
数据包截获单元51,与驱动单元501耦接,适于截获待发送的ACK数据包;
被请求方加解密单元52,分别与数据包截获单元51和驱动单元501耦接,适于对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密;还适于对请求方的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元501,如果解密失败,SYN数据包就会被丢弃;还适于对请求方的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元501,如果解密失败,ACK数据包就会被丢弃;
数据包收发单元53,分别与被请求方加解密单元52和网卡502耦接,适于将被请求方加解密单元52加密后的数据包通过网卡502发送给请求方,还适于将网卡502接收到的请求方的ACK数据包或SYN数据包发送给被请求方加解密单元52。
根据本发明一个实施例,上述驱动单元401、501为miniport驱动单元(即上述miniport驱动331)。
根据本发明另一个实施例,上述驱动单元401、501为IM驱动单元(即上述IM驱动322),此时,数据包收发单元43、53与miniport驱动单元(即上述miniport驱动331)耦接,而不再是网卡。相应地,本领域技术人员可以理解,数据包收发单元43、53的功能描述与miniport驱动单元相关,这里不再赘述。
根据本发明另一个实施例,上述驱动单元401、501为协议驱动单元(即上述协议驱动321),此时,数据包收发单元43、53与IM驱动耦接。相应地,本领域技术人员可以理解,数据包收发单元43、53的功能描述与IM驱动相关,这里不再赘述。
根据本发明另一个实施例,上述请求方加解密单元42不与驱动单元401耦接,通过数据包截获单元41转发上传数据包。
根据本发明另一个实施例,上述被请求方加解密单元52不与驱动单元501耦接,通过数据包截获单元51转发上传数据包。
根据本发明另一个实施例,上述请求方客户端和被请求方客户端可以融合为一种客户端,称为网络通信主体确认客户端,更方便在网络设备上部署。
网络通信主体确认系统
基于上述请求方客户端和被请求方客户端,根据本发明一个实施例,提供一种包含上述请求方客户端和被请求方客户端的网络通信主体确认系统。
应该注意到并理解,在不脱离后附的权利要求所要求的本发明的精神和范围的情况下,能够对上述详细描述的本发明做出各种修改和改进。因此,要求保护的技术方案的范围不受所给出的任何特定示范教导的限制。

Claims (10)

1.一种请求方的网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,其特征在于,该方法包括:
截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包发送给乙方;
在收到来自乙方的ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层;
截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方。
2.一种被请求方的网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,其特征在于,该方法包括:
对乙方收到的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层;
截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
对从甲方接收的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层。
3.一种网络通信主体确认方法,其中,网络通信主体中的请求方简称甲方,网络通信主体中的被请求方简称乙方,其特征在于,该方法包括:
当甲方向乙方发起TCP连接时,截获甲方待发送的SYN数据包,对SYN数据包或SYN数据包中的序号字段进行等长度的加密,然后将SYN数据包发送给乙方;
在乙方收到SYN数据包后,对SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据向上发送给本机的协议层;
当乙方向甲方发送ACK数据包时,截获乙方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给甲方;
在甲方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给本机的协议层;
在甲方向乙方发送ACK数据包时,截获甲方待发送的ACK数据包,对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,然后将ACK数据包发送给乙方;
在乙方收到ACK数据包后,对ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据根据协议向上发送给协议层。
4.一种请求方的网络通信主体确认装置,其特征在于,包括:
数据包截获单元,与驱动单元耦接,适于截获待发送的SYN数据包和ACK数据包;
请求方加解密单元,分别与数据包截获单元和驱动单元耦接,适于对SYN数据包或SYN数据包中的序号字段、对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密,还适于对被请求方发送的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元;
数据包收发单元,分别与请求方加解密单元和网卡耦接,适于将请求方加解密单元加密后的数据包通过网卡发送给被请求方,还适于将网卡接收到的被请求方的ACK数据包发送给请求方加解密单元。
5.根据权利要求4所述的请求方的网络通信主体确认装置,其特征在于,所述驱动单元为miniport驱动单元。
6.根据权利要求4所述的请求方的网络通信主体确认装置,其特征在于,所述驱动单元为IM驱动单元或协议驱动单元。
7.一种被请求方的网络通信主体确认装置,其特征在于,包括:
数据包截获单元,与驱动单元耦接,适于截获待发送的ACK数据包;
被请求方加解密单元,分别与数据包截获单元和驱动单元耦接,适于对ACK数据包或ACK数据包中的序号字段和确认序号字段进行等长度加密;还适于对请求方的SYN数据包或SYN数据包中的序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元,如果解密失败,SYN数据包就会被丢弃;还适于对请求方的ACK数据包或者ACK数据包中的序号字段和确认序号字段进行解密,如果解密成功,则将解密后的数据发送给驱动单元;
数据包收发单元,分别与被请求方加解密单元和网卡耦接,适于将被请求方加解密单元加密后的数据包通过网卡发送给请求方,还适于将网卡接收到的请求方的ACK数据包或SYN数据包发送给被请求方加解密单元。
8.根据权利要求6所述的被请求方的网络通信主体确认装置,其特征在于,所述驱动单元为miniport驱动单元。
9.根据权利要求6所述的被请求方的网络通信主体确认装置,其特征在于,所述驱动单元为IM驱动单元或协议驱动单元。
10.一种网络通信主体确认系统,其特征在于,包括:
如权利要求4所述的请求方的网络通信主体确认装置;
如权利要求7所述的被请求方的网络通信主体确认装置。
CN201310518278.3A 2013-10-29 2013-10-29 网络通信主体确认方法及系统 Pending CN103546475A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310518278.3A CN103546475A (zh) 2013-10-29 2013-10-29 网络通信主体确认方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310518278.3A CN103546475A (zh) 2013-10-29 2013-10-29 网络通信主体确认方法及系统

Publications (1)

Publication Number Publication Date
CN103546475A true CN103546475A (zh) 2014-01-29

Family

ID=49969523

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310518278.3A Pending CN103546475A (zh) 2013-10-29 2013-10-29 网络通信主体确认方法及系统

Country Status (1)

Country Link
CN (1) CN103546475A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017067160A1 (zh) * 2015-10-21 2017-04-27 乐视控股(北京)有限公司 基于mptcp的主流连接建立方法及装置
CN107124435A (zh) * 2017-07-06 2017-09-01 济南浪潮高新科技投资发展有限公司 一种tcp报文加密电路及方法
CN111615814A (zh) * 2018-01-23 2020-09-01 甲贺电子株式会社 Ip网中的通信线路的相互认证系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006134985A1 (ja) * 2005-06-15 2006-12-21 Ntt Docomo, Inc. 秘匿処理装置及び秘匿処理方法
CN101277194A (zh) * 2008-05-13 2008-10-01 江苏科技大学 一种隐秘通信的发送/接收方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006134985A1 (ja) * 2005-06-15 2006-12-21 Ntt Docomo, Inc. 秘匿処理装置及び秘匿処理方法
CN101277194A (zh) * 2008-05-13 2008-10-01 江苏科技大学 一种隐秘通信的发送/接收方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘媛,张利民: "一种防范对TCP初始序列号攻击的方案", 《通信技术》 *
胡大辉: "一种利用三次握手进行信息隐藏的方法", 《西南大学学报(自然科学版)》 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2017067160A1 (zh) * 2015-10-21 2017-04-27 乐视控股(北京)有限公司 基于mptcp的主流连接建立方法及装置
CN107124435A (zh) * 2017-07-06 2017-09-01 济南浪潮高新科技投资发展有限公司 一种tcp报文加密电路及方法
CN111615814A (zh) * 2018-01-23 2020-09-01 甲贺电子株式会社 Ip网中的通信线路的相互认证系统
CN111615814B (zh) * 2018-01-23 2022-03-04 甲贺电子株式会社 Ip网中的通信线路的相互认证系统

Similar Documents

Publication Publication Date Title
EP0915590B1 (en) Method and system for secure lightweight transactions in wireless data networks
EP2290895B1 (en) Method, system and device for negotiating security association (sa) in ipv6 network
CN105337935B (zh) 一种建立客户端和服务端长连接的方法和装置
CN108075890A (zh) 数据发送端、数据接收端、数据传输方法及系统
KR20170032374A (ko) 데이터 처리 방법 및 장치
CN106412862A (zh) 一种短信加固方法、装置及系统
CN101163044A (zh) 信息安全设备的远程升级方法及系统
EP3371949A1 (en) Internet key exchange (ike) for secure association between devices
Jadin et al. Securing multipath TCP: Design & implementation
CN101707767B (zh) 一种数据传输方法及设备
US9672367B2 (en) Method and apparatus for inputting data
CN113904766B (zh) 一种加密通信方法、装置、设备及介质
CN106788960A (zh) 一种密钥协商的方法及装置
CN103581192A (zh) 网络通信主体确认方法及系统
CN114422256B (zh) 一种基于ssal/ssl协议的高性能安全接入方法及装置
CN103546475A (zh) 网络通信主体确认方法及系统
WO2023036348A1 (zh) 一种加密通信方法、装置、设备及介质
CN109600745B (zh) 一种新型的5g蜂窝网信道安全系统及安全实现方法
CN113905359B (zh) 一种银行外设的蓝牙安全通讯方法、装置、设备和介质
CN112104635B (zh) 通信方法、系统和网络设备
CN103685247A (zh) 安全通信方法、装置、系统以及安全主板
CN114707158A (zh) 基于tee的网络通信认证方法以及网络通信认证系统
CN113973002A (zh) 一种数据密钥的更新方法及装置
CN101360096A (zh) 一种应用于数字医疗的系统安全规划方案
JPWO2018229818A1 (ja) 中継装置及びシステム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
DD01 Delivery of document by public notice

Addressee: Feng Lijuan

Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention

DD01 Delivery of document by public notice

Addressee: Feng Lijuan

Document name: the First Notification of an Office Action

DD01 Delivery of document by public notice

Addressee: Feng Lijuan

Document name: Notification that Application Deemed to be Withdrawn

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20140129