CN115473720A - 一种保护tcp/ip会话安全性的方法及系统 - Google Patents

Abstract

本发明公开了一种保护TCP/IP会话安全性的方法和系统，方法包括以下步骤：步骤1、在TCP/IP客户端获取设备指纹并建立TCP/IP服务列表；在TCP/IP服务端建立设备指纹白名单加入至TCP/IP服务列表；步骤2、TCP/IP客户端在成握手请求数据包的syn报文附加SPA信息发送至TCP/IP服务端；步骤3、TCP/IP服务端判断SPA信息是否有效、设备指纹是否在所述设备指纹白名单内，若是则生成握手响应发送至TCP/IP客户端；系统包括分别存储于TCP/IP客户端和TCP/IP服务端的程序模块，用于执行步骤1‑3。本发明能够提高TCP/IP通信时的安全性。

Description

一种保护TCP/IP会话安全性的方法及系统

技术领域

本发明涉及通信方法领域，具体是一种保护TCP/IP会话安全性的方法及系统。

背景技术

现有基于TCP/IP协议的会话通信系统中，TCP/IP客服端(计算机设备)与TCP/IP服务端(服务器)之间基于TCP/IP协议进行通信，通信时首先TCP/IP客服端与TCP/IP服务端进行握手阶段，一般经过三次握手后，TCP/IP客服端再与TCP/IP服务端实现正式的数据交互。现有TCP/IP会话进行通信时，由于无法在TCP协议的握手阶段对TCP请求发起端的身份进行识别，从而导致TCP/IP服务在握手阶段很容易成为互联网黑客/犯罪分子的攻击目标，进而导致给企业/组织造成严重安全损失的问题。

发明内容

本发明的目的是提供一种保护TCP/IP会话安全性的方法及系统，以解决现有技术TCP/IP会话通信时无法在握手阶段实现身份识别的问题。

为了达到上述目的，本发明所采用的技术方案为：

一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信，包括以下步骤：

步骤1、在TCP/IP客户端获取TCP/IP客户端的设备指纹，并在TCP/IP客户端中将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；

在TCP/IP服务端建立所述设备指纹的白名单，并在TCP/IP服务端将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；

步骤2、所述TCP/IP客户端生成握手请求数据包，并向握手请求数据包中的syn报文附加SPA信息，所述SPA信息中包含TCP/IP客户端的设备指纹，并由TCP/IP客户端基于TCP/IP服务将附加有SPA信息的握手请求数据包发送至TCP/IP服务端；

步骤3、所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时，判断其中的SPA信息是否有效，以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内，若SPA信息有效且设备指纹在设备指纹白名单内，则TCP/IP服务端放行握手请求数据包并生成握手响应发送至TCP/IP客户端，否则TCP/IP服务端丢弃该握手请求数据包。

进一步的，步骤1中，在TCP/IP客户端中，计算客户端设备的若干个系统固定不变的因子，以及MAC地址、Machine-ID，并计算后得到设备的特征码，然后再计算所述设备特征码的MD5或者HASH值，得到所述设备指纹。

进一步的，步骤2中，所述SPA信息还包含时间戳、随机生成的字符串，确保该SPA信息不会被窃取，以及由设备指纹以及时间戳、随机字符串等组合而成的二进制内容的crc值。

进一步的，所述TCP/IP客户端、TCP/IP服务端均采用Linux操作系统，步骤2中TCP/IP客户端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有出栈的握手请求数据包以附加SPA信息，步骤(3)中TCP/IP服务端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有入栈的握手请求数据包以进行判断。

步骤2中，TCP/IP客户端通过NetFilter框架的NF_INET_POST_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Egress钩子向syn包中附加SPA信息。

步骤3中，TCP/IP服务端通过NetFilter框架的NF_INET_PRE_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Ingress钩子对SPA信息和设备指纹进行判断。

一种实现保护TCP/IP会话安全性方法的系统，包括：

第一模块，设于TCP/IP客户端，用于执行步骤1以获取TCP/IP客户端设备的设备指纹；

第二模块，设于TCP/IP客户端，用于执行步骤1将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；

第三模块，设于TCP/IP客户端，用于执行步骤2添加SPA信息并发送握手请求数据包；

第四模块，设于TCP/IP服务端，用于执行步骤1建立所述设备指纹的白名单，以及将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；

第五模块，设于TCP/IP服务端，用于执行步骤3接收握手请求数据包后的判断。

与现有技术相比，本发明的优点为：

(1)本发明中，根据TCP/IP协议规范以及Linux操作系统NetFilter框架和eBPF框架的TC子系统的处理逻辑，通过在TCP/IP的客户端构造SPA信息的syn报文，以及在TCP/IP的服务端对syn报文的SPA信息进行验证和识别，通过验证和识别的syn报文才会被放行，为通过验证和识别的syn报文会被丢弃，在TCP握手阶段就能阻拦非法请求，因此能够解决现有采用TCP/IP会话进行通信的计算机设备由于无法在TCP协议的握手阶段对TCP请求发起者的身份进行识别，而导致TCP/IP服务很容易成为互联网黑客/犯罪分子的攻击目标，从而给企业/组织造成严重安全损失的技术问题。

(2)本发明中能够根据需要动态调整TCP/IP服务端的TCP/IP服务列表，以及设备指纹白名单，大大提高了安全保护的效率。

(3)本发明中，在握手阶段就完成了TCP/IP服务端对TCP/IP客户端的身份识别也验证，因此上层的TCP/IP服务不需要做任何改动，同时也无需借助其他技术(比如PortKnocking，iptables)来保护TCP/IP通信的安全性，更能实现设备级的TCP/IP安全保护。

附图说明

图1是本发明实施例中TCP/IP客户端网络报文处理流程图。

图2是本发明实施例中TCP/IP服务端网络报文处理流程图。

具体实施方式

下面结合附图和实施例对本发明进一步说明。

本实施例一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信。其中TCP/IP客户端是通过TCP/IP通信协议向TCP/IP服务端发送TCP/IP会话请求并获取响应的设备，如计算机等；TCP/IP服务端是通过TCP/IP通信协议接受TCP/IP客户端的TCP/IP会话请求并返回响应的设备，如服务器等。本实施例以采用Linux操作系统的TCP/IP客户端、TCP/IP服务端为例进行说明，包括以下步骤：

步骤(1)、获取TCP/IP客户端的设备指纹，在TCP/IP客户端将服务端的TCP/IP服务加入至自身的TCP/IP服务列表即Outgress列表中。在TCP/IP服务端建立所述设备指纹的白名单，并在TCP/IP服务端将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表即Ingress列表中。由此，TCP/IP客户端、TCP/IP服务端之间基于TCP/IP服务实现通信。

步骤(1)中，TCP/IP客户端的是通过计算Linux操作系统多个固定不变的因子，比如至少7个系统目录的ino值(int),MAC地址，以及Machine-ID，并将这些值以一定顺续拼接起来，生成设备的特征码，由于每个系统的目录的ino都是在创建系统时随机生成的，MAC地址也不一样，并且有唯一的Machine-ID，因此可以确保每个设备的特征码都不同的，最后再计算设备的特征码MD5值(信息摘要算法值)或者HASH值，作为TCP/IP客户端的设备指纹。由于MD5和HASH值的唯一性和不可逆性，因此能确保每个TCP/IP客户端的设备指纹都是唯一的，相比于用设备的单纯用MAC地址作为ID，设备指纹能很好阻止攻击者篡改，因此安全性大大提高了。

步骤(1)中，TCP/IP服务端中预先建立设备指纹白名单，该设备指纹白名单中存储信任的TCP/IP客户端的设备指纹，并且可根据实际需要增加或删去设备指纹白名单中包含的设备指纹，以实现设备指纹白名单的动态调整。

步骤(1)中的TCP/IP服务一般由TCP会话第一帧报文中的IP目的地址和TCP目的端口构成。本实施例中TCP/IP服务端的Ingress列表中存放的TCP/IP服务还包含预先建立的设备指纹白名单，由此在实现TCP/IP通信时TCP/IP服务端I可直接通过Ingress列表获取设备指纹白名单。

步骤(2)、在运行Linux操作系统的TCP/IP客户端中生成握手请求数据包，TCP/IP客户端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有出栈的握手请求数据包。当TCP/IP客户端截获到握手请求数据包中第一帧发往TCP/IP服务端的TCP/IP报文(即syn报文)的时候，用TCP/IP客户端的设备指纹生成SPA信息并附加到该syn报文中。该SPA信息包含了设备指纹、时间戳、随机生成的字符串以及由设备指纹以及时间戳、随机字符串等组合而成的二进制内容的crc值，防止传输过程中被篡改。然后由TCP/IP客户端将附加有SPA信息的握手请求数据包传送至TCP/IP服务端。

本实施例中，NetFilter框架是Linux操作系统内核中进行数据包过滤、连接跟踪(Connect Track)、网络地址转换(NAT)等功能的主要实现框架。该NetFilter框架在网络协议栈处理数据包的关键流程中定义了一系列钩子点(Hook点)，并在这些钩子点中注册一系列函数对数据包进行处理。

这些注册在钩子点的函数即为设置在网络协议栈内的数据包通行策略，即这些函数可以决定内核是接受还是丢弃某个数据包，函数的处理结果决定网络数据包的“命运”，由五个钩子点构成，分别是：NF_INET_PRE_ROUTING、NF_INET_LOCAL_IN、NF_INET_FORWARD、NF_INET_LOCAL_OUT、NF_INET_POST_ROUTING。

本实施例中，eBPF(extendedBerkeley Packet Filter)是一种可以在Linux内核中运行用户编写的程序，而不需要修改内核代码或加载内核模块的技术。简单说，eBPF让Linux内核变得可编程化了。eBPF程序是一个事件驱动模型。Linux内核提供了各种hookpoint，比如system calls,function entry/exit,kernel tracepoints,network events等。eBPF程序通过实现想要关注的hook point的callback，并把这些callback注册到相应的hookpoint来完成“内核编程”。

eBPF的TC(Traffic Control)子系统被用于对流量控制进行配置，这里的流量控制和TCP调节窗口大小的流量控制并不是一回事。从协议栈上看，TC处于链路层，主要功能是对数据包的流量进行调度。通过dev_queue_xmit把skb_buff放入到qdisc中，执行其中的用户定义的调度规则，最后虚方法dequeue从qdisc中拿到经过调度的sk_buff，通过设备驱动程序的hard_start_xmit函数向网络设备生成一个或多个指令，当网络设备回复已完成时触发sk_buff的释放。TC子系统有两个钩子(Hook)点，分别是：Ingress hook和Egresshook。

步骤(2)中检测syn报文并添加SPA信息的具体过程如下：

步骤(2.1)、TCP/IP客户端通过注册到NetFilter框架的INET_POST_ROUTING钩子点的钩子函数或者eBPF框架的TC子系统的Egress钩子在接受到握手请求数据包的时候，先检查其中第一帧发往TCP/IP服务端的报文是否为TCP报文，如果不是则直接放弃，若是则检查该TCP报文的syn标志是否为1，并且ack标志是否为0，如果不是则直接放弃该报文，否则判定当前TCP报文为syn报文，转到步骤(2.2)。

步骤(2.2)、检查握手请求数据包的目的IP地址和syn报文的目的地端口是否在Outgress列表中，如果不是则直接放行该报文，否则转到步骤(2.3)。

步骤(2.3)、利用步骤(1)获取的TCP/IP客户端设备指纹，生成SPA信息，该SPA信息包含了设备指纹、时间戳、随机生成的字符串、对应的crc值，防止传输过程中被篡改，并附加到syn报文中，依据TCP/IP规范，重新计算TCP/IP包的checksum值，然后放行更新后的握手请求数据包。

步骤(3)、在运行Linux操作系统的TCP/IP服务端中，通过Linux的NetFilter框架或者eBPF框架的TC子系统截获所有入栈的握手请求数据包。当接收到来自TCP/IP客户端的第一帧TCP/IP报文(即syn报文)的时候，检查是否包含有效的SPA信息，以及SPA信息里的设备指纹是否在自己的设备指纹白名单里，如果是则将该数据包放行，进入操作系统内核进行后续处理后产生握手请求响应并传送至TCP/IP客户端，否则将该数据包丢弃。

步骤(3)的具体过程如下：

步骤(3.1)、运行Linux操作系统的TCP/IP服务端通过注册到NetFilter的INET_PRE_ROUTING钩子点的钩子函数或者eBPF的TC子系统的Ingress钩子在接收到握手请求数据包的时候，先检查是否为TCP报文，如果不是则直接放弃该报文，否则检查TCP报文的syn标志是否为1，并且ack标志是否为0，如果不是则直接放弃该报文，否则判定当前TCP报文为syn报文，转到步骤(3.2)。

步骤(3.2)、检查握手请求数据包的目的IP地址和syn报文的目的地端口是否在Ingress列表中，如果不是则直接放行该报文，否则提取TCP/IP服务端存放的TCP/IP服务的设备指纹白名单，然后转到步骤(3.3)。

步骤(3.3)、TCP/IP服务端判断syn报文的数据部分长度是否>SPA信息的长度，如果不是则直接丢弃该报文，否则转到步骤(3.4)。

步骤(3.4)、TCP/IP服务端提取syn报文的数据部分后面的固定SPA报文长度的数据，作为SPA信息，校验SPA信息是否有效，有效性检查包括crc是否正确，以及时间戳是否跟服务器当前时间相差太大，如果检查不通过，则直接丢弃该报文，否则转到步骤(3.5)。

步骤(3.5)、提取SPA信息中的设备指纹，并判断设备指纹是否在步骤(3.2)获得的设备指纹白名单中，如果不是，则丢弃当前数据包，否则放行数据包。

上述步骤(1)的优点在于，设备指纹是通过算法计算而来，而不是单纯通过设备的MAC地址生成，因此外界无法篡改设备指纹，保证客户端的设备指纹是独一无二的，而且是安全的。

上述步骤(2)、(3)的优点在于，TCP/IP客户端通过步骤(2.3)在发往TCP/IP服务端的TCP/IP的第一帧报文(syn报文)中添加包含设备指纹的SPA信息，然后TCP/IP客户端通过步骤(3.4)和(3.5)对收到的SPA信息进行校验和识别，通过后，放行该报文，使得TCP/IP服务端在TCP握手阶段就能完成对TCP/IP客户端的身份校验和识别，整个过程完全是在TCP/IP协议的处理流程中完成的，没有增加任何处理流程，因此整个保护TCP/IP会话安全性的效率大大提高了，而且实现了TCP/IP会话的设备级安全保护，大大提升了TCP/IP会话的安全性。

本实施例还公开了一种实现保护TCP/IP会话安全性方法的系统，包括第一模块、第二模块、第三模块、第四模块、第五模块。其中第一模块、第二模块、第三模块分别以程序指令形式存储于TCP/IP客户端的存储器中，当TCP/IP客户端的处理器运行程序指令的第一模块、第二模块时执行步骤(1)，当TCP/IP客户端的处理器运行该程序指令的第三模块时执行步骤(2)。第四模块、第五模块分别以程序指令形式存储于TCP/IP服务端的存储器中，当TCP/IP服务端的处理器运行程序指令的第四模块时执行步骤(1)，当TCP/IP服务端的处理器运行程序指令的第五模块时执行步骤(3)。

总而言之，本实施例提供了一种用于保护TCP/IP客户端和TCP/IP服务端间TCP/IP会话安全性的方法和系统，其首先在TCP/IP客户端生成唯一的设备指纹，由TCP/IP客户端截获发往TCP/IP服务端的TCP会话的syn报文，并在该报文上添加SPA包，TCP/IP服务端截获TCP会话的syn报文后，先判断该报文是否包含有效的SPA包，如果没有，则丢弃该报文，否则提取SPA包里的设备指纹，再判断设备指纹是否在TCP/IP服务的设备指纹白名单内，如果没有，则丢弃该报文，否则放行该报文。本发明提供的保护TCP/IP会话安全性的技术方法以运行Linux系统并且以TCP/IP通信协议进行数据传输的计算机设备为对象，能够为TCP/IP客户端和服务端之间的TCP/IP会话提供设备级的安全保护，不需要依赖其他技术手段(比如iptables和port knocking)，做到了对上层应用的全透明，能有效杜绝未经授权的设备对TCP/IP服务的非法访问和网络攻击，极大提升TCP/IP会话的安全性。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种保护TCP/IP会话安全性的方法，用于TCP/IP客户端、TCP/IP服务端之间通过TCP/IP协议实现安全通信，其特征在于，包括以下步骤：

步骤1、在TCP/IP客户端获取TCP/IP客户端的设备指纹，并在TCP/IP客户端中将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；

在TCP/IP服务端建立所述设备指纹的白名单，并在TCP/IP服务端将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；

步骤2、所述TCP/IP客户端生成握手请求数据包，并向握手请求数据包中的syn报文附加SPA信息，所述SPA信息中包含TCP/IP客户端的设备指纹，并由TCP/IP客户端基于TCP/IP服务将附加有SPA信息的握手请求数据包发送至TCP/IP服务端；

步骤3、所述TCP/IP服务端基于TCP/IP服务获取步骤2所述的握手请求数据包时，判断其中的SPA信息是否有效，以及SPA信息中包含的设备指纹是否在所述设备指纹白名单内，若SPA信息有效且设备指纹在设备指纹白名单内，则TCP/IP服务端放行握手请求数据包并生成握手响应发送至TCP/IP客户端，否则TCP/IP服务端丢弃该握手请求数据包。

2.根据权利要求1所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤1中，在TCP/IP客户端中，计算客户端设备的若干个系统固定不变的因子，以及MAC地址、Machine-ID，并进行计算后得到设备的特征码，然后再计算所述设备特征码的MD5或者HASH值，得到所述设备指纹。

3.根据权利要求1所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤2中，所述SPA信息还包含时间戳、随机生成的字符串，以及由设备指纹以及时间戳、随机字符串等组合而成的二进制内容的crc值，保证SPA数据的完整性，防止被篡改。

4.根据权利要求1所述的一种保护TCP/IP会话安全性的方法，其特征在于，所述TCP/IP客户端、TCP/IP服务端均采用Linux操作系统，步骤2中TCP/IP客户端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有出栈的握手请求数据包以附加SPA信息，步骤3中TCP/IP服务端通过Linux操作系统的NetFilter框架或者eBPF框架的TC子系统截获所有入栈的握手请求数据包以进行判断。

5.根据权利要求4所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤2中，TCP/IP客户端通过NetFilter框架的NF_INET_POST_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Egress钩子点向syn包中附加SPA信息。

6.根据权利要求4所述的一种保护TCP/IP会话安全性的方法，其特征在于，步骤3中，TCP/IP服务端通过NetFilter框架的NF_INET_PRE_ROUTING钩子点挂载钩子函数或者eBPF框架的TC子系统中的Ingress钩子函数对SPA信息和设备指纹进行判断。

7.一种实现权利要求1-6中任意一项保护TCP/IP会话安全性方法的系统，其特征在于，包括：

第一模块，设于TCP/IP客户端，用于执行步骤1以获取TCP/IP客户端设备的设备指纹；

第二模块，设于TCP/IP客户端，用于执行步骤1将TCP/IP服务加入到TCP/IP客户端的TCP/IP服务列表；

第三模块，设于TCP/IP客户端，用于执行步骤2添加SPA信息并发送握手请求数据包；

第四模块，设于TCP/IP服务端，用于执行步骤1建立所述设备指纹的白名单，以及将包含设备指纹白名单的TCP/IP服务加入到TCP/IP服务端的TCP/IP服务列表；

第五模块，设于TCP/IP服务端，用于执行步骤3接收握手请求数据包后的判断。

Images